1. Apa itu Heartbleed?
Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan
Heartbleed karena bug ini memanfaatkan fasilitas heartbeat yang ada di
OpenSSL
2. Hmm, bisa jelasin istilah-istilah itu gak? Gak terlalu ngerti..
Emang agak teknis sih. Penjelasan gampangnya: SSL itu adalah standar
keamanan yang akan mengenkripsi teks (seperti username dan password)
yang kamu kirim via browser. Contohnya ketika kamu buka www.facebook.com
dan memasukkan username dan password kamu, semua teks itu akan diacak
dulu. Jadi jika ada hacker yang mencoba menyabot koneksi dari komputer
kamu ke server Facebook cuma akan mendapatkan teks yang diacak dan sulit
dibaca.
Nah OpenSSL adalah salah satu teknik SSL tersebut. Dinamakan “open”
karena memang bersifat open source. Siapa saja bisa menyumbang fitur
tambahan di OpenSSL ini. Dan karena open source, OpenSSL banyak
digunakan di web server yang membutuhkan proses login.
3. Kalau heartbeat, apaan tuh?
Heartbeat itu salah satu fitur OpenSSL yang diperkenalkan tahun 2012.
Tujuan heartbeat adalah mengecek apakah komputer kamu masih terhubung ke
sebuah server. Soalnya, seringkali router—yang menjadi perantara antara
komputer kamu dengan server di internet—memutuskan hubungan jika
terjadi idle yang terlalu lama. Dengan heartbeat, komputer kamu bisa
mengetahui apakah masih terhubung dengan server yang dituju.
Prinsip kerjanya kurang lebih seperti gambar di bawah: komputer kamu
akan mengirimkan pesan berisi sebuah magic word dan jumlah karakter kata
tersebut. Nanti server akan membalas pesan tersebut dengan menyebutkan
magic word tersebut.
4. Kayaknya gak berbahaya. Kok bisa dimanfaatkan ya?
Fasilitas heartbeat ini memiliki kelemahan karena terlalu percaya dengan
komputer pengirim. Seperti ilustrasi di bawah, komputer hacker cuma
mengirimkan sebuah kata yang pendek (seperti melati) namun meminta
respon sebanyak 100 karakter. Server ternyata tidak mengecek kalau
melati hanya memiliki 6 karakter. Server langsung “memuntahkan” semua
karakter yang tersimpan di memori RAM-nya untuk memenuhi permintaan 100
karakter tersebut.
Dan 100 karakter hanyalah ilustrasi. Sang hacker bisa meminta sampai 64.000 karakter.
5. Emang apa yang disimpan di memori server?
Banyak sekali, termasuk informasi sangat rahasia. Atas nama kecepatan,
server secara terus-menerus akan menyimpan berbagai data di memorinya.
Seperti contoh di atas, memori server bisa menyimpan data nama, alamat
email, tanggal lahir, password, sampai nomor kredit kamu. Yang lebih
berbahaya, private key pun bisa disimpan di memori. Fyi, private key
adalah kunci rahasia yang digunakan server untuk membuka teks yang
diacak oleh OpenSSL tersebut. Private key ini seharusnya hanya diketahui
oleh sistem. Jika diketahui hacker, berarti semua data yang diacak
tersebut bisa dibuka sang hacker dengan mudah.
6. Waduh, terus kita harus gimana nih?
Bug Heartbleeding ini sebenarnya tanggung jawab penyedia situs. Mereka
harus mengganti OpenSSL ke versi terbaru, sekaligus membuat private key
baru. Untungnya, sang penemu Heartbleed telah menginformasikan bug ini
ke OpenSSL Foundation sebelum mengumumkannya ke publik. Alhasil, banyak
situs yang telah menanggulangi bug ini sebelum berita resminya beredar,
seperti Facebook, Google, dan beberapa situs besar lain.
Namun karena OpenSSL digunakan di sepertiga situs di internet (atau
sekitar 500 juta situs), masih banyak yang harus diperbaiki. Dan yang
membuat Heartbleed berbahaya adalah tidak ada jejak sedikitpun yang
menunjukkan apakah situs tersebut pernah dijebol menggunakan Heartbleed.
7. Waduh, situs favorit saya termasuk gak ya?
Coba cek di situs LastPass
ini. LastPass akan melihat engine di balik situs tersebut. Jika
menggunakan Apache atau Nginx, dua database engine yang menggunakan
OpenSSL, situs tersebut dinyatakan rentan (meskipun belum tentu sudah
dibobol). Kamu juga bisa melihat ke artikel Mashable ini yang mendaftar situs populer yang telah atau belum menambal kelemahan Heartbleed ini.
8. Kalau benar rentan, kita harus gimana?
Cara paling aman adalah tidak login ke situs tersebut untuk sementara
waktu—sebelum mereka mengganti OpenSSL-nya ke generasi terbaru. Jika
mereka sudah melakukan itu, baru kamu ganti password-nya dengan yang
baru.
Dan ingat-ingat username dan password lama yang kamu gunakan di situs
tersebut. Jika password itu kita gunakan di situs lain (situs B,
misalnya), ganti password di situs B. Takutnya, sang hacker berhasil
mendapatkan password kamu di situs A lalu menggunakannya di situs B.
9. Waduh, jadi repot ya. Siapa sih yang bikin gara-gara?
Eksperimen heartbeat ditambahkan oleh Robin Seggelmen, seorang
programmer asal Jerman, pada tahun 2011, dan dirilis ke publik pada
tahun 2012. Namun ia menyangkal kelemahan itu dilakukan secara sengaja.
Kode itu pun lolos dari validasi yang dilakukan Dr Stephen Henson yang
merupakan salah satu anggota inti OpenSSL Foundation.
10. Tapi untung ada yang nemuin. Eh, yang nemuin sapa sih?
Dia adalah Neel Mehta, salah satu anggota Google Security. Atas jasanya
tersebut, dia mendapatkan uang sebesar US$ 15 ribu dari Internet Bug
Bounty. Namun oleh Neel, uang itu langsung disumbangkan kepada yayasan
The Freedom of Press Foundation yang bergerak di bidang keamanan
komunikasi digital.
sumber: PCplus
Title : Apakah Heartbleed?
Description : 1. Apa itu Heartbleed? Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena bug ini memanfaatkan f...
Description : 1. Apa itu Heartbleed? Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena bug ini memanfaatkan f...
0 Response to "Apakah Heartbleed?"
Posting Komentar