Gantengers | Temuan Bug “Heartbeat” pada OpenSSL - Tahun ini menjadi tranding topik di berbagai kalangan media, pasca diemukannya bug atau celah keamanan extension heartbleed pada OpenSSL, Lalu nama bug tersebut disebut dengan HeartBleed entah darimana saya juga kurang paham nama ini dipanggil haha. Untuk OpenSSL ini sendiri adalah SSL Engine yang di-pergunakan luas oleh Web Servers di Dunia Cyber/Internet. Mungkin Anda sudah paham tentang WebServer yang meliputi Nginx,Apache dan beratus-ratus WebServer lainnya rata-rata melakukan encryption menggunakan OpenSSL. OpenSSL engine versi Open Source. Nah akbibat dari ditemukannya Bug/Celah lubang Keamanan ini Menurut NetCraft ada sekitar berjuta-juta Website Terpercaya/Trusted Website vuln terhadap bug ini (heartbleed). Dan mungkin akan terjadi patch website secara massal untuk seluruh website yang terkena bug HeartBleed.
Setelah menyebar luasnya informasi bug ini team security engineer dari Codenomicon (Riku, Antti, dan Matti) dan Neel Mehta yang berasal dari GoogleSecurity melaporkan kepada Team Develop Open SSL agar segera memperbaiki Bug/celah lubang keamanan Tersebut. Bug ini hanya terdapat pada OpenSSL 1.0.1 hingga 1.0.1f (inklusif) Dan versi 1.0.2-1.0.2 beta1 Juga dilaporkan memiliki Bug Heartbleed . Dan beruntung untuk OpenSSL Jadul version 1.0.0 tidak vuln terhadap Bug Hearbeat ini karena versi 1.0.0 tersebut belum di-implementasiin extesion hearbeat TLS (RFC 6520). dan berikut ini adalah dampak vuln dari bug heartbleed tersebut
Dampak Vuln Oleh Bug HeartBleed
Dampak dari bug Heartbleed ini adalah adanya over run pada extinsion heartbeat karena tidak dilakukannya bound cheking. over run ini juga bisa dimanfaatkan unuk mengintip isi memori hingga 64.000 untuk user atau client server yang mengkoneksikan nya ke server website yang vuln terhadap heartbeat. Dan berikut ini penampakan dari isi memori tersebut.
Bekembang pesatnya internet sudah banyak website-website raksasa yang sudah dipergunakan umum untuk keperluan bisnis di internet dan akhirnya ter-ancam Bug Heartbledd ini, dan sudah beberapa list website raksasa ini sudah mendemontrasikan kepada user-user mereka untuk mengganti password account untuk menghindari hal yang tidak diinginkan. beberapa website tersebut adalah Facebook,Instagram Dan Tumbrl telah mendemontrasikan kepada pengguna website tersebut untuk mengganti Account Password untuk menghindari hal yang tidak diinginkan seperti pencurian Informasi.
Cara Mengetahui Sebuah Website Vulnerable Terhadap Bug HeartBleed
Saya Kutip Dari Blog Tibandung cara tips dan tricks mudah untuk melakukan Pentest apakah Sebuah Web Servers vulnerable terhadap Bug Heartbleed Atau tidak berikut triknya
Cara Mengatasi Bug Heartbleed yang bersarang Di WebServer/Website Anda
Setelah menyebar luasnya informasi bug ini team security engineer dari Codenomicon (Riku, Antti, dan Matti) dan Neel Mehta yang berasal dari GoogleSecurity melaporkan kepada Team Develop Open SSL agar segera memperbaiki Bug/celah lubang keamanan Tersebut. Bug ini hanya terdapat pada OpenSSL 1.0.1 hingga 1.0.1f (inklusif) Dan versi 1.0.2-1.0.2 beta1 Juga dilaporkan memiliki Bug Heartbleed . Dan beruntung untuk OpenSSL Jadul version 1.0.0 tidak vuln terhadap Bug Hearbeat ini karena versi 1.0.0 tersebut belum di-implementasiin extesion hearbeat TLS (RFC 6520). dan berikut ini adalah dampak vuln dari bug heartbleed tersebut
Dampak Vuln Oleh Bug HeartBleed
Dampak dari bug Heartbleed ini adalah adanya over run pada extinsion heartbeat karena tidak dilakukannya bound cheking. over run ini juga bisa dimanfaatkan unuk mengintip isi memori hingga 64.000 untuk user atau client server yang mengkoneksikan nya ke server website yang vuln terhadap heartbeat. Dan berikut ini penampakan dari isi memori tersebut.
- Cookie Website
- Source Code Script
- Kombinasi Username Dan Password
- Kunci Pribadi OpenSSL
Bekembang pesatnya internet sudah banyak website-website raksasa yang sudah dipergunakan umum untuk keperluan bisnis di internet dan akhirnya ter-ancam Bug Heartbledd ini, dan sudah beberapa list website raksasa ini sudah mendemontrasikan kepada user-user mereka untuk mengganti password account untuk menghindari hal yang tidak diinginkan. beberapa website tersebut adalah Facebook,Instagram Dan Tumbrl telah mendemontrasikan kepada pengguna website tersebut untuk mengganti Account Password untuk menghindari hal yang tidak diinginkan seperti pencurian Informasi.
Cara Mengetahui Sebuah Website Vulnerable Terhadap Bug HeartBleed
Saya Kutip Dari Blog Tibandung cara tips dan tricks mudah untuk melakukan Pentest apakah Sebuah Web Servers vulnerable terhadap Bug Heartbleed Atau tidak berikut triknya
- https://filippo.io/Heartbleed/ - Pentest Mudah untuk Mengetahui Vuln Atau Tidaknya Website terhadap Heartbleed . saya beri contoh untuk mengetahui vuln atau tidak vulnya sebuah website dengan mengecekkan "www.gantengers.web.id" pada kolom text.
- http://s3.jspenguin.org/ssltest.py - disini berisi script/naskah untuk melakukan Pentest Hearbeat TLS pada SeverWeb. Alhasil yang anda dapat adalah Information apakah Webserver anda memiliki Bug atau Tidak
- http://attack-secure.com/heartbleed.py - adalah alrternatif scripting untuk melakukan Pentest tehadap Heartbeat TLS pada WebServers.
Berikut ini adalah hasis ScreenShot dari seseorang yang melakukan Pentest terhadap bug Heartbledd pada Server yahoo "waktu masih vuln sekarang kagak" berikut gamabar yang saya ambil dari google "Proof of Concept" biasa nya anak defacer ngomongnya POC :
Cara Mengatasi Bug Heartbleed yang bersarang Di WebServer/Website Anda
Kabar gembira untuk Sys-admin cara mengatasi kebocoran informasi ini karena OpenSSL juga telah merilis Veri terbaru yaitu OpenSSL 1.0.1g yang merupakan Pembaharuan setelah Mem-patch Bug Heartbleed itu sendiri. Nah untuk teman-teman sysadmin segera melakukan upgrade OpenSSL library di dalam server kalian masing-masing dengan Ap-get,Patch,Upgradepkg atau anda sudah memiliki cara tersendiri untuk mengatasinya.
Nah kalau tidak memungkinkan saat ini untuk meng-upgrade OpenSSL yang adan gunkan ke versi terbaru 1.0.1g karena kesibukan tertentu. Saya menyarankan untuk men-disable function extinsion heartbeat dengan cara melakukan Recompile OpenSSL. silahkan anda tambahkan flag "-dopenSSL_no_heartbeats" ketika melakukan kompilasi.
/span>
Daftar Sistem Informasi yang terkena Bug Heartbleed
- Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
- Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
- CentOS 6.5, OpenSSL 1.0.1e-15
- Fedora 18, OpenSSL 1.0.1e-4
- OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mei 2012) dan 5.4 (OpenSSL 1.0.1c 10 Mei 2012)
- FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
- NetBSD 5.0.2 (OpenSSL 1.0.1e)
- OpenSUSE 12.2 (OpenSSL 1.0.1c)
Daftar Sistem Informasi yang Aman dari Bug Heartbleed
- Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
- SUSE Linux Enterprise Server
- FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
- FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
- FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
- FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)
Cara Mengatasi Vulnerability untuk Pengguna Internet.
Untuk kita sendiri tentu sering membuka website-website kesayangan kita dan ternyata website yang kita kunjungi memiliki Bug Heartbleed yang membahayakan sangat disayangkan bukan? nah cara menguatasinya kalian bisa menggunakan Extensi dari Google Chrome yang memberi Pesan Peringatan pada Browser kalian kalau website yang kalian Kunjungi tersebut Masih tedapat Bug atau Vuln terhadap Heartbleed.berikut ini pesan singkat yang bisa anda jadikan renungan
Bug Heartbleed memampukan siapa saja untuk membaca memori sistem yang dilindungi oleh versi rentan software OpenSSL.
Sekian Pembahasan Singkat mengenai Temuan Bug “Heartbeat” pada OpenSSL (HeartBleed) semoga apa yang saya tulis ulang dari beberapa sumber diatas memberikan penjelasan yang cukup untuk kita semua agar terhindar dari Bug Heartbleed ini. nah jika saya ada salah ucap maupun kata saya mohon maaf dan kepada allah saya mohon ampun jika ada tulisan saya diatas yang salah mohon diberitahu agar segera saya perbaiki dan terima kasih atas perhatiannya
0 Komentar untuk "Temuan Bug “Heartbeat” pada OpenSSL (HeartBleed)"