4.3 Pengujian Sistem Secara Menyeluruh dan Hasil Blackbox testing

Data yang digunakan sistem untuk pengujian adalah data yang bersifat real time. Untuk mengetahui keberhasilan aplikasi peneliti memilih alamat website dan aplikasi android untuk uji coba black-box testing. Data tersebut berupa alamat website yang telah dipastikan memiliki celah keamanan SSL dan juga berupa alamat website yang sering dikunjungi yang mempunyai layanan SSL. Data yang digunakan juga dapat berupa os android dan beberapa jenis aplikasi android yang menggunakan OpenSSL. Data tersebut kemudian akan dilakukan pengujian untuk mengetahui apakah aplikasi website atau aplikasi android tersebut memiliki celah keamanan atau tidak dengan black-box testing. Contoh alamat situs website dan aplikasi android yang digunakan untuk diuji coba dengan black-box testing dapat dilihat pada tabel 4.1 dan 4.2. Tabel 4.1 sampel alamat website No Alamat Website 1 https:www.mail.usu.ac.id 2 https:www.olx.co.id 3 https:www.its.ac.id 4 https:ww.worthytoshare.net 5 https:www.lazada.co.id 6 https:www.ugm.ac.id 7 https:www.ui.ac.id 8 https:www.koreabridge.net 9 https:www.kaskus.co.id 10 https:www.voobys.com 11 https:www.uns.ac.id 12 https:www.bukalapak.com 13 https:www.news.detik.com Universitas Sumatera Utara Tabel 4.2 sampel aplikasi android No Aplikasi android 1 BBM 2 Facebook 3 Facebook messenger 4 Candy crush 5 Netflix 6 Instagram 7 Google play services 8 Getrich 9 Kakaotalk 10 Google Chrome 11 Mozilla Firefox Pengujian dilakukan dengan meng-input alamat website atau dengan mengecek aplikasi yang terinstall pada android yang telah peniliti pilih sebelumnya. Untuk memperjelas pengimplementasian black-box testing yang digunakan aplikasi contohnya kita pilih satu sampel untuk scan url dan beberapa sampel untuk scan device sesuai dengan aplikasi yang terinstall di android yang punya OpenSSL. 4.3.1 Hasil Black-box Testing Metode pada penelitian ini juga diuji dengan data alamat website yang benar-benar memiliki celah keamanan maupun tidak seperti sampel data alamat website, browser dan aplikasi android pada tabel 4.3 sampai 4.5. Hal ini dilakukan untuk menunjukkan kemampuan aplikasi yang mengimplemenatasikan metode black-box testing untuk mendeteksi celah keamanan pada aplikasi website ataupun aplikasi android yang rentan terhadap kelemahan terkait OpenSSL. Sampel data alamat website ataupun aplikasi android tersebut telah peneliti uji dengan black-box testing untuk mengetahuo ada tidaknya celah keamanan. Hasil pengujian ini disajikan pada tabel . Sehingga dapat disimpulkan metode yang diajukan mampu untuk mendeteksi celah keamanan pad aplikasi web ataupun aplikasi android. Universitas Sumatera Utara Tabel 4.3 hasil pengujian terhadap aplikasi Website No. Website Heartbleed Validasi SSL SHA1 Self Signed DHE Support 1 https:www.mail.usu.ac.id -  -  2 https:www.olx.co.id - - -  3 https:www.its.ac.id - - -  4 https:worthytoshare.net     5 https:www.lazada.co.id - - -  6 https:www.ugm.ac.id -  -  7 https:www.ui.ac.id -  -  8 https:www.koreabridge.net     9 https:www.kaskus.co.id - - -  10 https:www.voobys.com     11 https:www.uns.ac.id -    12 https:www.bukalapak.com - - - - 13 https:www.news.detik.com -  -  Tabel 4.4 hasil pengujian terhadap aplikasi browser Browser Versi Logjam Google Chrome 1-43  44-48 - Mozilla Firefox 1.0-38  38.5-44 - Tabel 4.5 sampel hasil pengujian terhadap aplikasi android Nama aplikasi Versi Versi OpenSL Heaarbleed Logjam Cve 2015- 1793 BBM 2.1 1.0.1e  - - 2.2 1.0.1g - - - Universitas Sumatera Utara 2.3 1.0.1h - - - 2.4-2.6 1.0.1i - - - 2.7 1.0.1l - - - 2.8 1.0.1m - - - 2.9 1.0.1o - -  2.10-2.11 1.0.1p - - - Facebook Messenger 1.0-2.5 - - - - 2.7-3.2 1.0.1c  - - 3.3-9 1.0.1e  - - 10-25 1.01h - - - Facebook 1.8-3.5 - - - - 3.7-4.0 1.0.1c  - - 6-10.0 1.0.1e  - - 11.0-28.0 1.0.1h - - - 29.0-30.0 1.0.2 -  - 31.0 1.0.2a - - - Instagram 3.4-6.2 - - - - 6.3.1 1.0.1e  - - 6.4-6.18 1.0.1h - - - Candy crush Saga 1.0-1.15 1.0.0a - - - 1.16-1.31 1.0.1e  - - 1.32-1.33 1.0.1g - - - 1.34-1.66 1.0.1h - - - Kakaotalk 2.5 - - - - 4.0-4.4 1.0.1e  - - 4.5-5.3 1.0.1h - - - Netflix 3.2 1.0.0j - - - 3.7.2-3.8.1 1.0.1g - - - 3.8.2-3.12 1.0.1i - - - 3.13-3.16 1.0.1m - - - Google Play 4.3 1.0.1f  - - Universitas Sumatera Utara Services 4.4-5.0 1.0.1g - - 6.1-6.5 1.0.1h - - - 6.7-7.0 1.0.1j - - - 7.3-7.5 1.0.1l - - - 4.3.2 Hasil pengujian aplikasi web terhadap Heartbleed dan Validasi SSL Proses pengujian diawali dengan meng-input salah satu URL dari situs yang ada pada tabel sampel 4.1, dari situs itu akan dilakukan proses koneksi dengan URL. Setelah dipastikan klien dan server terhubung, kemudian masuk ke tahap handshake dengan mengirim pesan hello dalam format hex, setelah tahap handshake selesai, maka dilakukan pengiriman paket heartbleed. Hasil proses penyerangan ini diperoleh celah keamanan dapat dilihat di tabel 4.3 yang rentan diserang Heartbleed. Berdasarkan proses pengujian serangan Heartbleed, disimpulkan sebuah website vulnerable atau memiliki celah keamanan heartbleed, karena kesalahan penanganan request yang dilakukan ekstensi heartbeat OpenSSL. Ekstensi heartbeat yang berfungsi untuk menjaga hubungan antara klien dan server, memiliki kelemahan dalam menanggapi respon yang dikirim klien ke server. Server tidak melakukan pengecekan terhadap pesan dan panjang pesan yang di request oleh klien. Sehingga klien bebas mengakses memori server. Dengan kelemahan yang dimiliki server, pengguna dapat meminta isi memori server yang bersifat rahasia sampai 64.000 karakter. Pada saat pengguna menginginkan untuk melakukan validasi SSL, maka input berupa URL yang telah diberikan, akan dilakukan pengecekan jenis cipher yang digunakan, jenis verifikasi kunci dan cipher suite yang digunakan aplikasi. Kemungkinan resiko yang disebabkan ketika aplikasi web diserang karena kelemahan di teknologi SSl adalah pembajakan data-data penting dengan mempengaruhi layanan SSL untuk menampilkan data-data sensitif yang terdapat dalam aplikasi web seperti username, password, alamat, data-data keuangan, dan data pribadi lainnya. Untuk hasil testing nya dapat dilihat pada gambar 4.6. Universitas Sumatera Utara Gambar 4.4 hasil testing heartbleed Gambar diatas salah satu contoh aplikasi website www.voobys.com yang rentan terhadap heartbleed. Dimana payload sebanyak 16384 bytes yang diminta klien diberikan server secara keseluruhan. Berbeda dengan aplikasi website yang tetap mengijinkan handshake namun tidak rentan terhadap heartbleed. Server hanya akan memberikan respon tidak lebih dari panjang request yang dikirim klien, seperti gambar 4.5 Gambar 4.5 hasil testing tidak heartbleed Universitas Sumatera Utara Gambar 4.6 proses verifikasi SSLTLS server 4.3.3 Hasil pengujian aplikasi Mobile terhadap Kelemahan OpenSSl Setelah dilakukan scan otomatis oleh aplikasi dari sampel aplikasi mobile yang diuji, dapat dilihat beberapa versi aplikasi dan versi OpenSSL yang dimiliki aplikasi serta jenis kelemahan versi OpenSSL yang dimiliki aplikasi yang diidentifikasi. Untuk menjelaskan proses pengujian diambil beberapa sampel pada tabel 4.7, dilakukan pengujian untuk mendeteksi jenis kelemahan OpenSSL terhadap versi OpenSSL aplikasi atau tidak. Proses pengujian dilakukan dengan pengecekan versi OpenSSL android, dilanjutkan dengan proses pengecekan versi browser dan kemudian dilakukan pengecekkan versi OpenSSL aplikasi. Untuk hasilnya dapat dilihat pada tabel 4.9 dan 4.10. Berdasarkan proses menguji kelemahan OpenSSL, disimpulkan rentannya OpenSSL yang dimiliki android dan aplikasi terinstall didalamnya dengan melakukan pengecekkan terhadap versi OpenSSL yang dimiliki. Universitas Sumatera Utara Gambar 4.6 hasil testing device Universitas Sumatera Utara

BAB 5 KESIMPULAN DAN SARAN