Teror di Internet, Amankah Anda dari Heartbleed?

Selasa, 15 April 2014

http://images.detik.com/content/2014/04/15/323/hackgetty.jpgIlustrasi (gettyimages)
#Jakarta - Pada 7 April lalu, di saat masa tenang menjelang Pemilu Legislatif, dunia internet dihebohkan oleh bug yang ditemukan pada implementasi SSL/TLS (Secure Socket Layer/Transport Layer Security) oleh OpenSSL.

Apakah ada konspirasi di balik ini? Terlepas dari benar atau tidaknya isu mengenai konspirasi, bug yang dipublikasikan awal April lalu ini telah membuat banyak pihak menjadi panik.

Hal ini terutama disebabkan oleh sangat luasnya penggunaan OpenSSL oleh industri internet dan perangkat IT, serta akibat yang ditimbulkan oleh bug ini.

OpenSSL adalah default engine untuk melakukan proses enkripsi yang digunakan oleh WebServer Apache dan Nginx, dimana menurut Netcraft menangani lebih dari 66% website seluruh dunia.



Sementara bug ini memungkinkan hacker untuk mengambil informasi dari server, mulai dari password, informasi sensitif bahkan primary key dari system enkripsi yang dapat mengakibatkan terbukanya semua pesan dan data terenkripsi.

Secara ringkas, SSL/TLS (Secure Socket Layer / Transport Layer Security) adalah sebuah mekanisme untuk melakukan enkripsi data di Internet. Tujuannya agar informasi sensitif (password, kartu kredit, chatting, dll) tidak dapat dilihat dan disadap oleh orang lain. 

SSL/TLS digunakan oleh banyak aplikasi dan protocol di Internet, mulai dari web server (HTTPS), email (SMTPS, IMAPS, etc) VPN (SSL VPN) hingga aplikasi chatting. 

OpenSSL adalah software open source untuk mengimplementasikan SSL/TLS yang diimplementasikan oleh banyak kalangan. Karena sifatnya yang Open Source, OpenSSL banyak sekali diimplementasikan untuk keperluan SSL/TLS pada berbagai layanan dan service di seluruh dunia. 

Website yang dihosting pada webserver berbasis Apache dan Nginx (https), protokol email yang anda gunakan untuk mendownload email ini (IMAPS & POP3S), akses konfigurasi ke berbagai perangkat IT Infrastructure anda, aplikasi chatting, handphone berbasis Android adalah sebagian dari contoh pemanfaatan OpenSSL untuk tujuan enkripsi berbasis SSL/TLS.

Bug Heartbleed

Heartbeat adalah cara yang digunakan oleh client (Misalnya: browser kita) dan server (website bank) untuk saling memeriksa apakah satu sama lain hidup. 

Hal ini sama dengan perintah ping, untuk mengetahui apakah satu host hidup atau mati. Hal ini juga terjadi pada implementasi OpenSSL, heartbeat digunakan untuk mengetahui masih terkoneksinya ‘lawan bicara’.


Namun yang menjadi bencana adalah, pada versi OpenSSL yang bermasalah penyerang dapat mengirimkan pesan heartbeat dan ‘mencuri’ informasi apapun yang ada dalam memory server.

Versi OpenSSL yang terkena dampak ini adalah OpenSSL 1.0.1 through 1.0.1f (inclusive). Dapat dibayangkan jika server sedang memroses password, maka informasi password tersebut ada dalam memori dan dapat dicuri oleh penyerang.

Gambar kartun di bawah ini menjelaskan secara mudah, bagaimana Meg (Client sekaligus penyerang) ‘mencuri’ informasi dari memory server:







Bug Heartbleed pertama kali ditemukan oleh dua kelompok Security Engineer yang berbeda, Riku, Antti and Matti dari Codenomicon dan Neel Mehta dari Google Security, yang pertama kali melaporkan kepada tim OpenSSL.

Keduanya menemukan bug ini secara terpisah, namun di hari yang sama. Bug ini didaftarkan menggunakan referensi CVE-2014-0160 pada Common Vulnerabilities and Exposures, sebuah metode referensi untuk publikasi kelemahan terhadap keamanan informasi. 

Agar namanya mudah diingat (ketimbang CVE-2014-0160), maka team Codenomicon memberikan istilah Heartbleed.

Setelah kemunculannya pertama kali, banyak laporan mengenai website besar yang terkena serangan dari Heartbleed ini. Amazon Web Service, Dropbox, Gmail, Facebook, YouTube, Twitter adalah sedikit dari contoh website yang terkena serangan. 

Bahkan banyak publikasi yang menunjukkan bahwa password Yahoo mail sudah dapat dijebol. Fakta-fakta ini yang menyebabkan bahwa Heartbleed disebut sebagai salah satu ancaman keamanan terbesar dalam sejarah internet. 

Terlebih lagi versi OpenSSL yang rentan ini sudah digunakan sejak 2012, dan juga dikabarkan bahwa NSA sudah mengetahui bug ini sejak lama namun membiarkannya agar dapat ‘mengintip’ data2 pengguna Internet.

Apa yang Harus Saya Lakukan?

Ada beberapa cara yang perlu dilakukan untuk memastikan bahwa kita benar-benar aman dari akibat Heartbleed, seperti dikutip dari berbagai sumber:

-. Sebagai user:
1. Lakukan monitoring terhadap account dan informasi sensitif lainnya yang Anda miliki pada layanan online. Apakah terdapat aktifitas yang tidak wajar? 
2. Tunggu pengumuman resmi dari website atau layanan, mengenai kondisi mereka. Apakah mereka menggunakan versi OpenSSL yang rentan terhadap Heartbleed? Jika belum ada penjelasan resmi, mintalah. 
3. Pastikan penyedia layanan sudah mengupdate versi OpenSSL, jika masih menggunakan versi yang rentan. Ganti password anda setelah penyedia layanan memperbaiki sistemnya. 
4. Mengganti password selama sistem masih rentan akan tetap berisiko.

-. Sebagai penyedia layanan: 
1. Periksa versi OpenSSL yang Anda gunakan, apakah termasuk dalam versi yang bermasalah. 
2. Periksa layanan Anda, apakah rentan terhadap bug ini. Berbagai tools untuk memeriksa kelemahan ini seperti modul pada metasploit , LastPass , Qualys atau website Filippo Valsorda . 
3. Segera periksa advisory dari vendor perangkat Anda, apakah perangkat yang digunakan rentan terhadap serangan ini. 
4. Segera update versi OpenSSL, firmware dan layanan Anda. 
5. Segera minta pengguna layanan Anda untuk mengubah password mereka, setelah versi OpenSSL maupun firmware yang rentan akan serangan ini telah diupdate.

*) Penulis, Toto. A. Atmodjo merupakan Praktisi TI dan saat ini bekerja di Virtus Technology Indonesia.

Jutaan Gadget Android Terancam Bahaya


http://images.detik.com/content/2014/04/15/323/adalam.jpg
#Jakarta - Jutaan smartphone dan tablet PC yang menjalankan sistem operasi Android diperkirakan terancam bahaya. Hal ini terkait dengan penemuan software bug Heartbleed pada sistem enkripsi OpenSSL.

Bug ini mampu mengungkap data sensitif yang disimpan di memori server. Lebih bahaya lagi, para peretas bisa menciptakan 'duplikasi kunci' untuk melakukan dekripsi setiap data yang diacak lewat teknologi OpenSSL. Akibatnya, informasi penting seperti password bisa diangkut.

Google memang menyatakan bahwa sebagian besar versi sistem operasi Android kebal dari celah keamanan tersebut. Namun rupanya ada pengecualian di versi 4.1.1 atau yang sering disebut Jelly Bean, yang bisa ditembus Heartbleed. Versi ini dirilis Google pada tahun 2012.

Dilansir Chicago Tribune dan dikutip ViTy'S News, Selasa (15/4/2014), versi Android tersebut masih digunakan di jutaan smartphone dan tablet. Statistik dari Google menyebutkan, sekitar 34% dari seluruh perangkat Android saat ini masih menggunakan Jelly Bean.

Google sendiri mengklaim hanya sekitar 10% dari perangkat aktif Jelly Bean yang bisa terkena dampak Heartbleed. Namun belum jelas apakah akan ada tambalan atau update terhadap ponsel yang terancam Heartbleed tersebut.

Masalahnya, update Android selama ini cenderung lambat. Dan meskipun Google menyediakan patch, sepertinya masih perlu proses dari produsen atau operator untuk melakukan update.

"Salah satu isu terbesar dengan Android adalah update bisa sangat lama. Manufaktur perangkat dan operator harus mengerjakan sesuatu dulu pada patch tersebut dan biasanya prosesnya lama," kata Michael Shaulov, Chief Executive Lacoon Security. 

Di pihak lain, Microsoft mengklaim smartphone berbasis OS Windows Phone buatannya aman dari dampak Heartbleed. Sedangkan BlackBerry siap meluncurkan update terbaru BBM yang sanggup menangkal potensi Heartbleed.

Android 4.5 Itu Bernama Lolipop?

http://images.detik.com/content/2014/04/15/317/lolipop4.jpgIlustrasi (getty image)
Jakarta - Google memang selalu menamai Android dari nama hidangan penutup, mulai dari Cupcake hingga terakhir yang disebut Jelly Bean. Mungkinkah selanjutnya Lolipop?

Android 4.5 dipercaya akan segera diperkenalkan Google pada gelaran I/O 2014 di Moscone Center, San Francisco pada 25 Juni 2014.

Di situ Google akan buka-bukaan soal produk terbarunya, termasuk generasi baru Android yang konon memiliki 'wajah' baru.

Ada yang bilang bahwa Android 4.5 akan mengusung nama Lolipop, tapi ada juga yang meyakini bahwa itu masih dalam keluarga KitKat. Seperti yang dikutip ViTy'S News dari Trusted Review, Selasa (15/4/2014).

Selain akan memperkenalkan Android 4.5, Google juga dipercaya akan memamerkan lebih lanjut soal keunggulan Android Wear, sistem operasi untukwearable device.

Google Android 4.5 Punya 'Wajah' Baru

http://images.detik.com/content/2014/04/15/317/android_symbols.jpgBocoran icon Android terbaru (android police)
Jakarta - Google dikabarkan tengah mengembangkan 'wajah' baru untuk Android yang konon merupakan versi 4.5. Hmm... kira-kira seperti apa ya?

Tampilan Android terbaru nanti tampaknya akan berubah total. Google dikabarkan bakal merombak beberapa interface dan ikon yang dibuat seragam dengan versi desktop.

Misalnya ikon Gmail. Nanti baik pada Android atau desktop akan dibuat seidentik mungkin, hal ini demi memudahkan pengguna untuk mengenalinya.

Selain ikon yang mulai diseragamkan, menurut blog Android Police, update Android nanti juga membawa tampilan yang lebih segar. Bocoran ini diklaim datang langsung dari sumber Google yang terlibat di dalamnya.

Seperti dikutip ViTy'S News, Selasa (15/4/2014), Android 4.5 yang juga dikenal dengan nama sandi 'Moonshine' diyakini akan dipamerkan pada ajang Google I/O 2014. 

Tangkal Heartbleed, BlackBerry Tambal BBM

Senin, 14 April 2014

http://images.detik.com/content/2014/04/14/323/password-heartbleed.jpgIllustrasi (ist)
Jakarta - Serangan Heartbleed yang dikhawatirkan oleh banyak perusahaan ternyata juga dipandang serius oleh BlackBerry.

Perusahaan asal Kanada ini pun siap meluncurkan update terbaru BBM yang sanggup menangkal potensi Heartbleed.

Serbuan Heartbleed dikabarkan berujung pada pencurian data berupa password hingga nomor kartu kredit. Meski potensinya sangat kecil, BlackBerry tak menampik layanan miliknya yakni Secure Work Space corporate email dan BBM berpotensi terkena serangan Heartbleed, baik melalu koneksi WiFi maupun sambungan seluler.

Seperti ViTy'S News kutip dari Digital Trends, Senin (14/4/2014), demi menangkal potensi tersebut, BlackBerry disebut telah menyiapkan update terbaru BBM dan siap diluncurkan pada akhir pekan ini untuk seluruh platform.

Celah bernama Heartbleed yang ditemukan pada sistem enkripsi OpenSSL memang sangat mengkhawatirkan. Pasalnya bug ini mampu mengungkap data sensitif yang disimpan pada memori server.

Dan lebih bahayanya lagi, para peretas bisa menciptakan 'duplikasi kunci' untuk melakukan dekripsi dari setiap data yang diacak lewat teknologi OpenSSL.

Ironisnya, bug itu baru ditemukan pekan lalu, padahal celah tersebut sudah dieksplorasi nyaris dua tahun silam. OpenSSL juga merupakan teknologi enkripsi yang paling banyak dipakai. 2 dari 3 situs kerap memakai sistem tersebut termasuk Yahoo dan beberapa situs besar lainnya.

Heartbleed Dipakai NSA untuk Mata-mata?

http://images.detik.com/content/2014/04/14/323/145900_tampilandos460.jpgIlustrasi (Ist.)
Jakarta - Sebuah celah pada teknologi enkripsi OpenSS bernama Heartbleed membuah heboh dunia maya karena mampu mencuri data sensitif sejumlah situs penting. Tudingan pun meluncur ke National Security Agency (NSA).

Menurut sumber Bloomberg di NSA yang dekat dengan masalah ini, NSA mengetahui isu Heartbleed sejak beberapa tahun terakhir. Bahkan, agen intelijen ini menggunakan Heartbleed untuk memata-matai pengguna internet.

Tudingan itu muncul apalagi setelah NSA tidak membantah secara langsung laporan whistleblower Edward Snowden yang menyebut bahwa NSA mencuri data pengguna internet untuk mengawasai orang dianggap membahayakan.

Nah, khusus untuk kasus ini, NSA dengan tegas mengatakan bahwa mereka tidak pernah mengetahui mengenai bug Heartbleed, apalagi sampai digunakan untuk mengawasai warga dunia.

"NSA tidak menyadari kerentanan Heartbleed yang baru diidentifikasi yang membuat heboh belakangan di publik," tulis pihak NSA melalui Twitter, yang dilansir IT Portal, Senin (14/4/2014).

NSA membantah bahwa pihaknya mampu mengumpulkan hal-hal seperti password dan data dasar lainnya yang dikirimkan melalui Web dengan memanfaatkan bug Heartbleed ini.

Seperti diberitakan sebelumnya, bug bernama Heartbleed itu bisa mengungkap data sensitif yang disimpan pada memori server, dan lebih bahayanya lagi, para peretas bisa melakukan 'duplikasi kunci' untuk melakukan dekripsi dari setiap data yang diacak lewat teknologi OpenSSL.

Ironisnya, bug tersebut baru ditemukan beberapa pekan lalu, padahal celah tersebut sudah dieksplorasi nyaris dua tahun silam. OpenSSL juga merupakan teknologi enkripsi yang paling banyak dipakai, 2 dari 3 situs kerap memakai sistem tersebut.

Daftar Situs yang Terkena Dampak Heartbleed

Kamis, 10 April 2014


http://images.detik.com/content/2014/04/10/323/tampilandos460.jpg
Jakarta - Yahoo hanya salah satu situs yang terkena dampak celah berbahaya dari OpenSSL, di luar itu masih banyak lagi situs besar lainnya yang terancam.

Celah bernama Heartbleed yang ditemukan pada sistem enkripsi OpenSSL memang sangat mengkhawatirkan. Pasalnya bug ini mampu mengungkap data sensitif yang disimpan pada memori server, dan lebih bahayanya lagi, para peretas bisa melakukan 'duplikasi kunci' untuk melakukan dekripsi dari setiap data yang diacak lewat teknologi OpenSSL.

Ironisnya, bug itu baru ditemukan pekan lalu, padahal celah tersebut sudah dieksplorasi nyaris dua tahun silam. OpenSSL juga merupakan teknologi enkripsi yang paling banyak dipakai, 2 dari 3 situs kerap memakai sistem tersebut termasuk Yahoo dan beberapa situs besar lainnya.

Yahoo mengakui bahwa sistem mereka termasuk dalam salah satu server yang rentan terhadap bug tersebut, tapi untungnya sudah lekas diperbaiki.

Seperti dikutip ViTy'S News dari IT Portal, Kamis (10/4/2014), 8 April lalu sekelompok peretas melakukan pengujian terhadap sejumlah situs yang kemungkinan masih bisa disusupi dengan Heartbleed. Berikut adalah daftarnya:


  • Testing imgur.com... vulnerable.
  • Testing stackoverflow.com... vulnerable.
  • Testing flickr.com... vulnerable.
  • Testing xda-developers.com... vulnerable.
  • Testing sogou.com... vulnerable.
  • Testing adf.ly... vulnerable.
  • Testing outbrain.com... vulnerable.
  • Testing archive.org... vulnerable.
  • Testing addthis.com... vulnerable.
  • Testing stackexchange.com... vulnerable.

Selain sepuluh situs di atas, masih ada puluhan situs lainnya.
 
Support : Creating Website | Johny Template | Mas Template
Copyright © 2011. ViTy'S News - All Rights Reserved
Template Created by Creating Website Inspired by Sportapolis Shape5.com
Proudly powered by Blogger