Beberapa bulan yang lalu dunia dibuat ramai dengan isu-isu penyadapan yang dilakukan beberapa badan intelejen seperti Amerika, Inggris terhadap aktifitas pengguna internet di seluruh dunia. Masih berhubungan dengan kejadian tersebut, pada tanggal 7 April 2014 dunia internet kembali memanas dengan kekhawatiran pasalnya muncul penemuan baru mengenai adanya suatu bug yang sangat berbahaya yang mengancam keamanan proses transfer data dari pengguna internet ke hampir seluruh server yang ada saat ini. Bug tersebut terdapat pada aplikasi OpenSSL.
Pengertian OpenSSL
OpenSSL adalah sebuah toolkit kriptografi yang dijalankan pada protokol jaringanSecure Socket Layer (SSL) dan Transport Layer Security (TLS). Tujuan diciptakannya OpenSSL adalah untuk membuat aman aliran data dari komputer pengguna ke suatu server yang dituju.
OpenSSL mulai diterapkan pada akhir tahun 1998, yang dikembangkan secaraOpen Source dan merupakan sebuah proyek kolaborasi dari para programmer di seluruh dunia. Oleh karena itu OpenSSL menjadi toolkit keamanan situs yang banyak digunakan, termasuk situs-situs besar yang ada saat ini seperti Facebook, Google, Amazon, maupun Yahoo.
OpenSSL terus dikembangkan oleh para programmer di seluruh dunia, hingga pada tahun 2011 silam bencana dimulai. Bencana tersebut adalah ditemukannya suatu celah keamanan yang memungkinkan para hacker dengan mudah dapat mencuri data penting seperti username dan password pengguna ketika mengakses situs-situs yang menggunakan OpenSSL.
Heartbleed adalah sebuah bug yang ada di dalam kriptografi OpenSSL. Kriptografi itu digambarkan menyerupai grafik detak jantung pada alat monitoring detak jantung. Perlu diketahui bahwa Heartbleed bukanlah virus. Heartbleed adalah celah keamanan di salah satu ekstensi OpenSSL yang disebut Heartbeat. Tujuanheartbeat adalah memeriksa apakah komputer peengguna masih terhubung ke sebuah server. Prinsip kerjanya kurang lebih seperti ini, komputer pengguna mengirimkan pesan “kata” dan jumlah karakter “kata” tersebut. Kemudian server akan membalas pesan tersebut dengan menyebutkan ulang “kata” yang dikirim tersebut.
Heartbleed membuka celah agar setiap orang di internet mengakses lalu lintas memori yang berlangsung dari server ke client, begitu pula sebaliknya. Akses dari lalu lintas memori itu bisa memberikan kesempatan kepada hacker agar bisa memperoleh kunci masuk dan mengakses ke dalam sebuah layanan milik orang lain. Setelah itu hacker dengan mudah dapat mengambil informasi pribadi pengguna seperti username, password, kartu kredit dan data penting lainnya.[USM 14]
Munculnya Heartbleed
Karena Heartbleed merupakan bug di ekstensi Heartbeat, maka bug ini muncul ketika Heartbeat diimplementasikan di OpenSSL. Ekstensi Heartbeat dibuat oleh Dr. Robin Seggelmann seorang programmer asal Jerman pada tahun 2011. Dr. Robin Seggelmann mengungkapkan bahwa cacat yang bernama Heartbleedtercipta ketika dia ikut serta dalam proyek pembaharuan protokol enskripsi OpenSSL dua tahun yang lalu. Pada proyek tersebut juga ada penambahan fitur OpenSSL dimana dalam fitur baru tersebut terdapat sebuah variabel cacat yang lepas dari perhatian Seggelmann juga rekan-rekannya, dan kesalahan itulah yang dikenal dengan bug Heartbleed.
Fitur atau ekstensi ini kemudian direview oleh Dr. Stephen N. Henson salah satu dari empat core developer OpenSSL yang ternyata juga gagal menyadari adanya bug di ekstensi tersebut. Heartbeat pun akhirnya dijadikan sebagai ekstensi OpenSSL yang aktif secara default dan mulai diadopsi oleh banyak pengelolawebsite sejak dirilisnya OpenSSL versi 1.0.1 pada 14 Maret 2012.
Penyebaran Heartbleed
Setidaknya 2/3 website di dunia menggunakan proteksi OpenSSL, sehingga penyebaran Heartbleed bisa dikatakan cukup banyak. Website besar seperti Google, Gmail, Facebook, Dropbox, Yahoo, Flickr, Instagram, Pinterest, dan berbagai website populer lainnya juga tidak terhindarkan dari Heartbleed ini.
Mengetahui Website yang Terkena Heartbleed
A. Dari sisi pengguna
Cara cek website yang terkena Heartbleed adalah dengan menggunakanHeartbleed Test dari Filippo ataupun dari McAfee. Heartbleed Test ini merupakan sebuah aplikasi berbasis web yang dapat digunakan untuk mengetahui suatuwebsite kebal dari ancaman Heartbleed atau tidak.
Contoh penggunaan Heartbleed Test Filipo
- Masuk ke halaman website Fillipo di https://filippo.io/Heartbleed/
- Masukkan URL website yang ingin dicek pada kolom yang tersedia, sebagai contoh masukkan facebook.com pada kolom lalu klik Go!
- Jika hasilnya vulnerable maka website tersebut masih belum kebal terhadapHeartbleed. Namun jika hasilnya seperti pada tampilan di bawah ini, websitetersebut sudah kebal dari ancaman Heartbleed.
Bisa juga menggunakan add on pada browser yang digunakan untuk semakin memudahkan melihat apakah website yang dikunjungi sudah kebal terhadapHeartbleed atau belum.
Seperti pada browser Mozilla Firefox dapat menggunakan Addon-Foxbleed atau Extension-Heartbleed atau Chromebleed pada browser Google Chrome. Caranya adalah dengan meng-add ekstensi Heartbleed pada salah satu browser yang digunakan. Contohnya adalah pada tampilan di bawah ini, add on pada browser Mozilla Firefox.
B. Dari sisi pengelola website
Cara melakukan pengecekan website yang terkena Heartbleed dari sisi pengelolawebsite adalah dengan cara cek versi OpenSSL di server yang digunakan. Jika versi OpenSSL di server yang digunakan adalah 1.0.1 hingga 1.0.1f, maka server tersebut belum kebal terhadap Heartbleed.
i. Bagi pengguna
Mengganti Pasword
Segera mengganti password setelah Heartbleed ditemukan. Hal ini salah dan kurang tepat, jangan buru-buru mengganti password sebelum website tersebut kebal terhadap Heartbleed. Jika situs yang digunakan belum kebal terhadapHeartbleed, tunggu dulu hingga pengelola website melakukan patch terhadap OpenSSL di servernya. Setelah situs tersebut kebal terhadap Heartbleed, barulah ganti password dengan yang baru.
Mengganti password saat situs tersebut belum kebal terhadap Heartbleed cukup berbahaya. Si attacker masih bisa mencuri lagi password baru tersebut. Mereka baru tidak bisa mengambil detail password baru jika OpenSSL di server situs tersebut sudah di patch oleh pengelolanya.
Mengganti Pasword Berbeda Tiap Layanan Situs
Solusi lainnya adalah dengan menggunakan satu password untuk satu situs. Dengan begitu jika tanpa sengaja menggunakan layanan website yang belum kebal terhadap Heartbleed, dan si attacker berhasil mengambil detail akun, maka dia tidak bisa membobol akun di layanan-layanan lainnya.
ii. Bagi Pengelola Situs
Jika server yang digunakan masih menggunakan OpenSSL 1.0.1 hingga 1.0.1f, segera update OpenSSL tersebut ke versi 1.01g. Cara mengupdatenya bervariasi tergantung dari OS apa yang digunakan di server. Jangan lupa juga ingatkan pengguna untuk mengganti password mereka atau bisa sedikit memaksa dengan melakukan reset password semua pengguna. Ini semua demi keamanan pengguna layanan di situs. [FEB 14]
Daftar Pustaka
[USM 14] Usman, Sarip. (2014). "Mengenal Heartbleed Bug pada OpenSSL". [Online]. Tersedia: http://www.mandalamaya.com/mengenal-heartbleed-bug-pada-openssl [6 Juni 2014 19.35]
[FEB 14] Febian. (2014). "Apa Itu Heartbleed, Bagaimana Cara Mengatasinya, dan Kabar Sesat Mengenainya". [Online]. Tersedia: http://winpoin.com/apa-itu-heartbleed-bagaimana-cara-mengatasinya-dan-kabar-sesat-mengenainya [6 Juni 2014 19.40]
Semoga Bermanfaat