LANDASAN TEOR

1.1 Latar Belakang

Di era saat ini, teknologi sangatlah membantu masyarakat dalam semua aspek kehidupan. Manusia selalu berusaha untuk menciptakan sesuatu yang dapat mempermudah aktivitasnya. Bahkan teknologi dapat menggantikan peran dalam fungsi tertentu. Kemudahan yang didapat manusia tidak terlepas dari banyaknya alat- alat teknlogi yang muncul saat ini, seperti halnya teknologi smartphone (telepon pintar). Kini telah banyak beredar berbagai macam jenis smartphone dipasaran Indonesia, kian hari kian banyak perubahan fungsi smartphone yang membuat kategori penilaian atau definisi smartphone bertambah luas. Sehingga sampai saat ini masih cukup banyak pengguna handphone yang kurang mengerti definisi smartphone, hal ini lebih diperburuk oleh beberapa vendor handphone yang menyatakan bahwa

handphone mereka termasuk dalam kelas smartphone, ada dua point yang harus

dimiliki sebuah handphone secara memadai (cukup) jika ingin dimasukkan dalam kategori smartphone, kedua point tersebut adalah versatility dan capacity. Smartphone telah menjadi salah satu alat teknologi yang tidak bisa dilepas dari kehidupan manusia. Selain berfungsi untuk melakukan komunikasi dalam jarak jauh di berbagai belahan dunia, teknologi smartphone juga dapat menghubungkan dan mempererat sosial antar sesama manusia dalam berbagai ras, agama dan suku. Smartphone juga dapat menambah wawasan dan ilmu pengetahuan karena telah tersedia banyaknya informasi yang bisa didapat secara gratis.

Kemudahan yang dirasakan manusia dari teknologi smartphone berbanding lurus dengan banyaknya ancaman yang didapatkan. Dikarenakan fungsi Smartphone kini bukanlah hanya sekadar alat komunikasi. Namun smartphone telah banyak digunakan untuk menyimpan data penting. Sehingga bisa dimanfaatkan para oknum

tak bertanggung jawab. Telah banyak muncul anggota maupun kelompok yang secara sengaja mendapatkan informasi rahasia dari sebuah sistem. Misalnya pencurian sejumlah akun di internet, foto pribadi, hingga data sensitif lain seperi SMS dan nomor kontak. Dalam bidang IT, mereka disebut cracker. Umumnya mereka mendapatkan informasi rahasia tersebut dengan mencari celah keamanan dari sebuah sistem. Mereka membutuhkan informasi ini dengan berbagai alasan baik untuk mencari keuntungan finansial, merusak nama baik perusahaan tertentu dan lain sebagainya (Irianto, 2011).

Dalam komunikasi data, untuk menjamin kemanan data tidak terekspos terhadap pihak yang tidak diinginkan, maka dirancang teknik enskripsi data, agar komunikasi aman. Protokol keamanan kriptografi yang digunakan sebagai standar enkripsi komunikasi antara klien dan server adalah SSL/TLS. Proses enkripsi dengan menggunakan SSL/TLS, masih ditemukan kekurangan dalam menerapkan beberapa fitur SSL/TLS dikarenakan adanya pengimplementasian kunci cipher yang lemah, kesalahan validasi sertifikat maupun kesalahan dalam penanganan session. Menurut penelitian netcraft web server survey, Dari 959.000.000 websites server yang ada, sekitar 66% menggunakan SSL, tidak termasuk seperti layanan email dan layanan pesan. Dan 17,5% dari websites yang menggunakan SSL, vulnerable terhadap

heartbleed. Menurut Heartbleed.com, Heartbleed Vulnerability adalah sebuah celah

keamanan paling fatal, yang secara resmi diidentifikasi oleh CVE-2014-0160. Berdasarkan Zmap.io, yang merupakan sebuah situs yang mengembangkan sebuah teknologi open-source yang berfungsi melakukan scan terhadap jaringan (Durumeric et al, 2014), Heartbleed merupakan lubang keamanan yang paling rentan disebabkan kesalahan pada aplikasi OpenSSL untuk menangani input yang datang dari pengguna sehingga memungkinkan penyerang mengeksploitasi output berupa memori server untuk mencuri informasi sensitif, seperti username, password, dan data kartu kredit dari server yang menjalankan peranti lunak tersebut. Beberapa pakar keamanan mengatakan bahwa aplikasi mobile juga dapat menjadi sasaran ancaman serangan

cracker karena mereka sama-sama menggunakan OpenSSL. Berdasarkan Asosiasi

Penyelenggara Jasa Internet Indonesia, bahwa 88,1 juta (34,9%) dari 252 juta penduduk indonesia adalah pengguna internet. 85% dari total pengguna internet melakukan aktivitas di dunia maya memakai telepon seluler (smartphone), 32%

Berdasarkan trendmicro.com, yang merupakan sebuah situs milik perusahaan

trendmicro, yang menyediakan teknologi dan solusi keamanan yang inovatif bagi

pebisnis dan konsumen untuk bertukar informasi digital. Dari 390.000 aplikasi yang pada google play, sekitar 7000 aplikasi terhubung dengan server rentan heartbleed. Adapun aplikasi-aplikasi yang dikatakan lemah terhadap heartbleed, antara lain: aplikasi perbankan, pembayaran online, online shop, instant messaging, mobile

payment, games dan aplikasi kesehatan.

Berdasarkan penilitian sebelumnya, telah banyak dilakukan penelitian untuk menjaga dan mendeteksi keamanan pada sebuah sistem. Akrout et al (2014) An

Automated Black Box Approach for Web Vulnerability Identification and Attack Scenario Generation, pada penelitian ini metode black box digunakan untuk

mengidentifikasi kelemahan aplikasi web dan mengelompokkan skenario serangan yang digunakan untuk aplikasi web tersebut. Gujrathi (2014), Heartbleed Bug:

AnOpenSSL Heartbeat Vulnerability, penelitian ini memberikan penjelasan secara

rinci kerja dari Heartbleed bug dan bagaimana bug ini dapat mempengaruhi privasi dan integritas data. J Bau et al(2010), State of the Art: Automated Black-Box Web

Application Vulnerability Testing, metode black box bertujuan untuk mendeteksi

kelemahan dan menguji efektivitas sistem dalam mendeteksi celah kelemahan seperti Cross-Site Scripting, SQL Injection, dan bentuk lain dari Cross-Channel Scripting.

Banyak aplikasi yang telah ada untuk mendeteksi celah SSL/TLS pada server atau pun melakukan verifikasi terhadap layanan SSL, seperti: bluebox heartbleed

scanner dan aplikasi scanner yang dimiliki situs https://filippo.io/Heartbleed/. Bluebox dan filippo memiliki kelebihan kinerja lebih cepat dalam menguji sebuah

heartbleed pada server, karena hanya sebatas mengecek berupa port yang terbuka atau tidak. Sedangkan penelitian ini langsung menggunakan simulasi serangan dengan menggunakan black box testing. Black Box testing adalah sebuah metode yang berfokus untuk menguji output yang dihasilkan sebuah aplikasi ketika di eksekusi dengan memberikan input tertentu, tanpa mengetahui struktur coding aplikasi. Black

Box testing menguji aplikasi tanpa memerlukan pengetahuan tentang bahasa

pemrograman yang membangun aplikasi tersebut (Sandulescu, 2014). Sehingga dalam penelitian ini, untuk mengetahui kelemahan pada aplikasi yang menggunakan SSL/TLS akan digunakan Black Box testing. Karena metode Black Box testing ini akan digunakan untuk menguji output yang diberikan aplikasi. Sehingga kita

mengetahui apakah aplikasi website dan aplikasi mobile yang terinstall pada

smartphone rentan tehadap HeartBleed atau beberapa jenis kelemahan lainnya.

Berdasarkan latar belakang di atas penulis mengajukan proposal penelitian dengan judul “PENDETEKSIAN CELAH KEAMANAN SSL/TLS MENGGUNAKAN ANDROID”.