Searching...
April 11, 2014

Heartbleed All Mighty: Massive Security Bug In OpenSSL

Lu udah denger berita bug heartbleed ngga?

Itu pertanyaan yang diberikan oleh Krisan Alfa (kakak saudara kembar saya) hari Rabu pagi kemarin (9 April 2014) . Awalnya saya setengah ngga percaya, ini kan library cryptography yang dipakai oleh kebanyakan situs. Kalo ini benar-benar nyata, WE ARE DOOMED! Sebut saja, credit card, email, akun jejaring sosial, akun chat, dll. Peduli setan kamu pakai VPN atau HTTPS protocol, YOUR ACCOUNT MIGHT HAVE BEEN COMPROMISED!

Penasaran? Ikuti ulasan dari saya selengkapnya.
Kamu mungkin belum pernah mendengar istilah OpenSSL, tapi sebenarnya dia sudah menjadi bagian dari kehidupan sosial di dunia maya kamu selama ini. Tugas utama OpenSSL adalah meng-enkripsi data yang dikirim dari server -> client, dan dari client -> server untuk menghindari leaked data just in case koneksi kamu di intercepted oleh pelaku MITM.


Heartbleed?
OpenSSL memiliki ekstensi yang bernama Heartbeat (RCF6520). Jika ekstensi ini berhasil dieksploit, maka data dari server -> client, dan dari client -> server dapat dibongkar dan diketahui.


Apa istimewanya?
Sebuah bug pada software dapat diperbaiki pada versi berikutnya, namun OpenSSL memiliki cerita yang berbeda. Bug ini berhasil membongkar private key yang dimiliki oleh kebanyakan server yang menggunakan OpenSSL, artinya penyebaran ini memiliki skala massive. Selain itu, penyerangan terhadap bug ini TIDAK meninggalkan jejak, dan kelemahan ini SANGAT MUDAH DISERANG.


Data apa?
Anything! Password, isi pesan singkat, foto, url, dokumen penting suatu perusahaan, email, aktivitas di dunia maya kamu, dll. Apapun yang kamu lakukan pada URL https dapat dieksploitasi. BEWARE!


Bagaimana cara menghentikan ini?
Untungnya para developer telah memperbaiki bug ini. Versi OpenSSL yang kebal dengan bug heartbleed telah dirilis.


Apakah saya terpengaruh bug ini?
Sebut saja, situs jejaring social kamu, situs email kamu, situs perusahaan, negara, forum, game center, situs jual beli, situs berita. Banyak sekali dari mereka yang mengadopsi OpenSSL sebagai cryptography library mereka (kita tidak tau cryptography library yaing mereka pakai, tapi OpenSSL sangat banyak dipakai oleh kebanyakan situs web).


Seberapa luas penyebaran bug ini?
OpenSSL digunakan pada aplikasi web server seperti Apache dan NginX. 66% situs di dunia menggunakan dua program ini sebagai aplikasi web server mereka (sumber). Lebih jauh lagi OpenSSL juga digunakan untuk mengamankan komunikasi data email server, chat server, VPN, dll.

Versi berapa yang memiliki kelemahan heartbleed?

  • OpenSSL 0.9.8 tidak memiliki kelemahan heartbleed
  • OpenSSL 1.0.0 tidak memiliki kelemahan heartbleed
  • OpenSSL 1.0.1g tidak memiliki kelemahan heartbleed
  • OpenSSL 1.0.1 - 1.0.1f memiliki kelemahan ini
Contoh versi OpenSSL yang memiliki kelemahan heartbleed


Bagaimana dengan OS yang digunakan?
Beberapa OS yang didistribusikan yang berpotensi memiliki bug heartbleed adalah

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) and 5.4 (OpenSSL 1.0.1c 10 May 2012)
  • FreeBSD 10.0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)
Dan OS yang tidak memiliki bug heartbleed adalah
  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD Ports - OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

Saya menggunakan versi yang memiliki bug ini, lalu bagaimana?
Kamu bisa menginstall OpenSSL versi 1.0.1g atau kembali mengompile source OpenSSL yang sekarang anda gunakan dengan opsi -DOPENSSL_NO_HEARTBEATS untuk menghapus handshake dari source code.


Bisakah saya mengetahui jika ada yang meretas koneksi TLS saya?
Tidak, penyerangan terhadap bug ini tidak akan meninggalkan jejak apapun.


Siapa yang menemukan bug heartbleed?
Tiga orang dari Codenomicon yaitu Karjalainen, Riku Hietamaki, Matti Kamunen serta seseorang dari Google Security bernama Neel Mehta (Neeh Mehta bekerja terpisah dari codenomicon) berhasil mengembangkan bug ini sampai di titik kritis.


Conclusion
Seperti ini seharusnya peretasan! Ketika kebanyakan hacker-hacker berlomba-lomba meretas situs, dan beramai-ramai mematikan server. Beberapa orang yang TIDAK memilih untuk menjadi 4l4y (sedikit-sedikit mempublish hasil kejahatan cyber yang dilakukan), melakukan riset untuk menemukan bug ini. Just so you know, HEARTBLEED ADALAH BUG TERBURUK DAN TERBESAR SEPANJANG SEJARAH INTERNET! Not SQLi anymore, not MITM anymore! Jadi apa yang akan kalian lakukan setelah ini? Masih berkemelut dengan SQLi? Defacing? Carding? Tidak apa. Itu pilihan kamu. Mark this words. Deface dan Carding mungkin bisa meningkatkan reputasi Anda. Tapi itu tidak setara dengan reputasi developer bug heartbleed. Perhatikan "karya" anda selama ini. Satu juta situs telah di-deface? Ribuan dollars hasil carding? Kemudian lihat effect heartbleed saat ini!

Informasi mengenai "HOW HEARTBLEED WORKS IN REALTIME", dan tutorial "HOW TO LAUNCH HEARTBLEED ATTACK" akan di post beberapa saat lagi. Kedua post ini akan menyadarkan kamu betapa parahnya effects yang ditimbulkan oleh heartbleed.

Artikel ini bermanfaat untuk kamu? Share! Memiliki komentar dan pertanyaan? Post below!

Writer

0 comment:

Post a Comment

 
Back to top!