Dokumen tersebut membahas tentang celah keamanan Heartbleed pada OpenSSL. Heartbleed merupakan bug pada ekstensi Heartbeat OpenSSL yang memungkinkan attacker membaca memory server dan mencuri informasi sensitif. Bug ini muncul pada implementasi Heartbeat pada 2011 dan dieksploitasi setelah dirilisnya OpenSSL versi 1.0.1 pada 2012. Banyak website terkena dampak Heartbleed karena menggunakan OpenSSL sebagai proteksinya. Untuk mengatasinya perlu update OpenSSL ke versi terbaru
2. APA ITU HEARTBLEED?
Heartbleed adalah celah keamanan di salah satu ekstensi OpenSSL yang disebut
Heartbeat. Celah keamanan ini memungkinkan attacker untuk membaca memory
dari server yang diproteksi oleh OpenSSL. Hasilnya mereka bisa mencuri
password, username, dan informasi sensitif lainnya.
3. KAPAN HEARTBLEED PERTAMA KALI MUNCUL?
Heartbeat diimplementasikan di OpenSSL. Ekstensi Heartbeat dibuat oleh Dr. Robin Seggelmann pada tahun 2011.
Ekstensi ini kemudian direview oleh Dr. Stephen N. Henson (salah satu dari empat core developer OpenSSL) yang
ternyata gagal menyadari adanya bug di ekstensi tersebut. Heartbeat pun akhirnya dijadikan sebagai ekstensi
OpenSSL yang aktif secara default dan mulai diadopsi oleh banyak pengelola website sejak dirilisnya OpenSSL
versi 1.0.1 pada 14 Maret 2012.
4. SEBERAPA LUAS PENYEBARAN HEARTBLEED
Untuk Saat Ini banyak website di dunia menggunakan proteksi OpenSSL, sehingga sebanyak
itu pula penyebarannya. Website besar seperti Google, Gmail, Facebook, Dropbox, Yahoo,
Flickr, Instagram, Pinterest, dan berbagai website populer lainnya juga tidak terhindarkan
dari Heartbleed ini.
Beruntung sudah mulai banyak pengelola website yang mengupdate OpenSSL di server
mereka sehingga tidak perlu khawatir dengan Heartbleed lagi.
5. CARA MENGETAHUI WEBSITE YANG TERKENA HEARTBLEED
Dari sisi pengguna
Bisa melakukan pengecekan dengan menggunakan Heartbleed Test dari Filipo
ataupun dari McAfee. Masukkan saja URL website yang ingin kamu cek. Jika
hasilnya vulnerable maka website tersebut masih belum kebal terhadap
Heartbleed. Kamu juga bisa menggunakan oddon Browser untuk semakin
memudahkan melihat apakah website yang kamu kunjungi sudah kebal terhadap
Heartbleed atau belum.
Dari sisi pengelola website
Silahkan cek versi OpenSSL di server yang kamu gunakan. Jika versi OpenSSL di
server adalah 1.0.1 hingga 1.0.1f, maka server belum kebal terhadap Heartbleed.
6. CARA MENGATASI HEARTBLEED
Jangan buru-buru mengganti password
sebelum website tersebut kebal
terhadap Heartbleed,tunggu hingga si
pengelola website melakukan patch
terhadap OpenSSL di servernya. Setelah
situs tersebut kebal terhadap
Heartbleed, barulah ganti password
Jika server masih menggunakan OpenSSL
1.0.1 hingga 1.0.1f, segera update OpenSSL
tersebut ke versi 1.01g. Cara mengupdatenya
bervariasi tergantung dari OS apa yang di
gunakan di server . Jangan lupa juga ingatkan
user untuk mengganti password mereka. juga
bisa “sedikit memaksa” dengan melakukan
reset password semua user. Ini semua demi
keamanan pengguna layanan di situs
tersebut.
Bagi User Bagi Admin
7. SSL (Secure Socket Layer)
Secure Socket Layer (SSL) adalah protocol keamanan yang dirancang oleh Netscape Communications Corp.
SSL didesain untuk menyediakan keamanan selama transmisi data yang sensitive melalui TCP/IP. SSL
menyediakan enkripsi data, autentifikasi server, dan integritas pesan
Sejarah
Dikembangkan oleh Netscape, SSL versi 3.0 dirilis pada tahun 1996, yang pada akhirnya menjadi dasar
pengembangan Transport Layer Security, sebagai protocol standart IETF. Seprti halnya SSL, protocol TLS beroperasi
dalam tata-cara modular. TLS didesain untuk berkembang, dengan mendukung kemampuan meningkat dan kembali
ke kondisi semula dan negosiasi antar ujung.
8. Secara Teknis Operasi SSL adalah
• Ketika browser mengakses SSL protected page, server SSL
mengirim reques ke browser (client) untuk mengawali sesi
yang aman.
• Jika browser mendukung SSL, akan ada jawaban balik yang
segera memulai bandsbaking.
• Respons dari browser meliputi ID sesi, algoritma enkripsi,
dan metode kompresi.
• Server menetapkan kunci public yang digunakan dalam
enkripsi.
• Browser memanfaatkan kunci public untuk mengenkripsi
data yang akan ditransmisikannya.
Server yang menerima data pengiriman akan memakai
kunci privat untuk mendeskripsi.
9. Ciri – Ciri Secure mode adalah
• Di URL muncul tulisan https:// bukan lagi http://
• Di Netscape Navigator (versi 3.0 dan sebelumnya)
simbol kunci patah yang ada di sudut kiri layer
menjadi kunci yang utuh menyambung. Di
Netscape Communicator 4.0, kunci gembok yang
tadinya terbuka menjadi tertutup. Di Microsoft
Internet Explorer, muncul tanda kunci di bagian
bawah browser
10. Keuntungan Menggunakan SSL
Transaksi Bisnis ke Bisnis atau Bisnis ke Pelanggan yang tidak terbatas
dan menambah tingkat kepercayaan pelanggan untuk melakukan
transaksi online dari situs anda.
Layanan
SSL
CertificQuick validation
memproses kepemilikan
sertifikat SSL ates
SBS Instant : Rp. 299.500
/ tahun
GeoTrust Quick SSL : Rp.
1.250.000 / tahun
GeoTrust Quick SSL
Premium : Rp. 1.750.000
/ tahun
Rapid SSL : Rp. 290.000 /
tahun
11. SBS Secure : Rp. 790.000
/ tahun
SBS Secure Plus : Rp.
1.190.000 / tahun
Full Validation SSL
Certificates
GeoTrust SSL True
BusinessID : Rp.
2.400.000 / tahun
GeoTrust SSL True
BusinessID WildCard :
Rp. 6.990.000 / tahun
12. TLS (Transport Layer Security)
TLS adalah suatu protocol jaringan komputer yang menyediakan keamanan
dalam melakukan komunikasi melalui internet. Protokol ini dirilis pada tahun
1999 dengan tujuan untuk membuat standar komunikasi privat.
13. TLS menerapkan dua level protokol pada kinerjanya
TLS record protocol melakukan negosiasi koneksi yang privat dan handal antara klien dan server. Meski
record protocol bisa digunakan tanpa enkripsi, protokol ini tetap menggunakan kunci kriptografi simetris
(symmetric cryptography Keys) untuk memastikan keamanan koneksi yang terjalin. Koneksi ini
diamankan melalui pemakaian fungsi hash yang dihasilkan oleh Message Authentication Code.
TLS Record protocol
TLS Handshake Protocol
TLS Handshake protocol mengijinkan komunikasi yang telah ter-autentikasi untuk memulai koneksi antara klien dan server.
14. Apa itu OpenSSL ?
OpenSSL adalah sebuah toolkit kriptografi mengimplementasikan Secure Socket Layer (SSL v2/v3)
dan Transport Layer Security (TLS v1) dan terkait dengan protokol jaringan standar kriptografi
yang dibutuhkan oleh keduanya.
Open SSL juga merupakan salah satu software yang digunakan untuk mengakses SSL tersebut,
Open SSL bersifat open source dan hingga saat ini ada sekitar 66 % website yang ada di dunia ini
adalah pengguna Open SSL.