Para hacker berhasil membuat sertifikat kekuasaan (CA) web palsu

| Jumat, 11 Desember 2009
Jangan terlalu yakin beranggapan bahwa sebuah website yang memiliki awalan web 'https' sudah pasti aman.

Berikut pengertian alamat web dengan awalan 'https' dari wikipedia:

https adalah versi aman dari HTTP, protokol komunikasi dari World Wide Web. Ditemukan oleh Netscape Communications Corporation untuk menyediakan autentikasi dan komunikasi tersandi dan penggunaan dalam komersi elektris.

Selain menggunakan komunikasi plain text, HTTPS menyandikan data sesi menggunakan protokol SSL (Secure Socket layer) atau protokol TLS (Transport Layer Security). Kedua protokol tersebut memberikan perlindungan yang memadai dari serangan eavesdroppers, dan man in the middle attacks. Pada umumnya port HTTPS adalah 443.

Alamat web dengan awalan 'https' bukan berarti bahwa web tersebut sepenuhnya aman dan penggunanya dapat begitu saja mempercayai setiap website yang memiliki alamat web dengan awalan 'https'.

Dan hal itu dibuktikan oleh para hacker (peneliti keamanan) gabungan dari beberapa negara yaitu Jerman, Belanda, Swis dan Amerika Serikat. Mereka berhasil membongkar kelemahan yang terdapat dalam protokol SSL dan menciptakan sertifikat kekuasaan (Certificate Authority/CA) palsu. Hal tersebut dimungkinkan oleh para hacker tersebut dengan memanfaatkan bug yang terdapat di algoritma hashing MD5 sehingga akhirnya mereka bisa membuat sertifikat digital palsu .

Para hacker menggunakan 200 konsol PS 3 untuk membuat sertifikat palsu dan bug ini bisa dimanfaatkan oleh para penjahat internet untuk melancarkan aksi phishing dengan membuat sebuah website yang memiliki sertifikat kekuasaan (CA) palsu.

Para hacker tersebut direncanakan akan mengumumkan hasil penelitiannya pada ajang Chaos Communication Congress, sebuah konferensi hacker yang diadakan di kota Berlin.

Peneliti keamanan menghimbau agar browser-browser dan CA yang ada saat ini untuk berhenti menggunakan algoritma MD5 dan bermigrasi ke alternatif algoritma lain yang lebih aman seperti standar SHA-2 dan SHA-3 yang akan datang.

Jadi berhati-hatilah jika anda mengunjungi website dengan awalan 'https' seperti layanan e-banking atau toko online, karena 'https' tidak akan menjamin 100% web tersebut aman.

0 komentar:

Posting Komentar

Next Prev
▲Top▲