Poodle – celah keamanan SSL 3.0

Tadi malam baru saja ditemukan celah keamanan baru pada SSL. Celah keamanan ini dinamakan Poodle (Padding Oracle on Downgraded Encryption). Celah keamanan ini ditemukan oleh peneliti Google, Bodo Moeller, Thai Duong and Krzysztof Kotowicz. SSL 3.0 merupakan protokol yang lama dan obsolete. Protokol ini telah ada sejak 18 tahun yang lalu. Protokol ini telah digantikan oleh TLS 1.0 TLS 1.1 dan TLS 1.2. Walaupun begitu masih banyak server yang masih support terhadap SSL 3.0 ini. Layanan TLS  menyediakan sebuah fungsi downgrade dance. Maksudnya adalah awalnya pada saat handshake, server akan menawarkan protokol keamanan tertinggi misalnya TLS, tapi bila client ternyata tidak support terhadap protokol tersebut maka server akan menawarkan protokol security yang lebih rendah.

Nah ketiga peneliti diatas menemukan jenis serangan yang dapat meminta server untuk tidak menggunakan protokol TLS, tapi menggunakan protokol SSL 3.0  (downgrade dance). Setelah melakukan downgrade maka penyerang akan dengan mudah menjebol protokol SSL ini dan dapat mencuri http cookies atau http authorization header content. Kelemahan protokol SSL 3.0 ini  karena menggunakan enkripsi RC4 stream cipher atau Block cipher (CBC). Pata website kelemahan ini bisa dieksploitasi dengan serangan man in middel attack, penyerang mencuri HTTP cookies kemudian mendecrypt cookies dengan teknik serangan BEAST.

Banyak layanan yang rawan terhadap serangan Poodle ini,  Apache, nginx, Postfix, Dovecot, HAProxyserver dan puppet. Pada sisi client browser Firefox, Internet Explorer, Chrome, juga masih support SSL 3.0. Untuk menangani serangan ini dianjurkan untuk menonaktifkan protokol SSL 3.0 dan menggunakan TLS- Fallback- SCSV.  Ada layanan yang dapat digunakan untuk menguji apakah server kita rawan terhadap celah keamanan ini, silahkan dicoba disini http://www.poodlescan.com/

Beberapa bahan bacaan tentang celah keamanan ini bisa dilihat disini:

https://www.openssl.org/~bodo/ssl-poodle.pdf

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html

https://isc.sans.edu/forums/diary/POODLE+Turning+off+SSLv3+for+various+servers+and+client+/18837

Semoga bermanfaat!

poodle

One thought on “Poodle – celah keamanan SSL 3.0”

Silahkan tuliskan tanggapan, kritik maupun saran

This site uses Akismet to reduce spam. Learn how your comment data is processed.