Sabtu, 31 Mei 2014

Heartbleed (debug internet)



Apa itu Heartbleed? Mungkin sebagian dari kita belum mengetahui apa itu heartbleed! Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena bug ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL. OpenSLL adalah suatu protokol tambahan yang digunakan untuk Secure Socket Layer. Yang maksudnya adalah mengamankan jaringan kita antara client dan server. SLL merupakan standar keamanan yang akan mengenkripsi teks (seperti username dan password) yang akan kita kirim via browser. OpenSLL juga bisa diartikan sebagai salah satu teknik SSL tersebut. Dinamakan “open” karena memang bersifat open source. Siapa saja bisa menyumbang fitur tambahan di OpenSSL ini. Dan karena open source, OpenSSL banyak digunakan di web server yang membutuhkan proses login.

Heartbeat itu salah satu fitur OpenSSL yang diperkenalkan tahun 2012. Tujuan heartbeat adalah mengecek apakah komputer kamu masih terhubung ke sebuah server. Karena, seringkali router yang menjadi perantara antara komputer kita dengan server di internet memutuskan hubungan jika terjadi idle yang terlalu lama. Dengan heartbeat, komputer kamu bisa mengetahui apakah masih terhubung dengan server yang dituju.

Fasilitas heartbeat ini memiliki kelemahan karena terlalu percaya dengan komputer pengirim. Seperti ilustrasi di bawah, komputer hacker cuma mengirimkan sebuah kata yang pendek (seperti melati) namun meminta respon sebanyak 100 karakter. Server ternyata tidak mengecek kalau melati hanya memiliki 6 karakter. Server langsung “memuntahkan” semua karakter yang tersimpan di memori RAM-nya untuk memenuhi permintaan 100 karakter tersebut, 100 karakter hanyalah ilustrasi. Sang hacker bisa meminta sampai 64.000 karakter.

Sumber : Heartbleed

Tidak ada komentar:

Posting Komentar