Masih tentang bug Heartbleed

Celah keamanan atau Bug Heartbleed ini sangat menarik. Bug ini ternyata sudah ada sejak 2 tahun, tapi baru saja diketahui dan dipublikasikan oleh  peneliti keamanan Google dan Codenomicon. Bug ini memiliki nama resmi CVE-2014-0160. Celah keamanan ini menyerang openssl versi 1.0.1 sampai versi 1.0.1f , serta server yang menggunakan Apache dan Nginx. Jadi dengan memanfaatkan celah keamanan ini, penyerang bisa mengambil isi memori pada server sebesar 64k. Hal ini bisa dilakukan berulang-ulang oleh penyerang tanpa terdeteksi, karena umumnya kanal Heartbeat tidak dimonitor.  Nah isi memori tadi bisa diekstrak oleh penyarang sehingga nanti akan mendapatkan data seperti public keys, private keys, login maupun password. Tergantung isi memori dari server pada saat itu apa.

bug heartbleed
from onsugar.com

Celah keamanan ini terjadi karena openssl merupakan aplikasi open source yang dikerjakan secara keroyokan oleh para volunteer. Sehingga bisa saja terjadi kesalahan coding. Tapi celah keamanan ini telah diperbaiki.  OpenSSL telah mengeluarkan patch untuk memperbaiki bug ini. Bila anda admin website yang menggunakan openssl, sebaiknya segera memasang patch tersebut pada web anda. Bila anda user, sebaiknya anda periksa dulu domain website yang sering anda kunjungi. Apakah website tersebut masih rawan terhadap bug Heartbleed ini atau sudah diperbaiki. Link untuk mengujinya bisa dilihat disini. Sangat dianjurkan untuk kita segera mengganti password. Dan jangan dibiasakan untuk menggunakan password yang sama untuk semua layanan yang kita gunakan.

Selain itu ada kemungkinan celah keamanan ini akan dimanfaatkan oleh para scammers untuk menyebarkan email-email scam tentang bug ini. Sebaiknya hati-hati bila menerima email tentang tema ini. Penjelasan yang lebih teknis tentang bug Heartbleed ini bisa dilihat di blog ini. Disana diuraikan tentang source code openssl yang bermasalah. Selain itu ada juga videonya disini http://vimeo.com/91425662

Semoga bermanfaat!

Silahkan tuliskan tanggapan, kritik maupun saran