[sumber gambar]

Di bulan April, dunia Internet terguncang. Sebuah teror yang bisa menyebabkan bencana terbesar sepanjang sejarah keberadaan internet. Teror itu bernama Heartbleed.

Hearbleed ini bukanlah sebuah virus, melainkan sebuah bug. Bug ini bisa diartikan sebagai kesalahan, error, kekurangan, atau kegagalan yang disebabkan karena ketidaksempurnaan desain pada program yang menyebabkan program itu tidak berfungsi semestinya.

Bagaimana bug ini bisa muncul? Kenapa bug ini dinamakan Heartbleed? Seberapa besar bahayanya bug ini? Benarkah data pribadi di internet sudah tidak aman?

Oke, untuk tahu jawabannya, kita simak penjelasan singkat ini.

Pada dasarnya, internet memiliki mekanisme untuk mengenkripsi data ketika proses lalu lintas trafik data dialirkan. Proses ini sering disebut sebagai Secure Socket Layer (SSL) dan diteruskan Transport Layer Security (TLS). Tujuannya, agar informasi sensitif (password, kartu kredit, chatting, dll) tidak dapat dilihat dan disadap oleh orang lain.

SSL dan TLS digunakan oleh banyak aplikasi dan protocol di Internet, mulai dari web server (HTTPS), email (SMTPS, IMAPS, etc), VPN (SSL VPN) hingga aplikasi chatting. Secara ringkas, SSL/TLS adalah sebuah mekanisme untuk melakukan mengamankan data di Internet.

Nah, OpenSSL merupakan salah satu teknik SSL tersebut. Dinamakan “open” karena memang bersifat open source. Siapa saja bisa menyumbang fitur tambahan di OpenSSL ini. Karena sifatnya yang Open Source, OpenSSL banyak sekali diimplementasikan untuk keperluan SSL/TLS pada berbagai layanan dan service di seluruh dunia.

OpenSSL ini banyak digunakan oleh penyedia layanan di internet yang membutuhkan pengamanan kriptografi otentikasi seperti Google, YouTube, Mine Craft, Dropbox, Wikipedia, Yahoo, Go Daddy, Facebook dan Amazon Web Service. Selain itu Open SSL juga digunakan oleh aplikasi pihak ketiga seperti Password Manager, termasuk banyak produk hardware seperti Cisco dan Juniper.

Dalam kesalahan proses penulisan kode OpenSSL inilah, bug itu muncul.  Awalnya, bug ini ditemukan oleh Neel Mehta dari Google Security. Pada hari yang sama, kelompok ahli keamanan jaringan dari Codenomicon juga menemukan bug tersebut.

Atas jasanya tersebut, Neel Mehta mendapatkan uang sebesar US$ 15 ribu dari Internet Bug Bounty. Namun oleh Neel, uang itu langsung disumbangkan kepada yayasan yang bergerak di bidang keamanan komunikasi digital, The Freedom of Press Foundation.

Bug ini didaftarkan menggunakan referensi CVE-2014-0160 pada sebuah metode referensi untuk publikasi kelemahan terhadap keamanan informasi. Namun, mengingat namanya yang terlalu teknis tersebut, maka tim dari Codenomicon memberikan istilah Heartbleed, mungkin karena fitur OpenSSL yang terkena bugnya adalah Heartbeat.

Heartbleed berimbas pada semua situs web dan layanan yang menjalankan OpenSSL versi 1.0.1 hingga 1.01f. Versi-versi OpenSSL yang rawan tersebut sudah banyak dipakai sejak Mei 2012.

Kalau melihat versi updatenya, maka selama dua tahun, bug ini telah beredar tanpa terdeteksi di semua penyedia layanan yang menggunakan enkripsi OpenSSL, mulai dari aplikasi, situs web internet, hingga institusi perbankan.

Bug itu membuka celah yang dapat mengganggu keamanan ketika setiap orang di internet mengakses lalu lintas memori yang berlangsung dari server ke client, begitu pula sebaliknya. Akses dari lalu lintas memori itu bisa memberikan kesempatan kepada hacker agar bisa memperoleh kunci masuk dan mengakses ke dalam sebuah layanan milik orang lain.

Lebih bahayanya lagi, para peretas bisa melakukan ‘duplikasi kunci’ untuk melakukan dekripsi secara berulang dari setiap data yang diacak lewat teknologi OpenSSL.

Sejak ditemukan adanya bug dalam OpenSSL ini mengemuka ke publik, banyak laporan mengenai website-website besar yang terkena dampak dari Heartbleed. Amazon Web Service, Dropbox, Gmail, Facebook, YouTube, Twitter adalah sedikit dari contoh website yang terkena dampak.

Tercatat, hampir 66% situs web yang ada di dunia internet menggunakan OpenSSL ini. Bisa dibayangkan lebih dari 500 ribu situs web rentan dicuri oleh para peretas. Para pakar mengkhawatirkan bahwa kemungkinan besar kaum peretas akan berusaha keras dalam mengekploitasi bug ini sebelum solusinya ditemukan.

"Dengan informasi yang didapat dari bug, seseorang bisa menjalankan versi palsu dari sebuah web situs dan menggunakannya untuk mencuri semua jenis informasi, seperti nomor kartu kredit atau pesan pribadi," kata seorang pakar dari Electronics Frontier Fondation, seperti dilaporkan oleh CNet.

Selain membahayakan data situs web. Heartbleed juga berpotensi menyerbu router. Cisco Systems dan Juniper Networks, dua perusahaan penyedia peranti jaringan, mempublikasikan adanya bug Heartbleed di produk-produknya.

Saking santernya berita tentang bug ini, sebagian orang mengaitkan kasus Heartbleed  dengan aksi pencurian data yang dilakukan oleh NSA, sebuah agensi kriptografi dan keamanan jaringan milik pemerintah Amerika Serikat.

Bahkan, lembaga itu kabarnya sudah mengetahui kehadiran bug sejak dua tahun yang lalu dan memanfaatkannya untuk mengumpulkan data. Namun, pemerintah Amerika membantah keterlibatan NSA dalam kasus Heartbleed ini di dunia maya.

Perusahaan-perusahaan besar teknologi langsung melakukan perbaikan internal. Beberapa penyedia layanan web menginformasikan kepada para penggunanya untuk mengubah password mereka sebagai langkah pencegahan.

Selain perbaikan tadi, mereka juga menyepakati kucuran dana bernilai jutaan Dolar untuk membentuk sebuah kelompok khusus dalam memperbaiki sistem OpenSSL. Dana ini juga digunakan untuk memelihara kesetabilan sistem ini kedepannya.

Yayasan Linux mengatakan bahwa perusahaan yang ikut menyumbang adalah Amazon, Cisco Systems, Dell, Facebook, Google, IBM, Intel dan Microsoft yang bersama perusahaan lain masing-masing akan memberikan 300.000 Dolar bagi proyek yang disebut 'Core Infrastructure Initiative.'

Secara keseluruhan, ada sekitar 13 perusahaan yang telah bergabung sejauh ini, dan lembaga tersebut telah mengumpulkan USD 3,6 juta dari para pendukung. Beberapa perusahaan lain juga berencana akan bergabung, sehingga lebih banyak uang yang akan dikumpulkan.

Meski banyak website terkemuka di seluruh dunia telah menambal sistem mereka dari celah keamanan Heartbleed, pemilik web diimbau tetap harus berhati-hati. Masih banyak alasan untuk dikhawatirkan.

Menurut Sucuri, perusahaan informasi keamanan komputer, masih banyak situs-situs lain yang belum menambal celah akibat Heartbleed. Sucuri juga menemukan lebih dari 48.000 serangan yang dirancang oleh para peretas untuk mengambil keuntungan dari celah Heartbleed.

Untuk mengecek apakah server website mereka rentan akibat bug Heartbleed, bisa mengunjungi situs: https://filippo.io/Heartbleed/.

Sumber: Mashable, PC Advisor, Okezone, Kompas Tekno, DetikiNet, Chip, dan Cnet.