Video: Heartbleed Exploit - Discovery & Exploitation (Oktober 2024)
Berita minggu ini telah didominasi oleh diskusi tentang bug Heartbleed, yang memungkinkan peretas mengambil data langsung dari memori server aman yang terpengaruh. Data yang diambil dapat mencakup kunci enkripsi, kata sandi, dan data apa pun yang dikirim melalui saluran HTTPS yang seharusnya aman. Bug telah ada selama lebih dari dua tahun, dan karena serangan itu tidak meninggalkan jejak, kami tidak tahu berapa banyak itu telah dieksploitasi.
Siapa yang Rentan?
Penyihir kata sandi di LastPass telah menambahkan kerutan baru ke laporan Pemeriksaan Keamanan produk. Sekarang, selain menandai kata sandi yang lemah dan duplikat, itu mencantumkan situs yang Anda simpan yang rentan terhadap Heartbleed. Saya meminta sejumlah pengguna LastPass untuk mengirimi saya hasil laporan itu, hanya untuk mengetahui apa yang ada di luar sana.
Saya memiliki lebih dari 200 kata sandi yang disimpan di LastPass sendiri. Hanya enam dari mereka yang dilaporkan rentan, dan dua sudah ditambal. Menambahkan hasil dari kolega saya, saya melihat 50 situs rentan, dengan 30 di antaranya masih belum ditambal.
Laporan LastPass merekomendasikan Anda mengubah kata sandi Anda untuk situs yang telah ditambal untuk memperbaiki bug. Bagi yang lain, disarankan menunggu sampai setelah situs mengumumkan pembaruan, karena kata sandi baru Anda masih rentan. Bagi saya sendiri, saya sarankan menggunakan Heartbleed sebagai panggilan bangun untuk mengubah semua kata sandi Anda, memastikan setiap kata sandi itu kuat dan tidak ada dua situs yang menggunakan kata sandi yang sama. Anda harus mengganti kata sandi untuk situs yang masih rentan lagi setelah diperbaiki, tetapi mengubah semuanya sekarang meminimalkan potensi paparan.
Toko Top
Untuk pandangan lain, saya mengambil 20 situs belanja paling populer Alexa dan menjalankannya melalui beberapa tes online. Peneliti Filippo Valsorda menciptakan tes tidak lama setelah berita Heartbleed pecah. LastPass juga menyelenggarakan tes berdasarkan permintaan
Saya menemukan hasil tes Valsord agak membingungkan. Tes mengembalikan pesan kesalahan seperti "pipa rusak" atau "batas waktu i / o" untuk lima dari 20 situs yang saya coba. Sembilan situs mendapatkan tagihan kesehatan yang bersih, karena tes melaporkan mereka "tetap atau tidak terpengaruh." Enam yang tersisa mengembalikan pesan kesalahan karena fakta bahwa koneksi dialihkan ke jaringan pengiriman konten, dan sertifikat CDN tidak cocok dengan domain yang saya masukkan. Mencentang kotak untuk mengabaikan sertifikat mendapatkan semua ini hasil "tetap atau tidak terpengaruh", tetapi halaman pengujian memperingatkan ini mungkin hasil yang salah.
Halaman pengujian yang disediakan oleh LastPass memberikan lebih banyak informasi. Ini melaporkan sepuluh situs sebagai mungkin tidak aman. Itu berarti tes tidak dapat menentukan apakah situs tersebut menggunakan OpenSSL atau tidak, pustaka crypto yang dipengaruhi oleh bug Heartbleed. Empat situs itu mungkin rentan, karena mereka menggunakan OpenSSL, dan dua di antaranya sekarang aman. Empat situs lain jelas tidak rentan, dan satu yang pasti rentan sekarang aman. Hanya menyisakan satu situs yang tidak dapat dianalisis karena kesalahan koneksi.
Penguji LastPass Heartbleed juga melaporkan bagaimana baru-baru ini setiap sertifikat SSL situs diubah. Sertifikat yang berubah tak lama setelah berita tentang Heartbleed pecah adalah indikasi yang cukup bagus bahwa situs tersebut terpengaruh tetapi sekarang aman.
Sedangkan untuk semua situs yang statusnya tidak jelas, taruhan terbaik Anda adalah menunggu pengumuman dari situs itu sendiri. Berhati-hatilah. Jangan klik tautan setel ulang kata sandi yang Anda terima dalam surel, karena beberapa di antaranya adalah penipuan. Arahkan langsung ke situs, ubah kata sandi Anda, dan pastikan pengelola kata sandi Anda menerima perubahan itu.
Ikuti perkembangan liputan bug Heartbleed PCMag di sini.
