Bahaya juga bug Heartbleed ni. Minggu lepas kat lowyat.net pun hangat cerita benda yang sama. Pagi tadi pulak, symantec umumkan suruh berhati-hati dengan bug ni.
Sebenarnya, apa menatang heartbleed ni?
Bug ini menggunakan fungsi heartbeat (denyutan jantung) pada Open SSL dan boleh dapatkan segala maklumat dari memori server. Peningkan?
SSL atau Secure Socket Layer ni 1 protokol yang kita selalu guna tanpa sedar. Yer la. Macam login facebook, kita masukkan password (ayam). tapi dah ditukar password jadi bentuk bintang(****). Lepas tu dihantar ke server menggunakan TLS Transport Layer Security. Lebih kurang macam tu la cerita dia.
Tak faham jugak ? Tengok versi kartun di Xkcd (jangan risau, ini bukan link heartbleed)
Mana datang nama heartbleed?
Sebab asalnya dari protokol heartbeat. Jadi dari protokol heartbeat ni bila kebocoron maklumat berlaku, jadi la heartbleed (pendarahan jantung)
Siapa yang buat?
Hacker atau penggodam gunakan bug ini untuk mendapatkan username dan password seseorang dengan cara ini.
Apa lagi yang mereka boleh dapat?
Apa sahaja yang tersimpan alam memori komputer.
Macam mana mereka lakukan ?
Bila kita tekan link2 bangang yang kita pun tak tahu dari mana. Atau mungkin server yang kita guna dah dijangkiti.
Nak elak macam mana?
Siapa guna chrome boleh cuba Chromebleed.
Website apa yang terlibat?
Rujuk sini
Apa yang kita nak buat kalau terkena bug ni?
Tukar kata laluan
note : kebanyakan website yang dikatakan terkena bug ini dah update versi Open SSL, so kira agak selamat la kot. Siapa tahu?
No comments:
Post a Comment