Sulit untuk membungkus pikiran kita di sekitar semua bencana Internet ini saat terjadi, dan seperti yang kita duga bahwa Internet kembali aman setelah Heartbleed dan Shellshock mengancam untuk "mengakhiri hidup seperti yang kita ketahui," muncul POODLE.
Jangan terlalu marah karena tidak menakutkan seperti kedengarannya. Sebenarnya ini adalah masalah yang harus diperhatikan, tetapi ada beberapa langkah sederhana yang dapat Anda lakukan untuk melindungi diri sendiri.
Apa POODLE?
Mari kita mulai di lantai dasar. Apa POODLE? Pertama, itu singkatan dari " Padding Oracle On Downgrade Legacy Encryption . ” Masalah keamanan persis seperti namanya, penurunan versi protokol yang memungkinkan eksploitasi pada bentuk enkripsi yang sudah ketinggalan zaman. Masalah tersebut menjadi perhatian dunia bulan ini ketika Google merilis makalah berjudul "This POODLE Bites: Exploiting The SSL 3.0 Fallback".
TERKAIT: Cara Menghubungkan ke VPN di Windows
Untuk menjelaskan hal ini dalam istilah yang lebih sederhana, jika penyerang yang menggunakan serangan Man-In-The-Middle dapat mengendalikan router di hotspot publik, mereka dapat memaksa browser Anda untuk menurunkan versi ke SSL 3.0 (protokol yang lebih lama) daripada menggunakan TLS (Transport Layer Security) yang jauh lebih modern, lalu memanfaatkan celah keamanan di SSL untuk membajak sesi browser Anda. Karena masalah ini ada di protokol, apa pun yang menggunakan SSL akan terpengaruh.
Selama server dan klien (browser web) mendukung SSL 3.0, penyerang dapat memaksa penurunan versi dalam protokol, jadi meskipun browser Anda mencoba menggunakan TLS, browser Anda akan terpaksa menggunakan SSL sebagai gantinya. Satu-satunya jawaban adalah agar salah satu sisi atau kedua sisi menghapus dukungan untuk SSL, menghilangkan kemungkinan diturunkan.
Jika Anda terutama menjelajah dari rumah dan tidak menggunakan hotspot publik, potensi kerusakan cukup rendah, dan Anda dapat mengambil langkah mudah yang diuraikan nanti dalam artikel untuk melindungi diri Anda sendiri. Jika Anda sering menggunakan hotspot publik, mungkin ini saatnya pikirkan tentang menggunakan VPN .
Bagaimana Kita Bisa Mengatasi Masalah?
Karena tidak ada cara untuk menyelesaikan masalah dengan SSL, satu-satunya solusi adalah bagi pembuat browser dan server web untuk meningkatkan semuanya guna menghapus dukungan untuk SSL dan hanya memerlukan enkripsi TLS.
Google dan Firefox telah mengumumkan bahwa mereka akan menghapus dukungan di masa mendatang, dan meskipun kami belum (belum) mendengar hal yang sama dari Microsoft, sangat mudah sebagai pengguna akhir untuk menonaktifkan SSL 3.0 di IE. Sebagian besar perusahaan web besar menghapus dukungan untuk SSL setelah masalah ini terungkap, tetapi akan memakan waktu cukup lama bagi semua orang untuk melakukannya.
Sebagai konsumen, Anda dapat menghapus dukungan untuk SSL dari browser Anda menggunakan salah satu metode yang diuraikan di bawah - atau jika Anda menggunakan Firefox atau Google Chrome dan tidak menggunakan hotspot sepanjang waktu, Anda dapat menunggu mereka memperbarui browser. Atau Anda dapat memastikan bahwa Anda telah memperbaiki sendiri masalahnya.
Menonaktifkan SSL 3.0 di Mozilla Firefox
Jika Anda adalah pengguna Mozilla Firefox, masalah SSL 3.0 Anda akan dihentikan pada 25 November 2014 saat Fireox 34 dirilis. Satu-satunya masalah adalah saat ini belum bulan November dan Anda perlu mengambil tindakan untuk melindungi diri Anda sekarang. Mulailah dengan membuka browser Firefox Anda dan menavigasi ke Kontrol Versi SSL halaman unduh di Firefox.
Setelah berhasil diinstal, Anda dapat memasukkan "about: addons" ke bilah navigasi dan memilih ekstensi "Kontrol Versi SSL". Anda dapat mengklik "Opsi" untuk melihat pengaturan ekstensi. Pastikan "Pembaruan Otomatis" aktif dan "Versi SSL Minimum" disetel ke "TLS 1.0"
Setelah Firefox 34 dirilis, Anda dapat dengan bebas menonaktifkan ekstensi atau menghapus instalannya.
Menonaktifkan SSL 3.0 di Google Chrome
Jika Anda adalah pengguna Google Chrome, yakinlah bahwa SSL 3.0 akan dinonaktifkan dalam beberapa bulan mendatang, meskipun mereka belum menetapkan tanggalnya. Jika Anda ingin melindungi diri Anda sekarang, itu dapat dilakukan dalam beberapa langkah sederhana. Cukup buka ikon desktop Google Chrome Anda dan klik kanan padanya lalu pilih "Properties" di bagian bawah menu popup.
Di jendela "Properti", Anda akan melihat kotak masukan teks yang bertuliskan "Target". Cukup klik di kotak ini dan tekan tombol "End" pada keyboard Anda. Selanjutnya, tekan "Spasi" dan salin dan tempel teks ini ke bagian akhir.
--ssl-version-min = tls1
Tekan "Apply" lalu klik "Continue" di jendela popup lalu tekan "OK".
Sekarang browser Anda akan secara otomatis menolak sertifikat SSL 3.0 dan hanya menerima TLS 1.0 dan yang lebih tinggi. Perlu diperhatikan bahwa jika Anda meluncurkan Chrome melalui pintasan lain di komputer Anda, Chrome tidak akan menggunakan tanda ini.
Menonaktifkan SSL 3.0 di Internet Explorer
Microsoft belum mengumumkan kapan mereka berencana untuk mengatasi masalah SSL 3.0 jadi yang terbaik adalah menonaktifkannya sendiri dengan membuka menu "Mulai" dan mengetik "Opsi Internet".
Buka tab "Lanjutan" dan gulir ke bawah ke bagian "Keamanan" sampai Anda melihat opsi SSL dan TLS, lalu hapus centang opsi untuk Gunakan SSL 3.0, dan aktifkan TLS sebagai gantinya.
Dengan cara ini Anda dapat yakin bahwa browser Internet Anda semuanya aman dari potensi serangan POODLE.
Kredit Gambar: Karen di Flickr
