0

Bug Heartbleed

Seorang remaja London berumur 19 tahun ditahan kerana menceroboh sistem Agensi Hasil Kanada (CRA). Beliau berjaya mendapatkan lebih daripada 900 data nombor insurans sosial. Solis-Reyes seperti yang dilapor oleh forbes.com akan dibicarakan pada 17 Julai 2014. Hal ini disebabkan sistem CRA terdedah kepada kebocoran maklumat akibat tersebarnya pepijat Heartbleed. Pepijat ini mendedahkan maklumat rahsia seperti kata laluan yang dienkrip (encrypt) apabila pengguna sistem log masuk ke akaunnya. Ia digelar sebagai Heartbleed kerana sumber asalnya adalah Hearbeat yang diimplementasi dalam Persian sumber terbuka Kriptografi OpenSSL. Dalam protokol keselamatan pemindahan berlapis (transfer layer security – TLS), data yang dimasukkan oleh pengguna akan dienkrip dengan kod-kod tertentu yang kompleks oleh Heartbeat. Apabila kod rahsia ini dapat dipintas dan dibaca ia menyebabkan berlaku pendarahan. Maka ‘degup jantung’ (heartbeat) ini menjadi tidak normal dan ‘berdarah‘ (heartbleed).

Pada 11 April 2014, beberapa akaun pengguna mumsnet diceroboh dan penggodamnya menghantar mesej nakal dalam forum pengguna mumsnet. Berikut contoh paparan deklarasi yang dihantar oleh penggodam.

hacked

Mesej penggodam mumsnet

Ekoran daripada tersebarnya pepijat ini, langkah terawal yang diambil oleh semua pemilik sistem yang mempunyai protokol keselamatan (SSL) adalah mengemaskini versi OpenSSL. Tindakan ini diambil oleh personal teknikal yang mempunyai akses ke server yang diinstall OpenSSL di dalamnya. Saranan agar semua pemilik akaun laman web menukar kata laluan sebenarnya tidak perlu. Malaysia Computer Emergency Response Team (MyCERT) menyenaraikan beberapa server yang terjejas seperti berikut:

  1. Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  2. Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  3. CentOS 6.5, OpenSSL 1.0.1e-15
  4. OpenBSD 5.3 (OpenSSL 1.0.1c 10 May 2012) dan 5.4 (OpenSSL 1.0.1c 10 May 2012)
  5. FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
  6. NetBSD 5.0.2 (OpenSSL 1.0.1e)
  7. OpenSUSE 12.2 (OpenSSL 1.0.1c)
Ujikaji ancaman Heartbleed

Ujikaji ancaman Heartbleed

Berikut pengujian terhadap laman web rasmi portal kerajaan. Laman web ini dbangunkan menggunakan Liferay 6.1.1 Edisi Enterprise. Pasukan liferay.com sedari awal telah mengenal pasti kebocoran SSL dan mengemaskinikannya. Patch OpenSSL yang terkini telah diimplementasi dalam server portal rasmi kerajaan. Semua pemilik akaun pengguna portal rasmi kerajaan (ketika artikel ini ditulis – lebih kurang 200 ribu yang aktif) tidak perlu menukar kata laluan masing-masing. Maklumat ini diperoleh dari sumber yang boleh dipercayai. Pun begitu, kenyataan dalam para ini tidak boleh diambil sebagai pendirian rasmi pasukan portal rasmi kerajaan Malaysia. Berikut pula adalah trend pengguna yang melakukan transaksi online melalui portal rasmi kerajaan (7 – 17 April 2014).

Terdapat penyusutan bilangan transaksi ekoran kebimbangan sebahagian pengguna. Hal ini kerana 80 peratus daripada mereka membuat transaksi online ini adalah pengguna yang sama. Mereka mungkin menjadikan portal rasmi kerajaan sebagai platform untuk menjana pendapatan. Siapa tahu?

ols1

Trend Transaksi Online 7 – 17 April 2014

Kongsi artikel ini..Share on Facebook0Tweet about this on TwitterShare on Google+0Email this to someone

Hanafi

Leave a Reply

Your email address will not be published. Required fields are marked *