2Sep
Sulit membungkus pikiran kita seputar semua malapetaka Internet ini saat terjadi, dan seperti yang kita duga Internet merasa aman lagi setelah Heartbleed dan Shellshock mengancam untuk "mengakhiri hidup seperti yang kita ketahui," keluarlah dari POODLE.
Jangan terlalu banyak bekerja karena tidak mengancam kedengarannya. Yang benar adalah bahwa ini adalah masalah yang harus diperhatikan, namun ada beberapa langkah sederhana yang dapat Anda lakukan untuk melindungi diri Anda sendiri.
Apa itu POODLE?
Mari kita mulai di lantai dasar. Apa itu POODLE?Pertama, singkatan dari " Padding Oracle On Downgrade Enkripsi Legacy ." Masalah keamanan persis seperti namanya, sebuah downgrade protokol yang memungkinkan eksploitasi pada bentuk enkripsi yang sudah ketinggalan zaman. Masalah ini sampai pada perhatian dunia bulan ini ketika Google merilis sebuah makalah berjudul "This POODLE Bites: Pemanfaatan SSL 3.0 fallback".
Untuk menjelaskan hal ini dengan lebih sederhana, jika penyerang menggunakan serangan Man-In-The-Middle dapat mengendalikan router di hotspot umum, mereka dapat memaksa browser Anda untuk melakukan downgrade ke SSL 3.0( protokol lama) daripada menggunakanTLS yang jauh lebih modern( Transport Layer Security), dan kemudian memanfaatkan lubang keamanan di SSL untuk membajak sesi browser Anda. Karena masalah ini ada dalam protokol, apapun yang menggunakan SSL terpengaruh.
Selama server dan klien( browser web) mendukung SSL 3.0, penyerang dapat memaksa downgrade dalam protokol, sehingga walaupun browser Anda mencoba menggunakan TLS, akhirnya SSL terpaksa menggunakan SSL.Satu-satunya jawaban adalah untuk kedua sisi atau kedua sisi untuk menghapus dukungan untuk SSL, menghapus kemungkinan diturunkan.
Jika Anda terutama browsing dari rumah dan tidak menggunakan hotspot publik, potensi kerusakan cukup rendah, dan Anda bisa mengambil langkah mudah yang diuraikan nanti di artikel ini untuk melindungi diri Anda sendiri. Jika Anda sering menggunakan hotspot publik, mungkin sudah saatnya memikirkan penggunaan VPN.
Bagaimana Kita Mengatasi Masalahnya?
Karena tidak ada cara untuk mengatasi masalah dengan SSL, satu-satunya solusi adalah pembuat browser dan server web untuk meng-upgrade semuanya untuk menghapus dukungan untuk SSL dan hanya memerlukan enkripsi TLS.
Google dan Firefox telah mengumumkan bahwa mereka akan menghapus dukungan di masa depan, dan sementara kami belum( belum) mendengar hal yang sama dari Microsoft, sangat mudah bagi pengguna akhir untuk menonaktifkan SSL 3.0 di IE.Sebagian besar perusahaan web besar menghapus dukungan untuk SSL setelah masalah ini terungkap, namun perlu beberapa saat bagi semua orang untuk melakukannya.
Sebagai konsumen, Anda dapat menghapus dukungan untuk SSL dari browser Anda menggunakan salah satu metode yang diuraikan di bawah - atau jika Anda menggunakan Firefox atau Google Chrome dan tidak menggunakan hotspot sepanjang waktu, Anda bisa menunggu mereka memperbarui browser..Atau Anda dapat memastikan bahwa Anda telah memperbaiki masalahnya sendiri.
Menonaktifkan SSL 3.0 di Mozilla Firefox
Jika Anda adalah pengguna Mozilla Firefox, kekhawatiran SSL 3.0 Anda akan tertidur pada tanggal 25 November 2014 saat Fireox 34 dilepaskan. Satu masalah dengan ini adalah bahwa ini belum bulan November dan Anda perlu mengambil tindakan untuk melindungi diri Anda sekarang. Mulailah dengan membuka browser Firefox Anda dan navigasikan ke halaman download Kontrol Versi SSL di Firefox.
Bila telah berhasil diinstal, Anda dapat memasukkan "about: addons" ke dalam panel navigasi dan pilih ekstensi "Versi SSL Control".Anda bisa klik "Options" untuk melihat setting untuk ekstensi. Pastikan "Automatic Updates" aktif dan "Minimum SSL Version" diset ke "TLS 1.0"
Setelah Firefox 34 telah dirilis, Anda dapat bebas untuk menonaktifkan ekstensi atau mencopot pemasangannya.
Menonaktifkan SSL 3.0 di Google Chrome
Jika Anda adalah pengguna Google Chrome, Anda dapat yakin bahwa SSL 3.0 akan dinonaktifkan pada bulan-bulan mendatang, walaupun mereka belum menetapkan tanggal. Jika Anda ingin melindungi diri Anda sekarang, itu bisa dilakukan dalam beberapa langkah sederhana. Cukup masuk ke ikon desktop Google Chrome Anda dan klik kanan padanya lalu pilih "Properties" di bagian bawah menu popup.
Di jendela "Properties" Anda akan melihat kotak input teks yang bertuliskan "Target." Cukup klik di kotak ini dan tekan tombol "End" pada keyboard Anda. Selanjutnya, tekan tombol "Spasi" dan salin dan tempelkan teks ini ke bagian akhir.
--ssl-version-min = tls1Tekan "Apply" lalu klik "Continue" di jendela popup lalu tekan "OK."
Sekarang browser Anda akan secara otomatis menolak sertifikat SSL 3.0 dan hanya menerima TLS 1.0 dan yang lebih tinggi. Perlu dicatat bahwa jika Anda meluncurkan Chrome melalui pintasan lainnya di komputer Anda, tidak akan menggunakan bendera ini.
Menonaktifkan SSL 3.0 di Internet Explorer
Microsoft belum mengumumkan kapan mereka berencana untuk mengatasi masalah SSL 3.0 jadi sebaiknya Anda menonaktifkannya sendiri dengan membuka menu "Start" dan mengetikkan "Opsi Internet".
Pergi keTab "Lanjutan" dan gulir ke bawah ke bagian "Keamanan" sampai Anda melihat opsi SSL dan TLS, kemudian hapus centang opsi untuk Use SSL 3.0, dan aktifkan TLS.
Dengan cara ini Anda dapat yakin bahwa browser Internet Anda aman dari serangan POODLE potensial.
Image Credit: Karen di Flickr