Video: A NEW WAY TO PICK UP PLASTIC EMBERS WHICH IS LEAKED, CAN ALSO NAMBAL FIBER OR BOAT (Desember 2024)
Pada bulan April, kami mengetahui bahwa bug di pustaka kode OpenSSL yang populer dapat memungkinkan penyerang untuk mengambil memori dari server yang seharusnya aman, berpotensi menangkap kredensial login, kunci pribadi, dan banyak lagi. Dijuluki "Heartbleed", bug ini ada selama bertahun-tahun sebelum ditemukan. Sebagian besar diskusi tentang bug ini mengasumsikan bahwa peretas akan menggunakannya terhadap server yang aman. Namun, laporan baru menunjukkan bahwa itu dapat dengan mudah dieksploitasi di kedua server dan titik akhir yang menjalankan Linux dan Android.
Luis Grangeia, seorang peneliti di SysValue, menciptakan perpustakaan kode bukti konsep yang ia sebut "Cupid." Cupid terdiri dari dua tambalan untuk pustaka kode Linux yang ada. Satu memungkinkan "server jahat" untuk mengeksploitasi Heartbleed pada klien Linux dan Android yang rentan, sementara yang lain memungkinkan "klien jahat" untuk menyerang server Linux. Grangeia telah membuat kode sumber tersedia secara bebas, dengan harapan bahwa peneliti lain akan bergabung untuk mempelajari lebih lanjut tentang jenis serangan apa yang mungkin terjadi.
Tidak Semua Rentan
Cupid secara khusus bekerja melawan jaringan nirkabel yang menggunakan Extensible Authentication Protocol (EAP). Router nirkabel di rumah Anda hampir pasti tidak menggunakan EAP, tetapi sebagian besar solusi tingkat Enterprise melakukannya. Menurut Grangeia, bahkan beberapa jaringan kabel menggunakan EAP dan karenanya akan rentan.
Sistem yang ditambal dengan kode Cupid memiliki tiga peluang untuk mengambil data dari memori korban. Itu dapat menyerang bahkan sebelum sambungan aman dibuat, yang agak mengkhawatirkan. Ia dapat menyerang setelah jabat tangan yang memastikan keamanan. Atau dapat menyerang setelah data aplikasi dibagikan.
Adapun apa yang dapat ditangkap oleh perangkat yang dilengkapi Cupid, Grangeia belum secara luas menentukan hal itu, meskipun "inspeksi sepintas menemukan hal-hal menarik pada klien dan server yang rentan." Apakah "hal menarik" ini mungkin termasuk kunci pribadi atau kredensial pengguna belum diketahui. Bagian dari alasan untuk merilis kode sumber adalah untuk mendapatkan lebih banyak otak yang bekerja untuk menemukan rincian tersebut.
Apa yang bisa kau lakukan?
Android 4.1.0 dan 4.1.1 keduanya menggunakan versi OpenSSL yang rentan. Menurut laporan dari Bluebox, versi selanjutnya secara teknis rentan, tetapi sistem pesan detak jantung dinonaktifkan, sehingga Heartbleed tidak dapat dieksploitasi.
Jika perangkat Android Anda menjalankan 4.1.0 atau 4.1.1, perbarui jika mungkin. Jika tidak, Grangeia menyarankan bahwa "Anda harus menghindari koneksi ke jaringan nirkabel yang tidak dikenal kecuali Anda memutakhirkan ROM Anda."
Sistem Linux yang terhubung melalui nirkabel rentan kecuali OpenSSL telah ditambal. Mereka yang menggunakan sistem tersebut harus memeriksa ulang untuk memastikan tambalan itu ada.
Sedangkan untuk jaringan perusahaan yang menggunakan EAP, Grangeia menyarankan mereka mendapatkan sistem yang diuji oleh SysValue atau agensi lain.
Mac, kotak Windows, dan perangkat iOS tidak terpengaruh. Untuk sekali ini, Linux yang bermasalah. Anda dapat membaca posting lengkap Grangeia di sini atau melihat presentasi rangkai salindia di sini. Jika Anda seorang peneliti sendiri, Anda mungkin ingin mengambil kode dan melakukan sedikit percobaan.