Heartbleed
adalah bug yang memanfaatkan kelemahan di OpenSSL. Dinamakan Heartbleed karena
bug ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL. OpenSSL adalah
salah satu teknik SSL tersebut. Dinamakan “open” karena memang bersifat open
source. Siapa saja bisa menyumbang fitur tambahan di OpenSSL ini. Dan karena
open source, OpenSSL banyak digunakan di web server yang membutuhkan proses
login.
Heartbeat itu salah satu fitur OpenSSL yang diperkenalkan
tahun 2012. Tujuan heartbeat adalah mengecek apakah komputer kamu masih
terhubung ke sebuah server. Soalnya, seringkali router—yang menjadi perantara
antara komputer kamu dengan server di internet—memutuskan hubungan jika terjadi
idle yang terlalu lama. Dengan heartbeat, komputer kamu bisa mengetahui apakah
masih terhubung dengan server yang dituju. Prinsip kerjanya kurang lebih seperti gambar di bawah: komputer kamu akan
mengirimkan pesan berisi sebuah magic word dan jumlah karakter kata tersebut.
Nanti server akan membalas pesan tersebut dengan menyebutkan magic word
tersebut.
Dan 100 karakter hanyalah ilustrasi. Sang hacker bisa meminta sampai 64.000 karakter. Banyak sekali, termasuk informasi sangat rahasia. Atas nama kecepatan, server secara terus-menerus akan menyimpan berbagai data di memorinya. Seperti contoh di atas, memori server bisa menyimpan data nama, alamat email, tanggal lahir, password, sampai nomor kredit kamu. Yang lebih berbahaya, private key pun bisa disimpan di memori. Fyi, private key adalah kunci rahasia yang digunakan server untuk membuka teks yang diacak oleh OpenSSL tersebut. Private key ini seharusnya hanya diketahui oleh sistem. Jika diketahui hacker, berarti semua data yang diacak tersebut bisa dibuka sang hacker dengan mudah.
Tidak ada komentar:
Posting Komentar