Heartbleed itu Apa? | Dalam beberapa hari terakhir ini, kita dihebohkan dengan berita mengenai Hearbleed. Ada yang bilang itu virus yang mencuri data personal kita di komputer sampai smartphone. Sampai-sampai dimanfaatkan beberapa pihak untuk menawarkan antivirus khusus untuk mengatasi si Heartbleed.
Ketika kita hanya mengetahui separuh-separuh mengenai Heartbleed ini, biasanya kita jadi bertanya-tanya,
- apakah dee-nesia harus mengupdate atau mengganti antivirus?
- apakah akun online saya sekarang aman?
- harus mengganti password secepatnya?
- bukankah sudah di perbaiki?
- dll
Ok, terlalu ada banyak jawaban di luar sana. Masalahnya, jawaban itu tidak terlalu jelas, terutama buat orang kebanyakan seperti saya. Iki opo to? Nah, karena saya juga penasaran, rada khawatir (meski data saya ndak ada yang terlalu privat juga sih, haha…), dan bingung, maka berikut saya sharingkan beberapa hal untuk menjawab pertanyaan umum mengenai Heaertbleed itu apa yang saya simpulkan dari beberapa artikel di internet (sumber: engadget, dan pcplus, image credit: codenomicon)
Apakah Heartbleed itu Virus?
Heartbleed bukan virus. Jadi kalau ada yang menawarkan antivirus untuk mengatasinya, abaikan saja. Heartbleed adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena bug ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL
OpenSSL itu Apa?
SSL itu adalah standar keamanan yang akan mengenkripsi teks (seperti username dan password) yang kita kirimkan via browser. Contohnya ketika kamu buka www.facebook.com dan memasukkan username dan password, maka, sebelum dikirim, semua teks itu akan diacak dulu. Jadi jika ada hacker yang mencoba menyabot koneksi dari komputer kamu ke server Facebook cuma akan mendapatkan teks yang diacak dan sulit dibaca.
Nah OpenSSL adalah salah satu teknik SSL tersebut. Dinamakan “open” karena memang bersifat open source. Siapa saja bisa menyumbang fitur tambahan di OpenSSL ini. Dan karena open source, OpenSSL banyak digunakan di web server yang membutuhkan proses login.
Bagaimana Heatbleed bug itu terjadi?
Pada OpenSSL versi 1.0.1 yang dirilis pada 19 April 2013, terdapat bug yang memungkinkan seseorang (bisa saja hacker yang nakal) untuk meminta informasi dari memory di web server tanpa meninggalkan jejak. Informasi yang diminta ini bisa berisi password, username, atau apapun yang tersimpan di memory web server sampai 65,536 byte. Jadi data yang seharusnya tidak bisa dilihat orang lain ketika informasi tersebut berjalan dari komputer ke sebuah situs itu bisa di retrieve. Inilah sebabnya beberapa waktu lalu, beberapa situs penting meminta kita mengubah password.
Apakah Heartbleed ini sudah diatasi?
Segera setelah bug ini ditemukan, pihak-pihak yang terkait segera membuatkan patch untuk Open SSL menjadi versi 1.0.1.g. Jadi kita bisa merasa aman. Tapi tetap saja tidak bisa terus tanpa rasa khawatir. Karena ancaman keamanan sekarang mengarah ke mobile computing, tidak seperti beberapa tahun lalu dimana yang diancam virus itu kebanyakan adalah OS di laptop dan PC.
Kita bisa apa?
Hampir tidak ada yang kita lakukan sebenarnya. Kecuali memperbaharui password, karena bug ini berada di sisi server, bukan di sisi kita sebagai pengguna, misalnya pada browser atau perangkat smartphone yang kita pakai.
Mengubah password itu seharusnya menjadi rutinitas, setidaknya 3 bulan sekali. Meski itu artinya akan sangat ribet, mengingat betapa banyaknya akun online yang kita miliki. Jika melihat kenyataan betapa banyak orang yang tidak bisa mengakses laptop, akun email, Facebook, Twitter mereka gara-gara lupa password, sepertinya rutinitas mengganti password itu akan sangat sulit dilakukan. Terus bagaimana dunk?
Ada baiknya kita memanfaatkan aplikasi password manager macam LastPass atau 1Password untuk membantu menemukan password jika kita suatu saat lupa.
Jangan pernah membuat daftar password dalam bentuk apapun, baik berupa file di hard disk anda atau diatas kertas, apalagi menuliskannya ke atas kertas tempel dan memasangnya di sisi monitor. Apa gunanya? Kan?