The Heartbleed Bug
The Heartbleed Bug adalah kerentanan serius dalam pustaka (library) perangkat lunak kriptografi yang populer, OpenSSL. Kelemahan ini memungkinkan seseorang untuk mencuri informasi yang dilindungi, dalam kondisi normal, dengan enkripsi SSL / TLS digunakan untuk mengamankan Internet. SSL / TLS memberikan keamanan dan privasi pada komunikasi melalui Internet untuk aplikasi seperti web, email, instant messaging (IM) dan beberapa virtual private network (VPN). The Heartbleed bug memungkinkan setiap orang di Internet untuk membaca memori sistem pada versi OpenSSL yang rentan. Melalui bug ini, dimungkinkan bocornya kunci rahasia yang digunakan untuk mengidentifikasi penyedia layanan dan untuk mengenkripsi lalu lintas, nama dan password pengguna dan konten yang sebenarnya. Hal ini memungkinkan penyerang untuk menguping komunikasi, mencuri data langsung dari layanan dan pengguna dan untuk meniru atau memalsukan layanan dan pengguna.
Dalam praktiknya, apa sebenarnya yang bocor? Beberapa penguji telah mencoba beberapa layanan mereka sendiri dari perspektif penyerang. Mereka menyerang dari luar, tanpa meninggalkan jejak. Tanpa menggunakan informasi rahasia atau kredensial mereka juga mampu mencuri kunci rahasia yang digunakan untuk sertifikat X.509, nama pengguna dan password, pesan instan, email dan dokumen bisnis serta komunikasi yang penting .
Bagaimana menghentikan kebocoran? Selama versi rentan OpenSSL masih digunakan, maka kebocoran dapat terjadi.OpenSSL yang telah diperbaiki telah dirilis dan harus digunakan. Vendor sistem operasi, vendor alat, dan vendor software independen harus mengadopsi memperbaiki dan memberitahu pengguna mereka. Penyedia layanan dan pengguna harus menginstal perbaikan yang tersedia untuk sistem operasi, peralatan jaringan dan perangkat lunak yang mereka gunakan.<
Ini merupakan sebagian terjemahan dari http://heartbleed.com
Untuk memeriksa apakah suatu layanan rentan terhadap ancaman ini, coba gunakan tools Heartbleed Test