Heartbleed Bug merupakan ancaman kerentanan serius yang ditemukan pada software perpusatakaan kriptografi terpopuler, OpenSSL. Ancaman ini mencuri informasi yang dilindungi dalam keadaan normal melalui sertifikat SSL/TLS–sertifikat digital yang digunakan untuk mengamankan koneksi web, email, instant messaging (IM) application, dan beberapa virtual private network. Heartbleed memungkinkan seluruh orang di jagat internet dapat membaca penyimpanan sistem yang dilindungi oleh versi software OpenSSL yang terdampak. Merusak kunci yang digunakan untuk mengidentifikasi penyedia layanan dan mengenkripsi traffic, yang mana sebenarnya berisikan password pengguna dan konten rahasia. Karena kunci-kunci yang terekspos, penyerang dengan mudah memperoleh akses kredensial dan meretas sistemDengan begitu memungkinkan bagi penyerang untuk mengintip proses komunikasi web, mencuri data secara langsung dari pengguna dan menggunakannya untuk menipu.
Karena serangan Heartbleed hanya berfokus pada server, maka tidak ada yang bisa pengguna lakukan untuk melindunginya saat website mereka terdampak kerentanan. Namun, setelah masalah tersebut terselesaikan pada situs yang aman, pengguna harus memperbarui software mereka untuk memastikan tidak ada password lama yang digunakan untuk tujuan jahat.
Bagaimana Heartbleed Bug Terjadi?
SSL/TLS yang berstandar memiliki opsi ‘Heartbeat’ yang memberikan jalan bagi komputer di salah satu ujung sambungan koneksi SSL/TLS untuk memeriksa ulang apakah ada seseoran di ujung sambungan tersebut. Fitur ini sangat berguna, karena beberap router akan memutuskan koneksi jika didiamkan terlalu lama.
Heartbleed Bug memanfaatkan kesempatan dari fakta bahwa sebuah server bisa sangat mempercayai sesuatu. Saat seseorang memberitahu ada 6 karakter pada pesan, maka server akan mengirimkannya dengan 6 karakter secara otomatis sebagai repson. Karenanya penyerang dengan mudah menggunakan situasi server yang mudah ditipu. Dan biasanya mereka tidak meminta pesan sekali saja kepada server melainkan berkali-kali bersamaan dengan malware di dalamnya, yang membiarkan penyerang memperoleh banyak data yang seharusnya tidak teredia untuk publik.
Menghentikan Heartbleed Bug
Selama masih adanya versi kerentanan pada OpenSSL maka ancaman ini bisa disalahgunakan. Versi fixed OpenSSL sudah diluncurkan pada April 2014 lalu dan siap di-deploy. Vendor layanan harus mengadopsi perbaikan dan pemberitahuan pengguna. Dan bagi server, biasakan untuk tidak terlalu mempercayai koneksi asing agar tidak mengirimkan data tanpa pemeriksaan.
