Beberapa bulan
yang lalu dunia dibuat ramai dengan isu-isu penyadapan yang dilakukan beberapa
badan intelejen seperti Amerika, Inggris terhadap aktifitas pengguna internet di seluruh dunia. Masih berhubungan
dengan kejadian tersebut, pada tanggal 7 April 2014 dunia internet kembali memanas
dengan kekhawatiran pasalnya muncul penemuan baru mengenai adanya suatu bug yang sangat berbahaya yang mengancam
keamanan proses transfer data dari pengguna internet ke hampir seluruh server
yang ada saat ini. Bug tersebut
terdapat pada aplikasi OpenSSL.
Pengertian OpenSSL
OpenSSL
adalah sebuah toolkit kriptografi yang dijalankan pada protokol jaringan Secure Socket Layer
(SSL) dan Transport Layer Security
(TLS). Tujuan diciptakannya OpenSSL adalah untuk membuat aman aliran data dari
komputer pengguna ke suatu server yang dituju.
OpenSSL mulai
diterapkan pada akhir tahun 1998, yang dikembangkan secara Open Source dan merupakan sebuah proyek kolaborasi dari para programmer di seluruh dunia. Oleh karena
itu OpenSSL menjadi toolkit keamanan
situs yang banyak digunakan, termasuk situs-situs besar yang ada saat ini
seperti Facebook, Google, Amazon, maupun Yahoo.
OpenSSL terus
dikembangkan oleh para programmer di
seluruh dunia, hingga pada tahun 2011 silam bencana dimulai. Bencana tersebut
adalah ditemukannya suatu celah keamanan yang memungkinkan para hacker dengan mudah dapat mencuri data
penting seperti username dan password pengguna ketika mengakses
situs-situs yang menggunakan OpenSSL.
Pengertian Heartbleed
Heartbleed adalah
sebuah bug yang ada di dalam kriptografi
OpenSSL. Kriptografi itu digambarkan menyerupai grafik detak jantung pada alat
monitoring detak jantung. Perlu diketahui bahwa Heartbleed bukanlah virus. Heartbleed
adalah celah keamanan di salah satu ekstensi OpenSSL yang disebut Heartbeat. Tujuan heartbeat adalah memeriksa apakah
komputer peengguna masih terhubung ke sebuah server. Prinsip kerjanya kurang
lebih seperti ini, komputer pengguna mengirimkan pesan “kata” dan jumlah
karakter “kata” tersebut. Kemudian server akan membalas pesan tersebut dengan
menyebutkan ulang “kata” yang dikirim tersebut.
Heartbleed
membuka celah agar setiap orang di internet mengakses lalu lintas memori yang
berlangsung dari server ke client,
begitu pula sebaliknya. Akses dari lalu lintas memori itu bisa memberikan
kesempatan kepada hacker agar bisa
memperoleh kunci masuk dan mengakses ke dalam sebuah layanan milik orang lain.
Setelah itu hacker dengan mudah dapat
mengambil informasi pribadi pengguna seperti username, password, kartu kredit dan data penting lainnya. [USM 14]
Munculnya Heartbleed
Karena Heartbleed merupakan bug
di ekstensi Heartbeat, maka bug ini muncul ketika Heartbeat diimplementasikan di OpenSSL.
Ekstensi Heartbeat dibuat oleh Dr.
Robin Seggelmann seorang programmer asal Jerman pada tahun 2011. Dr. Robin Seggelmann
mengungkapkan bahwa cacat yang bernama Heartbleed tercipta ketika dia ikut serta dalam proyek
pembaharuan protokol enskripsi OpenSSL dua tahun yang lalu. Pada proyek
tersebut juga ada penambahan fitur OpenSSL dimana dalam fitur baru tersebut
terdapat sebuah variabel cacat yang lepas dari perhatian Seggelmann juga
rekan-rekannya, dan kesalahan itulah yang dikenal dengan bug Heartbleed.
Fitur atau
ekstensi ini kemudian direview oleh Dr. Stephen N. Henson salah satu dari empat
core developer OpenSSL yang
ternyata juga gagal menyadari adanya bug
di ekstensi tersebut. Heartbeat pun
akhirnya dijadikan sebagai ekstensi OpenSSL yang aktif secara default dan mulai diadopsi oleh banyak
pengelola website sejak dirilisnya
OpenSSL versi 1.0.1 pada 14 Maret 2012.
Penyebaran Heartbleed
Setidaknya 2/3 website di dunia menggunakan proteksi OpenSSL, sehingga penyebaran Heartbleed bisa dikatakan cukup banyak. Website besar seperti Google, Gmail,
Facebook, Dropbox, Yahoo, Flickr, Instagram, Pinterest, dan berbagai website populer lainnya juga tidak
terhindarkan dari Heartbleed ini.
Mengetahui Website yang Terkena Heartbleed
A. Dari sisi pengguna
Cara cek website yang terkena Heartbleed
adalah dengan menggunakan Heartbleed Test dari Filippo ataupun dari McAfee. Heartbleed Test ini
merupakan sebuah aplikasi berbasis web yang dapat digunakan untuk mengetahui
suatu website kebal dari ancaman Heartbleed atau tidak.
Contoh penggunaan Heartbleed Test Filipo
- Masuk ke halaman website Fillipo di https://filippo.io/Heartbleed/
- Masukkan URL website yang ingin dicek pada kolom yang tersedia, sebagai contoh masukkan facebook.com pada kolom lalu klik Go!
- Jika hasilnya vulnerable maka website tersebut masih belum kebal terhadap Heartbleed. Namun jika hasilnya seperti pada tampilan di bawah ini, website tersebut sudah kebal dari ancaman Heartbleed.
Bisa juga menggunakan add on pada browser yang digunakan untuk semakin
memudahkan melihat apakah website
yang dikunjungi sudah kebal terhadap Heartbleed
atau belum.
Seperti pada browser Mozilla Firefox
dapat menggunakan Addon-Foxbleed atau Extension-Heartbleed atau Chromebleed pada
browser Google Chrome. Caranya adalah dengan meng-add ekstensi Heartbleed
pada salah satu browser yang
digunakan. Contohnya adalah pada tampilan di bawah ini, add on pada browser Mozilla Firefox.
B. Dari sisi pengelola website
Cara melakukan pengecekan website yang terkena Heartbleed dari sisi pengelola website adalah dengan cara cek versi
OpenSSL di server yang digunakan. Jika versi OpenSSL di server yang digunakan
adalah 1.0.1 hingga 1.0.1f, maka server tersebut belum kebal terhadap Heartbleed.
Cara Mengatasi Heartbleed
i. Bagi pengguna
Mengganti
Pasword
Segera mengganti password setelah Heartbleed ditemukan. Hal ini salah dan kurang tepat, jangan
buru-buru mengganti password sebelum website tersebut kebal terhadap Heartbleed. Jika situs yang digunakan
belum kebal terhadap Heartbleed,
tunggu dulu hingga pengelola website
melakukan patch terhadap OpenSSL di
servernya. Setelah situs tersebut kebal terhadap Heartbleed, barulah ganti password
dengan yang baru.
Mengganti password saat situs tersebut belum kebal terhadap Heartbleed cukup berbahaya. Si attacker masih bisa mencuri lagi password baru tersebut. Mereka baru
tidak bisa mengambil detail password
baru jika OpenSSL di server situs tersebut sudah di patch oleh pengelolanya.
Mengganti Pasword
Berbeda Tiap Layanan Situs
Solusi lainnya adalah dengan
menggunakan satu password untuk satu
situs. Dengan begitu jika tanpa sengaja menggunakan layanan website yang belum kebal terhadap Heartbleed, dan si attacker berhasil mengambil detail akun, maka dia tidak bisa
membobol akun di layanan-layanan lainnya.
ii. Bagi Pengelola Situs
Jika server yang digunakan masih menggunakan OpenSSL
1.0.1 hingga 1.0.1f, segera update
OpenSSL tersebut ke versi 1.01g. Cara mengupdatenya bervariasi tergantung dari
OS apa yang digunakan di server. Jangan lupa juga ingatkan pengguna untuk
mengganti password mereka atau bisa
sedikit memaksa dengan melakukan reset
password semua pengguna. Ini semua demi keamanan pengguna layanan di situs.
[FEB 14]
Daftar Pustaka
[USM 14] Usman,
Sarip. (2014). "Mengenal Heartbleed Bug pada OpenSSL". [Online].
Tersedia: http://www.mandalamaya.com/mengenal-heartbleed-bug-pada-openssl [6
Juni 2014 19.35]
[FEB 14] Febian.
(2014). "Apa Itu Heartbleed, Bagaimana Cara Mengatasinya, dan Kabar Sesat
Mengenainya". [Online]. Tersedia:
http://winpoin.com/apa-itu-heartbleed-bagaimana-cara-mengatasinya-dan-kabar-sesat-mengenainya
[6 Juni 2014 19.40]
Semoga Bermanfaat :)
Tidak ada komentar:
Posting Komentar