Cacat OpenSSL ‘Heartbleed’ membahayakan data terenkripsi
Ini adalah ringkasan yang dibuat oleh AI, yang mungkin memiliki kesalahan. Untuk konteksnya, selalu rujuk artikel selengkapnya.
Cacat pada OpenSSL, perpustakaan perangkat lunak kriptografi yang menyediakan enkripsi untuk banyak situs dan layanan, memungkinkan penyerang mencuri data dari memori kerja di server komputer
SAN FRANCISCO, AS – Spesialis keamanan komputer memberikan peringatan pada hari Selasa, 8 April tentang kelemahan baru yang ditemukan dalam perangkat lunak pengacak data online yang dapat digunakan oleh peretas untuk keuntungan mereka.
Cacat tersebut – dijuluki “Heartbleed” – pada perangkat lunak enkripsi OpenSSL memungkinkan penyerang mengambil kata sandi dan informasi lain secara ilegal dari memori kerja di server komputer, menurut spesialis pertahanan siber di Fox-IT.
OpenSSL digunakan untuk melindungi kata sandi, nomor kartu kredit, dan data lain yang dikirimkan melalui Internet.
“Tidak ada batasan jumlah serangan yang dapat dilakukan,” kata Fox-IT dalam sebuah posting blog yang mencantumkan langkah-langkah yang dapat diambil oleh para pelaku TI bisnis untuk menggagalkan intrusi.
Informasi yang dianggap berisiko mencakup kode sumber, kata sandi, dan “kunci” yang dapat digunakan untuk meniru identitas situs web atau membuka kunci data terenkripsi.
“Ini adalah permata mahkota, kunci enkripsi itu sendiri,” kata dia situs web heartbleed.com didedikasikan untuk rincian kerentanan.
Kami menemukan kesalahan di dalamnya #OpenSSL http://t.co/kfmPdkaBqA #perdarahan jantung Tempel sekarang.
— Kodenomicon, Ltd. (@CodenomiconLTD) 8 April 2014
“Kunci rahasia yang bocor memungkinkan penyerang mendekripsi lalu lintas masa lalu dan masa depan ke layanan yang dilindungi dan meniru layanan tersebut sesuka hati.”
Codenomicon, salah satu tim peneliti keamanan lain yang menemukan kelemahan keamanan dan mendirikan situs Heartbleed.com, mencatat bahwa mereka menguji kelemahan tersebut pada sistem mereka sendiri.
Codenomicon menemukan bahwa, “Tanpa menggunakan informasi atau kredensial istimewa apa pun, kami dapat mencuri kunci rahasia yang digunakan untuk sertifikat X.509, nama pengguna dan kata sandi, pesan instan, email, serta dokumen dan komunikasi penting bisnis dari diri kami sendiri.”
Peneliti keamanan juga melaporkan bahwa mereka mampu menggali informasi kata sandi Yahoo dengan memanfaatkan kelemahan tersebut. Yahoo mengeluarkan pernyataan pada hari Selasa yang mengatakan pihaknya telah memperbaiki masalah di properti online utamanya.
Fox-IT memperkirakan kerentanan tersebut telah ada selama sekitar dua tahun, sejak versi OpenSSL yang dimaksud dirilis.
OpenSSL digunakan oleh lebih dari separuh situs web, namun tidak semua versi memiliki kerentanan, menurut heartbleed.com.
Kelompok di balik open source OpenSSL mengeluarkan peringatan keamanan mendorong pengguna untuk meningkatkan ke versi perangkat lunak yang lebih baik dan memberikan penghargaan atas penemuan bug tersebut kepada Neel Mehta dari Google Security.
Filippo Valsorda, seorang konsultan kriptografi, juga memiliki pemeriksa online untuk kelemahan keamanan Heartbleed untuk membantu menentukan apakah suatu situs masih mengalami masalah atau telah diperbaiki. Sebuah pertanyaan umum juga tersedia bagi pengguna untuk lebih memahami cara kerja pengontrol online.
Sebuah posting blog di situs web Tor Project menyarankan mereka yang memiliki kebutuhan privasi yang kuat untuk menghindari Internet setidaknya selama beberapa hari untuk memberikan waktu bagi situs web dan server untuk meningkatkan pertahanan dan mengatur ulang kredensial keamanan. – dengan laporan dari Agence France-Presse/Rappler.com
