![\"openssl-vulnerabilities-patch-download-660x330\"](\"http:\/\/student-activity.binus.ac.id\/csc\/wp-content\/uploads\/sites\/37\/2016\/04\/openssl-vulnerabilities-patch-download-660x330.png\")
<\/p>\n<\/p>\n
<\/p>\n
<\/p>\n
<\/p>\n
Sebuah vulnerability terbaru di OpenSSL telah ditemukan yang mempengaruhi lebih dari 11 juta website dan penyedia layanan e-mail modern yang masih menggunakan proteksi SSLv2 (Secure Sockets Layer). Sebuah protokol keamanan transport layer <\/em>yang panjang dan sudah tidak dapat digunakan lagi untuk website dan penyedia layanan email saat ini.<\/p>\n DROWN merupakan sebuah celah dalam sistem keamanan OpenSSL yang pada saat ini dapat dideskripsikan sebagai sebuah serangan \u201cmurah\u201d yang dapat meng-decrypt <\/em>data \u2013 data sensitif yang terdapat dalam komunikasi HTTPS yang aman, seperti password dan data \u2013 data penting mengenai kartu kredit anda. Infosec dan tim peneliti bidang cyber security<\/em> menyatakan bahwa Serangan DROWN dapat terjadi dalam hitungan jam bahkan detik.<\/p>\n Apa itu DROWN ATTACK? DROWN merupakan kepanjangan dari \u2018Decrypting RSA with Obsolete and Weakened eNcription\u201d yang artinya meng-decrypt<\/em> RSA dengan enkripsi yang lemah dan ketinggalan jaman.<\/p>\n DROWN merupakan penyerangan cross-protocol<\/em> yang menggunakan kelemahan dalam implementasi SSLv2 terhadap TLS (lapisan transport pengamanan) dan men-decrypt<\/em> secara tidak langsung mengambil sesi TLS dari client yang baru.<\/p>\n Karena versi terbarunya tidak memberi akses pada SSLv2 secara default, admin secara tidak sengaja meng-override<\/em> setting tersebut untuk mengoptimalkan aplikasi \u2013 aplikasi yang ada.<\/p>\n \u201cAnda sama terancamnya jika sertifikat atau kunci dari website tersebut digunakan di tempat lain yang tidak menyediakan SSLv2 seperti STMP, IMAP, mail servers POP, dan server HTTPS cadangan yang biasanya digunakan untuk aplikasi web yang spesifik.\u201d Berikut merupakan kutipan dari para peneliti.<\/p><\/blockquote>\n DROWN attack dapat memberikan akses kepada penyerang untuk meng-decrypt<\/em> koneksi HTTPS dengan mengirimkan paket berbahaya yang sudah didesain secara khusus ke sebuah server HTTPS atau jika sertifikat website tersebut disebar ke server lainnya, yang memungkinkan penyerang untuk melakukan Man-in-the-Middle attack (MitM) attack.<\/p>\n Seberapa Bahayakah OpenSSL DROWN Attack?<\/strong><\/p>\n Lebih dari 33 persen server HTTPS dapat diserang oleh DROWN attack.<\/p>\n Celah pada OpenSSL ini dapat mempengaruhi sebanyak 11.5 Juta server di seluruh dunia, beberapa website top Alexa seperti Yahoo, Alibaba, Weibo, Sinda, BuzzFeed, Flickr, StumbleUpon, 4shared,dan Samsung juga termasuk dalam website yang dapat diserang menggunakan DROWN attack.<\/p>\n Open-source Open-SSL, Microsoft\u2019s Internet Information Services (IIS) versi 7 dan versi versi sebelumnya,\u00a0 Network Security Services (NSS) versi 3.13 kebawah yang library<\/em>-nya telah di emplementasikan dalam banyak produk produk server pun dapat diserang dengan DROWN attack.<\/p>\n Bagaimana cara mengetes kerentanan OpenSSL?<\/strong><\/p>\n Anda dapat mengetes website anda menggunakan website untuk mengetes drownattack<\/a>. Kabar baiknya adalah, para peneliti telah menemukan kelemahan pada DROWN attack dan telah membuat patch untuk mengatasi DROWN attack dalam update OpenSSL yang terbaru.<\/p>\n Tetapi karena DROWN attack dapat mengeksploitasi website dalam hitungan menit dan karena DROWN attack sudah dapat diatasi, DROWN attack akan digunakan hacker untuk menyerang server.<\/p>\n Bagi para pengguna OpenSSL 1.0.2 sangat disarankan untuk meng upgrade ke OpenSSL 1.0.2g dan bagi pengguna OpenSSL 1.0.1 sangat disarankan untuk meng-upgrade ke OpenSSL 1.0.1s. dan jika anda menggunakan versi\u00a0 OpenSSL for security<\/em> lainnya, disarankan untuk pindah ke versi 1.0.2g atau 1.0.1s.<\/p>\n Dan untuk melindungi diri anda sendiri dari DROWN attack, anda harus memastikan bahwa SSLv2 anda dinonaktifkan dan pastikan private key tidak disebarkan ke server server lainya.<\/p>\n Untuk para pengguna yang sudah rentan terhadap DROWN attack tidak perlu memperbarui sertifikat tetapi disarankan untuk mengambil tindakan untuk segera mencegah serangan.<\/p>\n SSLv2 sempat berjaya ditahun 1990-an dan secara tidak langsung atau otomatis diaktifkan ketika membuat pengaturan server baru, yang memungkinkan hacker dapat menyerang dengan cara DROWN attack. Ini disebabkan karena lemahnya kata sandi yang diberikan ke semua versi SSL dan TLS karena regulasi export amerika serikat.<\/p>\n Bahkan, server server yang \u201caman\u201d dapat dihack juga karena server server tersebut berada dalam network yang sama yang digunakan server server yang lemah. Dengan menggunakanBleichenbacher attack<\/a> (https:\/\/www.ietf.org\/mail-archive\/web\/openpgp\/current\/msg00999.html), private keys RSA dapat di decrypt<\/em> dan memberikan hacker akses ke server server yang aman yang menggunakan private key yang sama dengan server server yang lemah.<\/p>\n<\/div>\n
\nBagaimana DROWN ATTACK menyiksa SSLv2 untuk menyerang TLS?<\/strong><\/p>\n<\/div>\n<\/div>\n
\nDisitus tersebut\u00a0anda juga\u00a0dapat mengetahui lebih jelas terkait\u00a0penjelasan yang lebih detail terkait vulnerability terbaru Di OpenSSL. Serta\u00a0list\u00a0situs\u00a0terkenal yang terancam\u00a0terkena vulnerability terbaru di OpenSSL.<\/p>\n<\/div>\nMelindungi Situs dari Vulnerability Terbaru Di OpenSSL<\/h2>\n