Cacat SSL Bisa Telah Digunakan untuk Meretas Twitter

Cacat dalam protokol yang digunakan untuk mengamankan komunikasi melalui Internet dapat digunakan untuk meretas akun Twitter, menurut seorang peneliti keamanan IBM.

Minggu lalu Anil Kurmus menunjukkan bagaimana cacat dalam protokol SSL (Secure Sockets Layer) bisa jadi digunakan untuk menipu korban dalam mengirim pesan Twitter yang berisi informasi kata sandi mereka. Untuk kelemahan yang akan dieksploitasi, seorang peretas pertama-tama harus menemukan cara untuk masuk ke jaringan korban, meluncurkan apa yang dikenal sebagai serangan man-in-the-middle, sehingga akan sulit untuk memengaruhi sejumlah besar pengguna Twitter dengan teknik ini. Masalah ini segera ditambal oleh Twitter, tetapi para ahli keamanan bertanya-tanya berapa banyak situs Web yang mungkin menderita masalah serupa.

Sebuah konsorsium perusahaan Internet telah berebut untuk memperbaiki masalah SSL sejak 5 November, ketika itu secara tidak sengaja dibuat publik dalam daftar diskusi. Tetapi ada beberapa perdebatan tentang keseriusan cacat. Tak lama setelah bug itu dipublikasikan, peneliti IBM Tom Cross mengatakan bahwa, untuk sebagian besar, aplikasi Web utama tidak akan terpengaruh oleh masalah ini.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Tapi Cross berubah pikiran, menulis: "Sayangnya, situasinya lebih buruk dari yang saya kira."

Aplikasi webmail, khususnya, mungkin juga berisiko dari serangan ini. Dan pakar keamanan juga khawatir aplikasi lain - database, misalnya - mungkin berisiko.

Twitter.com rentan terhadap bug karena melakukan apa yang disebut renegosiasi klien di bawah SSL. Renegosiasi klien memberi situs web cara untuk meminta pengguna Twitter untuk sertifikat SSL setelah pengguna sudah terhubung ke situs tersebut. Ini adalah alat yang berguna untuk situs yang memungkinkan pengguna masuk menggunakan kartu cerdas atau untuk situs yang membatasi akses ke sekelompok peselancar Web tertentu yang dipilih, tetapi sampai cacat diperbaiki, negosiasi ulang klien juga membuka pintu untuk serangan SSL.

Ada mungkin banyak situs seperti Twitter yang memungkinkan negosiasi ulang klien hanya karena itu dibangun ke dalam protokol SSL dan penggantinya, TLS (Transport Layer Security), kata Marsh Ray, salah satu pengembang PhoneFactor yang menemukan masalah ini. "Banyak orang tidak menyadari bahwa mereka melakukannya," katanya.

Kabar baiknya adalah banyak situs yang dapat menonaktifkannya secara langsung, yang ternyata adalah apa yang telah dilakukan Twitter. Twitter tidak menanggapi pesan yang meminta komentar tentang kisah ini.

Menurut Ray, orang-orang harus menyadari bahwa meskipun cacat SSL tidak berbahaya, "ini adalah bug yang serius dan orang perlu menambalnya."