Technology

Waspadai Bermacam Serangan Pada Keamanan Website HTTPS

 

   

Sepeti yang diberitakan sebelumnya, bahwa Heartbleed telah mampu melumpuhkan enkripsi pada website, heartbleed sendiri adalah salah satu bentuk serangan pada enkripsi sebuah jaringan keamanan. Sebenarnya ada beberapa jenis lagi serangan yang harus diperhatikan untuk meningkatkan keamanan pada website Anda. berikut ini adalah beberapa jenis serangan tersebut.

1. BEAST

Beast (Browser Exploit Against SSL/TLS) adalah salah satu serangan yang muncul sejak Sepetember 2011 yang memanfaatkan celah pada Cipher Block Chaining (CBC), secara diam-diam, penyerang bisa mendapatkan token autentikasi dari web browser dan web servernya, serangan ini hanya berdampak pada TLS 1.0

2. CRIME

CRIME (Compression Ratio Info-leak Made Easy), Serangan ini memungkinkan penyerang untuk membuka informasi sensitif yang sedang bergerak di dalam sebuah terowongan SSL terenkripsi. Cara yang paling mudah untuk memanfaatkan kerentanan ini adalah menggunakannya untuk mengambil cookies yang diijinkan oleh aplikasi dan menggunakannya untuk login ke aplikasi sebagai korban. serangan ini memanfaatkan fitur kompresi pada SSL.

3. HEARTBLEED

Serangan yang memanfaatkan bug pada openSSL pada salah satu fiturnya, yaitu Heartbeat. Heartbleed memanfaatkan kelemahan Hertbeat dengan mencuri autentikasi yang digunakan oleh browser dan server untuk saling bertukar data, autentikasi tersebut digunakan penyerang untuk membuka enkripsi data yang dilalui.

4. POODLE

POODLE (Padding Oracle On Downgraded Legacy Encryption) adalah salah satu jenis serangan MITM (man-in-the-middle) yang di gunakan untuk melumpuhkan SSL 3.0. Seorang penyerang dapat memanfaatkan celah ini untuk memulihkan sejumlah plaintext yang dienkripsi menggunakan SSL 3.0. Lalu, bagaimana cara mengatasinya agar website kita aman dari serangan – serangan tersebut? berikut ini adalah beberapa hal yang harus  diperhatikan agar kita terhindar dari serangan – serangan diatas:

1. Menggunakan kunci dengan algoritma SHA256 yang sudah divalidasi oleh CA, saat ini SHA256 adalah algoritma terbaik dan terbaru, SHA256 ini didapatkan ketika Anda mendaftar atau memperpanjang sertifikat digital Anda.

2. Gunakan protokol TLS terbaru jika memungkinkan dengan AES-GCM dengan RC4 sebagai cadangan, hal ini bisa menghindarkan Anda dari BEAST Attack.

3. Matikan SSL 3.0 dan hanya gunakan TLSv1, TLSv1.1, dan TLSv1.2

4. Jika Anda menggunakan openssl, gunakan openssl versi terbaru

5. gunakan https://www.ssllabs.com/ssltest untuk mengetahui tingkat keamanan enkripsi Anda seperti gambar berikut: http://prntscr.com/58bdjl.

Baca juga:

Cara Menjaga Keamanan Teknologi yang Anda Gunakan

3 Plugin Security untuk Meningkatkan Keamanan Pengunaan WordPress

10 Cloud Storage untuk Solusi Keamanan Data Usaha Kecil Anda


Artikel Terkait

Berikan Komentar

Your email address will not be published. Required fields are marked *