Patch Heartbleed

Heartbleed sepertinya telah menjadi berita besar. Penemuan celah keamanan ini memang sangat menghebohkan. Para user sibuk melakukan update password. Peneliti keamanan sibuk mempelajari tentang celah keamanan ini. Sementara para admin jaringan juga ikut sibuk.

heartbleed patch
from interaksyon.com

Minggu ini para admin masih disibukkan dengan patch  Heartbleed. Teman saya ada yang sudah coba memasang patch dari openssl tapi setelah dipasang ternyata servernya malah error. Akhirnya terpaksa data dipindahkan ke server cadangan. Ternyata tidak semua server bisa dibereskan dengan patch dari openssl. Masing-masing vendor berbeda cara memasang patchnya. Sebaiknya kita baca dulu keterangan resmi dari masing-masing vendor tentang Heartbleed, sebelum mulai coba mengoprek-oprek server kita. Beberapa vendor sudah mengeluarkan keterangan resmi tentang Heartbleed. Bahkan ada yang mengeluarkan patch khusus serta cara-cara memasang patch tersebut. Berikut ada beberapa keterangan dari masing-masing vendor tentang patch Heartbleed  :

Buat teman-teman yang tertarik mempelajari lebih lanjut tentang Heartbleed, untuk referensi di link berikut ini.  Disana ada banyak link bacaan tentang Heartbleed. Mulai dari payload, cara mendeteksi, cara mengangani dll. Selain itu ada video juga yang menjelaskan tentang Heartbleed.

Semoga bermanfaat

Masih tentang bug Heartbleed

Celah keamanan atau Bug Heartbleed ini sangat menarik. Bug ini ternyata sudah ada sejak 2 tahun, tapi baru saja diketahui dan dipublikasikan oleh  peneliti keamanan Google dan Codenomicon. Bug ini memiliki nama resmi CVE-2014-0160. Celah keamanan ini menyerang openssl versi 1.0.1 sampai versi 1.0.1f , serta server yang menggunakan Apache dan Nginx. Jadi dengan memanfaatkan celah keamanan ini, penyerang bisa mengambil isi memori pada server sebesar 64k. Hal ini bisa dilakukan berulang-ulang oleh penyerang tanpa terdeteksi, karena umumnya kanal Heartbeat tidak dimonitor.  Nah isi memori tadi bisa diekstrak oleh penyarang sehingga nanti akan mendapatkan data seperti public keys, private keys, login maupun password. Tergantung isi memori dari server pada saat itu apa.

bug heartbleed
from onsugar.com

Celah keamanan ini terjadi karena openssl merupakan aplikasi open source yang dikerjakan secara keroyokan oleh para volunteer. Sehingga bisa saja terjadi kesalahan coding. Tapi celah keamanan ini telah diperbaiki.  OpenSSL telah mengeluarkan patch untuk memperbaiki bug ini. Bila anda admin website yang menggunakan openssl, sebaiknya segera memasang patch tersebut pada web anda. Bila anda user, sebaiknya anda periksa dulu domain website yang sering anda kunjungi. Apakah website tersebut masih rawan terhadap bug Heartbleed ini atau sudah diperbaiki. Link untuk mengujinya bisa dilihat disini. Sangat dianjurkan untuk kita segera mengganti password. Dan jangan dibiasakan untuk menggunakan password yang sama untuk semua layanan yang kita gunakan.

Selain itu ada kemungkinan celah keamanan ini akan dimanfaatkan oleh para scammers untuk menyebarkan email-email scam tentang bug ini. Sebaiknya hati-hati bila menerima email tentang tema ini. Penjelasan yang lebih teknis tentang bug Heartbleed ini bisa dilihat di blog ini. Disana diuraikan tentang source code openssl yang bermasalah. Selain itu ada juga videonya disini http://vimeo.com/91425662

Semoga bermanfaat!

Heartbleed – Celah keamanan

heartbleed
heartbleed

Para peneliti keamanan sedang dihebohkan dengan berita ditemukannya bug pada aplikasi OpenSSL. Bug ini dinamakan Heartbleed. Bug ini sangat berbahaya. Karena dengan memanfaatkan celah keamanan ini, penyerang dapat mengambil memori dari server. Celah keamanan ini menyerang sistem yang menggunakan openssl. Ini artinya semua yang ada di memori seperti SSL private keys, user keys, nama login user, password, email dll bisa diambil oleh penyerang tanpa meninggalkan jejak.

Celah keamanan ini menyerang sistem yang menggunakan openssl. OpenSSL merupakan aplikasi yang sangat populer dan banyak digunakan untuk mengamankan website. Sehingga diprediksi sekitar 500 ribu website diseluruh dunia rawan terhadap celah keamanan Heartbleed ini. Di Website arstechnica didemonstrasikan cara kerja penyerang yang menggunakan celah keamanan Heartbleed ini. Disitu pengujian dilakukan dengan menyerang server email yahoo. Dan ternyata berhasil didapatkan username dan password dari user.

Informasi lebih lanjung tentang celah keamanan ini bisa dilihat di link berikut ini. Anda bisa menguji juga apakah website anda rawan terhadap bug ini pada link berikut ini.  Tetapi celah keamanan ini telah berhasil ditangani, telah ada patch yang dikeluarkan openssl.  Silahkan baca keterangan dari OpenSSl untuk menangani celah keamanan ini di link berikut ini. Setelah kita memasang patch ini maka kita harus menggenerate kunci pubic dan kunci private kita. Kemudian kita harus melakukan update sertifikat SSL yang kita gunakan. Dan disarankan untuk segera mengganti password dari user yang mungkin telah dicuri hacker. Menurut berita terakhir Facebook dan Gmail telah mengupdate sistemnya menggunakan patch tersebut. Semoga bermanfaat!

from xkcd
from xkcd