Minggu, 15 Juni 2014

Heart Bleed (Debug Komputer)

Posted by Unknown on 07.22
0


                Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena bug ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL. SSL itu adalah standar keamanan yang akan mengenkripsi teks (seperti username dan password) yang dikirim via browser. Contohnya ketika membuka www.facebook.com dan memasukkan username dan password, semua teks itu akan diacak dulu. Jadi jika ada hacker yang mencoba menyabot koneksi dari komputer ke server Facebook hanya akan mendapatkan teks yang diacak dan sulit dibaca. Nah OpenSSL adalah salah satu teknik SSL tersebut. Dinamakan “open” karena memang bersifat open source. Siapa saja bisa menyumbang fitur tambahan di OpenSSL ini. Dan karena open source, OpenSSL banyak digunakan di web server yang membutuhkan proses login.
            Heartbeat itu salah satu fitur OpenSSL yang diperkenalkan tahun 2012. Tujuan heartbeat adalah mengecek apakah komputer masih terhubung ke sebuah server. Karena, seringkali router yang menjadi perantara antara komputer dengan server di internet memutuskan hubungan jika terjadi idle yang terlalu lama. Dengan heartbeat, komputer bisa mengetahui apakah masih terhubung dengan server yang dituju. Prinsip kerjanya kurang lebih seperti ini komputer akan mengirimkan pesan berisi sebuah magic word dan jumlah karakter kata tersebut. Nanti server akan membalas pesan tersebut dengan menyebutkan magic word tersebut.
            Fasilitas heartbeat ini memiliki kelemahan karena terlalu percaya dengan komputer pengirim. Sehingga komputer hacker cuma mengirimkan sebuah kata yang pendek (seperti melati) namun meminta respon sebanyak 100 karakter. Server ternyata tidak mengecek kalau melati hanya memiliki 6 karakter. Server langsung “memuntahkan” semua karakter yang tersimpan di memori RAM-nya untuk memenuhi permintaan 100 karakter tersebut.( 100 karakter hanyalah ilustrasi. Sang hacker bisa meminta sampai 64.000 karakter).

Apa saja informasi yang bocor akibat Heartbleed Bug?

Kami (baca: Codenomicon) telah menguji beberapa layanan kami dengan menggunakan sudut pandang penyerang (cracker). Kami menyerang sistem layanan kami dari sisi luar tanpa meninggalkan jejak sama sekali. Tanpa memanfaatkan informasi maupun kredensial khusus, kami mampu mencuri kunci-kunci rahasia yang dipakai untuk sertifikat X.509, nama dan password pengguna, instant messages, surel, serta informasi dan dokumen-dokumen bisnis penting yang ada pada layanan kami.
Bagaimana menghentikan kebocoran dan menanggulangi dampak Bug Heartbleed?

Selama versi rentan OpenSSL masih dipergunakan, ia tetap bisa disalahgunakan. Saat ini, Fixed OpenSSL telah dirilis dan diterapkan. Para penyedia layanan sistem operasi (OS), sistem distribusi dan peralatan multifungsi, pengembang dan penerbit perangkat lunak independen, semua harus mengadopsi perbaikan keamanan tersebut dan menginformasikannya pada klien mereka. Penyedia dan pengguna layanan harus menginstal pemutakhiran ini segera setelah ia tersedia untuk seluruh operating system dan software mereka.
Apa saja yang dibocorkan?

Enkripsi berfungsi untuk melindungi rahasia-rahasia yang bisa membahayakan privasi atau keamanan Anda apabila bocor. Untuk mengkoordinasi perbaikan atas bug ini, kami telah mengklasifikasikan jenis-jenis rahasia yang bocor ke dalam empat kategori: 1) primary key material, 2) secondary key material, 3) konten yang terproteksi, 4) collateral.
Apa saja yang dibocorkan?

Enkripsi berfungsi untuk melindungi rahasia-rahasia yang bisa membahayakan privasi atau keamanan Anda apabila bocor. Untuk mengkoordinasi perbaikan atas bug ini, kami telah mengklasifikasikan jenis-jenis rahasia yang bocor ke dalam empat kategori: 1) primary key material, 2) secondary key material, 3) konten yang terproteksi, 4) collateral.
Apa saja Sistem Operasi yang terkena bug Heartbleed?

Ini adalah sejumlah distribusi operating system yang dirilis dengan versi OpenSSL yang rentan:

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mei 2012) dan 5.4 (OpenSSL 1.0.1c 10 Mei 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Distribusi sistem operasi berikut aman:

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC) Apa saja informasi yang bocor akibat Heartbleed Bug?

Kami (baca: Codenomicon) telah menguji beberapa layanan kami dengan menggunakan sudut pandang penyerang (cracker). Kami menyerang sistem layanan kami dari sisi luar tanpa meninggalkan jejak sama sekali. Tanpa memanfaatkan informasi maupun kredensial khusus, kami mampu mencuri kunci-kunci rahasia yang dipakai untuk sertifikat X.509, nama dan password pengguna, instant messages, surel, serta informasi dan dokumen-dokumen bisnis penting yang ada pada layanan kami.
Bagaimana menghentikan kebocoran dan menanggulangi dampak Bug Heartbleed?

Selama versi rentan OpenSSL masih dipergunakan, ia tetap bisa disalahgunakan. Saat ini, Fixed OpenSSL telah dirilis dan diterapkan. Para penyedia layanan sistem operasi (OS), sistem distribusi dan peralatan multifungsi, pengembang dan penerbit perangkat lunak independen, semua harus mengadopsi perbaikan keamanan tersebut dan menginformasikannya pada klien mereka. Penyedia dan pengguna layanan harus menginstal pemutakhiran ini segera setelah ia tersedia untuk seluruh operating system dan software mereka.
Apa saja yang dibocorkan?

Enkripsi berfungsi untuk melindungi rahasia-rahasia yang bisa membahayakan privasi atau keamanan Anda apabila bocor. Untuk mengkoordinasi perbaikan atas bug ini, kami telah mengklasifikasikan jenis-jenis rahasia yang bocor ke dalam empat kategori: 1) primary key material, 2) secondary key material, 3) konten yang terproteksi, 4) collateral.
Apa saja yang dibocorkan?

Enkripsi berfungsi untuk melindungi rahasia-rahasia yang bisa membahayakan privasi atau keamanan Anda apabila bocor. Untuk mengkoordinasi perbaikan atas bug ini, kami telah mengklasifikasikan jenis-jenis rahasia yang bocor ke dalam empat kategori: 1) primary key material, 2) secondary key material, 3) konten yang terproteksi, 4) collateral.
Apa saja Sistem Operasi yang terkena bug Heartbleed?

Ini adalah sejumlah distribusi operating system yang dirilis dengan versi OpenSSL yang rentan:

Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
CentOS 6.5, OpenSSL 1.0.1e-15
Fedora 18, OpenSSL 1.0.1e-4
OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mei 2012) dan 5.4 (OpenSSL 1.0.1c 10 Mei 2012)
FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
NetBSD 5.0.2 (OpenSSL 1.0.1e)
OpenSUSE 12.2 (OpenSSL 1.0.1c)
Distribusi sistem operasi berikut aman:

Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
SUSE Linux Enterprise Server
FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

Sumber :
http://ekajogja.com/heartbleed-bug-definisi-titik-rentan-dan-cara-penanggulangannya/

http://www.pcplus.co.id/2014/04/fitur/apa-itu-heartbleed/

Posted in

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)

Clock

About Me

Unknown
Lihat profil lengkapku