Apa Kerentanan POODLE dan Bagaimana Cara Melindungi Diri Anda?
Sulit untuk membungkus pikiran kita dengan semua malapetaka Internet ini saat itu terjadi, dan sama seperti kita berpikir bahwa internet aman kembali setelah Heartbleed dan Shellshock mengancam akan "mengakhiri kehidupan seperti yang kita tahu," keluarlah POODLE.
Jangan terlalu sibuk karena itu tidak mengancam seperti kedengarannya. Yang benar adalah bahwa itu adalah masalah yang harus diperhatikan, tetapi ada langkah-langkah sederhana yang dapat Anda ambil untuk melindungi diri Anda sendiri.
Apa itu POODLE?
Mari kita mulai di lantai dasar. Apa itu POODLE? Pertama, singkatan dari “Padding Oracle On Downgraded Enkripsi Legacy.”Masalah keamanan persis seperti yang disarankan namanya, downgrade protokol yang memungkinkan eksploitasi pada bentuk enkripsi yang ketinggalan zaman. Masalah ini menjadi perhatian dunia bulan ini ketika Google merilis sebuah makalah yang disebut "Ini POODLE Bites: Memanfaatkan Fallback SSL 3.0".
Untuk menjelaskan hal ini dalam istilah yang lebih sederhana, jika penyerang yang menggunakan serangan Man-In-The-Middle dapat mengendalikan router di hotspot publik, mereka dapat memaksa browser Anda untuk menurunkan versi ke SSL 3.0 (protokol yang lebih tua) daripada menggunakan jauh lebih modern TLS (Transport Layer Security), dan kemudian memanfaatkan lubang keamanan di SSL untuk membajak sesi browser Anda. Karena masalah ini ada di protokol, apa pun yang menggunakan SSL terpengaruh.
Selama server dan klien (browser web) mendukung SSL 3.0, penyerang dapat memaksa downgrade dalam protokol, jadi bahkan jika browser Anda mencoba menggunakan TLS, akhirnya terpaksa menggunakan SSL sebagai gantinya. Satu-satunya jawaban adalah untuk kedua belah pihak atau kedua belah pihak untuk menghapus dukungan untuk SSL, menghilangkan kemungkinan downgrade.
Jika Anda menjelajah dari rumah dan tidak menggunakan hotspot publik, potensi kerusakannya cukup rendah, dan Anda bisa mengambil langkah mudah yang diuraikan nanti dalam artikel untuk melindungi diri Anda. Jika Anda sering menggunakan hotspot publik, mungkin sudah saatnya untuk berpikir tentang menggunakan VPN.
Bagaimana Kita Dapat Memecahkan Masalahnya?
Karena tidak ada cara untuk menyelesaikan masalah dengan SSL, satu-satunya solusi adalah untuk pembuat browser dan server web untuk meningkatkan semuanya untuk menghapus dukungan untuk SSL dan hanya memerlukan enkripsi TLS.
Google dan Firefox telah mengumumkan bahwa mereka akan menghapus dukungan di masa depan, dan sementara kami belum (belum) mendengar hal yang sama dari Microsoft, sangat mudah sebagai pengguna akhir untuk menonaktifkan SSL 3.0 di IE. Sebagian besar perusahaan web besar menghapus dukungan untuk SSL setelah masalah ini terungkap, tetapi akan butuh waktu bagi semua orang untuk melakukannya.
Sebagai konsumen, Anda dapat menghapus dukungan untuk SSL dari browser Anda menggunakan salah satu metode yang diuraikan di bawah ini - atau jika Anda menggunakan Firefox atau Google Chrome dan tidak menggunakan hotspot sepanjang waktu, Anda dapat menunggu mereka untuk memperbarui browser. Atau Anda dapat memastikan bahwa Anda telah memperbaiki masalahnya sendiri.
Menonaktifkan SSL 3.0 di Mozilla Firefox
Jika Anda adalah pengguna Mozilla Firefox, masalah SSL 3.0 Anda akan dikosongkan pada 25 November 2014 saat Fireox 34 dirilis. Satu masalah dengan ini adalah bahwa itu belum November dan Anda perlu mengambil tindakan untuk melindungi diri Anda sekarang. Mulailah dengan membuka browser Firefox Anda dan bernavigasi ke halaman unduhan Kontrol Versi SSL di Firefox.
Setelah berhasil diinstal, Anda dapat memasukkan "about: addons" ke dalam bilah navigasi dan memilih ekstensi "SSL Version Control". Anda dapat mengklik "Opsi" untuk melihat pengaturan ekstensi. Pastikan bahwa "Pembaruan Otomatis" aktif dan "Versi SSL Minimum" diatur ke "TLS 1.0"
Setelah Firefox 34 dirilis, Anda dapat menonaktifkan ekstensi atau menghapusnya.
Menonaktifkan SSL 3.0 di Google Chrome
Jika Anda adalah pengguna Google Chrome, Anda dapat yakin bahwa SSL 3.0 akan dinonaktifkan dalam beberapa bulan mendatang, meskipun mereka belum menetapkan tanggal. Jika Anda ingin melindungi diri Anda sekarang, itu dapat dilakukan dalam beberapa langkah sederhana. Cukup buka ikon desktop Google Chrome Anda dan klik kanan padanya lalu pilih "Properties" di bagian bawah menu popup.
Di jendela "Properties" Anda akan melihat kotak input teks yang mengatakan "Target." Cukup klik di kotak ini dan tekan tombol "End" pada keyboard Anda. Selanjutnya, tekan "bilah spasi" dan salin dan tempel teks ini ke akhir.
--ssl-versi-min = tls1
Tekan "Terapkan" lalu klik "Lanjutkan" di jendela sembulan kemudian tekan "OK."
Sekarang browser Anda akan secara otomatis menolak sertifikat SSL 3.0 dan hanya menerima TLS 1.0 dan lebih tinggi. Perlu dicatat bahwa jika Anda meluncurkan Chrome melalui pintasan lain di komputer Anda, itu tidak akan menggunakan flag ini.
Menonaktifkan SSL 3.0 di Internet Explorer
Microsoft belum mengumumkan kapan mereka berencana untuk mengatasi masalah SSL 3.0 sehingga yang terbaik adalah menonaktifkannya sendiri dengan membuka menu "Start" Anda dan mengetikkan "Opsi Internet."
Buka tab "Advanced" dan gulir ke bawah ke bagian "Security" hingga Anda melihat opsi SSL dan TLS, dan kemudian hapus centang opsi untuk Gunakan SSL 3.0, dan aktifkan TLS sebagai gantinya.
Dengan cara ini Anda dapat yakin bahwa browser Internet Anda semuanya aman dari kemungkinan serangan POODLE.
Kredit Gambar: Karen on Flickr