Pada 1 April 2014, Neel Mehta, salah seorang daripada pasukan keselamatan komputer Google telah melaporkan kelemahan serius dalam perpustakaan perisian kriptografi (cryptographic software library) OpenSSL yang dikenali sebagai Heartbleed.

Beliau menemui ralat (bug) Heartbleed itu setelah menjalankan kajian kod sumber (source code review) mengenai perisian sumber terbuka OpenSSL.

Heartbleed telah didaftarkan dalam pangkalan data Kerentanan dan Pendedahan Umum (Common Vulnerabilities and Exposures) sebagai CVE-2014-0160.

OpenSSL merupakan perpustakaan perisian (software library) untuk aplikasi yang menjamin komunikasi melalui rangkaian komputer terhadap serangan "eavesdropping" iaitu teknik yang digunakan untuk memintas dan mendengar komunikasi secara sulit diantara dua pihak tanpa diketahui oleh mereka.

OpenSSL juga digunakan untuk mengenal pasti pihak yang sedang berkomunikasi dengan kita adalah sah seperti yang didakwanya dan bukanlah orang lain yang menyamar didalam talian.

Ia digunakan secara meluas dalam pelayan web internet (internet web servers), yang menyediakan sebahagian besar daripada semua laman web yang ada pada hari ini.

Kelemahan serius Heartbleed ini membolehkan maklumat yang dilindungi oleh penyulitan (encryption) SSL/TLS yang digunakan untuk melindungi komunikasi didalam Internet dicuri.

Untuk pengetahuan anda, SSL/TLS menyediakan komunikasi yang keselamatan melalui Internet untuk aplikasi seperti web, e-mel, pemesejan segera (Instant Messaging/IM) dan rangkaian persendirian maya (Virtual Private Networks/VPN).

Oleh itu, kelemahan Heartbleed ini membolehkan sesiapa sahaja di Internet untuk membaca memori sistem yang dilindungi oleh perisian OpenSSL (versi terdedah).

Hal ini telah mendedahkan kunci rahsia (secret keys) yang digunakan untuk mengenal pasti penyedia perkhidmatan (service providers) dan untuk menyulitkan lalu lintas (encrypt the traffic), nama dan kata laluan pengguna serta kandungan sebenar komunikasi yang sepatutnya rahsia itu.

Kesannya, penyerang boleh memintas komunikasi, mencuri data terus dari perkhidmatan dan pengguna, serta menyamar sebagai perkhidmatan dan pengguna.

Berita mengenai Heartbleed ini hanya didedahkan kepada umum seminggu selepas itu.

Pada hari yang sama iaitu 7 April 2014, OpenSSL telah pun berjaya mengatasi masalah ini dan mengeluarkan versi OpenSSL yang selamat dari ancaman Heartbleed.

Masihkah anda ingat peristiwa ini empat tahun yang lalu?
Apa kesannya kepada organisasi anda?
Pembelajaran berterusan, membina generasi pakar IT masa hadapan, InsyaAllah.