Bug Masif dalam OpenSSL Membuat Banyak Internet Berisiko

Iklan

Jika Anda salah satu dari orang-orang yang selalu percaya bahwa kriptografi open source adalah cara paling aman untuk berkomunikasi online, Anda akan terkejut.

Minggu ini, Neel Mehta, anggota tim keamanan Google, memberi tahu tim pengembangan di OpenSSL bahwa exploit ada dengan fitur "detak jantung" OpenSSL. Google menemukan bug ketika bekerja dengan perusahaan keamanan Codenomicon untuk mencoba dan meretas servernya sendiri. Setelah pemberitahuan Google, pada 7 April, tim OpenSSL merilis sendiri Penasihat Keamanan bersama dengan tambalan darurat untuk bug.

Bug telah diberi julukan "Heartbleed" oleh analis keamanan Pakar Keamanan Bruce Schneier Tentang Kata Sandi, Privasi, dan KepercayaanPelajari lebih lanjut tentang keamanan dan privasi dalam wawancara kami dengan pakar keamanan Bruce Schneier. Baca lebih banyak , karena memanfaatkan fitur "detak jantung" OpenSSL untuk mengelabui sistem yang menjalankan OpenSSL untuk mengungkapkan informasi sensitif yang dapat disimpan dalam memori sistem. Sementara banyak informasi yang disimpan dalam memori mungkin tidak memiliki banyak nilai bagi peretas, permata akan menangkap kunci yang digunakan sistem untuk

mengenkripsi komunikasi 5 Cara untuk Mengenkripsi File Anda dengan Aman di CloudFile Anda mungkin dienkripsi dalam perjalanan dan di server penyedia cloud, tetapi perusahaan penyimpanan cloud dapat mendekripsi mereka - dan siapa pun yang mendapatkan akses ke akun Anda dapat melihat file. Sisi klien... Baca lebih banyak .

Setelah kunci diperoleh, peretas kemudian dapat mendekripsi komunikasi dan menangkap informasi sensitif seperti kata sandi, nomor kartu kredit dan banyak lagi. Satu-satunya persyaratan untuk mendapatkan kunci-kunci sensitif itu adalah untuk mengkonsumsi data terenkripsi dari server cukup lama untuk menangkap kunci. Serangan itu tidak terdeteksi dan tidak bisa dilacak.

OpenSSL Heartbeat Bug

Konsekuensi dari cacat keamanan ini sangat besar. OpenSSL pertama kali didirikan pada Desember 2011, dan dengan cepat menjadi perpustakaan kriptografi yang digunakan oleh perusahaan dan organisasi di seluruh Internet untuk mengenkripsi informasi sensitif dan komunikasi. Ini adalah enkripsi yang digunakan oleh server web Apache, yang hampir setengah dari semua situs web di Internet dibangun.

Menurut tim OpenSSL, lubang keamanan berasal dari cacat perangkat lunak.

“Pemeriksaan batas yang hilang dalam penanganan ekstensi detak jantung TLS dapat digunakan untuk mengungkapkan hingga 64k memori ke klien atau server yang terhubung. Hanya rilis OpenSSL 1.0.1 dan 1.0.2-beta yang terpengaruh termasuk 1.0.1f dan 1.0.2-beta1. "

Tanpa meninggalkan jejak di log server, peretas dapat memanfaatkan kelemahan ini untuk mendapatkan data terenkripsi dari beberapa server paling sensitif di Internet, seperti server web bank, server perusahaan kartu kredit, situs web pembayaran tagihan, dan lebih.

Kemungkinan peretas memperoleh kunci rahasia tetap dipertanyakan, karena Adam Langley, pakar keamanan Google, memposting ke aliran Twitter-nya bahwa pengujiannya sendiri tidak menghasilkan apa pun yang sensitif seperti kunci enkripsi rahasia.

Sebagai Penasihat Keamanan pada 7 April, tim OpenSSL merekomendasikan peningkatan segera, dan perbaikan alternatif untuk administrator server yang tidak dapat memutakhirkan.

“Pengguna yang terpengaruh harus meningkatkan ke OpenSSL 1.0.1g. Pengguna yang tidak dapat segera memutakhirkan dapat secara alternatif mengkompilasi ulang OpenSSL dengan -DOPENSSL_NO_HEARTBEATS. 1.0.2 akan diperbaiki di 1.0.2-beta2. "

Karena proliferasi OpenSSL di seluruh Internet selama dua tahun terakhir, kemungkinan pengumuman Google mengarah ke serangan yang akan datang cukup tinggi. Namun, dampak dari serangan tersebut dapat dikurangi dengan sebanyak mungkin administrator server dan manajer keamanan yang meningkatkan sistem perusahaan mereka ke OpenSSL 1.0.1g sesegera mungkin.

Sumber: OpenSSL