Video: Keamanan pada IoT I Tehnik Informatika Universitas STEKOM (Oktober 2024)
SSL, kependekan dari Secure Sockets Layer, adalah yang menempatkan S dalam HTTPS. Pengguna yang cerdas tahu untuk mencari HTTPS di bilah alamat sebelum memasukkan informasi sensitif apa pun di situs web. Posting SecurityWatch kami sering menghukum aplikasi Android yang mengirimkan data pribadi tanpa menggunakan SSL. Sayangnya, bug "Heartbleed" yang baru ditemukan ini memungkinkan penyerang mencegat komunikasi yang dilindungi SSL.
Bug ini disebut Heartbleed karena mendukung fitur yang disebut detak jantung, mempengaruhi versi spesifik dari pustaka kriptografi OpenSSL yang banyak digunakan. Menurut situs web yang dibuat untuk melaporkan Heartbleed, pangsa pasar gabungan dari dua server Web open source terbesar menggunakan OpenSSL adalah lebih dari 66 persen. OpenSSL juga digunakan untuk mengamankan email, server obrolan, VPN, dan "berbagai macam perangkat lunak klien." Semuanya ada di mana-mana.
Ini Buruk, Sangat Buruk
Penyerang yang memanfaatkan bug ini memperoleh kemampuan untuk membaca data yang disimpan dalam memori server yang terpengaruh, termasuk kunci enkripsi yang sangat penting. Nama dan kata sandi pengguna dan totalitas konten yang dienkripsi juga dapat ditangkap. Menurut situs itu, "Ini memungkinkan penyerang menguping komunikasi, mencuri data langsung dari layanan dan pengguna dan untuk meniru layanan dan pengguna."
Situs ini selanjutnya mencatat bahwa menangkap kunci rahasia "memungkinkan penyerang untuk mendekripsi lalu lintas masa lalu dan masa depan ke layanan yang dilindungi." Satu-satunya solusi adalah memperbarui ke versi terbaru OpenSSL, mencabut kunci yang dicuri, dan mengeluarkan kunci baru. Bahkan kemudian, jika penyerang mencegat dan menyimpan lalu lintas terenkripsi di masa lalu, kunci yang diambil akan mendekripsi itu.
Apa yang bisa dilakukan
Bug ini ditemukan secara independen oleh dua kelompok yang berbeda, sepasang peneliti dari Codenomicon dan peneliti keamanan Google. Saran kuat mereka adalah bahwa OpenSSL merilis versi yang sepenuhnya menonaktifkan fitur detak jantung. Dengan edisi baru itu diluncurkan, instalasi yang rentan dapat dideteksi karena hanya mereka yang akan menanggapi sinyal detak jantung, yang memungkinkan "respons terkoordinasi skala besar untuk menjangkau pemilik layanan yang rentan."
Komunitas keamanan menanggapi masalah ini dengan serius. Anda akan menemukan catatan tentang itu di situs web US-CERT (United States Computer Emergency Readiness Team), misalnya. Anda dapat menguji server Anda sendiri di sini untuk melihat apakah mereka rentan.
Sayangnya, tidak ada akhir yang bahagia untuk cerita ini. Serangan itu tidak meninggalkan jejak, bahkan setelah situs web memperbaiki masalah, tidak ada yang tahu apakah penjahat telah mengetuk data pribadi. Menurut situs Heartbleed, akan sulit bagi IPS (Intrusion Prevention System) untuk membedakan serangan dari lalu lintas terenkripsi biasa. Saya tidak tahu bagaimana cerita ini berakhir; Saya akan melaporkan kembali ketika ada lagi yang bisa diceritakan.
