Apa itu stripping SSL dan bagaimana cara menghindarinya?

SSL Stripping, juga dikenal sebagai serangan SSL Downgrade , dalam istilah sederhana, teknologi tinggi, penyadapan tidak terdeteksi.

Tujuan dari serangan SSL Stripping selalu untuk mematikan komunikasi yang aman tanpa disadari oleh korban. Ini semua tentang pengumpulan dan manipulasi data.

SSL Stripping memungkinkan penyerang menurunkan versi koneksi Anda dari HTTPS yang aman ke HTTP yang tidak aman. Ini pada gilirannya, membuat Anda rentan terhadap mata-mata dan manipulasi data.

Ini agak mirip dengan penyadapan, hanya sedikit lebih teknis.

Namun, baik penyadapan dan Pengupasan SSL memiliki 'man-in-the-middle' – orang yang melakukan penyadapan. Dalam hal ini, peretaslah yang membuat server proxy yang memotong dan mengalihkan lalu lintas dari komputer korban ke komputer mereka. Mereka kemudian dapat menggunakan informasi yang dicegat untuk melakukan apa saja yang mereka inginkan.

Pengguna sering kali tidak menyadari bahwa informasi mereka sedang atau telah disusupi, karena mereka akan berakhir di halaman yang terlihat hampir sama dengan yang mereka cari.

Begitulah cara SSL Stripping menipu pengguna agar percaya bahwa koneksi mereka aman dan data mereka dienkripsi, tetapi koneksi sebenarnya tidak aman dan data dikirim dalam teks biasa, karena enkripsi akan dihapus darinya. Itu sebabnya ini disebut 'strip' SSL.

Bagaimana cara kerja pengupasan SSL?

SSL Stripping berkembang pesat dalam tiga bagian. Serangan tidak dapat terjadi tanpa kehadiran tiga entitas yang diperlukan.

Harus ada:

• Sistem korban
• Server web yang aman
• Sistem penyerang

Dengan tiga bagian di tempatnya, roda penipuan mulai berputar.

Berikut adalah contoh.

 Jane mencoba membeli sepasang sepatu melalui situs web yang aman dan berkemampuan HTTPS.
John - peretas - menyadari hal ini dan ingin menangkap komunikasi dan melihat informasi rahasia Jane. Pikirkan nomor kartu kredit, kata sandi, dll.
Untuk itu, John menempatkan dirinya di tengah transaksi, dengan menjalin hubungan dengan korban. Ini kemudian memotong komunikasi Jane dengan server aman.
Jane, tidak menyadari apa yang terjadi, melanjutkan belanjanya; menemukan sepatu yang dia suka dan mulai membayar dengan meminta situs perbankan di browsernya.
Namun permintaan tersebut ditujukan kepada John, yang meneruskannya ke server situs perbankan yang sebenarnya.
Server web mengirimkan respons ke John, mengira itu adalah Jane- dalam bentuk URL HTTPS.
John kemudian mulai menggunakan keterampilan pengkodeannya untuk menurunkan versi URL HTTPS yang aman ke URL HTTP yang tidak aman dan meneruskannya ke Jane, yang tidak mengerti apa yang terjadi di latar belakang.
Karena serangan John berhasil, informasi apa pun yang dikirim Jane tidak lagi dienkripsi. Ini memberi John akses penuh ke kata sandinya, detail kartu kredit, alamat rumah, dll.

Perhatikan baik-baik, bahwa informasi John tidak pernah dikompromikan selama serangan, karena komunikasinya dengan situs web dilindungi SSL.

Prosesnya mungkin tampak lama dan memakan waktu, tetapi hanya perlu beberapa menit untuk meluncurkan serangan SSL Stripping yang berhasil.

Bagaimana mencegah situs web Anda dari Stripping SSL

Mendeteksi halaman yang disusupi itu sulit. Itulah salah satu alasan mengapa SSL Stripping sangat berbahaya. Tetapi ada beberapa langkah yang dapat diambil untuk melindungi situs web Anda dari serangan.

Berikut adalah tiga cara untuk melindungi dari serangan SSL Stripping.

• Sertifikat SSL
• HSTS
• Daftar pramuat HSTS

Sertifikat SSL

Memahami apa itu Sertifikat SSL akan memberikan gambaran yang lebih jelas tentang bagaimana mereka membantu melindungi dari serangan.

Sertifikat SSL adalah file data kecil yang memeriksa identitas situs web dan mengenkripsi informasi yang dikirim ke server. Saat Anda menginstal sertifikat SSL di server web, itu mengaktifkan ikon gembok aman dan protokol https yang memungkinkan koneksi aman dari server web ke browser.

HSTS

HTTP Strict Transport Security atau HSTS memberikan tingkat keamanan yang lebih tinggi dengan menginstruksikan browser komputer Anda untuk terhubung hanya melalui HTTPS. Ini juga mengharuskan komputer Anda tidak pernah terhubung, saat tidak terenkripsi, menggunakan HTTP.

Dengan melakukan dua hal ini, HTTS memastikan bahwa serangan SSL Stripping yang diluncurkan pada browser Anda tidak berhasil.

Namun HTTS bukanlah metode anti peluru terhadap serangan SSL Stripping. Jika Anda sudah diserang saat pertama kali mengunjungi situs, menggunakan HTTP secara surut mungkin tidak berguna.

Untuk alasan ini, Anda disarankan untuk meningkatkannya, yang membawa kita ke yang ketiga

Metode – menggunakan daftar pramuat HSTS.

Daftar Pramuat HSTS

Daftar pramuat HSTS adalah inventaris global situs web yang hanya menggunakan koneksi HTTPS.

Ini memberikan tingkat keamanan lain ke situs Anda dan pemilik situs web didesak untuk mendidik diri mereka sendiri tentang daftar dan bagaimana mereka dapat melindungi situs web mereka dari serangan SSL Stripping.

Daftar Pramuat HSTS harus disiapkan untuk menyajikan header HSTS di domain dasar untuk semua permintaan HTTPS.

Ini kemudian akan menunjukkan kepada semua browser bahwa situs hanya boleh dimuat di bawah protokol HTTPS. Semua variasi lainnya ditolak.

Dengan kata lain, Daftar Pramuat HSTS bekerja dengan menolak untuk terhubung ke situs web jika browser mendeteksi HTTP.

Rata-rata pengguna mungkin tidak dapat mengetahui apakah sebuah situs web menggunakan HSTS, HSTS Preload List, atau memiliki kelemahan lainnya.

Untuk alasan ini, Anda disarankan untuk mempertimbangkan lebih lanjut, opsi perlindungan privasi yang lebih aman seperti:

• Sertifikat SSL Wildcard
• VPN
• Pendidikan

Sertifikat SSL Wildcard

Ada berbagai jenis Sertifikat SSL. Wildcard SSL adalah salah satu jenisnya. Mereka mampu mengamankan sub domain tak terbatas pada satu sertifikat. Ini memberikan lapisan keamanan tambahan dan dapat ditambahkan ke biaya Sertifikat SSL, dengan membeli keduanya secara bersamaan. Ini adalah solusi yang bagus untuk siapa saja yang menghosting atau mengelola beberapa situs atau halaman yang ada di domain yang sama.

VPN

Jaringan Pribadi Virtual atau VPN dapat dengan mudah mencegah serangan SSL Stripping , dengan memotong orang di tengah.

Serangan sebagian besar mungkin terjadi ketika pengguna berbagi jaringan yang sama dengan penyerang. Tetapi karena VPN mengenkripsi dan melindungi semua lalu lintas internet dalam terowongan VPN yang aman, peretas tidak akan tahu bahwa Anda berada di jaringan yang sama, sehingga mencegah serangan.

Keamanan VPN mengurangi atau sepenuhnya menghilangkan kebutuhan untuk terus-menerus memeriksa HTTP, HTTPS, simbol kunci, atau apa pun. Nama pengguna, kata sandi, dan informasi rahasia lainnya dilindungi dari pengguna lain.

Pendidikan

Pendidikan sangat penting untuk memahami dan menghindari SSL Stripping.

Berikut adalah beberapa, tindakan pencegahan dasar yang dapat dilakukan pengguna untuk menghindari menjadi korban stripping SSL.

• WiFi : Terkadang ada keinginan untuk menggunakan Wi-Fi publik untuk menghemat data atau untuk alasan lain yang tampaknya valid. Namun, Wi-Fi publik harus dihindari, terutama saat mengirim informasi sensitif.
• HTTPS Everywhere: Ini adalah ekstensi browser yang memaksa browser untuk hanya mengirim informasi melalui situs web HTTPS. Pengguna harus didorong untuk mengunduhnya.
• HTTPS : Mengetik https sebagai bagian dari URL bisa tampak seperti buang-buang waktu, tetapi ini adalah masalah yang cukup besar. Bahkan jika Anda tidak mengetiknya, pastikan kelima huruf itu ada sebelum mengkliknya.
• Tautan : Berbicara tentang tidak mengklik. Jika tautan atau email terlihat mencurigakan, mungkin memang demikian, jadi tahan keinginan untuk mengekliknya.
• Alat Pemantauan Situs Web: Salah satu cara terbaik untuk mengenali aktivitas jahat adalah dengan menggunakan perangkat lunak pemantauan situs web premium. Ini dapat membantu memberikan peringatan waktu nyata tentang aktivitas yang tidak biasa di situs web Anda.

Ringkasan

Pengupasan SSL terjadi di latar belakang dan sebagian besar pengguna umumnya tidak menyadarinya, tetapi dipersenjatai dengan dasar, pengguna informasi SSL gratis dan pemilik situs web dapat melindungi diri mereka sendiri dari serangan.