Apa itu “Heartbleed”?
Heartbleed bug pertama kali ditemukan oleh peneliti dari Codenomicon dan Google, Neel Mehta, pada Jumat 11 April kemarin. Bug sendiri “diciptakan” oleh Robin Seggelmann yang dulunya juga bekerja dalam proyek OpenSSL pada 2008 hingga 2012 lalu. “Bug ini menyerang standar enkripsi OpenSSL yang umumnya digunakan untuk menyimpan data dan informasi sensitif, seperti password, username, dan informasi kartu kredit pengguna dengan jangkauan yang luas.” Jika terserang Heartbleed bug, situs akan menjadi rentan dari serangan peretas. Mereka bisa menyelusup hingga 64 kilobyte memori data dari server.
Electronic Frontier Foundation menjelaskan, semakin sering terjadi serangan bug, maka informasi yang mungkin didapatkan peretas akan semakin banyak. Masih menurut Electronics Frontier Fondation pula seperti dilaporkan oleh CNet, Jumat 11 April 2014, dengan informasi yang didapat dari bug, seseorang bisa menjalankan versi palsu dari sebuah web situs dan menggunakannya untuk mencuri semua jenis informasi, seperti nomor kartu kredit atau pesan pribadi Belakangan, kasus Heartbleed ini dikaitkan dengan aksi pencurian data yang dilakukan oleh NSA. Bahkan, lembaga kemanan Amerika itu kabarnya sudah mengetahui kehadiran bug sejak dua tahun yang lalu dan memanfaatkannya untuk mengumpulkan data. Namun, pihak Gedung Putih membantah keterlibatan NSA dalam kasus Heartbleed ini di dunia maya.
Apa bahayanya “Heartbleed”?
Akhirnya, bencana besar di dunia internet terjadi, yakni kebocoran data besar-besaran dari sebagian besar situs di seluruh dunia. Kebocoran data ini bisa berakibat pada pencurian data bahkan uang di seluruh dunia. Pada intinya, Heartbleed adalah dapat mengungkapan berbagai informasi di seluruh dunia. Ini semua bermula pada sebuah celah keamanan pada piranti lunak yang digunakan oleh hampir seluruh situs di seluruh dunia. Piranti lunak tersebut bekerja untuk mengubah data menjadi kode-kode berupa angka dan huruf secara acak agar tak bisa terbaca oleh seseorang yang ingin melakukan peretasan, biasa disebut enkripsi.
Situs yang menggunakan enkripsi datanya ditandai oleh “tanda gembok” di kotak alamat di browser. Bahkan di setiap situs yang menggunakan piranti lunak tersebut dipastikan terinfeksi Heartbleed, dan bisa diretas dengan mudah. “Ini mungkin adalah bug (kecacatan sistem) terburuk yang pernah ada di internet,” kata Matthew Prince, CEO perusahaan layanan proteksi website CloudFlare. “Jika seminggu dari sekarang kita melihat sebuah kriminalitas dari pencurian akun finansial dalam jumlah besar, kita tak akan kaget lagi,” lanjutnya.
Inilah tampilan “Heartbleed bug” yang sedang digunakan cracker saat meretas. picture shows what the bug looks like to hackers, minus the blue highlighting, which shows the bug in action at Yahoo.com, and the red boxes, which obscure someone’s actual password. ( Twitter/@markloman )
Sudah lebih dari dua tahun yang lalu, Heartbleed bisa memberikan celah bagi siapa saja untuk mengeksploitasi sebuah situs dengan protokol OpenSSL. Celah ini memberi kesempatan bagi penjahat cyber untuk mengintai pengguna komputer yang mengakses situs terinfeksi Heartbleed, selama ia masih terkoneksi ke internet. Ini dikenal dengan ekstensi Heartbeat. Tapi sinyal berbahaya dari Heartbeat bisa memaksa pembocoran data untuk mengungkap informasi rahasia yang tersimpan di memori. Dan kemungkinan kejahatan yang bisa dilakukan adalah pencurian username dan password. Penjahat cyber bisa menggunakan username dan password tersebut untuk menyalahgunakan sebuah akun layanan tertentu. Yang lebih buruk, pengguna tak pernah tahu kalau akunnya diretas oleh seseorang!
Cara Mendeteksi “Heartbleed” pada Android
Saat ini memang sedang ramai dan membuat geger para pengguna internet sejak ditemukannya “celah keamanan” dan dimasuki Heartbleed pada protokol OpenSSL. “Heartbleed Bug Attack” atau serangan “Heartbleed” ini memungkinkan ekspos informasi data baik itu username dan password yang berasal pada “celah jantung internet” sehingga bisa disalahgunakan oleh para hacker. Dan tentu aja serangan hacker ini yang sangat ditakutkan oleh para pengguna internet. Beberapa pengertian yang salah Seputar Heartbleed :
- Heartbleed bukanlah virus. Heartbleed adalah bug di ekstensi Heartbeat OpenSSL versi 1.0.1 sampai 1.0.1f
- Update antivirus tidak akan berpengaruh terhadap kebal atau tidaknya perangkat gadget terhadap Heartbleed karena
- Heartbleed bukanlah virus dan dia tidak menyebar atau menginfeksi perangkat atau PC kita.
- Mengganti password tetap tak menjamin dan salah, jika situs yang Anda gunakan itu belum kebal terhadap Heartbleed.
- Ganti password Anda setelah situs tersebut di patch dan kebal terhadap Heartbleed. Mengganti password sebelum situs tersebut kebal terhadap Heartbleed sama artinya dengan memberikan kesempatan kepada sang attacker untuk mencuri detail password baru Anda.
Perangkat smartphone yang dapat mengakses internet tentu saja rentan terkena dampak dari “Heartbleed“. Google juga mengingatkan melaui blognya bahwa sistem operasi dari google yaitu Android juga terkena dampak dari “Heartbleed” Tentu saja jutaan gadget Android yang rawan serangan hacker karena mengidap bug Heartbleed. Google tengah berupaya untuk mengatasi “Hearthbleed” dan sedang bekerja bersama para rekanan untuk menyalurkan patch keamanan guna menangkal Heartbleed. Sementara menunggu patch tersebut, Lookout Mobile telah merilis aplikasi bernama Heartbleed Detector yang bisa mendeteksi apakah perangkat Android terjangkit Heartbleed atau tidak.
Menurut pengujian dengan Heartbleed Detector yang dilakukan ArsTechnica, banyak versi Android memakai versi OpenSSL yang bermasalah Namun sebagian besar tak mengaktifkan ekstensi yang mengandung kode itu sehingga dapat dikatakan tidak terkena dampak Heartbleed. Lain halnya dengan perangkat Android versi 4.1.1 yang kedapatan mengandung bug bersangkutan dan mengaktifkannya, seperti terlihat pada gambar disamping.
Dapatkan aplikasi Heartbleed Detector dari Play Store
Apakah Android Anda terjangkit Heartbleed?, bila terkena, amankan data sensitif anda, walau mengganti password tidaklah banyak membantu namun ada baiknya secara periodik anda melakukan penggantian password.
indocropcircles.wordpress
Sumber: merdeka.com
No comments:
Post a Comment