Bug Heartbleed Mengancam Pengguna Internet

Dunia internet kembali dihebohkan sejak keberadaan bug Heartbleed terungkap, yang mengancam komputer menjadi sasaran kejahatan online. Bug Heartbleed dapat digunakan oleh penjahat cyber untuk mencuri data sensitif seperti password.

Heartbleed bug mempengaruhi sejumlah besar layanan Internet. Kerentanan pada OpenSSL dapat dieksploitasi oleh penyerang untuk "mengelabui" server agar menyerahkan informasi sensitif, termasuk password dan isi dari komunikasi.

Berita tentang bug Heartbleed muncul pada tanggal 8 April, setelah beberapa profesional keamanan dan developer menyarankan orang untuk mengubah semua password. Kontan saja hal ini membuat sibuk aktivitas perusahaan web untuk memeriksa apakah sistem mereka sangat rentan terhadap bug Heartbleed.

Namun Google mengatakan bahwa login untuk layanan tidak perlu diatur ulang kecuali telah digunakan di situs lain.

Saran dari Google tersebut berbeda dengan saran dari developer aplikasi blogging Yahoo Tumblr dan Facebook yang menganjurkan pengguna untuk mengubah password mereka "di situs manapun".

Anjuran yang berbeda ini dibuat lebih rumit oleh para ahli yang mengungkapkan fakta bahwa memperbarui password tidak berguna kecuali situs telah di patched server nya.

Pola serangan 

Bug ini muncul dalam perangkat lunak yang harus terus menerus mengirimkan data antara situs dan pengguna. Dengan adanya bug Heartbleed, penyerang bisa menggunakan query khusus yang dibuat untuk perlahan-lahan mencuri data dari server.

"Sulit untuk mendeteksi serangan kecuali jika Anda secara aktif mencarinya," kata Ken Munro, seorang analis di perusahaan keamanan Pen Test Partners. Dia menambahkan bahwa banyak sistem deteksi intrusi sekarang telah menambahkan tanda tangan yang melihat tanda-tanda halus bahwa serangan yang diilhami Heartbleed sedang berlangsung.

Selain itu, organisasi lain yang bernama "honeypots" telah mencoba untuk mengelabui hacker yang menyerang server, kemudian mengarahkan nya ke web palsu, telah menulis kode yang menghasilkan data server yang tidak masuk akal dalam menanggapi permintaan Heartbleed.

Menurut data statistik dari perusahaan monitoring internet Netcraft, sekitar 500.000 server rentan terhadap bug Heartbleed. Banyak situs besar dengan server yang rentan sekarang telah melakukan patched pada sistem mereka.

Pengguna harus terlebih dahulu memeriksa apakah situs mereka menggunakan server yang rentan terhadap bug dan apakah server telah mengambil tindakan untuk memperbaikinya, kata James Lyne, kepala global riset di Sophos. Mengubah password pada situs yang tidak dilindungi masih terbuka untuk pencurian data, katanya.

Selain itu, ia menambahkan, terburu-buru mengubah password, cenderung untuk mendorong geng phishing untuk mulai mengirimkan pesan palsu menasihati orang untuk mereset atau mengubah password mereka.

"Ini bukan cacat pertama dari jenisnya dan tentu saja tidak akan menjadi yang terakhir, tapi itu adalah salah satu kesalahan yang lebih serius yang pernah kita lihat dalam sejarah internet baru-baru ini," kata Mr Lyne.

Bug Heartbleed dinamai oleh seorang engineer di perusahaan Codenomicon, sebuah perusahaan cybersecurity Finlandia, yang juga menciptakan logo Heartbleed, dan meluncurkan domain Heartbleed.com untuk menjelaskan bug tersebut kepada publik. Menurut Codenomicon, Neel Mehta dari Google yang pertama kali melaporkan bug Keamanan untuk OpenSSL, namun keduanya baik Google dan Codenomicon menemukannya secara mandiri.


source: BBC News, WikiPedia