HEARTBLEED
Heartbleed
adalah celah keamanan disalah satu ekstensi OpenSSL. Celah keamanan ini
memungkinkan attacker untuk membaca memori dari server yang diproteksi oleh
OpenSSL. Hasilnya mereka bisa mencuri password, username, dan informasi sensitif
lainnya.
Heartbleed
merupakan bug di ekstensi Heartbleed, mka bug ini muncul ketika Heartbleed
diimplementasikan di OpenSSL. Ekstensi Heartbleed dibuat oleh Dr. robin
Seggelmann pada tahun 2011. Ekstensi ini kemudian di review oleh Dr. Stephen N.
Henson (salah satu dari empat core developer OpenSSL) yang ternyata gagal
menyadari adanya bug di ekstensi OpenSSL yang aktif secara default dan mulai
diadopsi oleh banyak pengelola website sejak dirilisnya OpenSSL versi 1.0.1
pada 14 Maret 2012.
Adapun
cara mengetahui website yang terkena Heartbleed sebagai berikut:
Dari
sisi pengguna
Kamu bisa menggunakan pengecekan dengan menggunakan Heartbleed
Test dari Filippo ataupun McAfee. Masukkan saja URL website yang ingin kamu
cek. Jika hasilnya vulnerable maka website tersebut masih belum kebal terhadap Heartbleed.
Kamu juga bisa menggunakan addon browser untuk semakin memudahkan melihat
apakah website yang kamu kunjungi sedah kebal terhadap Heartbleed atau belum.
Dari
sisi pengelola website
Silahkan cek versi OpenSSL di server yang kamu gunakan. Jika
versi OpenSSL di serber kamu adalah 1.0.1 hingga 1.0.1f, maka server kamu belum
kebal terhadap Heartbleed.
Selain itu, ada cara mengatasi Heartbleed sebgai berikut :
Bagi
Pengguna
Beberapa orang menyarankan kamu untuk segera mengganti password
setelah Heartbleed ditemukan. Hal ini salah dan kurang tepat! Jangan buru-buru
mengganti password sebelum website
tersebut kembali kebal terhadap Heartbleed. Jika situs yang kamu gunakan
belum kebal terhadap Heartbleed, tunggu dulu hingga pengelola website melakukan
patch terhdap OpenSSL di servernya. Setelah situs tersebut kebal terhadap Heartbleed,
barulah ganti password kamu.
Solusi lainnya adalah menggunakan satu password untuk
satu situs. Dengan begitu jika kamu tanpa sengaja menggunakan layanan website
yang belum kebal terhadap Heartbleed, dan si attacker berhasil mengambil detail
akun kamu, maka dia tidak bisa membobol akun kamu dilayanan-layanan lainnya. Untuk
memudahkan kamu dalam mengingat password kamu dapat menggunakan layanan KeePass
maupun LastPass.
Untuk semakin mengamankan akun kamu, pastikan kamu
mengaktifkan Two-Factor Authentication jika memang fitur tersebut tersedia. Saat
ini berbagai situs besar dan popular sudah menerapkan teknologi ini. Dengan begini
attacker tidak bisa bebas keluar masuk ke akun kamu meskipun dia sudah
mengantongi username dan passwordnya.
Bagi
Pengelola Situs
Jika server kamu masih menggunakan OpenSSL 1.0.1 hingga
1.0.1f, segera update OpenSSL tersebut ke versi 1.0.1g. Cara mengupdatenya
bervariasi tergantung dari OS apa yang kamu gunakan di server kamu. Jangan lupa
juga ingatkan user untuk mengganti password mereka. Kamu juga bisa “sedikit
memaksa” dengan melakukan reset password semua user. Ini semua demi kemanan
pengguna layanan situs kamu.
Sumber :
Tidak ada komentar:
Posting Komentar