Video: Keamanan dan Privasi di Internet (Oktober 2024)
Para peneliti telah menemukan kerentanan serius lain pada Secure Sockets Layer (SSL) yang memengaruhi bagaimana informasi dan komunikasi kita diamankan secara online. Berita baiknya adalah Anda dapat mengambil langkah spesifik untuk memblokir serangan yang mengeksploitasi kelemahan ini.
Peneliti Google, Bodo Möller, Thai Duong, dan Krzysztof Kotowicz menguraikan perincian serangan Padding Oracle On Downgraded Legry Encryption (POODLE) dalam penasihat keamanan yang diposting di OpenSSL.org. Kerentanan ada di SSL 3.0, yang diperkenalkan pada tahun 1996, dan digantikan oleh Transport Layer Security (TLS) pada tahun 1999. Poodle mengambil keuntungan dari kenyataan bahwa klien - termasuk browser Web - akan menurunkan peringkat ke protokol yang lebih lama, kurang aman, jika tidak dapat membuat koneksi yang aman. Downgrade dapat dipicu oleh gangguan jaringan serta penyerang aktif.
"Karena penyerang jaringan dapat menyebabkan kegagalan koneksi, mereka dapat memicu penggunaan SSL 3.0 dan kemudian mengeksploitasi masalah ini, " tulis Möller di blog Tim Keamanan Online Google pada Selasa sore.
Poodle memperlihatkan cookie sesi. Penyerang tidak akan mendapatkan kata sandi pengguna ke akun email atau layanan online lainnya, tetapi masih dapat masuk sebagai pengguna selama cookie sesi valid. "Jadi, saat Anda berada di Starbucks, beberapa peretas di sebelah Anda akan dapat memposting tweet di akun Twitter Anda dan membaca semua pesan Gmail Anda, " kata Robert Graham dari Errata Security.
Garis Pertahanan Pertama
Serangan Poodle bergantung pada musuh yang pertama-tama mengatur serangan man-in-the-middle untuk menguasai koneksi Internet korban. Salah satu cara untuk melakukannya adalah dengan mengatur titik akses Wi-Fi berbahaya di lokasi publik seperti kedai kopi. Penyerang juga harus dapat menjalankan kode Javascript di dalam browser korban.
"Diperlukan seseorang untuk menjadi orang yang suka mengeksploitasi. Ini berarti Anda mungkin aman dari peretas di rumah, meskipun tidak aman dari NSA. Namun, ketika di Starbucks lokal atau Wi-Fi tidak terenkripsi lainnya, Anda berada dalam bahaya besar dari peretasan ini, "tulis Graham.
Jadi, sudah ada beberapa hal yang dapat Anda lakukan untuk mencegah serangan Poodle potensial. Seperti yang telah kami katakan berulang kali, jangan tergesa-gesa menuju jaringan Wi-Fi publik atau jaringan tamu yang dioperasikan oleh orang yang tidak Anda kenal. Bahkan jika Anda tidak khawatir tentang Poodle, serangan man-in-the-middle serius dan Anda melindungi diri dengan berhati-hati dengan jaringan apa yang Anda sambungkan.
Jika Anda perlu masuk ke jaringan publik, gunakan VPN, baik dari tempat kerja Anda atau dari banyak layanan VPN yang tersedia. Ada beberapa di luar sana, seperti PrivateInternetAccess, CyberGhostVPN, dan AnchorFree's HotSpot Shield, untuk beberapa nama.
Penyerang kemungkinan akan menipu pengguna untuk mengunjungi halaman Web jahat yang dirancang untuk mengeksekusi kode Javascript yang dibuat khusus. Hati-hati dengan situs apa yang Anda kunjungi dan waspadai situs phishing.
Mengapa Kita Masih Memiliki SSL 3.0?
Sebagian besar server dan aplikasi modern menggunakan TLS 1.1 atau 1.2, tetapi SSL 3.0 masih banyak digunakan untuk mendukung aplikasi dan sistem lama. Internet Explorer 6 adalah salah satu contoh yang baik. Sementara IE 6 tidak terlihat seperti dulu, ia berkeliaran cukup lama, jadi cukup banyak server dan aplikasi yang dibangun untuk mendukung SSL 3.0 bersama dengan TLS yang lebih aman. Netcraft memperkirakan hampir 97 persen server Web SSL cenderung rentan.
"Anda dapat membunuhnya di sebagian besar tempat saat ini, " tulis peneliti keamanan Troy Hunt, tetapi itu hanya sebagian dari masalah karena ada klien di luar sana yang mungkin bergantung pada kemampuan untuk kembali ke SSL 3.0. Kami tidak tahu yang mana mereka, membuat perusahaan kurang bersedia untuk hanya mencabut colokannya. Misalnya, ada laporan Twitter bahwa MetroTwit, klien Twitter populer untuk Windows, mengandalkan SSL 3.0 dan berhenti bekerja setelah Twitter menonaktifkan dukungan SSL 3.0 Selasa malam (MetroTwit telah merilis perbaikan terbaru, omong-omong, jadi Anda harus memperbarui klien Anda).
"Ketidakpastian inilah yang membuat teknologi generasi awal ini tetap hidup, " kata Hunt.
Perbaiki Masalah Browser
Gunakan browser Web modern yang sesuai standar. Mozilla akan menonaktifkan SSL 3.0 secara default di versi Firefox berikutnya, diharapkan 25 November, dan Google sedang menggosoknya dari Chrome. Safari otomatis mengaktifkan SSL, tetapi Apple belum mempertimbangkan rencananya untuk browser. Microsoft memposting saran dengan instruksi untuk menonaktifkan SSL 3.0 dari desktop dan server Windows.
"Tidak perlu membenci Microsoft, seperti yang akan dilakukan Internet Explorer 10 atau 11, " kata Garve Hays, seorang arsitek solusi dengan NetIQ.
Anda dapat secara manual mematikan SSL 3.0 di IE dengan menghapus centang pada kotak SSL 3.0 di bawah tab Advanced di menu Internet Options. Pengguna Firefox harus membuka about.config di browser, dan mengubah nilai untuk security.tls.version.min menjadi 1. Mereka juga dapat mengunduh add-on Mozilla untuk menonaktifkan SSL 3.0. Pengguna Chrome yang ingin menonaktifkan SSL 3.0 dapat menambahkan bendera baris perintah --ssl-version-min = tls1 ke browser.
Pengguna Safari harus menunggu pembaruan, kapan pun itu datang. Menjauh dari Safari sementara akan mengurangi kemungkinan serangan Poodle.
Ketika Microsoft berhenti mendukung Windows XP pada bulan April, masih ada ketidaksepakatan yang mengklaim bahwa mereka tidak melihat alasan untuk meningkatkan ke sistem operasi. Jika para pengguna masih menggunakan Internet Explorer 6, mereka akan mulai melihat semuanya rusak secara online. CloudFlare telah menonaktifkan SSL 3.0 secara default untuk semua situs yang dihostingnya, termasuk 2 juta situs yang menggunakan paket gratis. Keputusan ini akan berdampak kurang dari 1 persen dari semua lalu lintas ke situsnya, kata Cloudflare. Banyak perusahaan cenderung mengikuti contoh Twitter dan mematikan dukungan di situs mereka. Jika Anda masih menggunakan IE 6 atau Windows XP, Anda benar - benar perlu memutakhirkan.
"Jika Anda menjalankan IE 6 hari ini (ya, masih ada beberapa) dan Anda tidak punya pilihan dalam meningkatkan karena 'alasan', Anda kenyang, " tulis Hunt.
