School of Information Systems

Serangan Bug Heartbleed yang Mematikan

Pada tanggal 7 April 2014 disaat masa tenang menjelang Pemilu Legislatif, dunia Internet dihebohkan oleh bug yang ditemukan pada implementasi SSL/TLS (Secure Socket Layer/Transport Layer Security) oleh OpenSSL. Apakah ini merupakan konspirasi pengalihan isu menjelang pemilihan umum?

Meskipun belum ada bukti kuat, tapi sepertinya asumsi tersebut terlalu berlebihan.
Terlepas dari benar atau tidak nya isu mengenai konspirasi, bug yang dipublikasikan awal April lalu ini telah membuat banyak pihak menjadi panik. Hal ini terutama disebabkan oleh sangat luasnya penggunaan OpenSSL oleh Industri Internet dan perangkat IT, serta akibat yang ditimbulkan oleh bug ini. OpenSSL adalah default engine untuk melakukan proses enkripsi yang digunakan oleh WebServer Apache dan Nginx, dimana menurut Netcraft menangani lebih dari 66% website seluruh dunia.

 bug

Sementara itu bug ini memungkinkan hacker untuk mengambil informasi dari server, mulai dari password, informasi sensitif bahkan primary key dari system enkripsi yang dapat mengakibatkan terbukanya semua pesan dan data terenkripsi.

 

SSL/TLS dan Open SSL 

            Secara ringkas, SSL/TLS (Secure Socket Layer / Transport Layer Security) adalah sebuah mekanisme untuk melakukan enkripsi data di Internet. Tujuannya agar informasi sensitive (password, kartu kredit, chatting, dll) tidak dapat dilihat dan disadap oleh orang lain. SSL/TLS digunakan oleh banyak aplikasi dan protocol di Internet, mulai dari web server (HTTPS), email (SMTPS, IMAPS, etc) VPN (SSL VPN) hingga aplikasi chatting.

OpenSSL adalah software open source untuk mengimplementasikan SSL/TLS yang diimplementasikan oleh banyak kalangan. Karena sifatnya yang Open Source, OpenSSL banyak sekali diimplementasikan untuk keperluan SSL/TLS pada berbagai layanan dan service di seluruh dunia. Website yang di hosting pada webserver berbasis Apache dan Nginx (https), protokol email yang anda gunakan untuk mendownload email ini (IMAPS & POP3S), akses konfigurasi ke berbagai perangkat IT Infrastructure anda, aplikasi chatting, handphone berbasis Android adalah sebagian dari contoh pemanfaatan OpenSSL untuk tujuan enkripsi berbasis SSL/TLS.

Bug Heartbleed

Heartbeat adalah cara yang digunakan oleh client (Misal: browser kita) dan server (Misal: Website bank) untuk saling memeriksa apakah satu sama lain hidup. Hal ini sama dengan perintah ping, untuk mengetahui apakah satu host hidup atau mati. Hal ini juga terjadi pada implementasi OpenSSL, heartbeat digunakan untuk mengetahui masih terkoneksinya ‘lawan bicara’.

Namun yang menjadi bencana adalah, pada versi OpenSSL yang bermasalah penyerang dapat mengirimkan pesan heartbeat dan ‘mencuri’ informasi apapun yang ada dalam memory server. Versi OpenSSL yang terkena dampak ini adalah OpenSSL 1.0.1 through 1.0.1f (inclusive). Dapat dibayangkan jika server sedang memroses password, maka informasi password tersebut ada dalam memory dan dapat dicuri oleh penyerang. Gambar kartun di bawah ini menjelaskan secara mudah, bagaimana Meg (Client sekaligus penyerang) ‘mencuri’ informasi dari memory server.

Bug Heartbleed pertama kali ditemukan oleh 2 kelompok Security Engineer yang berbeda, Riku, Antti and Matti dari Codenomicon dan Neel Mehta dari Google Security, yang pertama kali melaporkan kepada tim OpenSSL. Keduanya menemukan bug ini secara terpisah, namun di hari yang sama.  Bug ini di daftarkan menggunakan referensi CVE-2014-0160 pada Common Vulnerabilities and Exposures, sebuah metode referensi untuk publikasi kelemahan terhadap keamanan informasi.  Agar namanya mudah diingat (ketimbang CVE-2014-0160), maka team Codenomicon memberikan istilah Heartbleed (Bukan Heartbreak).

Setelah kemunculannya pertama kali, banyak laporan mengenai banyak website besar yang terkena serangan dari Heartbleed ini. Amazon Web Service, Dropbox, Gmail, Facebook, Youtube, Twitter adalah sedikit dari contoh website yang terkena serangan. Bahkan banyak publikasi yang menunjukkan bahwa password yahoo mail sudah dapat diterobos. Fakta-fakta ini yang menyebabkan bahwa Heartbleed disebut sebagai salah satu ancaman keamanan terbesar dalam sejarah Internet. Terlebih lagi versi OpenSSL yang rentan ini sudah digunakan sejak 2012, dan juga dikabarkan bahwa NSA sudah mengetahui bug ini sejak lama namun membiarkannya agar dapat ‘mengintip’ data pengguna Internet.

Apa yang harus dilakukan?

Ada beberapa cara yang perlu dilakukan untuk memastikan bahwa kita benar-benar aman dari akibat Heartbleed, seperti dikutip dari berbagai sumber:

  1. Sebagai user:
    • Lakukan monitoring terhadap account dan informasi sensitive lainnya yang anda miliki pada layanan online. Apakah terdapat aktifitas yang tidak wajar?
    • Tunggu pengumuman resmi dari website atau layanan, mengenai kondisi mereka. Apakah mereka menggunakan versi OpenSSL yang rentan terhadap Heartbleed? Jika belum ada penjelasan resmi, mintalah.
    • Pastikan penyedia layanan sudah mengupdate versi OpenSSL, jika masih menggunakan versi yang rentan. Ganti password anda setelah penyedia layanan memperbaiki sistemnya.
    • Mengganti password selama system masih rentan akan tetap beresiko.
  2. Sebagai penyedia layanan:
    • Periksa versi OpenSSL yang anda gunakan, apakah termasuk dalam versi yang bermasalah.
    • Periksa layanan anda, apakah rentan terhadap bug ini. Segera periksa advisory dari vendor perangkat anda, apakah perangkat yang anda gunakan rentan terhadap serangan ini.
    • Segera update versi OpenSSL, firmware dan layanan anda.

Segera minta pengguna layanan anda untuk merubah password mereka, setelah versi OpenSSL maupun firmware yang rentan akan serangan ini telah diupdate. (Diambil dari Virtus Technology Indonesia).