Week 4
Daftar Isi:
Hampir 70 persen lalu lintas di Internet menggunakan OpenSSL untuk mengamankan transfer data. Itu berarti hampir semua server utama (baca: situs web) menggunakan OpenSSL untuk mengamankan data Anda seperti kredensial login. Namun, seseorang dari Google menemukan bug di OpenSSL - kesalahan pemrograman kecil tetapi cukup besar untuk memberikan data Anda kepada peretas - orang yang bersedia menggunakan data Anda untuk tujuan mereka. Bug OpenSSL ini dinamai Heartbleed karena terkait erat dengan beberapa lapisan HeartBeat dari OpenSLL.
Apa yang Heartbleed Bug
Sebagian besar server menerima data terenkripsi, dekode menggunakan kunci enkripsi dan meneruskan untuk diproses. Karena sebagian besar server menggunakan metode FIFO (First in First Out) untuk melayani pengguna akhir, sering kali, data (setelah dekripsi) duduk di memori server untuk sementara waktu sebelum server mengambilnya untuk diproses lebih lanjut.
Bug yang dihancurkan adalah kasus khawatir untuk hampir semua situs komersial berbasis Internet dan beberapa jenis lainnya. Kesalahan pemrograman ini memungkinkan peretas untuk memeriksa server apa pun yang menggunakan OpenSSL dan membaca / menyimpan / menggunakan data yang tidak terenkripsi (data yang didekripsi). Peretas sekarang tidak hanya memiliki akses ke data Anda, mereka dapat mereproduksi sertifikat situs web yang membuat Internet, bahkan tempat yang lebih berbahaya. Dengan salinan sertifikat situs web, peretas dapat membuat situs mimik: situs yang terlihat mirip dengan situs asli. Dengan itu, mereka dapat lebih jauh mengakses data Anda seperti detail kartu kredit, informasi pribadi, dll.
Suara itu menakutkan, bukan? Hal ini - memang - karena dapat mengakses informasi Anda dan informasi itu dapat digunakan untuk tujuan apa pun.
Catatan : Heartbleed juga memiliki nama kode CVE-2014-0160. CVE adalah singkatan dari Kerentanan dan Eksposur Umum. Kode-kode ini terkait dengan kerentanan dll. Diberikan oleh MITRE, sebuah badan independen yang menyimpan jejak bug dan masalah yang serupa.
Haruskah saya meningkatkan Anti-Virus saya atau sesuatu
Bug Heartbleed di OpenSSL tidak ada hubungannya dengan antivirus atau firewall Anda. Ini bukan masalah sampingan klien sehingga Anda dapat melakukan sedikit tentang hal itu. Di sisi lain, server harus menerapkan patch ke sistem OpenSSL yang mereka gunakan. Itu dilakukan, situs web dapat dikatakan lebih aman untuk berinteraksi.
Apa yang dapat Anda lakukan sebagai pengguna adalah untuk mengurangi jumlah kunjungan ke perdagangan dan situs serupa. Bukan karena bug hanya mempengaruhi situs perdagangan. Ini sama untuk semua jenis situs web yang menggunakan OpenSSL. Saya katakan menghindari situs perdagangan untuk sementara waktu karena mereka akan menjadi target utama bagi peretas yang menginginkan detail kartu Anda, dll. Artinya target utama peretas adalah situs e-niaga menggunakan OpenSSL.
Setelah Anda menerima pesan / laporkan bahwa bug sudah diperbaiki, Anda dapat melanjutkan seperti yang biasa Anda lakukan sebelum bug ditemukan. OpenSSL telah membuat patch dan telah merilisnya untuk pemilik situs web untuk mengamankan data pengguna mereka. Sampai saat itu, cobalah untuk menghindari situs di mana Anda harus memberikan data Anda dalam bentuk apa pun - bahkan login kredensial. Saya yakin hampir semua webmaster harus masuk untuk patch tetapi masih ada masalah. Setelah Anda yakin bahwa tidak ada kerentanan atau kerentanan tersebut telah ditambal, mungkin ada baiknya untuk mengubah kata sandi Anda.
Sementara itu, gunakan ekstensi browser ini untuk memperingatkan Anda tentang situs web terpengaruh Heartbleed.
Sertifikat Situs disalin via Heartbleed perlu diatasi
Ada kemungkinan besar bahwa sertifikat keamanan situs web mungkin telah disalin untuk membuat situs web berbahaya. Karena sertifikat keamanan sebagai salinan umum, peramban Anda mungkin tidak mengetahui perbedaannya. Andalah yang harus tetap berhati-hati. Hindari mengeklik tautan dan sebagai gantinya, ketik URL situs web di bilah alamat sehingga Anda tidak dialihkan ke situs palsu.
Masalah ini dapat diselesaikan dengan dua cara:
- Browser yang tersedia di pasar harus dibuat cukup pintar untuk mengidentifikasi sertifikat yang disalin dan memperingatkan Anda.
- Para webmaster mengubah sertifikat setelah menerapkan patch.
Dengan kata lain, perlu waktu untuk menerapkan di atas meskipun webmaster menerapkan patch. Saya ingin menegaskan kembali bahwa jangan klik tautan di email atau situs web yang tidak terkenal. Cukup, ketikkan URL ke dalam bilah alamat atau jika situs asli diberi bookmark, gunakan bookmark.
Bagian Referensi di bagian akhir artikel ini berisi daftar situs web yang terpengaruh yang tidak lengkap. Tidak lengkap karena mungkin ada lebih banyak situs web yang terpengaruh daripada yang terdaftar di sana.
Referensi:
- Heart Bleed: Situs Web
- OpenSSL: Penasihat Keamanan Untuk Pendarahan Jantung
- Git Hub: Daftar Situs Web yang Terkena Dampak.
Apa itu Safe Mode di Windows? Apa saja jenis Safe Mode yang berbeda?
Apa itu Safe Mode di Windows & apa saja jenis Safe Mode yang berbeda - seperti Safe Mode, Safe Mode with Networking atau dengan Command Prompt. Mari kita lihat di sini!
Apa itu bug keamanan ssl di ios dan mac dan bagaimana cara menambalnya
Menjelaskan: Apa itu Bug Keamanan SSL di iOS dan Mac Dan Bagaimana Cara Menambalnya dan Tetap Aman.
Apa itu krack dan apa yang harus Anda lakukan untuk menjaga sistem Anda aman dari itu
Dengan Krack, protokol keamanan WPA dianggap tidak berguna dan siapa pun dapat mengeksploitasi sistem Anda untuk melihat apa yang dibagikan atau apa yang Anda lihat di Internet.