Lebih Banyak Lubang Ditemukan di Protokol Keamanan SSL Web

Peneliti keamanan telah menemukan beberapa cacat serius dalam perangkat lunak yang menggunakan protokol enkripsi SSL (Secure Sockets Layer) yang digunakan untuk mengamankan komunikasi di Internet.

Pada konferensi Black Hat di Las Vegas pada hari Kamis, para peneliti mengungkap sejumlah serangan yang dapat digunakan untuk berkompromi dengan aman. lalu lintas bepergian antara situs Web dan browser.

Jenis serangan ini bisa membuat penyerang mencuri kata sandi, membajak sesi perbankan on-line atau bahkan mendorong pembaruan peramban Firefox yang berisi kode jahat, kata para peneliti.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Masalahnya terletak pada cara banyak browser menerapkan SSL, dan juga dalam sistem infrastruktur kunci publik X.509 yang digunakan untuk mengelola sertifikat digital yang digunakan oleh SSL untuk menentukan apakah situs Web dapat dipercaya atau tidak.

Seorang peneliti keamanan yang menyebut dirinya Moxie Marlinspike menunjukkan cara mencegat lalu lintas SSL menggunakan apa yang dia sebut sertifikat penghentian nol. Untuk membuat serangannya berhasil, Marlinspike harus terlebih dahulu mendapatkan perangkat lunaknya di jaringan area lokal. Setelah terinstal, ia melihat lalu lintas SSL dan menyajikan sertifikat penghentian nol untuk mencegat komunikasi antara klien dan server. Jenis serangan man-in-the-middle ini tidak terdeteksi, katanya.

Serangan Marlinspike sangat mirip dengan serangan umum lainnya yang dikenal sebagai serangan injeksi SQL, yang mengirimkan data yang dibuat secara khusus ke program dengan harapan mengelabui ke dalam melakukan sesuatu yang seharusnya tidak seharusnya dilakukan. Dia menemukan bahwa jika dia membuat sertifikat untuk domain Internetnya sendiri yang menyertakan karakter null - sering diwakili dengan 0 - beberapa program akan salah menafsirkan sertifikat.

Itu karena beberapa program berhenti membaca teks ketika mereka melihat karakter null. Jadi sertifikat yang dikeluarkan untuk www.paypal.com 0.thoughtcrime.org mungkin dibaca sebagai milik www.paypal.com.

Masalahnya tersebar luas, kata Marlinspike, yang mempengaruhi perangkat lunak Internet Explorer, VPN (virtual private network), klien email dan perangkat lunak pesan instan, dan Firefox versi 3.

Untuk membuat keadaan menjadi lebih buruk, peneliti Dan Kaminsky dan Len Sassaman melaporkan bahwa mereka telah menemukan bahwa sejumlah besar program Web bergantung pada sertifikat yang dikeluarkan menggunakan kriptografi yang sudah usang teknologi yang disebut MD2, yang telah lama dianggap tidak aman. MD2 sebenarnya belum retak, tetapi bisa rusak dalam hitungan bulan oleh penyerang yang ditentukan, kata Kaminsky.

Algoritma MD2 digunakan 13 tahun yang lalu oleh VeriSign untuk menandatangani sendiri "salah satu sertifikat akar inti di setiap browser di planet ini, "kata Kaminsky.

VeriSign berhenti menandatangani sertifikat menggunakan MD2 pada bulan Mei, kata Tim Callan, wakil presiden pemasaran produk di VeriSign.

Namun," sejumlah besar situs web menggunakan root ini, jadi kita tidak dapat benar-benar membunuhnya atau kita akan merusak Web, "kata Kaminsky.

Pembuat perangkat lunak dapat, bagaimanapun, memberi tahu produk mereka untuk tidak mempercayai sertifikat MD2; mereka juga dapat memprogram produk mereka agar tidak rentan terhadap serangan penghentian nol. Untuk saat ini, bagaimanapun, Firefox 3.5 adalah satu-satunya browser yang telah menambal masalah pemutusan-nol, kata para peneliti.

Ini adalah kedua kalinya dalam setengah tahun terakhir bahwa SSL telah berada di bawah pengawasan. Akhir tahun lalu, para peneliti menemukan cara untuk membuat otoritas sertifikat nakal, yang pada gilirannya dapat mengeluarkan sertifikat SSL palsu yang akan dipercaya oleh browser apa pun.

Kaminsky dan Sassaman mengatakan ada banyak masalah dalam cara sertifikat SSL dikeluarkan yang membuat mereka tidak aman. Semua peneliti sepakat bahwa sistem x.509 yang digunakan untuk mengelola sertifikat untuk SSL sudah kadaluwarsa dan perlu diperbaiki.