Heartbleed ialah kelemahan kritikal yang ditemui dalam perpustakaan perisian kriptografi OpenSSL, membenarkan pencurian maklumat yang dilindungi oleh penyulitan SSL/TLS yang digunakan untuk melindungi Internet.
Gambaran Keseluruhan Sejarah: Membongkar Heartbleed
Heartbleed pertama kali didedahkan secara terbuka pada April 2014, ditemui secara bebas oleh jurutera keselamatan di Codenomicon dan Google. Ia adalah pepijat keselamatan dalam perpustakaan kriptografi OpenSSL, salah satu perpustakaan paling popular untuk perlindungan kriptografi di Internet. Ia dinamakan sedemikian kerana ia ditemui dalam bahagian "denyutan jantung" perpustakaan OpenSSL, iaitu sistem yang digunakan untuk memastikan sambungan hidup walaupun data tidak dikongsi.
Memperluas pada Heartbleed: Pandangan Lebih Dalam
Heartbleed secara khusus memberi kesan kepada sambungan "degupan jantung" OpenSSL. Ini ialah ciri pilihan dalam pelaksanaan OpenSSL bagi protokol Transport Layer Security (TLS), yang digunakan untuk mengekalkan sambungan selamat antara klien dan pelayan.
Kerentanan wujud dalam cara permintaan degupan jantung diproses. Dengan menghantar permintaan degupan jantung yang direka dengan berniat jahat, penyerang boleh menipu pelayan atau pelanggan untuk menghantar semula sejumlah besar data yang disimpan dalam ingatannya, jauh melebihi skop degupan jantung yang dimaksudkan.
Mekanisme Dalaman: Bagaimana Heartbleed Berfungsi
Mekanisme degupan jantung dalam OpenSSL berfungsi dengan menghantar permintaan kepada pelayan (permintaan "degupan jantung") dengan muatan dan panjang muatan. Pelayan kemudian mengulangi semula muatan untuk mengesahkan bahawa ia masih dalam talian dan mendengar.
Walau bagaimanapun, pepijat Heartbleed timbul kerana OpenSSL tidak mengesahkan bahawa panjang muatan yang dihantar dalam permintaan sepadan dengan muatan sebenar. Penyerang boleh menghantar permintaan degupan jantung dengan muatan yang kecil tetapi memberitahu pelayan bahawa ia menghantar muatan yang lebih besar, memperdaya pelayan untuk menghantar semula sehingga 64 kilobait memorinya. Memori ini boleh mengandungi apa-apa sahaja daripada nama pengguna dan kata laluan kepada kunci yang digunakan untuk penyulitan SSL.
Ciri Utama Heartbleed
- Kebocoran Data: Heartbleed boleh mendedahkan sejumlah besar data daripada memori pelayan, termasuk maklumat sensitif seperti kunci peribadi, nama pengguna dan kata laluan.
- Tidak dapat dikesan: Eksploitasi pepijat Heartbleed tidak meninggalkan kesan, menjadikannya sukar untuk dikesan dan menentukan sama ada sistem telah terjejas.
- Impak yang luas: Memandangkan penggunaan OpenSSL yang meluas, potensi skop kerentanan Heartbleed adalah besar, menjejaskan sebahagian besar pelayan web di Internet.
Jenis Serangan Berdarah Hati
Kerentanan Heartbleed boleh nyata dalam pelbagai cara, terutamanya berdasarkan jenis binaan OpenSSL yang digunakan dan peranan entiti yang terlibat.
| Jenis Serangan | Penerangan |
|---|---|
| Heartbleed sebelah pelayan | Penyerang menghantar permintaan degupan jantung berniat jahat kepada pelayan, memperdayakannya untuk bertindak balas dengan lebih banyak data daripada yang sepatutnya. |
| Heartbleed di pihak pelanggan | Penyerang menipu pelanggan untuk menyambung ke pelayan berniat jahat, mengeksploitasi kerentanan Heartbleed dalam pustaka OpenSSL pelanggan. |
Menangani Heartbleed: Masalah dan Penyelesaian
Eksploitasi Heartbleed menimbulkan masalah keselamatan yang teruk. Ia boleh mendedahkan maklumat sensitif, menjejaskan kunci kriptografi dan banyak lagi. Walau bagaimanapun, beberapa penyelesaian telah dilaksanakan:
- Menampal: Mengemas kini OpenSSL kepada versi yang tidak mengandungi kerentanan Heartbleed (OpenSSL 1.0.1g dan lebih baru) ialah penyelesaian yang paling langsung.
- Putaran Kekunci: Selepas menampal, adalah penting untuk menukar semua kunci dan sijil yang mungkin telah didedahkan.
- Perubahan Kata Laluan: Pengguna harus menukar kata laluan mereka selepas perkhidmatan yang terdedah telah menambal pelayan mereka.
Perbandingan dengan Kerentanan Serupa
Walaupun Heartbleed adalah kelemahan yang unik, terdapat orang lain yang turut menjejaskan keselamatan internet, seperti Shellshock dan PODLE. Kerentanan ini berbeza-beza dari segi perisian yang terjejas, kesan dan kebolehgunaan.
Perspektif dan Teknologi Masa Depan
Heartbleed telah mempengaruhi pembangunan protokol dan amalan keselamatan yang lebih baik, yang membawa kepada mekanisme yang lebih baik untuk mencari dan menampal kelemahan tersebut. Insiden itu telah menyerlahkan kepentingan audit keselamatan tetap, ujian automatik, dan keperluan penampalan serta kemas kini segera.
Pelayan Proksi dan Heartbleed
Pelayan proksi berdiri sebagai perantara untuk permintaan daripada pelanggan yang mencari sumber daripada pelayan lain. Jika pelayan proksi menggunakan OpenSSL, ia mungkin terdedah kepada Heartbleed, yang berpotensi membocorkan maklumat klien dan pelayan yang sensitif.
Walau bagaimanapun, menggunakan pelayan proksi yang dikemas kini dan selamat juga boleh menjadi sebahagian daripada strategi perlindungan terhadap Heartbleed. Dengan memastikan bahawa semua trafik diarahkan melalui proksi selamat, syarikat boleh menambah lapisan perlindungan tambahan untuk rangkaian dalaman mereka.
Pautan berkaitan
Untuk maklumat lebih terperinci tentang Heartbleed, anda boleh menyemak sumber berikut:
