Heartbleed, Temuan Vulnerability “Heartbeat” pada OpenSSL

Pekan ini menjadi salah satu pekan yang bersejarah di jagat internet (hahah), setelah ditemukannya celah keamanan extension heartbeat pada OpenSSL, kemudian bug tersebut disebut dengan istilah “Heartbleed“. OpenSSL adalah engine SSL yang dipergunakan luas oleh webserver di internet. Sebut saja webserver Apache, Nginx, dll rata-rata dalam melakukan enkripsi menggunakan OpenSSL, sebuah engine SSL versi Open Source. Menurut netcraft, setengah juta-an trusted websites vulnerable terhadap bug heartbleed. Akibat temuan vulnerability ini, sudah pasti akan ada “patch massal” pada website-website di jagat internet.

Continue reading “Heartbleed, Temuan Vulnerability “Heartbeat” pada OpenSSL”

SSH Tunneling

Ketika kita berada di jaringan wi-fi tempat umum dan merasa takut untuk berselancar di internet dengan pengiriman paket yang plaintext, maka manfaatkanlah salah satu protokol tunneling bernama SSH sehingga koneksi anda menjadi aman -setidaknya- sampai di server SSH tunnel =P. Selain SSH salah satu contoh protokol tunneling yang lain adalah SSL. Tunneling protokol dapat membungkus data ‘protokol-protokol lain’ yang dibawa bersama koneksi tunneling protokol tersebut. Ambil contoh HTTPS… Sebenarnya adalah data protokol ‘http’ yang dikirimkan melalui koneksi SSL a.k.a HTTP over SSL. Jadi tunneling berarti melakukan pengiriman data melalui koneksi lain yang sudah terbentuk. Perbedaan antara tunneling protokol SSL dan SSH adalah SSL menggunakan certificate format X.509 yang diverifikasi oleh CA (Certificate Authority) resmi sedangkan SSH tidak menggunakan publik key certificate.

Continue reading “SSH Tunneling”

Mengendus (Sniffing) Data pada Koneksi HTTP

Dalam postingan ini, mari kita lihat bahayanya mengirim DATA PENTING dengan koneksi yang menggunakan HTTP. Pengiriman (POST) data kalo menggunakan koneksi HTTP, tidak dienkripsi. Jadi data yang dikirimkan lalu lalang di jaringan dalam bentuk plain text. Tapi sekali lagi, selama data itu tidaklah penting, seperti obrolan ringan di email, isi pesan ke “wall” facebook teman anda, dsb, tidak apa-apa menggunakan koneksi HTTP. Karena mungkin dampak/resiko yang terjadi jika pun ada yang mengintipnya, tidak akan berpengaruh terhadap Anda. Tapi bagaimana jika data yang anda kirimkan adalah password email, obrolan rahasia bisnis di email, dsb? Kalo masih belum percaya, mari kita praktekkan. Untuk percobaan kali ini, saya menggunakan tools sniffer yang sudah sangat terkenal. Namanya Wireshark (a.k.a Ethereal).

Continue reading “Mengendus (Sniffing) Data pada Koneksi HTTP”