Heartbleed, Hati Yang Luka

21 April 2014
Heartbleed, Hati Yang Luka
Akibat suka curhat
Kalau anda boleh memilih teman, apakah anda akan memilih teman yang banyak cerita dan ramah dibandingkan dengan teman yang kerjanya diam saja dan kalau ditanya ia hanya akan menjawab secukupnya. Tidak pernah memberikan informasi lebih dari yang diminta. Kemungkinan besar banyak yang akan memilih teman yang ramah, banyak cerita tanpa diminta. Ditanya sedikit, dia langsung cerita banyak, apalagi kalau dapat teman yang sukanya curhat, tidak ditanyapun dia akan nyerocos menceritakan tentang dirinya dan masalah yang dihadapinya. Kira-kira hal inilah yang terjadi dalam kasus heartbleed, dimana server komputer yang seharusnya memberikan informasi secukupnya, karena adanya cacat pemrograman dia jadi curhat dan memberikan informasi lebih dari yang diminta. Celakanya, informasi yang dimilikinya dan menjadi sarana surhat adalah informasi sensitif karena ia bertugas menangani pengamanan akses pengguna, maka informasi yang dibocorkannya sangat berbahaya dan berpotensi merugikan pengguna layanan server ini. Kira-kira inilah gambaran tentang heartbleed.


Heartbleed adalah bug (cacat program) yang terkandung di dalam Heartbeat. Heartbeat adalah ekstensi (program pendukung) bagi OpenSSL. OpenSSL adalah protokol pengamanan otentikasi open source yang paling banyak digunakan oleh penyedia layanan di internet yang membutuhkan pengamanan kriptografi otentikasi seperti Google, You Tube, Mine Craft, Dropbox, Wikipedia, Yahoo, Go Daddy, Facebook dan Amazon Web Service. Selain itu Open SSL juga banyak digunakan oleh aplikasi pihak ketiga seperti Password Manager, termasuk banyak produk hardware seperti Cisco dan Juniper.

Heartbeat berfungsi memonitor kesiapan sistem dengan cara mengirimkan “heartbeat request” yang biasanya berisi teks yang harus dijawab oleh komputer penerima ke komputer pengirim. Karena fungsi komputer OpenSSL adalah menjaga keamanan pengakses, maka sifat yang harus dimiliki oleh OpenSSL adalah bisa menjaga rahasia dan menjawab secukupnya kalau ditanya. Ibaratnya anda bekerja di perusahaan yang memiliki informasi sensitif / badan intelijen dan anda mengetahui banyak hal rahasia, maka makin sedikit anda bicara akan makin baik dan makin banyak anda bicara kemungkinan anda membocorkan informasi makin besar. Kesalahan yang dikandung oleh Heartbleed adalah kelemahan penanganan atas pertanyaan / request ke server yang jika dirancang dengan sedemikian rupa akan menyebabkan server langsung curhat. Celakanya, yang dicurhatkan adalah informasi kredensial pengakses lain yang seharusnya dirahasiakan olehnya. Hal inilah yang dikhawatirkan oleh para pengamat sekuriti.
Apa yang harus dilakukan
Vaksincom banyak mendapatkan pertanyaan dari pengguna awam, apa yang harus dilakukan dalam mengantisipasi Heartbleed ini. Pada saat-saat awal munculnya celah keamanan ini, jujur saja sangat sedikit yang bisa dilakukan oleh pengguna jasa layanan karena celah keamanannya ada di webserver dan pengguna jasa layanan tidak memiliki akses untuk memperbaiki celah keamanan tersebut. Jika pengguna jasa mengganti kredensial (username / password) namun server yang mengandung celah keamanan tetap belum di patch, sama saja dengan lagu Gito Rollies Sama Juga Bohong karena dengan mengeksploitasi celah keamanan tersebut penyerang akan dapat mengakses kredensial yang baru dirubah tersebut. Namun, jika celah keamanan telah ditambal oleh penyedia jasa, maka disarankan anda untuk berbondong-bondong mengganti kredensial sebagai bentuk praktek sekuriti yang baik karena setelah celah keamanan ditambal artinya kredensial yang anda ganti tidak akan bisa diakses oleh kriminal dengan eksploitasi heartbleed. Lebih detailnya yang harus dilakukan adalah :
  • Penyedia jasa layanan (pemilik server yang mengalami kerentanan heartbleed) : Menambal celah keamanan dan mengganti kunci keamanan / private key yang terkait dengan celah keamanan ini. Hal ini harus dilakukan oleh penyedia jasa layanan guna memastikan para pengguna jasanya selalu terlindung dari ancaman pencurian data dan penyalahgunaan akun.
  • Pengguna jasa layanan (pemilik akun) : mengganti username dan password pada layanan yang terpapar celah keamanan ini. Selain itu disarankan untuk mengganti kunci pengaman dan cookies terdahulu dari browser sebaiknya di clear.
Vaksincom menyarankan anda mengganti Password pada layanan-layanan di bawah ini :

Meskipun ada beberapa organisasi yang menyatakan bahwa mereka tidak beresiko menjadi korban bug Heartbleed, baik karena celah keamanan ini tidak terdeteksi atau perusahaan tidak mendorong penggantian password karena praktek sekuriti internal yang baik. Namun jika akun anda berpotensi mengalami kerugian, baik secara reputasi maupun ekonomis jika akun anda berhasil diambil alih, dalam rangka menjalankan praktek sekuriti yang baik Vaksincom menyarankan anda untuk melakukan tindakan preventif untuk mencegah kerugian karena bocornya kredensial anda. Adapun tindakan yang harus dilakukan selain mengganti password anda adalah mengganti sertifikat SSL yang lama dengan sertifikat baru dan kalau mungkin mengimplementasikan T-FA (Two Factor Authentication). Hal ini disarankan karena perusahaan pernah menggunakan OpenSSL dan eksploitasi atas bug Heartbleed ini tidak meninggalkan jejak. Adapun beberapa layanan yang perlu anda amankan adalah sebagai berikut (data diambil dari berbagai sumber) :


Layanan yang sejauh ini diperkirakan aman dari bug Heartbleed karena tidak menggunakan OpenSSL :
  •     Hotmail, Outlook
  •     Linkedin, Slideshare
  •     Situs online banking dan institusi finansial
  •     Paypal
  •     Evernote

Situs dan layanan yang menggunakan OpenSSL dan mengandung resiko bug Heartbleed :

Media Sosial :
  •     Facebook.
  •     Instagram
  •     Tumblr
  •     Vine
  •     Pinterest
  •     Foursquare
  •     Flickr
Layanan Internet Lain:
  •     Google
  •     Yahoo
Email :
  •     Gmail
  •     Yahoo
Hosting dan Commerce :
  •     Amazon Web Service
  •     Etsy
  •     Go Daddy
Video, foto dan Game :
  •     Minecraft
  •     Netflix
  •     Youtube
  •     Soundcloud
Layanan Lain :
  •     Box
  •     Dropbox
  •     Wikipedia
  •     Wordpress
  •     Okcupid
  •     Github
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: