Heart Bleed

Beberapa bulan yang lalu saat gw lagi asik browsingan gw dikejutkan sama sesuatu yang berbahaya, dan itu dinamakan dengan ” Heart Bleed”, dari namanya aja kedengaranya udah ngeri banget coy, kalo kata heartnya sih oke lah, so sweet gitu..eh tapi kata bleednya itu loh, berdarah darah. nah loh?

Gw kira ini tuh semacam penyakit baru  hasil kontrasepsi..eh heh maksud gw konspirasi mamarika yang lagi menyebar dan menjangkit para penduduk diseluruh dunia termasuk indonesia, lah terus gw panik donk, setelah penyakit cikungunya yang pernah gw rasain bener-bener nggak enak coy, apalagi nih penyakit yang pake ada berdarah-darah segala. karena gw penasaran akhirnya gw coba cari aja tuh tentang tuh penyakit, hahahahhaa. Setelah baca artikel demi artikel gw pun bisa berlega ria coy, ternyata itu bukan penyakit yang menyerang manusia, tapi penyakit yang menyerang sebuah protokol keamanan di internet, jadi intinya dia itu ( heartbleed) adalah bug yang memanfaatkan kelemahan yang ada pada protokol keamanan (SSL) lalu dengan cepatnya mengambil data pribadi para pengguna internet yang tersimpan diserver. Yang pasti ini sesuatu yang bikin setiap orang panik dan sangat berbahaya bagi mereka yang sering mencantumkan password mereka diinternet dari password jejaring sosial sampe akun perbankan,  kalo mau lebih detailnya cek dibawah coy.

APA ITU SSL ?

SSL adalah kependekan dari Secure Socket Layer yang merupakan suatu protocol layer transport yang digunakan dalam koneksi internet secara aman. Jika anda menginginkan suatu koneksi komunikasi lewat internet dengan cara yang secure, maka gunakan koneksi SSL.

SSL menawarkan tiga tingkat keamanan, yaitu:

  • Authentication: Memastikan bahwa message yang diterima berasal dari seseorang yang tersurat
  • Confidentiality: Melindungi pesan dari suatu usaha pembacaan oleh penerima yang tidak berhak disepanjang perjalanannya.
  • Integrity: Memastikan bahwa pesan asli, tidak mengalami perubahan dalam perjalanannya.

SSL dikembangkan oleh Netscape Communications agar bisa mengirim data secara aman lewat internet. Jika anda pernah memperhatikan di browser internet dengan menggunakan HTTPS, maka koneksi internet ini adalah menggunakan SSL yang umum digunakan pada suatu transaksi online. Jadi HTTPS adalah suatu protocol untuk melakukan transfer data yang terinkripsi melalui web.

PERBEDAAN HTTP DAN HTTPS

  • HTTPS melakukan koneksi melalui port 443, sementara HTTP menggunakan port 80
  • HTTPS mengirim / menerima data dengan inkripsi lewat protocol SSL, sementara HTTP mengirim data dengan plain text

Jadi dalam transaksi online, maka pastikan anda melihat online store anda menggunakan HTTPS dalam bertransaksi keuangan lewat internet.

Jika anda mempunyai website, apa yang diperlukan agar bisa di host disuatu host yang bisa SSL.

  • Web server haruslah support inkripsi SSL
  • IP address public yang unik agar penyedia certificate SSL bisa melakukan validasi website anda
  • Suatu certificate SSL dari penyedia layanan SSL

Dua yang pertama bisa anda dapatkan dari ISP anda, hubungi ISP anda untuk memastikannya.

SSL beroperasi pada antara layer Application dan Transport pada model OSI. SSL tidak bekerja secara transparent automatis, karena hanya bisa kalau memang protocol-protocol applikasi secara explicit memang diimplementasikan.

SSL menggunakan inkripsi public-key untuk maksud authentication dan inkripsi  symmetric key untuk inkripsi informasi yang dikirim. Untuk public key inkripsi SSL menggunakan algoritma inkripsi Rivest-Shamir-Adleman (RSA), makanya bergantung pada implementasi dari infrastructure public key (PKI) yang didukung. Integritas pesan dijamin dengan cara mekanisme checking integritas yang disebut sebagai  message authentication code (MAC).

Proses authentikasi

Suatu sesi SSL bermula saat suatu client dengan SSL-enabled meminta suatu koneksi dengan server dengan SSL-enabled melalui TCP port 443, yaitu port SSL. Hal ini akan menginisiasi suatu koneksi SSL antara client dan server. Semua website yang menggunakan SSL mempunyai suatu URL dengan awalan HTTPS. Server kemudian mengirimkan certificate digital dan public key kepada client tersebut.

Client server kemudian melakukan negosiasi tingkat inkripsi mana yang bisa diterima yang biasanya 40-bit, 56-bit, ataupun 128 bit keatas. Client kemudian menghasilkan suatu secret session key yang kemudian di inkripsi menggunakan public key dari server untuk kemudian mengirimkan nya kepada server. Server kemudian melakukan dekripsi secret session key tersebut menggunakan private key-nya. Dari poin ini seterusnya, secret key cryptography dikenakan dan kemudian session key digunakan untuk meng-inkripsi semua pertukaran data antara client dan server, memberikan suatu komunikasi private yang aman.

SSL ini tentunya tidak bebas dari masalah begitu saja. Semua transaksi web dengan SSL akan menambah overhead pemrosesan pada server. Terkadang menjadi dua kali lipat tingkat overhead prosessingnya dibanding tanpa menggunakan koneksi secure SSL. Dengan hardware mesin yang sama, maka tingkat beban prosessing dengan menggunakan SSL akan menjadi sangat berat dibanding tanpa SSL.

Disamping itu, SSL jadi sulit diimplementasikan dalam e-commerse yang menggunakan web server farms dan server load balancers. Hal ini mengingat SSL didesign agar client menggunakan IP address yang sama selama sessi berlangsung.

Untuk mengatasi masalah ini, biasanya digunakan hardware khusus yang disebut SSL Accelerators untuk mengambil alih beban processing dan sesi cache kepada server-server lain untuk meningkatkan performa.

 

APA ITU HEARTBLEED ?

Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena bug ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL

APA ITU HEARTBEAT?

Heartbeat itu salah satu fitur OpenSSL yang diperkenalkan tahun 2012. Tujuan heartbeat adalah mengecek apakah komputer kamu masih terhubung ke sebuah server. Soalnya, seringkali router—yang menjadi perantara antara komputer kamu dengan server di internet—memutuskan hubungan jika terjadi idle yang terlalu lama. Dengan heartbeat, komputer kamu bisa mengetahui apakah masih terhubung dengan server yang dituju.
Prinsip kerjanya kurang lebih seperti gambar di bawah: komputer kamu akan mengirimkan pesan berisi sebuah magic word dan jumlah karakter kata tersebut. Nanti server akan membalas pesan tersebut dengan menyebutkan magic word tersebut.

CARA MEMANFAATKAN HEARTBEAT?

Fasilitas heartbeat ini memiliki kelemahan karena terlalu percaya dengan komputer pengirim. Misalnya seperti contoh dibawah adalah interaksi antar komputer pribadi dengan server,

pc : hey server, kita berdua masih nyambung nggak koneksinya?

server : masih kok bro, emang ada apa?

pc : gw pengen login nih, tapi nggak bisa, kata kuncinya tuh donidoni, panjang karakternya 100 karakter.

server : oke, data  lo nih ” donidoni#%#satu : 09/05/1994 : doni.antara@gmail.com : password sayakeren.

komputer hacker cuma mengirimkan sebuah kata yang pendek (seperti donidoni) namun meminta respon sebanyak 100 karakter. Server ternyata tidak mengecek kalau donidoni hanya memiliki beberapa karakter. Server langsung “memuntahkan” semua karakter yang tersimpan di memori RAM-nya untuk memenuhi permintaan 100 karakter tersebut.
Dan 100 karakter hanyalah ilustrasi. Sang hacker bisa meminta sampai 64.000 karakter.

DATA YANG DISIMPAN DI MEMORY SERVER?

Banyak sekali, termasuk informasi sangat rahasia. Atas nama kecepatan, server secara terus-menerus akan menyimpan berbagai data di memorinya. Seperti contoh di atas, memori server bisa menyimpan data nama, alamat email, tanggal lahir, password, sampai nomor kredit kamu. Yang lebih berbahaya, private key pun bisa disimpan di memori. Fyi, private key adalah kunci rahasia yang digunakan server untuk membuka teks yang diacak oleh OpenSSL tersebut. Private key ini seharusnya hanya diketahui oleh sistem. Jika diketahui hacker, berarti semua data yang diacak tersebut bisa dibuka sang hacker dengan mudah.

TERUS KITA HARUS GIMANA NIH ? 
Bug Heartbleeding ini sebenarnya tanggung jawab penyedia situs. Mereka harus mengganti OpenSSL ke versi terbaru, sekaligus membuat private key baru. Untungnya, sang penemu Heartbleed telah menginformasikan bug ini ke OpenSSL Foundation sebelum mengumumkannya ke publik. Alhasil, banyak situs yang telah menanggulangi bug ini sebelum berita resminya beredar, seperti Facebook, Google, dan beberapa situs besar lain.
Namun karena OpenSSL digunakan di sepertiga situs di internet (atau sekitar 500 juta situs), masih banyak yang harus diperbaiki. Dan yang membuat Heartbleed berbahaya adalah tidak ada jejak sedikitpun yang menunjukkan apakah situs tersebut pernah dijebol menggunakan Heartbleed.

CEK APAKAH SITUS TERJANGKIT ATAU TIDAK ?
Coba cek di situs LastPass ini. LastPass akan melihat engine di balik situs tersebut. Jika menggunakan Apache atau Nginx, dua database engine yang menggunakan OpenSSL, situs tersebut dinyatakan rentan (meskipun belum tentu sudah dibobol). Kamu juga bisa melihat ke artikel Mashable ini yang mendaftar situs populer yang telah atau belum menambal kelemahan Heartbleed ini.

CARA AGAR DATA TIDAK DICURI ?
Cara paling aman adalah tidak login ke situs tersebut untuk sementara waktu—sebelum mereka mengganti OpenSSL-nya ke generasi terbaru. Jika mereka sudah melakukan itu, baru kamu ganti password-nya dengan yang baru.
Dan ingat-ingat username dan password lama yang kamu gunakan di situs tersebut. Jika password itu kita gunakan di situs lain (situs B, misalnya), ganti password di situs B. Takutnya, sang hacker berhasil mendapatkan password kamu di situs A lalu menggunakannya di situs B.

YANG BIKIN BUG HEARTBLEED ?
Eksperimen heartbeat ditambahkan oleh Robin Seggelmen, seorang programmer asal Jerman, pada tahun 2011, dan dirilis ke publik pada tahun 2012. Namun ia menyangkal kelemahan itu dilakukan secara sengaja. Kode itu pun lolos dari validasi yang dilakukan Dr Stephen Henson yang merupakan salah satu anggota inti OpenSSL Foundation.

HEARTBLEED KETAUAN SAMA SIAPA SIH?
Dia adalah Neel Mehta, salah satu anggota Google Security. Atas jasanya tersebut, dia mendapatkan uang sebesar US$ 15 ribu dari Internet Bug Bounty. Namun oleh Neel, uang itu langsung disumbangkan kepada yayasan The Freedom of Press Foundation yang bergerak di bidang keamanan komunikasi digital.

SUMUR :

http://www.jaringan-komputer.cv-sysneta.com/apa-itu-secure-socket-layer-ssl

http://www.pcplus.co.id/2014/04/fitur/apa-itu-heartbleed/

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s