Tweet |
Heartbleed: Aplikasi turut terjejas
Anda menyimpan kata laluan di Internet seperti e-mel, laman sosial, setor ‘online’ dan sebagainya dengan harapan ia selamat disimpan agensi berkaitan yang menggunakan kaedah ketat mengawal keselamatan data daripada terjejas.
Namun, harapan yang disandarkan 100 peratus terbabit mungkin silap apabila baru-baru ini dunia dikejutkan dengan pepijat atau ‘bug’ yang dikenali sebagai Heartbleed menjangkiti sistem keselamatan berasaskan lapisan soket selamat terbuka (OpenSSL).
OpenSSL adalah sistem yang direka untuk melindungi data penting pengguna online seperti kata laluan, kad kredit, perbankan dan banyak lagi, namun Heartbleed boleh mengakibatkan pengguna lain mendapatkan maklumat itu dengan mudah melalui kebocoran data secara tidak sengaja.
Misalnya, anda yang membeli produk di perkhidmatan e-dagang online pasti memasukkan nombor kad kredit atau debit, maklumat peribadi seperti alamat penghantaran dan sebagainya yang mudah terdedah dengan Heartbleed.
Meskipun laman web terbabit mengguna pakai sistem keselamatan berasaskan OpenSSL yang enkripsi semua data itu daripada bocor, ia mudah dicapai, diubah atau boleh log masuk dengan data salah.
Terdapat agensi berita antarabangsa yang menuduh Agensi Keselamatan Kebangsaan (NSA) Amerika Syarikat sebagai dalang Heartbleed kerana ingin membolosi pangkalan data serta mendapatkan maklumat sensitif dan memantau komunikasi.
Pasukan Maklum Balas Kecemasan Komputer (MyCERT) yang bernaung di bawah Cybersecurity Malaysia melalui kenyataannya berkata, agensi terbabit menerima maklumat berkaitan masalah itu yang menjangkiti OpenSSL versi 1.0.1 yang mendedahkan maklumat sensitif pengguna kepada penggodam.
“Ia boleh mengakibatkan kebocoran data sistem yang memungkinkan sesiapa saja membaca memori sistem yang sepatutnya dilindungi perisian OpenSSL,” kata kenyataan itu.
MyCERT membekalkan perkakasan khas yang membantu pentadbir sistem teknologi maklumat (IT) memeriksa sama ada laman web HTTPS mereka terkesan dengan serangan itu melalui heartbleed.honeynet.org.my.
Sementara itu, Juruanalisis Ancaman Mudah Alih TrendLab di bawah Trend Micro, Veo Zhang berkata, kemelut bug Heartbleed bukan saja memberi kesan kepada laman web, malah ia turut mengancam peranti mudah alih.
“Sehingga kini ujian yang dijalankan menunjukkan lebih 600 daripada 10,000 laman teratas berdasarkan ranking Alexa terjejas seperti Yahoo, Flickr, OkCupid, Rolling Stone dan Ars Technica,” katanya.
Menurutnya, aplikasi mudah alih secara suka atau tidak juga terdedah kepada ancaman Heartbleed memandangkan ia berhubung dengan pelayan dan perkhidmatan web untuk menyelesaikan pelbagai fungsi.
“Katakan anda melakukan pembelian aplikasi dan untuk berbuat demikian anda perlu input butiran kad kredit anda.
“Selepas aplikasi mudah alih selesai melakukan transaksi terbabit untuk anda, data kad kredit anda boleh disimpan di dalam pelayan untuk tempoh yang tidak dapat ditentukan masanya,” katanya.
Menurutnya, tempoh singkat itu memungkinkan penjenayah siber mengeksploitasi Heartbleed untuk menyasarkan pelayan itu, seterusnya mencuri maklumat seperti nombor kad kredit yang anda baru masukkan.
“Selepas mengimbas 390,000 aplikasi Google Play, kami mendapati sekitar 1,300 aplikasi disambungkan ke pelayan yang terdedah.
“Antaranya termasuk 15 bank yang berkaitan dengan aplikasi, 39 kes membabitkan pembayaran online dan 10 kes e-dagang,” katanya.
Lebih membimbangkan, menurut Zhang, tidak banyak yang boleh dilakukan terhadap Heartbleed.
“Mereka (pembekal laman web) boleh memberitahu anda untuk menukar kata laluan tetapi itu tidak akan membantu jika pembangun aplikasi atau pembekal perkhidmatan web tidak mengubah sistem keselamatan mereka.
“Ia termasuk peningkatan kepada versi OpenSSL atau sekurang-kurangnya mematikan lanjutan Heartbleed,” katanya.
Beliau menasihatkan pengguna untuk memberhentikan pembelian aplikasi atau mana-mana transaksi kewangan sementara waktu sehingga pembangun aplikasi mengeluarkan ‘patch’ yang membaiki kelemahan.
Juruanalisis Kaspersky Lab, Brian Donohue pula berkata, data yang dienkripsi menggunakan protokol SSL/TLS digunakan penyedia laman web popular seperti Google, Facebook dan perbankan online.
“Heartbleed boleh mendedahkan memori pelayan 64KB kepada penggodam,” katanya.
Donohue memberi empat tip bagi mengelakkan penularan Heartbleed termasuk memeriksa laman web yang biasa dilawati, pantau pensijilan keselamatan, elakkan menggunakan pensijilan keselamatan lama dan tukar kata laluan anda.
4 tip mudah kesan Heartbleed
1. Periksa laman web yang biasa dilawati
Terdapat perkakasan yang membenarkan pengguna memeriksa sama ada ia terjejas dengan Heartbleed termasuk http://heartbleed.honeynet.org.my/ dikeluarkan MyCERT atau https://filippo.io/Heartbleed/.
Kebanyakan laman web seperti PayPal dan Google didapati tidak dijangkiti Heartbleed tetapi sebaliknya berlaku pada Yahoo, Facebook, Flickr, Duckduckgo, LastPass, Redtube, OkCupid dan sebagainya.
2. Pantau pensijilan keselamatan
Pastikan anda melihat kemas kini pensijilan keselamatan yang bertarikh 8 April ke atas bagi memastikan penyedia sudah memulihkan atau memantau taraf laman web masing-masing.
3. Elakkan melihat pensijilan lama
Untuk melihat tahap pensijilan keselamatan secara manual, klik pada butang kunci berwarna hijau di bar alamat laman web dan klik pada capaian ‘information’ pada tab ‘connection’.
4. Tukar kata laluan
Mahu tidak mahu, ia langkah paling ringkas tapi penting. Malah Kaspersky juga memperkenalkan aplikasi memeriksa kekuatan kata laluan melalui Password Checker. [Sumber]
No comments:
Post a Comment