Setelah dunia siber sempat dihebohkan oleh Heartbleed, tidak lama kemudian pada tahun 2014 muncul lagi sebuah kerentanan keamanan bernama POODLE.
Nama ini adalah akronim dari Padding Oracle On Downgraded Legacy Encryption.
Sekilas Mengenai POODLE Attack
Seperti namanya, POODLE adalah serangan yang mengeksploitasi kelemahan pada protokol enkripsi legacy, secara spesifik menargetkan SSL versi 3 (SSLv3).
Meskipun pada 2014 protokol SSLv3 sudah dianggap kuno dan tidak aman, banyak server dan browser masih mengaktifkannya demi menjaga kompatibilitas dengan perangkat atau sistem lama.
POODLE memanfaatkan celah pada bagaimana blok data “diisi” (padded) ketika menggunakan mode enkripsi Cipher Block Chaining (CBC) di dalam SSLv3.
Serangan ini memanfaatkan peretas yang berada di posisi Man-in-the-Middle (MitM) untuk mendekripsi potongan data sensitif yang dikirim melalui koneksi terenkripsi tersebut.
Data yang bisa dicuri di antaranya session cookie, data formulir, dan informasi rahasia lainnya, walaupun prosesnya memerlukan banyak permintaan dan dilakukan byte demi byte.
Istilah “Downgraded Legacy Encryption” dalam nama POODLE juga tak kalah penting.
Sebab, ini merujuk pada fakta bahwa serangan ini didahului oleh upaya peretas untuk ‘memaksa’ koneksi yang seharusnya bisa menggunakan TLS yang lebih aman agar turun kelas (downgrade) ke protokol SSLv3 yang rentan.
Setelah POODLE dipublikasikan, komunitas keamanan dan para vendor teknologi sepakat untuk menonaktifkan dukungan SSLv3 pada produk-produk mereka.
Cara Kerja POODLE Attack!
Serangan ini memanfaatkan kelemahan protokol keamanan internet versi SSLv3 ketika dikombinasikan dengan metode enkripsi CBC.
Kelemahan ini digunakan peretas untuk menebak potongan kecil data rahasia secara bertahap.
Ada syarat agar serangan berhasil, yakni:
- Peretas harus bisa mengintip dan mengubah data yang lewat antara korban dan server.
- Koneksi harus menggunakan SSLv3. Kalaupun normalnya pakai yang lebih baru, peretas akan coba memaksa pakai SSLv3 dulu.
- Metode enkripsi yang dipakai harus jenis CBC.
Saat data dienkripsi pakai SSLv3 mode CBC, kadang perlu ditambahkan padding agar ukurannya pas. Aturan pengisian di SSLv3 ini agak longgar.
Ketika server menerima data terenkripsi, ia akan membuka enkripsinya lalu memeriksa dua hal:
- Apakah padding bentuknya benar?
- Apakah data keseluruhan masih asli?
Di SSLv3, server memeriksa padding sebelum memeriksa keaslian data.
Parahnya lagi, server memberikan pesan error yang berbeda kalau yang salah adalah byte pengisi-nya, dibandingkan jika yang salah adalah keaslian datanya.
Perbedaan jenis pesan error inilah yang menjadi bocoran bagi penyerang.
Cara Mengetahui Website Terkena POODLE Attack
Sangat sulit bagi pengguna biasa untuk mengetahui apakah serangan POODLE terjadi pada koneksi mereka.
Sebab itu, yang bisa kita lakukan adalah memeriksa apakah sebuah website atau server rentan terhadap serangan ini.
Kunci utama kerentanan POODLE adalah penggunaan protokol SSLv3.
Jadi, cara paling efektif untuk mengetahui apakah sebuah website bisa terkena POODLE adalah dengan memeriksa:
Apakah server website tersebut masih mengizinkan atau mendukung koneksi menggunakan protokol SSLv3?
- Jika server masih mendukung SSLv3, maka ia rentan terhadap POODLE.
- Jika server sudah menonaktifkan SSLv3, maka ia aman dari serangan POODLE.
Berikut cara-cara untuk memeriksa SSLv3 di sebuah server:
1. Menggunakan Alat Pemindai SSL/TLS
Gunakan Qualys SSL Labs’ SSL Server Test atau sejenisnya. Masukkan nama domain website yang ingin diperiksa.
Setelah analisis selesai, lihat bagian “Configuration” dan sub-bagian “Protocols”.
Cari baris untuk SSL 3.
Jika nilainya tertulis “Yes” atau didukung, berarti server tersebut rentan terhadap POODLE. Seharusnya, status untuk SSL 2 dan SSL 3 harus “No”.
2. Menggunakan Command-line tool
Kalau memiliki akses ke terminal atau command prompt, kamu bisa menggunakan perintah seperti openssl s_client untuk mencoba membuat koneksi khusus menggunakan SSLv3 ke server.
Contoh: openssl s_client -connect namadomain.com:443 -ssl3
Jika koneksi berhasil terjalin, berarti server mendukung SSLv3.
Jika gagal dengan pesan error terkait protokol, kemungkinan besar SSLv3 sudah dinonaktifkan. Alat nmap dengan skrip ssl-enum-ciphers juga bisa digunakan.
3. Memeriksa Konfigurasi Server
Jika kamu adalah administrator server, cara paling pasti adalah memeriksa langsung file konfigurasi server web.
Misalnya httpd.conf, ssl.conf untuk Apache; nginx.conf untuk Nginx; atau pengaturan Registry untuk IIS dan pastikan direktif untuk protokol SSL/TLS tidak mencantumkan SSLv3.
Begini Cara Mengatasi POODLE Attack!
Berita baiknya adalah, karena POODLE menargetkan kelemahan protokol SSLv3 yang sudah sangat usang, cara mengatasinya sangatlah jelas dan tegas.
Langkah ini menjadi tanggung jawab administrator server atau pengelola website.
Solusi paling utama, paling efektif, dan wajib dilakukan adalah:
Nonaktifkan Protokol SSLv3 Sepenuhnya di Server!
Protokol ini sudah terlalu tua dan memiliki banyak kelemahan inheren selain yang dieksploitasi oleh POODLE.
Berikut langkah-langkah umum untuk menonaktifkan SSLv3:
1. Modifikasi Konfigurasi Server Web:
Temukan dan edit file konfigurasi server web kamu yang bertanggung jawab atas pengaturan SSL/TLS.
Lokasi dan nama file ini bervariasi. Misalnya, httpd.conf, ssl.conf untuk Apache; nginx.conf untuk Nginx; pengaturan Registry atau web.config untuk IIS.
Cari baris atau direktif yang menentukan versi protokol SSL/TLS yang diizinkan. Direktif ini biasanya bernama SSLProtocol (Apache) atau ssl_protocols (Nginx).
Atur konfigurasi tersebut agar tidak menyertakan SSLv3. Idealnya, kamu juga harus menonaktifkan SSLv2, TLSv1.0, dan TLSv1.1.
Pastikan konfigurasi hanya mengizinkan protokol modern: TLSv1.2 dan TLSv1.3.
Contoh:
- Untuk Apache: SSLProtocol -all +TLSv1.2 +TLSv1.3
- Untuk Nginx: ssl_protocols TLSv1.2 TLSv1.3;
Simpan perubahan pada file konfigurasi.
Restart layanan server web kamu agar perubahan konfigurasi diterapkan.
2. Verifikasi Konfigurasi
Setelah melakukan perubahan dan me-restart server, gunakan kembali alat pemindai keamanan seperti Qualys SSL Labs dan sejenisnya untuk memastikan SSLv3 sudah tidak lagi terdeteksi aktif di servermu.
3. Mencegah Serangan Downgrade (TLS_FALLBACK_SCSV)
Sebagai lapisan pertahanan tambahan, pastikan servermu mendukung mekanisme TLS_FALLBACK_SCSV.
Fitur ini memberi sinyal ke server kalau browser mencoba terhubung dengan protokol yang lebih rendah dari versi tertinggi yang didukung. Jadi, server bisa menolak koneksi tersebut.
Kebanyakan server terbaru sudah mendukung ini jika dikonfigurasi dengan benar untuk TLS 1.2/1.3.
4. Pastikan Browser Selalu Terbaru
Seperti yang sudah dibahas, browser modern sudah tidak lagi mendukung SSLv3 secara default.
Menjaga browser tetap up-to-date adalah langkah terbaik dari sisi pengguna untuk terlindung dari banyak ancaman, termasuk efek dari protokol usang seperti SSLv3.
Jaga Keamanan Website GudPeople dengan SSL dari GudangSSL!
POODLE Attack memang serangan yang sudah lama terjadi dan protokol penyebabnya (SSLv3) sebagian besar sudah tidak digunakan lagi.
Namun, kita harus tetap waspada terhadap potensi adanya sistem lama atau konfigurasi keamanan yang belum diperbaiki.
Pastikan website kamu menggunakan SSL terbaru dari penyedia SSL tepercaya, ya, seperti GudangSSL!
GudangSSL menawarkan berbagai produk SSL dari brand ternama, seperti Sectigo, AlphaSSL, Globalsign, Geotrust, RapidSSL, dan banyak lagi. Kamu bisa pilih sesuai kebutuhan websitemu!
Harga sertifikat SSL di GudangSSL juga 30% lebih hemat dibandingkan Certificate Authority (CA)!
Butuh bantuan atau ingin tahu tentang SSL lebih lanjut? Jangan sungkan menghubungi tim customer support kami, ya!
Yuk, mulai instal SSL dan amankan websitemu sekarang!
