Friday, May 9, 2014
Sebuah penemuan terbaru dari apa yang dikenal sebagai bug 'Heartbleed' di OpenSSL telah menyebabkan keprihatinan besar di industri dan tentunya Anda mungkin telah mendengar tentang hal ini sekarang.
Namun apa artinya bagi Anda? Berikut kami sajikan langkah-langkah sederhana yang dapat Anda ambil dalam mengatasi masalah ini.
Kami menyarankan Anda untuk mengikuti langkah-langkah dibawah ini sesegera mungkin. Dan juga, apabila Anda menginginkan informasi lebih lanjut tentang bug Heartbleed, Anda dapat menemukan informasi lebih lanjut pada link yang terdapat dibawah.
Kami menyarankan Anda untuk mengikuti langkah-langkah dibawah ini sesegera mungkin. Dan juga, apabila Anda menginginkan informasi lebih lanjut tentang bug Heartbleed, Anda dapat menemukan informasi lebih lanjut pada link yang terdapat dibawah.
Langkah-langkah penanganan Heartbleed untuk SSL Certificates dari Symantec, RapidSSL, dan Thawte:
Langkah ke 1: Untuk menentukan apakah Anda termasuk yang rentan terkena bug Heartbleed, masukkan nama domain Anda pada https://www.ssllabs.com/ssltest/index.html. Apabila website Anda hasilnya bersih seperti gambar dibawah ini, maka Anda tidak memerlukan tindakan apapun. 
Namun, jika website Anda ditemukan rentan terkena bug Heartbleed, Anda harus segera melakukan langkah ke 2 di bawah ini.
Langkah ke 2: Install update versi terbaru dari OpenSSL pada Server Anda. Anda dapat menemukan versi ini disini: https://rhn.redhat.com/errata/RHSA-2014-0376.html. Anda juga dapat mengetahui saran keamanan untuk OpenSSL dari URL berikut: https://www.openssl.org/news/secadv_20140407.txt.Langkah ke 3: Buat Certificate Signing Request (CSR) dan Private Key terbaru dari OpenSSL Anda. File CSR yang baru kemudian digunakan untuk menerbitkan ulang Sertifikat SSL Anda (Reissue the certificate) sekaligus Anda gunakan dengan Private Key yang baru untuk diinstall ulang setelah Sertifikat SSL selesai diterbitkan ulang.Langkah ke 4: Login ke http://www.warungssl.com/logon dan klik di menu "List Orders".Langkah ke 5: Cari Sertifikat SSL Anda yang akan di-reissue pada daftar tabel dan klik pada No. "Vendor OrderID" pada Sertifikat SSL yang berstatus Active.Langkah ke 6: Kemudian scroll ke halaman bawah, dan klik pada tombol "Re-issue Certificate".Langkah ke 7: Kemudian paste hasil CSR baru yang telah dibuat dari versi OpenSSL terbaru, kemudian lengkapi kembali informasi detail yang dibutuhkan, dan klik pada tombol "Submit".Langkah ke 8: Setelah disubmit, Otoritas Sertifikat Anda akan meminta Anda untuk memverifikasi kepemilikan domain Anda kembali.Langkah ke 9: Setelah proses verifikasi tentang kepemilikan domain Anda selesai, Sertifikat SSL telah diterbitkan kembali dan Anda dapat melanjutkan untuk menginstall kembali Sertifikat SSL Anda yang telah diterbitkan ulang.Langkah ke 10: Setelah langkah ke 9 selesai, Anda sudah dapat memenuhi langkah pengamanan dengan baik. Namun, harap dicatat bahwa sertifikat SSL anda yang lama secara otomatis akan dicabut oleh Otoritas Sertifikat dalam waktu 12 jam setelah Anda melakukan reissue Sertifikat SSL. Namun, apabila Anda tidak ingin menunggu 12 jam, Anda dapat menghubungi langsung Otoritas Sertifikat dengan menginformasikan bahwa Sertifikat SSL yang baru setelah direissue telah diinstall pada Server Anda, dan meminta Otoritas Sertifikat untuk mencabut Sertifikat SSL yang lama secara manual (SSL Revocation).
Langkah penanganan Heartbleed untuk SSL Certificates dari GeoTrust dan Comodo:
Langkah ke 1: Untuk menentukan apakah Anda termasuk yang rentan terkena bug Heartbleed, masukkan nama domain Anda pada https://www.ssllabs.com/ssltest/index.html. Apabila website Anda hasilnya bersih seperti gambar dibawah ini, maka Anda tidak memerlukan tindakan apapun. Namun, jika website Anda ditemukan rentan terkena bug Heartbleed, Anda harus segera melakukan langkah ke 2 dibawah ini.Langkah ke 2: Install update versi terbaru dari OpenSSL pada Server Anda. Anda dapat menemukan versi ini disini: https://rhn.redhat.com/errata/RHSA-2014-0376.html. Anda juga dapat mengetahui saran keamanan untuk OpenSSL dari URL berikut: https://www.openssl.org/news/secadv_20140407.txt.Langkah ke 3: Buat Certificate Signing Request (CSR) dan Private Key terbaru dari OpenSSL Anda. File CSR yang baru kemudian digunakan untuk menerbitkan ulang Sertifikat SSL Anda (Reissue the certificate) sekaligus Anda gunakan dengan Private Key yang baru untuk diinstall ulang setelah Sertifikat SSL selesai diterbitkan ulang.Langkah ke 4: Periksa nomor seri Sertifikat Anda dan simpan kedalam file notepad pada Desktop Anda. Anda akan membutuhkan informasi ini secara manual pada saat mencabut Sertifikat SSL lama Anda yang berdapampak rawan keamanan Heartbleed. Anda dapat mengetahui informasi nomor serial ini dengan mengklik pada ikon gembok disamping URL Anda pada saat mengakses melalui browser. Silahkan melihat seperti gambar di bawah ini:Langkah ke 5: Login ke http://www.warungssl.com/logon dan klik di menu "List Orders".Langkah ke 6: Cari Sertifikat SSL Anda yang akan di-reissue pada daftar tabel dan klik pada No. "Vendor OrderID" pada Sertifikat SSL yang berstatus Active.Langkah ke 7: Kemudian scroll ke halaman bawah, dan klik pada tombol "Re-issue Certificate".Langkah ke 8: Kemudian paste hasil CSR baru yang telah dibuat dari versi OpenSSL terbaru, kemudian lengkapi kembali informasi detail yang dibutuhkan, dan klik pada tombol "Submit".Langkah ke 9: Setelah disubmit, Otoritas Sertifikat Anda akan meminta Anda untuk memverifikasi kepemilikan domain Anda kembali.Langkah ke 10: Setelah proses verifikasi tentang kepemilikan domain Anda selesai, Sertifikat SSL yang telah diterbitkan ulang dapat Anda lanjutkan untuk diinstall kembali pada server Anda.Langkah ke 11: Setelah proses instalasi SSL Anda selesai, selanjutnya lakukan proses pencabutan Sertifikat SSL (Revoke SSL) yang lama secara manual dengan cara melakukan klik pada tombol Revocation di bawah ini.Langkah ke 12: Setelah tombol Revocation diklik, Anda akan dialihkan ke websitehttps://www.centralapi.com/heartbleed.aspx, dimana kami akan menanyakan informasi username dan password Anda, beserta dengan Nomor pemesanan (Order Number) Anda serta Nomor Seri dari Sertifikat SSL yang telah Anda dapatkan seperti langkah No. 4 untuk mencabut Sertifikat SSL yang lama.Tentang Heartbleed
Tanggal 7 April 2014, diumumkan bahwa versi OpenSSL 1.01 sampai versi 1.0.1f terdapat bug kritis saat implementasi ekstensi Heartbeat dari TLS. Bug ini dikenal dengan nama Bug Heartbleed. Dan referensi resmi terhadap ini adalah CVE-2014-0160. Namun penting untuk dicatat bahwa OpenSSL versi 1.0.1g, 1.0.0, dan 0.9.8 tidak terpengaruh dengan bug heartbleed.
OpenSSL merupakan paket open source yang dapat digunakan oleh pengguna internet dengan cepat dalam menggunakan akses dengan enkripsi TLS/SSL. Bug ini secara independen telah ditemukan oleh tim security engineer Condenomicon - Riku, Antti dan Matti, bersama dengan Neel Mehta dari Google Security. Hal ini diyakini telah ada di OpenSSL selama lebih dari 2 tahun. Kerentantan ini menjadikan bug ini sebagai bug yang sangat mampu melumpuhkan prosedur enkripsi internet pada umumnya pada versi-versi OpenSSL sebelumnya. Bug Heartbleed ini memungkinkan penyerang untuk mengakses informasi penting dan private key (digunakan untuk enkripsi) pada saat sedang melindungi website (proses enkripsi terjadi).
Bug ini kemudian mengejutkan bagi keamanan internet di duania, terutama setelah durasi pemaparan dan kemudahan bug yang ditemukan dalam melakukan eksploitasi untuk menyerang data-data rahasia yang bersifat pribadi pada saat sedang dikirim melalui internet.
Website yang terkena dampak pada layanan
Silahkan klik disini untuk melihat daftar semua website yang kemungkinan terkena dampak ini. Namun, sebelum Anda masuk (login) ke website yang terkena dampak sebagai 'rentan' ini, kami menyarankan Anda agar dapat memeriksa blog dari website yang Anda tuju untuk mengetahui update terbaru. Saat ini belum ada cara untuk mengatakan berapa banyak situs yang telah keluar dan aman dari dampak bug sebagaimana bug ini tidak meninggalkan jejak serangan apapun pada website yang terdampak.
Untungnya nama seperti Google, Amazon dan Microsoft bukan salah satu dari dampak yang terkena.
Seberapa serius situasi ini?
Secara teori, OpenSSL bekerja dengan baik. Namun terdapat kesalahan kecil pada coding seperti Heartbleed. Dan Akibatnya telah membuat library perangkat lundak dan versi populer berakit lemah keamanan. Hampir semua versi pada OpenSSL yang terkena mampu memberikan akses pribadi pada website yang seharusnya menjadi aman karena kode TLS/SSL.
Dalam situasi ini, para penyerang secara teori bisa melihat isi dari kode rahasia (secret handshake) pada saat sesi SSL terjalin ketika pengguna melakukan login ke account mereka seperti saat login pada email account. Username dan password, bahkan hingga informasi nomor Kartu Kredit sangat mungkin beresiko, dan tergantung pada layanan apa yang sedang diakses oleh pengguna meskipun belum ada cara untuk mengetahui hal ini dengan pasti. Penyerang dapat mengidentifikasi dirinya di Internet. Setelah setengah proses jabat tangan (SSL handshake) terganggu melalui cara ini, penyerang dapat menggunakan private key baru mereka untuk melakukan serangan yang disebut dengan serangan "Man-in-the-middle".
Untuk informasi lebih lanjut tentang Bug Heartbleed, silakan mengunjungi: http://heartbleed.com/
