Berdasarkan layanan Internet Netcraft, tercatat ada 500 ribu web situs yang terserang dan rentan pada Heartbleed ini.
Apa itu Heartbleed... ?
Disebutkan bahwa, jika eksploitasi bug pada OpenSSL, seorang peretas
(hacker) bisa saja mencuri informasi meskipun. Sederhananya cara kerja
heartbleed ini seperti dijelaskan oleh Neel Mehta, peneliti dari Google
yang menyebutkan, cacat Heartbleed ini memanfaatkan celah yang
memungkinkan data penting yang kita kirimkan di jalur OpenSSL bisa
diambil orang yang tidak berhak.
“Terminologinya seperti ini, OpenSSL itu seperti jalur aman yang menghubungkan komputer kita dengan situs tersebut. Setelah terhubung, sesekali komputer kita mengirimkan kode khusus (yang disebut heartbleed) di jalur aman tersebut untuk mengetahui apakah server di ujung sana masih terhubung. Nah, bug Heartbleed mengeksploitasi hal tersebut,” kata Neel.
Neel Mehta menambahkan, kita bisa membuat kode yang menyamar sebagai heartbleed. Tidak cuma menyamar, heartbleed palsu itu bahkan bisa meminta server sebuah situs memberikan data yang tersimpan di memorinya.
Menurut data Netcraft, 17% dari seluruh situs di dunia, atau sekitar 500 jutaan situs, terancam bug ini. Sementara itu tim OpenSSL juga telah menerbitkan versi terbaru untuk menangani cacat tersebut dengan menghadirkan OpenSSL 1.0.1g, dimana situs-situs besar seperti Yahoo, Google, Twitter telah menangani hal tersebut.
“Terminologinya seperti ini, OpenSSL itu seperti jalur aman yang menghubungkan komputer kita dengan situs tersebut. Setelah terhubung, sesekali komputer kita mengirimkan kode khusus (yang disebut heartbleed) di jalur aman tersebut untuk mengetahui apakah server di ujung sana masih terhubung. Nah, bug Heartbleed mengeksploitasi hal tersebut,” kata Neel.
Neel Mehta menambahkan, kita bisa membuat kode yang menyamar sebagai heartbleed. Tidak cuma menyamar, heartbleed palsu itu bahkan bisa meminta server sebuah situs memberikan data yang tersimpan di memorinya.
Menurut data Netcraft, 17% dari seluruh situs di dunia, atau sekitar 500 jutaan situs, terancam bug ini. Sementara itu tim OpenSSL juga telah menerbitkan versi terbaru untuk menangani cacat tersebut dengan menghadirkan OpenSSL 1.0.1g, dimana situs-situs besar seperti Yahoo, Google, Twitter telah menangani hal tersebut.
Apa bahayanya “Heartbleed”...?
Akhirnya, bencana besar di dunia internet
terjadi, yakni kebocoran data besar-besaran dari sebagian besar situs
di seluruh dunia. Kebocoran data ini bisa berakibat pada pencurian data
bahkan uang di seluruh dunia. Pada intinya, Heartbleed adalah dapat
mengungkapan berbagai informasi di seluruh dunia. Ini semua bermula pada sebuah celah keamanan pada piranti lunak yang digunakan oleh hampir seluruh situs di seluruh dunia.
Piranti lunak tersebut bekerja untuk
mengubah data menjadi kode-kode berupa angka dan huruf secara acak agar
tak bisa terbaca oleh seseorang yang ingin melakukan peretasan, biasa
disebut enkripsi.
Situs yang menggunakan enkripsi datanya
ditandai oleh “tanda gembok” di kotak alamat di browser. Bahkan di
setiap situs yang menggunakan piranti lunak tersebut dipastikan
terinfeksi Heartbleed, dan bisa diretas dengan mudah.
“Ini mungkin adalah bug (kecacatan sistem) terburuk yang pernah ada di internet,” kata Matthew Prince, CEO perusahaan layanan proteksi website CloudFlare.
“Jika seminggu dari sekarang kita melihat
sebuah kriminalitas dari pencurian akun finansial dalam jumlah besar,
kita tak akan kaget lagi,” lanjutnya.
Inilah
tampilan “Heartbleed bug” yang sedang digunakan cracker saat meretas.
picture shows what the bug looks like to hackers, minus the blue
highlighting, which shows the bug in action at Yahoo.com, and the red boxes, which obscure someone’s actual password.
Sudah lebih dari dua tahun yang lalu,
Heartbleed bisa memberikan celah bagi siapa saja untuk mengeksploitasi
sebuah situs dengan protokol OpenSSL.
Celah ini memberi kesempatan bagi penjahat cyber
untuk mengintai pengguna komputer yang mengakses situs terinfeksi
Heartbleed, selama ia masih terkoneksi ke internet. Ini dikenal dengan
ekstensi Heartbeat. Tapi sinyal berbahaya dari Heartbeat bisa memaksa
pembocoran data untuk mengungkap informasi rahasia yang tersimpan di
memori.
Dan kemungkinan kejahatan yang bisa dilakukan adalah pencurian username dan password. Penjahat cyber bisa menggunakan username dan password
tersebut untuk menyalahgunakan sebuah akun layanan tertentu. Yang lebih
buruk, pengguna tak pernah tahu kalau akunnya diretas oleh seseorang!
Cara Mendeteksi “Heartbleed” pada Android
Saat ini memang sedang ramai dan membuat geger para pengguna internet sejak ditemukannya “celah keamanan” dan dimasuki Heartbleed pada protokol OpenSSL.
“Heartbleed Bug Attack” atau serangan “Heartbleed” ini memungkinkan ekspos informasi data baik itu username dan password yang berasal pada “celah jantung internet” sehingga bisa disalahgunakan oleh para hacker.
Dan tentu aja serangan hacker ini yang sangat ditakutkan oleh para pengguna internet. Beberapa pengertian yang salah Seputar Heartbleed :- Heartbleed bukanlah virus. Heartbleed adalah bug di ekstensi Heartbeat OpenSSL versi 1.0.1 sampai 1.0.1f
- Update antivirus tidak akan berpengaruh terhadap kebal atau tidaknya perangkat gadget terhadap Heartbleed karena Heartbleed bukanlah virus dan dia tidak menyebar atau menginfeksi perangkat atau PC kita.
- Mengganti password tetap tak menjamin dan salah, jika situs yang Anda gunakan itu belum kebal terhadap Heartbleed. Ganti password Anda setelah situs tersebut di patch dan kebal terhadap Heartbleed. Mengganti password sebelum situs tersebut kebal terhadap Heartbleed sama artinya dengan memberikan kesempatan kepada sang attacker untuk mencuri detail password baru Anda.
Perangkat smartphone yang dapat mengakses internet tentu saja rentan terkena dampak dari “Heartbleed“. Google juga mengingatkan melaui blognya bahwa sistem operasi dari google yaitu Android juga terkena dampak dari “Heartbleed” Tentu saja jutaan gadget Android yang rawan serangan hacker karena mengidap bug Heartbleed.
Google
tengah berupaya untuk mengatasi “Hearthbleed” dan sedang bekerja
bersama para rekanan untuk menyalurkan patch keamanan guna menangkal Heartbleed.
Sementara menunggu patch tersebut, Lookout Mobile telah merilis aplikasi bernama Heartbleed Detector yang bisa mendeteksi apakah perangkat Android terjangkit Heartbleed atau tidak.
Menurut pengujian dengan Heartbleed Detector yang dilakukan ArsTechnica, banyak versi Android memakai versi OpenSSL yang bermasalah
Namun sebagian besar tak mengaktifkan ekstensi yang mengandung kode itu sehingga dapat dikatakan tidak terkena dampak Heartbleed.
Lain halnya dengan perangkat Android
versi 4.1.1 yang kedapatan mengandung bug bersangkutan dan
mengaktifkannya, seperti terlihat pada gambar disamping.
Dapatkan aplikasi Heartbleed Detector dari Play Store atau klik disini gratis, install dan jalankan aplikasinya.
Apakah Android Anda terjangkit Heartbleed?,
bila terkena, amankan data sensitif anda, walau mengganti password
tidaklah banyak membantu namun ada baiknya secara periodik anda
melakukan penggantian password. (CNN / tempo.co / okezone.com / aliemw@blogspot / Electronic Frontier Foundation / CloudFlare / businessinsider.co.id / ibtimes.co.uk)
0 komentar:
Posting Komentar