Apakah itu Heartbleed?

Baru – baru ini di internet ramai masalah bug pada OpenSSL yang diberi nama Heartbleed. Saking berbahayanya bug ini membuat banyak situs yang menggunakan SSL (dalam protokolnya menjadi https://) mencabut (revoke) sertifikat SSLnya dan membuat yang baru, mengupdate versi OpenSSL ke yang terbaru, mereset seluruh password penggunanya atau memberikan peringatan supaya mengganti password yang digunakan.
heartbleed
Berikut ini adalah hal yang perlu anda ketahui mengenai Heartbleed, dan saya simpulkan dengan pemahaman saya sendiri.

Apa itu Heartbleed bug?

Bug ini memanfaatkan fungsi Heartbeat pada OpenSSL dan si hacker bisa mendapatkan isi dari memory pada server yang besarnya sampai 64KB. Ini bisa dilakukan berulang – ulang karena tidak bisa dideteksi kalau sedang diserang. Jadi dengan perlahan tapi pasti seluruh isi dari RAM server akan bisa diketahui rahasianya.

Untuk lebih mudah memahami  anda bisa membaca komik Heartbleed Explained dari xkcd.

Kenapa diberi nama Heartbleed?

Karena bug ini berasal dari implementasi protokol heartbeat (RFC6520) TLS/DTLS (Transport Layer Security Protocols). Kalau protokol “denyut jantung” ini dieksploitasi maka akan membocorkan isi memori dari server ke klien. Karena itu laha namanya kalau diartikan adalah “pendarahan jantung”.

Apa yang bisa didapatkan dengan Heartbleed ini?

Semuanya yang bisa disimpan dalam memori komputer akan bisa didapatkan, tinggal seberapa betahnya si penyerang meretas mengumpulkan informasi. Masalahnya yang diserang tidak akan mengetahui adanya tindakan ini karena tidak ada cara mendeteksinya secara langsung, yang bisa dilakukan oleh pemilik website adalah menganalisa log (catatan) akses pengunjung. Jadi username, email, password, nomor kartu kredit, private key dan yang lainnya ada kemungkinan bisa didapatkan.

OpenSSL versi berapa yang terkena?

OpenSSL versi 1.0.1 sampai 1.0.1f adalah korbannya, dan kalau dilihat ini sudah berada di internet sejak lebih dari 2 tahun (Desember 2011) yang lalu. Jadi besar sekali resikonya dan banyak yang sudah yakin kalau sudah digunakan bug ini.

Website apa saja yang menjadi korban?

Menurut perkiraan 66% dari website aktif (lebih dari 1/2 juta) menggunakan OpenSSL, dan karena versi OpenSSL yang terdapat bug ini sudah ada lebih dari 2 tahun maka kemungkinan besar situs yang anda gunakan terkena dampaknya.

Beberapa layanan atau  situs seperti Google, Facebook, Dropbox, GitHub, Instagram, Pinterest, Tumblr, Gmail, Yahoo, Yahoo Mail, Amazon Web Services, Etsy, GoDaddy, Flickr, YouTube, SoundCloud, Box, dan masih banyak lagi adalah yang menggunakan versi OpenSSL yang terdapat bug Heartbleed. Selengkapnya bisa dibaca di daftar 1000 website terpopuler apakah terdapat kelemahan Heartbleed bug ini atau tidak per tanggal 8 April 2014.

Bagaimana sekarang keadaannya, apakah sudah aman?

Sekarang hampir seluruh website yang diyakini memiliki kelemahan Heartbleed bug ini sudah dipatch dan diupdate, jadi tidak ada bahaya kedepannya. Tapi ini untuk sekarang, karena bug ini sudah ada lama maka tetap ada kemungkinan informasi sudah bocor sebelumnya.

Apa yang bisa saya lakukan?

Ganti seluruh password akun anda, cuma ini yang bisa dilakukan sambil menunggu website yang digunakan mengupdate versi OpenSSL dan mengganti sertifikat SSL yang digunakan.

2 pemikiran pada “Apakah itu Heartbleed?”

    • Haha… kesalahan ada di saya kalau ini, yang benar memang half a million = setengah juta atau 500.000. Terimakasih buat koreksinya. 🙂

Tulis komentar...