Noong Lunes, ika-7 ng Abril, isang malaking kahinaan na kilala bilang "Heartbleed" ang natagpuan sa sikat na OpenSSL cryptographic library, na malawakang ginagamit sa mga application at web server. Ang mga site at serbisyo sa buong Internet ay abala sa pag-aayos ng kahinaan na ito at pag-update ng mga SSL certificate upang protektahan ang kanilang mga customer. Gaya ng sinabi, ang OpenSSL v1.0.1 hanggang 1.0.1f (inclusive) ay mahina at ang OpenSSL 1.0.1g na inilabas noong ika-7 ng Abril, 2014 ay nag-aayos ng bug na ito.
Sinabi ng isang sipi mula sa Heartbleed.com,
Ang Heartbleed Bug ay isang malubhang kahinaan sa sikat na OpenSSL cryptographic software library. Ang kahinaang ito ay nagbibigay-daan sa pagnanakaw ng impormasyong protektado, sa ilalim ng normal na mga kondisyon, ng SSL/TLS encryption na ginamit upang ma-secure ang Internet. Ang SSL/TLS ay nagbibigay ng seguridad sa komunikasyon at privacy sa Internet para sa mga application tulad ng web, email, instant messaging (IM) at ilang virtual private network (VPN).
Ang Heartbleed bug ay nagpapahintulot sa sinuman sa Internet na basahin ang memorya ng mga system na protektado ng mga masusugatan na bersyon ng OpenSSL software. Nagbibigay-daan ito sa mga umaatake na mag-eavesdrop sa mga komunikasyon, direktang magnakaw ng data mula sa mga serbisyo at user, at magpanggap bilang mga serbisyo at user.
Suriin kung ang iyong site o Android Phone ay apektado ng Heartbleed bug –
Mayroong ilang mga serbisyo na maaaring magsabi sa iyo kung ang site na ipinagkatiwala mo sa iyong impormasyon ay mahina o mahina pa rin, at kung kailan na-update ang certificate nito.
Pagsusulit sa Heartbleed ni Filippo Valsorda – filippo.io/Heartbleed
Maglagay ng URL o hostname para Subukan ang iyong server para sa Heartbleed (CVE-2014-0160). Maaari mong tukuyin ang isang port tulad nito example.com:4433
. 443 bilang default.
LastPass Heartbleed checker – lastpass.com/heartbleed
Tingnan kung ang isang site ay mahina sa Heartbleed. Ipinapakita nito ang software ng server ng site, nagsasabi kung ito ay mahina at kung ligtas na ngayon ang SSL certificate at kailan huling ginawa.
Chromebleed (extension ng Google Chrome)
Nagpapakita ng babala kung ang site na iyong bina-browse ay apektado ng Heartbleed bug. Sinusuri nito ang URL ng pahina gamit ang serbisyo ng Filippo. Kapaki-pakinabang kung hindi mo gustong suriin nang manu-mano ang mga site.
Si Mashable ay sumunod sa isang kawili-wiling listahan ng mga kilalang site na nagsasaad ng kanilang kasalukuyang katayuan, kung sila ay naapektuhan, at kung dapat mong baguhin ang iyong password.
Heartbleed Detector para sa Android –
Ang mga user ng Android ay madaling masuri kung ang kanilang Android device ay mahina sa HeartBleed bug gamit ang isang libreng app na tinatawag na "Heartbleed Detector" mula sa Lookout Mobile Security. Tinutukoy ng app kung anong bersyon ng OpenSSL ang ginagamit ng iyong device. Kung nagpapatakbo ang iyong device ng isa sa mga apektadong bersyon ng OpenSSL, susuriin nito upang makita kung pinagana o hindi ang partikular na vulnerable na gawi.
Gayunpaman, kung mahina ang iyong device, walang kinakailangang aksyon na maaari mong gawin, maliban kung may inilabas na patch ng Google o ng manufacturer ng iyong device.
Mga Tag: AndroidSecurity