Seputar Tekno

Apa Itu Heartbleed?

Belakangan ini, banyak di antara kita yang kerap mendengar istilah ‘Heartbleed’. Tentu saja, kita jadi penasaran dengan apa itu heartbleed dan mengapa orang-orang begitu mempermasalahkannya. Yah, secara singkat, Heartbleed merupakan suatu kerentanan keamanan yang kemungkinan besar terdapat pada dua-per-tiga seluruh website di dunia. Dengan keberadaan Heartbleed, situasi menjadi kacau, sebab Heartbleed berpotensi membocorkan informasi sensitif pengguna, seperti informasi login (username dan password) di website-website yang terdampak.

Apa Itu Heartbleed

Penting untuk dipahami, Heartbleed bukanlah suatu malware atau virus atau trojan apalagi rootkit. Heartbleed adalah suatu kesalahan koding yang dituliskan ke dalam OpenSSL, yang merupakan standar keamanan enkripsi komunikasi online. Kesalahan koding tersebut memungkinkan pihak-pihak tak bertanggung jawab untuk mengekstrasi data dari database online, termasuk data username, password, dan lain-lain.

Untuk benar-benar memahami apa yang dilakukan dan disebabkan oleh Heartbleed, kita pertama-tama perlu memahami apa yang dimaksud dengan SSL, dan apa itu OpenSSL.

Singkat saja, SSL (Secure Sockets Layer) adalah suatu standar keamanan yang memungkinkan informasi untuk ditransmisikan secara aman antara pengguna dengan sebuah layanan online tanpa memberikan ruang untuk pihak ketiga mencegat komunikasi tersebut. OpenSSL adalah sebuah proyek open-source non-profit yang dikembangkan dan diperbarui oleh sukarelawan-sukarelawan komunitas programmer yang bertujuan untuk menyediakan SSL bagi seluruh dunia.

Agar OpenSSL dapat bekerja, komputer pengguna harus berkomunikasi dengan server layanan. Untuk memulai komunikasi, komputer pengguna mengirimkan sinyal yang disebut ‘heartbeat’, yang berfungsi untuk mencari tahu apakah server layanan dalam keadaan online atau tidak. Bila ya, server layanan akan mengirimkan sinyal balik, dan komunikasi dapat dibangun. Baik komputer pengguna maupun server layanan sama-sama saling mengirimkan sinyal heartbeat setiap interval tertentu demi memastikan bahwa kedua pihak masih dalam keadaan online.

Namun, koding dalam OpenSSL memiliki kesalahan yang memungkinkan suatu pihak untuk mengirimkan sinyal heartbeat jahat kepada server layanan. Karena memanfaatkan heartbeat (dalam Bahasa Indonesia, detak jantung), celah keamanan ini pun dinamai ‘Heartbleed’ (maksudnya kira-kira sama dengan kebocoran atau pendarahan jantung). Heartbeat jahat tersebut akan membuat server layanan mengirimkan balik bagian acak dari memorinya kepada si pihak pengirim. Bagian acak dari memorinya bisa berupa apa saja, entah alamat email, username, password, atau nomor kartu kredit. Bahkan, data penting dari perusahaan pengelola server pun bisa dibocorkan, sehingga Heartbleed memungkinkan pihak-pihak tak bertanggung jawab untuk mengeksploitasi keseluruhan internet.

Tingkat keparahan dampak Heartbleed amat sangat tinggi. Berbagai perusahaan besar secara reguler menggunakan OpenSSL, yang (dulunya) dianggap sebagai salah satu pengamanan data terbaik untuk komunikasi data.

Apa yang harus kita lakukan?
Meski sebagian besar dari upaya penanganan kasus Heartbleed merupakan urusan perusahaan-perusahaan penyedia layanan online, kita juga perlu berhati-hati demi memastikan data penting kita tidak bocor. Pertama, pastikan bahwa layanan-layanan online yang Anda gunakan, seperti Yahoo! atau PayPal, telah memperbarui server mereka.

Ada berbagai tool yang tersedia online dari perusahaan keamanan terpercaya, seperti McAfee Heartbleed Test Tool, yang bisa digunakan untuk memeriksa apakah suatu website masih terdampak Heartbleed. Jika suatu website masih terdampak Heartbleed, mengganti password tidak akan benar-benar memperbaiki masalah, sehingga Anda mungkin perlu memberitahu pihak pengelola website, atau, mempertimbangkan mengganti layanan yang Anda gunakan.

Jika suatu website tidak lagi terdampak Heartbleed dan Anda belum mengganti password pasca pembaruan server mereka, Anda perlu melakukannya. Ketika hendak mengganti password, berhati-hatilah terhadap serangan phishing. Aktifkan juga metode two-factor authentification jika memungkinkan.

Semoga bermanfaat!