Hampir 70 persen lalu lintas di Internet mempekerjakan OpenSSL untuk mengamankan transfer data. Itu berarti hampir semua server utama (baca: situs web) menggunakan OpenSSL untuk mengamankan data Anda seperti kredensial login. Namun, seseorang dari Google menemukan bug di OpenSSL - kesalahan pemrograman kecil tetapi cukup besar untuk memberikan data Anda kepada peretas - orang yang bersedia menggunakan data Anda untuk tujuan mereka. Bug OpenSSL ini diberi nama Heartbleed karena terkait erat dengan beberapa lapisan HeartBeat dari OpenSLL.
Apa itu Heartbleed Bug
The Heartbleed Bug adalah kasus kekhawatiran untuk hampir semua situs komersial berbasis Internet dan beberapa jenis lainnya. Kesalahan pemrograman ini memungkinkan peretas untuk memeriksa server apa pun yang menggunakan OpenSSL dan membaca / menyimpan / menggunakan data yang tidak terenkripsi (data yang didekripsi). Peretas sekarang tidak hanya memiliki akses ke data Anda, mereka dapat mereproduksi sertifikat situs web yang membuat Internet, bahkan tempat yang lebih berbahaya. Dengan salinan sertifikat situs web, peretas dapat membuat situs mimik: situs yang terlihat mirip dengan situs asli. Dengan itu, mereka dapat lebih mengakses data Anda seperti detail kartu kredit, informasi pribadi, dll.
Kedengarannya menakutkan, bukan? Memang - memang - karena dapat mengakses informasi Anda dan informasi itu dapat digunakan untuk mencapai tujuan apa pun.
Catatan: Heartbleed juga memiliki nama kode CVE-2014-0160. CVE adalah singkatan dari Kerentanan dan Eksposur Umum. Kode-kode ini terkait dengan kerentanan dll. Diberikan oleh MITRE, sebuah badan independen yang menyimpan jejak bug dan isu-isu serupa.
Haruskah saya meningkatkan Anti-Virus saya atau sesuatu
Bug Heartbleed di OpenSSL tidak ada hubungannya dengan antivirus atau firewall Anda. Ini bukan masalah sampingan klien sehingga Anda dapat melakukan sedikit tentang hal itu. Di sisi lain, server harus menerapkan patch ke sistem OpenSSL yang mereka gunakan. Itu dilakukan, situs web dapat dikatakan lebih aman untuk berinteraksi.
Apa yang dapat Anda lakukan sebagai pengguna adalah mengurangi jumlah kunjungan ke perdagangan dan situs serupa. Bukan karena bug hanya mempengaruhi situs perdagangan. Ini sama untuk semua jenis situs web yang menggunakan OpenSSL. Saya katakan menghindari situs perdagangan untuk sementara waktu karena mereka akan menjadi target utama bagi peretas yang menginginkan detail kartu Anda, dll. Artinya target utama peretas adalah situs e-commerce menggunakan OpenSSL.
Setelah Anda mendapatkan pesan / laporan bahwa bug sudah diperbaiki, Anda dapat melanjutkan seperti yang biasa Anda lakukan sebelum bug itu ditemukan. OpenSSL telah membuat patch dan telah merilisnya untuk pemilik situs web untuk mengamankan data pengguna mereka. Sampai saat itu, cobalah untuk menghindari situs di mana Anda harus memberikan data Anda dalam bentuk apa pun - bahkan login kredensial. Saya yakin hampir semua webmaster harus masuk untuk patch tetapi masih ada masalah. Setelah Anda yakin bahwa tidak ada kerentanan atau kerentanan seperti itu telah ditambal, mungkin ada baiknya untuk mengubah kata sandi Anda.
Sementara itu, gunakan ekstensi browser ini untuk memperingatkan Anda tentang situs web terpengaruh Heartbleed.
Sertifikat Situs yang disalin melalui Heartbleed perlu ditangani
Ada kemungkinan besar bahwa sertifikat keamanan situs web mungkin telah disalin untuk membuat situs web berbahaya. Karena sertifikat keamanan sebagai salinan umum, peramban Anda mungkin tidak mengetahui perbedaannya. Andalah yang harus tetap berhati-hati. Hindari mengklik tautan dan sebagai gantinya, ketik URL situs web di bilah alamat sehingga Anda tidak dialihkan ke beberapa situs palsu.
Masalah ini dapat diselesaikan dengan dua cara:
- Browser yang tersedia di pasar harus dibuat cukup pintar untuk mengidentifikasi sertifikat yang disalin dan memperingatkan Anda.
- Para webmaster mengubah sertifikat setelah menerapkan tambalan.
Dengan kata lain, perlu waktu untuk menerapkan di atas meskipun webmaster menerapkan patch. Saya ingin menegaskan kembali bahwa jangan klik tautan di email atau situs web non-terkenal. Cukup, ketikkan URL ke dalam bilah alamat atau jika situs asli diberi bookmark, gunakan bookmark.
Bagian Referensi di bagian akhir artikel ini berisi daftar situs web yang terpengaruh yang tidak lengkap. Tidak lengkap karena mungkin ada lebih banyak situs web yang terpengaruh daripada yang terdaftar di sana.
Referensi:
- Heart Bleed: Situs web
- OpenSSL: Penasihat Keamanan Untuk Pendarahan Jantung
- Git Hub: Daftar Situs Web yang Terkena Dampak.