Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena bug ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL .SSL itu adalah standar keamanan yang akan
mengenkripsi teks (seperti username dan password) yang kamu kirim via browser. Contohnya ketika kamu buka www.facebook.com dan memasukkan username dan password kamu, semua teks itu akan diacak dulu. Jadi jika ada hacker yang mencoba menyabot koneksi dari komputer kamu ke server Facebook cuma akan mendapatkan teks yang diacak dan sulit dibaca.OpenSSL adalah salah satu teknik SSL tersebut. Dinamakan “open” karena memang bersifat open source. Siapa saja bisa menyumbang fitur tambahan di OpenSSL ini. Dan karena open source, OpenSSL banyak digunakan di web server yang membutuhkan proses login.
Heartbeat itu salah satu fitur OpenSSL yang diperkenalkan tahun 2012. Tujuan heartbeat adalah mengecek apakah komputer kamu masih terhubung ke sebuah server. Soalnya, seringkali router—yang menjadi perantara antara komputer kamu dengan server di internet—memutuskan hubungan jika terjadi idle yang terlalu lama. Dengan heartbeat, komputer kamu bisa mengetahui apakah masih terhubung dengan server yang dituju.
Prinsip kerjanya kurang lebih seperti gambar di bawah: komputer kamu akan mengirimkan pesan berisi sebuah magic word dan jumlah karakter kata tersebut. Nanti server akan membalas pesan tersebut dengan menyebutkan magic word tersebut.
Fasilitas heartbeat ini memiliki kelemahan karena terlalu percaya dengan komputer pengirim. Seperti ilustrasi di bawah, komputer hacker cuma mengirimkan sebuah kata yang pendek (seperti melati) namun meminta respon sebanyak 100 karakter. Server ternyata tidak mengecek kalau melati hanya memiliki 6 karakter. Server langsung “memuntahkan” semua karakter yang tersimpan di memori RAM-nya untuk memenuhi permintaan 100 karakter tersebut.
Dan 100 karakter hanyalah ilustrasi. Sang hacker bisa meminta sampai 64.000 karakter.
Banyak sekali, termasuk informasi sangat rahasia. Atas nama kecepatan, server secara terus-menerus akan menyimpan berbagai data di memorinya. Seperti contoh di atas, memori server bisa menyimpan data nama, alamat email, tanggal lahir, password, sampai nomor kredit kamu. Yang lebih berbahaya, private key pun bisa disimpan di memori. Fyi, private key adalah kunci rahasia yang digunakan server untuk membuka teks yang diacak oleh OpenSSL tersebut. Private key ini seharusnya hanya diketahui oleh sistem. Jika diketahui hacker, berarti semua data yang diacak tersebut bisa dibuka sang hacker dengan mudah.
Bug Heartbleeding ini sebenarnya tanggung jawab penyedia situs. Mereka harus mengganti OpenSSL ke versi terbaru, sekaligus membuat private key baru. Untungnya, sang penemu Heartbleed telah menginformasikan bug ini ke OpenSSL Foundation sebelum mengumumkannya ke publik. Alhasil, banyak situs yang telah menanggulangi bug ini sebelum berita resminya beredar, seperti Facebook, Google, dan beberapa situs besar lain.
Namun karena OpenSSL digunakan di sepertiga situs di internet (atau sekitar 500 juta situs), masih banyak yang harus diperbaiki. Dan yang membuat Heartbleed berbahaya adalah tidak ada jejak sedikitpun yang menunjukkan apakah situs tersebut pernah dijebol menggunakan Heartbleed.
http://www.pcplus.co.id/2014/04/fitur/apa-itu-heartbleed/
Tidak ada komentar:
Posting Komentar