.

Thursday 24 April 2014

HeartBleed: Kelemahan OpenSSL didedahkan

06:55    Tiada Komen

Heartbleed: Kelemahan OpenSSL didedahkan


Baru-baru ini kelemahan yang serius pada library perisian kriptografi popular OpenSSL telah didedahkan. Bug yang diberi nama Heartbleed ini dijumpai oleh jurutera keselamatan dari Codenomicon dan Neel Mehta of Google Security.

Apa itu Heartbleed

Ianya dikenali sebagai Heartbleed kerana ianya adalah bug yang terdapat di dalam extension Heartbeat (RF6520) OpenSSL. Heartbleed bug membolehkan sesiapa sahaja untuk membaca memori sistem yang dilindungi oleh versi OpenSSL yang lemah. Kelemahan ini menyebabkan risiko kepada kecurian maklumat sulit tanpa meninggalkan sebarang kesan, walaupun maklumat-maklumat ini melalui encryption SSL/TLS. 

Bagaimana penceroboh menyerang menggunakan Heartbleed?

HeartBleed bukanlah satu kecacatan dalam rekaan spesifikasi protokol SSL/TLS tetapi ianya adalah kecuaian dalam pelaksanaan (implementation). Penyerang mengambil kesempatan dari kecacatan ini dengan mencuri maklumat-maklumat rahsia daripada pengguna (client) dan pelayan (server).

Gambar rajah dibawah menunjukkan gambaran bagaimana penceroboh boleh mendapatkan maklumat sensitif daripada memori pelayan dalam jumlah 64 kilobytes untuk tempoh selama mana yang mereka inginkan.


Gambar rajah dibawah ini pula menunjukkan perbandingan bagaimana aktiviti HeartBeat Extension yang normal dan yang mempunyai Heartbleed bug.


Versi OpenSSL yang mengandungi bug Heartbleed adalah:
  • 1.0.1 dan 1.0.2-beta
  • 1.0.1f dan 1.0.2-beta1
Bug ini telah wujud bersama OpenSSL semenjak ianya dilancarkan dalam versi 1.0.1 pada 14 Mac 2012 dan ianya dibaiki dalam OpenSSL versi 1.0.1g yang baru sahaja dilancarkan pada 7 April 2014.

Kesan

Masalah ini menimbulkan kegusaran banyak pihak memandangkan OpenSSL telah digunakan dengan meluasnya. Lebih membimbangkan lagi, bug ini telah mendedahkan kunci-kunci peribadi  dan maklumat-maklumat sensitif di internet buat satu tempoh masa yang lama. Dengan menggunakan maklumat sensitif tersebut, penceroboh boleh membuat decrypt, spoof dan melaksanakan serangan man-in-the-middle ke atas trafik rangkaian.

Pencegahan

Untuk mengelakkan daripada bug Heartbleed terus berlaku, antara tindakan yang boleh diambil adalah:
  • menaiktaraf OpenSSL ke versi 1.0.1g ke atas. Ianya adalah versi OpenSSL yang telah dibaiki daripada HeartBleed bug.
  • Compile semula OpenSSL bersama handshake dibuang dari kod dengan menggunakan –DOPENSSL_NO_HEARTBEATS. Perisian yang menggunakan OpenSSL seperti Apache atau Nginx perlu memulakan semula perisian mereka untuk melakukan perubahan.

0 comments:

Post a Comment

Subscribe to: Post Comments (Atom)