Bug (atau disebut kesalahan pada komputer) Heartbleed menjadi kehebohan di dunia internet sejak tanggal 7 April lalu yang ditemukan oleh dua kelompok Security Engineer yang berbeda, Riku, Antti and Matti dari Codenomicon dan Neel Mehta dari Google Security, yang pertama kali melaporkan kepada tim OpenSSL. Keduanya menemukan bug ini secara terpisah, namun di hari yang sama. Bug ini didaftarkan menggunakan referensi CVE-2014-0160 pada Common Vulnerabilities and Exposures, sebuah metode referensi untuk publikasi kelemahan terhadap keamanan informasi. Agar namanya mudah diingat (ketimbang CVE-2014-0160), maka team Codenomicon memberikan istilah Heartbleed.
Bug ini terdapat pada implementasi SSL/TLS (Secure Socket Layer/Transport Layer Security) OpenSSL. OpenSSL adalah default engine untuk melakukan proses enkripsi yang digunakan oleh WebServer Apache dan Nginx, dimana menurut Netcraft menangani lebih dari 66% website seluruh dunia. Secara ringkas, SSL/TLS (Secure Socket Layer / Transport Layer Security) adalah sebuah mekanisme untuk melakukan enkripsi data di Internet. Tujuannya agar informasi sensitif (password, kartu kredit, chatting, dll) tidak dapat dilihat dan disadap oleh orang lain.
Heartbeat adalah cara yang digunakan oleh client (Misalnya: browser kita) dan server (website bank) untuk saling memeriksa apakah satu sama lain hidup. Hal ini sama dengan perintah ping, untuk mengetahui apakah satu host hidup atau mati. Hal ini juga terjadi pada implementasi OpenSSL, heartbeat digunakan untuk mengetahui masih terkoneksinya ‘lawan bicara’. Namun yang menjadi bencana adalah, pada versi OpenSSL yang bermasalah penyerang dapat mengirimkan pesan heartbeat dan ‘mencuri’ informasi apapun yang ada dalam memory server. Versi OpenSSL yang terkena dampak ini adalah OpenSSL 1.0.1 through 1.0.1f (inclusive). Dapat dibayangkan jika server sedang memroses password, maka informasi password tersebut ada dalam memori dan dapat dicuri oleh penyerang.
Bahaya bug ini adalah memungkinkan hacker untuk mengambil informasi dari server, mulai dari password, informasi sensitif bahkan primary key dari system enkripsi yang dapat mengakibatkan terbukanya semua pesan dan data terenkripsi.
Sudah banyak website yang dilaporkan terserang bug ini antara lain Amazon Web Service, Dropbox, Gmail, Facebook, YouTube, dan Twitter.
Bahkan banyak publikasi yang menunjukkan bahwa password Yahoo mail sudah dapat dijebol. Fakta-fakta ini yang menyebabkan bahwa Heartbleed disebut sebagai salah satu ancaman keamanan terbesar dalam sejarah internet.
Sebagai user internet kita dapat melakukan beberapa langkah di bawah ini untuk memastikan apakah kita aman dari bug Heart Bleed yaitu :
- Lakukan monitoring terhadap account dan informasi sensitif lainnya yang Anda miliki pada layanan online. Apakah terdapat aktifitas yang tidak wajar?
- Tunggu pengumuman resmi dari website atau layanan, mengenai kondisi mereka. Apakah mereka menggunakan versi OpenSSL yang rentan terhadap Heartbleed? Jika belum ada penjelasan resmi, mintalah.
- Pastikan penyedia layanan sudah mengupdate versi OpenSSL, jika masih menggunakan versi yang rentan. Ganti password anda setelah penyedia layanan memperbaiki sistemnya.
- Mengganti password selama sistem masih rentan akan tetap berisiko.
sumber : inet.detik.com (dengan beberapa perubahan)
Tidak ada komentar:
Posting Komentar