Heart Bleed adalah sebuah celah
keamanan pada protocol OpenSSL . Nama Heart Bleed diberi nama oleh teknisi
Codenomicon, perusahaan keamanan cyber yang berasal dari Finlandia yang juga
mendesain logo dari Heart Bleed, dan meluncurkan domain HeartBleed.com unjtuk
menjelaskan Heart Bleed kepada public. Menurut Codenomicon, Neel Mehta dari
Google pertama kali melaporkan bug ini kepada OpenSSL, tetapi Google dan
Codenomicon menemukannya secara independen.
Dengan mengeksploitasi celah
heartbleed pada OpenSSL, hacker bisa mencuri informasi meskipun sebuah situs
atau penyedia layanan sudah melakukan enkripsi pada aliran datanya (ditandai
dengan gambar "gembok" dan prefiks "https:" pada URL).
Apa Heartbleed dan
Bagaimana Cara Kerja Heartbleed
Disebutkan bahwa, jika eksploitasi
bug pada OpenSSL, seorang peretas (hacker) bisa saja mencuri informasi
meskipun. Sederhananya cara kerja heartbleed ini seperti dijelaskan oleh Neel
Mehta, peneliti dari Google yang menyebutkan, cacat Heartbleed ini memanfaatkan
celah yang memungkinkan data penting yang kita kirimkan di jalur OpenSSL bisa
diambil orang yang tidak berhak.
"Terminologinya seperti ini,
OpenSSL itu seperti jalur aman yang menghubungkan komputer kita dengan situs
tersebut. Setelah terhubung, sesekali komputer kita mengirimkan kode khusus
(yang disebut heartbleed) di jalur aman tersebut untuk mengetahui apakah server
di ujung sana masih terhubung. Nah, bug Heartbleed mengeksploitasi hal
tersebut," kata Neel.
Neel Mehta menambahkan, kita bisa
membuat kode yang menyamar sebagai heartbleed. Tidak cuma menyamar, heartbleed
palsu itu bahkan bisa meminta server sebuah situs memberikan data yang
tersimpan di memorinya.
Masalahnya menjadi semakin membesar
karena OpenSSL ini digunakan oleh 66 persen dari semua layanan web di internet
untuk mengenkripsi data sehingga celah keamanan heartbleed ini tersebar luas.
Nama-nama besar penyedia layanan web, antara lain Gmail, Facebook, dan Yahoo,
pun ikut terpengaruh.
Sedangkan menurut data Netcraft,
17% dari seluruh situs di dunia, atau sekitar 500 jutaan situs, terancam bug
ini. Sementara itu tim OpenSSL juga telah menerbitkan versi terbaru untuk
menangani cacat tersebut dengan menghadirkan OpenSSL 1.0.1g, dimana situs-situs
besar seperti Yahoo, Google, Twitter telah menangani hal tersebut.
Dari sisi pengguna, tak ada yang
bisa dilakukan untuk mengatasi bug ini kecuali menunggu penyedia layanan
bersangkutan agar menambal celah heartbleed (heartbeat), lalu mengganti
password untuk berjaga-jaga apabila kata kunci yang lama telah bocor.
Berikutlah beberapa situs popular
yang diketahui memiliki atau tidak memiliki celah keamanan Heart Bleed:
Nama situs
|
Apakah terdampakheartbeat?
|
Apakah sudah ada patch?
|
Haruskah menggantipassword?
|
Facebook
|
Ya
|
Ya
|
Ya
|
LinkedIn
|
Tidak
|
Tidak
|
Tidak
|
Twitter
|
Belum diketahui
|
Belum diketahui
|
Belum diketahui
|
Tumblr
|
Ya
|
Ya
|
Ya
|
Apple
|
Belum diketahui
|
Belum diketahui
|
Belum diketahui
|
Amazon
|
Tidak
|
Tidak
|
Tidak
|
Google
|
Ya
|
Ya
|
Ya
|
Microsoft
|
Tidak
|
Tidak
|
Tidak
|
Yahoo
|
Ya
|
Ya
|
Ya
|
Gmail
|
Ya
|
Ya
|
Ya
|
Hotmail/ Outlook
|
Tidak
|
Tidak
|
Tidak
|
Yahoo Mail
|
Ya
|
Ya
|
Ya
|
Ebay
|
Belum diketahui
|
Belum diketahui
|
Belum diketahui
|
PayPal
|
Tidak
|
Tidak
|
Tidak
|
DropBox
|
Ya
|
Ya
|
Ya
|
OkCupid
|
Ya
|
Ya
|
Ya
|
Sumber:
Tidak ada komentar:
Posting Komentar