Senin, 20 Oktober 2014

Bugs POODLE - Celah Keamanan Pada SSL v3.0



Tanggal 14 Oktober pihak google sudah mengeluarkan rincian dari kerentanan dalam desain SSL versi 3.0. Penyerang dapat mendapatkan akses terhadap data sensitive melalui session web yang tereknripsi seperti password, cookies, dan autentikasi lainnya. Bodo M√∂ller menemukan masalah ini bekerjasama dengan Thai Duong dan Krzysztof Kotowicz (juga Googler).

Protokol SSL ini telah ada sejak 18 tahun yang lalu. Protokol ini telah digantikan oleh TLS 1.0 TLS 1.1 dan TLS 1.2. Walaupun begitu masih banyak server yang masih support terhadap SSL 3.0 ini. Layanan TLS  menyediakan sebuah fungsi downgrade dance. Maksudnya adalah awalnya pada saat handshake, server akan menawarkan protokol keamanan tertinggi misalnya TLS, tapi bila client ternyata tidak support terhadap protokol tersebut maka server akan menawarkan protokol security yang lebih rendah.

Nah ketiga peneliti diatas menemukan jenis serangan yang dapat meminta server untuk tidak menggunakan protokol TLS, tapi menggunakan protokol SSL 3.0  (downgrade dance). Setelah melakukan downgrade maka penyerang akan dengan mudah menjebol protokol SSL ini dan dapat mencuri http cookies atau http authorization header content. Kelemahan protokol SSL 3.0 ini  karena menggunakan enkripsi RC4 stream cipher atau Block cipher (CBC). Pata website kelemahan ini bisa dieksploitasi dengan serangan man in middel attack, penyerang mencuri HTTP cookies kemudian mendecrypt cookies dengan teknik serangan BEAST.

Banyak layanan yang rawan terhadap serangan Poodle ini,  Apache, nginx, Postfix, Dovecot, HAProxyserver dan puppet. Pada sisi client browser Firefox, Internet Explorer, Chrome, juga masih support SSL 3.0. Untuk menangani serangan ini dianjurkan untuk menonaktifkan protokol SSL 3.0 dan menggunakan TLS- Fallback- SCSV.

Ada layanan yang dapat digunakan untuk menguji apakah server kita rawan terhadap celah keamanan ini, silahkan dicoba disini http://www.poodlescan.com/

Beberapa bahan bacaan tentang celah keamanan ini bisa dilihat disini:

http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
https://www.us-cert.gov/ncas/alerts/TA14-290A
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566


Saat ini satu-satunya cara untuk mengatasi bug tersebut adalah dengan menonaktifkan (disable) SSLv3, cara nya :

Debian/Ubuntu
Buka file /etc/apache2/mods-available/ssl.conf dibagian SSLProtocol ubah menjadi

SSLProtocol all -SSLv2 -SSLv3

restart Apache

service apache2 restart

Fedora/RedHat/CentOS
Buka file /etc/httpd/conf.d/ssl.conf dibagian SSLProtocol ubah menjadi

SSLProtocol all -SSLv2 -SSLv3

restart Apache

service apache2 restart

Menonaktifkan SSL 3.0, atau CBC-mode cipher dengan SSL v3.0, bisa digunakan untuk mencegah masalah ini, tetapi akan menyebabkan masalah kompatibilitas yang signifikan pada webserver, Oleh karena itu respon yang kami rekomendasikan adalah untuk mengaktifkan TLS_FALLBACK_SCSV. Ini adalah mekanisme yang memecahkan masalah yang disebabkan oleh SSL v3.0. Hal ini juga mencegah downgrade ke TLS 1,2-1,1 atau 1,0 dan  dapat membantu mencegah serangan di masa depan.

Untuk web browser Google Chrome telah mendukung TLS_FALLBACK_SCSV sejak Februari dan dengan demikian akan aman untuk digunakan tanpa masalah kompatibilitas. Selain itu, Google Chrome akan mulai perubahan pengujian hari yang menonaktifkan fallback untuk SSL v3.0. Perubahan ini akan merusak beberapa situs dan situs tersebut akan perlu diperbarui dengan cepat.

Semoga bermanfaat untuk teman semua

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 400171

Tidak ada komentar: