2.7 Kelemahan Pada SSLTLS
2.7.1 Heartbleed Bug Heartbleed Vulnerability Heartbleed Vulnerability adalah sebuah celah keamanan paling fatal, yang secara
resmi diidentifikasi oleh CVE-2014-0160. Kelemahan ini memungkinkan seseorang untuk mencuri informasi yang dilindungi dengan enkripsi SSL TLS. SSLTSL yaitu
sebuah aplikasi untuk mengamankan dan mengenkripsi teks seperti username dan password yang dikirim melalui browser. SSLTLS menyediakan keamanan
komunikasi dan privasi melalui internet untuk aplikasi seperti web, email, instant messaging IM dan beberapa jaringan pribadi virtual VPN.
Heartbeat adalah salah satu fitur OpenSSL yang diperkenalkan tahun 2012. Tujuan heartbeat adalah mengecek apakah komputer client masih terhubung ke sebuah server.
Gambar 2.1
Pada gambar 2.1 menunjukkan bagaimana seharusnya client dan server terhubung dan bagaimana server seharusnya menanggapi request dari klien. Namun, fasilitas
heartbeat ini memiliki kelemahan karena server terlalu percaya dengan komputer pengirim client. Seperti gambar di bawah, komputer hacker cuma mengirimkan
payload = test namun meminta respon sebanyak 30 karakter.
Gambar 2.2
Pada gambar 2.2, server ternyata tidak mengecek kalau test hanya memiliki 4 karakter. Server langsung mengirimkan semua karakter yang tersimpan di memorinya untuk
Universitas Sumatera Utara
memenuhi permintaan 30 karakter. 30 karakter hanyalah ilustrasi, sang hacker bisa meminta sampai 64.000 karakter.
Kelemahan yang terdapat pada aplikasi heartbeat inilah yang disebut dengan Heartbleed bug, dimana dengan adanya celah ini, memungkinkan setiap orang di
internet untuk membaca memori dari sistem yang dilindungi OpenSSL dan membuat penyerang dapat mengamati komunikasi, mencuri data langsung dari layanan dan
pengguna dan juga menyamar sebagai layanan dan pengguna.
2.7.2 Logjam Logjam adalah sebuah jenis celah keamanan yang memungkinkan seseorang dapat
menyusup kedalam enkripsi sebagai pihak ketiga, dalam proses interaksi secara virtual dengan tujuan menyadap ataupun melihat dari pesan yang disampaikan pengirim ke
penerima. Celah keamanan ini mengancam keamanan privasi data pengguna. Hacker dapat melakukan serangan dengan menginjeksikan diri ke komunikasi antara klien dan
server MITM Man-In-The-Middle. Serangan logjam mempengaruhi setiap server yang mendukung DHE_EXPORT cipher, dan mempengaruhi semua web browser
yang sudah modern. 8,4 dari Top 1 Juta domain awalnya rentan.
2.7.3 CVE 2015-1793 Selama verifikasi sertifikat berlangsung, OpenSSL mulai dari versi 1.0.1n dan 1.0.2b
akan mencoba untuk menemukan alternative certificate chain jika upaya pertama untuk membangun hubungan sertifikat gagal. Kesalahan dalam pegimplementasian
logika, membuat seorang penyerang dapat menyebabkan pemeriksaan tertentu pada sertifikat yang tidak dipercaya untuk dilewatkan, seperti yang dilakukan CA
Certificate Authority, kelemahan ini memungkinkan penyerang untuk melewati sertifikat terpercaya seperti CA dan dalam masalah ini yang masuk adalah sertifikat
tidak terpercaya. Jenis kelemahan ini termasuk MITM attack dan dapat menyebabkan aplikasi
menerima SSL certificate yang tidak valid dan terpercaya seolah SSL certificate yang valid.
Universitas Sumatera Utara
2.8 Pengujian Aplikasi