2.7 Kelemahan Pada SSLTLS

2.7.1 Heartbleed Bug Heartbleed Vulnerability Heartbleed Vulnerability adalah sebuah celah keamanan paling fatal, yang secara resmi diidentifikasi oleh CVE-2014-0160. Kelemahan ini memungkinkan seseorang untuk mencuri informasi yang dilindungi dengan enkripsi SSL TLS. SSLTSL yaitu sebuah aplikasi untuk mengamankan dan mengenkripsi teks seperti username dan password yang dikirim melalui browser. SSLTLS menyediakan keamanan komunikasi dan privasi melalui internet untuk aplikasi seperti web, email, instant messaging IM dan beberapa jaringan pribadi virtual VPN. Heartbeat adalah salah satu fitur OpenSSL yang diperkenalkan tahun 2012. Tujuan heartbeat adalah mengecek apakah komputer client masih terhubung ke sebuah server. Gambar 2.1 Pada gambar 2.1 menunjukkan bagaimana seharusnya client dan server terhubung dan bagaimana server seharusnya menanggapi request dari klien. Namun, fasilitas heartbeat ini memiliki kelemahan karena server terlalu percaya dengan komputer pengirim client. Seperti gambar di bawah, komputer hacker cuma mengirimkan payload = test namun meminta respon sebanyak 30 karakter. Gambar 2.2 Pada gambar 2.2, server ternyata tidak mengecek kalau test hanya memiliki 4 karakter. Server langsung mengirimkan semua karakter yang tersimpan di memorinya untuk Universitas Sumatera Utara memenuhi permintaan 30 karakter. 30 karakter hanyalah ilustrasi, sang hacker bisa meminta sampai 64.000 karakter. Kelemahan yang terdapat pada aplikasi heartbeat inilah yang disebut dengan Heartbleed bug, dimana dengan adanya celah ini, memungkinkan setiap orang di internet untuk membaca memori dari sistem yang dilindungi OpenSSL dan membuat penyerang dapat mengamati komunikasi, mencuri data langsung dari layanan dan pengguna dan juga menyamar sebagai layanan dan pengguna. 2.7.2 Logjam Logjam adalah sebuah jenis celah keamanan yang memungkinkan seseorang dapat menyusup kedalam enkripsi sebagai pihak ketiga, dalam proses interaksi secara virtual dengan tujuan menyadap ataupun melihat dari pesan yang disampaikan pengirim ke penerima. Celah keamanan ini mengancam keamanan privasi data pengguna. Hacker dapat melakukan serangan dengan menginjeksikan diri ke komunikasi antara klien dan server MITM Man-In-The-Middle. Serangan logjam mempengaruhi setiap server yang mendukung DHE_EXPORT cipher, dan mempengaruhi semua web browser yang sudah modern. 8,4 dari Top 1 Juta domain awalnya rentan. 2.7.3 CVE 2015-1793 Selama verifikasi sertifikat berlangsung, OpenSSL mulai dari versi 1.0.1n dan 1.0.2b akan mencoba untuk menemukan alternative certificate chain jika upaya pertama untuk membangun hubungan sertifikat gagal. Kesalahan dalam pegimplementasian logika, membuat seorang penyerang dapat menyebabkan pemeriksaan tertentu pada sertifikat yang tidak dipercaya untuk dilewatkan, seperti yang dilakukan CA Certificate Authority, kelemahan ini memungkinkan penyerang untuk melewati sertifikat terpercaya seperti CA dan dalam masalah ini yang masuk adalah sertifikat tidak terpercaya. Jenis kelemahan ini termasuk MITM attack dan dapat menyebabkan aplikasi menerima SSL certificate yang tidak valid dan terpercaya seolah SSL certificate yang valid. Universitas Sumatera Utara

2.8 Pengujian Aplikasi