Heart Bleed Bug Explained !!!

Recently a bug found in the SSL that the very profounded hackers in the world said was developed by the NSA itself is used for keeping a track of secrecy not only in the self country but also around the world. I would like to explain the full topic ” THE HEARTBLEED BUG”

Heartbleed – I think now it’s not a new name for you, as every informational website, Media and Security researchers are talking about probably the biggest Internet vulnerability in recent history. It is a critical bug in the OpenSSL’s implementation of the TLS/DTLS heartbeat extension that allows attackers to read portions of the affected server’s memory, potentially revealing users data, that the server did not intend to reveal.
As the world news broke out websites around the world flooded with the heartbleed articles, explaining how it works, how to protect, and exactly what it is. Yet many didn’t get it right. So based on the queries of Internet users, we answered some frequently asked questions about the bug.
OpenSSL– the encryption technology used by millions of websites to encrypt the communication and is also used to protect our sensitive data such as e-mails, passwords or banking information.
But a tiny, but most critical flaw called “Heartbleed” in the widely used OpenSSL opened doors for the cyber criminals to extract sensitive data from the system memory.
SSL and TLS are known to provide communication security and privacy over the Internet for applications such as websites, email, instant messaging (IM), including some virtual private networks (VPNs).
Heartbleed is a critical bug (CVE-2014-0160) is in the popular OpenSSL cryptographic software library, that actually resides in the OpenSSL’s implementation of the TLS (transport layer security protocols) and DTLS (Datagram TLS) heartbeat extension (RFC6520).
This bug was independently discovered by a team of security engineers (Riku, Antti and Matti) at Codenomicon, while improving the SafeGuard feature in Codenomicon’s Defensics security testing tools, and Neel Mehta of Google Security, who first reported it to the OpenSSL team.
Software vulnerabilities may come and go, but this bug is more critical as it has left the large number of private keys and other secrets exposed to the Internet. The heartbleed bug can reveal the contents of a server’s memory, where the most sensitive data is stored, including the private data such as usernames, passwords, and credit card numbers.
This could allow attackers to retrieve private keys and ultimately decrypt the server’s encrypted traffic or even impersonate the server.
“The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop on communications, steal data directly from the services and users and to impersonate services and users.”
Absolutely NO, It’s not a virus. The Heartbleed bug is a vulnerability resided in TLS heartbeat mechanism built into certain versions of the popular open source encryption standard OpenSSL, a popular version of the Transport Layer Security (TLS) protocol.

For SSL to work, your computer needs to communicate to the server via sending ‘heartbeats’ that keep informing the server that client (computer) is online (alive).
Heartbleed attack allows an attacker to retrieve a block of memory of the server up to 64kb in response directly from the vulnerable server via sending the malicious heartbeat and there is no limit on the number of attacks that can be performed.
It opens doors for the cyber criminals to extract sensitive data directly from the server’s memory without leaving any traces.

No, it has nothing to deal with a Man-in-the-Middle (MitM) attack. But using Heartbleed attack, one can manage to obtain the private encryption key for an SSL/TLS certificate and could set up a fake website that passes the security verification.
An attacker could also decrypt the traffic passing between a client and a server i.e. Perfect man-in-the-middle attack on HTTPS connection.

TLS heartbeats can be sent by either side of a TLS connection, so it can be used to attack clients as well as servers. An Attacker can obtain up to 64K memory from the server or client as well that uses an OpenSSL implementation vulnerable to Heartbleed (CVE-2014-0160).
Researcher estimated two-thirds of the world’s servers i.e. half a million servers are affected by the Heartbleed Bug, including websites, email, and instant messaging services.
here is a link demonstrating you can watch

Smartphone is the best practical example of Client side attacks.
All versions of Android OS include outdated versions of OpenSSL library, but only Android 4.1.1 Jelly Bean has the vulnerable heartbeat feature enabled by default. Blackberry also confirmed that some of its products are vulnerable to Heartbleed bug, whereas Apple’s iOS devices are not affected by OpenSSL flaw.
Google had patched the affected version Android 4.1.1, but it will take long time to deliver updated Android version to the end Smartphone users as updates to majority handsets are controlled by phone manufacturers and wireless carriers. Until users running the affected versions are vulnerable to the attacks, and hackers will definitely take advantage of this public disclosure.

IP phones, Routers, Medical devices, Smart TV sets, embedded devices and millions of other devices that rely on the OpenSSL to provide secure communications could also be vulnerable to Heartbleed bug, as it is not expected for these devices to get the updates soon from Google’s Android partners.
Yesterday, Industrial Control Systems-CERT also warned the critical infrastructure organizations (like energy, utilities or financial services companies) to beef-up their systems in order to defend against the Heartbleed attacks.

We actually can’t blame anyone developer, specially who are contributing to Open Source projects without money motivations.
Dr. Robin Seggelmann, a 31-year-old German developer who actually introduced the Heartbeat concept to OpenSSL on New Year’s Eve, 2011, says it was just a programming error in the code that unintentionally created the “Heartbleed” vulnerability.
“In one of the new features, unfortunately, I missed validating a variable containing a length”, went undetected by the code reviewers and everyone else for over two years. He claimed ‘I did so unintentionally’.

Bloomberg accused the National Security Agency (NSA) of knowing the Heartbleed bug for the last two years. Not even this, the report says the agency was using it continuously to gain information instead of disclosing it to the OpenSSL developers. But if it is so, then this would be one of the biggest developments in the history of wiretapping ever. However, the agency denied it saying NSA was not aware of Heartbleed until it was made public.
But when it comes to exploit any known vulnerability, then Hackers are most likely to be top on the list. As the flaw was so widely spread that it affected half a million websites worldwide, so after the public disclosure, the cybercriminals could reach the sites to steal credentials, passwords and other data, before the site operators apply the freely available patch.
There are multiple Proof-of-concept exploits available for the Heartbleed flaw:
Python Script
Metasploit Module
C Code
NMAP script
Python Script

Not exactly, as Heartbleed attack has the ability to leak anything from the server including your passwords, credit card details or any kind of personal information. But, in order to protect your online accounts you should at least change your passwords immediately for the sites that resolved the issue and for the sites not affected by the bug as well, just to make sure that you are safe.
First of all check if the sites you use every day on an individual basis are vulnerable to Heartbleed bug or not using following services or apps:, and if you’re given a red flag, avoid the site for now.
Provensec Scanner
GlobalSign SSL Configuration Checker
ADTsys Checker
The easiest way to keep you safe is to use a new add-on to the Chrome browser, Chromebleed, created by security researcher, Jamie Hoyle.
To check whether your Android devices are safe or not, you can install the Bluebox Heartbleed Scanner available on the Google Play Store. The Bluebox Heartbleed Scanner looks for apps installed on your device that have bundled their own version of OpenSSL and the scanner also checks the version of the library and whether heartbeat is enabled or not.
Well, nobody is sure at this point, because Heartbleed is stealthy as it leaves no traces behind and here the matter goes worse.
You may never know if you have been hacked using the flaw or not. This means that there is no way to tell if your information was stolen previously from a site or a service that has now fixed it.
But if you haven’t change the password to the popular sites yet, then yes, your password and financial information are still widely open to cybercriminals and other spying agencies.

First of all DON’T PANIC. You have to change your password everywhere, assuming that it was all vulnerable before, just to make sure that you are now safe. But hold on… If some sites are still affected by the flaw then your every effort is useless, as it’s up to the site to first fix the vulnerability as soon as possible , because changing the password before the bug is fixed could compromise your new password as well.
If you own a vulnerable SSL Service, then you are recommended to:
Upgrade the OpenSSL version to 1.0.1g
Request revocation of the current SSL certificate
Regenerate your private key
Request and replace the SSL certificate
Don’t reuse any old passwords and it is good practice to use two-factor authentication, which means with the password, the account requires a freshly generated pass code that shows up only on your personal smartphone, before getting into certain sites.
Stay Safe!
And so here it ends I hope you like it !!! 🙂
Have a nice day 8)

Source: https://evilzone.org/articles/heart-bleed-bug-explained-!!!/

Rao bán nỗi buồn trên mạng ảo

Thật ra, cuộc đời này cũng không quá bất công với ai, đừng tưởng tượng ra nỗi buồn của mình rồi đem rêu rao chúng tràn lan trên mạng ảo. Hoặc là, vì một vài ý nghĩ tiêu cực, mạng ảo hóa buồn phiền, bạn biết không?

Tôi hay bắt gặp những câu rao bán nỗi buồn trên mạng từa tựa như kiểu: Đang rảnh, ai có nhu cầu inbox để rủ rê lập hội đi chơi. Hay là, đang thèm ăn món này món kia mà không tiện (không muốn) đi mua ngay lập tức, liền gõ vài ba dòng chữ treo lên status như thể chỉ cần viết xong và click cho post bài là nỗi thèm ăn trôi tuột xuống.Nhiều người bạn của tôi tâm sự, vật bất ly thân của họ không phải là thứ gì quá đặc biệt, mà là cái điện thoại. Không phải vì họ cần giao tiếp quá nhiều với đối tác hay có chuyện quan trọng cần liên lạc với người thân, mà là do họ có thể nhởn nhơ online trên mạng bất cứ lúc nào, bất cứ nơi đâu, để rồi giữa chốn đông người cũng có thể ngồi thu lu một góc dán mắt vào màn hình điện thoại chỉ để nhoẻn cười một cái, hay nhăn mày nhíu mày một vài cái không đâu.

Giữa những chấm tròn màu xanh đang nhảy nhót on/off, mọi người vô tình để thời gian của mình trôi đi mất. Những người trẻ vội buôn bán nỗi buồn trên mạng ảo với bạn bè cùng trang lứa, hay thở ngắn than dài, đọc báo bình loạn thế sự nhiễu nhương… Những người trẻ đi tìm tình yêu đích thực của cuộc đời trên mạng ảo với những người xa lạ mà thông tin chỉ là một chuỗi eo hẹp được giới hạn bởi một vài gạch đầu dòng, thật ra cũng chẳng ai có thể kiểm chứng được đúng sai. Những người trẻ thường khoe cái “tôi” cá nhân hoành tràng bằng những phát ngôn gây sốc, để rồi nhận lại những phản hồi không mấy tích cực, lập tức tự thưởng cho mình một quỹ thời gian vô bổ khác để ngồi đôi co sai đúng với người, với đời-trên-mạng-ảo…

Tôi không biết sau này thế hệ con cháu của chúng ta, khi nhìn về quá khứ của ông bà, bố mẹ chúng sẽ phải ngạc nhiên đến độ nào. Chẳng hạn như việc kể về tuổi trẻ, thay vì những mùa hè xanh tình nguyện, thay vì những lớp học bổ ích, những kết nối cộng đồng với bạn bè đồng trang lứa qua các hoạt động ngoại khóa… lại là những câu chém gió sáo rỗng mà chúng ta từng treo trên mạng ảo. Nói rằng, thời của chúng ta chỉ loanh quanh luẩn quẩn ở cái nút “home” facebook hay twitter? Nói rằng, thời của chúng ta bạn bè rộng lớn lắm, là hàng trăm, hàng nghìn người bạn trong khi quả thật chúng ta chẳng biết rõ họ là ai. Nói rằng, thời của chúng ta buồn vui dễ dàng trao gửi, chỉ cần một cú click, post một câu status có vẻ giận dỗi với đời và câu hàng mấy chục, mấy trăm “like” là thích thú?

Thật ra, cuộc đời này cũng không quá bất công với ai, đừng tưởng tượng ra nỗi buồn của mình rồi đem rêu rao chúng tràn lan trên mạng ảo. Hoặc là, vì một vài ý nghĩ tiêu cực, mạng ảo hóa buồn phiền, bạn biết không?

Khắc phục lỗi không khởi động được Apache server khi cài đặt XAMPP trên Windows

Một số người bạn của mình có hỏi là tại sao khi cài đặt XAMPP rồi không thể khởi động được apache.


Mấy dòng chữ đỏ nó như thế này:

[Apache] Problem detected!
[Apache] Port 443 in use by ""C:\Program Files (x86)\VMware\VMware Workstation\vmware-hostd.exe" -u "C:\ProgramData\VMware\hostd\config.xml"" with PID 2064!
[Apache] Apache WILL NOT start without the configured ports free!
[Apache] You need to uninstall/disable/reconfigure the blocking application
[Apache] or reconfigure Apache and the Control Panel to listen on a different port

Lý do chủ yếu là do xung đột cổng 80 hoặc 443 của apache. Đa số các bạn cài XAMPP lên máy tính đều là lập trình viên, đo đó trên máy thường có các phần mềm khác có khả năng sử dụng chung cổng với Apache như Skype (chung cổng 80), VMWare (chung cổng 443).

Để giải quyết xung đột cổng, đơn giản là ta cho Apache sử dụng 1 cổng khác ngoài 80 hoặc 443.

Để đổi cổng 443, trong XAMPP Control Panel các bạn chọn nút config của apache, sau đó chọn httpd-ssl.conf như hình sau:


Lúc này sẽ mở ra một file text, các bạn tìm đến dòng

Listen 443

Các bạn sửa lại thành một số tùy thích, ở đây tôi sửa thành 8443.

Save lại, tắt file text đi và start Apache thôi. Nếu vẫn không được có thể bạn phải đổi cả cổng 80 nữa. Vẫn trong menu của nút config, chọn file httpd.conf tìm đến dòng Listen 80 và sửa lại thành một con số khác, ví dụ 8088. Save và start apache.

Nếu vẫn không được các bạn có thể để lại comment tại đây mình sẽ cố gắng hỗ trợ nếu có thể.

Cập nhật: Có nhiều bạn comment là đổi port rồi nhưng vẫn không được, mình có tìm hiểu thêm 1 trường hợp như sau các bạn có thể thử:

  • Vào menu Start của Windows, gõ services.msc
  • Tìm đến World Wide Web Publishing Service
  • Click chuột phải và chọn STOP
  • Khởi động lại XAMPP