RSS

Heart Bleed (Debug Internet)

14 Jul

Bulan lalu saya mendapatkan pemberitahuan dari aplikasi anti-virus di smartphone android yang saya gunakan untuk menginstall anti-virus khusus untuk Heart Bleed. Ketika itu saya hanya mengetahui bahwa terdapat bug baru yang sangat berbahaya bagi android,maka saya menginstall aplikasi tersebut tanpa mengetahui lebih jauh tentang Heart Bleed. Dan dengan adanya artikel ini Anda dan saya dapat mengetahui lebih jauh mengenai bahaya bug Heart Bleed.
Bug (atau disebut kesalahan pada komputer) Heartbleed menjadi kehebohan di dunia internet sejak tanggal 7 April lalu yang ditemukan oleh dua kelompok Security Engineer yang berbeda, Riku, Antti and Matti dari Codenomicon dan Neel Mehta dari Google Security, yang pertama kali melaporkan kepada tim OpenSSL. Keduanya menemukan bug ini secara terpisah, namun di hari yang sama. Bug ini didaftarkan menggunakan referensi CVE-2014-0160 pada Common Vulnerabilities and Exposures, sebuah metode referensi untuk publikasi kelemahan terhadap keamanan informasi. Agar namanya mudah diingat (ketimbang CVE-2014-0160), maka team Codenomicon memberikan istilah Heartbleed.

Bug ini terdapat pada implementasi SSL/TLS (Secure Socket Layer/Transport Layer Security) OpenSSL. OpenSSL adalah default engine untuk melakukan proses enkripsi yang digunakan oleh WebServer Apache dan Nginx, dimana menurut Netcraft menangani lebih dari 66% website seluruh dunia. Secara ringkas, SSL/TLS (Secure Socket Layer / Transport Layer Security) adalah sebuah mekanisme untuk melakukan enkripsi data di Internet. Tujuannya agar informasi sensitif (password, kartu kredit, chatting, dll) tidak dapat dilihat dan disadap oleh orang lain.

Heartbeat adalah cara yang digunakan oleh client (Misalnya: browser kita) dan server (website bank) untuk saling memeriksa apakah satu sama lain hidup. Hal ini sama dengan perintah ping, untuk mengetahui apakah satu host hidup atau mati. Hal ini juga terjadi pada implementasi OpenSSL, heartbeat digunakan untuk mengetahui masih terkoneksinya ‘lawan bicara’. Namun yang menjadi bencana adalah, pada versi OpenSSL yang bermasalah penyerang dapat mengirimkan pesan heartbeat dan ‘mencuri’ informasi apapun yang ada dalam memory server. Versi OpenSSL yang terkena dampak ini adalah OpenSSL 1.0.1 through 1.0.1f (inclusive). Dapat dibayangkan jika server sedang memroses password, maka informasi password tersebut ada dalam memori dan dapat dicuri oleh penyerang.

Bahaya bug ini adalah memungkinkan hacker untuk mengambil informasi dari server, mulai dari password, informasi sensitif bahkan primary key dari system enkripsi yang dapat mengakibatkan terbukanya semua pesan dan data terenkripsi.
Sudah banyak website yang dilaporkan terserang bug ini antara lain Amazon Web Service, Dropbox, Gmail, Facebook, YouTube, dan Twitter.

Bahkan banyak publikasi yang menunjukkan bahwa password Yahoo mail sudah dapat dijebol. Fakta-fakta ini yang menyebabkan bahwa Heartbleed disebut sebagai salah satu ancaman keamanan terbesar dalam sejarah internet.

Sebagai user internet kita dapat melakukan beberapa langkah di bawah ini untuk memastikan apakah kita aman dari bug Heart Bleed yaitu :

 

  1. Lakukan monitoring terhadap account dan informasi sensitif lainnya yang Anda miliki pada layanan online. Apakah terdapat aktifitas yang tidak wajar?

 

  1. Tunggu pengumuman resmi dari website atau layanan, mengenai kondisi mereka. Apakah mereka menggunakan versi OpenSSL yang rentan terhadap Heartbleed? Jika belum ada penjelasan resmi, mintalah.

 

  1. Pastikan penyedia layanan sudah mengupdate versi OpenSSL, jika masih menggunakan versi yang rentan. Ganti password anda setelah penyedia layanan memperbaiki sistemnya.

http://dhavid.com/heart-bleed-ganti-passwordmu-sekarang-juga/

 

  1. Mengganti password selama sistem masih rentan akan tetap berisiko.
 
Tinggalkan komentar

Ditulis oleh pada Juli 14, 2014 in Tugas Kuliah

 

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: