Situasi Heartbleed Bug
Selamatkah maklumat kita di Internet?
Baru – baru ini telah heboh diperkatakan di Internet tentang wujudnya satu bug bernama Heartbleed. Apa itu Heartbleed? Difahamkan, ianya bukanlah satu virus, tetapi ianya merupakan satu kelemahan yang serius dalam Open SSL (satu protokol komunikasi menggunakan https://) dimana satu kemungkinan penjenayah siber dapat membaca memori yang dilindungi oleh Open SSL itu sendiri. Ini bermaksud, berkemungkinan juga maklumat peribadi dan data – data yang yang tersimpan dalam RAM server terdiri dari password, no kad kredit, dan informasi – informasi yang sensitif bersaiz sehingga 64KB, dapat dicuri. Banyak website yang telah menggunakan HTTPS berbanding HTTP atas sebab – sebab isu – isu keselamatan sebagai contohnya, apabila kita membuat transaksi atas talian (online) di Internet samada melibatkan bank atau syarikat Kredit kad, Protokol SSL inilah yang memastikan keselamatan transaksi kita ini. SSL akan encrypt (menjadi data itu sulit) agar tiada sesiapa dapat menyah-kod atau membaca maklumat yang dihantar ke bank atau pihak luar. Tetapi kini, dengan berlakunya Heartbleed maka pelbagai andaian boleh digambarkan sekarang.
Kenapa dinamakan Heartbleed?
Dalam analogi yang mudah difahami, bug ini berasal dari protokol heartbeat (FRC6520) TLS/DTLS (Transport Layer Security Protocols) dan jika protokol “denyutan jantung” ini dapat dieksploit maka ianya akan “membocorkan” maklumat (data dan informasi) didalam memori dari server ke klien atau sebaliknya. Kerana itulah situasi ini dinamakan Heartbleed (Pendarahan Jantung/ Kebocoran Jantung, atau apa jua panggilan yang lebih mudah untuk difahami.)
Akibatnya?
Seperti yang dikatakan sebelum ini, maklumat sulit, maklumat keewangan, maklumat peribadi, mesej2 mungkin tidak menjadi selamat lagi. Apa yang lebih menakutkan ialah, Heartbleed bug ini telah lama wujud di Internet sejak 2011 lagi dan yang menjadi masalah ialah secara lazimnya kita tidak mengetahui tentang situasi ini kerana tiada cara untuk mengesannya secara langsung. Antara apa yang boleh dilakukan oleh pemilik website ialah dengan menyemak data pengunjung atau dengan cara teknikal untuk mengatasi berkenaan. Pendek kata, tiada apa sebenarnya yang boleh kita lakukan kerana telah menjadi tanggungjawab website syarikat2 itu untuk update server – server mereka atau menggunakan patch yang telah disediakan.
Terdapat banyak website – website yang menggunakan HTTPS berbanding HTTP dan yang menjadi berita buruk ialah secara teori, penjenayah cyber boleh mengeksploitasi situasi Heartbleed bug ini dan mencuri maklumat – maklumat kita. Website – website yang dikenali seperti, google, yahoo, facebook, instagram juga antara yang menjadi mangsa Heartbleed bug ini.
Bagaimana Heartbleed bug ini terjadi?
Dua tahun lalu, dengan perlaksanaan sumber terbuka untuk protokol SSL ini, maka banyak laman web yang menggunakan OpenSSL ini bertujuan untuk meningkatkan ciri keselamatan. Rupanya, laman web yang diwar-warkan selamat adalah tidak juga selamat memandangkan program ini sangat kompleks dan rumit, maka beberapa kelemahan juga telah terlepas pandang. Hasilnya, setelah begitu lama program ini digunakan, kita tidak tahu sejauh mana keterjejasan ini telah berlaku. Mungkin maklumat sulit kita telah terjejas, atau mungkin belum sampai ketahap yang membimbangkan.
Kita masih boleh berasa sedikit kelegaan kerana para penyelidik program ini mengatakan bahawa tiada petunjuk yang kelemahan ini telah dapat dihidu oleh penggodam dan penjenayah siber. Mereka mendakwa adalah pihak pertama yang menemui masalah Heartbleed bug ini. Namun begitu, ianya masih boleh menjadi tanda tanya. Jika penggodam menyusup masuk ke laman web ini, bukankah mudah bagi mereka untuk mengekstrak maklumat yang mereka mahu dan tanpa meninggalkan kesan kehadiran mereka? Oleh itu, sukar untuk menentukan sama ada seseorang pernah mengeksploitasi atau jika maklumat akaun kita telah dikompromi kerana masalah situasi Heartbleed bug ini.
Apakah yang boleh kita lakukan?
Pertama, kita boleh menyemak laman web yang sentiasa kita masuki dengan menggunakan Heartbleed bug Checker. Kita boleh ketahui jika laman web itu ada masalah OpenSSL atau telah menggunakan patch untuk masalah itu. Kedua, tukar kata laluan bagi semua email, online banking, media sosial atau apa sahaja yang berkaitan.
Moralnya; apa jua keadaan, kekerapan menukar kata laluan adalah satu amalan yang baik sekali.
Sumber – sumber;
[…] di dalam dunia pada masa ini. Dan aku percaya, website ini sudah semesti telah menangani masalah Heartbleed SSL yang dilaporkan beberapa ketika dahulu. Malah dengan quote yang popular melalui filem The Social […]