Bobolnya Kemanan Internet

Pihak yang seharusnya menjaga ternyata kebobolan juga. Hal itulah yang terjadi pada DigiNotar, lembaga security asal Belanda yang memiliki wewenang mengeluarkan sertifikasi keamanan. Alhasil, pengguna web pun terancam keamanannya.

Sebelum kita membahas kasus yang menimpa DigiNotar dan konsekuensi buruk di baliknya, ada baiknya jika kita memahami dulu sistem kerja dari protokol HTTPS alias HTTP Secure. Protokol ini merupakan gabungan dari protokol HTTP dengan SSL/TLS yang bertujuan memberi keamanan ekstra bagi pengguna internet.

Apa sih bedanya? Pada HTTP biasa, lalu lintas data dari server di internet dengan komputer pengguna berjalan “polos” tanpa perlindungan apapun. Metode ini jamak dilakukan untuk mengakses situs standar, seperti Kompas.com atau InfoKomputer.com. Jika ada orang iseng “mencegat” data tersebut, toh yang dilihat cuma teks berisi berita. read more

Namun metode HTTP menjadi tidak cocok jika digunakan mengakses Gmail, Facebook, dan semua layanan yang membutuhkan username dan password. Soalnya ketika Anda mengirim username dan password ke server-server tersebut, orang bisa mencegat data yang dikirim dan memperoleh username dan password Anda. Itulah sebabnya, situs seperti ini menggunakan protokol HTTPS dan bukan HTTP.

Pada protokol HTTPS, seluruh lalu lintas data dienkripsi alias diacak dengan kunci yang diberikan situs layanan tersebut. Ketika mengakses https://www.facebook.com, selain menerima halaman utama Facebook bernuansa biru itu, Anda (atau lebih tepatnya browser yang Anda gunakan) sebenarnya menerima sebuah public key yang dikirim oleh Facebook.

Ketika Anda kemudian memasukkan username dan password, data tersebut langsung dienkripsi menggunakan public key tersebut. Pembuka kunci enkripsi itu hanya dimiliki Facebook, sehingga hanya mereka yang bisa membukanya. Jadi meski ada orang iseng yang mencegat data tersebut, yang mereka dapatkan hanya data terenkripsi yang sulit dibaca.

Karena dienkripsi, lalulintas data menjadi aman dong? Well, ternyata tidak juga.

Meski lebih aman, protokol HTTPS tetap rentan penyalahgunaan. Dua metode penyalahgunaan yang sering dilakukan adalah phishing dan Man-in-the-middle(MITM).

Pada kedua metode tersebut, hacker alias orang yang berniat jahat bisa membuat situs tiruan yang nyaris sama dengan situs asli—termasuk membuatnya dengan protokol HTTPS.

Ketika calon mangsa terjebak dan masuk ke situs palsu tersebut, sang hacker tetap akan mengirimkan public key dan halaman yang persis seperti situs aslinya. Bedanya, kunci pembuka public key tersebut dimiliki oleh sang hacker. Alhasil, enkripsi HTTPS tidak berguna lagi dan sang hacker tetap bisa mendapatkan username dan password Anda.

Itulah sebabnya konsep HTTPS perlu mendapat pengamanan lebih dari browser melalui sistemsertifikat digital. Secara konsep, sertifikat digital ini mirip seperti sertifikasi Halal yang dikeluarkan MUI. Setiap kali browser menerima public key dari sebuah situs, ia akan mengecek apakah penerbit public key tersebut mendapat sertifikat “halal” (atau dalam hal ini berarti aman) yang diterbitkan “MUI”-nya internet.

Jika tidak, browser akan mengeluarkan peringatan seperti gambar di atas. Peringatan itu kurang lebih menyebutkan kalau browser tidak menemukan sertifikat yang valid atau sertifikat yang ada tidak dipercaya oleh browser. Anda pun disarankan untuk balik badan dan batal mengunjungi situs tersebut.

Lembaga yang dapat mengeluarkan sertifikat digital ini sendiri disebut Certificate Authority (CA). Setiap menerbitkan sebuah sertifikat digital, CA akan memberikan publik key yang bisa digunakan situs bersangkutan kepada setiap orang yang mengaksesnya. Ketika Anda mengakses situs tersebut, dan browser mengecek validitas sertifikat, si CA seperti berkata ke browser “tenang, situs ini terpercaya kok”.

Ada ratusan lembaga CA di dunia, beberapa yang terkenal adalah adalah VeriSign, GoDaddy, dan Comodo. Yang perlu dicatat, setiap browser sudah dilengkapi daftar CA yang terpercaya, yang merupakan hasil audit lembaga independen WebTrust. Jadi, tidak semua lembaga CA masuk ke daftar terpercaya si browser.

Jika ingin mengecek daftar ini, coba lihat di setting browser Anda. Untuk Google Chrome, daftar itu ada di Options>Under the Hood>Manage Certificates. Sementara untuk Firefox ada di Edit>Preferences> Advanced>Certificates>Manage Certificates.

Lembaga CA sendiri sangat berhati-hati memberi sertifikat CA kepada sebuah situs. Mereka akan mengecek latar belakang perusahaan, orang yang bertanggung jawab terhadap securitysitus tersebut, bahkan terkadang melakukan konfirmasi silang ke lembaga pemerintahan yang bersangkutan. Harga sebuah sertifikat juga tidak murah, yaitu sekitar US$400-1500 untuk produk-produk VeriSign.

Itulah mengapa banyak situs internal perusahaan tidak memiliki sertifikat digital. Jika situs tersebut memang terpercaya, Anda tinggal masukkan alamat situs tersebut ke databasebrowser. Namun untuk situs publik (apalagi perbankan), harus/wajib/kudu memiliki sertifikat digital. Namun, kasus yang menimpa DigiNotar menimbulkan pertanyaan besar soal keefektifan sertifikat digital.

Yang terjadi di DigiNotar adalah seoranghacker bisa masuk ke database CA asal Belanda tersebut dan mencuri sertifikat digital.

Tidak main-main, sertifikat digital yang dicuri berjumlah 531 buah yang digunakan Google, Facebook, Skype, Mozilla, Twitter, bahkan lembaga keamanan CIA dan Mossad.

Ketika hacker berhasil mencuri sertifikat digital tersebut, ia bisa membuat situs palsu dan menjebak calon korban untuk masuk ke situs tersebut. Calon korban pun akan mudah terjebak memasukkan username dan password-nya karena browser sama sekali tidak memberikan peringatan.

Meski belum bisa dikonfirmasi kebenarannya, seorang hacker asal Iran dengan nicknameComodohacker mengaku sebagai orang yang berhasil mencuri data penting dari DigiNotar. Pengakuan ini sejalan dengan data yang menyebutkan 300 ribu pengguna internet Iran diduga telah terjebak masuk ke situs palsu google.com. Comodohacker juga mengaku berhasil mencuri sertifikat digital dari CA lain seperti Comodo dan GlobalSign.

Penyelidikan Fox-IT yang mengaudit kebobolan DigiNotar menemukan fakta mengejutkan: server DigiNotar memiliki sistem keamanan yang lemah. Server tidak ter-update dengan baik, tidak ada perlindungan antivirus, serta disusupi banyak malware.

Akibat peristiwa ini, banyak pihak langsung mengambil sikap. Microsoft adalah yang pertama menghapus sertifikat keluaran DigiNotar dari daftar terpercaya Internet Explorer, yang kemudian diikuti Apple Safari, Google Chrome, dan Mozilla Firefox.

Namun browser di perangkat mobile sampai tulisan ini ditulis belum melakukan langkah serupa, sehingga Anda sebaiknya berhati-hati saat membuka situs dari smartphone maupun tablet Anda.

Yang ironis, pemerintah Belanda melakukan langkah pengamanan yang pahit: mengembalikan proses pengisian dokumen dan surat-menyurat ke surat biasa dan fax.

Sebagai pihak yang sertifikat digitalnya termasuk yang dicuri, pemerintah Belanda tidak mau mengambil resiko dengan menutup proses pengisian dokumen pajak, pengadilan, dan dokumen birokrasi secara online. Mereka kini sedang dalam proses beralih ke CA lain yaitu Getronics Pink Rocade.

Selain membuat repot, peristiwa ini juga menghadirkan bayang-bayang mengkhawatirkan terhadap keamanan internet. Jika CA yang menjadi lembaga pengawas keamanan saja bisa dibobol, siapa yang bisa dipercaya?

Sumber: infokomputer

Artikel Terkait :

Menghapus/Mengatasi Virus Spam Chat

posted under Cuap cuap seputar teknologi dan jejaringan |