Searching...
April 15, 2014

Heartbleed All Mighty: Easy Explanation How Does It Works

Sebelumnya saya sudah memberikan penjelasan bagaimana cara heartbleed bug bekerja di sini. Penjelasan ini nampaknya agak sulit dipahami oleh beberapa orang, khususnya mereka yang awam dalam dunia IT. Untuk itu saya memutuskan untuk memberikan penjelasan sederhana bagaimana cara kerja heartbleed bug bekerja. Follow me!



Rumus utama dalam kasus ini adalah

memcpy(bp, pl, payload) ;

Asumsikan bahwa:



bp: Penjual kardus
pl: Surat
payload: Jumlah surat

Catatan:
Dalam contoh ini, Kardus adalah alat untuk menyimpan Surat.

Seseorang: *masuk ke toko kardus* Gue punya 64 foto nih, minta kardus untuk 64 foto dong.
Penjual kardus: Ok, sebentar. *mengangkat kardus berisi SURAT dari locker*
Seseorang: Kok penuh pak?
Penjual kardus: Iya, karena sejatinya ngga ada kardus yang kosong di sini.

INGAT: Tidak ada istilah empty memory pada kasus copy. Alih alih, "penjual kardus" akan memilih untuk memusnahkan data lama, dan mengganti data baru.

Penjual kardus kemudian mengeluarkan semua isi surat di dalam kardus tersebut dan membakarnya. Karena seseorang memberikan informasi jumlah surat (payload), bahwa ada 64 surat, maka penjual kardus akan mengeluarkan semua (64) surat di dalam kardus, dan membakar surat tersebut.

Penjual kardus: Sudah kosong, silahkan di isi.
Seseorang: Ok *menaruh surat suratnya di dalam kardus*

INGAT: Dalam proses ini, system (toko) merekam kejadian ini dalam memory. Kemudian membuat copy-an kardus berisi surat Seseorang, dan menaruhnya kembali di locker. Ini mengapa setiap kardus yang diambil dari locker selalu terisi dengan surat.

Prosesnya seperti ini

Meminta kardus -> Mencari kardus -> Menghapus data (surat) -> Memasukan data -> Mengkopi data beserta kardus ke dalam locker -> Memberikan kardus

Saat ini, maksimum foto yang dapat ditampung adalah 64 buah. Itu adalah kardus dengan ukuran terbesar, tidak ada tawaran untuk mengganti ukuran kardus!

OK. Sekarang kardus Seseorang beserta isinya telah direcord, dan telah tersimpan pada locker.

Hacker: *membawa 1 surat* Saya minta kardus untuk 64 foto (dia berbohong, padahal dia membawa hanya 1 surat)
Penjual kardus: OK. Sebentar. *mengeluarkan kardus berisi 64 surat milik Seseorang*

Untuk mengoverwrite 1 surat, anda TIDAK perlu menghapus 64 surat, cukup 1 surat.

Penjual kardus: *mengeluarkan 1 surat dari dalam kardus, dan memberikannya kepada hacker* Ini dia, silahkan di isi.
Hacker: Terima kasih

Dalam kasus ini hacker berhasil mendapatkan 63 surat milik seseorang. Siapa yang tau bahwa di dalam surat itu berisi password?

Ingat. Mesin adalah mesin. Sejatinya dia bodoh, yang membuat dia pintar adalah program dan aplikasi di dalamnya. Kita berbicara dengan mesin dengan bantuan program, dan dia akan melakukan APAPUN yang kita perintahkan!

Written by: Omega Hanggara

1 comment:

 
Back to top!