Dua peneliti keamanan mengklaim telah mengembangkan sebuah serangan baru yang dapat mendekripsi session cookies dari koneksi HTTPS (Hypertext Transfer Protocol Secure).
Website menggunakan cookies untuk mengingat pengguna otentik. Jika penyerang berhasil mengakses ke cookie sesi pengguna sementara pengguna masih dikonfirmasi di sebuah website, hacker bisa menggunakannya untuk mengakses akun pengguna di situs web tersebut.
HTTPS mestinya mampu mencegah jenis sesi pembajakan ini ,karena mengenkripsi session cookies yang sementara disimpan dalam browser. Namun, serangan baru, yang dibuat oleh peneliti keamanan Juliano Rizzo dan Thai Duong, mampu mendekripsi mereka.
Rizzo dan Duong menamai metode serangan mereka dengan 'CRIME' dan berencana untuk hadir akhir bulan ini pada konferensi keamanan Ekoparty di Buenos Aires, Argentina.
Serangan ini memanfaatkan kelemahan pada fitur tertentu dari protokol (Transport Layer Security) kriptografi TLS dan pendahulunya, SSL (Secure Sockets Layer) protokol, yang digunakan untuk mengimplementasikan HTTPS.
Semua versi SSL dan TLS dipengaruhi dan fitur dieksploitasi yang umumnya digunakan dalam SSL / TLS . Peneliti menolak untuk mengungkapkan fitur mana saja yang rentan sebelum presentasi serangan itu di Ekoparty.
Kode serangan CRIME, yang dikenal sebagai agen, perlu dimuat dalam browser korban. Hal ini dapat dilakukan, baik itu dengan menipu korban agar mengunjungi sebuah situs web jahat ,atau jika penyerang memiliki kontrol atas jaringan korban,itu bisa dilakukan dengan cara menginject kode serangan ke koneksi HTTP yang ada.
CRIME tidak memerlukan browser plug-in untuk bekerja, JavaScript hanya digunakan untuk membuatnya lebih cepat, tetapi juga dapat diimplementasikan tanpa itu, kata Rizzo.
Penyerang juga mampu mengintai korban via traffic HTTPS. Hal ini dapat dilakukan pada jaringan nirkabel terbuka, pada jaringan area lokal (LAN), dengan menggunakan teknik seperti spoofing ARP, atau dengan mendapatkan kontrol dari router korban melalui kerentanan atau password default.
Agar serangan mampu bekerja, baik client korban dan server hosting situs yang ditargetkan harus mendukung fitur SSL / TLS rentan, kata Rizzo.
Rizzo menegaskan tentang implementasi HTTPS pada beberapa situs populer yang rentan terhadap serangan, namun menolak menyebutkan nama salah satu dari mereka.
CRIME diuji berhasil dengan Mozilla Firefox dan Google Chrome. Namun, browser lain juga bisa terpengaruh, kata Rizzo. Mozilla dan Google telah mempersiapkan patch untuk memblokir serangan ini tapi mereka belum merilisnya, kata para peneliti.
Tahun lalu di Ekoparty, Rizzo dan Duong menyajikan sebuah serangan yang disebut BEAST (Browser Exploit Against SSL / TLS), yang juga mampu mendekripsi cookies HTTPS sesi. Serangan yang mempengaruhi SSL 3.0 dan TLS 1.0 bila digunakan dengan suite cipher tertentu.
Rusdhie Al Makassari
Website menggunakan cookies untuk mengingat pengguna otentik. Jika penyerang berhasil mengakses ke cookie sesi pengguna sementara pengguna masih dikonfirmasi di sebuah website, hacker bisa menggunakannya untuk mengakses akun pengguna di situs web tersebut.
HTTPS mestinya mampu mencegah jenis sesi pembajakan ini ,karena mengenkripsi session cookies yang sementara disimpan dalam browser. Namun, serangan baru, yang dibuat oleh peneliti keamanan Juliano Rizzo dan Thai Duong, mampu mendekripsi mereka.
Rizzo dan Duong menamai metode serangan mereka dengan 'CRIME' dan berencana untuk hadir akhir bulan ini pada konferensi keamanan Ekoparty di Buenos Aires, Argentina.
Serangan ini memanfaatkan kelemahan pada fitur tertentu dari protokol (Transport Layer Security) kriptografi TLS dan pendahulunya, SSL (Secure Sockets Layer) protokol, yang digunakan untuk mengimplementasikan HTTPS.
Semua versi SSL dan TLS dipengaruhi dan fitur dieksploitasi yang umumnya digunakan dalam SSL / TLS . Peneliti menolak untuk mengungkapkan fitur mana saja yang rentan sebelum presentasi serangan itu di Ekoparty.
Kode serangan CRIME, yang dikenal sebagai agen, perlu dimuat dalam browser korban. Hal ini dapat dilakukan, baik itu dengan menipu korban agar mengunjungi sebuah situs web jahat ,atau jika penyerang memiliki kontrol atas jaringan korban,itu bisa dilakukan dengan cara menginject kode serangan ke koneksi HTTP yang ada.
CRIME tidak memerlukan browser plug-in untuk bekerja, JavaScript hanya digunakan untuk membuatnya lebih cepat, tetapi juga dapat diimplementasikan tanpa itu, kata Rizzo.
Penyerang juga mampu mengintai korban via traffic HTTPS. Hal ini dapat dilakukan pada jaringan nirkabel terbuka, pada jaringan area lokal (LAN), dengan menggunakan teknik seperti spoofing ARP, atau dengan mendapatkan kontrol dari router korban melalui kerentanan atau password default.
Agar serangan mampu bekerja, baik client korban dan server hosting situs yang ditargetkan harus mendukung fitur SSL / TLS rentan, kata Rizzo.
Rizzo menegaskan tentang implementasi HTTPS pada beberapa situs populer yang rentan terhadap serangan, namun menolak menyebutkan nama salah satu dari mereka.
CRIME diuji berhasil dengan Mozilla Firefox dan Google Chrome. Namun, browser lain juga bisa terpengaruh, kata Rizzo. Mozilla dan Google telah mempersiapkan patch untuk memblokir serangan ini tapi mereka belum merilisnya, kata para peneliti.
Tahun lalu di Ekoparty, Rizzo dan Duong menyajikan sebuah serangan yang disebut BEAST (Browser Exploit Against SSL / TLS), yang juga mampu mendekripsi cookies HTTPS sesi. Serangan yang mempengaruhi SSL 3.0 dan TLS 1.0 bila digunakan dengan suite cipher tertentu.
Rusdhie Al Makassari