HeartBleed – Exploit terbesar masa kini | Penerangan dan Penyelesaian

[![](https://dausruddin.com/wp-content/uploads/2014/04/heartbleed.png)](https://dausruddin.com/wp-content/uploads/2014/04/heartbleed.png)

Seperti yang diketahui, OpenSSL adalah satu *opensource project* di mana fungsinya adalah untuk mengenkripsikan data komunikasi antara pengguna serta server. Baru-baru ini, [Heartbleed](http://heartbleed.com/)*exploit*, merujuk kepada CVE-2014-0160, telah ditemui oleh sebuah syarikat keselamatan [Codenomicon](http://www.codenomicon.com/) dan seterusnya telah dilaporkan kepada pihak pembangun OpenSSL oleh penganalisis keselamatan Google, Neel Mehta.
Dikhabarkan, bahawa *flaw* ini wujud lebih dari dua tahun kebelakang dan antara versi yang terlibat adalah:

  • 1.0.1
  • 1.0.1a
  • 1.0.1b
  • 1.0.1c
  • 1.0.1d
  • 1.0.1e
  • 1.0.1f

Versi lain tidak terlibat kecuali beberapa versi beta.

Apakah itu Heartbleed?
OpenSSL bergerak dengan mencipta satu saluran komunikasi yang selamat antara pengguna serta server. Untuk meminta respon daripada komputer kedua, satu paket data dikenali sebagai ‘*heartbeat’ *perlu dihantar oleh komputer yang pertama. Exploit Heartbleed ini membolehkan pihak ketiga mencipta satu paket seumpama heartbeat dan seterusnya komputer sasaran akan memberi repon dan akan menghantar kembali data-data sensitif kepada pihak ketiga tersebut.

**Apakah itu CVE-2014-0160?
CVE (Common Vulnerabilities and Exposures) berserta nombor, adalah kod rujukan bagi bug ini. Kod nama bagi vulnerability ini dipantau oleh MITRE.

Sejauh mana bahaya exploit ini?
Exploit ini digunakan ke atas talian SSL/TLS (secure line) yang digunakan oleh *website, instant messenger (IM), *serta beberapa rangkaian *virtual private network (VPN). Selain itu, SSL/TLS *juga digunakan pada beberapa aplikasi di dalam sistem pengoperasian. Melalui exploit ini, mana-mana pihak boleh mendapatkan data bersaiz 64K. Mungkin data sebesar ini akan kelihatan agak remeh tetapi, anda perlu ambil perhatian kerana exploit ini boleh diulang sehinggalah individu tersebut memperoleh data yang memuaskan hatinya.
Antara data-data yang mungkin dicuri adalah seperti *private keys, username *dan password.

Walaupun Heartbleed mungkin agak nampak lemah, tetapi hakikatnya beberapa syarikat besar telah mengambil langkah drastik dengan mengenakan patch pada OpenSSL mereka. Anda boleh melihat senarai website-website gergasi yang *affected *

Jadi, adakah anda masih mahu berdiam diri dan membiarkan server anda terdedah kepada risiko kecurian maklumat?

Adakah server saya vulnerable?
Anda boleh melawat Heartbleed vulnerable checker untuk melihat sekiranya server anda vulnerable.

Bagaimana cara untuk memperbaikiHeartbleed*?***
Langkah yang paling disyorkan adalah dengan memastikan server anda sentiasa uptodate kerana kebanyakan pihak pembangun operating system(OS) telah sedia maklum dengan situasi ini dan mereka bertungkus lumus menyediakan patch version atau menyediakan versi yang paling baharu supaya Heartbleed dapat dikekang.

*Build date  *versi OpenSSL anda haruslah pada 7 April 2014 atau selepasnya.
anda boleh lihat build date versi OpenSSL anda dengan menaip di console:

openssl version -a

contoh *output *menunjukkan anda selamat:

OpenSSL 1.0.1e-fips 11 Feb 2013 built on: Tue Apr 8 02:39:29 UTC 2014

Ini adalah output dari lates update Centos 6.5 pada *dedicated server  *saya.

Bertindak cepat sebelum terlambat ?
Sila lihat paparan dibawah tentang bagaimana Hearbleed beroperasi.

[![](https://dausruddin.com/wp-content/uploads/2014/04/heartbleed_explanation.png)](https://dausruddin.com/wp-content/uploads/2014/04/heartbleed_explanation.png)



Leave a Reply

Your email address will not be published. Required fields are marked *