Jika kamu merupakan orang yang bergelut di bidang IT, istilah ‘heartbleed bug’ mungkin terdengar tidak asing. Heartbleed bug adalah sebuah kerusakan atau bug di OpenSSL yang sangat berbahaya dan tidak boleh diabaikan. Para penggiat IT dan cyber security bahkan menganggap bug ini sebagai ancaman paling besar di dunia maya.
Bagaimana tidak, heartbleed berpotensi menyebabkan kebocoran data sensitif seperti username dan password pada situs web dengan enkripsi OpenSSL. Bug ini juga kabarnya bisa dimanfaatkan untuk mengontrol perangkat lain secara online, termasuk tablet dan smartphone. Menyeramkan bukan?
Lantas, sebenarnya apa itu heartbleed bug? Bagaimana cara mengatasinya? Jangan khawatir, kali ini Dewaweb akan merangkum informasi tentang heartbleed secara lengkap. Pastikan kamu simak sampai akhir, ya!
Baca Juga: Masalah SSL Error pada Website dan Cara Mengatasinya
Apa itu Heartbleed Bug?
Sebelumnya banyak orang menganggap bahwa heartbleed bug adalah virus, terutama ketika OpenSSL masih berada di versi 1.0.1F ke bawah. Namun, anggapan tersebut keliru saat versi 1.0.1G muncul dan berhasil mengatasi heartbleed sebagai bentuk bug. Dengan kata lain, heartbleed merupakan sebuah celah keamanan pada enkripsi OpenSSL yang memungkinkan memory server dapat dibaca atau diakses orang lain.
Heartbleed merupakan celah yang muncul ketika sebuah ekstensi diimplementasikan pada OpenSSL, lebih tepatnya ekstensi heartbeat. Dibuat pada tahun 2011, Dr. Robin Seggelmann selaku pembuat dan Dr. Stephen Henson selaku peninjau, tidak menyadari eksistensi keberadaan bug tersebut. Pada bulan Maret 2012, heartbeat resmi menjadi ekstensi yang aktif secara default sejak awal perilisan OpenSSL versi 1.0.1.
Enkripsi OpenSSL memiliki popularitas sangat tinggi, hampir semua website di seluruh dunia menggunakan proteksi ini. Sayangnya, tingginya jumlah pengguna juga menandakan tingkat penyebaran heartbleed itu sendiri. Situs-situs besar seperti Google, Yahoo, Facebook, Dropbox, Instagram, dan lain sebagainya, pun tidak terhindarkan dari bug tersebut.
Heartbleed kini sudah menjadi hal yang wajib diperhatikan terutama bagi pengelola website. Mengingat pentingnya keamanan informasi, melakukan update OpenSSL di server sangat diperlukan guna memproteksi seluruh data dari ancaman heartbleed.
Baca Juga: 9 Cara Membuat Password yang Kuat dan Aman, Terhindar dari Hacker!
Bagaimana Cara Kerja Heartbleed Bug?
SSL standar pada dasarnya menyertakan opsi heartbeat untuk memeriksa apakah ada pengguna lain yang mengakses sambungan secara tidak sah. Fitur ini sangat berguna mengingat beberapa router akan menghentikan koneksi jika berada dalam kondisi idle mode cukup lama. Kendati demikian, cara kerja protokol heartbeat versi lawas kurang sempurna sehingga memungkinkan terjadinya heartbleed bug.
Pesan heartbeat dibagi menjadi tiga bagian, yaitu request pengakuan, pesan singkat random, dan jumlah karakter. Disinilah letak kelemahannya dimana server secara sederhana mengakui, menerima request, dan membalas pesan. Hal ini juga menunjukkan fakta bahwa server selalu bisa mempercayai pesan heartbeat. Alhasil, Para hacker memanfaatkan kondisi ini untuk melancarkan serangan heartbleed.
Untuk memudahkan pemahamanmu, simak contoh di bawah ini:
Misal seorang pengguna meminta server mencari informasi ‘dewaweb’ tapi diubah sedikit menjadi ‘dewaweb[100]’. Maka server akan membalasnya dengan pesan berupa data dewaweb diikuti 100 karakter tambahan setelah kata tersebut. Hasilnya bisa saja nomor kartu kredit, username, password, master key, dan lain-lain.
Baca Juga: 10 Cara Mengamankan Akun Google dari Hacker, Wajib Tahu!
Cara Mengetahui Website yang Terkena Heartbleed Bug
Heartbleed adalah bug yang sebenarnya bisa kamu cek dengan mudah, baik dari sisi pengguna maupun pengelola website. Cara mengetahui heartbleed bug diantaranya yaitu sebagai berikut:
Sebagai pengguna
Dari sisi pengguna, kamu dapat memeriksa bug menggunakan Heartbleed Test Tools dari McAfee atau Filippo. Caranya cukup mudah, kamu hanya perlu mengetikkan URL situs yang ingin diperiksa. Jika hasilnya menunjukkan kata ‘vulnerable’, artinya situs masih rentan terkena heartbleed.
Sebagai pengelola situs
Dari sisi pengelola website, kamu dapat memeriksa versi OpenSSL di server yang digunakan. Seperti yang telah Dewaweb singgung sebelumnya, versi 1.0.1F ke bawah merupakan versi yang rentan terkena bug. Namun jika situs sudah menggunakan OpenSSL versi 1.0.1G ke atas, maka lebih kebal terhadap heartbleed.
Baca Juga: Bug Hunter: Pengertian dan Perbedaannya dengan Hacker
Cara Mengatasi Heartbleed Bug
Berikut ini adalah cara mengatasi heartbleed bug:
Dari sisi pengguna
Sebagian orang menyarankan untuk mengganti username dan password sesegera mungkin. Sayangnya, langkah ini dinilai kurang efektif karena hacker masih dapat meretasnya kembali. Mengganti kata sandi bisa disebut sebagai solusi apabila OpenSSL sudah diperbaharui ke versi terbaru.
Secara garis besar, pengguna tidak dapat memperbaiki atau mencegah terjadinya heartbleed. Hal yang bisa dilakukan pengguna yaitu meminimalisir dampak buruk dari berbagai kemungkinan ancaman. Misalnya, menghindari penggunaan password yang mirip untuk akun platform lain. Kamu juga dapat menggunakan two factor authentication jika situs mendukung fitur tersebut.
Dari sisi pengelola situs
Tidak ada trik tertentu, satu-satunya cara mengatasi heartbleed paling jitu adalah melakukan update versi OpenSSL. Selaku pengelola situs, kamu dapat memperbarui OpenSSL ke versi 1.0.1G atau ke versi paling baru. Caranya bervariasi tergantung sistem operasi yang digunakan pada server.
Baca Juga: Cara Memblokir Situs Berbahaya di Google Chrome dengan Mudah
Simpulan
Dari penjelasan di atas dapat disimpulkan bahwa Heartbleed bug adalah sebuah celah keamanan yang muncul saat ekstensi heartbeat diimplementasikan pada OpenSSL. Karena hanya terjadi pada OpenSSL versi lawas, sebaiknya lakukan update ke versi 1.0.1G atau paling baru agar kebal terhadap bug berbahaya ini. Semoga tulisan ini bermanfaat terutama bagi kamu yang tengah mengalami kendala serupa.
