Heartbleed, Temuan Vulnerability “Heartbeat” pada OpenSSL

Pekan ini menjadi salah satu pekan yang bersejarah di jagat internet (hahah), setelah ditemukannya celah keamanan extension heartbeat pada OpenSSL, kemudian bug tersebut disebut dengan istilah “Heartbleed“. OpenSSL adalah engine SSL yang dipergunakan luas oleh webserver di internet. Sebut saja webserver Apache, Nginx, dll rata-rata dalam melakukan enkripsi menggunakan OpenSSL, sebuah engine SSL versi Open Source. Menurut netcraft, setengah juta-an trusted websites vulnerable terhadap bug heartbleed. Akibat temuan vulnerability ini, sudah pasti akan ada “patch massal” pada website-website di jagat internet.

Informasi bug ini menyebar setelah tim security di Codenomicon serta Neel Mehta dari Google Security menemukan bug tersebut dan melaporkan pada tim developer OpenSSL. Celah keamanan ini hanya ada pada OpenSSL versi 1.0.1-1.0.1f yang mengimplementasikan RFC 6520 Heartbeat TLS. Versi 1.0.2-1.0.2-beta1 juga dilaporkan vulnerable. OpenSSL jadul (versi 1.0.0) dilaporkan tidak vulnerable, karena pada versi 1.0.0 tersebut belum diimplementasi extension Heartbeat TLS (RFC 6520).

Dampak Vulnerability Heartbleed

Penjelasan sederhana terhadap dampak vulnerability ini adalah terdapat overrun pada extension heartbeat karena tidak dilakukan bound checking. (Selain itu, komik khas XKCD juga menjelaskan tentang vulnerability ini secara jelas tetapi tetap lucu khas XKCD). Overrun ini dapat dimanfaatkan untuk memperlihatkan isi memory hingga 64k untuk client atau server yang terkoneksi. Data yang diperlihatkan pada block memory bisa saja berisi:

  • SSL private keys
  • Basic authorization strings (username / password combinations)
  • Cookie
  • Source code

Berikut ini hasil capture proof of concept dari seorang yang melakukan testing heartbleed pada server Yahoo.com (sewaktu masih vulnerable):

Heartbleed Test pada Situs Yahoo.com, terungkapnya User dan Password pada Server
Heartbleed Test pada Situs Yahoo.com, terungkapnya User dan Password pada Server

Test Apakah Sebuah Website Vulnerable

Berikut ini cara sederhana untuk melakukan pengetesan apakah sebuah webserver vulnerable atau tidak:

  • http://filippo.io/Heartbleed/ – simple test vulnerability heartbleed berbasis web. Misal untuk cek facebook.com apakah vulnerable atau tidak, masukkan “facebook.com” pada input text.
  • http://s3.jspenguin.org/ssltest.py – script untuk melakukan test heartbeat TLS pada webserver. Hasilnya adalah informasi apakah webserver kita vulnerable (menggunakan OpenSSL versi vulnerable) atau tidak.
  • http://attack-secure.com/heartbleed.py – alternatif script untuk melakukan test heartbeat TLS pada webserver.

Website-Website Umum di Internet yang Dilaporkan Vulnerable

Pada situs mashable.com ini, sudah di list beberapa website-website umum di internet yang terancam bug heartbleed ini. Beberapa diantaranya sudah merekomendasian user nya untuk mengganti password.  Sebut saja Facebook, Instagram, Tumblr telah menyarankan penggunanya untuk melakukan penggantian password demi keamanan usernya.

Untuk Sysadmin: Cara Mengatasi Bug Heartbleed di Website/Webserver

OpenSSL telah merilis versi baru OpenSSL 1.0.1g yang merupakan rilis patch khusus untuk vulnerability ini. Silakan rekan-rekan sysadmin melakukan upgrade OpenSSL library di server masing-masing ke versi 1.0.1g dengan patch, apt-get, upgradepkg, atau cara lainnya.

Jika tidak memungkinkan melakukan upgrade ke versi 1.0.1g karena alasan tertentu, sangat disarankan untuk men-disable extension heartbeat dengan cara melakukan recompile OpenSSL. Gunakan tambahan flag “-DOPENSSL_NO_HEARTBEATS” ketika melakukan kompilasi.

Bagaimana Menghindari Ancaman Ini Bagi Pengguna Internet Seperti Kita?

Untuk yang paranoid website yang dikunjungi mungkin vulnerable, bisa menggunakan Google Chrome extension yang akan memberikan alert browser user jika website yang dikunjungi masih menggunakan OpenSSL versi vulnerable ini.

Akhir kata, walaupun sudah disarankan kepada semua pemilik web server di jagat internet untuk melakukan patch massal pada OpenSSL versi tertentu yang vulnerable ini, bisa saja masih ada beberapa website yang sering kita gunakan/kunjungi belum di patch terhadap celah keamanan ini. Silakan kunjungi situs heartbleed.com bagi yang ingin melihat informasi lebih detail. Anyway, selamat berinternet sehat!

2 thoughts on “Heartbleed, Temuan Vulnerability “Heartbeat” pada OpenSSL

Leave a Reply

Your email address will not be published. Required fields are marked *