Teror Heartbleed sempat membuat pengguna internet di seluruh dunia ketar-ketir. Bagaimana tidak? Bug ini secara progresif merusak keamanan SSL berbagai website di dunia dan berpotensi membobol data maupun password pengguna yang mengunjunginya.

Di tengah kegalauan tersebut, Trend Micro menawarkan perlindungan pada perangkat komputer dan mobile melalui dua scanner yang dapat diakses secara gratis. Dengan scanner tersebut, pengguna bisa melakukan verifikasi apakah mereka sedang berkomunikasi dengan server yang terinfeksi Heartbleed atau tidak.

Bertitel Trend Micro Heartbleed Detector yang merupakan sebuah plug-in pada browser Chrome dan Android mobile app, kedua scanner tersebut masing-masing bisa diunduh melalui Chrome Web Store dan Google Play Store.

Dengan Heartbleed Detector, pengguna bisa mengecek apakah URL website dan aplikasi mobile yang terinstal pada perangkat tersebut rawan akan OpenSSL bug atau tidak. Jika iya, maka scanner tersebut akan memberikan peringatan kepada pengguna dan memberikan pilihan untuk meng-uninstall aplikasi yang dimaksud.

"Melihat bahwa kini berbelanja aplikasi dan melakukan transaksi melalui perangkat mobile adalah sesuatu yang lazim, Trend Micro merasa perlu menghadirkan solusi yang dirancang untuk memberikan perlindungan penuh. Kami menganggap ancaman Heatbleed adalah masalah yang serius dan akan muncul di kemudian hari," ujar Dhany Sulistyo, Sales Director Trend Micro.

Nah, jika kamu ingin menikmati fasilitas gratis dari scanner anti-Heartbleed tersebut, kunjungi saja tautan berikut ini atau mobile link berikut. Kapan lagi bisa mendapatkan layanan keamanan internet secara gratis?

Learn more »

Ibaratnya dua partai politik yang senang berbalas puisi, pengguna Microsoft Windows sering menjadi sindiran pengguna OS lain karena sering menjadi sasaran utama malware dan eksploitasi celah keamanan. 

Namun kelihatannya hukum karma berlaku, bug Heartbleed yang dipublikasikan awal April 2014 menggemparkan komunitas open source dan mayoritas OS open source yang menggunakan OpenSSL mengalami kerentanan atas bug tersebut. 

Di sini terlihat bahwa sebenarnya sekuriti bukan ditentukan oleh apa produk/merek OS yang Anda pakai. Pada prinsipnya semua produk ciptaan manusia tidak ada yang sempurna sehingga penggunanya harus selalu waspada. 

Kalau di dunia PC, OS komputer Microsoft Windows adalah rajanya seperti Android yang merajai dunia smartphone, maka OpenSSL dapat dikatakan sebagai raja di dunia pengamanan koneksi dan digunakan oleh lebih dari 2/3 webserver dunia (Apache dan Nginx). 

Selain itu, OpenSSL juga banyak digunakan oleh pembuat aplikasi khususnya aplikasi yang membutuhkan pengamanan akses kredensial seperti security appliances dan router. Seperti beberapa jenis produk hardware Cisco dan Juniper ternyata juga mengadopsi OpenSSL dalam perangkatnya. 

Kabar buruknya, eksploitasi terhadap bug hearbleed tidak meninggalkan jejak. Berbeda dengan aksi peretasan webserver dimana aktivitas dan informasi IP peretas akan disimpan dalam file log yang bisa membantu analisa dan pelacakan aksi yang dilakukan peretas, eksploitasi terhadap heartbleed tidak meninggalkan jejak atau sesuatu yang abnormal di log server.

Bug Heartbleed

Untuk Anda yang awam dengan istilah komputer, bug bukanlah virus atau malware. Bug adalah kesalahan atau cacat dalam program yang mengakibatkan program berjalan tidak seperti yang diharapkan atau menjadi berperilaku tidak wajar. 

Tidak semua bug memberikan dampak buruk atau kerugian besar. Beberapa bug memberikan dampak ringan dan tidak terlalu mengganggu dan terkadang tidak terdeteksi dalam jangka waktu yang lama. 

Bug yang lain memberikan dampak lebih besar seperti mengakibatkan program crash/hang atau BSoD (Blue Screen of Death). Yang paling berbahaya adalah bug yang mengakibatkan celah sekuriti atau security bug seperti Heartbleed bug ini. 

Heartbleed bug adalah bug (cacat program) yang terkandung di dalam Heartbeat. Heartbeat adalah ekstensi (program pendukung) bagi OpenSSL. 

OpenSSL adalah protokol pengamanan otentikasi open source yang paling banyak digunakan oleh penyedia layanan di internet dunia yang membutuhkan pengamanan kriptografi otentikasi.

Dinamakan Heartbleed karena terkandung di dalam ekstensi Heartbeat dari TLS/DTLS (Transport Layer Security Protocol) dengan identifikasi CVE-2014-0160 yang informasi resminya bisa diakses dari https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160. 

Heartbleed pada OpenSSL mengakibatkan bocornya informasi penting yang seharusnya terlindungi oleh enkripsi SSL/TLS yang selama ini digunakan untuk melindungi privasi dan pengamanan komunikasi pada aplikasi internet seperti web, email, instant messaging dan VPN.

Heartbleed memungkinkan siapapun di internet membaca memori sistem yang menggunakan versi OpenSSL yang mengandung bug ini, lebih tepatnya lagi Heartbleed secara sukarela memberikan informasi SSL yang tadinya terenkripsi dan setelah didekripsi lalu diberikan kepada komputer yang mengeksploitasi bug ini (Terimakasih kepada bung Hais Wahyu atas informasi teknis Heartbleed). 

Hal ini memungkinkan kriminal untuk mencuri dengar, mengambil data dari server atau pengguna layanan atau menyaru sebagai layanan palsu atau pengguna layanan palsu. Data yang rentan bocor adalah terutama (namun tidak hanya terbatas pada) kunci rahasia pengamanan enkripsi SSL dan kredensial.

Adapun versi OpenSSL yang rentan adalah OpenSSL 1.0.1 – 1.0.1f. OpenSSL 1.0.0 dan 0.9.8 tidak rentan. OpenSSL 1.0.1g merupakan versi update menambal celah keamanan tersebut. Sedangkan OS Opensource yang terkait celah keamanan ini adalah:
• Debian Wheezy
• Ubuntu 12.04.4 LTS
• CentOS 6.5
• Fedora 18
• OpenBSD 5.3
• FreeBBSD 10.0
• NetBSD 5.0.2
• OpenSUSE 12.2

Selain OS open source di atas, aplikasi yang menggunakan OpenSSL yang rentan juga perlu melakukan update seperti IPCop, LibreOffice, LogMeIn dan beberapa versi software sekuriti dan aplikasi McAfee. Selain itu, beberapa layanan game seperti Minecraft, Wargaming, League of Legends dan Steam juga memanfaatkan OpenSSL.

Mendeteksi Heartbeat

Jika Anda ingin mendeteksi apakah suatu situs mengandung bug heartbleed, saat ini sudah banyak beredar ekstensi yang bisa diinstalkan pada Firefox atau google Chrome. Namun salah satu sumber utama untuk mendeteksi Heartbleed dibuat oleh Filippo Valsorda yang bisa anda akses dari https://filippo.io/Heartbleed/ (lihat gambar a)


Gambar a: Situs pengecekan bug heartbleed.

Sedangkan untuk peramban Firefox dan Google Chrome sudah bermunculan banyak Add Ons (Firefox) seperti FXBleed dan Extension (Chrome) Chromebleed yang secara otomatis akan mengecek kerentanan Heartbleed dari server situs yang Anda kunjungi. 

Perlu menjadi catatan pada gambar di bawah kalau pesan 'Connection Refused' berarti port OpenSSL 443 yang dicek tidak memberikan tanggapan, bisa saja diblokir oleh IPS/IDS atau memang tidak aktif. Hal ini tidak berarti server yang anda kunjungi mengandung kelemahan atau tidak mengandung kelemahan OpenSSL.

Heartbleed di Android

Bagi Anda pengguna smartphone, secara OS para pengguna iPhone dan Windows Phone boleh membusungkan dada karena kedua OS ini tidak menggunakan OpenSSL. 

Sedangkan untuk Android, menurut rilis resmi dari Google hanya Android versi 4.1.1 Jelly Bean yang mengandung celah keamanan ini. Namun Anda jangan langsung percaya dengan apa yang dikatakan oleh vendor dan harus melakukan crosscheck.

Menurut pengamatan Vaksincom, beberapa smartphone dengan OS Kitkat dari beberapa vendor yang melakukan perubahan pada settingan OS Kitkat ternyata mengaktifkan Heartbeat dan otomatis OS Kitkat dengan ekstensi Heartbeat yang diaktifkan mengandung bug Heartbleed ini.

Kabar buruknya, sekalipun OS smartphone Anda sudah aman dari heartbeat, namun jika Anda menggunakan apps (aplikasi) yang menggunakan OpenSSL yang mengandung bug Heartbleed, maka otomatis perangkat anda juga terancam mengalami kerugian atas eksploitasi bug Heartbleed ini.

Untuk memastikan apakah perangkat Anda aman dari Heartbleed Anda bisa mencoba apps dengan nama Bluebox Heartbleed Scanner dari Play Store. (lihat gambar b) 


Gambar b: Bluebox Heartbleed Scanner

Bluebox Haertbleed scanner tidak saja memeriksa apakah perangkat smartphone Anda mengandung bug Heartbleed, namun juga memeriksa semua aplikasi yang terinstal pada smartphone, apakah mengandung bug Heartbleed atau tidak? (lihat gambar c dan d) 

Perlu Anda perhatikan dan menjadi catatan penting adalah sekalipun Anda menggunakan versi OpenSSL yang rentan, namun menonaktifkan Heartbeat maka perangkat Anda tidak mengandung kerentanan Heartbleed (lihat gambar c). 

Namun kesalahan setting sedikit saja yang mengaktifkan Heatbeat pada versi OpenSSL yang sama langsung menyebabkan perangkat Anda mengandung kelemahan Heartbleed (lihat gambar d).

Karena itu Vaksincom menyarankan Anda untuk selalu menggunakan versi terbaru dari apps dan segera melakukan update atas apps yang digunakan jika tersedia.


Gambar c: Perangkat ini tidak mengadung kerentanan Heartbleed meskipun menggunakan OpenSSL 1.0.1e karena Heartbeats dinonaktifkan.


Gambar d: Perangkat ini sama-sama menggunakan OpenSSL 1.0.0e yang rentan seperti gambar d di atas. Namun memiliki kerentanan eksploitasi Hearbleed karena ekstensi heartbeats diaktifkan.

Jika khawatir bahwa aplikasi yang Anda gunakan mengandung kerentanan dan untuk memastikan kredensial Anda telah diganti seiring dengan versi OpenSSL di server penyedia layanan yang telah diupdate anda dapat melakukan hal ini :
1. Logout dari apps yang Anda gunakan.
2. Tunggu 3 menit.
3. Login kembali.

Dengan cara ini, secara tidak langsung Anda melakukan penggantian token sekuriti yang secara otomatis akan ikut berganti jika OpenSSL di server layanan apps Anda telah diupdate. Tetapi ingat, pastikan lakukan hal ini hanya setelah OpenSSL yang rentan telah diupgrade ke versi 1.0.0.g. Jika ragu silakan hubungi penyedia apps Anda. Learn more »

Kalau Anda boleh memilih teman, apakah akan memilih teman yang banyak cerita dan ramah dibandingkan dengan teman yang kerjanya diam saja dan kalau ditanya ia hanya akan menjawab secukupnya. Tidak pernah memberikan informasi lebih dari yang diminta. 

Kemungkinan besar banyak yang akan memilih teman yang ramah, banyak cerita tanpa diminta. Ditanya sedikit, dia langsung cerita banyak, apalagi kalau dapat teman yang sukanya curhat, tidak ditanya pun dia akan nyerocos menceritakan tentang dirinya dan masalah yang dihadapinya. 

Kira-kira hal inilah yang terjadi dalam kasus heartbleed, dimana server komputer yang seharusnya memberikan informasi secukupnya, karena adanya cacat pemrograman dia jadi curhat dan memberikan informasi lebih dari yang diminta. 

Celakanya, informasi yang dimilikinya dan menjadi sarana Curhat adalah informasi sensitif arena ia bertugas menangani pengamanan akses pengguna, maka informasi yang dibocorkannya sangat berbahaya dan berpotensi merugikan pengguna layanan server ini. Kira-kira inilah gambaran tentang heartbleed.

Heartbleed adalah bug (cacat program) yang terkandung di dalam Heartbeat. Heartbeat adalah ekstensi (program pendukung) bagi OpenSSL. OpenSSL adalah protokol pengamanan otentikasi open source yang paling banyak digunakan oleh penyedia layanan di internet yang membutuhkan pengamanan kriptografi otentikasi seperti Google, YouTube, Mine Craft, Dropbox, Wikipedia, Yahoo, Go Daddy, Facebook dan Amazon Web Service. 

Selain itu Open SSL juga banyak digunakan oleh aplikasi pihak ketiga seperti Password Manager, termasuk banyak produk hardware seperti Cisco dan Juniper.

Heartbeat berfungsi memonitor kesiapan sistem dengan cara mengirimkan 'heartbeat request' yang biasanya berisi teks yang harus dijawab oleh komputer penerima ke komputer pengirim. Karena fungsi komputer OpenSSL adalah menjaga keamanan pengakses, maka sifat yang harus dimiliki oleh OpenSSL adalah bisa menjaga rahasia dan menjawab secukupnya kalau ditanya.

Ibaratnya Anda bekerja di perusahaan yang memiliki informasi sensitif/badan intelijen dan mengetahui banyak hal rahasia, maka makin sedikit Anda bicara akan makin baik dan makin banyak Anda bicara kemungkinan anda membocorkan informasi makin besar. 

Kesalahan yang dikandung oleh Heartbleed adalah kelemahan penanganan atas pertanyaan/request ke server yang jika dirancang dengan sedemikian rupa akan menyebabkan server langsung curhat. 

Celakanya, yang dicurhatkan adalah informasi kredensial pengakses lain yang seharusnya dirahasiakan olehnya. Hal inilah yang dikhawatirkan oleh para pengamat sekuriti.

Apa yang Harus Dilakukan

Vaksincom banyak mendapatkan pertanyaan dari pengguna awam, apa yang harus dilakukan dalam mengantisipasi Heartbleed ini. Pada saat-saat awal munculnya celah keamanan ini, jujur saja sangat sedikit yang bisa dilakukan oleh pengguna jasa layanan karena celah keamanannya ada di webserver dan pengguna jasa layanan tidak memiliki akses untuk memperbaiki celah keamanan tersebut. 

Jika pengguna jasa mengganti kredensial (username/password) namun server yang mengandung celah keamanan tetap belum di-patch, sama saja dengan lagu Gito Rollies -- Sama Juga Bohong -- karena dengan mengeksploitasi celah keamanan tersebut penyerang akan dapat mengakses kredensial yang baru diubah tersebut. 

Namun, jika celah keamanan telah ditambal oleh penyedia jasa, maka disarankan Anda untuk berbondong-bondong mengganti kredensial sebagai bentuk praktek sekuriti yang baik karena setelah celah keamanan ditambal artinya kredensial yang anda ganti tidak akan bisa diakses oleh kriminal dengan eksploitasi heartbleed.

Lebih detailnya yang harus dilakukan adalah :
-. Penyedia jasa layanan (pemilik server yang mengalami kerentanan heartbleed): Menambal celah keamanan dan mengganti kunci keamanan/private key yang terkait dengan celah keamanan ini. 

Hal ini harus dilakukan oleh penyedia jasa layanan guna memastikan para pengguna jasanya selalu terlindung dari ancaman pencurian data dan penyalahgunaan akun.

-. Pengguna jasa layanan (pemilik akun): Mengganti username dan password pada layanan yang terpapar celah keamanan ini. Selain itu disarankan untuk mengganti kunci pengaman dan cookies terdahulu dari browser sebaiknya di clear.

Situs yang Rentan

Meskipun ada beberapa organisasi yang menyatakan bahwa mereka tidak berIsiko menjadi korban bug Heartbleed, baik karena celah keamanan ini tidak terdeteksi atau perusahaan tidak mendorong penggantian password karena praktek sekuriti internal yang baik. 

Namun jika akun Anda berpotensi mengalami kerugian, baik secara reputasi maupun ekonomis jika diambil alih, dalam rangka menjalankan praktek sekuriti yang baik Vaksincom menyarankan untuk melakukan tindakan preventif untuk mencegah kerugian karena bocornya kredensial Anda. 

Adapun tindakan yang harus dilakukan selain mengganti password Anda adalah mengganti sertifikat SSL yang lama dengan sertifikat baru dan kalau mungkin mengimplementasikan T-FA (Two Factor Authentication). 

Hal ini disarankan karena perusahaan pernah menggunakan OpenSSL dan eksploitasi atas bug Heartbleed ini tidak meninggalkan jejak. Adapun beberapa layanan yang perlu Anda amankan adalah sebagai berikut (data diambil dari berbagai sumber) :

Layanan yang sejauh ini diperkirakan aman dari bug Heartbleed karena tidak menggunakan OpenSSL:
• Hotmail, Outlook
• Linkedin, Slideshare
• Situs online banking dan institusi finansial
• Paypal
• Evernote

Situs dan layanan yang menggunakan OpenSSL dan mengandung resiko bug Heartbleed :
Media Sosial:
• Facebook.
• Instagram
• Tumblr
• Vine
• Pinterest
• Foursquare
• Flickr
Layanan Internet Lain:
• Google
• Yahoo
Email :
• Gmail
• Yahoo
Hosting dan Commerce :
• Amazon Web Service
• Etsy
• Go Daddy
Video, foto dan Game :
• Minecraft
• Netflix
• Youtube
• Soundcloud
Layanan Lain :
• Box
• Dropbox
• Wikipedia
• Wordpress
• Okcupid
• Github Learn more »

Teror Heartbleed tak cuma terhadap situs web publik yang rentan. Bug ini sejatinya memberikan dampak lebih besar dari itu. 

Menurut Symantec, Heartbleed memberikan dampak yang sama kepada software klien di antara kepada web klien, email klien, chat klien, FTP klien, aplikasi mobile, VPN klien dan update software. 

Singkatnya, setiap klien yang berkomunikasi melalui SSL/TLS yang menggunakan versi rentan OpenSSL sangat terbuka terhadap serangan.

Selain itu, Heartbleed mempengaruhi berbagai server lain selain server web. Ini termasuk proxy, server media, server game, server database, server chat dan server FTP. 

"Pada akhirnya, perangkat hardware tidak kebal terhadap kerentanan. Hal ini dapat mempengaruhi router, PBX dan kemungkinan beberapa perangkat yang terkoneksi dengan internet (Internet of Things)," lanjut Symantec, dalam keterangannya.

Menyerang server software dan hardware tersebut melalui kerentanan Heartbleed dilakukan dengan cara yang sama sebagai serangan ke situs-situs yang rentan. Namun serangan terhadap klien dapat terjadi dengan cara terbalik.

Biasanya, imbuh Symantec, eksploitasi Heartbleed telah digambarkan sebagai penyerangan klien dengan mengirim pesan berbahaya Heartbeat (ekstensi/program pendukung bagi Open SSL) ke server yang rentan dan server tersebut mengekspos data pribadi.

Namun kebalikannya juga benar. Satu klien yang rentan dapat terhubung ke server, dan server itu sendiri dapat mengirim pesan Heartbeat berbahaya ke klien tersebut. Klien kemudian akan merespons dengan data tambahan yang ditemukan dalam memori, yang berpotensi mengekspos kredensial dan data pribadi lainnya.


Gambar a: Bagaimana klien yang rentan diserang, yang pada dasarnya adalah kebalikan dari serangan pada server.

Untungnya, saat klien sedang rentan, kemungkinan sulit untuk mengeksploitasi mereka dalam situasi sesungguhnya. Dua vektor utama serangan memerintahkan klien untuk mengunjungi server SSL/TLS yang berbahaya atau membajak koneksi melalui kelemahan yang tidak ada kaitannya. Keduanya memberikan komplikasi tambahan untuk penyerang.

Mengarahkan Klien ke Server Berbahaya

Menurut Symantec, contoh paling sederhana tentang bagaimana klien mungkin tereksploitasi adalah seperti web browser yang rentan. Hanya perlu meyakinkan korban untuk mengunjungi URL berbahaya agar server penyerang bisa mendapatkan akses ke memori browser web klien. Hal ini memberikan risiko kepada konten seperti di sesi cookies sebelumnya, website yang dikunjungi, form data dan kredensial otentifikasi.

"Kebanyakan dari web browser populer tidak menggunakan OpenSSL, tapi NSS libraries (Network Security Services), yang tidak rentan terhadap Heartbleed. Namun banyak klien web baris perintah menggunakan OpenSSL (misalnya wget & curl)," kata Symantec.

Kebutuhan penyerang untuk mengelabui pengguna agar mengunjungi sebuah situs berbahaya mungkin dapat mengurangi beberapa risiko, tetapi ini tidak harus.

"Bayangkan layanan terjemahan bahasa online dimana Anda memberikan layanan otomatis dengan URL ke halaman dalam bahasa Perancis dan layanan tersebut akan menerjemahkan konten ke dalam bahasa Inggris," tambahnya.

Di belakang layar, layanan ini mengambil isi dari halaman berbahasa Perancis tersebut menggunakan klien back-end mereka sendiri.

"Jika Anda memberikan URL server berbahaya, klien back-end ini dapat diekploitasi dan penyerang dapat mengambil informasi-informasi penting seperti kode atau kredensial dari layanan penerjemahan tersebut," Symantec menjelaskan.

Membajak Koneksi

Menurut Symantec, mengarahkan klien ke server berbahaya seperti yang diungkapkan di atas mengharuskan klien diarahkan untuk mengunjungi server acak. Namun banyak klien hanya dapat menghubungi preset, hardcoded domain. 

Dalam kasus ini, klien masih dapat dieksploitasi. Pada jaringan bersama terbuka seperti jaringan WiFi publik, trafik dapat terlihat dan diubah oleh orang lain, yang memungkinkan penyerang untuk mengarahkan kembali klien yang rentan. 

Biasanya, SSL/TLS (misalnya HTTPS, web browsing terenkripsi) adalah salah satu solusi untuk masalah ini, karena enkripsi mencegah penyadapan dan pengarahan kembali. Namun seseorang dapat mengirim pesan Heartbeat berbahaya sebelum sesi SSL/TLS sepenuhnya terbentuk.

Seorang penyerang dapat bergabung dengan jaringan publik dan menyadap calon korban. Ketika calon korban menggunakan klien yang rentan untuk membentuk koneksi SSL/TLS dengan server yang sah, penyerang kemudian mengarahkan kembali koneksi ke server yang berbahaya.

Sebelum koneksi SSL/TLS sepenuhnya terbentuk dan memiliki kesempatan untuk memblokir setiap pengarahan kembali, penyerang dapat mengirim pesan Heartbeat berbahaya untuk mengekstraksi konten dari memori komputer korban. Hal ini bisa meliputi data pribadi seperti kredensial otentifikasi.

Gambar b: Bagaimana seorang penyerang dapat membajak dan mengarahkan kembali klien yang rentan ke jaringan bersama yang terbuka. Learn more »

Pada 7 April lalu, di saat masa tenang menjelang Pemilu Legislatif, dunia internet dihebohkan oleh bug yang ditemukan pada implementasi SSL/TLS (Secure Socket Layer/Transport Layer Security) oleh OpenSSL. 

Apakah ada konspirasi di balik ini? Terlepas dari benar atau tidaknya isu mengenai konspirasi, bug yang dipublikasikan awal April lalu ini telah membuat banyak pihak menjadi panik. 

Hal ini terutama disebabkan oleh sangat luasnya penggunaan OpenSSL oleh industri internet dan perangkat IT, serta akibat yang ditimbulkan oleh bug ini. 

OpenSSL adalah default engine untuk melakukan proses enkripsi yang digunakan oleh WebServer Apache dan Nginx, dimana menurut Netcraft menangani lebih dari 66% website seluruh dunia.



Sementara bug ini memungkinkan hacker untuk mengambil informasi dari server, mulai dari password, informasi sensitif bahkan primary key dari system enkripsi yang dapat mengakibatkan terbukanya semua pesan dan data terenkripsi.

SSL/TLS dan OpenSSL

Secara ringkas, SSL/TLS (Secure Socket Layer / Transport Layer Security) adalah sebuah mekanisme untuk melakukan enkripsi data di Internet. Tujuannya agar informasi sensitif (password, kartu kredit, chatting, dll) tidak dapat dilihat dan disadap oleh orang lain. 

SSL/TLS digunakan oleh banyak aplikasi dan protocol di Internet, mulai dari web server (HTTPS), email (SMTPS, IMAPS, etc) VPN (SSL VPN) hingga aplikasi chatting. 

OpenSSL adalah software open source untuk mengimplementasikan SSL/TLS yang diimplementasikan oleh banyak kalangan. Karena sifatnya yang Open Source, OpenSSL banyak sekali diimplementasikan untuk keperluan SSL/TLS pada berbagai layanan dan service di seluruh dunia. 

Website yang dihosting pada webserver berbasis Apache dan Nginx (https), protokol email yang anda gunakan untuk mendownload email ini (IMAPS & POP3S), akses konfigurasi ke berbagai perangkat IT Infrastructure anda, aplikasi chatting, handphone berbasis Android adalah sebagian dari contoh pemanfaatan OpenSSL untuk tujuan enkripsi berbasis SSL/TLS.

Bug Heartbleed

Heartbeat adalah cara yang digunakan oleh client (Misalnya: browser kita) dan server (website bank) untuk saling memeriksa apakah satu sama lain hidup. 

Hal ini sama dengan perintah ping, untuk mengetahui apakah satu host hidup atau mati. Hal ini juga terjadi pada implementasi OpenSSL, heartbeat digunakan untuk mengetahui masih terkoneksinya ‘lawan bicara’.

Namun yang menjadi bencana adalah, pada versi OpenSSL yang bermasalah penyerang dapat mengirimkan pesan heartbeat dan ‘mencuri’ informasi apapun yang ada dalam memory server. 

Versi OpenSSL yang terkena dampak ini adalah OpenSSL 1.0.1 through 1.0.1f (inclusive). Dapat dibayangkan jika server sedang memroses password, maka informasi password tersebut ada dalam memori dan dapat dicuri oleh penyerang. 

Gambar kartun di bawah ini menjelaskan secara mudah, bagaimana Meg (Client sekaligus penyerang) ‘mencuri’ informasi dari memory server:







Bug Heartbleed pertama kali ditemukan oleh dua kelompok Security Engineer yang berbeda, Riku, Antti and Matti dari Codenomicon dan Neel Mehta dari Google Security, yang pertama kali melaporkan kepada tim OpenSSL.

Keduanya menemukan bug ini secara terpisah, namun di hari yang sama. Bug ini didaftarkan menggunakan referensi CVE-2014-0160 pada Common Vulnerabilities and Exposures, sebuah metode referensi untuk publikasi kelemahan terhadap keamanan informasi. 

Agar namanya mudah diingat (ketimbang CVE-2014-0160), maka team Codenomicon memberikan istilah Heartbleed.

Setelah kemunculannya pertama kali, banyak laporan mengenai website besar yang terkena serangan dari Heartbleed ini. Amazon Web Service, Dropbox, Gmail, Facebook, YouTube, Twitter adalah sedikit dari contoh website yang terkena serangan. 

Bahkan banyak publikasi yang menunjukkan bahwa password Yahoo mail sudah dapat dijebol. Fakta-fakta ini yang menyebabkan bahwa Heartbleed disebut sebagai salah satu ancaman keamanan terbesar dalam sejarah internet. 

Terlebih lagi versi OpenSSL yang rentan ini sudah digunakan sejak 2012, dan juga dikabarkan bahwa NSA sudah mengetahui bug ini sejak lama namun membiarkannya agar dapat ‘mengintip’ data2 pengguna Internet.

Apa yang Harus Saya Lakukan?

Ada beberapa cara yang perlu dilakukan untuk memastikan bahwa kita benar-benar aman dari akibat Heartbleed, seperti dikutip dari berbagai sumber:

-. Sebagai user:
1. Lakukan monitoring terhadap account dan informasi sensitif lainnya yang Anda miliki pada layanan online. Apakah terdapat aktifitas yang tidak wajar? 
2. Tunggu pengumuman resmi dari website atau layanan, mengenai kondisi mereka. Apakah mereka menggunakan versi OpenSSL yang rentan terhadap Heartbleed? Jika belum ada penjelasan resmi, mintalah. 
3. Pastikan penyedia layanan sudah mengupdate versi OpenSSL, jika masih menggunakan versi yang rentan. Ganti password anda setelah penyedia layanan memperbaiki sistemnya. 
4. Mengganti password selama sistem masih rentan akan tetap berisiko.

-. Sebagai penyedia layanan: 
1. Periksa versi OpenSSL yang Anda gunakan, apakah termasuk dalam versi yang bermasalah. 
2. Periksa layanan Anda, apakah rentan terhadap bug ini. Berbagai tools untuk memeriksa kelemahan ini seperti modul pada metasploit , LastPass , Qualys atau website Filippo Valsorda . 
3. Segera periksa advisory dari vendor perangkat Anda, apakah perangkat yang digunakan rentan terhadap serangan ini. 
4. Segera update versi OpenSSL, firmware dan layanan Anda. 
5. Segera minta pengguna layanan Anda untuk mengubah password mereka, setelah versi OpenSSL maupun firmware yang rentan akan serangan ini telah diupdate.

Learn more »

Yahoo hanya salah satu situs yang terkena dampak celah berbahaya dari OpenSSL, di luar itu masih banyak lagi situs besar lainnya yang terancam.

Celah bernama Heartbleed yang ditemukan pada sistem enkripsi OpenSSL memang sangat mengkhawatirkan. Pasalnya bug ini mampu mengungkap data sensitif yang disimpan pada memori server, dan lebih bahayanya lagi, para peretas bisa melakukan 'duplikasi kunci' untuk melakukan dekripsi dari setiap data yang diacak lewat teknologi OpenSSL.

Ironisnya, bug itu baru ditemukan pekan lalu, padahal celah tersebut sudah dieksplorasi nyaris dua tahun silam. OpenSSL juga merupakan teknologi enkripsi yang paling banyak dipakai, 2 dari 3 situs kerap memakai sistem tersebut termasuk Yahoo dan beberapa situs besar lainnya.

Yahoo mengakui bahwa sistem mereka termasuk dalam salah satu server yang rentan terhadap bug tersebut, tapi untungnya sudah lekas diperbaiki. 

Seperti dikutip dari IT Portal, 8 April lalu sekelompok peretas melakukan pengujian terhadap sejumlah situs yang kemungkinan masih bisa disusupi dengan Heartbleed. Berikut adalah daftarnya:

• Testing imgur.com... vulnerable.
• Testing stackoverflow.com... vulnerable.
• Testing flickr.com... vulnerable.
• Testing xda-developers.com... vulnerable.
• Testing sogou.com... vulnerable.
• Testing adf.ly... vulnerable.
• Testing outbrain.com... vulnerable.
• Testing archive.org... vulnerable.
• Testing addthis.com... vulnerable.
• Testing stackexchange.com... vulnerable.

Selain sepuluh situs di atas, masih ada puluhan situs lainnya yang bisa dilihat melalui tautan berikut ini. Learn more »

Pengguna internet di seluruh dunia dihimbau untuk mengganti semua kata sandi yang dipergunakan. Itu dilakukan setelah ditemukan bug komputer yang bernama Heartbleed. Kacaukan keamanan internet, apa dan bagaimana tentang celah tersebut?

Menanggapi kehebohan yang sedang terjadi, Apple memastikan bahwa sistem operasi besutan mereka yakni iOS dan OSX serta web resmi mereka bersih serta aman dari ancaman virus tersebut.

pihak Apple menyatakan bahwa mereka selalu serius jika bicara terkait faktor keamanan. iOS dan OSX tidak pernah terkait dengan aplikasi yang rentan virus, web mereka pun sudah dinyatakan bersih dari virus apapun.

Meski mendapat pernyataan resmi bukan lantas bisa dipercaya begitu saja, pihak Cnet melakukan ujicoba terhadap situs Apple.com melawan Qualys SSL Server, didapatkan kesimpulan bahwa situs tersebut memang tidak mudah dibobol oleh serangan Heartbleed.

Kemunculan virus heartbleed mulai merebak pada akhir pekan lalu, di mana secara acak virus memaksa situs dan berbagai layanan di penjuru dunia manya untuk masuk dalam mode patch. Virus ini memiliki kemampuan untuk mengekspos data login seseorang di layanan tertentu misalnya Yahoo, Pinterest, dan banyak lagi lainnya.

Pengguna FB sendiri juga demikian. Mereka diminta untuk mengganti kata sandi sekarang juga. Layanan lain juga senada. IFTTT misalnya, himbau pengguna lewat email untuk segera mengganti password saat itu juga.

Sejumlah pakar keamanan sejatinya menemukan cara untuk menutup celah tersebut. Namun tetap ada sejuta alasan untuk tetap risau. Solusi masuk akal untuk pengguna yakni dengan mengganti kata sandi sesegera mungkin.

Imbauan IFTTT segera ganti password

“Jebol Gembok”

Heartbleed mampu ciptakan celah dalam SSL/TLS, sebuah teknologi enkripsi yang ditandai dengan simbol “gembok” atau awalan alamat URL “https”. Bug tersebut memungkinkan pihak luar untuk “menjebol gembok” meski sudah dalam keadaan “terkunci”.

Peretas dimungkinkan untuk mengurai data terenkripsi tanpa diketahui pemilik situs internet. Sedangkan situs-situs yang andalkan SSL/TLS atau OpenSSL jumlahnya hingga 60 persen. Ini berarti, ratusan ribu bahkan jutaan web ber-OpenSSL bisa diakses pihak luar.

OpenSSL juga dipakai untuk jaringan privat virtual atau VPN. Itu juga dipakai untuk email serta chat. Situs ber-OpenSSL juga sering dijupai di sejumlah layanan perbankan daring serta e-commerce. Jadi, bukan informasi sensitif pengguna seperti kata sandi yang terancam, namun data perbankan juga miliki resiko. Misalkan saja kartu kredit.

Optimis

Meski demikian, sejumlah layanan top internet macam Google dan Facebook tetap optimis. Bahkan, Google dengan pedenya menghimbau pengguna untuk tidak perlu mengganti kata sandi yang dipakai. Padahal, akun Google terhubung dengan akun atau produk lain. Sebut saja Youtube, Gmail, Google Plus, dan lainnya.

Meski FB tak kalah pede, jejaring sosial semiliar umat itu tetap ingatkan pengguna akan bahaya Heartbleed. Facebook menilai, ancama Heartbleed bisa jadi satu momen tepat bagi pengguna untuk mengganti password unik yang berbeda dengan kata sandi di situs lain.

Meski demikian, sejumlah pakar keamanan menilai jika pergantian kata sandi tetap “tidak berguna” selama ancaman Heartbleed belum teratasi secara final. Apalagi layanan yang diganti kata sandinya itu adalah situs yang positif terinfeksi.

Learn more »