POODLE Attack: Arti, Cara Kerja, dan Tips Mengatasinya!

Setelah bumi siber sempat dihebohkan oleh Heartbleed, tidak lama kemudian pada tahun 2014 muncul lagi sebuah kerentanan keamanan berjulukan POODLE. 

Nama ini adalah akronim dari Padding Oracle On Downgraded Legacy Encryption.

Sekilas Mengenai POODLE Attack

Seperti namanya, POODLE adalah serangan nan mengeksploitasi kelemahan pada protokol enkripsi legacy, secara spesifik menargetkan SSL jenis 3 (SSLv3). 

Meskipun pada 2014 protokol SSLv3 sudah dianggap antik dan tidak aman, banyak server dan browser tetap mengaktifkannya demi menjaga kompatibilitas dengan perangkat alias sistem lama.

POODLE memanfaatkan celah pada gimana blok info “diisi” (padded) ketika menggunakan mode enkripsi Cipher Block Chaining (CBC) di dalam SSLv3.

Serangan ini memanfaatkan peretas nan berada di posisi Man-in-the-Middle (MitM) untuk mendekripsi potongan info sensitif nan dikirim melalui hubungan terenkripsi tersebut. 

Data nan bisa dicuri di antaranya session cookie, info formulir, dan info rahasia lainnya, walaupun prosesnya memerlukan banyak permintaan dan dilakukan byte demi byte.

Istilah “Downgraded Legacy Encryption” dalam nama POODLE juga tak kalah penting. 

Sebab, ini merujuk pada kebenaran bahwa serangan ini didahului oleh upaya peretas untuk ‘memaksa’ hubungan nan semestinya bisa menggunakan TLS nan lebih kondusif agar turun kelas (downgrade) ke protokol SSLv3 nan rentan.

Setelah POODLE dipublikasikan, organisasi keamanan dan para vendor teknologi sepakat untuk menonaktifkan support SSLv3 pada produk-produk mereka.

Cara Kerja POODLE Attack!

Serangan ini memanfaatkan kelemahan protokol keamanan internet jenis SSLv3 ketika dikombinasikan dengan metode enkripsi CBC. 

Kelemahan ini digunakan peretas untuk menebak potongan mini info rahasia secara bertahap.

Ada syarat agar serangan berhasil, yakni:

1. Peretas kudu bisa mengintip dan mengubah info nan lewat antara korban dan server.
2. Koneksi kudu menggunakan SSLv3. Kalaupun normalnya pakai nan lebih baru, peretas bakal coba memaksa pakai SSLv3 dulu.
3. Metode enkripsi nan dipakai kudu jenis CBC.

Saat info dienkripsi pakai SSLv3 mode CBC, kadang perlu ditambahkan padding agar ukurannya pas. Aturan pengisian di SSLv3 ini agak longgar.

Ketika server menerima info terenkripsi, dia bakal membuka enkripsinya lampau memeriksa dua hal:

1. Apakah padding bentuknya benar?
2. Apakah info keseluruhan tetap asli?

Di SSLv3, server memeriksa padding sebelum memeriksa keaslian data. 

Parahnya lagi, server memberikan pesan error nan berbeda jika nan salah adalah byte pengisi-nya, dibandingkan jika nan salah adalah keaslian datanya.

Perbedaan jenis pesan error inilah nan menjadi bocoran bagi penyerang.

Cara Mengetahui Website Terkena POODLE Attack

Sangat susah bagi pengguna biasa untuk mengetahui apakah serangan POODLE terjadi pada hubungan mereka. 

Sebab itu, nan bisa kita lakukan adalah memeriksa apakah sebuah website alias server rentan terhadap serangan ini.

Kunci utama kerentanan POODLE adalah penggunaan protokol SSLv3. 

Jadi, langkah paling efektif untuk mengetahui apakah sebuah website bisa terkena POODLE adalah dengan memeriksa:

Apakah server website tersebut tetap mengizinkan alias mendukung hubungan menggunakan protokol SSLv3?

• Jika server masih mendukung SSLv3, maka dia rentan terhadap POODLE.
• Jika server sudah menonaktifkan SSLv3, maka dia aman dari serangan POODLE.

Berikut cara-cara untuk memeriksa SSLv3 di sebuah server:

1. Menggunakan Alat Pemindai SSL/TLS

Gunakan Qualys SSL Labs’ SSL Server Test alias sejenisnya. Masukkan nama domain website nan mau diperiksa.

Setelah kajian selesai, lihat bagian “Configuration” dan sub-bagian “Protocols”.

Cari baris untuk SSL 3. 

Jika nilainya tertulis “Yes” alias didukung, berfaedah server tersebut rentan terhadap POODLE. Seharusnya, status untuk SSL 2 dan SSL 3 kudu “No”.

2. Menggunakan Command-line tool

Kalau mempunyai akses ke terminal alias command prompt, Anda bisa menggunakan perintah seperti openssl s_client untuk mencoba membikin hubungan unik menggunakan SSLv3 ke server.

Contoh: openssl s_client -connect namadomain.com:443 -ssl3

Jika hubungan sukses terjalin, berfaedah server mendukung SSLv3. 

Jika kandas dengan pesan error mengenai protokol, kemungkinan besar SSLv3 sudah dinonaktifkan. Alat nmap dengan skrip ssl-enum-ciphers juga bisa digunakan.

3. Memeriksa Konfigurasi Server 

Jika Anda adalah pengurus server, langkah paling pasti adalah memeriksa langsung file konfigurasi server web.

Misalnya httpd.conf, ssl.conf untuk Apache; nginx.conf untuk Nginx; alias pengaturan Registry untuk IIS dan pastikan direktif untuk protokol SSL/TLS tidak mencantumkan SSLv3.

Begini Cara Mengatasi POODLE Attack!

Berita baiknya adalah, lantaran POODLE menargetkan kelemahan protokol SSLv3 nan sudah sangat usang, langkah mengatasinya sangatlah jelas dan tegas. 

Langkah ini menjadi tanggung jawab pengurus server alias pengelola website.

Solusi paling utama, paling efektif, dan wajib dilakukan adalah:

Nonaktifkan Protokol SSLv3 Sepenuhnya di Server!

Protokol ini sudah terlalu tua dan mempunyai banyak kelemahan inheren selain nan dieksploitasi oleh POODLE.

Berikut langkah-langkah umum untuk menonaktifkan SSLv3:

1. Modifikasi Konfigurasi Server Web:

Temukan dan edit file konfigurasi server web Anda nan bertanggung jawab atas pengaturan SSL/TLS. 

Lokasi dan nama file ini bervariasi. Misalnya, httpd.conf, ssl.conf untuk Apache; nginx.conf untuk Nginx; pengaturan Registry alias web.config untuk IIS.

Cari baris alias direktif nan menentukan jenis protokol SSL/TLS nan diizinkan. Direktif ini biasanya berjulukan SSLProtocol (Apache) alias ssl_protocols (Nginx).

Atur konfigurasi tersebut agar tidak menyertakan SSLv3. Idealnya, Anda juga kudu menonaktifkan SSLv2, TLSv1.0, dan TLSv1.1.

Pastikan konfigurasi hanya mengizinkan protokol modern: TLSv1.2 dan TLSv1.3.

Contoh: 

• Untuk Apache: SSLProtocol -all +TLSv1.2 +TLSv1.3
• Untuk Nginx: ssl_protocols TLSv1.2 TLSv1.3;

Simpan perubahan pada file konfigurasi.

Restart jasa server web Anda agar perubahan konfigurasi diterapkan. 

2. Verifikasi Konfigurasi

Setelah melakukan perubahan dan me-restart server, gunakan kembali perangkat pemindai keamanan seperti Qualys SSL Labs dan sejenisnya untuk memastikan SSLv3 sudah tidak lagi terdeteksi aktif di servermu.

3. Mencegah Serangan Downgrade (TLS_FALLBACK_SCSV)

Sebagai lapisan pertahanan tambahan, pastikan servermu mendukung sistem TLS_FALLBACK_SCSV. 

Fitur ini memberi sinyal ke server jika browser mencoba terhubung dengan protokol nan lebih rendah dari jenis tertinggi nan didukung. Jadi, server bisa menolak hubungan tersebut. 

Kebanyakan server terbaru sudah mendukung ini jika dikonfigurasi dengan betul untuk TLS 1.2/1.3.

4. Pastikan Browser Selalu Terbaru

Seperti nan sudah dibahas, browser modern sudah tidak lagi mendukung SSLv3 secara default. 

Menjaga browser tetap up-to-date adalah langkah terbaik dari sisi pengguna untuk terlindung dari banyak ancaman, termasuk pengaruh dari protokol usang seperti SSLv3.

Jaga Keamanan Website GudPeople dengan SSL dari GudangSSL!

POODLE Attack memang serangan nan sudah lama terjadi dan protokol penyebabnya (SSLv3) sebagian besar sudah tidak digunakan lagi.

Namun, kita kudu tetap waspada terhadap potensi adanya sistem lama alias konfigurasi keamanan nan belum diperbaiki.

Pastikan website Anda menggunakan SSL terbaru dari penyedia SSL tepercaya, ya, seperti GudangSSL!

GudangSSL menawarkan beragam produk SSL dari brand ternama, seperti Sectigo, AlphaSSL, Globalsign, Geotrust, RapidSSL, dan banyak lagi. Kamu bisa pilih sesuai kebutuhan websitemu!

Harga sertifikat SSL di GudangSSL juga 30% lebih irit dibandingkan Certificate Authority (CA)!

Butuh support alias mau tahu tentang SSL lebih lanjut? Jangan sungkan menghubungi tim customer support kami, ya!

HUBUNGI KAMI SEKARANG!

Yuk, mulai instal SSL dan amankan websitemu sekarang!