Sulit untuk membungkus pikiran kita di sekitar semua malapetaka Internet ini ketika terjadi, dan seperti yang kita pikir Internet aman lagi setelah Heartbleed dan Shellshock mengancam akan "mengakhiri hidup seperti yang kita tahu," keluarlah POODLE.
Jangan terlalu sibuk karena tidak seakan kedengarannya. Yang benar adalah bahwa ini adalah masalah yang harus diperhatikan, tetapi ada langkah-langkah sederhana yang dapat Anda ambil untuk melindungi diri Anda sendiri.
Mari kita mulai di lantai dasar. Apa itu POODLE? Pertama, itu singkatan dari “Padding Oracle On Downgrade Enkripsi Legacy. ”Masalah keamanan adalah persis seperti apa namanya, downgrade protokol yang memungkinkan eksploit pada bentuk enkripsi yang ketinggalan jaman. Masalah ini menjadi perhatian dunia bulan ini ketika Google merilis sebuah makalah yang disebut "Ini POODLE Bites: Eksploitasi The SSL 3.0 Fallback".
Untuk menjelaskan hal ini dengan lebih sederhana, jika penyerang yang menggunakan serangan Man-In-The-Middle dapat mengendalikan router di hotspot publik, mereka dapat memaksa browser Anda untuk downgrade ke SSL 3.0 (protokol yang lebih lama) daripada menggunakan jauh lebih modern TLS (Transport Layer Security), dan kemudian mengeksploitasi lubang keamanan di SSL untuk membajak sesi browser Anda. Karena masalah ini ada di protokol, semua yang menggunakan SSL terpengaruh.
Selama kedua server dan klien (browser web) mendukung SSL 3.0, penyerang dapat memaksa downgrade dalam protokol, sehingga bahkan jika browser Anda mencoba menggunakan TLS, akhirnya terpaksa menggunakan SSL. Satu-satunya jawaban adalah untuk kedua sisi atau kedua belah pihak untuk menghapus dukungan untuk SSL, menghapus kemungkinan diturunkannya peringkat.
Jika Anda hanya menjelajah dari rumah dan tidak menggunakan hotspot publik, potensi kerusakannya cukup rendah, dan Anda bisa mengambil langkah-langkah mudah yang dijelaskan nanti di artikel untuk melindungi diri Anda. Jika Anda sering menggunakan hotspot publik, mungkin sudah waktunya untuk berpikir tentang menggunakan VPN.
Karena tidak ada cara untuk menyelesaikan masalah dengan SSL, satu-satunya solusi adalah untuk pembuat peramban dan server web untuk meningkatkan semuanya untuk menghapus dukungan untuk SSL dan hanya memerlukan enkripsi TLS.
Google dan Firefox telah mengumumkan bahwa mereka akan menghapus dukungan di masa depan, dan sementara kami belum (belum) mendengar hal yang sama dari Microsoft, itu sangat mudah sebagai pengguna akhir untuk menonaktifkan SSL 3.0 di IE. Sebagian besar perusahaan web besar menghapus dukungan untuk SSL setelah masalah ini terungkap, tetapi akan membutuhkan waktu beberapa saat bagi semua orang untuk melakukannya.
Sebagai konsumen, Anda dapat menghapus dukungan untuk SSL dari peramban Anda menggunakan salah satu metode yang diuraikan di bawah - atau jika Anda menggunakan Firefox atau Google Chrome dan tidak menggunakan hotspot sepanjang waktu, Anda dapat menunggu mereka memperbarui peramban. Atau Anda dapat memastikan bahwa Anda memperbaiki masalahnya sendiri.
Jika Anda adalah pengguna Mozilla Firefox, kekhawatiran SSL 3.0 Anda akan diletakkan pada tanggal 25 November 2014 ketika Fireox 34 dirilis. Satu-satunya masalah dengan ini adalah bahwa itu belum November dan Anda perlu mengambil tindakan untuk melindungi diri Anda sekarang. Mulailah dengan membuka browser Firefox Anda dan menavigasi ke halaman unduhan Versi Pengunduhan SSL di Firefox.
Setelah berhasil dipasang, Anda dapat memasukkan "about: addons" ke bilah navigasi dan memilih ekstensi "Kontrol Versi SSL". Anda dapat mengklik "Opsi" untuk melihat pengaturan untuk ekstensi. Pastikan bahwa "Pembaruan Otomatis" diaktifkan dan "Versi Minimum SSL" diatur ke "TLS 1.0"
Setelah Firefox 34 dirilis, Anda bebas menonaktifkan ekstensi atau menghapusnya.
Jika Anda pengguna Google Chrome, Anda dapat yakin bahwa SSL 3.0 akan dinonaktifkan dalam beberapa bulan mendatang, meskipun mereka belum menetapkan tanggal. Jika Anda ingin melindungi diri Anda sekarang, itu dapat dilakukan dengan beberapa langkah sederhana. Cukup buka ikon desktop Google Chrome Anda dan klik kanan padanya lalu pilih "Properties" di bagian bawah menu popup.
Di jendela "Properties" Anda akan melihat kotak input teks yang bertuliskan "Target." Cukup klik di kotak ini dan tekan tombol "End" pada keyboard Anda. Selanjutnya, tekan "Spasi" dan salin dan tempel teks ini ke bagian akhir.
--ssl-version-min = tls1
Tekan "Apply" lalu klik "Continue" di jendela popup lalu tekan "OK."
Sekarang browser Anda akan secara otomatis menolak sertifikat SSL 3.0 dan hanya menerima TLS 1.0 dan lebih tinggi. Perlu dicatat bahwa jika Anda meluncurkan Chrome melalui pintasan lain di komputer Anda, itu tidak akan menggunakan bendera ini.
Microsoft belum mengumumkan kapan mereka berencana untuk mengatasi masalah SSL 3.0 sehingga yang terbaik adalah menonaktifkannya sendiri dengan membuka menu "Start" dan mengetikkan "Opsi Internet."
Buka tab "Advanced" dan gulir ke bawah ke bagian "Keamanan" sampai Anda melihat opsi SSL dan TLS, dan kemudian hapus centang opsi untuk Menggunakan SSL 3.0, dan mengaktifkan TLS sebagai gantinya.
Dengan cara ini Anda dapat memastikan bahwa semua peramban Internet Anda aman dari semua serangan POODLE yang potensial.
Kredit Gambar: Karen on Flickr
