Security Pro Mengatakan Serangan SSL Baru Dapat Memukul Banyak Situs

Seorang konsultan keamanan komputer Seattle mengatakan dia mengembangkan cara baru untuk mengeksploitasi bug yang baru-baru ini diungkapkan dalam protokol SSL, yang digunakan untuk mengamankan komunikasi di Internet. Serangan itu, meskipun sulit untuk dijalankan, dapat memberikan serangan phishing yang sangat kuat kepada para penyerang.

Frank Heidt, CEO Leviathan Security Group, mengatakan bahwa kode konsep-konsep "generik" -nya dapat digunakan untuk menyerang berbagai situs Web.. Sementara serangan itu sangat sulit untuk ditarik - hacker pertama-tama harus terlebih dahulu melakukan serangan man-in-the-middle, menjalankan kode yang membahayakan jaringan korban - itu bisa memiliki konsekuensi yang menghancurkan.

Serangan mengeksploitasi celah SSL Authentication SecureSockets Layer, pertama kali diungkapkan pada 5 November. Salah satu penemu bug SSL, Marsh Ray di PhoneFactor, mengatakan dia melihat demonstrasi serangan Heidt, dan dia yakin itu bisa berhasil. "Dia memang menunjukkannya kepada saya dan itu benar-benar nyata," kata Ray.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Cacat Otentikasi SSL memberi penyerang cara untuk mengubah data yang dikirim ke server SSL, tetapi masih tidak ada cara untuk membaca informasi yang datang kembali. Heidt mengirim data yang menyebabkan server SSL mengembalikan pesan pengalihan yang kemudian mengirim browser Web ke halaman lain. Dia kemudian menggunakan pesan pengalihan itu untuk memindahkan korban ke koneksi tidak aman di mana halaman Web dapat ditulis ulang oleh komputer Heidt sebelum dikirim ke korban.

"Frank telah menunjukkan cara untuk memanfaatkan suntikan injeksi teks biasa buta ini ke kompromi lengkap dari koneksi antara browser dan situs yang aman, "kata Ray.

Sebuah konsorsium perusahaan Internet telah bekerja untuk memperbaiki kekurangan sejak pengembang PhoneFactor pertama kali menemukannya beberapa bulan yang lalu. Pekerjaan mereka mendapatkan urgensi baru ketika bug itu secara tidak sengaja diungkapkan dalam daftar diskusi. Pakar keamanan telah memperdebatkan tingkat keparahan SSL terbaru ini sejak menjadi pengetahuan umum.

Pekan lalu, peneliti IBM, Anil Kurmus menunjukkan bagaimana kecacatan dapat digunakan untuk mengelabui peramban dalam mengirim pesan Twitter yang berisi kata sandi pengguna.

Serangan terbaru ini menunjukkan bahwa cacat dapat digunakan untuk mencuri segala macam informasi sensitif dari situs Web yang aman, kata Heidt.

Untuk menjadi rentan, situs perlu melakukan sesuatu yang disebut renegosiasi klien di bawah SSL dan juga untuk memiliki beberapa elemen pada mereka mengamankan halaman Web yang dapat menghasilkan pesan pengalihan 302 tertentu.

Banyak situs web perbankan dan e-commerce profil tinggi tidak akan mengembalikan pesan pengalihan 302 ini dengan cara yang dapat dieksploitasi, tetapi "jumlah besar" situs dapat diserang, kata Heidt.

Dengan begitu banyak situs Web yang berisiko terkena cacat, Heidt mengatakan dia tidak berniat untuk segera melepaskan kode-nya.

Dari sudut pandang korban, satu-satunya perubahan yang terlihat selama serangan adalah bahwa browser no lo nger terlihat seolah terhubung ke situs SSL. Serangan ini mirip dengan serangan SSL Strip yang ditunjukkan oleh Moxie Marlinspike [cq] pada konferensi keamanan awal tahun ini.

Leviathan Security Group telah membuat alat yang dapat digunakan webmaster untuk melihat apakah situs mereka rentan terhadap Celah Otentikasi SSL serangan.

Karena SSL, dan standar penggantiannya, TLS, digunakan dalam berbagai teknologi Internet, bug memiliki implikasi yang luas.

Thierry Zoller, konsultan keamanan dengan G-Sec, mengatakan bahwa secara teoritis, cacat dapat digunakan untuk menyerang server email. "Seorang penyerang berpotensi mengirimkan email melalui koneksi SMTP [Simple Mail Transfer Protocol] aman, meskipun mereka diotentikasi dengan sertifikat pribadi," katanya dalam wawancara pesan instan.

Zoller, yang belum melihat kode Leviathan, mengatakan bahwa jika serangan itu berfungsi sebagai iklan, itu hanya akan menjadi masalah beberapa hari sebelum orang lain mengetahui cara melakukannya.