Transcript
HEARTBLEED PADA OPENSSL
Kelompok DRiza Feryanda
Saiful BahriTony HR
Aulia SyarifImam Ramadhan
APA ITU HEARTBLEED?
Heartbleed adalah celah keamanan di salah satu ekstensi OpenSSL yang disebut Heartbeat. Celah keamanan ini memungkinkan attacker untuk membaca memory dari server yang diproteksi oleh OpenSSL. Hasilnya mereka bisa mencuri password, username, dan informasi sensitif lainnya.
KAPAN HEARTBLEED PERTAMA KALI MUNCUL?
Heartbeat diimplementasikan di OpenSSL. Ekstensi Heartbeat dibuat oleh Dr. Robin Seggelmann pada tahun 2011. Ekstensi ini kemudian direview oleh Dr. Stephen N. Henson (salah satu dari empat core developer OpenSSL) yang ternyata gagal menyadari adanya bug di ekstensi tersebut. Heartbeat pun akhirnya dijadikan sebagai ekstensi OpenSSL yang aktif secara default dan mulai diadopsi oleh banyak pengelola website sejak dirilisnya OpenSSL versi 1.0.1 pada 14 Maret 2012.
SEBERAPA LUAS PENYEBARAN HEARTBLEED
Untuk Saat Ini banyak website di dunia menggunakan proteksi OpenSSL, sehingga sebanyak itu pula penyebarannya. Website besar seperti Google, Gmail, Facebook, Dropbox, Yahoo, Flickr, Instagram, Pinterest, dan berbagai website populer lainnya juga tidak terhindarkan dari Heartbleed ini.
Beruntung sudah mulai banyak pengelola website yang mengupdate OpenSSL di server mereka sehingga tidak perlu khawatir dengan Heartbleed lagi.
CARA MENGETAHUI WEBSITE YANG TERKENA HEARTBLEED
Dari sisi pengguna
Bisa melakukan pengecekan dengan menggunakan Heartbleed Test dari Filipo ataupun dari McAfee. Masukkan saja URL website yang ingin kamu cek. Jika hasilnya vulnerable maka website tersebut masih belum kebal terhadap Heartbleed. Kamu juga bisa menggunakan oddon Browser untuk semakin memudahkan melihat apakah website yang kamu kunjungi sudah kebal terhadap Heartbleed atau belum.
Dari sisi pengelola website
Silahkan cek versi OpenSSL di server yang kamu gunakan. Jika versi OpenSSL di server adalah 1.0.1 hingga 1.0.1f, maka server belum kebal terhadap Heartbleed.
CARA MENGATASI HEARTBLEED
Jangan buru-buru mengganti password sebelum website tersebut kebal terhadap Heartbleed,tunggu hingga si pengelola website melakukan patch terhadap OpenSSL di servernya. Setelah situs tersebut kebal terhadap Heartbleed, barulah ganti password
Jika server masih menggunakan OpenSSL 1.0.1 hingga 1.0.1f, segera update OpenSSL tersebut ke versi 1.01g. Cara mengupdatenya bervariasi tergantung dari OS apa yang di gunakan di server . Jangan lupa juga ingatkan user untuk mengganti password mereka. juga bisa “sedikit memaksa” dengan melakukan reset password semua user. Ini semua demi keamanan pengguna layanan di situs tersebut.
Bagi User Bagi Admin
SSL (Secure Socket Layer)
Secure Socket Layer (SSL) adalah protocol keamanan yang dirancang oleh Netscape Communications Corp. SSL didesain untuk menyediakan keamanan selama transmisi data yang sensitive melalui TCP/IP. SSL menyediakan enkripsi data, autentifikasi server, dan integritas pesan
Sejarah
Dikembangkan oleh Netscape, SSL versi 3.0 dirilis pada tahun 1996, yang pada akhirnya menjadi dasar pengembangan Transport Layer Security, sebagai protocol standart IETF. Seprti halnya SSL, protocol TLS beroperasi dalam tata-cara modular. TLS didesain untuk berkembang, dengan mendukung kemampuan meningkat dan kembali ke kondisi semula dan negosiasi antar ujung.
Secara Teknis Operasi SSL adalah
• Ketika browser mengakses SSL protected page, server SSL mengirim reques ke browser (client) untuk mengawali sesi yang aman.
• Jika browser mendukung SSL, akan ada jawaban balik yang segera memulai bandsbaking.
• Respons dari browser meliputi ID sesi, algoritma enkripsi, dan metode kompresi.
• Server menetapkan kunci public yang digunakan dalam enkripsi.
• Browser memanfaatkan kunci public untuk mengenkripsi data yang akan ditransmisikannya.Server yang menerima data pengiriman akan memakai kunci privat untuk mendeskripsi.
Ciri – Ciri Secure mode adalah
• Di URL muncul tulisan https:// bukan lagi http://• Di Netscape Navigator (versi 3.0 dan sebelumnya)
simbol kunci patah yang ada di sudut kiri layer menjadi kunci yang utuh menyambung. Di Netscape Communicator 4.0, kunci gembok yang tadinya terbuka menjadi tertutup. Di Microsoft Internet Explorer, muncul tanda kunci di bagian bawah browser
Keuntungan Menggunakan SSL
Transaksi Bisnis ke Bisnis atau Bisnis ke Pelanggan yang tidak terbatas dan menambah tingkat kepercayaan pelanggan untuk melakukan transaksi online dari situs anda.
Layanan SSL
CertificQuick validation memproses kepemilikan
sertifikat SSL ates
SBS Instant : Rp. 299.500 / tahun
GeoTrust Quick SSL : Rp. 1.250.000 / tahun
GeoTrust Quick SSL Premium : Rp. 1.750.000
/ tahun
Rapid SSL : Rp. 290.000 / tahun
SBS Secure : Rp. 790.000 / tahun
SBS Secure Plus : Rp. 1.190.000 / tahun
Full Validation SSL Certificates
GeoTrust SSL True BusinessID : Rp.
2.400.000 / tahun
GeoTrust SSL True BusinessID WildCard : Rp. 6.990.000 / tahun
TLS (Transport Layer Security)
TLS adalah suatu protocol jaringan komputer yang menyediakan keamanan dalam melakukan komunikasi melalui internet. Protokol ini dirilis pada tahun 1999 dengan tujuan untuk membuat standar komunikasi privat.
TLS menerapkan dua level protokol pada kinerjanya
TLS record protocol melakukan negosiasi koneksi yang privat dan handal antara klien dan server. Meski record protocol bisa digunakan tanpa enkripsi, protokol ini tetap menggunakan kunci kriptografi simetris (symmetric cryptography Keys) untuk memastikan keamanan koneksi yang terjalin. Koneksi ini diamankan melalui pemakaian fungsi hash yang dihasilkan oleh Message Authentication Code.
TLS Record protocol
TLS Handshake Protocol
TLS Handshake protocol mengijinkan komunikasi yang telah ter-autentikasi untuk memulai koneksi antara klien dan server.
Apa itu OpenSSL ?
OpenSSL adalah sebuah toolkit kriptografi mengimplementasikan Secure Socket Layer (SSL v2/v3) dan Transport Layer Security (TLS v1) dan terkait dengan protokol jaringan standar kriptografi yang dibutuhkan oleh keduanya.
Open SSL juga merupakan salah satu software yang digunakan untuk mengakses SSL tersebut, Open SSL bersifat open source dan hingga saat ini ada sekitar 66 % website yang ada di dunia ini adalah pengguna Open SSL.
Algoritma Mendukung Dari Tool Opensll
• Ciphers
AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89
• Cryptographic hash functions
MD5, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94
• Public-key cryptography
RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001
Terima Kasih
top related