Minggu, 08 Juni 2014

HEARTBLEED

HEARTBLEED
                                    
Heartbleed adalah celah keamanan disalah satu ekstensi OpenSSL. Celah keamanan ini memungkinkan attacker untuk membaca memori dari server yang diproteksi oleh OpenSSL. Hasilnya mereka bisa mencuri password, username, dan informasi sensitif lainnya.
Heartbleed merupakan bug di ekstensi Heartbleed, mka bug ini muncul ketika Heartbleed diimplementasikan di OpenSSL. Ekstensi Heartbleed dibuat oleh Dr. robin Seggelmann pada tahun 2011. Ekstensi ini kemudian di review oleh Dr. Stephen N. Henson (salah satu dari empat core developer OpenSSL) yang ternyata gagal menyadari adanya bug di ekstensi OpenSSL yang aktif secara default dan mulai diadopsi oleh banyak pengelola website sejak dirilisnya OpenSSL versi 1.0.1 pada 14 Maret 2012.
Adapun cara mengetahui website yang terkena Heartbleed sebagai berikut:
Dari sisi pengguna
            Kamu bisa menggunakan pengecekan dengan menggunakan Heartbleed Test dari Filippo ataupun McAfee. Masukkan saja URL website yang ingin kamu cek. Jika hasilnya vulnerable maka website tersebut masih belum kebal terhadap Heartbleed. Kamu juga bisa menggunakan addon browser untuk semakin memudahkan melihat apakah website yang kamu kunjungi sedah kebal terhadap Heartbleed atau belum.
Dari sisi pengelola website
            Silahkan cek versi OpenSSL di server yang kamu gunakan. Jika versi OpenSSL di serber kamu adalah 1.0.1 hingga 1.0.1f, maka server kamu belum kebal terhadap Heartbleed.
            Selain itu, ada cara mengatasi Heartbleed sebgai berikut :
Bagi Pengguna
            Beberapa orang menyarankan kamu untuk segera mengganti password setelah Heartbleed ditemukan. Hal ini salah dan kurang tepat! Jangan buru-buru mengganti password sebelum website  tersebut kembali kebal terhadap Heartbleed. Jika situs yang kamu gunakan belum kebal terhadap Heartbleed, tunggu dulu hingga pengelola website melakukan patch terhdap OpenSSL di servernya. Setelah situs tersebut kebal terhadap Heartbleed, barulah ganti password kamu.
            Solusi lainnya adalah menggunakan satu password untuk satu situs. Dengan begitu jika kamu tanpa sengaja menggunakan layanan website yang belum kebal terhadap Heartbleed, dan si attacker berhasil mengambil detail akun kamu, maka dia tidak bisa membobol akun kamu dilayanan-layanan lainnya. Untuk memudahkan kamu dalam mengingat password kamu dapat menggunakan layanan KeePass maupun LastPass.
            Untuk semakin mengamankan akun kamu, pastikan kamu mengaktifkan Two-Factor Authentication jika memang fitur tersebut tersedia. Saat ini berbagai situs besar dan popular sudah menerapkan teknologi ini. Dengan begini attacker tidak bisa bebas keluar masuk ke akun kamu meskipun dia sudah mengantongi username dan passwordnya.
Bagi Pengelola Situs
            Jika server kamu masih menggunakan OpenSSL 1.0.1 hingga 1.0.1f, segera update OpenSSL tersebut ke versi 1.0.1g. Cara mengupdatenya bervariasi tergantung dari OS apa yang kamu gunakan di server kamu. Jangan lupa juga ingatkan user untuk mengganti password mereka. Kamu juga bisa “sedikit memaksa” dengan melakukan reset password semua user. Ini semua demi kemanan pengguna layanan situs kamu.


Sumber           :


Tidak ada komentar:

Posting Komentar