Heartbleed

Dari Wikipedia bahasa Indonesia, ensiklopedia bebas
Loncat ke navigasi Loncat ke pencarian
Logo yang melambangkan kutu Heartbleed. Logo dan nama "Heartbleed" telah membantu menyadarkan masyarakat akan adanya kutu perangkat lunak ini.[1][2]

kutu Heartbleed adalah kutu perangkat lunak dalam pustaka perangkat lunak kriptografi OpenSSL yang memungkin seorang pelanggar untuk membaca isi memori dari peladen atau klien yang berkomunikasi dengan protokol TLS lewat pustaka tersebut; ini memungkinkan si pelanggar mencatut informasi-informasi rahasia seperti kunci pribadi peladen atau data-data yang sebelumnya dikirim atau diterima oleh peladen atau klien bersangkutan.[3][4] Ada petunjuk bahwa ada kemungkinan ada beberapa situs yang peladennya dijebol dengan cara ini 5 bulan sebelum kutu ini ditemukan.[5][6][7]

Layanan dan Situs Web yang Terkena[sunting | sunting sumber]

Daftar ini dari daftar "Alexa Top 1000" yang rentan sampai dengan tanggal 8 April 2014.[8]

  • 123RF.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[9]
  • 500px (diperbaiki pada atau sebelum tanggal 10 April 2014)[10]
  • AddThis (diperbaiki pada atau sebelum tanggal 10 April 2014)[11]
  • adf.ly (heartbleed: timeout pada 10 April 2014)[12]
  • amung.us (diperbaiki pada atau sebelum tanggal 10 April 2014)[13]
  • Internet Archive (diperbaiki pada atau sebelum tanggal 10 April 2014)[14]
  • avazutracking.net (diperbaiki pada atau sebelum tanggal 10 April 2014)[15]
  • avito.ru (diperbaiki pada atau sebelum tanggal 10 April 2014)[16]
  • beeg.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[17]
  • digitalpoint.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[18]
  • Dreamstime (diperbaiki pada atau sebelum tanggal 10 April 2014)[19]
  • DuckDuckGo (diperbaiki pada atau sebelum tanggal 10 April 2014)[20]
  • elegantthemes.com (heartbleed: timeout pada 10 April 2014)[21]
  • Entrepreneur.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[22]
  • Eventbrite (diperbaiki pada atau sebelum tanggal 10 April 2014)[23]
  • Flickr[24] (diperbaiki pada atau sebelum tanggal 10 April 2014)[25]
  • The Motley Fool (diperbaiki pada atau sebelum tanggal 10 April 2014)[26]
  • hidemyass.com (diperbaiki pada atau sebelum tanggal 10 April 2014)[27]
  • Imgur[24] (diperbaiki pada atau sebelum tanggal 10 April 2014)[28]
  • Kaskus (dial tcp 103.6.117.3:443: I/O timeout on 10 April 2014)[29]
  • KickassTorrents (diperbaiki pada atau sebelum tanggal 10 April 2014)[30]
  • LEO (diperbaiki pada atau sebelum tanggal 10 April 2014)[31]
  • Merriam-Webster (m-w.com) (diperbaiki pada atau sebelum tanggal 10 April 2014)[32]
  • OkCupid (heartbleed: timeout on 10 April 2014)[33]
  • Outbrain (diperbaiki pada atau sebelum tanggal 10 April 2014)[34]
  • Publishers Clearing House (diperbaiki pada atau sebelum tanggal 10 April 2014)[35]
  • PetFlow (diperbaiki pada atau sebelum tanggal 10 April 2014)[36]
  • PicMonkey (diperbaiki pada atau sebelum tanggal 10 April 2014)[37]
  • popads.net (masih rentan pada tanggal 10 April 2010)[38]
  • RedTube (diperbaiki pada atau sebelum tanggal 10 April 2014)[39]
  • scoop.it (diperbaiki pada atau sebelum tanggal 10 April 2014)[40]
  • Seznam.cz (diperbaiki pada atau sebelum tanggal 10 April 2014)[41]
  • sh.st (diperbaiki pada atau sebelum tanggal 10 April 2014)[42]
  • Slate (dial tcp 107.20.144.3:443: connection refused 10 April 2014)[43]
  • Sogou (diperbaiki pada atau sebelum tanggal 10 April 2014)[44]
  • Squidoo (diperbaiki pada atau sebelum tanggal 10 April 2014)[45]
  • Stack Exchange (diperbaiki pada atau sebelum tanggal 10 April 2014)[46]
  • Stack Overflow (diperbaiki pada atau sebelum tanggal 10 April 2014)[47]
  • SteamCommunity (diperbaiki pada atau sebelum tanggal 10 April 2014)[48]
  • Suning Appliance (diperbaiki pada atau sebelum tanggal 10 April 2014)[49]
  • Us Weekly (heartbleed: timeout 10 April 2014)[50]
  • WEB.DE (diperbaiki pada atau sebelum tanggal 10 April 2014)[51]
  • WeTransfer (diperbaiki pada atau sebelum tanggal 10 April 2014)[52]
  • XDA Developers (diperbaiki pada atau sebelum tanggal 10 April 2014)[53]
  • Yahoo![24] (diperbaiki pada atau sebelum tanggal 10 April 2014)[54]
  • yts.re (diperbaiki pada atau sebelum tanggal 10 April 2014)[55]
  • Zeobit (diperbaiki pada atau sebelum tanggal 10 April 2014)[56]
  • Zoho Office Suite (diperbaiki pada atau sebelum tanggal 10 April 2014)[57]

Situs-situs ini menganjurkan para pengguna untuk mengganti kata sandi mereka:

LogMeIn mengklaim sudah memperbarui semua bagian yang tergantung pada OpenSSL ("updated many products and parts of our services that rely on OpenSSL").[74]

Layanan LastPass Password Manager sendiri tidak rentan karena memakai metode kerahasiaan ke depan, tapi menganjurkan pengguna untuk mengganti kumpulan kata sandi untuk situs yang rentan yang disimpan dalam layanan ini.[75]

Menguji Kerentanan[sunting | sunting sumber]

Beberapa layanan diadakan untuk menguji apakah ada kutu Heartbleed dalam satu situs web, antara lain:

  • Heartbleed Scanner oleah ahli kriptologi Italia Filippo Valsorda[76]
  • Modul pemindai Heartbleed Metasploit[77]
  • Heartbleed Server Scanner oleh Rehmann[78]

Referensi[sunting | sunting sumber]

  1. ^ McKenzie, Patrick (April 9, 2014). "What Heartbleed Can Teach The OSS Community About Marketing". Diakses tanggal April 10, 2014. 
  2. ^ Biggs, John (April 9, 2014). "Heartbleed, The First Security Bug With A Cool Logo". TechCrunch. Diakses tanggal 10 April 2014. 
  3. ^ Chen, Brian X. (April 9, 2014). "Q. and A. on Heartbleed: A Flaw Missed by the Masses". New York Times. Diakses tanggal April 10, 2014. 
  4. ^ Manjoo, Farhad (April 10, 2014). "Users' Stark Reminder: As Web Grows, It Grows Less Secure". New York Times. Diakses tanggal April 10, 2014. 
  5. ^ Gallagher, Sean (April 9, 2014). "Heartbleed vulnerability may have been exploited months before patch". Ars Technica. Diakses tanggal April 10, 2014. 
  6. ^ "No, we weren't scanning for hearbleed before April 7"
  7. ^ "Were Intelligence Agencies Using Heartbleed in November 2013?", April 10, 2014, Peter Eckersley, EFF.org
  8. ^ "heartbleed-masstest/top1000.txt". GitHub. April 8, 2014. Diakses tanggal April 9, 2014. 
  9. ^ 123rf.com Heartbleed test by filippo.io
  10. ^ 500px.com Heartbleed test by filippo.io
  11. ^ addthis.com Heartbleed test by filippo.io
  12. ^ adf.ly Heartbleed test by filippo.io
  13. ^ amung.us Heartbleed test by filippo.io
  14. ^ archive.org Heartbleed test by filippo.io
  15. ^ avazutracking.net Heartbleed test by filippo.io
  16. ^ avito.ru Heartbleed test by filippo.io
  17. ^ beeg.com Heartbleed test by filippo.io
  18. ^ digitalpoint.com Heartbleed test by filippo.io
  19. ^ dreamstime.com Heartbleed test by filippo.io
  20. ^ duckduckgo.com Heartbleed test by filippo.io
  21. ^ elegantthemes.com Heartbleed test by filippo.io
  22. ^ entrepreneur.com Heartbleed test by filippo.io
  23. ^ eventbrite.com Heartbleed test by filippo.io
  24. ^ a b c d Hern, Alex (April 9, 2014). "Heartbleed: don't rush to update passwords, security experts warn". The Guardian. Diakses tanggal April 9, 2014. 
  25. ^ flickr.com Heartbleed test by filippo.io
  26. ^ fool.com Heartbleed test by filippo.io
  27. ^ hidemyass.com Heartbleed test by filippo.io
  28. ^ imgur.com Heartbleed test by filippo.io
  29. ^ kaskus.co.id Heartbleed test by filippo.io
  30. ^ kickass.to Heartbleed test by filippo.io
  31. ^ leo.org Heartbleed test by filippo.io
  32. ^ m-w.com Heartbleed test by filippo.io
  33. ^ okcupid.com Heartbleed test by filippo.io
  34. ^ outbrain.com Heartbleed test by filippo.io
  35. ^ pch.com Heartbleed test by filippo.io
  36. ^ petflow.com Heartbleed test by filippo.io
  37. ^ picmonkey.com Heartbleed test by filippo.io
  38. ^ popads.net Heartbleed test by filippo.io
  39. ^ redtube.com Heartbleed test by filippo.io
  40. ^ scoop.it Heartbleed test by filippo.io
  41. ^ seznam.cz Heartbleed test by filippo.io
  42. ^ sh.st Heartbleed test by filippo.io
  43. ^ slate.com Heartbleed test by filippo.io
  44. ^ sogou.com Heartbleed test by filippo.io
  45. ^ squidoo.com Heartbleed test by filippo.io
  46. ^ stackexchange.com Heartbleed test by filippo.io
  47. ^ stackoverflow.com Heartbleed test by filippo.io
  48. ^ steamcommunity.com Heartbleed test by filippo.io
  49. ^ suning.com Heartbleed test by filippo.io
  50. ^ usmagazine.com Heartbleed test by filippo.io
  51. ^ web.de Heartbleed test by filippo.io
  52. ^ wetransfer.com Heartbleed test by filippo.io
  53. ^ xda-developers.com Heartbleed test by filippo.io
  54. ^ yahoo.com Heartbleed test by filippo.io
  55. ^ yts.re Heartbleed test by filippo.io
  56. ^ zeobit.com Heartbleed test by filippo.io
  57. ^ zoho.com Heartbleed test by filippo.io
  58. ^ "Heartbleed FAQ: Akamai Systems Patched". Akamai Technologies. April 8, 2014. Diakses tanggal April 9, 2014. 
  59. ^ "AWS Services Updated to Address OpenSSL Vulnerability". Amazon Web Services. April 8, 2014. Diakses tanggal April 9, 2014. 
  60. ^ "Dear readers, please change your Ars account passwords ASAP". Ars Technica. April 8, 2014. Diakses tanggal April 9, 2014. 
  61. ^ "All Heartbleed upgrades are now complete". BitBucket Blog. April 9, 2014. Diakses tanggal April 9, 2014. 
  62. ^ "Keeping Your BrandVerity Account Safe from the Heartbleed Bug". BrandVerity Blog. April 9, 2014. Diakses tanggal April 10, 2014. 
  63. ^ "Security: Heartbleed vulnerability". GitHub. April 8, 2014. Diakses tanggal April 9, 2014. 
  64. ^ "IFTTT Says It Is 'No Longer Vulnerable' To Heartbleed". LifeHacker. April 8, 2014. Diakses tanggal April 9, 2014. 
  65. ^ "The widespread OpenSSL 'Heartbleed' bug is patched in PeerJ". PeerJ. April 9, 2014. Diakses tanggal April 9, 2014. 
  66. ^ Codey, Brendan (April 9, 2014). "Security Update: We're going to sign out everyone today, here's why". SoundCloud. Diakses tanggal April 9, 2014. 
  67. ^ Codey, Brendan (April 10, 2014). "Sourceforge response to heartbleed". SoundCloud. Diakses tanggal April 10, 2014. 
  68. ^ "Heartbleed". SparkFun. April 9, 2014. Diakses tanggal April 9, 2014. 
  69. ^ "Heartbleed". Stripe (company). April 9, 2014. Diakses tanggal April 10, 2014. 
  70. ^ "Tumblr Staff-Urgent security update". April 8, 2014. Diakses tanggal April 9, 2014. 
  71. ^ Grossmeier, Greg (April 8, 2014). "[Wikitech-l] Fwd: Security precaution - Resetting all user sessions today". Wikimedia Foundation. Diakses tanggal April 9, 2014.  horizontal tab character di |title= pada posisi 68 (bantuan)
  72. ^ Grossmeier, Greg (April 10, 2014). "Wikimedia's response to the "Heartbleed" security vulnerability". Wikimedia Foundation blog. Wikimedia Foundation. Diakses tanggal 10 April 2014. 
  73. ^ "Wunderlist & the Heartbleed OpenSSL Vulnerability". April 10, 2014. 
  74. ^ "LogMeIn and OpenSSL". LogMeIn. Diakses tanggal April 10, 2014. 
  75. ^ "LastPass and the Heartbleed Bug". LastPass. April 8, 2014. Diakses tanggal April 10, 2014. 
  76. ^ Heartbleed Scanner" by Italian cryptologist Filippo Valsorda
  77. ^ Metasploit module
  78. ^ Heartbleed Server Scanner

Pranala luar[sunting | sunting sumber]