Kerentanan OpenSSL Heartbleed saat ini mengguncang internet. Apa yang ada di baliknya dan bagaimana operator situs web harus bertindak.
Ada Apa di Balik Kerentanan Heartbleed?
Kencan Horor-Nak, kerentanan keamanan paling serius sepanjang masa, Jutaan pengguna web berisiko: Saat ini ada banyak pemberitaan superlatif tentang pelanggaran keamanan terbaru di media. Tingkat pasti Heartbleed tidak dapat diperkirakan secara akurat. Satu hal yang jelas: banyak layanan jaringan paling populer terkena dampak pelanggaran ini – jejaring sosial seperti Facebook, layanan email Gmail dan Yahoo Mail, layanan penyimpanan Dropbox dan Wunderlist hanyalah beberapa contohnya.
Tingkat pastinya tidak dapat diperkirakan secara pasti: lubang keamanan telah ada selama dua tahun hingga saat ini. Yang membuatnya sangat sulit adalah memata-matai data terenkripsi tidak dapat dideteksi. Dalam konteks skandal spionase data baru-baru ini, Heartbleed tentu saja merupakan bencana data. Tapi apa sebenarnya yang ada di balik bug tersebut? Apa dampaknya?
Lalu lintas data yang aman dan rahasia di Internet kini sudah menjadi hal biasa – celah keamanan, data login yang dicuri, atau seringnya publikasi kata sandi yang paling sering digunakan membuat pengguna yang kurang paham internet semakin sadar akan hal ini. Transfer online, pembayaran dengan kartu kredit di toko online, pengambilan email atau pengiriman dokumen sensitif – semua ini sekarang untuk proses kita sehari-hari yang kita lakukan melalui saluran komunikasi yang aman.
Kesamaan dari semuanya adalah protokol TLS (Keamanan lapisan transportasi) digunakan. TLS lebih dikenal dengan nama lamanya SSL (Secure Socket Layer).
Implementasi yang paling umum adalah perpustakaan OpenSSL, yang digunakan oleh hampir semua web dan server email. Perkiraan konservatif adalah terdapat beberapa ratus juta situs web. Saat menjelajah Internet, Anda dapat mengenali koneksi Internet yang aman dengan mencari kunci di baris alamat browser Internet dan protokol https (http secure).
Karena membangun koneksi terenkripsi itu mahal, fitur tambahan untuk mendukung detak jantung OpenSSL dikembangkan pada tahun 2012. Detak jantung adalah sinyal yang menunjukkan bahwa pihak lain masih dapat dijangkau, yaitu hidup. Jika demikian, koneksi terenkripsi akan dipertahankan. Namun, penyadapan ini, yang dimaksudkan untuk menyederhanakan komunikasi, memiliki celah keamanan serius yang mengungkapkan hingga 64 kilobyte data server rahasia ketika permintaan dikirim. Ini dapat berkisar dari data login hingga kunci pribadi server enkripsi.
Inti dari OpenSSL benar-benar kehabisan darah: karenanya Heartbleed.
Apa artinya ini bagi operator situs web?
Semua operator situs web yang menawarkan layanan terenkripsi melalui SSL dan mengandalkan perpustakaan OpenSSL akan terpengaruh. Jadi para pemula harus bertindak proaktif dan segera memperbarui perangkat lunak mereka serta segera memperbarui sertifikat SSL yang ada. Gründerszene bertanya kepada beberapa perwakilan startup bagaimana mereka menanggapi kesenjangan keamanan. Jawaban Anda di artikel.
Kejadian seperti yang terjadi saat ini juga memberikan kesempatan untuk melihat lebih dekat layanan internet yang Anda gunakan. Bagaimana infrastruktur saya terlindungi dari serangan? Oleh karena itu, pembersihan digital diperlukan: Startup pada khususnya harus mengambil langkah maju dan memberi tahu pelanggan mereka secara tepat waktu dan komprehensif tentang kesenjangan keamanan dan potensi bahaya yang terkait – terutama karena mereka memiliki tanggung jawab khusus sebagai inovator dengan latar belakang yang diperlukan. pengetahuan.
Setelah sistem diperbarui kembali, pelanggan harus diberi tahu secara efektif bahwa login yang ada tidak lagi dianggap aman dan oleh karena itu perlu diperbarui.
Heartbleed sekali lagi mengungkapkan tragedi perangkat lunak open source: banyak, banyak pengguna, namun terlalu sedikit keinginan untuk meningkatkan add-on praktis, perpustakaan dan fungsi.