ANALISIS CELAH HEARTBLEED PADA PROTOKOL SSL
MENGGUNAKAN METASPLOIT FRAMEWORK
Nurcachyo Dani Saparudin1, Yesi Novaria Kunang2, Megawaty3
Mahasiswa Universitas Binadarma1, Dosen Universitas Binadarma2, Dosen Universitas Binadarma3 Program Studi Informatika, Fakultas Ilmu Komputer, Universitas Bina Darma
Jl.Ahmad Yani no.12 Plaju Palembang
Telp. (0711) 515679 ext.177, Faks. (0711) 515679 ext 124
Pos-el: nurcachyodanis@gmail.com1, yesi_kunang@binadarma.ac.id2, megawaty@binadarma.ac.id3
Abstrack: Information technology security is a very important aspect , especially in the field of computer networks . Exchange in data communications is inseparable from a protocol that ensures data is sent securely . Hypertext Transfer Protocol Secure ( HTTPS ) is a protocol that uses Secure Socket Layer ( SSL ) and is supported by encryption algorithms . Further studies will be carried out on the Protocol SSl Heartbleed gap . Heartbleed is a gap in the SSL protocol that allows hackers to read the memory system , intercepting communications is ongoing , and cause leakage at 64KB of data in system memory . The method used in this study by using the experimental method metasploit tools framework, in order to know the susceptibility Heartbleed gap on the SSL protocol , the results of the test simlasi penestrasi using SSL protocol version 0.1.9g , showed that the SSL protocol version 0.1.9g affected by Heartbleed.
Keyword: Protokol SSl, Heartbleed, Experimen, Metasploit Framework
Abstrak: Keamanan teknologi informasi merupakan aspek yang sangat penting terutama dalam bidang jaringan komputer. Pertukaran dalam komunikasi data tidak terlepas dari sebuah protokol yang menjamin data terkirim dengan aman. Hypertext Transfer Protocol Secure (HTTPS) adalah sebuah protokol yang menggunakan Secure Socket Layer (SSL) dan didukung oleh algorithma penyandian. Penelitian lebih lanjut akan dilakukan terhadap celah Heartbleed pada Protokol SSl. Heartbleed adalah celah pada Protokol SSL yang memungkinkan hacker untuk membaca memori sistem, menyadap komunikasi yang sedang berjalan, dan menyebabkan kebocoran pada data 64KB pada memori sistem. Metode yang digunakan dalam penelitian ini metode experimen dengan menggunakan tools metasploit framework, guna mengetahui kerentanan terjadinya celah heartbleed pada protokol SSL, dari hasil simlasi uji penestrasi menggunakan protokol ssl versi 0.1.9g, didapatkan hasil bahwa protokol ssl versi 0.1.9g terkena dampak heartbleed.
Kata Kunci: Protokol SSl, Heartbleed, Experimen, Metasploit Framework
1. Pendahuluan
Perkembangan ilmu pengetahuan dan teknologi yang demikian pesat telah
memberikan banyak kemudahan bagi
manusia dalam melakukan segala
kegiatannya, termasuk dalam melakukan pertukaran informasi, pengiriman data, dan sebuah data akan terkirim dengan berbagai
jalur yang ditentukan. Sebuah pengiriman data tidak akan terlepas dari sebuah protokol yang ada di dalam jaringan internet pengiriman data. Protokol dapat diterapkan pada perangkat keras, perangkat lunak atau kombinasi dari keduanya. Protokol digunakan untuk menentukan jenis layanan yang akan dilakukan pada internet. protokol merupakan
sekumpulan aturan dan standar yang mengikat di dalam jaringan komputer kepada
para pengguna komputer dan semua
perangkat baik perangkat keras maupun perangkat lunak yang ada di dalam komputer, untuk dapat menciptakan komunikasi yang baik, memudahkan di dalam transfer data, dan menciptakan hubungan antar komputer (Pratama , 2014).
Salah satu dari protokol tersebut adalah
HTTPS, sebuah protokol yang
menggunakan Secure Socket Layer (SSL) atau Transport Layer Security (TLS) dan didukung oleh algorithma penyandian yang aktual, sebagai sublayer dibawah HTTP
aplikasi layer yang biasa. HTTPS
memberikan perlindungan yang memadai dari serangan eavesdroppers, dan man in the
middle attacks, pada umumnya port yang
digunakan HTTPS adalah port 443. Akan tetapi pada tahun 2014 ditemukan celah atau bug pada protokol SSL yang diberi nama
Heartbleed oleh Neel Mehta.
Heartbleed bukan merupakan virus
melainkan celah atau bug pada ekstensi
heartbeat (RFC6520), ekstensi heartbeat
bertujuan untuk memverifikasi status koneksi ke server dengan cara mengirim pesan dan mengharap respon yang sesuai. Dampak
heartbleed memungkinkan pihak ketiga untuk
membaca memori sistem, menyadap
komunikasi yang sedang berjalan, dan menyebabkan kebocoran pada 64KB memori
plaintext (teks asli) yang memungkinkan
berisi kunci keamanan, sertifikat dan data pribadi pengguna yang seharusnya dilindungi oleh keamanan enkripsi seperti SSL.
SSL (Secure Socket Layer) merupakan
protokol khusus atau jalur khusus yang lebih aman pada website dimana semua transaksi data yang menggunakan protokol tersebut
akan di enkripsi. Teknologi SSL
menggunakan konsep teknologi kriptografi kunci publik untuk bisa mencapai komunikasi
yang aman ini antara server dan
pengunjungnya (Rosmala Dkk, 2012).
Pentingnya keamanan informasi dan jaringan merupakan prioritas utama dengan harapan kebocoran dan penyalahgunaan informasi dapat diminimalisir. Analisis terhadap celah Heartbleed dan simulasi uji penetrasi perlu dilakukan untuk mengetahui resiko keamanan yang mungkin terjadi dan sebagai salah satu bentuk evaluasi jaringan (network audit), adapun tools dan syistem
operasi yang akan digunakan dalam
penelitian ini yaitu kalil linuk, metasploit framework, dan ubuntu.
2. Heartbleed
Menurut Pardosi, Heartbleed adalah bug yang memanfaatkan kelemahan pada
OpenSSL, dinamakan heartbleed karena bug
ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL (Pardosi, 2014:15). Menurut
wenno, Heartbleed adalah bug yang
OpenSSL dan hacker dapat menyadap
komunikasi yang sedang berjalan dan menyebabkan kebocoran 64KB data pada memori server (Wenno, 2015).
Dari beberapa sumber diatas dapat
disimpulkan bahwa Heartbleed bukan
merupakan sebuah virus melainkan sebuah celah atau bug pada protokol SSL yang memanfaatkan fasilitas heartbeat yang ada pada OpenSSL dan menyebabkan kebocoran data pada memori sistem sampai 64KB.
Heartbleed ditemukan pada tahun 2014
oleh Neel Mehta. Bug ini membuka celah sehingga setiap orang di internet dapat
mengakses lalu lintas memori yang
berlangsung dari server ke client, begitu pula sebaliknya. Akses dari lalu lintas memori itu bisa memberikan kesempatan kepada hacker agar bisa memperoleh kunci masuk dan mengakses ke dalam sebuah layanan milik orang lain, setelah masuk melalui akses yang berhasil diekspos, hacker dapat dengan mudah mengambil berbagai informasi pribadi seperti username, password, maupun data penting lainnya.
Menurut Pardosi, Heartbleed adalah bug yang memanfaatkan kelemahan pada
OpenSSL, dinamakan heartbleed karena bug
ini memanfaatkan fasilitas heartbeat yang ada di OpenSSL (Pardosi, 2014:15). Menurut
wenno, Heartbleed adalah bug yang
memanfaatkan fungsi Heartbeat pada
OpenSSL dan hacker dapat menyadap
komunikasi yang sedang berjalan dan menyebabkan kebocoran 64KB data pada memori server (Wenno, 2015).
Dari beberapa sumber diatas dapat
disimpulkan bahwa Heartbleed bukan
merupakan sebuah virus melainkan sebuah celah atau bug pada protokol SSL yang memanfaatkan fasilitas heartbeat yang ada pada OpenSSL dan menyebabkan kebocoran data pada memori sistem sampai 64KB.
Heartbleed ditemukan pada tahun 2014
oleh Neel Mehta. Bug ini membuka celah sehingga setiap orang di internet dapat
mengakses lalu lintas memori yang
berlangsung dari server ke client, begitu pula sebaliknya. Akses dari lalu lintas memori itu bisa memberikan kesempatan kepada hacker agar bisa memperoleh kunci masuk dan mengakses ke dalam sebuah layanan milik orang lain, setelah masuk melalui akses yang berhasil diekspos, hacker dapat dengan mudah mengambil berbagai informasi pribadi seperti username, password, maupun data penting lainnya.
3.
METODOLOGI PENELITIAN
3.1. Metode Penelitian
Metode eksperimen adalah Metode penelitian yang digunakan untuk mencari pengaruh perlakuan tertentu terhadap yang lain dalam kondisi yang terkendalikan Sehingga dapat diambil kesimpulan metode eksperimen adalah metode penelitian yang
didalamnya dibuat manipulasi terhadap objek penelitian serta adanya kontrol yang bertujuan untuk menyelidiki ada atau tidaknya sebab-akibat dan hubungan antara
sebab-akibat tersebut dengan cara
memberikan perlakuan (treatments) tertentu pada kelompok eksperimen dan menyediakan
kelompok kontrol untuk perbandingan
(Sugiyono, 2013 :72).
3.2. Syarat-syarat Penelitian Eksperimen
Sebuah penelitian dapat berjalan baik dan memberikan hasil yang akurat jika dilaksanakan dengan mengikuti kaidah tertentu. Seperti halnya dengan penelitian eksperimen, akan memberikan hasil yang valid jika dilaksanakan dengan mengikuti syarat-syarat yang ada. syarat-syarat yang
harus dipenuhi oleh peneliti dalam
melaksanakan penelitian eksperimental, yaitu:
1. Peneliti harus dapat menentukan secara sengaja kapan dan di mana ia akan melakukan penelitian,
2. Penelitian terhadap hal yang sama harus dapat diulang dalam kondisi yang sama. .3. Peneliti harus dapat memanipulasi (mengubah, mengontrol) variabel yang diteliti sesuai dengan yang dikehendakinya
dan diperlukan kelompok pembanding
(control group) selain kelompok yang diberi
perlakukan (experimental group).
3.3. Proses Penelitian Eksperimen
Terdapat 10 tahapan dalam penelitian eksperimen yaitu:
1. Menentukan topik,
2. Meninjau referensi yang relevan, 3. Menyusun hipotesis,
4. Memilih dan menetapkan peserta dalam kelompok,
5. Menentukan instrumen pengukuran
6. Menentukan kelompok variabel
eksperimen dan kontrol,
7. Menyusun treatment/ tindakan, 8. Mengumpulkan dan menganalisa data, 9. Membuat keputusan tentang hipotesis
(sesuai atau tidak sesuai), 10. Menyusun simpulan.
3.4. Metode Pengumpulan Data
Dalam penyusunan penelitian ini penulis mengumpulkan data yang dibutuhkan dalam simulasi uji penetrasi menggunakan metode pengumpulan data sebagai berikut : 1. Metode Pengamatan (Obseration)
Yaitu melakukan pengamatan secara langsung terhadap sistem untuk pengambilan data, dan melakukan simulasi uji penestrasi terhadap sistem yang akan diuji untuk pengambilan data, yang selanjutnya akan dianalisis.
2. Studi kepustakaan (Literature)
Data diperoleh melalui studi kepustaka (literature) yaitu dengan mencari bahan dari
internet, jurnal dan perpustakaan serta buku yang sesuai guna untuk menunjang penelitian yang akan dilakukan.
4.5. Black-Box Testing
Black-Box testing berfokus pada persyaratan fungsional perangkat lunak yang memungkinkan engineers untuk memperoleh set kondisi input yang sepenuhnya akan melaksanakan persyaratan fungsional untuk sebuah program. Black-Box testing berusaha untuk menemukan kesalahan dalam kategori berikut:
Fungsi yang tidak benar atau fungsi yang hilang.
1. Kesalahan antarmuka.
2. Kesalahan dalam struktur data atau akses
database eksternal.
3. Kesalahan perilaku (behavior) atau kesalahan kinerja.
4. Inisialisasi dan pemutusan kesalahan.
3.7 Kerangka Berpikir
Untuk menyelesaikan laporan tugas akhir ini, diperlukan suatu kerangka berpikir yang bertujuan agar penelitian ini lebih ter-arah dalam menulis laporan. Berikut adalah kerangka berpikir penulis:
Gambar 2.1. Kerangka Berpikir
4. Hasil
4.1. HTTPS
Pada tahap ini web server yang sudah dibuat diatas akan dilakukan sertifikasi SSL, agar koneksi internet antara web server dan clien lebih aman, SSL / TLS adalah lapisan keamanan untuk mengenkripsi koneksi antara
browser web dan server Anda. Selanjut
tahapan-tahapan untuk membuat HTTPS adalah sebagai berikut :
1. # ssl a2enmod 2. # a2ensite default-ssl
Selanjutnya menambahkan module ssl sebuah symlink di / etc / apache2 / sites-enabled folder ke /etc/apache2/sites-available/default-ssl.conf berkas untuk
memasukkannya ke dalam konfigurasi
3. # service apache2 restart 4. # service apache2 reload
Masuk ke browser ketikan
HTTPS://localhost, tanda gembok di depan URL di browser menunjukkan bahwa
sambungan terenkripsi, dan HTTPS sudah berhasil dibuat.
Gambar 3.3. Web Server HTTPS
4.2. Attack
Selanjutnya dalam tahap ini akan dilakukan penestrasi testing terhadap server
target, langkah pertama masuk ke
msfconsole, lalu masuk kemodule openssl
heartbleed yang sebelumnya sudah dipasang
pada metasploit framework dengan
memasukkan perintah use
auxiliary/scanner/ssl/openssl_heartbleed, setelah masuk ke openssl heartbleed set ip target dan port target.
Gambar 4.8. Heartbleed Attack
Gambar 4.9. Heartbleed Attack
Gambar 4.11. Heartbleed Attack
Gambar diatas, merupakan hasil
exploittasi heartbleed pada protokol ssl
dengan ip 192.168.56.102, dibawah HTTPS menggunakan kali linux dengan metasploit
framework, didapat hasil yang dimuntahkan
oleh server pada protokol ssl, dan terlihat pada gambar diatas bahwa protokol ssl yang digunakan oleh target server terkena dampak
heartbleed yang di nyatakan “heartbleed response with leak” selain itu data yang
berhasil diexplotsai yaitu cookies server target, cookies sendiri merupakan data informasi yang diciptakan oleh website itu sendiri, yang menyimpan berbagai aktifitas
user berupa data login username dan password, email dan data lainnya saat
mengakses website tersebut.
Fungsi cookies sendiri yaitu:
membantu website untuk mengingatkan siapa kita dan mengatur preferences yang sesuai sehingga apabila user kembali mengunjungi
website tersebut akan langsung dikenali,
menghilangkan kebutuhan meregistrasi ulang di website tersebut saat mengakses lagi (site tertentu saja), cookies membantu proses login
user kedalam web server tersebut,
memungkinkan website untuk menelusuri pola web surfing user dan mengetahui situs yang sering diunjunginya.
4.3. Pembahasan
Sebelum melakukan simulasi uji
penestrasi seperti yang terlihat pada gambar 4.1 dan 4.2 agar server dan clien dapat saling
terkoneksi harus mengatur ip pada server dan clien, setelah itu lakukan pengecekan ip
apakah server dan clien sudah terhubung dengan perintah ping ke ip server.
Selanjutnya memasang module ssl heartbleed pada meatsploit framework yang terdapat pada kali linux seperti yang terlihat pada gambar 4.4. diatas, module ssl heartbleed ini akan penulis gunakan untuk mengexploit protokol ssl target server apakah protokol ssl yang digunakan tedapat celah heartbleed dan data apa saja yang dimuntahkan oleh target
server pada saat diexploitasi menggunakan module ssl heartbleed.
Selanjutnya pada gambar 4.5., 4.6., dan 4.7. merupakan deskripsi dari module ssl
heartbleed, untuk melihat deskripsi dari
modue ssl heartbleed masuk ke msfconsole, setelah masuk ke msfconsole masukkan perintah use auxiliary / scanner / ssl / openssl_heartbleed, selanjutnya masukkan perintah info, pada gambar 4.5. diatas terlihat siapa yang membuat module ssl heartbleed dan kapan buatnya module ssl heartbleed tersebut, pada gambar 4.6. port mana saja yang nantinya akan discan, dan pada gambar 4.7. mendeskripsikan sertifikasi SSL/TLS yang digunakan oleh target server, menscan protokol ssl yang digunakan oleh server target terkena heartbleed atau tidak, mengambil data dari memori sistem data apa saja yang bisa diexpoit.
Berdasarkan dari hasil simulasi uji penestrasi analisis celah heartbleed pada
protokol ssl menggunakan metasploit
framework, didapatkan hasil seperti yang
terlihat pada gambar 4.9. yaitu sertifikasi
SSL/TLS yang digunakan oleh server target,
protokol ssl yang digunakan oleh server target terdapat celah heartbleed yang memungkinkan kebocoran data 64kb pada
memori sistem, yang memungkinkan
hacker/pihak yang tidak bertanggung jawab menyadap komunikasi yang sedang berjalan, dan terexploitnya cookies pada memori
sistem yang digunakan oleh server. Cookies sendiri merupakan data informasi yang diciptakan oleh website itu sendiri, yang menyimpan berbagai aktifitas user berupa data login username dan password, email dan informasi data yang lainnya saat mengakses
website tersebut yang seharusnya di lindungi
oleh protokol ssl.
5. Kesimpulan
Dari hasil penelitian yang sudah dilakukan dalam simulasi uji penestrasi analisis celah heartbleed pada protokol ssl menggunakan metasploit framework maka dapat ditarik kesimpulan bahwa celah
heartbleed pada protokol ssl masih
ditemukan pada openssl versi 0.9.8g, yang menyebabkan kebocoran informasi lalulintas pengiriman data yang memungkinkan pihak
yang tidak bertanggung jawab dapat
menyadap komunikasi yang sedang berjalan yang seharusnya di lindungi oleh protokol
SSL.
5.1. Saran
Berdasarkan dari penelitian diatas yang sudah dilakukan penulis menyarankan untuk mengantisipasi kebocoran data pada protokol
ssl dari dampak celah heartbeed demi
keamanan dan kenyamanan penggunan
protokol ssl di haruskan mengupdate sistem yang digunakan dan mengupdate atau mengganti protokol ssl ke versi yang lebih
aman karena protokol ssl dibawah versi 1.0.1g terkena dampak heartbleed yang yang berdampak pada kebocoran data pada memori sistem.
DAFTAR RUJUKAN
Pardosi, Rudi Samuel. 2015. Kali Linux Top Hacking. Sitoluama: Jasakom
Pratama, I Putu Agus Eka. 2014. Jaringan Komputer. Bandung: Informatika Rosmala, Dewi, dkk. 2012. Implementasi
Aplikasi Website E-Commerce Batik Sunda Dengan Menggunakan Protokol Secure Socket Layer (Ssl)
Sugiyino. 2013. Metode Penelitian
Kuantitatif, Kualitatif Dan R&D. Bandung: Alfabeta, CV
Wenno, William Dave. 2015. Pencurian Data Melalui Celah Heartbleed
