Antisipasi Hati Yang Luka di Firefox, Chrome dan Android

21 April 2014
Antisipasi Hati Yang Luka di Firefox, Chrome dan Android
Ibaratnya dua partai politik yang senang berbalas puisi, pengguna Microsoft Windows sering menjadi sindiran pengguna OS lain karena sering menjadi sasaran utama malware dan eksploitasi celah keamanan. Namun kelihatannya hukum karma berlaku, bug heartbleed yang dipublikasikan awal April 2014 menggemparkan komunitas opensource dan mayoritas OS opensource yang menggunakan OpenSSL mengalami kerentanan atas bug tersebut. Disini terlihat bahwa sebenarnya sekuriti bukan ditentukan oleh apa produk / merek OS yang anda pakai. Pada prinsipnya semua produk ciptaan manusia tidak ada yang sempurna sehingga penggunanya harus selalu waspada. Kalau di dunia PC OS komputer Microsoft Windows adalah rajanya seperti Android yang merajai dunia Smartphone, maka OpenSSL dapat dikatakan sebagai raja di dunia pengamanan koneksi dan digunakan oleh lebih dari 2/3 webserver dunia (Apache dan nginx). Selain itu, OpenSSL juga banyak digunakan oleh pembuat aplikasi khususnya aplikasi yang membutuhkan pengamanan akses kredensial seperti security appliances dan router. Seperti beberapa jenis produk hardware Cisco dan Juniper ternyata juga mengadopsi OpenSSL dalam perangkatnya. Kabar buruknya, eksploitasi terhadap bug hearbleed tidak meninggalkan jejak. Berbeda dengan aksi peretasan webserver dimana aktivitas dan informasi IP peretas akan disimpan dalam file log yang bisa membantu analisa dan pelacakan aksi yang dilakukan peretas, eksploitasi terhadap heartbleed tidak meninggalkan jejak atau sesuatu yang abnormal di log server.


Bug Heartbleed
Untuk anda yang awam dengan istilah komputer, bug bukanlah virus atau malware. Bug adalah kesalahan atau cacat dalam program yang mengakibatkan program berjalan tidak seperti yang diharapkan atau menjadi berperilaku tidak wajar. Tidak semua bug memberikan dampak buruk atau kerugian besar. Beberapa bug memberikan dampak ringan dan tidak terlalu mengganggu dan terkadang tidak terdeteksi dalam jangka waktu yang lama. Bug yang lain memberikan dampak lebih besar seperti mengakibatkan program crash / hang atau BSoD (Blue Screen of Death). Yang paling berbahaya adalah bug yang mengakibatkan celah sekuriti atau security bug seperti Heartbleed bug ini. Heartbleed bug adalah bug (cacat program) yang terkandung di dalam heartbeats. heartbeats adalah ekstensi (program pendukung) bagi OpenSSL. OpenSSL adalah protokol pengamanan otentikasi open source yang paling banyak digunakan oleh penyedia layanan di internet dunia yang membutuhkan pengamanan kriptografi otentikasi.

Dinamakan heartbleed karena terkandung di dalam ekstensi heartbeats dari TLS/DTLS (Transport Layer Security Protocol) dengan identifikasi CVE-2014-0160 yang informasi resminya bisa diakses dari https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0160. Heartbleed pada OpenSSL mengakibatkan bocornya informasi penting yang seharusnya terlindungi oleh enkripsi SSL / TLS yang selama ini digunakan untuk melindungi privasi dan pengamanan komunikasi pada aplikasi internet seperti web, email, instant messaging dan VPN. Heartbleed memungkinkan siapapun di internet membaca memori sistem yang menggunakan versi OpenSSL yang mengandung bug ini, lebih tepatnya lagi Heartbleed secara sukarela memberikan informasi SSL yang tadinya terenkripsi dan setelah di dekrip lalu diberikan kepada komputer yang mengeksploitasi bug ini (Terimakasih kepada bung Hais Wahyu atas informasi teknis Heartbleed). Hal ini memungkinkan kriminal untuk mencuri dengar, mengambil data dari server atau pengguna layanan atau menyaru sebagai layanan palsu atau pengguna layanan palsu. Data yang rentan bocor adalah terutama (namun tidak hanya terbatas pada) kunci rahasia pengamanan enkripsi SSL dan kredensial.
Adapun versi OpenSSL yang rentan adalah OpenSSL 1.0.1 – 1.0.1f. OpenSSL 1.0.0 dan 0.9.8 tidak rentan. OpenSSL 1.0.1g merupakan versi update menambal celah keamanan tersebut. Sedangkan OS Opensource yang terkait celah keamanan ini adalah :
  •     Debian Wheezy
  •     Ubuntu 12.04.4 LTS
  •     CentOS 6.5
  •     Fedora 18
  •     OpenBSD 5.3
  •     FreeBBSD 10.0
  •     NetBSD 5.0.2
  •     OpenSUSE 12.2
Selain OS open source di atas, aplikasi yang menggunakan OpenSSL yang rentan juga perlu melakukan update seperti IPCop, LibreOffice, LogMeIn dan beberapa versi software sekuriti dan aplikasi McAfee. Selain itu, beberapa layanan game seperti Minecraft, Wargaming, League of Legends dan Steam juga memanfaatkan OpenSSL.


Mendeteksi heartbleed
Jika anda ingin mendeteksi apakah suatu situs mengandung bug heartbleed, saat ini sudah banyak beredar ekstensi yang bisa diinstalkan pada Firefox atau google Chrome. Namun salah satu sumber utama untuk mendeteksi Heartbleed dibuat oleh Filippo Valsorda yang bisa anda akses dari https://filippo.io/Heartbleed/ (lihat gambar 2)
20140421I_antisipasiheartbleed04
Gambar 1, Situs pengecekan bug heartbleed
Sedangkan untuk peramban Firefox dan Google Chrome sudah bermunculan banyak Add Ons (Firefox) seperti FXBleed dan Extension (Chrome) Chromebleed yang secara otomatis akan mengecek kerentanan Heartbleed dari server situs yang anda kunjungi. (lihat gambar 2). Perlu menjadi catatan pada gambar di bawah kalau pesan “Connection Refused” berarti port OpenSSL 443 yang dicek tidak memberikan tanggapan, bisa saja diblokir oleh IPS / IDS atau memang tidak aktif. Hal ini tidak berarti server yang anda kunjungi mengandung kelemahan atau tidak mengandung kelemahan OpenSSL.
20140421I_antisipasiheartbleed03
Gambar 2, Extensions Chromebleed in action
Heartbleed di Android
Bagi anda pengguna Smartphone, secara OS para pengguna iPhone dan Windows Phone boleh membusungkan dada karena kedua OS ini tidak menggunakan OpenSSL. Sedangkan untuk Android, menurut rilis resmi dari Google hanya Android versi 4.1.1 Jelly Bean yang mengandung celah keamanan ini. Namun anda jangan langsung percaya dengan apa yang dikatakan oleh vendor dan harus melakukan crosscheck.

Menurut pengamatan Vaksincom, beberapa smartphone dengan OS Kitkat dari beberapa vendor yang melakukan perubahan pada settingan OS Kitkatnya ternyata mengaktifkan heartbeats dan otomatis OS Kitkat dengan ekstensi heartbeats yang diaktifkan mengandung bug Heartbleed ini.

Kabar buruknya, sekalipun OS smartphone anda tidak mengaktifkan ekstensi heartbeats, namun jika anda menggunakan apps (aplikasi) yang menggunakan OpenSSL yang mengandung bug Heartbleed, maka otomatis perangkat anda juga terancam mengalami kerugian atas eksploitasi bug Heartbleed ini.

Untuk memastikan apakah perangkat anda aman dari Heartbleed anda bisa mencoba apps dengan nama Bluebox Heartbleed Scanner dari Play Store anda. (lihat gambar 3) https://play.google.com/store/apps/details?id=com.bblabs.heartbleedscanner
20140421I_antisipasiheartbleed01
Gambar 3, Bluebox Heartbleed Scanner
Bluebox Haertbleed scanner tidak saja memeriksa apakah perangkat smartphone anda mengandung bug Heartbleed, namun juga memeriksa semua aplikasi yang terinstal pada smartphone anda, apakah mengandung bug Heartbleed atau tidak (lihat gambar 4 dan 5). Perlu anda perhatikan dan menjadi catatan penting adalah sekalipun anda menggunakan versi OpenSSL yang rentan, namun menonaktifkan heartbeats maka perangkat anda tidak mengandung kerentanan Heartbleed (lihat gambar 4). Namun kesalahan setting sedikit saja yang mengaktifkan heatbeats pada versi OpenSSL yang sama langsung menyebabkan perangkat anda mengandung kelemahan heartbleed (lihat gambar 5). Karena itu Vaksincom menyarankan anda untuk selalu menggunakan versi terbaru dari apps anda dan segera melakukan update atas apps yang anda gunakan jika tersedia.
20140421I_antisipasiheartbleed05
Gambar 4, Perangkat ini tidak mengadung kerentanan Heartbleed meskipun menggunakan OpenSSL 1.0.1e karena heartbeats di nonaktifkan
20140421I_antisipasiheartbleed02
Gambar 5, Perangkat ini sama-sama menggunakan OpenSSL 1.0.1e yang rentan seperti gambar 4 di atas. Namun memiliki kerentanan eksploitasi Hearbleed karena ekstensi heartbeats diaktifkan
Jika anda khawatir bahwa aplikasi yang anda gunakan mengandung kerentanan dan untuk memastikan kredensial anda telah diganti seiring dengan versi OpenSSL di server penyedia layanan yang telah diupdate anda dapat melakukan hal ini :
  •     Logout dari apps yang anda gunakan.
  •     Tunggu 3 menit.
  •     Login kembali.
Dengan cara ini, secara tidak langsung anda melakukan penggantian token sekuriti yang secara otomatis akan ikut berganti jika OpenSSL di server layanan apps anda telah diupdate. Tetapi ingat, pastikan lakukan hal ini “hanya” setelah OpenSSL yang rentan telah diupgrade ke versi 1.0.1.g. Jika ragu silahkan hubungi penyedia apps anda.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: