Sering kali kita merasa yakin kalau terhubung ke website yang aman, tapi tanpa disadari ternyata data pribadi kita diam-diam bisa dicuri akibat serangan dari peretas.
Salah satu serangan tersebut adalah SSL Stripping.
Apa Itu SSL Stripping?
SSL Stripping adalah sebuah metode serangan yang mengeksploitasi celah keamanan dalam proses pengamanan komunikasi website.
Secara teknis, peretas memanipulasi cara browser pengguna terhubung ke sebuah website.
Jadi, normalnya, website yang aman menggunakan HTTPS.
Nah, dalam serangan SSL Stripping, peretas secara diam-diam mencegah browser pengguna untuk mengubah koneksi dari HTTP (tidak terenkripsi) menjadi HTTPS (terenkripsi).
Karena tidak bisa mengubah koneksi menjadi HTTPS, akibatnya semua informasi yang dikirimkan antara pengguna dan website berjalan tanpa perlindungan enkripsi.
Inilah bahayanya.
Peretas jadi leluasa memantau dan merekam seluruh komunikasi tersebut, seperti data username, password, dan informasi kartu kredit.
Serangan ini masuk kategori “Man-in-the-Middle” karena peretas diam-diam berada di tengah-tengah komunikasi antara pengguna dan website yang dituju.
Sekilas informasi, konsep serangan ini pertama kali dipublikasikan oleh seorang ahli keamanan komputer bernama Moxie Marlinspike pada 2009.
Dalam presentasinya, Marlinspike menjelaskan serangan ini sangat berbahaya karena dapat dilakukan pada berbagai website yang seharusnya aman, secara langsung (real-time), dan sulit terdeteksi pengguna awam.
Cara Kerja SSL Stripping
SSL Stripping dilakukan dengan memanfaatkan celah keamanan dalam proses redirection dari HTTP ke HTTPS.
Secara umum, tahapannya:
1. Peretas memposisikan diri di tengah-tengah koneksi
Caranya beragam, seperti membuat hotspot Wi-Fi palsu, melakukan ARP Spoofing, atau memanipulasi pengaturan DNS .
2. Pengguna mengakses website HTTPS
Saat pengguna mengetikkan alamat website HTTPS, browser akan mengirimkan permintaan awal melalui HTTP.
Kemudian, website merespons dengan pengalihan untuk menggunakan protokol aman (HTTPS) .
3. Peretas mencegat permintaan dan handshake TCP
Peretas yang berada di tengah-tengah koneksi akan mencegat permintaan HTTP dari pengguna.
Akibatnya, browser dan server memulai handshake TCP yang tidak terenkripsi.
Handshake TCP adalah proses klien dan server membuat koneksi. Proses ini melibatkan pertukaran beberapa pesan untuk memastikan kedua belah pihak siap untuk berkomunikasi, yakni:
- SYN: Browser mengirimkan pesan SYN (synchronization) ke server untuk memulai koneksi.
- SYN/ACK: Server merespons dengan pesan SYN/ACK (synchronization/acknowledgment) untuk mengakui permintaan browser dan menunjukkan bahwa ia juga siap untuk membuat koneksi.
- ACK: Browser mengirimkan pesan ACK (acknowledgment) untuk mengonfirmasi penerimaan pesan SYN/ACK dari server.
4. Peretas melakukan SSL stripping
Peretas mencegat semua lalu lintas antara browser dan server. Kemudian, menghapus setiap konten SSL dari permintaan browser sebelum meneruskannya ke server.
Akibatnya, server akan menyediakan versi HTTP halaman tidak terenkripsi, yang kemudian dikirimkan oleh peretas ke browser
Peretas juga membuat dua koneksi terpisah. Mereka akan mempertahankan koneksi HTTP dengan browser dan menyajikan konten yang mereka minta.
Peretas bisa mengakses konten ini dengan membuat koneksi HTTPS mereka sendiri ke server, lalu mengakses halaman yang sama dengan pengguna.
Ya, mereka bahkan tidak perlu membuat salinan website atau aplikasi web.
Yang perlu mereka lakukan hanya menyiapkan proxy server untuk menganalisis koneksi TCP/IP ke URL HTTP dari situs target, memodifikasi respons TCP/IP, dan menghapus setiap permintaan untuk menggunakan HTTPS.
Ini mengelabui browser agar berpikir bahwa tidak ada versi HTTPS dari situs tersebut sama sekali dan mempertahankan koneksi HTTP teks biasa.
5. Pengguna terhubung ke website versi HTTP
Browser pengguna, yang tidak menyadari manipulasi ini, akan terhubung ke website versi HTTP yang tidak aman.
7. Peretas mencuri data
Pada kesempatan ini, peretas mencuri semua informasi yang dikirimkan pengguna melalui koneksi HTTPS yang tidak terenkripsi, seperti informasi login dan data sensitif lainnya.
Sangat berbahaya, kan?
Agar lebih tergambar, Anda bisa coba menonton video ini:
Teknik-teknik yang Digunakan dalam SSL Stripping
Peretas menggunakan beberapa teknik dalam memposisikan diri di tengah-tengah koneksi, antara lain:
| Teknik | Deskripsi | Cara Kerja |
| ARP Spoofing | Mengirimkan pesan ARP (Address Resolution Protocol) palsu ke jaringan lokal. | Peretas mengasosiasikan alamat MAC miliknya dengan alamat IP target. Jadi, semua lalu lintas data yang ditujukan ke target akan dialihkan ke mereka. |
| Man-in-the-Middle Attack (MitM) | peretas diam-diam menyusup di antara dua pihak yang sedang berkomunikasi. | Peretas mencegat, membaca, bahkan memodifikasi data yang dipertukarkan tanpa diketahui oleh kedua belah pihak. |
| Proxy Server | Mengatur proxy server untuk mencegat dan memanipulasi lalu lintas data antara pengguna dan server web. | Dengan mengkonfigurasi komputer target untuk menggunakan proxy server milik peretas, semua lalu lintas data pengguna akan melewati server tersebut dan disadap oleh peretas. |
| Hotspot Wi-Fi Palsu | Membuat hotspot Wi-Fi palsu yang menyerupai hotspot asli.. | Ketika pengguna terhubung ke hotspot palsu tersebut, peretas memiliki akses penuh ke semua lalu lintas data yang melewati jaringan tersebut. |
Bahaya SSL Stripping
1. Pencurian data sensitif
Seperti yang sudah kita singgung sebelumnya, peretas bisa mencuri informasi sensitif, seperti username, password, detail kartu kredit, dan data pribadi lainnya.
Data yang dicuri ini dapat disalahgunakan untuk penipuan, pencurian identitas, atau dijual di pasar gelap.
2. Manipulasi data
SSL Stripping tidak hanya mencuri data, tetapi mengubah data yang ditransfer antara pengguna dan server.
Misalnya, peretas memodifikasi detail transaksi keuangan, seperti nomor rekening tujuan transfer, atau menyisipkan konten berbahaya ke dalam halaman web.
Coba bayangkan bila Anda melakukan transaksi perbankan online dan peretas mengubah nomor rekening tujuan transfer.
Tentu sangat merugikan, kan?
3. Phishing dan penipuan
Bahaya lainnya adalah peretas mengarahkan pengguna ke website palsu atau halaman phishing untuk menipu pengguna agar memberikan lebih banyak data.
Website palsu ini biasanya terlihat sangat mirip dengan website asli sehingga sulit dibedakan.
Akibatnya, pengguna tertipu untuk memasukkan informasi login, detail kartu kredit, atau informasi pribadi lainnya ke website palsu tersebut.
4. Kehilangan kepercayaan
Bagi pemilik website atau perusahaan, serangan SSL stripping dapat menghancurkan reputasi si dan menghilangkan kepercayaan pengguna terhadap sistem keamanan.
Pengguna yang menyadari kerentanan website organisasi terhadap SSL Stripping akan menghindari website tersebut atau enggan bertransaksi online dengan perusahaan tersebut.
Cara Mencegah SSL Stripping
Dari Sisi Pengguna
1. Periksa URL dan ikon gembok
Tanda website sudah aman adalah menggunakan HTTPS dan menampilkan ikon gembok di addres bar.
Seperti ini:
Protokol HTTPS akan selalu diawali dengan “https://” pada alamat web, berbeda dengan “http://” yang tidak aman.
Sementara ikon gembok menandakan koneksi ke website tersebut sudah terenkripsi dan terautentikasi.
Hindari memasukkan informasi sensitif jika ikon gembok tidak ada atau alamat web hanya diawali dengan HTTP, ya!
2. Hindari Wi-Fi publik
Sebisa mungkin, hindarilah penggunaan Wi-Fi publik, khususnya ketika melakukan transaksi yang melibatkan data sensitif.
Sebab, peretas sering menargetkan jaringan Wi-Fi publik yang umumnya tidak aman dan rentan terhadap serangan MitM.
Jika terpaksa menggunakan Wi-Fi publik, sebaiknya aktifkan VPN untuk mengamankan koneksi.
3. Waspadai tautan mencurigakan
Hindari mengklik tautan mencurigakan atau tautan yang Anda terima dari sumber tidak dikenal.
Tautan-tautan tersebut bisa jadi mengarahkan Anda ke website palsu atau halaman phishing yang bertujuan untuk mencuri informasi pribadi.
4. Perbarui browser
Selalu perbarui browser yang Anda gunakan ke versi terbaru untuk memperoleh patch keamanan termutakhir.
Pengembang browser biasanya secara rutin merilis pembaruan untuk menambal celah keamanan, termasuk kerentanan yang dapat dieksploitasi oleh serangan SSL Stripping.
Dari Sisi Administrator Jaringan
1. Aktifkan HTTPS di semua halaman
Sajikan seluruh halaman dan resource dalam website Anda melalui HTTPS, tidak terbatas pada halaman-halaman sensitif seperti formulir login saja.
Tindakan ini menjamin enkripsi pada seluruh komunikasi antara pengguna dan website Anda sehingga mengurangi risiko serangan SSL Stripping.
2. Terapkan HSTS (HTTP Strict Transport Security)
Penerapan HSTS untuk memaksa browser agar selalu terhubung ke website melalui HTTPS. HSTS mencegah peretas melakukan downgrade koneksi ke HTTP yang tidak aman.
Mekanismenya, HSTS menginstruksikan browser bahwa website hanya boleh diakses menggunakan HTTPS.
Browser akan mengingat instruksi ini dan menerapkannya selama periode waktu yang ditentukan oleh field “max-age” dalam header HSTS.
3. Perbarui sertifikat SSL secara berkala
Selalu perbarui, validasi, dan konfigurasi sertifikat SSL Anda dengan benar.
Sertifikat yang kedaluwarsa atau tidak valid akan memunculkan peringatan keamanan pada browser pengguna.
Pengguna bisa saja mengabaikan peringatan ini dan peretas mengeksploitasi situasi tersebut.
4. Gunakan certificate pinning
Certificate pinning memastikan browser hanya menerima sertifikat yang telah ditentukan tersebut saat terhubung ke website.
Penerapan certificate pinning mencegah peretas menggunakan sertifikat palsu dalam melancarkan serangan SSL Stripping.
5. Pantau dan audit keamanan
Jalankan audit keamanan secara teratur untuk mengidentifikasi dan memperbaiki potensi kelemahan pada penerapan HTTPS Anda.
Proses ini mencakup pemeriksaan konfigurasi server, pemindaian kerentanan, dan pemantauan lalu lintas jaringan untuk mendeteksi aktivitas yang mencurigakan.
6. Gunakan Certificate Revocation Lists
Lakukan SSL Certificate Revoked dengan memanfaatkan Certificate Revocation Lists (CRL) untuk mencabut sertifikat SSL/TLS jika sertifikat tersebut dicuri atau disusupi.
Pencabutan ini mencegah browser mempercayai sertifikat tersebut, meskipun sertifikat itu sebenarnya masih valid.
7. Terapkan Content Security Policy (CSP)
Terapkan Content Security Policy (CSP) untuk memberikan administrator jaringan kendali atas sumber daya yang diizinkan untuk dimuat oleh browser pada halaman web.
Anda bisa menggunakan CSP untuk memblokir permintaan HTTP saat halaman dimuat melalui HTTPS. Tindakan ini menutup vektor serangan SSL Stripping lainnya.
Cara Mendeteksi SSL Stripping
Berikut adalah beberapa cara untuk mendeteksi SSL Stripping:
1. Perhatikan URL di Address Bar
Jika URL di address bar browser dimulai dengan http:// (tanpa “s”), bukan https://, berarti koneksi Anda tidak terenkripsi dan kemungkinan besar menjadi target SSL Stripping.
Bahkan jika Anda mengetik https:// secara manual, perhatikan apakah browser mengubahnya kembali menjadi http://.
2. Periksa Ikon Gembok dan Indikator Keamanan
Browser modern biasanya menampilkan ikon gembok di sebelah kiri URL untuk menunjukkan koneksi aman (HTTPS).
Jika gembok ini hilang, itu pertanda buruk.
Selain itu, browser juga biasanya akan menampilkan peringatan keamanan dengan latar belakang merah atau kuning jika koneksi terdeteksi tidak aman.
Jangan pernah mengabaikan peringatan ini, ya!
3. Periksa Sertifikat SSL Secara Manual
Jika Anda melihat ikon gembok, klik ikon tersebut untuk menampilkan detail tentang sertifikat SSL.
Contohnya seperti ini:
- Issued to (Diterbitkan untuk): Pastikan nama domain yang tercantum sesuai website yang Anda kunjungi.
- Issued by (Diterbitkan oleh): Pastikan sertifikat diterbitkan oleh Certificate Authority (CA) terpercaya. Jika CA tidak dikenal atau mencurigakan, jangan lanjutkan.
- Validity Period (Masa Berlaku): Periksa apakah sertifikat masih dalam masa berlakunya.
Jika browser dengan jelas menyatakan koneksi not secure, jangan memasukkan data apapun!
4. Gunakan Ekstensi Browser
Ada ekstensi browser yang dirancang khusus untuk mendeteksi downgrade attack seperti SSL Stripping.
Contohnya HTTPS Everywhere dan Avast Online Security & Privacy.
5. Perhatikan Perilaku Website yang Aneh
Misalnya, jika Anda diarahkan ke halaman login atau halaman lain yang terlihat berbeda dari biasanya, sebaiknya berhati-hati.
Begitu pula jika tiba-tiba ada formulir login atau formulir yang meminta informasi sensitif lainnya di halaman tidak aman (HTTP), jangan memasukkan data apa pun!
Kesimpulan
SSL Stripping adalah serangan man-in-the-middle yang berbahaya karena peretas mencegah browser pengguna membuat koneksi HTTPS yang aman ke sebuah website, memaksa koneksi tetap menggunakan HTTP yang tidak terenkripsi.
Jadi, peretas dapat mencegat, membaca, dan memodifikasi data yang dikirimkan antara pengguna dan website.
Oleh karena itu, memasang sertifikat SSL yang valid sangat penting untuk keamanan website. Namun, pastikan Anda membeli dari penyedia terpercaya, ya, seperti GudangSSL!
Sebagai penyedia SSL terbaik dan termurah di Indonesia, GudangSSL hadir menawarkan berbagai produk SSL dari berbagai brand ternama, seperti Sectigo, Globalsign, Entrust, Sectigo, Symantec, dan banyak lagi.
Harga SSL di GudangSSL juga 30% LEBIH HEMAT daripada CA, lho!
Semua produk SSL mampu bekerja di lebih dari 99% browser! Jika menemui masalah pada SSL, kami siap memberikan GARANSI 15 HARI setelah SSL diaktifkan!
Punya pertanyaan? Jangan sungkan menghubungi customer support kami, ya!
Jadikan website #MakinAman bersama GudangSSL!
