2014/04/13

Heboh HeartBleed, Celah Keamanan di OpenSSL

Heboh HeartBleed, Celah Keamanan di OpenSSL - HeartBleed, Celah Keamanan di OpenSSL
Beberapa hari terakhir, dunia internet ramai membicarakan sebuah celah keamanan yang disebut sebagai "heartbleed" yang ditemukan pada protokol OpenSSL. Sebagian penyedia layanan web yang memakai OpenSSL untuk enkripsi data-nya pun harus menyalurkan patch untuk menangkal kerawanan yang timbul.

Dengan mengeksploitasi celah heartbleed pada OpenSSL, hacker bisa mencuri informasi meskipun sebuah situs atau penyedia layanan sudah melakukan enkripsi pada aliran datanya (ditandai dengan gambar "gembok" dan prefiks "https:" pada URL).

Apa Heartbleed dan Bagaimana Cara Kerja Heartbleed


Disebutkan bahwa, jika eksploitasi bug pada OpenSSL, seorang peretas (hacker) bisa saja mencuri informasi meskipun. Sederhananya cara kerja heartbleed ini seperti dijelaskan oleh Neel Mehta, peneliti dari Google yang menyebutkan, cacat Heartbleed ini memanfaatkan celah yang memungkinkan data penting yang kita kirimkan di jalur OpenSSL bisa diambil orang yang tidak berhak.

"Terminologinya seperti ini, OpenSSL itu seperti jalur aman yang menghubungkan komputer kita dengan situs tersebut. Setelah terhubung, sesekali komputer kita mengirimkan kode khusus (yang disebut heartbleed) di jalur aman tersebut untuk mengetahui apakah server di ujung sana masih terhubung. Nah, bug Heartbleed mengeksploitasi hal tersebut," kata Neel.

Neel Mehta menambahkan, kita bisa membuat kode yang menyamar sebagai heartbleed. Tidak cuma menyamar, heartbleed palsu itu bahkan bisa meminta server sebuah situs memberikan data yang tersimpan di memorinya.

Masalahnya menjadi semakin membesar karena OpenSSL ini digunakan oleh 66 persen dari semua layanan web di internet untuk mengenkripsi data sehingga celah keamanan heartbleed ini tersebar luas. Nama-nama besar penyedia layanan web, antara lain Gmail, Facebook, dan Yahoo, pun ikut terpengaruh.

Sedangkan menurut data Netcraft, 17% dari seluruh situs di dunia, atau sekitar 500 jutaan situs, terancam bug ini. Sementara itu tim OpenSSL juga telah menerbitkan versi terbaru untuk menangani cacat tersebut dengan menghadirkan OpenSSL 1.0.1g, dimana situs-situs besar seperti Yahoo, Google, Twitter telah menangani hal tersebut.

Dari sisi pengguna, tak ada yang bisa dilakukan untuk mengatasi bug ini kecuali menunggu penyedia layanan bersangkutan agar menambal celah heartbleed (heartbeat), lalu mengganti password untuk berjaga-jaga apabila kata kunci yang lama telah bocor.

Nah, berikut ini daftar beberapa layanan populer yang diketahui memiliki/tidak memiliki celah keamanan heartbleed.

Nama situs Apakah terdampak heartbeat? Apakah sudah ada patch? Haruskah mengganti password?
Facebook Ya Ya Ya
LinkedIn Tidak Tidak Tidak
Twitter Belum diketahui Belum diketahui Belum diketahui
Tumblr Ya Ya Ya
Apple Belum diketahui Belum diketahui Belum diketahui
Amazon Tidak Tidak Tidak
Google Ya Ya Ya
Microsoft Tidak Tidak Tidak
Yahoo Ya Ya Ya
Gmail Ya Ya Ya
Hotmail/ Outlook Tidak Tidak Tidak
Yahoo Mail Ya Ya Ya
Ebay Belum diketahui Belum diketahui Belum diketahui
PayPal Tidak Tidak Tidak
DropBox Ya Ya Ya
OkCupid Ya Ya Ya


Daftar lengkap nama layanan yang terkena dampak heartbleed bisa dilihat dalam sebuah daftar yang dibuat pada 8 April di sini. Semenjak daftar tersebut dipublikasikan, beberapa penyedia layanan telah menyalurkan patch untuk menambal celah keamanan yang ada.

Di samping melihat daftar tersebut, untuk memeriksa apakah sebuah situs atau layanan ikut terpengaruh oleh heartbleed atau tidak, pengguna internet bisa menggunakan tool dari Last Pass di sini.

Sumber: Mashable, Netcraft

Tinggalkan komentar dan ikutan mejeng di Recent Comments.
- Komentar dimoderasi untuk mencegah komentar spam dan double post. Jadi komentar tidak akan langsung muncul.
- Daftarkan nama di profil blogger agar tidak tampil Unknown.
- Jangan pernah menuliskan no. HP maupun e-mail, komentar akan dihapus/tidak di publikasikan demi keamanan anda sendiri.
- Lihat halaman kontak untuk berkomunikasi secara intens dengan penulis artikel.
Kamus EmoticonSembunyikan