Tiga peneliti Google Inc telah mengungkapkan virus (bug) keamanan
internet yang luas digunakan pada teknologi enkripsi web yang menurut para
peneliti ini bisa membuat peretas mencuri data lewat serangan web berjuluk
"Poodle".
"Poodle" yang dalam Bahasa Indonesia berarti anjing pudel adalah akronim dari "Padding Oracle On Downloaded Legacy Encryption".
Masalahnya terletak pada sebuah standard enkripsi web berusia 18
tahun yang disebut SSL 3.0 yang masih luas digunakanan pada browser web dan
website.
Bug ini diungkapkan pada makalah ilmiah yang disiarkan Selasa kemarin
pada laman OpenSSL Project yang adalah kelompok yang mengembangkan tipe
software enkripsi SSL yang masih luas digunakan.
Rumor-rumor yang menyebutkan bug baru dalam software OpenSSL telah menyebar di Twitter dan laman-laman teknologi dalam beberapa hari terakhir, telah mendorong para profesional keamanan jaringan korporat untuk bersiap menghadapi serangan besar pekan ini.
Rumor-rumor yang menyebutkan bug baru dalam software OpenSSL telah menyebar di Twitter dan laman-laman teknologi dalam beberapa hari terakhir, telah mendorong para profesional keamanan jaringan korporat untuk bersiap menghadapi serangan besar pekan ini.
Sejauh ini tahun ini, mereka telah merespons bug "Heartbleed" dalam OpenSSL pada April yang berdampak pada sekitar dua pertiga semua laman dan ribuan produk teknologi lainnya, selain bug "Shellshock" bulan lalu dalam software Unix bernama Bash.
Namun para pakar keamanan internet mengatakan bug yang disingkapkan Selasa malam dan bisa membuat peretas mencuri "cookies" browser itu tidaklah sebahaya dua bug sebelumnya.
"Yang ini sangat rumit. Bug ini menuntut peretas memiliki dulu
posisi aman dalam jaringan," kata Ivan Ristic, direktur riset keamanan
aplikasi pada Qualys dan juga pakar SSL.
Jeff Moss, pendiri konferensi peretasan Def Con dan penasehat pada
Departemen Keamanan Dalam Negeri AS mengatakan bahwa peretas yang berhasil bisa
mengeksploitasi bug demi mencuri sesi cookies pada browser untuk mengendalikan
akun penyedia email, jejaring sosial dan bank yang memanfaatkan teknologi itu.
Namun untuk menempuhnya, peretes mesti meluncurkan serangan yang
menempatkan si penyerang ada di antara korban dan laman yang mereka kunjungi.
Pendekatan yang biasa dilakukan adalah menciptakan hot spot WiFi
jadi-jadian di kafe internet, kata dia.
Matthew Green, asisten profesor riset pada jurusan ilmu komputer
Universitas Johns Hopkins menyebut kerentanan ini tidak seburuk Heartbleed yang
memungkinkan peretas mengintai atau mencuri kuantitas data maha luas atau
Shellshock yang membuat peretas bisa mengendalikan komputer dari jarak jauh.
Dia menyarankan kalangan bisnis dan pengguna komputer untuk mematikan
teknologi SSL 3.0 dalam server dan browsernya, namun ini adalah proses yang
sulit bagi pengguna komputer biasa.
"Memang tidak akan merusak infrastruktu internet, namun ini akan
sulit untuk diatasi," kata dia seperti dikutip Reuters.
Sumber :
http://www.antaranews.com/berita/458789/peneliti-temukan-virus-enkripsi-web-paling-anyar
No comments:
Post a Comment