Heartbleed Bug: Definisi, Titik Rentan, dan Cara Penanggulangannya

Heartbleed Bug adalah sebuah kerentanan kritis yang ada dalam library perangkat lunak kriptografik populer, OpenSSL. Titik Rentan ini memungkinkan pencurian informasi yang sewajarnya dilindungi oleh enkripsi SSL/TLS sebagai enkripsi pengamanan internet. SSL/TLS menyajikan fungsi keamanan dan privasi di internet bagi sejumlah aplikasi seperti website, email, pesan instan (IM), dan beberapa virtual private networks (VPN).

logo heartbleed bug

Bug Heartbleed memampukan siapa saja untuk membaca memori sistem yang dilindungi oleh versi rentan software OpenSSL.

Pembacaan memori sistem ini akan mengungkap kunci-kunci rahasia (secret keys)yang berfungsi untuk:
– mengidentifikasi penyedia layanan,
– mengenkripsi lalu lintas data, nama dan password pengguna, juga konten aktual.

Pada gilirannya, para penyerang (attacker) bisa:
– mencuri dengar lalu lintas komunikasi,
– mencuri data secara langsung dari server dan user,
– serta menyamar sebagai penyedia layanan maupun pengguna.

Apa saja informasi yang bocor akibat Heartbleed Bug?

Kami (baca: Codenomicon) telah menguji beberapa layanan kami dengan menggunakan sudut pandang penyerang (cracker). Kami menyerang sistem layanan kami dari sisi luar tanpa meninggalkan jejak sama sekali. Tanpa memanfaatkan informasi maupun kredensial khusus, kami mampu mencuri kunci-kunci rahasia yang dipakai untuk sertifikat X.509, nama dan password pengguna, instant messages, surel, serta informasi dan dokumen-dokumen bisnis penting yang ada pada layanan kami.

Bagaimana menghentikan kebocoran dan menanggulangi dampak Bug Heartbleed?

Selama versi rentan OpenSSL masih dipergunakan, ia tetap bisa disalahgunakan. Saat ini, Fixed OpenSSL telah dirilis dan diterapkan. Para penyedia layanan sistem operasi (OS), sistem distribusi dan peralatan multifungsi, pengembang dan penerbit perangkat lunak independen, semua harus mengadopsi perbaikan keamanan tersebut dan menginformasikannya pada klien mereka. Penyedia dan pengguna layanan harus menginstal pemutakhiran ini segera setelah ia tersedia untuk seluruh operating system dan software mereka.


Apakah CVE-2014-0160 itu?

CVE-2014-0160 adalah referensi resmi untuk bug ini. CVE (Common Vulnerabilities and Exposures) adalah Standard for Information Security Vulnerability Names yang dikelola oleh MITRE.

Darimana asal usul nama Heartbleed Bug?

Bug ini ada dalam implementasi ekstensi heartbeat (RFC6520) TLS/DTLS (transport layer security protocols) OpenSSL. Ketika ekstensi ini dieksploitasi, ia akan mengakibatkan kebocoran konten memori dari server ke client dan dari client ke server.

Apakah ciri khas Bug Heartbleed?

Di dalam setiap perangkat lunak atau library selalu ada bug yang umumnya bisa diatasi dengan pemutakhiran versi yang lebih baru. Namun dalam kasus ini, bug yang ada telah mengekspos sejumlah besar private keys dan rahasia (individu maupun lembaga) di internet. Dengan mempertimbangkan cukup lamanya waktu yang telah dilampaui, kemudahan eksploitasi, dan nihilnya jejak penyerangan, bug ini harus ditangani dengan serius.

Apakah ini sebuah cacat desain pada spesifikasi protokol SSL/TLS?

Tidak. Ini adalah problem dalam aspek implementasi, yakni kesalahan pemrograman pada library populer OpenSSL yang menyajikan layanan penyandian (crytographic) sejenis SSL/TLS bagi berbagai aplikasi dan service.

Apa saja yang dibocorkan?

Enkripsi berfungsi untuk melindungi rahasia-rahasia yang bisa membahayakan privasi atau keamanan Anda apabila bocor. Untuk mengkoordinasi perbaikan atas bug ini, kami telah mengklasifikasikan jenis-jenis rahasia yang bocor ke dalam empat kategori: 1) primary key material, 2) secondary key material, 3) konten yang terproteksi, 4) collateral.

Apakah kebocoran primary key material itu? Bagaimana penanggulangannya?

Ini adalah materi utama yang sangat berharga: kunci enkripsi itu sendiri. Secret keys yang bocor mamampukan penyerang untuk mendekripsi lalu lintas – yang sudah lewat maupun yang akan datang – pada layanan yang terproteksi, serta meniru atau menyamar sebagai layanan itu sendiri. Segala bentuk proteksi oleh sistem enkripsi maupun signature pada sertifikat X.509 dapat ditembus.

Penanggulangan atas kebocoran ini membutuhkan:
patch pada sisi yang rentan,
– pembatalan kunci-kunci yang telah terungkap,
– juga penerbitan dan distribusi ulang keys terkait.

Bahkan semua tindakan tersebut masih menyisakan resiko, yakni pada lalu lintas yang telah disusupi pada waktu yang lampau yang masih rentan terhadap dekripsi. Proses penanggulangan di atas harus dilakukan oleh pemilik layanan sendiri.

Apakah kebocoran secondary key material itu? Bagaimana mengatasinya?

Contohnya adalah kredensial pengguna (username dan password) yang digunakan pada situs yang rentan. Untuk mengatasinya, pemilik layanan harus mengembalikan kepercayaan pada layanannya sesuai dengan uraian sebelumnya. Sesudahnya, pengguna akan mengganti password mereka – bisa jadi termasuk kunci enkripsi – sesuai dengan instruksi penyedia layanan. Semua session keys dan session cookies harus diinvalidasi dan dianggap telah tercuri.

Apakah kebocoran konten terproteksi itu? Bagaimana memperbaikinya?

Protected content (konten terproteksi) adalah konten aktual yang ditangani oleh layanan yang rentan. Isinya bisa berupa rincian keuangan, komunikasi pribadi seperti email atau pesan instan, dokumen atau apa saja yang dianggap penting untuk diproteksi dengan enkripsi.

Hanya penyedia layanan yang paling mengerti apa saja yang diperkirakan bocor dan wajib memberitahukannya kepada penggunanya. Yang paling penting adalah mengembalikan kepercayaan untuk key material primer dan sekunder seperti uraian sebelumnya. Hanya ini cara untuk mewujudkan penggunaan yang aman atas layanan yang telah terkena bug heartbleed.

Apakah kebocoran collateral itu? Bagaimana menutupnya?

Kebocoran collateral adalah keseluruhan rincian lainnya yang telah terekspos kepada penyerang melalui memori konten yang bocor. Isinya bisa berupa rincian teknis seperti alamat memori dan standar keamanan semisal canaries yang yang dipergunakan untuk melindungi dari serangan berkelanjutan. Elemen-elemen ini hanya memiliki nilai-nilai semasa yang akan menjadi tak berharga lagi bagi penyerang sesudah OpenSSL ditingkatkan ke fixed version.

Apa saja versi OpenSSL yang terkena Heartbleed Bug?

Status beberapa versi:

  • OpenSSL 1.0.1 hingga 1.0.1f (inklusif) – rentan
  • OpenSSL 1.0.1g – aman
  • OpenSSL 1.0.0 dan cabang-cabangnya – aman
  • OpenSSL 0.9.8 dan cabang-cabangnya – aman

Bug ini mulai ada dalam OpenSSL sejak Desember 2011 -> mulai menyebar luas sejak rilis OpenSSL 1.0.1 pada 14 Maret 2012 -> diatasi sejak rilis OpenSSL 1.0.1g pada 7 April 2014.

Apa saja Sistem Operasi yang terkena bug Heartbleed?

Ini adalah sejumlah distribusi operating system yang dirilis dengan versi OpenSSL yang rentan:

  • Debian Wheezy (stable), OpenSSL 1.0.1e-2+deb7u4
  • Ubuntu 12.04.4 LTS, OpenSSL 1.0.1-4ubuntu5.11
  • CentOS 6.5, OpenSSL 1.0.1e-15
  • Fedora 18, OpenSSL 1.0.1e-4
  • OpenBSD 5.3 (OpenSSL 1.0.1c 10 Mei 2012) dan 5.4 (OpenSSL 1.0.1c 10 Mei 2012)
  • FreeBSD 10.0 – OpenSSL 1.0.1e 11 Feb 2013
  • NetBSD 5.0.2 (OpenSSL 1.0.1e)
  • OpenSUSE 12.2 (OpenSSL 1.0.1c)

Distribusi sistem operasi berikut aman:

  • Debian Squeeze (oldstable), OpenSSL 0.9.8o-4squeeze14
  • SUSE Linux Enterprise Server
  • FreeBSD 8.4 – OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 9.2 – OpenSSL 0.9.8y 5 Feb 2013
  • FreeBSD 10.0p1 – OpenSSL 1.0.1g (At 8 Apr 18:27:46 2014 UTC)
  • FreeBSD Ports – OpenSSL 1.0.1g (At 7 Apr 21:46:40 2014 UTC)

Siapa yang menemukan Heartbleed Bug?

Bug ini ditemukan secara independen oleh sebuah tim security engineer (Riku, Antti, dan Matti) dari Codenomicon dan Neel Mehta dari Google Security, yang pertamakali melaporkannya pada tim OpenSSL.

Dimana mencari informasi selengkapnya?

Tulisan ini (versi asli di heartbleed.com – red.) diterbitkan sebagai tindak lanjut dari laporan OpenSSL sejak kerentanan ini dipublikasikan pada 7 April 2014. OpenSSL telah membuat pernyataan di https://www.openssl.org/news/secadv_20140407.txt. NCSC-FI merilis pemberitahuan di https://www.cert.fi/en/reports/2014/vulnerability788210.html. Para penyedia operating system distribution, pemilik layanan internet, paket software, dll. yang terkena dampak barangkali akan mempublikasikan pernyataan mereka secara terpisah.


Dialihbahasakan dari The Heartbleed Bug oleh Codenomicon, dengan beberapa modifikasi elemen.

Tak ada komentar

Tuliskan pendapatmu

Alamat surel Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *