Lindungi Diri Anda Dari Vulnerability Terbaru Di OpenSSL

05 Apr 2016

 

openssl-vulnerabilities-patch-download-660x330

 

 

Sebuah vulnerability terbaru di OpenSSL telah ditemukan yang mempengaruhi lebih dari 11 juta website dan penyedia layanan e-mail modern yang masih menggunakan proteksi SSLv2 (Secure Sockets Layer). Sebuah protokol keamanan transport layer yang panjang dan sudah tidak dapat digunakan lagi untuk website dan penyedia layanan email saat ini.

DROWN merupakan sebuah celah dalam sistem keamanan OpenSSL yang pada saat ini dapat dideskripsikan sebagai sebuah serangan “murah” yang dapat meng-decrypt data – data sensitif yang terdapat dalam komunikasi HTTPS yang aman, seperti password dan data – data penting mengenai kartu kredit anda. Infosec dan tim peneliti bidang cyber security menyatakan bahwa Serangan DROWN dapat terjadi dalam hitungan jam bahkan detik.

Apa itu DROWN ATTACK?
Bagaimana DROWN ATTACK menyiksa SSLv2 untuk menyerang TLS?

DROWN merupakan kepanjangan dari ‘Decrypting RSA with Obsolete and Weakened eNcription” yang artinya meng-decrypt RSA dengan enkripsi yang lemah dan ketinggalan jaman.

DROWN merupakan penyerangan cross-protocol yang menggunakan kelemahan dalam implementasi SSLv2 terhadap TLS (lapisan transport pengamanan) dan men-decrypt secara tidak langsung mengambil sesi TLS dari client yang baru.

Karena versi terbarunya tidak memberi akses pada SSLv2 secara default, admin secara tidak sengaja meng-override setting tersebut untuk mengoptimalkan aplikasi – aplikasi yang ada.

“Anda sama terancamnya jika sertifikat atau kunci dari website tersebut digunakan di tempat lain yang tidak menyediakan SSLv2 seperti STMP, IMAP, mail servers POP, dan server HTTPS cadangan yang biasanya digunakan untuk aplikasi web yang spesifik.” Berikut merupakan kutipan dari para peneliti.

DROWN attack dapat memberikan akses kepada penyerang untuk meng-decrypt koneksi HTTPS dengan mengirimkan paket berbahaya yang sudah didesain secara khusus ke sebuah server HTTPS atau jika sertifikat website tersebut disebar ke server lainnya, yang memungkinkan penyerang untuk melakukan Man-in-the-Middle attack (MitM) attack.

Seberapa Bahayakah OpenSSL DROWN Attack?

Lebih dari 33 persen server HTTPS dapat diserang oleh DROWN attack.

Celah pada OpenSSL ini dapat mempengaruhi sebanyak 11.5 Juta server di seluruh dunia, beberapa website top Alexa seperti Yahoo, Alibaba, Weibo, Sinda, BuzzFeed, Flickr, StumbleUpon, 4shared,dan Samsung juga termasuk dalam website yang dapat diserang menggunakan DROWN attack.

Open-source Open-SSL, Microsoft’s Internet Information Services (IIS) versi 7 dan versi versi sebelumnya,  Network Security Services (NSS) versi 3.13 kebawah yang library-nya telah di emplementasikan dalam banyak produk produk server pun dapat diserang dengan DROWN attack.

Bagaimana cara mengetes kerentanan OpenSSL?

Anda dapat mengetes website anda menggunakan website untuk mengetes drownattack.
Disitus tersebut anda juga dapat mengetahui lebih jelas terkait penjelasan yang lebih detail terkait vulnerability terbaru Di OpenSSL. Serta list situs terkenal yang terancam terkena vulnerability terbaru di OpenSSL.

Kabar baiknya adalah, para peneliti telah menemukan kelemahan pada DROWN attack dan telah membuat patch untuk mengatasi DROWN attack dalam update OpenSSL yang terbaru.

Tetapi karena DROWN attack dapat mengeksploitasi website dalam hitungan menit dan karena DROWN attack sudah dapat diatasi, DROWN attack akan digunakan hacker untuk menyerang server.

Melindungi Situs dari Vulnerability Terbaru Di OpenSSL

Bagi para pengguna OpenSSL 1.0.2 sangat disarankan untuk meng upgrade ke OpenSSL 1.0.2g dan bagi pengguna OpenSSL 1.0.1 sangat disarankan untuk meng-upgrade ke OpenSSL 1.0.1s. dan jika anda menggunakan versi  OpenSSL for security lainnya, disarankan untuk pindah ke versi 1.0.2g atau 1.0.1s.

Dan untuk melindungi diri anda sendiri dari DROWN attack, anda harus memastikan bahwa SSLv2 anda dinonaktifkan dan pastikan private key tidak disebarkan ke server server lainya.

Untuk para pengguna yang sudah rentan terhadap DROWN attack tidak perlu memperbarui sertifikat tetapi disarankan untuk mengambil tindakan untuk segera mencegah serangan.

SSLv2 sempat berjaya ditahun 1990-an dan secara tidak langsung atau otomatis diaktifkan ketika membuat pengaturan server baru, yang memungkinkan hacker dapat menyerang dengan cara DROWN attack. Ini disebabkan karena lemahnya kata sandi yang diberikan ke semua versi SSL dan TLS karena regulasi export amerika serikat.

Bahkan, server server yang “aman” dapat dihack juga karena server server tersebut berada dalam network yang sama yang digunakan server server yang lemah. Dengan menggunakanBleichenbacher attack (https://www.ietf.org/mail-archive/web/openpgp/current/msg00999.html), private keys RSA dapat di decrypt dan memberikan hacker akses ke server server yang aman yang menggunakan private key yang sama dengan server server yang lemah.

Sebagai tambahan, Profesor universitas Johns Hopkins dan cryptographer ternama, Matthew Green juga menjelaskan bagaimana cara DROWN attack bekerja di blognya (http://blog.cryptographyengineering.com/2016/03/attack-of-week-drown.html)