(0275) 2974 127
Sebelumnya banyak orang menganggap bahwa heartbleed bug adalah virus, terutama ketika OpenSSL masih berada di versi 1.0.1F ke bawah. Namun, anggapan tersebut keliru saat versi 1.0.1G muncul dan berhasil mengatasi heartbleed sebagai bentuk bug. Dengan kata lain, heartbleed merupakan sebuah celah keamanan pada enkripsi OpenSSL yang memungkinkan memory server dapat dibaca atau diakses orang lain.
Heartbleed merupakan celah yang muncul ketika sebuah ekstensi diimplementasikan pada OpenSSL, lebih tepatnya ekstensi heartbeat. Dibuat pada tahun 2011, Dr. Robin Seggelmann selaku pembuat dan Dr. Stephen Henson selaku peninjau, tidak menyadari eksistensi keberadaan bug tersebut. Pada bulan Maret 2012, heartbeat resmi menjadi ekstensi yang aktif secara default sejak awal perilisan OpenSSL versi 1.0.1.
Enkripsi OpenSSL memiliki popularitas sangat tinggi, hampir semua website di seluruh dunia menggunakan proteksi ini. Sayangnya, tingginya jumlah pengguna juga menandakan tingkat penyebaran heartbleed itu sendiri. Situs-situs besar seperti Google, Yahoo, Facebook, Dropbox, Instagram, dan lain sebagainya, pun tidak terhindarkan dari bug tersebut.
Heartbleed kini sudah menjadi hal yang wajib diperhatikan terutama bagi pengelola website. Mengingat pentingnya keamanan informasi, melakukan update OpenSSL di server sangat diperlukan guna memproteksi seluruh data dari ancaman heartbleed.
SSL standar pada dasarnya menyertakan opsi heartbeat untuk memeriksa apakah ada pengguna lain yang mengakses sambungan secara tidak sah. Fitur ini sangat berguna mengingat beberapa router akan menghentikan koneksi jika berada dalam kondisi idle mode cukup lama. Kendati demikian, cara kerja protokol heartbeat versi lawas kurang sempurna sehingga memungkinkan terjadinya heartbleed bug.
Pesan heartbeat dibagi menjadi tiga bagian, yaitu request pengakuan, pesan singkat random, dan jumlah karakter. Disinilah letak kelemahannya dimana server secara sederhana mengakui, menerima request, dan membalas pesan. Hal ini juga menunjukkan fakta bahwa server selalu bisa mempercayai pesan heartbeat. Alhasil, para hacker memanfaatkan kondisi ini untuk melancarkan serangan heartbleed.
Untuk memudahkan pemahaman, simak contoh di bawah ini :
Misal seorang pengguna meminta server mencari informasi ‘hosteko’ tapi diubah sedikit menjadi ‘hosteko[100]’. Maka server akan membalasnya dengan pesan berupa data hosteko diikuti 100 karakter tambahan setelah kata tersebut. Hasilnya bisa saja nomor kartu kredit, username, password, master key, dan lain-lain.
Heartbleed adalah bug yang sebenarnya bisa kamu cek dengan mudah, baik dari sisi pengguna maupun pengelola website. Cara mengetahui heartbleed bug diantaranya yaitu sebagai berikut :
Dari sisi pengguna dapat memeriksa bug menggunakan Heartbleed Test Tools dari McAfee atau Filippo. Caranya cukup mudah hanya perlu mengetikkan URL situs yang ingin diperiksa. Jika hasilnya menunjukkan kata ‘vulnerable’, artinya situs masih rentan terkena heartbleed.
Dari sisi pengelola website dapat memeriksa versi OpenSSL di server yang digunakan. Seperti versi 1.0.1F ke bawah merupakan versi yang rentan terkena bug. Namun jika situs sudah menggunakan OpenSSL versi 1.0.1G ke atas, maka lebih kebal terhadap heartbleed.
Berikut ini adalah cara mengatasi heartbleed bug :
Sebagian orang menyarankan untuk mengganti username dan password sesegera mungkin. Sayangnya, langkah ini dinilai kurang efektif karena hacker masih dapat meretasnya kembali. Mengganti kata sandi bisa disebut sebagai solusi apabila OpenSSL sudah diperbaharui ke versi terbaru.
Secara garis besar, pengguna tidak dapat memperbaiki atau mencegah terjadinya heartbleed. Hal yang bisa dilakukan pengguna yaitu meminimalisir dampak buruk dari berbagai kemungkinan ancaman. Misalnya, menghindari penggunaan password yang mirip untuk akun platform lain. Selain itu juga dapat menggunakan two factor authentication jika situs mendukung fitur tersebut.
Tidak ada trik tertentu, satu-satunya cara mengatasi heartbleed paling jitu adalah melakukan update versi OpenSSL. Selaku pengelola situs dapat memperbarui OpenSSL ke versi 1.0.1G atau ke versi paling baru. Caranya bervariasi tergantung sistem operasi yang digunakan pada server.
Pernahkah kamu mendengar kata Laravel? Bagi developer website pasti sudah familiar dengan istilah tersebut. Laravel…
PHP Redirect – PHP dianggap sebagai bahasa pemrograman berbasis web paling populer di kalangan developer.…
Keberadaan blog saat ini sangat bermanfaat dalam berbagai bidang, termasuk pendidikan. Blog sendiri adalah sebuah…
Pengertian Github Github adalah platform pengembangan software online yang digunakan untuk menyimpan, melacak, dan berkolaborasi…
Tentu saja, jika kamu ingin membuat website, kamu harus mendaftarkan nama domain terlebih dahulu. Namun,…
Seperti yang Anda ketahui, komputer tidak dapat bekerja tanpa tiga komponen utamanya yaitu hardware, software,…