Heartbleed adalah bug keamanan diungkapkan pada bulan April 2014 di perpustakaan kriptografi OpenSSL, yang merupakan implementasi secara luas digunakan dari Transport Layer Security (TLS) protokol. Heartbleed dapat dieksploitasi tanpa memperhatikan apakah partai menggunakan OpenSSL contoh rentan untuk TLS adalah server atau klien. Ini hasil dari validasi input yang tidak benar (karena batas-batas yang hilang cek) dalam pelaksanaan perpanjangan detak jantung TLS, sehingga nama bug itu berasal dari "detak jantung". Kerentanan diklasifikasikan sebagai penyangga over-baca, situasi di mana lebih banyak data dapat dibaca daripada harus diperbolehkan.
Heartbleed terdaftar di Common kerentanan dan Eksposur sistem sebagai CVE-2014-0160. Federal Kanada Cyber Incident Response Centre mengeluarkan buletin keamanan menasihati administrator sistem tentang bug. Sebuah versi tetap OpenSSL dirilis pada tanggal 7 April 2014, pada hari yang sama Heartbleed itu diungkapkan secara terbuka.
Pada saat pengungkapan, sekitar 17% (sekitar setengah juta) dari server web yang aman Internet disertifikasi oleh otoritas terpercaya diyakini rentan terhadap serangan, sehingga pencurian 'kunci pribadi dan pengguna server session cookies dan password. The Electronic Frontier Foundation, Ars Technica, dan Bruce Schneier semua dianggap bug Heartbleed "bencana". Forbes cybersecurity kolumnis Joseph Steinberg menulis, "Beberapa mungkin berpendapat bahwa [Heartbleed] adalah kerentanan terburuk ditemukan (setidaknya dalam hal dampak potensial) karena lalu lintas komersial mulai mengalir di Internet."
Seorang juru bicara British Kabinet merekomendasikan bahwa "Orang-orang harus mengambil nasihat tentang mengganti password dari situs yang mereka gunakan ... Kebanyakan website telah diperbaiki bug dan terbaik ditempatkan untuk memberikan saran tindakan apa, jika ada, orang perlu mengambil." Pada hari pengungkapan, Proyek Tor menyarankan siapa pun yang mencari "anonimitas yang kuat atau privasi di Internet" untuk "tinggal jauh dari internet sepenuhnya untuk beberapa hari ke depan, sementara hal-hal yang menetap."
Pada 20 Mei 2014, 1,5% dari 800.000 situs TLS-enabled paling populer masih rentan terhadap Heartbleed.
TLS implementasi selain OpenSSL, seperti GnuTLS dan Keamanan Jaringan Layanan Mozilla, tidak terpengaruh, karena cacat terletak pada pelaksanaan OpenSSL daripada di protokol internet itu sendiri. Akibatnya, tidak ada produk atau jasa Microsoft dipengaruhi oleh Heartbleed.
The Heartbeat Perpanjangan untuk Transport Layer Security (TLS) dan Datagram Transport Layer Security (DTLS) protokol diusulkan sebagai standar pada bulan Februari 2012 oleh RFC 6520. Ini menyediakan cara untuk menguji dan tetap hidup link komunikasi yang aman tanpa perlu renegosiasi koneksi setiap kali. Pada tahun 2011, salah satu penulis RFC, Robin Seggelmann, maka Ph.D. mahasiswa di University of Duisburg-Essen, menerapkan Ekstensi Heartbeat untuk OpenSSL. Setelah permintaan Seggelmann untuk menempatkan hasil karyanya ke OpenSSL, perubahan itu telah diperiksa oleh Stephen N. Henson, salah satu dari empat pengembang inti OpenSSL. Henson gagal untuk melihat bug dalam pelaksanaan Seggelmann itu, dan memperkenalkan kode cacat dalam kode sumber repositori OpenSSL pada tanggal 31 Desember 2011. cacat menyebar dengan merilis versi 1.0.1 OpenSSL pada tanggal 14 Maret 2012. Dukungan Heartbeat telah diaktifkan secara default , menyebabkan versi yang terkena rentan
Bugfix dan penyebaran
Bodo Moeller dan Adam Langley dari Google menyiapkan memperbaiki Heartbleed. Patch yang dihasilkan ditambahkan ke Red Hat pelacak isu pada tanggal 21 Maret 2014. Stephen N. Henson menerapkan memperbaiki sistem kontrol versi OpenSSL pada 7 April. Versi tetap pertama, 1.0.1g, dirilis pada hari yang sama. Pada 21 Juni 2014, 309.197 server web publik tetap rentan.
Pembaharuan sertifikat dan pencabutan
Menurut Netcraft, sekitar 30.000 sertifikat X.509 500.000 yang bisa saja dikompromikan karena Heartbleed telah diterbitkan kembali oleh April 11, 2014, meskipun sedikit telah dicabut.
Pada tanggal 9 Mei 2014, hanya 43% dari situs web yang terkena telah diterbitkan sertifikat keamanan mereka. Selain itu, 7% dari sertifikat keamanan diterbitkan kembali menggunakan tombol berpotensi membahayakan. "Dengan menggunakan kembali kunci pribadi yang sama, sebuah situs yang dipengaruhi oleh bug Heartbleed masih menghadapi persis risiko yang sama seperti orang-orang yang belum diganti sertifikat SSL mereka," kata Netcraft. eWeek mengatakan, Heartbleed adalah "kemungkinan akan tetap risiko selama berbulan-bulan, bahkan bertahun-tahun, akan datang."
Eksploitasi
Badan Pendapatan Kanada melaporkan pencurian Nomor Asuransi Sosial milik 900 wajib pajak, dan mengatakan bahwa mereka diakses melalui mengeksploitasi bug selama periode 6 jam pada tanggal 8 April 2014. Setelah penemuan serangan, menutup badan bawah website dan memperpanjang batas waktu pengajuan wajib pajak dari 30 April sampai Mei 5. Badan ini mengatakan akan memberikan orang yang terkena dengan layanan perlindungan kredit tanpa biaya. Pada tanggal 16 April, RCMP mengumumkan mereka telah dibebankan mahasiswa teknik dalam kaitannya dengan pencurian dengan "penggunaan yang tidak sah dari komputer" dan "kerusakan dalam kaitannya dengan data".
Inggris orangtua Mumsnet situs memiliki beberapa akun pengguna yang dibajak, dan CEO-nya yang menyamar. Situs ini kemudian menerbitkan penjelasan tentang insiden mengatakan itu karena Heartbleed dan staf teknis ditambal itu segera.
Peneliti anti-malware juga dimanfaatkan Heartbleed untuk keuntungan mereka sendiri untuk mengakses forum rahasia yang digunakan oleh penjahat cyber. Studi juga dilakukan dengan sengaja menyiapkan mesin rentan. Sebagai contoh, pada tanggal 12 April 2014, setidaknya dua peneliti independen mampu mencuri kunci pribadi dari server eksperimental sengaja diatur untuk tujuan tersebut oleh CloudFlare. Juga, pada tanggal 15 April 2014, J. Alex Halderman, seorang profesor di University of Michigan, melaporkan bahwa server honeypot itu, server sengaja rentan dirancang untuk menarik serangan untuk mempelajarinya, telah menerima banyak serangan yang berasal dari China. Halderman menyimpulkan bahwa karena itu server yang cukup jelas, serangan ini adalah serangan mungkin menyapu mempengaruhi area besar Internet.
Pada bulan Agustus 2014, itu dibuat publik bahwa kerentanan Heartbleed memungkinkan hacker untuk mencuri kunci keamanan dari Masyarakat Sistem Kesehatan, terbesar kedua AS rantai rumah sakit nirlaba di Amerika Serikat, mengorbankan kerahasiaan 4,5 juta catatan pasien. Pelanggaran terjadi minggu setelah Heartbleed pertama kali dipublikasikan.
Pengetahuan awal mungkin dan eksploitasi
Banyak situs web utama ditambal bug atau cacat Extension Heartbeat dalam beberapa hari pengumuman, tetapi tidak jelas apakah penyerang potensial menyadari hal itu sebelumnya dan sampai sejauh mana itu dieksploitasi.
Berdasarkan pemeriksaan audit log oleh para peneliti, telah dilaporkan bahwa beberapa penyerang mungkin telah dieksploitasi cacat selama setidaknya lima bulan sebelum penemuan dan pengumuman. Errata Security menunjukkan bahwa program non-berbahaya banyak digunakan disebut "Masscan", memperkenalkan enam bulan sebelum pengungkapan Heartbleed itu, tiba-tiba mengakhiri sambungan di tengah handshaking dalam cara yang sama seperti Heartbleed, menghasilkan pesan log server yang sama, menambahkan "Dua hal-hal baru yang memproduksi pesan kesalahan yang sama mungkin tampak seperti dua berkorelasi, tapi tentu saja, mereka tidak ".
Menurut Bloomberg News, dua sumber yang tidak disebutkan namanya insider informasi bahwa Badan Keamanan Nasional Amerika Serikat telah menyadari cacat sejak lama setelah kemunculannya tapi- bukannya melaporkan itu-merahasiakannya antara kerentanan zero-day dilaporkan di memesan untuk mengeksploitasi untuk tujuan NSA sendiri. NSA telah membantah klaim ini, seperti yang telah Richard A. Clarke, anggota dari National Intelligence Review Kelompok Intelijen dan Komunikasi Teknologi yang Ulasan kebijakan pengawasan elektronik Amerika Serikat; ia mengatakan kepada Reuters pada April 11, 2014 bahwa NSA tidak diketahui Heartbleed. Tuduhan mendorong pemerintah Amerika untuk membuat, untuk pertama kalinya, sebuah pernyataan publik pada perusahaan-nol hari kerentanan kebijakan, menerima rekomendasi dari 2.013 laporan review kelompok yang menyatakan "dalam hampir semua kasus, untuk kode yang digunakan secara luas, maka dalam kepentingan nasional untuk menghilangkan kerentanan perangkat lunak daripada menggunakannya untuk pengumpulan intelijen AS ", dan mengatakan bahwa keputusan untuk menahan harus bergerak dari NSA ke Gedung Putih.
RFC 6520 Heartbeat Perpanjangan tes TLS / DTLS link komunikasi yang aman dengan membiarkan komputer di salah satu ujung sambungan untuk mengirim "Heartbeat Request" pesan, yang terdiri dari payload, biasanya string teks, bersama dengan panjang payload sebagai 16- bit integer. Komputer yang menerima kemudian harus mengirimkan persis muatan yang sama kembali ke pengirim.
Versi terkena OpenSSL mengalokasikan buffer memori untuk pesan yang akan dikembalikan berdasarkan bidang panjang dalam pesan yang meminta, tanpa memperhatikan ukuran sebenarnya dari payload yang pesan. Karena kegagalan ini untuk melakukan pengecekan batas yang tepat, pesan kembali terdiri dari payload, mungkin diikuti dengan apa pun kebetulan berada di buffer memori yang dialokasikan.
Oleh karena itu Heartbleed dimanfaatkan dengan mengirimkan permintaan detak jantung cacat dengan muatan kecil dan lapangan panjang besar untuk partai rentan (biasanya server) untuk memperoleh respon korban, memungkinkan penyerang untuk membaca hingga 64 kilobyte memori korban yang kemungkinan telah digunakan sebelumnya oleh OpenSSL. Dimana Permintaan Heartbeat mungkin meminta pihak untuk "mengirim kembali kata empat huruf 'burung'", sehingga respon dari "burung", sebuah "Request Heartbleed" (permintaan detak jantung berbahaya) dari "mengirim kembali 500 huruf Kata 'burung' "akan menyebabkan korban untuk kembali" burung "diikuti oleh apa pun 496 karakter korban kebetulan ada di memori aktif. Penyerang dengan cara ini bisa menerima data sensitif, mengorbankan kerahasiaan komunikasi korban. Meskipun penyerang memiliki beberapa kontrol atas ukuran memori blok diungkapkan itu, ia tidak memiliki kontrol atas lokasinya, dan karena itu tidak dapat memilih konten apa yang diwahyukan.
Instalasi OpenSSL Terkena
Versi terkena OpenSSL adalah OpenSSL 1.0.1 melalui 1.0.1f (inklusif). Kemudian versi (1.0.1g dan tersembunyi) dan versi sebelumnya (1.0.0 cabang dan lebih tua) tidak rentan. Instalasi dari versi yang terkena rentan kecuali OpenSSL dikompilasi dengan -DOPENSSL_NO_HEARTBEATS.
Program rentan dan fungsi
File sumber program rentan t1_lib.c dan d1_both.c dan fungsi rentan tls1_process_heartbeat () dan dtls1_process_heartbeat ().
Tambalan
Masalahnya bisa diperbaiki dengan mengabaikan pesan Permintaan Heartbeat yang meminta data lebih dari kebutuhan payload mereka.
1.0.1g versi OpenSSL menambahkan beberapa batas pemeriksaan untuk mencegah buffer over-baca. Sebagai contoh, pengujian berikut telah ditambahkan, yang membuang Permintaan Heartbeat mencegah balasan dari yang dibangun jika itu akan memicu Heartbleed:
jika (1 + 2 + payload + 16> s-> s3-> rrec.length) return 0; / * Diam-diam menghancurkan per RFC 6520 sec. 4 * /
Sistem kontrol versi berisi daftar lengkap perubahan.
Impact
Data yang diperoleh oleh serangan Heartbleed mungkin termasuk pertukaran terenkripsi antara TLS pihak cenderung bersifat rahasia, termasuk data formulir posting di permintaan pengguna. Selain itu, data rahasia terkena dapat mencakup rahasia otentikasi seperti session cookies dan password, yang mungkin memungkinkan penyerang untuk meniru pengguna layanan.
Serangan juga dapat mengungkapkan kunci pribadi dari pihak berkompromi, yang akan memungkinkan penyerang untuk mendekripsi komunikasi (masa depan atau lalu lintas yang tersimpan masa lalu ditangkap melalui menguping pasif, kecuali kerahasiaan maju sempurna digunakan, dalam hal ini hanya lalu lintas masa depan dapat didekripsi jika dicegat melalui mandat in-the-middle serangan).
Seorang penyerang yang memiliki bahan otentikasi diperoleh dapat meniru pemilik materi setelah korban telah ditambal Heartbleed, asalkan bahan yang diterima (misalnya, sampai password berubah atau kunci pribadi dicabut). Oleh karena itu Heartbleed merupakan ancaman penting untuk kerahasiaan. Namun, penyerang meniru korban juga dapat mengubah data. Secara tidak langsung, konsekuensi Heartbleed mungkin sehingga jauh melampaui pelanggaran kerahasiaan bagi banyak sistem.
Sebuah survei orang dewasa Amerika yang dilakukan di April 2014 menunjukkan bahwa 60 persen telah mendengar tentang Heartbleed. Di antara mereka yang menggunakan Internet, 39 persen telah melindungi account online mereka, misalnya dengan mengubah password atau membatalkan account; 29 persen percaya informasi pribadi mereka terancam karena bug Heartbleed; dan 6 persen percaya informasi pribadi mereka telah dicuri.
Client-side kerentanan
Meskipun bug ini mendapat perhatian lebih karena ancaman itu mewakili untuk server, TLS klien menggunakan contoh OpenSSL terkena juga rentan. Dalam apa karena itu The Guardian dijuluki "membalikkan Heartbleed", server jahat dapat memanfaatkan Heartbleed untuk membaca data dari memori klien rentan itu. Peneliti keamanan Steve Gibson mengatakan dari Heartbleed bahwa "itu bukan hanya kerentanan server-side, itu juga kerentanan sisi klien karena server, atau siapapun yang Anda hubungi, adalah sebagai dapat meminta Anda untuk detak jantung kembali seperti Anda bertanya mereka. "
Data yang dicuri bisa berisi username dan password. Sebaliknya Heartbleed mempengaruhi jutaan contoh aplikasi. Beberapa aplikasi rentan tercantum dalam "Software aplikasi" di bawah.
Sistem tertentu yang terkena dampak
Cisco Systems telah mengidentifikasi 78 produk sebagai rentan, termasuk sistem telepon IP dan telepresence (video conferencing) sistem.
Situs web dan layanan online lainnya
Analisis diposting pada GitHub dari situs yang paling banyak dikunjungi pada April 8, 2014 mengungkapkan kerentanan di situs termasuk Yahoo !, Imgur, Stack Overflow, Slate, dan DuckDuckGo. Situs berikut memiliki layanan terpengaruh atau pengumuman yang dibuat merekomendasikan bahwa pengguna memperbarui password dalam menanggapi bug:
- Akamai Technologies
- Amazon Web Services
- Ars Technica
- Bitbucket
- BrandVerity
- Freenode
- GitHub
- IFTTT
- Internet Archive
- Mojang
- Mumsnet
- PeerJ
- Pinterest
- Prezi
- Reddit
- Something Awful
- SoundCloud
- SourceForge
- SparkFun
- Stripe
- Tumblr
- All Wikimedia Foundation wikis (including Wikipedia in all languages)
- Wunderlist
Pemerintah federal Kanada sementara menutup layanan online dari Badan Pendapatan Kanada (CRA) dan beberapa departemen pemerintah atas Heartbleed masalah keamanan bug.
Pengelola Platform seperti Wikimedia Foundation menyarankan pengguna untuk mengubah password.
Server dari LastPass rentan, namun karena enkripsi tambahan dan maju kerahasiaan, serangan potensial tidak dapat mengeksploitasi bug ini. Namun, LastPass merekomendasikan bahwa penggunanya mengubah password untuk situs web yang rentan.
The Tor Project merekomendasikan bahwa operator estafet Tor dan operator layanan tersembunyi mencabut dan menghasilkan kunci segar setelah patch OpenSSL, tapi mencatat bahwa Tor relay menggunakan dua set kunci dan desain multi-hop Tor meminimalkan dampak mengeksploitasi relay tunggal. 586 relay kemudian ditemukan rentan terhadap bug Heartbleed diambil off-line sebagai langkah pencegahan.
Permainan termasuk uap, Minecraft, Wargaming.net, League of Legends, GOG.com, Asal, Sony Online Entertainment, Humble Bundle, dan Jalan Exile terkena dan kemudian tetap.
Software aplikasi
Aplikasi perangkat lunak yang rentan antara lain:
- Beberapa aplikasi server Hewlett-Packard, seperti Sistem Manajemen HP Homepage (SMH) untuk Linux dan Windows.
- Beberapa versi FileMaker 13
- LibreOffice 4.2.0 ke 4.2.2 (tetap dalam 4.2.3)
- LogMeIn mengaku memiliki "diperbarui banyak produk dan bagian dari layanan kami yang mengandalkan OpenSSL".
- Beberapa produk McAfee, khususnya beberapa versi software menyediakan cakupan anti-virus untuk Microsoft Exchange, firewall software, dan McAfee Email dan Web Gateway
- MySQL Workbench 6.1.4 dan sebelumnya
- Oracle MySQL Connector / C 6.1.0-6.1.3 dan Connector / ODBC 5.1.13, 5.2.5-5.2.6, 5.3.2
- Oracle Big Data Appliance (termasuk Oracle Linux 6)
- Primavera P6 Profesional Manajemen Proyek (termasuk Primavera P6 Proyek Usaha Manajemen Portofolio)
- WinSCP (FTP client untuk Windows) 5.5.2 dan beberapa versi sebelumnya (hanya rentan dengan FTP melalui TLS / SSL, tetap dalam 5.5.3)
- Beberapa produk VMware, termasuk VMware ESXi 5.5, VMware Player 6.0, VMware Workstation 10 dan seri produk Horizon, emulator dan komputasi awan suite
Beberapa aplikasi Oracle Corporation lain terpengaruh.
Operasi sistem / Firmwares
Distribusi beberapa GNU / Linux yang terkena dampak, termasuk Debian (dan turunannya seperti Linux Mint dan Ubuntu) dan Red Hat Enterprise Linux (dan turunannya seperti CentOS, Oracle Linux 6 dan Amazon Linux), serta sistem operasi berikut dan implementasi firmware :
- 4.1.1 Android, yang digunakan dalam berbagai perangkat portable. Chris Smith menulis di Boy Genius Report yang hanya versi salah satu Android terpengaruh tetapi itu adalah versi populer Android (Chitika klaim 4.1.1 adalah pada 50 juta perangkat, Google menggambarkannya sebagai kurang dari 10% dari perangkat Android diaktifkan) . Versi Android lainnya tidak rentan karena mereka juga memiliki detak jantung cacat atau menggunakan versi terpengaruh dari OpenSSL.
- Firmware untuk beberapa BTS AirPort
- Firmware untuk beberapa Cisco Systems router
- Firmware untuk beberapa router Juniper Networks
- IPCop 2.1.3 dan beberapa versi sebelumnya (tetap dalam 2.1.4)
- pfSense 2.1.0 dan 2.1.1 (tetap dalam 2.1.2)
- Western Digital My Cloud keluarga produk firmware
Layanan pengujian kerentanan
Beberapa layanan yang telah dibuat tersedia untuk menguji apakah Heartbleed mempengaruhi situs tertentu. Namun, banyak layanan telah diklaim efektif untuk mendeteksi bug. Alat-alat yang tersedia termasuk:
- Tripwire SecureScan
- AppCheck - Scan biner statis, dari Codenomicon
- Arbor Network Pravail Keamanan Analytics
- Norton SafeWeb Heartbleed Periksa Alat
- Pengujian Heartbleed alat oleh perusahaan keamanan IT Eropa
- Heartbleed Scanner oleh cryptologist Italia Filippo Valsorda
- Heartbleed Kerentanan Test oleh Cyberoam
- Kritis Perhiasan Online Gratis Heartbleed Tester
- Modul scanner Metasploit Heartbleed
- Heartbleed Server Scanner oleh Rehmann
- Lookout Mobile Security Heartbleed Detector, sebuah aplikasi untuk perangkat Android yang menentukan versi OpenSSL perangkat dan menunjukkan apakah detak jantung rentan diaktifkan
- Checker Heartbleed diselenggarakan oleh LastPass
- Online jangkauan jaringan scanner untuk Heartbleed kerentanan dengan Pentest-Tools.com
- Resmi Red Hat Pengunjung scanner ditulis dalam bahasa Python
- Qualys SSL Labs 'SSL Server Uji yang tidak hanya mencari bug Heartbleed, tetapi juga dapat menemukan SSL / TLS kesalahan implementasi lainnya.
- Ekstensi browser, seperti Chromebleed dan FoxBleed
- SSL Diagnos
- CrowdStrike Heartbleed Scanner - Memindai router, printer dan perangkat lain yang terhubung dalam jaringan termasuk situs web intranet. Laporan Site Netcraft - menunjukkan apakah kerahasiaan sebuah website bisa terancam karena eksploitasi masa lalu Heartbleed dengan memeriksa data dari Survei SSL Netcraft untuk menentukan apakah sebuah situs menawarkan detak jantung TLS Ekstensi sebelum pengungkapan Heartbleed. The Netcraft Ekstensi untuk Chrome, Firefox dan Opera juga melakukan cek ini, sementara mencari sertifikat berpotensi membahayakan.
Alat keamanan lainnya telah menambahkan dukungan untuk menemukan bug ini. Sebagai contoh, Dipertahankan Keamanan Jaringan menulis sebuah plugin untuk scanner kerentanan Nessus yang mampu memindai kesalahan ini. Nmap pemindai keamanan termasuk deteksi skrip Heartbleed dari versi 6.45.
Sourcefire telah merilis aturan Snort untuk mendeteksi lalu lintas serangan Heartbleed dan mungkin lalu lintas respon Heartbleed. Terbuka paket sumber perangkat lunak analisis seperti Wireshark dan tcpdump dapat mengidentifikasi paket Heartbleed menggunakan spesifik paket BPF filter yang dapat digunakan pada disimpan menangkap paket atau lalu lintas hidup.
Remediation
Meskipun menginstal perangkat lunak tetap (versi dinamis perpustakaan OpenSSL dan binari menggunakan OpenSSL statis) merupakan langkah penting untuk mengatasi Heartbleed, lebih banyak pekerjaan mungkin diperlukan. Menjalankan aplikasi tergantung pada OpenSSL dapat terus menggunakan di memori kode OpenSSL rentan sampai mereka telah memulai kembali sebelum mereka berhenti menjadi rentan.
Selain itu, sistem menyerang melalui Heartbleed mungkin memiliki kerahasiaan dan bahkan integritas beresiko bahkan setelah kerentanan sendiri telah diperbaiki. Untuk mendapatkan kembali kerahasiaan dan keaslian, server dikompromikan harus diperbaiki semua pasangan kunci dikompromikan kunci pribadi-publik dan harus mencabut dan mengganti semua sertifikat yang terkait dengan ini. Secara umum, semua materi otentikasi dikompromikan (seperti password) harus diganti karena jarang mungkin untuk mengkonfirmasi bahwa sistem yang terpengaruh belum diganggu.
Konsekuensi dari Heartbleed dapat tetap bahkan setelah kerentanan itu tetap dan semua materi otentikasi dikompromikan dicabut. Jauh lebih khusus sistem kerja mungkin diperlukan untuk mengkonfirmasi atau mengembalikan integritas sistem, yang mungkin telah dikompromikan jika penyerang menggunakan bahan otentikasi dikompromikan untuk meniru pengguna untuk melakukan modifikasi yang tidak sah.
Keamanan browser pencabutan sertifikat kesadaran
Sejak Heartbleed mengancam privasi kunci pribadi, pengguna dari situs yang dikompromikan bisa menderita efek Heartbleed bahkan setelah situs itu tetap dan sertifikat sebelumnya dicabut, jika browser mereka tidak menyadari pencabutan sertifikasi. Sertifikat Keamanan Pencabutan Kesadaran Uji tidak menguji apakah sistem memiliki bug Heartbleed, tetapi memungkinkan pengguna untuk menguji apakah browser web mereka memungkinkan mereka mengunjungi situs web yang menggunakan sertifikat keamanan dicabut.
Root causes, possible lessons, and reactions
Meskipun mengevaluasi total biaya Heartbleed sulit, eWEEK diperkirakan US $ 500 juta sebagai titik awal.
Kertas David A. Wheeler Cara Mencegah Heartbleed berikutnya analisis mengapa Heartbleed tidak ditemukan sebelumnya, dan menunjukkan beberapa teknik yang bisa menyebabkan identifikasi lebih cepat, serta teknik yang bisa mengurangi dampaknya. Menurut Wheeler, teknik yang paling efisien yang bisa mencegah Heartbleed adalah test suite atipikal menyeluruh melakukan apa yang dia sebut "pengujian negatif", yaitu pengujian bahwa input tidak valid menyebabkan kegagalan daripada keberhasilan. Wheeler menyoroti bahwa tujuan umum test suite tunggal bisa berfungsi sebagai dasar untuk semua implementasi TLS.
Menurut sebuah artikel di The Conversation ditulis oleh Robert Merkel, Heartbleed mengungkapkan "kegagalan besar analisis risiko". Merkel berpikir OpenSSL memberikan lebih penting untuk kinerja daripada keamanan, yang tidak lagi masuk akal menurutnya. Tapi Merkel menganggap bahwa OpenSSL tidak harus disalahkan sebanyak pengguna OpenSSL, yang memilih untuk menggunakan OpenSSL, tanpa pendanaan audit yang lebih baik dan pengujian. Merkel menjelaskan bahwa 2 aspek menentukan risiko yang mengganggu lebih mirip akan menyebabkan kerentanan. Source code perpustakaan mempengaruhi risiko menulis bug dengan dampak seperti itu. Kedua, proses OpenSSL mempengaruhi kemungkinan menangkap bug cepat. Pada aspek pertama, Merkel menyebutkan penggunaan bahasa pemrograman C sebagai salah satu faktor risiko yang disukai penampilan Heartbleed itu, menggemakan analisis Wheeler.
Pada aspek yang sama, Theo de Raadt, pendiri dan pemimpin proyek OpenBSD dan OpenSSH, telah mengkritik pengembang OpenSSL untuk menulis sendiri rutinitas manajemen memori mereka dan dengan demikian, ia mengklaim, menghindari OpenBSD C perpustakaan standar mengeksploitasi penanggulangan, mengatakan "OpenSSL tidak dikembangkan oleh sebuah tim yang bertanggung jawab. " Setelah pengungkapan Heartbleed, anggota dari proyek OpenBSD bercabang OpenSSL ke LibreSSL.
Penulis perubahan yang diperkenalkan Heartbleed, Robin Seggelmann, menyatakan bahwa ia "kehilangan memvalidasi variabel yang berisi panjang" dan membantah niat untuk menyerahkan pelaksanaan cacat. Setelah pengungkapan Heartbleed itu, Seggelmann menyarankan berfokus pada aspek kedua, menyatakan bahwa OpenSSL tidak ditinjau oleh cukup banyak orang. Meskipun pekerjaan Seggelmann yang ditinjau oleh pengembang inti OpenSSL, review ini juga dimaksudkan untuk memverifikasi perbaikan fungsional, situasi membuat kerentanan lebih mudah untuk dilewatkan.
Pengembang inti OpenSSL Ben Laurie mengklaim bahwa audit keamanan OpenSSL akan menangkap Heartbleed. Software engineer John Walsh berkomentar "Pikirkan tentang hal ini, OpenSSL hanya memiliki dua [fulltime] orang untuk menulis, mempertahankan, tes, dan meninjau 500.000 baris kode bisnis penting." Presiden OpenSSL yayasan, Steve Marquess, kata "misteri ini tidak bahwa relawan terlalu banyak bekerja beberapa merindukan bug ini,. Misteri mengapa tidak terjadi lebih sering" David A. Wheeler digambarkan audit sebagai cara terbaik untuk menemukan kerentanan dalam kasus yang khas, namun mencatat bahwa "OpenSSL menggunakan struktur tidak perlu kompleks, yang membuat lebih sulit untuk kedua manusia dan mesin untuk meninjau." Dia menulis:
Harus ada upaya terus menerus untuk menyederhanakan kode, karena kemampuan jika tidak hanya menambahkan perlahan-lahan akan meningkatkan kompleksitas software. Kode harus refactored dari waktu ke waktu untuk membuatnya sederhana dan jelas, bukan hanya terus menambahkan fitur baru. Tujuannya harus kode yang "jelas benar", sebagai lawan kode yang begitu rumit bahwa "Saya tidak bisa melihat masalah".
LibreSSL membuat kode pembersihan besar, menghapus lebih dari 90.000 baris kode C hanya dalam minggu pertama.
Menurut peneliti keamanan Dan Kaminsky, Heartbleed adalah tanda dari masalah ekonomi yang perlu diperbaiki. Melihat waktu yang dibutuhkan untuk menangkap kesalahan sederhana ini dalam fitur sederhana dari "kritis" ketergantungan, Kaminsky takut banyak kerentanan di masa depan jika tidak ada yang dilakukan. Ketika Heartbleed ditemukan, OpenSSL dipertahankan oleh segelintir relawan, hanya satu di antaranya bekerja penuh waktu. Sumbangan tahunan untuk proyek OpenSSL sekitar US $ 2.000. Situs Heartbleed dari Codenomicon menyarankan uang sumbangan untuk proyek OpenSSL. Setelah belajar tentang sumbangan untuk 2 atau 3 hari setelah pengungkapan Heartbleed yang sebesar US $ 841, Kaminsky berkomentar "Kami sedang membangun teknologi yang paling penting bagi ekonomi global pada infrastruktur mengejutkan kekurangan dana." Pengembang inti Ben Laurie telah memenuhi syarat proyek sebagai "benar-benar didanai". Meskipun OpenSSL Software Foundation tidak memiliki program karunia bug, inisiatif Bounty Bug Internet diberikan US $ 15.000 untuk Google Neel Mehta, yang menemukan Heartbleed, pengungkapan yang bertanggung jawab itu.
Paul Chiusano menyarankan Heartbleed mungkin dihasilkan dari ekonomi software gagal.
Respon kolektif industri terhadap krisis adalah Prakarsa Infrastruktur inti, multi-juta proyek dolar diumumkan oleh Linux Foundation pada tanggal 24 April 2014 untuk menyediakan dana untuk elemen-elemen penting dari infrastruktur informasi global. [180] Pendiri pendukung termasuk Amazon, Dell , Facebook, Fujitsu, Google, IBM, Intel, Microsoft, NetApp, Rackspace, VMware dan Linux Foundation. Inisiatif ini bermaksud untuk memungkinkan pengembang memimpin untuk bekerja penuh waktu pada proyek-proyek mereka dan membayar untuk audit keamanan, perangkat keras dan perangkat lunak infrastruktur, perjalanan, dan biaya lainnya. OpenSSL adalah kandidat untuk menjadi penerima pertama pendanaan inisiatif.
![Download Bleach Episode Lengkap 1-366 Tamat [Batch] Subtitle Indonesia](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjg7xSKCNNTN5Qt7Di1NNLFxoqX5xxz8RIAMvIokagQibdhLFsoRrLTknwsSfTTZ8LU39Fwpk5I6KiDaE_SoghX3sxRuf_XgqkrP3tVBBVCQ6zneSddsXDQbVA7AcWIgR7FcAIlWtSpouY_/s72-c/awesome-bleach-widescreen-high-definition-wallpaper-download-pictures-free.jpg "Download Bleach Episode Lengkap 1-366 Tamat [Batch] Subtitle Indonesia")
