Peneliti Temukan Virus Enkripsi Web Paling Anyar
Rabu, 15 Oktober 2014 16:40 WIB
Infografis: 15 program komputer paling berbahaya versi Kaspersky Lab. (Kaspersky Lab)
"Poodle" yang dalam Bahasa Indonesia berarti anjing pudel adalah akronim dari "Padding Oracle On Downloaded Legacy Encryption".
Masalahnya terletak pada sebuah standard enkripsi web berusia 18 tahun yang disebut SSL 3.0 yang masih luas digunakanan pada browser web dan website.
Bug ini diungkapkan pada makalah ilmiah yang disiarkan Selasa kemarin pada laman OpenSSL Project yang adalah kelompok yang mengembangkan tipe software enkripsi SSL yang masih luas digunakan.
Rumor-rumor yang menyebutkan bug baru dalam software OpenSSL telah menyebar di Twitter dan laman-laman teknologi dalam beberapa hari terakhir, telah mendorong para profesional keamanan jaringan korporat untuk bersiap menghadapi serangan besar pekan ini.
Sejauh ini tahun ini, mereka telah merespons bug "Heartbleed" dalam OpenSSL pada April yang berdampak pada sekitar dua pertiga semua laman dan ribuan produk teknologi lainnya, selain bug "Shellshock" bulan lalu dalam software Unix bernama Bash.
Namun para pakar keamanan internet mengatakan bug yang disingkapkan Selasa malam dan bisa membuat peretas mencuri "cookies" browser itu tidaklah sebahaya dua bug sebelumnya.
"Yang ini sangat rumit. Bug ini menuntut peretas memiliki dulu posisi aman dalam jaringan," kata Ivan Ristic, direktur riset keamanan aplikasi pada Qualys dan juga pakar SSL.
Jeff Moss, pendiri konferensi peretasan Def Con dan penasehat pada Departemen Keamanan Dalam Negeri AS mengatakan bahwa peretas yang berhasil bisa mengeksploitasi bug demi mencuri sesi cookies pada browser untuk mengendalikan akun penyedia email, jejaring sosial dan bank yang memanfaatkan teknologi itu.
Namun untuk menempuhnya, peretes mesti meluncurkan serangan yang menempatkan si penyerang ada di antara korban dan laman yang mereka kunjungi.
Pendekatan yang biasa dilakukan adalah menciptakan hot spot WiFi jadi-jadian di kafe internet, kata dia.
Matthew Green, asisten profesor riset pada jurusan ilmu komputer Universitas Johns Hopkins menyebut kerentanan ini tidak seburuk Heartbleed yang memungkinkan peretas mengintai atau mencuri kuantitas data maha luas atau Shellshock yang membuat peretas bisa mengendalikan komputer dari jarak jauh.
Dia menyarankan kalangan bisnis dan pengguna komputer untuk mematikan teknologi SSL 3.0 dalam server dan browsernya, namun ini adalah proses yang sulit bagi pengguna komputer biasa.
"Memang tidak akan merusak infrastruktu internet, namun ini akan sulit untuk diatasi," kata dia seperti dikutip Reuters.
Masalahnya terletak pada sebuah standard enkripsi web berusia 18 tahun yang disebut SSL 3.0 yang masih luas digunakanan pada browser web dan website.
Bug ini diungkapkan pada makalah ilmiah yang disiarkan Selasa kemarin pada laman OpenSSL Project yang adalah kelompok yang mengembangkan tipe software enkripsi SSL yang masih luas digunakan.
Rumor-rumor yang menyebutkan bug baru dalam software OpenSSL telah menyebar di Twitter dan laman-laman teknologi dalam beberapa hari terakhir, telah mendorong para profesional keamanan jaringan korporat untuk bersiap menghadapi serangan besar pekan ini.
Sejauh ini tahun ini, mereka telah merespons bug "Heartbleed" dalam OpenSSL pada April yang berdampak pada sekitar dua pertiga semua laman dan ribuan produk teknologi lainnya, selain bug "Shellshock" bulan lalu dalam software Unix bernama Bash.
Namun para pakar keamanan internet mengatakan bug yang disingkapkan Selasa malam dan bisa membuat peretas mencuri "cookies" browser itu tidaklah sebahaya dua bug sebelumnya.
"Yang ini sangat rumit. Bug ini menuntut peretas memiliki dulu posisi aman dalam jaringan," kata Ivan Ristic, direktur riset keamanan aplikasi pada Qualys dan juga pakar SSL.
Jeff Moss, pendiri konferensi peretasan Def Con dan penasehat pada Departemen Keamanan Dalam Negeri AS mengatakan bahwa peretas yang berhasil bisa mengeksploitasi bug demi mencuri sesi cookies pada browser untuk mengendalikan akun penyedia email, jejaring sosial dan bank yang memanfaatkan teknologi itu.
Namun untuk menempuhnya, peretes mesti meluncurkan serangan yang menempatkan si penyerang ada di antara korban dan laman yang mereka kunjungi.
Pendekatan yang biasa dilakukan adalah menciptakan hot spot WiFi jadi-jadian di kafe internet, kata dia.
Matthew Green, asisten profesor riset pada jurusan ilmu komputer Universitas Johns Hopkins menyebut kerentanan ini tidak seburuk Heartbleed yang memungkinkan peretas mengintai atau mencuri kuantitas data maha luas atau Shellshock yang membuat peretas bisa mengendalikan komputer dari jarak jauh.
Dia menyarankan kalangan bisnis dan pengguna komputer untuk mematikan teknologi SSL 3.0 dalam server dan browsernya, namun ini adalah proses yang sulit bagi pengguna komputer biasa.
"Memang tidak akan merusak infrastruktu internet, namun ini akan sulit untuk diatasi," kata dia seperti dikutip Reuters.
Pewarta : Antaranews
Editor : Antarajateng
Copyright © ANTARA 2024
Terkait
Terpopuler - Gadget
Lihat Juga
Prancis: Keputusan Donald Trump "Risiko Serius" bagi Tatanan Perdagangan Global
01 February 2017 6:29 WIB, 2017