Pada tanggal 7 April 2014, dunia mengetahui apa yang mungkin merupakan bug keamanan paling parah dalam sejarah Internet. Itu disebut Heartbleed.
Ditemukan secara bersamaan oleh Neel Mehta, peneliti keamanan di Google, dan perusahaan keamanan Finlandia Codenomicon, bug tersebut membahayakan protokol keamanan yang biasa digunakan oleh perangkat dan situs web di seluruh dunia. Heartbleed memungkinkan peretas untuk mengikis data dari memori – termasuk kata sandi, nomor rekening bank, dan apa pun yang tertinggal di dalamnya.
Video yang Direkomendasikan
Tingkat keparahan bug ini membuat banyak orang bertanya-tanya bagaimana hal itu bisa terjadi. OpenSSL, protokol keamanan tempat ditemukannya bug, digunakan di seluruh dunia. Ini digunakan tidak hanya di server, tetapi juga router dan bahkan beberapa ponsel pintar Android. Anda mungkin berpikir bahwa beberapa pihak yang bertanggung jawab memiliki tim peneliti keamanan yang memeriksa dan memeriksa ulang kode tersebut, namun kenyataannya, OpenSSL dikelola oleh kelompok kecil yang sebagian besar terdiri dari sukarelawan.
Terkait
- Bug WordPress baru mungkin menyebabkan 2 juta situs rentan
- Otentikasi dua faktor SMS Twitter mengalami masalah. Berikut cara mengganti metode
- HiveNightmare adalah bug Windows baru yang buruk. Inilah cara melindungi diri Anda sendiri
Membuka OpenSSL
OpenSSL membanggakan asal usul sumber terbukanya dalam namanya. Didirikan pada tahun 1998, proyek ini dibuat untuk menyediakan seperangkat alat enkripsi gratis untuk server Internet. Ini adalah tujuan yang penting; enkripsi sangat penting dan umum. Standar gratis diperlukan untuk memastikan standar ini dapat diadopsi secepat mungkin. Proyek ini sangat sukses dan dengan cepat menjadi salah satu alat keamanan Internet yang paling penting.
Namun, kesuksesan tidak menghasilkan ekspansi atau keuntungan. OpenSSL menghasilkan pendapatan hanya melalui kontrak dukungan, yang menyediakan akses ke pemecahan masalah dan konsultasi dari organisasi itu sendiri.
Sebanyak 11 orang, kebanyakan dari mereka adalah sukarelawan, bertanggung jawab atas standar enkripsi penting.
Hal ini diperkirakan menghasilkan jumlah staf yang sedikit. “Tim inti” hanya terdiri dari empat individu, dan tim pengembangan menambahkan tujuh nama lagi ke dalam daftar. Totalnya hanya 11 orang, sebagian besar adalah sukarelawan, yang bertanggung jawab atas standar enkripsi penting. Hanya satu dari mereka, Dr. Stephen Hanson, yang berfokus pada OpenSSL sepenuhnya. Semua orang memiliki pekerjaan penuh waktu lainnya.
Steve Marquess, yang mengelola keuangan organisasi, mengatakan hal tersebut dengan sangat baik. “Misterinya bukan karena beberapa relawan yang bekerja terlalu keras bisa melewatkan masalah ini; misterinya adalah mengapa hal itu tidak terjadi lebih sering.”
Kesalahan telah dibuat
Itulah inti dari keseluruhan krisis – sebuah kesalahan. Kesalahan ini diperkenalkan oleh Robin Seggelmann, seorang sukarelawan Jerman yang mengerjakan ekstensi OpenSSL yang disebut Heartbeat. Dia menyerahkan kode tersebut pada Malam Tahun Baru 2011, dan kemudian lolos dari proses peninjauan. Heartbleed telah ada, tidak diketahui publik, selama lebih dari dua tahun.
Anggota proyek yang lain memeriksa ulang kode yang dikirimkan selama peninjauan, namun kesalahan tetap saja terjadi, jadi tidak mengherankan jika bug akhirnya lolos. Bahkan perusahaan multi-miliar dolar seperti Microsoft dan Cisco juga terkena dampak eksploitasi yang memalukan.
Masalahnya berasal dari pengalokasian memori sesuai dengan nilai yang dapat ditentukan oleh permintaan. Jika pengguna memberikan input yang valid, fungsinya akan berfungsi sebagaimana mestinya. Namun, jika permintaan yang tidak valid dibuat, kode tersebut akan membuang sebagian dari apa yang ada di memori, termasuk informasi yang seharusnya aman dan terenkripsi. Komik web ini juga menjelaskan Heartbleed, jika Anda menganggap visualisasi bermanfaat.
Beberapa insinyur perangkat lunak meyakini hal itu adanya bug tersebut menimbulkan pertanyaan mengenai keamanan C, kode tempat ekstensi Heartbeat ditulis. Meskipun populer, C adalah bahasa kompleks yang menawarkan banyak peluang terjadinya kesalahan dalam manajemen memori dan penanganan nilai. Bug dalam implementasi SSL sumber terbuka lainnya, GnuTLS, dipotong sebulan sebelum Heartbleed, dan juga ditulis dalam C. Bug itu bahkan lebih tua; kode yang bertanggung jawab untuk itu ditambahkan pada tahun 2005.
Apa langkah selanjutnya?
Kesalahan manusia pada akhirnya menjadi penyebab Heartbleed, namun kesalahan tersebut tidak sepenuhnya berada di pundak seorang pembuat kode saja. OpenSSL adalah perangkat lunak gratis yang digunakan oleh perusahaan-perusahaan Fortune 500, pemerintah, dan bahkan organisasi militer, namun kelompok-kelompok ini hampir tidak pernah menyumbangkan dana atau tenaga kerja untuk proyek tersebut.
Perusahaan dan pemerintah nampaknya sangat prihatin, namun janji dukungan nyata masih belum ada.
Dunia juga harus belajar dari kesalahan ini. Menggunakan proyek sumber terbuka tanpa memberikan kontribusi terhadap proyek tersebut, dalam jangka panjang, merupakan resep bencana – terutama ketika proyek tersebut merupakan bagian penting dari infrastruktur jaringan. Keamanan Internet tidak boleh ditegakkan oleh segelintir relawan yang namanya muncul di berita hanya ketika ada masalah.
Rekomendasi Editor
- Serangan Ransomware telah melonjak secara besar-besaran. Inilah cara agar tetap aman
- Reddit diretas — berikut cara menyiapkan 2FA untuk melindungi akun Anda
- SpaceX menjangkau 100 ribu pelanggan Starlink. Berikut cara mendaftar
- Laptop Dell Anda mungkin memiliki kerentanan keamanan. Inilah cara memperbaikinya.
- Apa itu server DNS? Begini cara Internet menyajikan favorit Anda
Tingkatkan gaya hidup AndaTren Digital membantu pembaca mengawasi dunia teknologi yang bergerak cepat dengan semua berita terkini, ulasan produk yang menyenangkan, editorial yang berwawasan luas, dan cuplikan unik.
