What is the Heartbleed bug?
What is the Heartbleed bug?
Heartbleed is a flaw in OpenSSL, the open-source encryption standard used by the majority of sites on the web that need to transmit data users want to keep secure. It basically gives you a “secure line” when you’re sending an email or chatting on IM.
Encryption works by making it so that data being sent looks like nonsense to anyone but the the intended recipient.
Occasionally, one computer might want to check that there’s still a computer at the end of its secure connection, so it will send out what’s known as a “heartbeat,” a small packet of data that asks for a response.
Due to a programming error in the implementation of OpenSSL, the researchers found that it was possible to send a well-disguised packet of data that looked like one of these heartbeats to trick the computer at the other end of a connection into sending over data stored in its memory.
How bad is that?
It’s really bad. Web servers can keep a lot of information in their active memory, including user names, passwords, and even the content that user have uploaded to a service. But worse even than that, the flaw has made it possible for hackers to steal encryption keys, the codes used to turn gibberish encrypted data into readable information.
With encryption keys, hackers can intercept encrypted data moving to and from a site’s servers and read it without establishing a secure connection. This means that unless the companies running vulnerable servers change their keys, even future traffic will be susceptible.
Apa bug Heartbleed?
Heartbleed adalah cacat dalam OpenSSL, standar enkripsi open-source yang digunakan oleh sebagian besar situs di web yang perlu mengirimkan data pengguna yang ingin menyimpan dengan aman. Pada dasarnya memberi Anda “jalur aman” ketika Anda mengirim email atau chatting di IM.
Enkripsi bekerja dengan membuat data yang dikirim terlihat seperti omong kosong untuk siapa pun kecuali penerima yang dimaksud.
Kadang-kadang, satu komputer mungkin ingin memeriksa bahwa masih ada komputer di ujung sambungan aman, sehingga ia akan mengirimkan apa yang dikenal sebagai “detak jantung,” paket kecil data yang meminta tanggapan.
Karena kesalahan pemrograman dalam pelaksanaan OpenSSL, para peneliti menemukan bahwa adanya kemungkinan untuk mengirim paket yang menyamar sebagai data yang tampak seperti salah satu dari detak jantung ini untuk mengelabui komputer di ujung lain dari koneksi ke pengiriman dari data yang tersimpan dalam memorinya.
Seberapa buruk danpak dari Heartbleed ini?
Ini benar-benar buruk. Web server dapat menyimpan banyak informasi dalam memori aktif mereka, termasuk nama pengguna, sandi, dan bahkan konten yang pengguna telah unggah ke layanan. Tapi lebih buruk bahkan dari itu, cacat telah memungkinkan bagi para hacker untuk mencuri kunci enkripsi, kode yang digunakan untuk mengubah data menjadi informasi omong kosong dienkripsi terbaca.
Dengan kunci enkripsi, hacker dapat menangkap data terenkripsi yang bergerak ke dan dari server situs dan membacanya tanpa membangun koneksi yang aman. Ini berarti bahwa jika perusahaan menjalankan server rentan mengubah kunci mereka, bahkan lalu lintas masa depan akan rentan.
Leave a Reply