Thursday, 17 April 2014

Apa itu Heartbleed Bug?


Baru-baru ini heboh di internet tentang masalah bug pada OpenSSL yang diberi nama Heartbleed
Dengan bahayanya bug ini telah membuatkan banyak laman web yang menggunakan SSL (https://) telah membuang (revoke) certificate SSL dan membuat yang baru, mengupdate versi OpenSSL kepada yg baru, mereset seluruh password pengguna laman web itu atau memberi peringatan supaya pengguna menukar password yang digunakan.

Apa itu Heartbleed Bug?

Bug ini memanfaatkan fungsi Heartbeat pada OpenSSL dan hacker boleh mendapatkan maklumat dan data dari memori pada server yang bersarnya sampai 64KB. Serangan ini dapat dilakukan berulang-ulang kali kerana ianya tidak dapat dikesan. Jadi dengan perlahan seluruh isi dari RAM server akan dapat diketahui.

Untuk lebih mudah memahami bug Heartbleed ini korang boleh baca komik Heartbleed Explained dari xkcd.

Kenapa diberi nama Heartbleed?

Kerana bug ini berasal dari implementasi prokotol heartbeat (RFC6520) TLS/DTLS (Transport Layer Security Protocols). Kalau protokol "denyut jantung" (heartbeat) ini dieksploitasi ia akan dapat membocorkan isi memori dari server client. Oleh itu namanya ialah "pendarahan jantung" (heartbleed) .

Apa yang boleh didapatkan dengan Heartbleed ini?

Semuanya yang boleh disimpan dalam memori komputer akan boleh didapatkan. Yang menjadi masalahnya, mangsa yang diserang tidak akan mengetahui serangan ini dilakukan kerana tida ada cara untuk mengesannya, yang hanya dapat dilakukan pemilik website adalah menganalisa log (catatan) akses pengunjung. Jadi username, email, password, nombor kad kredit, private key dan yang lain ada kemungkinan boleh didapatkan.

Apakan versi OpenSSL yang terdedah kepada serangan ini?

OpenSSL versi 1.0.1 hingga 1.0.1f terdedah kepada serangan ini. Kalau dilihat versi ini sudah berada di internet sejak dari 2 tahun (Disember 2011) yang lalu. Jadi risiko untuk terdedah kepada serangan heartbleed memang besar sekali.



Website apa yang menjadi mangsa?

Mengikut perkiraan 66% dari website aktif (lebih dari 1/2 juta) menggunakan OpenSSL, dan kerana versi OpenSSL yang terdapat bug ini sudah ada lebih dari 2 tahun jadi kemungkinan besar laman web yang anda gunakan terkena impaknya.

Beberapa laman web terkenal seperti Google, Facebook, Dropbox, GitHub, Instagram Pintrest, Tumblr, Gmail, Yahoo, Yahoo Mail, Amazon Web Services, Etsy, GoDaddy, Flickr, YouTube, SoundCloud, Box, dan masih banyak lagi adalah yang menggunakan versi OpenSSL yang terdapat bug Heartbleed. 

Bagaimana keadaan laman web sekarang, adakah sudah selamat?

Sekarang hampir semua website yang diyakini memiliki kelemahan Heartbleed bug ini sudah dipatch dan diupdate. Jadi risiko terkena Heartbleed bug sudah kurang.

Apakah yang saya dapat dilakukan jika terkena Heartbleed bug?

Tukar seluruh password account anda, cuma ini sahaja yang dapat dilakukan sambil menunggu laman web yang digunakan mengupdate versi OpenSSL dan mengganti certificate SSL yang digunakan.

sumber : uTekno



Item Reviewed: Apa itu Heartbleed Bug? Description: Rating: 5 Reviewed By Afif Zafri

Share:

Popular Posts

© 2011 - Reaperz All rights reserved | Theme Designed by Seo Blogger Templates DMCA.com