Pendeteksian Celah Keamanan SSL TLS Menggunakan Android
BAB I
PENDAHULUAN
1.1 Latar Belakang
Di era saat ini, teknologi sangatlah membantu masyarakat dalam semua aspek
kehidupan. Manusia selalu berusaha untuk menciptakan sesuatu yang dapat
mempermudah aktivitasnya. Bahkan teknologi dapat menggantikan peran dalam
fungsi tertentu. Kemudahan yang didapat manusia tidak terlepas dari banyaknya alatalat teknlogi yang muncul saat ini, seperti halnya teknologi smartphone (telepon
pintar). Kini telah banyak beredar berbagai macam jenis smartphone dipasaran
Indonesia, kian hari kian banyak perubahan fungsi smartphone yang membuat
kategori penilaian atau definisi smartphone bertambah luas. Sehingga sampai saat ini
masih cukup banyak pengguna handphone yang kurang mengerti definisi smartphone,
hal ini lebih diperburuk oleh beberapa vendor handphone yang menyatakan bahwa
handphone mereka termasuk dalam kelas smartphone, ada dua point yang harus
dimiliki sebuah handphone secara memadai (cukup) jika ingin dimasukkan dalam
kategori smartphone, kedua point tersebut adalah versatility dan capacity. Smartphone
telah menjadi salah satu alat teknologi yang tidak bisa dilepas dari kehidupan manusia.
Selain berfungsi untuk melakukan komunikasi dalam jarak jauh di berbagai belahan
dunia, teknologi smartphone juga dapat menghubungkan dan mempererat sosial antar
sesama manusia dalam berbagai ras, agama dan suku. Smartphone juga dapat
menambah wawasan dan ilmu pengetahuan karena telah tersedia banyaknya informasi
yang bisa didapat secara gratis.
Kemudahan yang dirasakan manusia dari teknologi smartphone berbanding
lurus dengan banyaknya ancaman yang didapatkan. Dikarenakan fungsi Smartphone
kini bukanlah hanya sekadar alat komunikasi. Namun smartphone telah banyak
digunakan untuk menyimpan data penting. Sehingga bisa dimanfaatkan para oknum
Universitas Sumatera Utara
2
tak bertanggung jawab. Telah banyak muncul anggota maupun kelompok yang secara
sengaja mendapatkan informasi rahasia dari sebuah sistem. Misalnya pencurian
sejumlah akun di internet, foto pribadi, hingga data sensitif lain seperi SMS dan
nomor kontak. Dalam bidang IT, mereka disebut cracker . Umumnya mereka
mendapatkan informasi rahasia tersebut dengan mencari celah keamanan dari sebuah
sistem. Mereka membutuhkan informasi ini dengan berbagai alasan baik untuk
mencari keuntungan finansial, merusak nama baik perusahaan tertentu dan lain
sebagainya (Irianto, 2011).
Dalam komunikasi data, untuk menjamin kemanan data tidak terekspos
terhadap pihak yang tidak diinginkan, maka dirancang teknik enskripsi data, agar
komunikasi aman. Protokol keamanan kriptografi yang digunakan sebagai standar
enkripsi komunikasi antara klien dan server adalah SSL/TLS. Proses enkripsi dengan
menggunakan SSL/TLS, masih ditemukan kekurangan dalam menerapkan beberapa
fitur SSL/TLS dikarenakan adanya pengimplementasian kunci cipher yang lemah,
kesalahan validasi sertifikat maupun kesalahan dalam penanganan session. Menurut
penelitian netcraft web server survey, Dari 959.000.000 websites server yang ada,
sekitar 66% menggunakan SSL, tidak termasuk seperti layanan email dan layanan
pesan. Dan 17,5% dari websites yang menggunakan SSL, vulnerable terhadap
heartbleed. Menurut Heartbleed.com, Heartbleed Vulnerability adalah sebuah celah
keamanan paling fatal, yang secara resmi diidentifikasi oleh CVE-2014-0160.
Berdasarkan Zmap.io, yang merupakan sebuah situs yang mengembangkan sebuah
teknologi open-source yang berfungsi melakukan scan terhadap jaringan (Durumeric
et al, 2014), Heartbleed merupakan lubang keamanan yang paling rentan disebabkan
kesalahan pada aplikasi OpenSSL untuk menangani input yang datang dari pengguna
sehingga memungkinkan penyerang mengeksploitasi output berupa memori server
untuk mencuri informasi sensitif, seperti username, password, dan data kartu kredit
dari server yang menjalankan peranti lunak tersebut. Beberapa pakar keamanan
mengatakan bahwa aplikasi mobile juga dapat menjadi sasaran ancaman serangan
cracker karena mereka sama-sama menggunakan OpenSSL. Berdasarkan Asosiasi
Penyelenggara Jasa Internet Indonesia, bahwa 88,1 juta (34,9%) dari 252 juta
penduduk indonesia adalah pengguna internet. 85% dari total pengguna internet
melakukan aktivitas di dunia maya memakai telepon seluler ( smartphone), 32%
memakai laptop/netbook, 13% memakai tablet, dan PC sebesar 14% (APJII, 2015).
Universitas Sumatera Utara
3
Berdasarkan trendmicro.com, yang merupakan sebuah situs milik perusahaan
trendmicro, yang menyediakan teknologi dan solusi keamanan yang inovatif bagi
pebisnis dan konsumen untuk bertukar informasi digital. Dari 390.000 aplikasi yang
pada google play, sekitar 7000 aplikasi terhubung dengan server rentan heartbleed.
Adapun aplikasi-aplikasi yang dikatakan lemah terhadap heartbleed, antara lain:
aplikasi perbankan, pembayaran online, online shop, instant messaging, mobile
payment, games dan aplikasi kesehatan.
Berdasarkan penilitian sebelumnya, telah banyak dilakukan penelitian untuk
menjaga dan mendeteksi keamanan pada sebuah sistem. Akrout et al (2014) An
Automated Black Box Approach for Web Vulnerability Identification and Attack
Scenario Generation, pada penelitian ini metode black box digunakan untuk
mengidentifikasi kelemahan aplikasi web dan mengelompokkan skenario serangan
yang digunakan untuk aplikasi web tersebut. Gujrathi (2014), Heartbleed Bug:
AnOpenSSL Heartbeat Vulnerability, penelitian ini memberikan penjelasan secara
rinci kerja dari Heartbleed bug dan bagaimana bug ini dapat mempengaruhi privasi
dan integritas data. J Bau et al(2010), State of the Art: Automated Black-Box Web
Application Vulnerability Testing, metode black box bertujuan untuk mendeteksi
kelemahan dan menguji efektivitas sistem dalam mendeteksi celah kelemahan seperti
Cross-Site Scripting, SQL Injection, dan bentuk lain dari Cross-Channel Scripting.
Banyak aplikasi yang telah ada untuk mendeteksi celah SSL/TLS pada server
atau pun melakukan verifikasi terhadap layanan SSL, seperti: bluebox heartbleed
scanner dan aplikasi scanner yang dimiliki situs https://filippo.io/Heartbleed/.
Bluebox dan filippo memiliki kelebihan kinerja lebih cepat dalam menguji sebuah
heartbleed pada server, karena hanya sebatas mengecek berupa port yang terbuka atau
tidak. Sedangkan penelitian ini langsung menggunakan simulasi serangan dengan
menggunakan black box testing. Black Box testing adalah sebuah metode yang
berfokus untuk menguji output yang dihasilkan sebuah aplikasi ketika di eksekusi
dengan memberikan input tertentu, tanpa mengetahui struktur coding aplikasi. Black
Box testing menguji aplikasi tanpa memerlukan pengetahuan tentang bahasa
pemrograman yang membangun aplikasi tersebut (Sandulescu, 2014). Sehingga dalam
penelitian ini, untuk mengetahui kelemahan pada aplikasi yang menggunakan
SSL/TLS akan digunakan Black Box testing. Karena metode Black Box testing ini
akan digunakan untuk menguji output yang diberikan aplikasi. Sehingga kita
Universitas Sumatera Utara
4
mengetahui apakah aplikasi website dan aplikasi mobile yang terinstall pada
smartphone rentan tehadap HeartBleed atau beberapa jenis kelemahan lainnya.
Berdasarkan latar belakang di atas penulis mengajukan proposal penelitian
dengan
judul
“PENDETEKSIAN
CELAH
KEAMANAN
SSL/TLS
MENGGUNAKAN ANDROID”.
1.2 Rumusan Masalah
Kemudahan yang dirasakan manusia dari teknologi smartphone berbanding lurus
dengan banyaknya ancaman yang didapatkan. Ditemukannya bug pada layanan
SSL/TLS, membuat banyak informasi penting didalamnya tercuri. Masih banyaknya
server yang rentan terhadap heartbleed bug dan kelemahan SSL lainnya, membuat
kita sebagai user perlu proaktif, dikarenakan kita sebagai user tidak dapat melakukan
interferensi terhadap developer atau yang membangun sistem. Oleh karena itu
dibutuhkan cara untuk mengetahui apakah aplikasi website atau aplikasi yang
terinstall pada android menggunakan layanan yang aman dari ancaman SSL/TLS bug.
1.3 Batasan Masalah
1) Aplikasi yang akan dideteksi adalah aplikasi website dan aplikasi android
yang memiliki teknologi SSL/TLS.
2) Hanya berlaku di platform android.
3) Berlaku untuk platform android yang telah di root
4) Jenis kelemahan yang di identifikasi hanya terkait teknologi SSL/TLS
yang digunakan aplikasi.
5) Jenis kelemahan yang langsung dilakukan metode penyerangan hanya
heartbleed
1.4 Tujuan Penelitian
Adapun tujuan dari penelitian ini adalah untuk mendeteksi celah keamanan SSL/TLS
pada android dengan menggunakan BlackBox testing.
Universitas Sumatera Utara
5
1.5 Manfaat Penelitian
Adapun manfaat dari penelitian ini adalah:
1.
Dengan implementasi Black-box Testing dapat menemukan celah keamanan
pada android.
2.
Memberikan solusi bagi para pengguna internet dan aplikasi untuk
meningkatkan keamanan data pribadinya.
3.
Referensi untuk penelitian selanjutnya.
1.6 Metodologi Penelitian
Tahapan yang akan dilakukan pada pelaksanaan penelitian ini adalah sebagai berikut:
1. Studi Literatur
Studi literatur yang dilakukan dalam penelitian ini adalah mengumpulkan
bahan referensi mengenai Black-box Testing dan keamanan aplikasi dari
berbagai buku, jurnal, artikel, dan beberapa referensi lainnya.
2. Analisis Permasalahan
Pada tahap ini dilakukan analisis terhadap studi literatur untuk mengetahui
dan
mendapatkan
pemahaman
mengenai
Black-box
Testing
untuk
menyelesaikan masalah.
3. Implementasi dari teknik
Pada tahap ini akan dilakukan pengkodean program menggunakan bahasa
pemograman JAVA Android.
4. Dokumentasi dan Penyusunan Laporan
Pada tahap ini dilakukan dokumentasi Black-box Testing dalam mendeteksi
celah keamanan SSL pada android.
1.7 Sistematika Penulisan
Sistematika penulisan dari skripsi ini terdiri dari lima bagian utama sebagai berikut:
Universitas Sumatera Utara
6
Bab 1: Pendahuluan
Bab ini berisi latar belakang, rumusan masalah, batasan masalah, tujuan penelitian,
manfaat penelitian, metodologi penelitian, dan sistematika penulisan.
Bab 2: Landasan Teori
Bab ini berisi teori-teori yang digunakan untuk memahami permasalahan yang dibahas
pada penelitian ini. Pada bab ini dijelaskan tentang implementasi blackbox testing
untuk mendeteksi celah keamanan pada aplikasi web dan aplikasi mobile beserta teori
pendukungnya.
Bab 3: Analisis dan Perancangan
Bab ini berisi analisis dan implementasi black-box testing untuk mendeteksi celah
keamanan pada aplikasi web dan aplikasi android, serta perancangan seperti
pemodelan dengan flowchart, activity diagram dan sequence diagram.
Bab 4: Implementasi dan Pengujian
Bab ini berisi pembahasan tentang implementasi dari analisis dan perancangan yang
disusun pada Bab 3 dan pengujian apakah hasil yang didapatkan sesuai dengan yang
diharapkan.
Bab 5: Kesimpulan dan Saran
Bab ini berisi kesimpulan dari keseluruhan uraian bab-bab sebelumnya dan saransaran yang diajukan untuk pengembangan penelitian selanjutnya
Universitas Sumatera Utara
PENDAHULUAN
1.1 Latar Belakang
Di era saat ini, teknologi sangatlah membantu masyarakat dalam semua aspek
kehidupan. Manusia selalu berusaha untuk menciptakan sesuatu yang dapat
mempermudah aktivitasnya. Bahkan teknologi dapat menggantikan peran dalam
fungsi tertentu. Kemudahan yang didapat manusia tidak terlepas dari banyaknya alatalat teknlogi yang muncul saat ini, seperti halnya teknologi smartphone (telepon
pintar). Kini telah banyak beredar berbagai macam jenis smartphone dipasaran
Indonesia, kian hari kian banyak perubahan fungsi smartphone yang membuat
kategori penilaian atau definisi smartphone bertambah luas. Sehingga sampai saat ini
masih cukup banyak pengguna handphone yang kurang mengerti definisi smartphone,
hal ini lebih diperburuk oleh beberapa vendor handphone yang menyatakan bahwa
handphone mereka termasuk dalam kelas smartphone, ada dua point yang harus
dimiliki sebuah handphone secara memadai (cukup) jika ingin dimasukkan dalam
kategori smartphone, kedua point tersebut adalah versatility dan capacity. Smartphone
telah menjadi salah satu alat teknologi yang tidak bisa dilepas dari kehidupan manusia.
Selain berfungsi untuk melakukan komunikasi dalam jarak jauh di berbagai belahan
dunia, teknologi smartphone juga dapat menghubungkan dan mempererat sosial antar
sesama manusia dalam berbagai ras, agama dan suku. Smartphone juga dapat
menambah wawasan dan ilmu pengetahuan karena telah tersedia banyaknya informasi
yang bisa didapat secara gratis.
Kemudahan yang dirasakan manusia dari teknologi smartphone berbanding
lurus dengan banyaknya ancaman yang didapatkan. Dikarenakan fungsi Smartphone
kini bukanlah hanya sekadar alat komunikasi. Namun smartphone telah banyak
digunakan untuk menyimpan data penting. Sehingga bisa dimanfaatkan para oknum
Universitas Sumatera Utara
2
tak bertanggung jawab. Telah banyak muncul anggota maupun kelompok yang secara
sengaja mendapatkan informasi rahasia dari sebuah sistem. Misalnya pencurian
sejumlah akun di internet, foto pribadi, hingga data sensitif lain seperi SMS dan
nomor kontak. Dalam bidang IT, mereka disebut cracker . Umumnya mereka
mendapatkan informasi rahasia tersebut dengan mencari celah keamanan dari sebuah
sistem. Mereka membutuhkan informasi ini dengan berbagai alasan baik untuk
mencari keuntungan finansial, merusak nama baik perusahaan tertentu dan lain
sebagainya (Irianto, 2011).
Dalam komunikasi data, untuk menjamin kemanan data tidak terekspos
terhadap pihak yang tidak diinginkan, maka dirancang teknik enskripsi data, agar
komunikasi aman. Protokol keamanan kriptografi yang digunakan sebagai standar
enkripsi komunikasi antara klien dan server adalah SSL/TLS. Proses enkripsi dengan
menggunakan SSL/TLS, masih ditemukan kekurangan dalam menerapkan beberapa
fitur SSL/TLS dikarenakan adanya pengimplementasian kunci cipher yang lemah,
kesalahan validasi sertifikat maupun kesalahan dalam penanganan session. Menurut
penelitian netcraft web server survey, Dari 959.000.000 websites server yang ada,
sekitar 66% menggunakan SSL, tidak termasuk seperti layanan email dan layanan
pesan. Dan 17,5% dari websites yang menggunakan SSL, vulnerable terhadap
heartbleed. Menurut Heartbleed.com, Heartbleed Vulnerability adalah sebuah celah
keamanan paling fatal, yang secara resmi diidentifikasi oleh CVE-2014-0160.
Berdasarkan Zmap.io, yang merupakan sebuah situs yang mengembangkan sebuah
teknologi open-source yang berfungsi melakukan scan terhadap jaringan (Durumeric
et al, 2014), Heartbleed merupakan lubang keamanan yang paling rentan disebabkan
kesalahan pada aplikasi OpenSSL untuk menangani input yang datang dari pengguna
sehingga memungkinkan penyerang mengeksploitasi output berupa memori server
untuk mencuri informasi sensitif, seperti username, password, dan data kartu kredit
dari server yang menjalankan peranti lunak tersebut. Beberapa pakar keamanan
mengatakan bahwa aplikasi mobile juga dapat menjadi sasaran ancaman serangan
cracker karena mereka sama-sama menggunakan OpenSSL. Berdasarkan Asosiasi
Penyelenggara Jasa Internet Indonesia, bahwa 88,1 juta (34,9%) dari 252 juta
penduduk indonesia adalah pengguna internet. 85% dari total pengguna internet
melakukan aktivitas di dunia maya memakai telepon seluler ( smartphone), 32%
memakai laptop/netbook, 13% memakai tablet, dan PC sebesar 14% (APJII, 2015).
Universitas Sumatera Utara
3
Berdasarkan trendmicro.com, yang merupakan sebuah situs milik perusahaan
trendmicro, yang menyediakan teknologi dan solusi keamanan yang inovatif bagi
pebisnis dan konsumen untuk bertukar informasi digital. Dari 390.000 aplikasi yang
pada google play, sekitar 7000 aplikasi terhubung dengan server rentan heartbleed.
Adapun aplikasi-aplikasi yang dikatakan lemah terhadap heartbleed, antara lain:
aplikasi perbankan, pembayaran online, online shop, instant messaging, mobile
payment, games dan aplikasi kesehatan.
Berdasarkan penilitian sebelumnya, telah banyak dilakukan penelitian untuk
menjaga dan mendeteksi keamanan pada sebuah sistem. Akrout et al (2014) An
Automated Black Box Approach for Web Vulnerability Identification and Attack
Scenario Generation, pada penelitian ini metode black box digunakan untuk
mengidentifikasi kelemahan aplikasi web dan mengelompokkan skenario serangan
yang digunakan untuk aplikasi web tersebut. Gujrathi (2014), Heartbleed Bug:
AnOpenSSL Heartbeat Vulnerability, penelitian ini memberikan penjelasan secara
rinci kerja dari Heartbleed bug dan bagaimana bug ini dapat mempengaruhi privasi
dan integritas data. J Bau et al(2010), State of the Art: Automated Black-Box Web
Application Vulnerability Testing, metode black box bertujuan untuk mendeteksi
kelemahan dan menguji efektivitas sistem dalam mendeteksi celah kelemahan seperti
Cross-Site Scripting, SQL Injection, dan bentuk lain dari Cross-Channel Scripting.
Banyak aplikasi yang telah ada untuk mendeteksi celah SSL/TLS pada server
atau pun melakukan verifikasi terhadap layanan SSL, seperti: bluebox heartbleed
scanner dan aplikasi scanner yang dimiliki situs https://filippo.io/Heartbleed/.
Bluebox dan filippo memiliki kelebihan kinerja lebih cepat dalam menguji sebuah
heartbleed pada server, karena hanya sebatas mengecek berupa port yang terbuka atau
tidak. Sedangkan penelitian ini langsung menggunakan simulasi serangan dengan
menggunakan black box testing. Black Box testing adalah sebuah metode yang
berfokus untuk menguji output yang dihasilkan sebuah aplikasi ketika di eksekusi
dengan memberikan input tertentu, tanpa mengetahui struktur coding aplikasi. Black
Box testing menguji aplikasi tanpa memerlukan pengetahuan tentang bahasa
pemrograman yang membangun aplikasi tersebut (Sandulescu, 2014). Sehingga dalam
penelitian ini, untuk mengetahui kelemahan pada aplikasi yang menggunakan
SSL/TLS akan digunakan Black Box testing. Karena metode Black Box testing ini
akan digunakan untuk menguji output yang diberikan aplikasi. Sehingga kita
Universitas Sumatera Utara
4
mengetahui apakah aplikasi website dan aplikasi mobile yang terinstall pada
smartphone rentan tehadap HeartBleed atau beberapa jenis kelemahan lainnya.
Berdasarkan latar belakang di atas penulis mengajukan proposal penelitian
dengan
judul
“PENDETEKSIAN
CELAH
KEAMANAN
SSL/TLS
MENGGUNAKAN ANDROID”.
1.2 Rumusan Masalah
Kemudahan yang dirasakan manusia dari teknologi smartphone berbanding lurus
dengan banyaknya ancaman yang didapatkan. Ditemukannya bug pada layanan
SSL/TLS, membuat banyak informasi penting didalamnya tercuri. Masih banyaknya
server yang rentan terhadap heartbleed bug dan kelemahan SSL lainnya, membuat
kita sebagai user perlu proaktif, dikarenakan kita sebagai user tidak dapat melakukan
interferensi terhadap developer atau yang membangun sistem. Oleh karena itu
dibutuhkan cara untuk mengetahui apakah aplikasi website atau aplikasi yang
terinstall pada android menggunakan layanan yang aman dari ancaman SSL/TLS bug.
1.3 Batasan Masalah
1) Aplikasi yang akan dideteksi adalah aplikasi website dan aplikasi android
yang memiliki teknologi SSL/TLS.
2) Hanya berlaku di platform android.
3) Berlaku untuk platform android yang telah di root
4) Jenis kelemahan yang di identifikasi hanya terkait teknologi SSL/TLS
yang digunakan aplikasi.
5) Jenis kelemahan yang langsung dilakukan metode penyerangan hanya
heartbleed
1.4 Tujuan Penelitian
Adapun tujuan dari penelitian ini adalah untuk mendeteksi celah keamanan SSL/TLS
pada android dengan menggunakan BlackBox testing.
Universitas Sumatera Utara
5
1.5 Manfaat Penelitian
Adapun manfaat dari penelitian ini adalah:
1.
Dengan implementasi Black-box Testing dapat menemukan celah keamanan
pada android.
2.
Memberikan solusi bagi para pengguna internet dan aplikasi untuk
meningkatkan keamanan data pribadinya.
3.
Referensi untuk penelitian selanjutnya.
1.6 Metodologi Penelitian
Tahapan yang akan dilakukan pada pelaksanaan penelitian ini adalah sebagai berikut:
1. Studi Literatur
Studi literatur yang dilakukan dalam penelitian ini adalah mengumpulkan
bahan referensi mengenai Black-box Testing dan keamanan aplikasi dari
berbagai buku, jurnal, artikel, dan beberapa referensi lainnya.
2. Analisis Permasalahan
Pada tahap ini dilakukan analisis terhadap studi literatur untuk mengetahui
dan
mendapatkan
pemahaman
mengenai
Black-box
Testing
untuk
menyelesaikan masalah.
3. Implementasi dari teknik
Pada tahap ini akan dilakukan pengkodean program menggunakan bahasa
pemograman JAVA Android.
4. Dokumentasi dan Penyusunan Laporan
Pada tahap ini dilakukan dokumentasi Black-box Testing dalam mendeteksi
celah keamanan SSL pada android.
1.7 Sistematika Penulisan
Sistematika penulisan dari skripsi ini terdiri dari lima bagian utama sebagai berikut:
Universitas Sumatera Utara
6
Bab 1: Pendahuluan
Bab ini berisi latar belakang, rumusan masalah, batasan masalah, tujuan penelitian,
manfaat penelitian, metodologi penelitian, dan sistematika penulisan.
Bab 2: Landasan Teori
Bab ini berisi teori-teori yang digunakan untuk memahami permasalahan yang dibahas
pada penelitian ini. Pada bab ini dijelaskan tentang implementasi blackbox testing
untuk mendeteksi celah keamanan pada aplikasi web dan aplikasi mobile beserta teori
pendukungnya.
Bab 3: Analisis dan Perancangan
Bab ini berisi analisis dan implementasi black-box testing untuk mendeteksi celah
keamanan pada aplikasi web dan aplikasi android, serta perancangan seperti
pemodelan dengan flowchart, activity diagram dan sequence diagram.
Bab 4: Implementasi dan Pengujian
Bab ini berisi pembahasan tentang implementasi dari analisis dan perancangan yang
disusun pada Bab 3 dan pengujian apakah hasil yang didapatkan sesuai dengan yang
diharapkan.
Bab 5: Kesimpulan dan Saran
Bab ini berisi kesimpulan dari keseluruhan uraian bab-bab sebelumnya dan saransaran yang diajukan untuk pengembangan penelitian selanjutnya
Universitas Sumatera Utara