2017 2018 4G add-ons Aiarty Image Enhancer Android apbn App Apple Application arabic Archaeology Argentina Arrest warrant Arrow keys Artificial Intelligence Artikel Arus Kas aset kripto Asia Assange Associated Press Aston Martin Aston Martin One-77 Astronomical unit Asyar Atlantis Audi Audi A5 Audi Q7 Australia Austria auto like Automobile Autos Avaya Device Manager Azwar Abubakar B. J. Habibie bacaan tahlil Bachelor's degree Backup badan pengawasan obat bius Badan Pusat Statistik Badanan Bagi Bali Ballmer Bandung Bandwidth Tests Bangkalan Bank Indonesia Banner Baptists Barack Obama Barbie Baru BASIC bbc Beauty pageant Bedework Bedework beginner Belum Beri Berpura BI Biar Biasanya Bilbo Baggins bima sakti Binance Bisnis Bitcoin Biz Stone BJ Habibie BKN BKPM BlackBerry BlackBerry PlayBook Blackpool Blog Blogger Blogger help Blur (band) BNI BNN Bob Hasan Boeing Bogor Bom BonJovi Bonus 1GB Bonus Data Bonus Smartfren Borobudur BPK Brain Bridget Firtle Britney Spears Broadband Broadband Internet access Browser Brunei Bruno Mars Brussels BSE Buah Ape Bubarkan PKS Buddhism Budidaya Buenos Aires Bugatti Veyron BugattiVeyron Bugzilla Bukittinggi bumi Bureau of Labor Statistics Burma Busdiness Business Business and Economy Business school BY COUNTRY Cable television Calendar California capres 2014 Car Cara Cara Mencari Kerja Cara Menjual Diri Cara Menulis Cara Menulis Resume cars Cascading Style Sheets Cash conversion cycle CBS News CCC CD ripper CDDB Central Authentication Service Central Java Chairul Saleh Chania Chat room Chester Chief Digital Offers Chief marketing officer Chile China Cho Kyuhyun Chris Johns Christine Quinn Chuck Hagel Cisco PIX City Classified information Clients Climate change Clothing CMO CMOs cms CNET.com CNN Coba CoffeeScript Cognition Collecting Colleges and Universities Colotomy Combinatorics Community Compact Disc Companies Company Comparison of antivirus software Computer crime Computer file Computers and Internet Connect Content management system Contoh Proposal Control key Corruption Eradication Commission Counties CPN CPNS CPNS 2013 Crack epidemic (United States) Create Crime Cryptocurrency CSS Current account Customer Customer service CV DA2 Daerah Dalam Dalat Dalcroze Eurhythmics Dallas Dan Dan (rank) Dangdut Academy2 Dangdut Akademi2 Daniel Tal Daniele De Rossi Danny Quirk Dari Data center Data Communications Database administrator Dating Daun kelor Dead Space 2 Death Debu Decision making Default (finance) Definisi Deforestation in Indonesia Dell Dell inspiron N4010 Drivers For Windows 7 (32bit) Democracy Democratic Design & Printing Dessau Device driver Device Drivers devisit Dick Costolo Digital Clock Digital distribution Digital marketing Digital photography Digital Subscriber Line Digital System Dire Straits Disk Management Distilleries DNS DNS hosting service DNS Server Dolls Domain name Domain Name System Dompet Donald Benek DoubleClick DoubleClick Insights Dow Jones Industrial Average download Download Driver LapTop Download manager DownThemAll DPR driver canon Drivers Drupal Drupal Planet Dubai Duduk Duhur Dunayevskaya Raya DVD Dynamic Views E-book East Java East Nusa Tenggara Economy ecstasy Education Edward Snowden Efficient Cars Eid al-Adha Eid al-Fitr Eid ul-Fitr Ekonomi Embassies and Consulates Embraer Regional Jet Émile Jaques-Dalcroze Employee Empowerment Employment Enable Flas Player Energy Alternatif Energy minister Entertainment EPUB Eropa Erwin Arnada European Central Bank European Commission European Parliament European Union Evan Williams Evi Juara DA2 Evi Masamba Evil Bong EXO exo planet expensive expensive cars expensive cars 2013 expensive cars speed Experience point F. W. de Klerk Facebook Facebook Graph Search Fashion Federal Reserve System Ferrari Ferrari 458 Italia Ferrari Enzo FIA Fianna Fáil File Management File Transfer Protocol Filipina Financial Aid Firefox Firefox 3.5 Firefox 3.6 FLAC Flas Player Flax Flipcard Floor trader FM Transmitter font Food and Drink Foods Ford Fusion Forest FPI Fred Phelps Free Free content free hosting Free Proxy Free Proxy Lists FreeDB FreeSat TV Freeware Frekuensi friend FriendFeed Fujian Gallery Game design Games Ganjar Garuda Garuda Indonesia Gaussian blur Gautama Buddha Gaya Hidup Gaza Gerindra Germany Daun Ghalib Github Global navigation satellite system Global Newsbeat Global Redirect Glossarium Glutinous rice Gmail GNU General Public License Golden Globe Award Goldman Sachs Golkar Google Google Analytics Google Docs Google Friend Connect Google Search Google Translate Google+ Government Government Issues Grafena Graffiti Grand Final DA2 Grandma Grandparent Graph Search Graphic Design Graphics Graphics processing unit Gratis Greasemonkey Greenhouse gas GROW Guy Rosen GYM Habibie Hacker Hagel Hagen Haiti Hal Halley Halley's Comet Hallo Halloween Hambalang Hamster Handhelds Hank Johnson Hard disk drive Hardware Hari Hars Haryono Suyono HCL Technologies Helmi Johannes Hendarman Supandji Hennessey Venom GT heroin Hewlett-Packard Hibrid High-definition television Hindia Belanda History History of Java Hitung Mundur Pilkada Hobbit Holly Qur'an Hollywood Home Honda Honda Accord Hongkong Hosted Proxy Services Hosting hosting gratis Hosts HOTBISNIS HotBot HOTINFO Hotmail How Search Works How To HTML HTML element HTTP cookie HTTP Secure HTTrack Huffington Post Hulu Human resources Humboldt huruf Hypertext Transfer Protocol Hyundai Sonata Ian Richardson Ibukota Baru ICQ Idaho Falls Idul Adha Idul Fitri Idul Fitri 1435H Ijin Iklan iMacros Image Imsak Income India Indonesia Indonesian Aerospace Indonesian Democratic Party – Struggle Indonesian National Armed Forces Indonesian rupiah Indonesian Ulema Council Indosiar Indro Infiniti Information retrieval Information Technology inggris INI file Ink cartridge Inkatha Freedom Party inovator Insomnia Inspiron Instant messaging Insulators Intel Core Intel Core i7 Intel Corporation intermediate Internal internasional International Monetary Fund International Whaling Commission InternationalSpaceStation Internet Internet access Internet Connect Internet Download Manager Internet Explorer Internet Gratis Internet Phone Internet Protocol Internet safety Internet service provider Internet television Investigasi Investing Investor Investor Awal IOS IP address ip2700 IPad IPhone iPhone terbaik IPsec Iptek Iran Iron Man 3 Islam Islamic Defender Front Islamic Defenders Front Israel Isya Jack Dorsey Jacques-Dalcroze JADWAL IMSAK 2016 JADWAL SELEKSI CPNS Jakarta Jakarta Globe James Brooke Jamur Tiram Japan Jateng Java Java Development Kit Java version history Java virtual machine JavaScript Jawa Timur Jendela jenis proxy Jika Jika Anda jobs Joe Biden Johannesburg Join the Conversation Joko Widodo Jokowi Joseph McBrennan JPEG JRE Juara DA2 Juara Dangdut Akademi 2 Juga Juli Julian Assange Juru Justin Timberlake Jusuf Kalla Kalau Kali Kam Kami Kapal Selam Karena Kata Keamanan Kedua kehidupan Kekuatan sinyal Kelas 3 Kemanusiaan Yang Adil dan Beradab Kenapa Kepemimpinan Kesehatan Kesra Ketiga Ketika Ketuhanan Yang Maha Esa Ketupat Kíla Kilas VOA Kinetic Energy Recovery System Kini Kita Knowledge Graph Koenigsegg Koenigsegg Agera Koenigsegg CCX Koenigsegg CCXR Koenigsegg Trevita kokain Komet Koneksi nirkabel Konflik Konser Kemenangan DA2 Konsultasi Korea koruptor Kota Rajasthan KPU kriminal Kripto Krishna Kristiani Herawati Krystal Jung KSPI Kung Fu Kupang l Sony Lagu Evi Masamba Lamborghini Lamborghini Aventador Lamborghini Reventón land grabs Languages Laporan Arus Kas Laporan Keuangan Layer 2 Tunneling Protocol LCGC LEBARAN Lemsaneg Leopard Let Me Try Libre knowledge like Likuiditas link Link Building link friend linkedin Linux List of Buddhist temples List of countries by oil production List of Empire ships (Sa–Sh) List of PDF software List of petroleum companies LittleBigPlanet LittleBigPlanet 2 Lodging Login Lokal Lord of the Rings Los Angeles Lost Civilizations Mac OS X Mac OS X Leopard Macintosh Macklemore MacOS Magelang Maghrib Maharaja Mailing list Majapahit makanan Makes and Models Malang Malaysia Malicious Software Maná Management Manajemen Manajemen Perubahan Mandela Marc Brackett Marine biology Marine Ecology Progress Series Mario Mark Zuckerberg Market News Market sentiment Marketing Marketing and Advertising Marketing Team Martial Arts Masehi Massachusetts Mata Uang Kripto mata-mata matahari Matematika Math Mbah Google McLaren McLaren F1 McLaren P1 media query MediaTek Megabyte Megawati Megawati Sukarnoputri Membaca Neraca Memory Fox Menjebol Neraca Menulis CV Merdeka Meta Meta element Meta Tags Meteor shower Meteoroid Michael Bloomberg Microsoft Microsoft Internet Explorer Microsoft PowerPoint Microsoft Windows Middle East Mikheil Saakashvili MikroTik Miley Cyrus Military Militer Minta Maaf mirror web Miss World Miss World 2013 Missions mlm Mobil Murah Mobile application development Mobile Computing Mobile device Mobipocket Mobutu Sese Seko Modal Kerja Model Paradigma Budaya Mohammad Hatta MOHON MAAF LAHIR DAN BATHIN Monorail Moon Moscow most expensive most expensive cars Motion Design Motivasi Motivation Movies Mozilla Mozilla Firefox Mozilla Project MP3 Mpu Prapanca MS-CHAP MSN MSN Messenger MTV Video Music Award Muara Hati Multifunction printer Multimedia Murah Mural Music Music and Audio Music roll Muslim my blog My Telkomsel Myanmar N4010 Nagarakretagama Nagasaki Name server Namun NASA Nasional National Football League National Geographic National Monument National Security Agency Nature Negara Nelson Mandela Neraca Netscape Network Network Connection New South Wales New York New York City New York City Police Department New York Stock Exchange New York Times News Nigel Dessau Niger Nigeria Nissan Altima Nobel Peace Prize Norwegian Media Authority Notepad Notepad++ November NSA NTLM NU Nudi Nürburgring Nusa Dua Nusantara NYSE NYSE Euronext NYX obat bius sintetik offline browser Ogg Onavo Online online business Online Communities Online dating service Online Education Online shopping Ookla OPEC Open Europe Open source Opera Mobile Operating system Operating Systems opium Oppa Optical fiber Organization Orion Orionid Orton Orton Effect OS X OS-2 Otomotif Owneys Rum Pada Pada (foot) Pagani Zonda PageRank PageSpeed Pakistan Pala Empire Palestina Palestinian people palm oil Pancasila Panduan Panel Para Partai Demokrat Pathauto Pay per click PayPal pbb PC Plus Peat Pelajaran Bsnis pemasaran Pembinaan Pemenang DA2 Pemilu Pen Qur'an Pendampingan Pendorong Pengetahuan Peningkatan Gambar AI Peningkatan Kualitas Gambar Peninsula Valdes Penipuan Penyakit Berbahaya penyelidikan Penyiaran People People's Justice Party (Malaysia) Perangkat Lunak Pengolah Foto Perilaku Persatuan Indonesia Personal computer Personal Learning Network Personally identifiable information Personals Pertama Pertamina Pertukaran pertukaran kripto Peru Perusahaan Listrik Negara Pesawat Tak Berawak Peter Godwin Peternakan Petroleum Petroleum industry Philippines Phnom Penh Phone Photograph PHP Piano Picasa Picasa Web Albums Picnik PILGUB PILGUB 2018 PILGUB JATENG PILKADA PILKADA SERENTAK 2018 Pilpres Pilpres 2014 PKS Korupsi PKS Sarang Koruptor planet Platforms Playboy Playboy Indonesia PlayStation PlayStation 3 PLN Plone Plug-in (computing) Pluit Point-to-Point Tunneling Protocol Pokki Policy Political Philosophers Political Philosophy Political Science Ponsel ponsel terbaik Porsche 918 Portable Document Format Portlet PostgreSQL Postmedia News Pownce PPTP PQ 12 PQ 15 Prabowo Subianto Prajogo Pangestu Prambanan Pratt Institute Presiden Susilo Bambang Yudhoyono Primera Capital print Print Design printer printer 3d Product placement Profesional Programming Promo Promote Promotion Proposal Usaha Prose Protocols Provinces Proxify Proxy server Proxying and Filtering Przedsiębiorstwo Komunikacji Samochodowej Public DNS Publik Publishing Publishing and Printing Pulang2 Ganteng Pulau Jawa Purnomo Yusgiantoro Python Qualcomm Quantum Leap Qur'an Digital Quran Rabu 18 Desember 2013 Radio Rakernas Ramadan Randall Miller ransomware Rape Rasio Likuiditas Recreation Reducing Emissions from Deforestation and Forest Degradation Registry cleaner Regulasi Rekap Pilpres 2014 Relationship Religion and Spirituality Repost Resolusi Gambar Tinggi Resume Resumes and Portfolios Retirement Reuters RF Power Amplifier Rheinmetall Riau Ridwan Robert Kiyosaki Robin Thicke Roboform Roi Tiger Roundtable on Sustainable Palm Oil RTC RTT News rum Rumah Rusia Sabu Safari Salah Sales Sam Hall Samsung Sandy Bridge Sangat (term) Sani Abacha Sapta Pesona satelit Satu Saving Money SBY Puas Scam Scholarship Scintilla Scripts SCTV (Indonesia) SD Sea Lines of Communication Search Search engine optimization Search Engines Searching Secure Socket Tunneling Protocol Security Sejuk Sekolah Olahraga Nasional SELAMAT HARI RAYA IDUL FITRI 1434H Selamat Idul Fitri Selanjutnya SELEKSI CPNS Semarang seo seo service online Seoul September 2013 Serbia Sergei Krikalev Server Sesungguhnya Shareware Shopping Shopping mall Short Shwedagon Pagoda Siaran Silvio Berlusconi Sime Darby Singapore Single Evi Masamba Single sign-on Site map Site Submission Sitemap skema investasi SlideShare Slideshow SM Entertainment Smartphone Smartphones Smarty Smaug SMV SMV FreeSat TV social bookmark Social media Social Network Social Networking Social Sciences Society Soeharto Soekarno software Software Peningkatan Gambar Solar sail Sosial South Africa Southeast Asia Southern right whale Soviet Union Soweto Space Space Shuttle Discovery Speedtest.net SPN Sports Sports car Sriwijaya Air SSL Stanford University States and Divisions Statistics Indonesia Stephan Winkelmann Stereo FM Transmitter Steve Ballmer Steve McQueen Steven Sinofsky Stock Exchange of Singapore Stock market Streaming media Student Subscriber Identity Module Subuh Suharto Sukanto Tanoto Sukhoi Sumatra Sumatra PDF Super Bowl Superior mesenteric artery Surabaya Surat Susan Boyle Susilo Bambang Yudhoyono Swasta Sweden Switzerland system backup image System Restore T-shirt Tablet Taeyeon tahlil tahlilan Taipan Daily Taiwan Tanah Abang Tapi tata surya Tatto Taylor Swift TeachMeet TechCrunch technology Teknologi Teknologi Kecerdasan Buatan teks tahlil Tel Aviv Telepon Gratis Televisi Television Telkomsel Telstra Template Designer Templates Temporary Internet Files Teori Keuangan Terkenal Ternak Ternak Belut Territorial Disputes Test Testing and Tools Tf–idf Thailand The Noble Experiment Things You Didn't Know About... ThinkPad Thomas Tiffany Tiga Timeline Timor Timor Leste Timur Timur Tengah Tips Tips Kesehatan Title Tommy Suharto Tony Abbott Toolbar Tools Toyota Toyota Camry Toys Toys and Games Traffic collision Translation Transmitter Transport Layer Security Travel Travel and Tourism trik blog Trowulan Tujuan Wisata tutorial tvone Twentieth Century Twitter U.S. Economy Uang Baru Ulang Tahun Ultraviolet Undang Undang Undang Desa Uniform resource locator United Arab Emirates United States United States Secretary of Defense Universities University of Utah unlimited hosting free Unmanned Untuk update Uploading and downloading UPortal Usaha USB Flash Drive Ustad Ustaz utility UU Desa Valuasi Saham Veggies verification Verizon Fios Veto Video Video game Video Games Virginia Virtual private network virus Vista Vitamin VOA VOA News Voice of America VOIP Volkswagen Group Volkswagen Passat Voltage Regulator VPN VPN Connection Waktu Sholat Washington Washington DC WAV Web browser Web cache Web content management system Web Design Web Design and Development Web directory web hosting Web proxy web robot Web search engine Web server Web traffic webmaster tools Website Website Reviews Weekly welcome West Sumatra WETA Digital Whitney Houston Wi-Fi Wibiya Wifi wiki WikiLeak Wikileaks Wikimania Wikimedia Commons Wikimedia Foundation Wilayah Winamp Window 8 Windows Windows 10 Windows 11 Windows 2000 Windows 7 Windows 8 windows 8 backup Windows 8.1 Windows 95 Windows 98 Windows 9x Windows API Windows Media Audio Windows Mobile Windows NT Windows Phone Windows Phone 7 Windows Registry Windows startup process Windows Update Windows Vista Windows XP Wiranto Wireless Data Wisata WordPress World bank Writer Writing x factor Xiaomi Mi5 XML Yahoo Yahoo Messenger Yangon Yogyakarta Yossi Vardi YouTube Yuri Gagarin Zaskia Zemanta ZIP (file format) Zoner Photo Studio ZTE

Bug Heartbleed

Bug Heartbleed

The Heartbleed Bug

The Heartbleed Bug adalah kerentanan serius dalam OpenSSL perpustakaan perangkat lunak populer kriptografi. Kelemahan ini memungkinkan mencuri informasi yang dilindungi, dalam kondisi normal, dengan enkripsi SSL / TLS digunakan untuk mengamankan Internet. SSL / TLS memberikan keamanan dan privasi komunikasi melalui Internet untuk aplikasi seperti web, email, instant messaging (IM) dan beberapa jaringan pribadi virtual (VPN).
The Heartbleed bug memungkinkan setiap orang di Internet untuk membaca memori sistem dilindungi oleh versi rentan dari perangkat lunak OpenSSL. Ini kompromi kunci rahasia yang digunakan untuk mengidentifikasi penyedia layanan dan untuk mengenkripsi lalu lintas, nama dan password pengguna dan konten yang sebenarnya. Hal ini memungkinkan penyerang untuk menguping komunikasi, mencuri data langsung dari layanan dan pengguna dan untuk meniru layanan dan pengguna.

Apa kebocoran dalam praktek?

Kami telah menguji beberapa layanan kita sendiri dari perspektif penyerang. Kami menyerang diri kita sendiri dari luar, tanpa meninggalkan jejak. Tanpa menggunakan informasi rahasia atau kredensial kami mampu mencuri dari diri kita sendiri kunci rahasia yang digunakan untuk sertifikat X.509 kami, nama pengguna dan password, pesan instan, email dan dokumen bisnis penting dan komunikasi.

Bagaimana menghentikan kebocoran?

Selama versi rentan OpenSSL sedang digunakan dapat disalahgunakan. Tetap OpenSSL telah dirilis dan sekarang itu harus dikerahkan. Vendor sistem operasi dan distribusi, vendor alat, vendor software independen harus mengadopsi memperbaiki dan memberitahu pengguna mereka. Penyedia layanan dan pengguna harus menginstal perbaikan seperti yang tersedia untuk sistem operasi, peralatan jaringan dan perangkat lunak yang mereka gunakan.

Q & A

Apa CVE-2014-0160?

CVE-2014-0160 adalah acuan resmi untuk bug ini. CVE (Common kerentanan dan Eksposur) adalah Standar untuk Keamanan Informasi Nama Kerentanan dikelola oleh MITRE . Karena penemuan co-insiden duplikat CVE, CVE-2014-0346, yang ditugaskan kepada kami, tidak boleh digunakan, karena orang lain secara mandiri go public dengan identifier CVE-2014-0160.

Mengapa disebut Bug Heartbleed?

Bug adalah dalam pelaksanaannya OpenSSL tentang perpanjangan TLS / DTLS (protokol keamanan lapisan transport) detak jantung (RFC6520). Ketika itu dieksploitasi itu mengarah ke kebocoran isi memori dari server ke klien dan dari klien ke server.

Apa yang membuat Bug Heartbleed unik?

Bug dalam perangkat lunak tunggal atau perpustakaan datang dan pergi dan ditetapkan oleh versi baru. Namun bug ini telah meninggalkan sejumlah besar kunci pribadi dan rahasia lain terhubung ke Internet. Mengingat eksposur panjang, kemudahan eksploitasi dan serangan tanpa meninggalkan jejak paparan ini harus ditanggapi dengan serius.

Apakah ini cacat desain di SSL / TLS protokol spesifikasi?

Nomor ini adalah masalah implementasi, yaitu kesalahan pemrograman di perpustakaan OpenSSL populer yang menyediakan layanan kriptografi seperti SSL / TLS untuk aplikasi dan layanan.

Apa yang sedang bocor?

Enkripsi digunakan untuk melindungi rahasia yang dapat membahayakan privasi atau keamanan jika mereka bocor. Dalam rangka mengkoordinasikan pemulihan dari bug ini kita telah diklasifikasikan rahasia dikompromikan untuk empat kategori: 1) bahan primary key, 2) bahan utama sekunder dan 3) konten yang dilindungi dan 4) jaminan.

Apa yang bocor bahan primary key dan bagaimana memulihkan?

Ini adalah permata mahkota, kunci enkripsi sendiri. Bocoran kunci rahasia memungkinkan penyerang untuk mendekripsi lalu lintas masa lalu dan masa depan untuk layanan dilindungi dan untuk menyamar sebagai layanan di akan. Perlindungan yang diberikan oleh enkripsi dan tanda tangan di sertifikat X.509 dapat dilewati. Pemulihan dari kebocoran ini membutuhkan menambal kerentanan, pencabutan kunci dikompromikan dan penerbitan kembali dan mendistribusikan kunci baru. Bahkan melakukan semua ini masih akan meninggalkan lalu lintas dicegat oleh penyerang di masa lalu masih rentan terhadap dekripsi. Semua ini harus dilakukan oleh pemilik layanan.

Apa yang bocor bahan kunci sekunder dan bagaimana memulihkan?

Ini adalah contoh kredensial pengguna (nama pengguna dan password) yang digunakan dalam layanan yang rentan. Pemulihan dari kebocoran ini membutuhkan pemilik layanan pertama untuk memulihkan kepercayaan ke layanan tersebut sesuai dengan langkah-langkah yang dijelaskan di atas. Setelah pengguna ini dapat mulai mengubah password mereka dan kunci enkripsi yang mungkin sesuai dengan petunjuk dari pemilik layanan yang telah dikompromikan. Semua kunci sesi dan cookie session harus dibatalkan dan dianggap dikompromikan.

Apa yang bocor konten yang dilindungi dan bagaimana memulihkan?

Ini adalah konten yang sebenarnya ditangani oleh layanan yang rentan. Ini mungkin pribadi atau keuangan rincian, komunikasi pribadi seperti email atau pesan instan, dokumen atau apa pun yang terlihat layak dilindungi oleh enkripsi. Hanya pemilik layanan akan dapat memperkirakan kemungkinan apa yang telah bocor dan mereka harus memberitahukan pengguna mereka sesuai. Yang paling penting adalah untuk memulihkan kepercayaan terhadap materi kunci primer dan sekunder seperti dijelaskan di atas. Hanya ini memungkinkan penggunaan yang aman dari layanan dikompromikan di masa depan.

Apa jaminan bocor dan bagaimana memulihkan?

Agunan Bocoran adalah rincian lain yang telah terkena penyerang dalam isi memori bocor. Ini mungkin berisi rincian teknis seperti alamat memori dan langkah-langkah keamanan seperti kenari digunakan untuk melindungi terhadap serangan overflow. Ini hanya memiliki nilai kontemporer dan akan kehilangan nilai mereka kepada penyerang ketika OpenSSL telah diupgrade ke versi tetap.

Pemulihan terdengar melelahkan, apakah ada jalan pintas?

Setelah melihat apa yang kita lihat dengan "menyerang" diri kita sendiri, dengan mudah, kami memutuskan untuk mengambil ini sangat serius. Kami telah susah payah melalui menambal layanan penting kita sendiri dan berurusan dengan kemungkinan kompromi bahan kunci primer dan sekunder kita. Semua ini hanya dalam kasus kami bukan yang pertama kali menemukan ini dan ini bisa saja dimanfaatkan di alam liar sudah.

Bagaimana pencabutan dan Penerbitan kembali sertifikat bekerja dalam prakteknya?

Jika Anda adalah penyedia layanan Anda telah menandatangani sertifikat Anda dengan Certificate Authority (CA). Anda perlu memeriksa CA Anda bagaimana kunci dikompromikan dapat dicabut dan sertifikat baru diterbitkan kembali untuk kunci baru. Beberapa CA melakukan ini secara gratis, beberapa mungkin memakan biaya.

Apakah saya terkena bug?

Anda mungkin akan terpengaruh baik secara langsung maupun tidak langsung. OpenSSL adalah yang paling populer open source library kriptografi dan TLS (transport layer security) pelaksanaan digunakan untuk mengenkripsi lalu lintas di Internet. Situs Anda populer sosial, situs perusahaan Anda, commerce, situs hobi, situs Anda menginstal perangkat lunak atau bahkan dari situs yang dijalankan oleh pemerintah Anda mungkin menggunakan OpenSSL rentan. Banyak layanan online menggunakan TLS untuk kedua untuk mengidentifikasi diri mereka kepada Anda dan melindungi privasi Anda dan transaksi. Anda mungkin memiliki peralatan jaringan dengan login ini dijamin dengan implementasi kereta dari TLS. Selain itu Anda mungkin memiliki perangkat lunak sisi klien pada komputer Anda yang dapat mengekspos data dari komputer Anda jika Anda terhubung ke layanan dikompromikan.

Seberapa luas ini?

Perangkat lunak yang paling menonjol menggunakan OpenSSL adalah server web open source seperti Apache dan nginx. Pangsa pasar gabungan dari hanya dua dari situs aktif di Internet lebih dari 66% menurut Netcraft April 2014 Web Server Survey . Selanjutnya OpenSSL digunakan untuk melindungi misalnya server email (SMTP, POP dan IMAP protokol), chatting server (protokol XMPP), virtual private network (VPN SSL), peralatan jaringan dan berbagai perangkat lunak sisi klien. Untungnya banyak situs konsumen besar disimpan oleh pilihan konservatif mereka SSL / TLS peralatan terminasi dan perangkat lunak. Layanan progresif Ironisnya kecil dan lebih atau mereka yang telah upgrade ke terbaru dan enkripsi terbaik akan terpengaruh paling. Selanjutnya OpenSSL sangat populer di perangkat lunak klien dan agak populer dalam peralatan jaringan yang memiliki sebagian inersia dalam mendapatkan update.

Apa versi OpenSSL yang terpengaruh?

Status versi yang berbeda:
  • OpenSSL 1.0.1 melalui 1.0.1f (inklusif) rentan
  • OpenSSL 1.0.1g TIDAK rentan
  • OpenSSL 1.0.0 cabang TIDAK rentan
  • OpenSSL 0.9.8 cabang TIDAK rentan
Bug diperkenalkan ke OpenSSL pada Desember 2011 dan telah keluar di alam liar sejak OpenSSL 1.0.1 rilis pada tanggal 14 Maret 2012. OpenSSL 1.0.1g dirilis pada 7 April 2014 perbaikan bug.

Bagaimana umum adalah versi OpenSSL rentan?

Versi yang rentan telah keluar sana selama lebih dari dua tahun sekarang dan mereka telah dengan cepat diadopsi oleh sistem operasi modern. Sebuah faktor utama adalah bahwa TLS versi 1.1 dan 1.2 datang tersedia dengan pertama rentan versi OpenSSL (1.0.1) dan komunitas keamanan telah mendorong TLS 1.2 karena serangan sebelumnya terhadap TLS (seperti BEAST ).

Bagaimana dengan sistem operasi?

Beberapa distribusi sistem operasi yang telah dikirimkan dengan versi OpenSSL berpotensi rentan:
  • Debian Wheezy (stabil), OpenSSL 1.0.1e-2 + deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mei 2012) dan 5,4 (OpenSSL 1.0.1c 10 Mei 2012)
  • FreeBSD 10,0 - OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)
Distribusi sistem operasi dengan versi yang tidak rentan:
  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 - OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 10.0p1 - 1.0.1g OpenSSL (Pada 8 Apr 2014 18:27:46 UTC)
  • FreeBSD Ports - 1.0.1g OpenSSL (Pada 7 Apr 2014 21:46:40 UTC)

Bagaimana bisa OpenSSL diperbaiki?

Meskipun kode memperbaiki sebenarnya mungkin tampak sepele, tim OpenSSL adalah ahli dalam memperbaiki itu dengan benar sehingga versi tetap 1.0.1g atau yang lebih baru harus digunakan. Jika hal ini tidak mungkin pengembang perangkat lunak dapat mengkompilasi ulang OpenSSL dengan jabat tangan dihapus dari kode dengan waktu kompilasi opsi -DOPENSSL_NO_HEARTBEATS .

Harus detak jantung dihapus untuk membantu dalam deteksi layanan yang rentan?

Pemulihan dari bug ini mungkin telah diuntungkan jika versi baru dari OpenSSL berdua pasti tetap bug dan detak jantung cacat sementara sampai beberapa versi masa depan. Mayoritas, jika tidak hampir semua, implementasi TLS yang menanggapi permintaan detak jantung pada saat penemuan adalah versi rentan OpenSSL. Kalau saja versi rentan OpenSSL akan terus menanggapi detak jantung selama beberapa bulan ke depan maka skala besar respon terkoordinasi untuk mencapai pemilik layanan yang rentan akan menjadi lebih layak. Namun, respon cepat oleh komunitas internet dalam mengembangkan alat deteksi secara online dan mandiri dengan cepat melampaui kebutuhan untuk menghapus detak jantung sama sekali.

Dapatkah saya mendeteksi jika seseorang telah dieksploitasi ini terhadap aku?

Eksploitasi bug ini tidak meninggalkan jejak sesuatu yang abnormal terjadi ke log.

Dapatkah IDS / IPS mendeteksi atau memblokir serangan ini?

Meskipun detak jantung dapat muncul dalam fase yang berbeda dari setup koneksi, deteksi intrusi dan sistem (IDS / IPS) aturan untuk mendeteksi detak jantung pencegahan telah dikembangkan. Karena enkripsi membedakan antara penggunaan yang sah dan serangan tidak dapat didasarkan pada isi permintaan, tetapi serangan itu dapat dideteksi dengan membandingkan ukuran permintaan terhadap ukuran jawabannya. Ini berarti bahwa IDS / IPS dapat diprogram untuk mendeteksi serangan tetapi tidak untuk memblokir kecuali permintaan detak jantung yang diblokir sama sekali.

Apakah ini telah disalahgunakan di alam liar?

Kita tidak tahu. Komunitas keamanan harus mengerahkan TLS / DTLS honeypots yang menjebak penyerang dan untuk mengingatkan tentang upaya eksploitasi.

Bisa penyerang akses hanya 64k dari memori?

Tidak ada total 64 kilobyte pembatasan serangan itu, batas tersebut hanya berlaku untuk detak jantung tunggal. Penyerang dapat baik tetap berhubungan kembali atau selama koneksi TLS aktif terus meminta jumlah sewenang-wenang dari 64 kilobyte potongan isi memori hingga cukup rahasia yang terungkap.

Apakah ini bug MITM seperti goto Apple gagal bug itu?

Tidak, ini tidak memerlukan seorang pria dalam serangan tengah (MITM). Penyerang dapat langsung menghubungi layanan rentan atau menyerang setiap pengguna terhubung ke layanan berbahaya. Namun di samping ancaman langsung pencurian bahan kunci memungkinkan manusia di penyerang tengah untuk meniru layanan dikompromikan.

Apakah sertifikat otentikasi TLS klien mengurangi ini?

Tidak, permintaan detak jantung dapat dikirim dan menjawab selama fase handshake protokol. Hal ini terjadi sebelum otentikasi sertifikat klien.

Apakah FIPS modus OpenSSL yang mengurangi ini?

Tidak, OpenSSL Federal Information Processing Standard (FIPS) modus tidak berpengaruh pada fungsi detak jantung rentan.

Apakah Sempurna Teruskan Kerahasiaan (PFS) mengurangi ini?

Penggunaan Sempurna Teruskan Kerahasiaan (PFS), yang sayangnya langka tapi kuat, harus melindungi komunikasi terakhir dari dekripsi retrospektif. Silakan lihat https://twitter.com/ivanristic/status/453280081897467905 bagaimana tiket bocor dapat mempengaruhi hal ini.

Bisa detak jantung ekstensi dinonaktifkan selama jabat tangan TLS?

Tidak, rentan kode ekstensi detak jantung diaktifkan terlepas dari hasil negosiasi tahap jabat tangan. Satunya cara untuk melindungi diri sendiri adalah untuk meng-upgrade ke versi tetap OpenSSL atau mengkompilasi ulang OpenSSL dengan jabat tangan dihapus dari kode.

Yang menemukan Bug Heartbleed?

Bug ini secara independen ditemukan oleh sebuah tim insinyur keamanan (Riku, Antti dan Matti) di Codenomicon dan Neel Mehta dari Google Security, yang pertama kali melaporkan hal itu kepada tim OpenSSL. Tim Codenomicon menemukan bug heartbleed sekaligus meningkatkan fitur Safeguard dalam alat pengujian Defensics keamanan Codenomicon dan melaporkan bug ini ke NCSC-FI untuk koordinasi kerentanan dan melaporkan kepada tim OpenSSL.

Apa Safeguard Defensics?

Fitur Safeguard dari testtools Defensics keamanan Codenomicon secara otomatis menguji sistem target untuk kelemahan yang membahayakan integritas, privasi atau keamanan. Safeguard adalah solusi sistematis untuk mengekspos gagal cek sertifikat kriptografi, kebocoran privasi atau kelemahan memotong otentikasi yang telah terkena pengguna internet untuk manusia di tengah serangan dan menguping. Selain bug Heartbleed fitur Safeguard Defensics TLS baru dapat mendeteksi misalnya lubang keamanan dieksploitasi di GnuTLS banyak digunakan perangkat lunak open source menerapkan SSL / TLS fungsi dan "goto gagal," bug dalam pelaksanaan TLS / SSL Apple yang ditambal dalam Februari 2014.

Yang mengkoordinasikan respon terhadap kerentanan ini?

Segera setelah penemuan kita tentang bug pada 3 April 2014, NCSC-FI mengambil tugas memeriksanya, menganalisis lebih lanjut dan menjangkau para penulis dari OpenSSL, perangkat lunak, sistem operasi dan vendor alat, yang berpotensi terkena dampak. Namun, kerentanan ini telah ditemukan dan rincian yang dirilis secara independen oleh orang lain sebelum pekerjaan ini selesai. Vendor harus memberitahu pengguna mereka dan penyedia layanan. Penyedia layanan Internet harus memberitahu pengguna akhir mereka di mana dan kapan tindakan potensial diperlukan.

Apakah ada sisi terang dari semua ini?

Bagi penyedia jasa yang terpengaruh ini adalah kesempatan yang baik untuk meng-upgrade kekuatan keamanan kunci rahasia yang digunakan. Banyak perangkat lunak mendapat update yang dinyatakan akan belum mendesak. Meskipun hal ini menyakitkan bagi komunitas keamanan, kita dapat yakin bahwa infrastruktur penjahat cyber dan rahasia mereka telah terkena juga.

Apa yang dapat dilakukan untuk mencegah hal ini terjadi di masa depan?

Komunitas keamanan, kami termasuk, harus belajar untuk menemukan kesalahan-kesalahan manusia yang tak terelakkan cepat. Harap mendukung upaya pengembangan perangkat lunak Anda percaya privasi Anda. Menyumbangkan uang untuk proyek OpenSSL.

Dimana untuk mencari informasi lebih lanjut?

Ini Q & A diterbitkan sebagai tindak lanjut dari penasehat OpenSSL, karena kerentanan ini menjadi publik pada 7 April 2014. Proyek OpenSSL telah membuat pernyataan di https://www.openssl.org/news/secadv_20140407.txt . NCSC-FI menerbitkan sebuah penasehat di https://www.cert.fi/en/reports/2014/vulnerability788210.html . Pemasok individu distribusi sistem operasi, pemilik yang terkena layanan internet, paket perangkat lunak dan vendor alat dapat mengeluarkan advisories mereka sendiri.

Referensi


Logo Heartbleed bebas untuk menggunakan, hak dihapuskan melalui CC0 . [Download logo dalam format SVG]
Halaman diperbarui 2014/04/29 07:05 UTC.





Post a Comment

Write You comment here! Please...

[blogger]

Author Name

{picture#YOUR_PROFILE_PICTURE_URL} YOUR_PROFILE_DESCRIPTION {facebook#YOUR_SOCIAL_PROFILE_URL} {twitter#YOUR_SOCIAL_PROFILE_URL} {google#YOUR_SOCIAL_PROFILE_URL} {pinterest#YOUR_SOCIAL_PROFILE_URL} {youtube#YOUR_SOCIAL_PROFILE_URL} {instagram#YOUR_SOCIAL_PROFILE_URL}

Contact Form

Name

Email *

Message *

Powered by Blogger.