Minggu, 09 September 2012

CRIME, Metode Baru Serangan Pada Koneksi HTTPS

CRIME, Metode Baru Serangan Pada Koneksi HTTPS

Dua peneliti keamanan mengklaim telah mengembangkan sebuah serangan baru yang dapat mendekripsi session cookies dari koneksi HTTPS (Hypertext Transfer Protocol Secure).

Website menggunakan cookies untuk mengingat pengguna otentik. Jika  penyerang berhasil mengakses ke cookie sesi pengguna sementara pengguna masih dikonfirmasi di sebuah website, hacker bisa menggunakannya untuk mengakses akun pengguna di situs web tersebut.

HTTPS mestinya mampu mencegah jenis sesi pembajakan ini ,karena mengenkripsi session cookies yang sementara  disimpan dalam browser. Namun, serangan baru, yang dibuat oleh peneliti keamanan Juliano Rizzo dan Thai Duong, mampu mendekripsi mereka.

Rizzo dan Duong menamai metode  serangan mereka dengan 'CRIME' dan berencana untuk hadir akhir bulan ini pada konferensi keamanan Ekoparty di Buenos Aires, Argentina.

Serangan ini memanfaatkan kelemahan pada fitur tertentu dari protokol (Transport Layer Security) kriptografi TLS dan pendahulunya, SSL (Secure Sockets Layer) protokol, yang digunakan untuk mengimplementasikan HTTPS.

Semua versi SSL dan TLS dipengaruhi dan fitur dieksploitasi yang umumnya digunakan dalam SSL / TLS . Peneliti menolak untuk mengungkapkan fitur mana saja yang rentan sebelum presentasi serangan itu di Ekoparty.

Kode serangan CRIME, yang dikenal sebagai agen, perlu dimuat dalam browser korban. Hal ini dapat dilakukan, baik itu dengan menipu korban agar mengunjungi sebuah situs web jahat ,atau jika penyerang memiliki kontrol atas jaringan korban,itu bisa dilakukan dengan cara menginject kode serangan ke koneksi HTTP yang ada.

CRIME tidak memerlukan browser plug-in untuk bekerja, JavaScript hanya digunakan untuk membuatnya lebih cepat, tetapi juga dapat diimplementasikan tanpa itu, kata Rizzo.

Penyerang juga  mampu mengintai korban via traffic HTTPS. Hal ini dapat dilakukan pada jaringan nirkabel terbuka, pada jaringan area lokal (LAN), dengan menggunakan teknik seperti spoofing ARP, atau dengan mendapatkan kontrol dari router  korban melalui kerentanan atau password default.

Agar serangan mampu bekerja, baik client korban dan server hosting situs yang ditargetkan harus mendukung fitur SSL / TLS rentan, kata Rizzo.

Rizzo menegaskan tentang implementasi HTTPS pada beberapa situs populer yang rentan terhadap serangan, namun menolak menyebutkan nama salah satu dari mereka.

CRIME diuji berhasil dengan Mozilla Firefox dan Google Chrome. Namun, browser lain juga bisa terpengaruh, kata Rizzo. Mozilla dan Google telah mempersiapkan patch untuk memblokir serangan ini tapi mereka belum merilisnya, kata para peneliti.

Tahun lalu di Ekoparty, Rizzo dan Duong menyajikan sebuah serangan yang disebut BEAST (Browser Exploit Against SSL / TLS), yang juga mampu mendekripsi cookies HTTPS sesi. Serangan yang mempengaruhi SSL 3.0 dan TLS 1.0 bila digunakan dengan suite cipher tertentu.

Rusdhie Al Makassari

Tidak ada komentar:

Posting Komentar