Pertengahan bulan april 2014, jagad dunia internet dikejutkan dengan informasi yang menyebutkan bahwa terjadi celah keamanan utama di jantung keamanan internet itu sendiri dengan apa yang biasa kita sebut SSL (Secured Socket Layer). Celah keamanan ini ternyata telah memembocorkan informasi pribadi dan password pengguna untuk para hacker selama dua tahun terakhir.
Tidak diketahui seberapa banyak informasi pribadi yang telah dimanfaatkan oleh para hacker untuk memanfaatkan celah dari teknologi SSL ini. Namun yang jelas, dilansir oleh BBC bahwa ini merupakan salah satu masalah keamanan terbesar yang pernah dihadapi dunia internet sampai saat ini.
Seorang ahli keamanan internet Bruce Schneier berpendapat bahwa pada skala bahaya 1 sampai 10, masalah memiliki skala 11.
Apa itu Heartbleed bug?
Heartbleed Bug ini merupakan bagian dari perangkat lunak open source yang disebut OpenSSL yang dirancang untuk mengenkripsi komunikasi antara komputer pengguna dan server web, semacam jabat tangan rahasia pada awal pertukaran data antara server dan browser.
Celah yang diumumkan ke publik pada 7 april 2014 ini dijuluki "Heartbleed" karena mempengaruhi keseluruhan ekstensi untuk SSL (Secure Sockets Layer) yang para insinyur sebut sebagai detak jantung. Ini adalah salah satu alat enkripsi yang paling banyak digunakan di internet, diyakini diturunkan oleh sekitar dua-pertiga dari semua situs web. Jika Anda melihat simbol gembok kecil di browser Anda, maka kemungkinan bahwa Anda menggunakan SSL
Setengah juta situs di perkirakan telah terpengaruh / terkena dampak dari hearbleed.
Di dalam blog-nya kepala CTO dari Co3 System, Bruce Schneier, mengatakan: "Heartbleed bug memungkinkan setiap orang untuk membaca memori sistem yang dilindungi oleh perangkat lunak OpenSSL. Hal ini berkompromi dengan kunci rahasia yang digunakan untuk mengidentifikasi penyedia layanan dan mengenkripsi lalu lintas, nama dan password pengguna dan konten yang sebenarnya" katanya.
"Hal ini memungkinkan penyerang untuk membajak komunikasi, mencuri data langsung dari layanan dan pengguna dan untuk meniru layanan dan pengguna," tambahnya.
Bug ini begitu serius sehingga memiliki website sendiri Heartbleed.com yang menguraikan semua aspek dari masalah yang terjadi.
Apakah saya perlu untuk mengubah password saya ?
Beberapa ahli keamanan mengatakan bahwa hal itu akan lebih bijaksana untuk dimelakukannya meskipun ada tingkat kebingungan tentang kapan dan apakah ini perlu dilakukan .
Banyak perusahaan teknologi besar termasuk Google dan Facebook telah menutup celah kerentanan Heartbleed dalam aplikasi mereka, bahkan juru bicara Google Dorothy Chou secara khusus mengatakan : "Pengguna Google tidak perlu mengubah password mereka . "
Beberapa analis bahkan berpendapat akan ada banyak situs yang dikelola perusahaan berskala kecil hingga perorangan yang belum sadar akan bahaya ini. Berpikiran bahwa “hanya” melakuakn reset password dan masalah terselesaikan adalah tidak benar. Bahkan dalam beberapa kasus ini bisa menimbulkan lebih banyak kerugian karena akan mengungkapkan password lama dan baru untuk setiap calon penyerang.
Mikko Hypponen dari perusahaan kemaanan F -Secure mengeluarkan nasihat serupa : "Jaga password yang sangat penting bagi Anda Mungkin mengubahnya sekarang, mungkin mengubahnya dalam seminggu Dan jika Anda khawatir tentang kartu kredit Anda , periksa kredit Anda . . tagihan kartu kredit sangat erat ."
Bagaimana saya tahu bahwa password saya aman ?
Celah keamanan ini tidak berhubungan dengan tingkat kerumitan password anda, namun dengan permohonan pergantian password secara massif ini, mungkin anda dapat mulai berpikir untuk membuat password anda seaman mungkin.
Ada baiknya anda secara regular mengganti password anda, gunakanlah pula password yang tidak berhubungan langsung dengan identitas anda seperti nama binatang peliharaan anda salah satunya. Tips lain adalah menggunakan perpaduan huruf besar, huruf kecil, angka, dan simbol.
Situs apa yang terpengaruh ?
Ada setengah juta situs yang diyakini rentan sehingga terlalu banyak untuk daftar tapi saat ini berbagai situs keamanan seperti LastPass telah membuat tools untuk anda melakukan pemeriksaan secara online.
Lastpass: https://lastpass.com/heartbleed/
Filippo: https://filippo.io/Heartbleed/
Pada saat berita ini dibuat, Facebook dan Google mengatakan bahwa mereka telah mengupdate layanan mereka , namun menurut blog Kaspersky , ada daftar panjang situs yang masih rentan , termasuk Flickr , OkCupid dan Github
Banyak situs lain akan menghabiskan beberapa hari mendatang berebut untuk melakukan hal yang sama. Bruce Schneier meminta perusahaan-perusahaan internet untuk mengeluarkan sertifikat baru dan kunci untuk mengenkripsi lalu lintas internet. Hal itu akan membuat pencuri kunci tidak berguna, katanya.
Apa skenario terburuk ?
Kabar buruknya, menurut sebuah blog dari perusahaan keamanan Kaspersky adalah bahwa "mengeksploitasi Heartbleed tidak meninggalkan jejak sehingga tidak ada cara yang pasti untuk mengetahui apakah server hacked dan jenis data yang dicuri".
Para ahli keamanan mengatakan bahwa mereka mulai melihat bukti bahwa kelompok hacker yang melakukan scan otomatis dari internet untuk mencari server web menggunakan OpenSSL.
Dan Kaspersky mengatakan bahwa pihaknya telah menemukan bukti bahwa kelompok diduga terlibat dalam yang disponsori negara spionase langsung menjalan kan aktifitas pemantauan (cyber-espionage) tak lama setelah berita heartbleed ini beredar.
Mengapa masalah ini baru terungkap?
Bug pertama kali ditemukan oleh Keamanan Google dan perusahaan keamanan Finlandia Codenomicon yang mengatakan bahwa ini murni disebabkan oleh kesalahan pemrograman. Karena OpenSSL bersifat open source, peneliti mampu mempelajari kode secara rinci itulah sebabnya masalah ini baru terungkap awalnya..
"Itu seperti masalah tak terduga bahwa itu bukan hal yang para peneliti selalu cari," kata Prof Woodward BBC.
- Tentang Penulis
- Artikel Terbaru
