Keamanan

Apa itu Heartbleed Bug dan Bagaimana Melindungi Diri Anda dan Tetap Aman?

Apa itu Heartbleed Bug dan Bagaimana Melindungi Diri Anda dan Tetap Aman?

Hampir 70 persen lalu lintas di Internet mempekerjakan OpenSSL untuk mengamankan transfer data. Itu berarti hampir semua server utama (baca: situs web) menggunakan OpenSSL untuk mengamankan data Anda seperti kredensial masuk. Namun, seseorang dari Google menemukan bug di OpenSSL - kesalahan pemrograman kecil tetapi cukup besar untuk memberikan data Anda kepada peretas - orang yang bersedia menggunakan data Anda untuk tujuan mereka. Bug OpenSSL ini bernama berdarah hati karena ini terkait erat dengan beberapa lapisan HeartBeat dari OpenSLL.

Apa itu Heartbleed Bug?

Sebagian besar server menerima data terenkripsi, memecahkan kode menggunakan kunci enkripsi dan meneruskannya untuk diproses. Karena sebagian besar server menggunakan metode FIFO (First in First Out) untuk melayani pengguna akhir, seringkali, data (setelah dekripsi) berada di memori server untuk sementara waktu sebelum server mengambilnya untuk diproses lebih lanjut.

Bug Heartbleed adalah kasus kekhawatiran untuk hampir semua situs web komersial berbasis Internet dan beberapa jenis lainnya. Kesalahan pemrograman ini memungkinkan peretas untuk memeriksa ke server mana pun yang menggunakan OpenSSL dan membaca/menyimpan/menggunakan data yang tidak terenkripsi (data yang didekripsi). Peretas sekarang tidak hanya memiliki akses ke data Anda, mereka dapat mereproduksi sertifikat situs web yang membuat Internet, bahkan tempat yang lebih berbahaya. Dengan salinan sertifikat situs web, peretas dapat membuat situs tiruan: situs yang terlihat mirip dengan situs asli. Dengan itu, mereka dapat mengakses data Anda lebih lanjut seperti detail kartu kredit, informasi pribadi, dll.

Kedengarannya menakutkan, bukan?? Ini - memang - karena dapat mengakses informasi Anda dan informasi itu dapat digunakan untuk tujuan apa pun.

Catatan: Heartbleed juga memiliki nama kode CVE-2014-0160. CVE adalah singkatan dari Common Vulnerabilities and Exposures. Kode-kode ini terkait dengan kerentanan dll. diberikan oleh MITRE, badan independen yang melacak bug dan masalah serupa.

Haruskah saya mengupgrade Anti-Virus saya atau semacamnya

Bug Heartbleed di OpenSSL tidak ada hubungannya dengan antivirus atau firewall Anda. Ini bukan masalah sisi klien sehingga Anda tidak dapat berbuat banyak tentang itu. Di sisi lain, server harus menerapkan tambalan ke sistem OpenSSL yang mereka gunakan. Selesai, website bisa dikatakan lebih aman untuk berinteraksi.

Apa yang dapat Anda lakukan sebagai pengguna adalah mengurangi jumlah kunjungan ke perdagangan dan situs serupa. Bukannya bug itu hanya memengaruhi situs perdagangan. Ini sama untuk semua jenis situs web yang menggunakan OpenSSL. Saya katakan hindari situs perdagangan untuk sementara waktu karena mereka akan menjadi target utama bagi peretas yang menginginkan detail kartu Anda, dll. Ini berarti bahwa target utama peretas adalah situs e-commerce yang menggunakan OpenSSL.

Setelah Anda mendapatkan pesan/laporan bahwa bug telah diperbaiki, Anda dapat melanjutkan seperti yang biasa Anda lakukan sebelum bug ditemukan. OpenSSL telah membuat tambalan dan telah merilisnya untuk pemilik situs web untuk mengamankan data penggunanya. Sampai saat itu, cobalah untuk menghindari situs di mana Anda harus memberikan data Anda dalam bentuk apa pun - bahkan kredensial masuk. Saya yakin hampir semua webmaster pasti masuk untuk patch tapi masih ada masalah. Setelah Anda yakin bahwa tidak ada kerentanan atau kerentanan tersebut telah ditambal, mungkin ide yang baik untuk mengubah kata sandi Anda.

Sementara itu, gunakan ekstensi browser ini untuk memperingatkan Anda tentang situs web yang terpengaruh Heartbleed.

Sertifikat Situs yang disalin melalui Heartbleed perlu ditangani

Ada kemungkinan besar bahwa sertifikat keamanan situs web mungkin telah disalin karena membuat situs web berbahaya. Karena sertifikat keamanan sebagai salinan umum, browser Anda mungkin tidak membedakannya. Andalah yang harus tetap berhati-hati. Hindari mengklik tautan dan sebagai gantinya, ketik URL situs web di bilah alamat sehingga Anda tidak diarahkan ke beberapa situs palsu fake.

Masalah ini dapat diselesaikan dengan dua cara:

  1. Peramban yang tersedia di pasar harus dibuat cukup pintar untuk mengidentifikasi salinan sertifikat dan memperingatkan Anda.
  2. Webmaster mengubah sertifikat setelah menerapkan tambalan.

Dengan kata lain, perlu beberapa waktu untuk mengimplementasikan di atas meskipun webmaster menerapkan tambalan. Saya ingin menegaskan kembali bahwa jangan mengklik tautan di email atau situs web yang tidak bereputasi. Cukup, ketik URL ke bilah alamat atau jika situs asli telah di-bookmark, gunakan bookmark.

Bagian Referensi di akhir artikel ini berisi daftar situs web yang terpengaruh yang tidak lengkap. Tidak lengkap karena mungkin ada lebih banyak situs web yang terpengaruh daripada yang tercantum di sana.

Referensi:

permainan Mesin Game Gratis dan Sumber Terbuka untuk Mengembangkan Game Linux
Mesin Game Gratis dan Sumber Terbuka untuk Mengembangkan Game Linux
Artikel ini akan membahas daftar mesin game sumber terbuka dan gratis yang dapat digunakan untuk mengembangkan game 2D dan 3D di Linux. Ada banyak mes...
permainan Shadow of the Tomb Raider untuk Tutorial Linux
Shadow of the Tomb Raider untuk Tutorial Linux
Shadow of the Tomb Raider adalah tambahan kedua belas untuk seri Tomb Raider - waralaba game aksi-petualangan yang dibuat oleh Eidos Montreal. Permain...
permainan Cara Meningkatkan FPS di Linux?
Cara Meningkatkan FPS di Linux?
FPS adalah singkatan dari Bingkai per detik. Tugas FPS adalah mengukur kecepatan bingkai dalam pemutaran video atau pertunjukan game. Dengan kata sede...