SSL menjamin confidentiality data
dari endpoint ke endpoint, itu artinya di tengah jalan tidak ada pihak
ke-3 yang bisa menyadap data yang dikirimkan. Nah, kalau di tengah jalan
tidak bisa disniff, bagaimana dengan sniffing di salah satu endpoint,
baik di komputer klien atau server? Itulah yang akan saya tunjukkan
dalam artikel ini.
SSL: The Secure Tunnel for All
SSL adalah protokol yang menjamin
confidentiality dan authentication komunikasi dari satu titik awal ke
titik akhir. Data apapun yang dilewatkan melalui SSL dijamin aman dari
pengintip di tengah jalan karena semua data dikirim dalam keadaan
terenkripsi. Karena itu SSL sering dijadikan terowongan (tunnel) untuk
membuat protokol lain yang tidak secure menjadi secure.
Contoh pemakaian SSL sebagai tunnel
adalah pada https. Http sejatinya adalah protokol clear text, artinya
semua request dan response http yang lewat tidak terenkripsi dan bisa
disadap siapapun yang berminat. Namun untuk web tertentu yang sensitif
seperti bank memerlukan jaminan confidentiality, oleh karena itu
protokol Http ini dibungkus dan dilewatkan tunnel SSL, sehingga menjadi
apa yang dikenal sebagai https yaitu http tunneled over SSL. Penjelasan
lebih detil tentang https bisa dibaca di
understanding https. Masih banyak protokol lain yang bisa dilewatkan tunnel SSL, antara lain IMAP, SMTP, POP, LDAP.
Sniffing at Endpoint
SSL memang menjamin keamanan sepanjang
perjalanan dari titik asal menuju titik tujuan. Data yang terkirim dari
dan ke komputer klien/server dijamin keamanannya karena terenkripsi.
Kalau ada attacker yang mencoba mengintip data di tengah perjalanan,
data yang dia dapatkan adalah data yang terenkripsi, bukan plain-text,
sehingga tidak ada gunanya mengintip data yang dilindungi SSL.
Jaminan keamanan SSL hanya berlaku dari titik A ke titik B (end-to-end).
Pertama saya harus jelaskan dulu apa yang dimaksud dengan titik. Titik
disini adalah aplikasi atau program komputer yang berjalan di atas
operating system, contohnya adalah browser, instant messenger, outlook.
Aplikasi ada yang berfungsi sebagai client dan ada pula yang sebagai
server.
Agar data yang dikirimkan aman, aplikasi tersebut harus melakukan
enkripsi data terlebih dahulu sebelum mengirimkan data ke tujuan. Begitu
pula dari titik penerima, data yang diterima harus dikenakan proses
dekripsi agar bisa dimengerti dan bisa diproses. Proses tersebut
digambar seperti pada gambar berikut ini:
simplified SSL data flow
Pada gambar di atas, dicontohkan yang menjadi titik adalah browser
sebagai client dan web server sebagai server. Pada saat paket data
diserahkan dari aplikasi ke network adapter (ethernet, wifi adapter
dsb), paket tersebut sudah dalam keadaan terenkripsi. Jadi dalam
aplikasi yang memakai SSL data yang dikirim dan diterima dalam keadaan
terenkripsi, namun justru dalam aplikasinya sendiri data masih dalam
keadaan tidak terenkripsi.
Data hanya aman ketika berada di luar rumah, justru di dalam rumah data tidak terlindungi enkripsi
Karena data hanya aman ketika berada di luar rumah (proses/aplikasi),
maka ada peluang bagi aplikasi/proses lain yang memiliki hak akses yang
cukup untuk melakukan sniffing ketika data masih berada di dalam rumah.
Salah satu skenario attack yang mungkin adalah: dalam sistem operasi
multi user seperti linux dan windows, ada satu user yang dipakai
beberapa orang. Dalam kondisi ini ketika ada orang yang sedang browsing,
maka orang lain dengan user yang sama bisa mengintip isi rumah browser
korban. Hal ini dimungkinkan karena kedua orang tersebut login dengan
user yang sama. Jadi walaupun korban sedang login mengggunakan https
(SSL) di browser tersebut, attacker tetap bisa melakukan sniffing dengan
cara masuk langsung ke dalam rumah proses browser korban.
Sniffing Google Talk SSL Traffic
Agar lebih jelasnya mari kita langsung praktek mencoba sniffing SSL
google talk di komputer yang sama. Sebelumnya anda harus sudah berhasil
download oSpy.
Kemudian silakan extract dan jalankan file oSpy.exe. Untuk dapat
melakukan sniffing proses saya harus menginjeksi agen ke dalam proses
tersebut. Agen ini mirip dengan mata-mata yang disusupkan ke daerah
lawan agar saya bisa mendapatkan informasi segala sesuatu tentang lawan.
Agen yang disusupkan ke proses googletalk.exe ini akan memberikan saya
informasi fungsi apa saja yang dijalankan oleh sebuah proses.
Untuk menginjeksi agen, di dalam oSpy, klik menu Capture kemudian pilih
menu Inject Agent. Silakan pilih proses yang akan diintip, dalam contoh
ini saya memilih googletalk.exe. Setelah memilih proses, kemudian klik
tombol Inject. Proses injeksi agen diperlihatkan pada gambar di bawah
ini.
injecting agent
Setelah agen berhasil disusupkan ke sebuah proses, kini tiba saatnya
untuk mengantifkan modus mata-mata, caranya adalah dengan klik menu
Capture, kemudian pilih Start. Setelah itu saya coba login ke
googletalk,kemudian saya klik Stop Capture untuk melihat hasil capture.
Mari kita lihat informasi apa saja yang dikirimkan oleh agen yang saya
susupkan ke daerah musuh.
captured information
Dalam gambar di atas terlihat informasi yang dikirim oleh agen rahasia
saya. Google talk menggunakan https untuk melakukan authentication.
Walaupun menggunakan https, namun agen rahasia saya mampu membaca paket
http yang dikirimkan ke google dan yang diterima dari google.
POST /accounts/ClientAuth HTTP/1.1
Connection: Keep-Alive
Content-Length: 171
Content-Type: application/x-www-form-urlencoded
Host: www.google.com:443
User-Agent: Google Talk
Email=rizki.wicaksono%40gmail.com&Passwd=%74%65%73%74%69%6E%67%70%61%73%73%77%6F%72%64&PersistentCookie=false&source=googletalk&accountType=HOSTED_OR_GOOGLE&skipvpage=true
Request POST tersebut mengirimkan username dan password saya dalam
bentuk url encoded ke https://www.google.com. Namun karena username dan
password salah, maka response yang didapatkan adalah 403 Forbidden.
Kalau password benar, response status code adalah 200 OK.
Pada gambar tersebut juga terlihat bahwa sebelum googletalk mengirimkan
data, dia memanggil fungsi EncryptMessage() yang gunanya mengenkrip
pesan yang akan dikirim ke web server google. Begitu pula sebaliknya,
data yang diterima dari web server google diterima oleh fungsi recv()
setelah itu diikuti dengan fungsi DecryptMessage() yang gunanya
mendekrip pesan yang diterima dari web server google.
Kesimpulan
SSL adalah protokol yang sangat bagus karena bisa menjamin keamanan data
dari titik ke titik. Namun keamanan data di titik itu sendiri tidak
bisa dijamin SSL karena itu adalah domain dari keamanan sistem operasi.
Dengan menggunakan oSpy saya bisa mengintip komunikasi SSL yang
dilakukan sebuah aplikasi/proses. Komunikasi SSL tidak bisa diintip
dengan menggunakan network sniffer seperti wireshark(ethereal) walaupun
sniffer dijalankan di komputer yang sama dengan aplikasi. Kenapa network
sniffer tidak berguna walau di komputer yang sama? Hal ini karena
sniffer bekerja di layer physical dengan mengubah network adapter ke
modus promiscious. Dalam gambar sebelumnya saya jelaskan bahwa data yang
dikirimkan melalui network layer (physical layer) adalah hasil dari
fungsi EncryptData(), yang artinya data tersebut sudah dalam bentuk
terenkripsi, walaupun masih dalam satu komputer yang sama.
Dalam aplikasi yang menggunakan SSL, data hanya aman ketika berada di
luar rumah (di luar process address space), sehingga data yang dikirim
ke luar melalui network adapter sudah dalam keadaan terenkripsi. Untuk
dapat melakukan sniffing SSL saya harus melakukan itu di dalam rumah (di
dalam proses itu sendiri). Dalam gambar sebelumnya saya menjelaskan
bahwa sebelum memanggil fungsi send(), proses memanggil fungsi
EncryptData(). Fungsi inilah yang saya target karena fungsi ini mengubah
plaintext menjadi ciphertext, plaintext inilah yang dilaporkan kepada
saya oleh agen mata-mata saya (ospy).
Attack dengan oSpy ini akan efektif bila attacker telah mendapatkan
akses penuh di sebuah komputer. Untuk menyadap password internet banking
pengguna, bila keylogger tidak berguna karena user menggunakan virtual
keyboard, bila
FFSniff juga tidak berguna karena user tidak memakai Firefox, maka oSpy akan sangat berguna.
W3C
Konsorsium Waring Wera Wanua (bahasa Inggris: World Wide Web Consortium) biasa disingkat (W3C) adalah suatu konsorsium yang bekerja untuk mengembangkan standar-standar untuk Waring Wera Wanua. Spesifikasi teknologi-teknologi utama yang dipakai sebagai basis utama web, seperti URL (Uniform Resource Locator), HTTP (Hypertext Transfer Protocol), dan HTML (HyperText Markup Language) dikembangkan dan diatur oleh badan ini.
PHP
PHP: Hypertext Preprocessor[1] adalah bahasa skrip yang dapat ditanamkan atau disisipkan ke dalam HTML.[2][3] PHP banyak dipakai untuk memrogram situs web dinamis. PHP dapat digunakan untuk membangun sebuah CMS.Pada awalnya PHP merupakan kependekan dari Personal Home Page (Situs personal). PHP pertama kali dibuat oleh Rasmus Lerdorf pada tahun 1995. Pada waktu itu PHP masih bernama Form Interpreted (FI), yang wujudnya berupa sekumpulan skrip yang digunakan untuk mengolah data formulir dari web.
Selanjutnya Rasmus merilis kode sumber tersebut untuk umum dan menamakannya PHP/FI. Dengan perilisan kode sumber ini menjadi sumber terbuka, maka banyak pemrogram yang tertarik untuk ikut mengembangkan PHP.
Pada November 1997, dirilis PHP/FI 2.0. Pada rilis ini, interpreter PHP sudah diimplementasikan dalam program C. Dalam rilis ini disertakan juga modul-modul ekstensi yang meningkatkan kemampuan PHP/FI secara signifikan.
Pada tahun 1997, sebuah perusahaan bernama Zend menulis ulang interpreter PHP menjadi lebih bersih, lebih baik, dan lebih cepat. Kemudian pada Juni 1998, perusahaan tersebut merilis interpreter baru untuk PHP dan meresmikan rilis tersebut sebagai PHP 3.0 dan singkatan PHP diubah menjadi akronim berulang PHP: Hypertext Preprocessing.
Pada pertengahan tahun 1999, Zend merilis interpreter PHP baru dan rilis tersebut dikenal dengan PHP 4.0. PHP 4.0 adalah versi PHP yang paling banyak dipakai pada awal abad ke-21. Versi ini banyak dipakai disebabkan kemampuannya untuk membangun aplikasi web kompleks tetapi tetap memiliki kecepatan dan stabilitas yang tinggi.
Pada Juni 2004, Zend merilis PHP 5.0. Dalam versi ini, inti dari interpreter PHP mengalami perubahan besar. Versi ini juga memasukkan model pemrograman berorientasi objek ke dalam PHP untuk menjawab perkembangan bahasa pemrograman ke arah paradigma berorientasi objek.
HTML
HyperText Markup Language (HTML) adalah sebuah bahasa markup yang digunakan untuk membuat sebuah halaman web, menampilkan berbagai informasi di dalam sebuah Penjelajah web Internet dan formating hypertext sederhana yang ditulis kedalam berkas format ASCII agar dapat menghasilkan tampilan wujud yang terintegerasi. Dengan kata lain, berkas yang dibuat dalam perangkat lunak pengolah kata dan disimpan kedalam format ASCII normal sehingga menjadi home page dengan perintah-perintah HTML. Bermula dari sebuah bahasa yang sebelumnya banyak digunakan di dunia penerbitan dan percetakan yang disebut dengan SGML (Standard Generalized Markup Language), HTML adalah sebuah standar yang digunakan secara luas untuk menampilkan halaman web. HTML saat ini merupakan standar Internet yang didefinisikan dan dikendalikan penggunaannya oleh World Wide Web Consortium (W3C). HTML dibuat oleh kolaborasi Caillau TIM dengan Berners-lee robert ketika mereka bekerja di CERN pada tahun 1989 (CERN adalah lembaga penelitian fisika energi tinggi di Jenewa). [1]
Tahun 1980, IBM memikirkan pembuatan suatu dokumen yang akan mengenali setiap elemen dari dokumen dengan suatu tanda tertentu. IBM kemudian mengembangkan suatu jenis bahasa yang menggabungkan teks dengan perintah-perintah pemformatan dokumen. Bahasa ini dinamakan Markup Langiage, sebuah bahasa yang menggunakan tanda-tanda sebagai basisnya. IBM menamakan sistemnya ini sebagai Generalized Markup Language atau GML.
Tahun 1986, ISO menyatakan bahwa IBM memiliki suatu konsep tentang dokumen yang sangat baik, dan kemudian mengeluarkan suatu publikasi ( ISO 8879 ) yang menyatakan markup language sebagai standar untuk pembuatan dokumen-dokumen. ISO membuat bahasa ini dari GML milik IBM, tetapi memberinya nama lain, yaitu SGML ( Standard Generalized Markup Language ).
ISO dalam publikasinya meyakini bahwa SGML akan sangat berguna untuk pemrosesan informasi teks dan sistem-sistem perkantoran. Tetapi diluar perkiraan ISO, SGML dan terutama subset dari SGML, yaitu HTML juga berguna untuk menjelajahi internet. Khususnya bagi mereka yang menggunakan World Wide Web. Versi terakhir dari HTML adalah HTML 4.01, meskipun saat ini telah berkembang XHTML yang merupakan pengembangan dari HTML.
Client-side scripting
Client-side scripting generally refers to the class of computer programs on the web that are executed client-side, by the user's web browser, instead of server-side (on the web server).[1] This type of computer programming is an important part of the Dynamic HTML (DHTML) concept, enabling web pages to be scripted; that is, to have different and changing content depending on user input, environmental conditions (such as the time of day
, or other variables.
