Baru-baru ini peneliti keamanan kembali menemukan sebuah celah keamanan pada web browser. Celah keamanan ini dinamakan celah keamanan Freak Flaw. Dengan memanfaatkan celah keamanan ini, penyerang bisa membobol komunikasi yang menggunakan Https. Https merupakan standar keamanan web yang menggunakan teknologi SSL/TLS. Https melakukan enkripsi data pada komunikasi antara web browser dengan web server. Dengan teknologi ini, data yang dikirim di jaringan sudah terenkripsi (sudah diacak). Sementara pada komunikasi web dengan mengguakan http, data dikirim dalam bentuk plain text. Sehingga bila data kita ditengah jalan di’begal’ penyerang dapat dengan mudah membaca data tersebut. Celah keamanan ini ditemukan oleh Karthikeyan Bhargavan dari INRIA Paris and the miTLS team Freak merupakan singkatan dari Factoring RSA Export Keys
Teknik yang dilakukan penyerang adalah dengan menyadap koneksi https antara client dan server. Kemudian penyerang akan memaksa komunikasi tersebut menggunakan sistem enkripsi yang lebih lemah “export grade”. Sistem enkripsi ini kemudian dapat dengan mudah didekripsi oleh penyerang.
Sistem komunikasi SSL/TLS antara client dan server memang menyediakan beberapa opsi algoritma enkripsi. Awalnya hal ini terjadi karena pemerintah Amerika Serikat dulu membuat kebijakan pada perusahaan-perusahaan di Amerika agar menggunakan sistem enkripsi yang lemah (Export-grade) untuk semua teknologi yang akan diekspor atau digunakan di luar negeri. Sistem enkripsi ini dapat dengan mudah dijebol. Sementara untuk teknologi yang digunakan di dalam negeri Amerika Serikat digunakan sistem enkripsi yang jauh lebih rumit, dan susah untuk dijebol.
Dengan adanya kebijakan ini maka mau tidak mau perusahaan pembuat browser dan webserver di Amerika harus menyediakan 2 opsi sistem enkripsi yang akan digunakan, menggunakan sistem enkripsi yang lemah atau yang rumit. Nah peneliti menemukan cara untuk memaksa komunikasi antara browser dan webserver menggunakan sistem enkripsi yang lemah.
Celah keamanan ini hanya bisa digunakan pada web browser yang bermasalah dan web server yang masih memiliki celah keamanan. Daftar web browser bermasalah menurut peneliti adalah sebagai berikut:
| Internet Explorer | Patch tersedia disini — Peringatan Keamanan |
| Chrome pada Mac OS | Patch telah tersedia |
| Chrome pada Android | Patch telah tersedia |
| Safari pada Mac OS | Patch tersedia disini |
| Safari pada iOS | iOS 8 Patch tersedia disini |
| Stock Android Browser | |
| Blackberry Browser | |
| Opera pada Mac OS | Patch available now |
Pengguna web browser diatas disarankan untuk segera melakukan update. Hanya saja untuk perangkat mobile update tidak dapat hanya dilakukan pada browsernya saja, OS nya juga harus diupdate. Peneliti Inria menemukan browser yang kebal terhadap serangan Freak ini hanya Firefox serta Chrome pada Windows. Untuk menguji apakah browser yang kita aman dari celah keamanan ini dapat mengunjungi halaman berikut ini:
https://freakattack.com/clienttest.html
https://www.smacktls.com/freak/
Sementara untuk webserver yang bermasalah adalah webserver yang menyediakan fungsi RSA_EXPORT cipher. Bila anda seorang admin web, untuk menguji apakah webserver anda bermasalah dapat menggunakan link berikut
https://tools.keycdn.com/freak
https://www.ssllabs.com/ssltest/
bahan bacaan lanjut tentang celah keamanan ini dapat dilihat pada web berikut:
Peneliti keamanan bahkan menyediakan video demo contoh penyerangan menggunakan freak attack ini pada alamat berikut:
Ayo segera update :)
Satu tanggapan untuk “Celah Keamanan Freak Flaw”
terimakasih informasinya ya mi..
semoga bermanfaat bagi semua pembaca
salam sukses terus..