Beberapa hari terakhir ini kita digemparkan dengan merebaknya kabar seputar bug diOpenSSL yang dinamakan Heartbleed. Bug ini begitu ganas dan berbahaya hingga setiap pengguna maupun pengelola website sebaiknya tidak mengabaikannya begitu saja. Bahkan banyak orang menyebut Heartbleed sebagai ancaman keamanan online terbesar yang pernah ada. Tetapi apa itu Heartbleed? Bagaimana cara mengatasinya? Dan apa saja kabar sesat mengenainya?
APA ITU HEARTBLEED?
Perlu diketahui bahwa Heartbleed bukanlah virus. Heartbleed adalah
celah keamanan di salah satu ekstensi OpenSSL yang disebut Heartbeat. Celah
keamanan ini memungkinkan attacker untuk membaca memory dari server yang
diproteksi oleh OpenSSL. Hasilnya mereka bisa mencuri password, username, dan
informasi sensitif lainnya.
KAPAN HEARTBLEED PERTAMA KALI MUNCUL?
Karena Heartbleed merupakan bug di ekstensi Heartbeat, maka bug
ini muncul ketika Heartbeat diimplementasikan di OpenSSL. Ekstensi Heartbeat
dibuat oleh Dr. Robin Seggelmann pada tahun 2011. Ekstensi ini kemudian
direview oleh Dr. Stephen N. Henson (salah satu dari empat core developer
OpenSSL) yang ternyata gagal menyadari adanya bug di ekstensi tersebut.
Heartbeat pun akhirnya dijadikan sebagai ekstensi OpenSSL yang aktif secara
default dan mulai diadopsi oleh banyak pengelola website sejak dirilisnya
OpenSSL versi 1.0.1 pada 14 Maret 2012.
SEBERAPA LUAS PENYEBARAN HEARTBLEED
Setidaknya 2/3 website di dunia menggunakan proteksi OpenSSL,
sehingga sebanyak itu pula penyebarannya. Website besar seperti Google, Gmail,
Facebook, Dropbox, Yahoo, Flickr, Instagram, Pinterest, dan berbagai website
populer lainnya juga tidak terhindarkan dari Heartbleed ini.
Beruntung sudah mulai banyak pengelola website yang mengupdate
OpenSSL di server mereka sehingga tidak perlu khawatir dengan Heartbleed lagi.
CARA MENGETAHUI WEBSITE YANG TERKENA HEARTBLEED
Dari sisi pengguna
Anda bisa melakukan pengecekan dengan menggunakan Heartbleed Test
dari Filippo ataupun dari McAfee. Masukkan saja URL website yang ingin Anda cek. Jika hasilnya
vulnerable maka website tersebut masih belum kebal terhadap Heartbleed. Anda
juga bisa menggunakan addon browser untuk semakin memudahkan melihat apakah website yang Anda
kunjungi sudah kebal terhadap Heartbleed atau belum.
Dari sisi pengelola website
Silahkan cek versi OpenSSL di server yang Anda gunakan. Jika versi
OpenSSL di server Anda adalah 1.0.1 hingga 1.0.1f, maka server Anda belum kebal
terhadap Heartbleed.
CARA MENGATASI HEARTBLEED
Bagi pengguna
Beberapa orang menyarankan Anda untuk segera mengganti password
setelah Heartbleed ditemukan. Hal ini salah dan kurang tepat! Jangan buru-buru
mengganti password sebelum website tersebut kebal terhadap Heartbleed. Jika
situs yang Anda gunakan belum kebal terhadap Heartbleed, tunggu dulu hingga si pengelola
website melakukan patch terhadap OpenSSL di servernya. Setelah situs tersebut
kebal terhadap Heartbleed, barulah ganti password Anda.
Mengganti password saat situs tersebut belum kebal terhadap
Heartbleed cukup berbahaya. Si attacker masih bisa mencuri lagi detail password
baru yang Anda masukkan. Mereka baru tidak bisa mengambil detail password baru Anda
jika OpenSSL di server situs tersebut sudah di patch oleh pengelolanya.
Solusi lainnya adalah dengan menggunakan satu password untuk satu
situs. Dengan begitu jika Anda tanpa sengaja menggunakan layanan website yang
belum kebal terhadap Heartbleed, dan si attacker berhasil mengambil detail akun
Anda, maka dia tidak bisa membobol akun Anda di layanan-layanan lainnya. Tentu
saja untuk memudahkan Anda dalam mengingat password, Anda bisa menggunakan
Password Manager seperti KeePass maupun LastPass.
Untuk semakin mengamankan akun Anda, pastikan Anda mengaktifkan
Two-Factor Authentication jika memang fitur tersebut tersedia. Saat ini
berbagai situs besar dan populer sudah menerapkan teknologi ini. Dengan begini
attacker tidak akan bisa bebas keluar masuk ke akun Anda meskipun dia sudah
mengantongi username dan passwordnya.
Bagi Pengelola Situs
Jika server Anda masih menggunakan OpenSSL 1.0.1 hingga 1.0.1f,
segera update OpenSSL tersebut ke versi 1.01g. Cara mengupdatenya bervariasi
tergantung dari OS apa yang Anda gunakan di server Anda. Jangan lupa juga
ingatkan user untuk mengganti password mereka. Anda juga bisa “sedikit memaksa”
dengan melakukan reset password semua user. Ini semua demi keamanan pengguna
layanan di situs Anda.
BEBERAPA MITOS YANG SALAH SEPUTAR HEARTBLEED
- Heartbleed
itu virus: Salah. Heartbleed bukanlah virus. Dia adalah bug di
ekstensi Heartbeat OpenSSL versi 1.0.1 sampai 1.0.1f
- Segera
update antivirus biar kebal Heartbleed: Salah. Update antivirus tidak
akan berpengaruh terhadap kebal atau tidaknya PC terhadap Heartbleed.
Sekali lagi Heartbleed bukanlah virus dan dia tidak menyebar atau
menginfeksi PC kita.
- Jika situs yang Anda gunakan belum kebal terhadap Heartbleed, segera ganti password Anda: Salah. Ganti password Anda setelah situs tersebut di patch dan kebal terhadap Heartbleed. Mengganti password sebelum situs tersebut kebal terhadap Heartbleed sama artinya dengan memberikan kesempatan kepada sang attacker untuk mencuri detail password baru Anda.
Itulah penjelasan seputar Heartbleed, cara mengatasinya, dan
beberapa kabar sesat mengenainya. Sekali lagi jangan takut komputer Anda
terinfeksi Heartbleed karena Heartbleed bukanlah virus.
0 komentar:
Post a Comment