HeartBlead Pada Open SSL

of 16 /16
HEARTBLEED PADA OPENSSL Kelompok D Riza Feryanda Saiful Bahri Tony HR Aulia Syarif Imam Ramadhan

Embed Size (px)

Transcript of HeartBlead Pada Open SSL

Page 1: HeartBlead Pada Open SSL

HEARTBLEED PADA OPENSSL

Kelompok DRiza Feryanda

Saiful BahriTony HR

Aulia SyarifImam Ramadhan

Page 2: HeartBlead Pada Open SSL

APA ITU HEARTBLEED?

Heartbleed adalah celah keamanan di salah satu ekstensi OpenSSL yang disebut Heartbeat. Celah keamanan ini memungkinkan attacker untuk membaca memory dari server yang diproteksi oleh OpenSSL. Hasilnya mereka bisa mencuri password, username, dan informasi sensitif lainnya.

Page 3: HeartBlead Pada Open SSL

KAPAN HEARTBLEED PERTAMA KALI MUNCUL?

Heartbeat diimplementasikan di OpenSSL. Ekstensi Heartbeat dibuat oleh Dr. Robin Seggelmann pada tahun 2011. Ekstensi ini kemudian direview oleh Dr. Stephen N. Henson (salah satu dari empat core developer OpenSSL) yang ternyata gagal menyadari adanya bug di ekstensi tersebut. Heartbeat pun akhirnya dijadikan sebagai ekstensi OpenSSL yang aktif secara default dan mulai diadopsi oleh banyak pengelola website sejak dirilisnya OpenSSL versi 1.0.1 pada 14 Maret 2012.

Page 4: HeartBlead Pada Open SSL

SEBERAPA LUAS PENYEBARAN HEARTBLEED

Untuk Saat Ini banyak website di dunia menggunakan proteksi OpenSSL, sehingga sebanyak itu pula penyebarannya. Website besar seperti Google, Gmail, Facebook, Dropbox, Yahoo, Flickr, Instagram, Pinterest, dan berbagai website populer lainnya juga tidak terhindarkan dari Heartbleed ini.

Beruntung sudah mulai banyak pengelola website yang mengupdate OpenSSL di server mereka sehingga tidak perlu khawatir dengan Heartbleed lagi.

Page 5: HeartBlead Pada Open SSL

CARA MENGETAHUI WEBSITE YANG TERKENA HEARTBLEED

Dari sisi pengguna

Bisa melakukan pengecekan dengan menggunakan Heartbleed Test dari Filipo ataupun dari McAfee. Masukkan saja URL website yang ingin kamu cek. Jika hasilnya vulnerable maka website tersebut masih belum kebal terhadap Heartbleed. Kamu juga bisa menggunakan oddon Browser untuk semakin memudahkan melihat apakah website yang kamu kunjungi sudah kebal terhadap Heartbleed atau belum.

Dari sisi pengelola website

Silahkan cek versi OpenSSL di server yang kamu gunakan. Jika versi OpenSSL di server adalah 1.0.1 hingga 1.0.1f, maka server belum kebal terhadap Heartbleed.

Page 6: HeartBlead Pada Open SSL

CARA MENGATASI HEARTBLEED

Jangan buru-buru mengganti password sebelum website tersebut kebal terhadap Heartbleed,tunggu hingga si pengelola website melakukan patch terhadap OpenSSL di servernya. Setelah situs tersebut kebal terhadap Heartbleed, barulah ganti password

Jika server masih menggunakan OpenSSL 1.0.1 hingga 1.0.1f, segera update OpenSSL tersebut ke versi 1.01g. Cara mengupdatenya bervariasi tergantung dari OS apa yang di gunakan di server . Jangan lupa juga ingatkan user untuk mengganti password mereka. juga bisa “sedikit memaksa” dengan melakukan reset password semua user. Ini semua demi keamanan pengguna layanan di situs tersebut.

Bagi User Bagi Admin

Page 7: HeartBlead Pada Open SSL

SSL (Secure Socket Layer)

Secure Socket Layer (SSL) adalah protocol keamanan yang dirancang oleh Netscape Communications Corp. SSL didesain untuk menyediakan keamanan selama transmisi data yang sensitive melalui TCP/IP. SSL menyediakan enkripsi data, autentifikasi server, dan integritas pesan

Sejarah

Dikembangkan oleh Netscape, SSL versi 3.0 dirilis pada tahun 1996, yang pada akhirnya menjadi dasar pengembangan Transport Layer Security, sebagai protocol standart IETF. Seprti halnya SSL, protocol TLS beroperasi dalam tata-cara modular. TLS didesain untuk berkembang, dengan mendukung kemampuan meningkat dan kembali ke kondisi semula dan negosiasi antar ujung.

Page 8: HeartBlead Pada Open SSL

Secara Teknis Operasi SSL adalah

• Ketika browser mengakses SSL protected page, server SSL mengirim reques ke browser (client) untuk mengawali sesi yang aman.

• Jika browser mendukung SSL, akan ada jawaban balik yang segera memulai bandsbaking.

• Respons dari browser meliputi ID sesi, algoritma enkripsi, dan metode kompresi.

• Server menetapkan kunci public yang digunakan dalam enkripsi.

• Browser memanfaatkan kunci public untuk mengenkripsi data yang akan ditransmisikannya.Server yang menerima data pengiriman akan memakai kunci privat untuk mendeskripsi.

Page 9: HeartBlead Pada Open SSL

Ciri – Ciri Secure mode adalah

• Di URL muncul tulisan https:// bukan lagi http://• Di Netscape Navigator (versi 3.0 dan sebelumnya)

simbol kunci patah yang ada di sudut kiri layer menjadi kunci yang utuh menyambung. Di Netscape Communicator 4.0, kunci gembok yang tadinya terbuka menjadi tertutup. Di Microsoft Internet Explorer, muncul tanda kunci di bagian bawah browser

Page 10: HeartBlead Pada Open SSL

Keuntungan Menggunakan SSL

Transaksi Bisnis ke Bisnis atau Bisnis ke Pelanggan yang tidak terbatas dan menambah tingkat kepercayaan pelanggan untuk melakukan transaksi online dari situs anda.

Layanan SSL

CertificQuick validation memproses kepemilikan

sertifikat SSL ates

SBS Instant : Rp. 299.500 / tahun

GeoTrust Quick SSL : Rp. 1.250.000 / tahun

GeoTrust Quick SSL Premium : Rp. 1.750.000

/ tahun

Rapid SSL : Rp. 290.000 / tahun

Page 11: HeartBlead Pada Open SSL

SBS Secure : Rp. 790.000 / tahun

SBS Secure Plus : Rp. 1.190.000 / tahun

Full Validation SSL Certificates

GeoTrust SSL True BusinessID : Rp.

2.400.000 / tahun

GeoTrust SSL True BusinessID WildCard : Rp. 6.990.000 / tahun

Page 12: HeartBlead Pada Open SSL

TLS (Transport Layer Security)

TLS adalah suatu protocol jaringan komputer yang menyediakan keamanan dalam melakukan komunikasi melalui internet. Protokol ini dirilis pada tahun 1999 dengan tujuan untuk membuat standar komunikasi privat.

Page 13: HeartBlead Pada Open SSL

TLS menerapkan dua level protokol pada kinerjanya

TLS record protocol melakukan negosiasi koneksi yang privat dan handal antara klien dan server. Meski record protocol bisa digunakan tanpa enkripsi, protokol ini tetap menggunakan kunci kriptografi simetris (symmetric cryptography Keys) untuk memastikan keamanan koneksi yang terjalin. Koneksi ini diamankan melalui pemakaian fungsi hash yang dihasilkan oleh Message Authentication Code.

TLS Record protocol

TLS Handshake Protocol

TLS Handshake protocol mengijinkan komunikasi yang telah ter-autentikasi untuk memulai koneksi antara klien dan server.

Page 14: HeartBlead Pada Open SSL

Apa itu OpenSSL ?

OpenSSL adalah sebuah toolkit kriptografi mengimplementasikan Secure Socket Layer (SSL v2/v3) dan Transport Layer Security (TLS v1) dan terkait dengan protokol jaringan standar kriptografi yang dibutuhkan oleh keduanya.

Open SSL juga merupakan salah satu software yang digunakan untuk mengakses SSL tersebut, Open SSL bersifat open source dan hingga saat ini ada sekitar 66 % website yang ada di dunia ini adalah pengguna Open SSL.

Page 15: HeartBlead Pada Open SSL

Algoritma Mendukung Dari Tool Opensll

• Ciphers

AES, Blowfish, Camellia, SEED, CAST-128, DES, IDEA, RC2, RC4, RC5, Triple DES, GOST 28147-89

• Cryptographic hash functions

MD5, MD2, SHA-1, SHA-2, RIPEMD-160, MDC-2, GOST R 34.11-94

• Public-key cryptography

RSA, DSA, Diffie–Hellman key exchange, Elliptic curve, GOST R 34.10-2001

Page 16: HeartBlead Pada Open SSL

Terima Kasih