tugas2 kriptografi 1210705123 rizki-ardian if-d
TRANSCRIPT
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
1/19
SERANGAN AKTIF DAN SERANGAN PASIF DALAM KRIPTOGRAFI
Untuk memenuhi salah satu tugas mata kuliah Kriptografi
Oleh :
Rizki Ardian
1210705123
IF D / VI
JURUSAN TEKNIK INFORMATIKA
FAKULTAS SAINS DAN TEKNOLOGI
UNIVERSITAS ISLAM NEGERI
SUNAN GUNUNG DJATI
BANDUNG
2013
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
2/19
KATA PENGANTAR
Segala puji dipanjatkan kehadirat Allah SWT atas rahmat serta karunia-Nya lah masih
diberi nikmat umur yang dapat kita pergunakan untuk beribadah kepada-Nya. Tidak lupa
shalawat serta salam semoga tercurah limpahkan kepada nabi Muhammad SAW, kepada
keluarganya, sahabatnya, para tabiit-tabiin, dan mudahan mudahan sampailah kepada
umatnya yang mengkuti jejak langkah beliau hingga akhir zaman, Amin.
Adapun makalah ini disusun untuk memenuhi tugas yang diberikan oleh dosen
pengampu mata kuliah Kriptografi.
Mohon kritik dan saran agar ke depannya menjadi lebih baik lagi. Akhir kata semoga
malalah ini dapat bermanfaat.
Terima Kasih
Bandung, 6 Maret 2013
Penulis
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
3/19
PENDAHULUAN
Keamanan Web seharusnya merupakan prioritas no.1 yang harus selalu
dipertimbangkan oleh seorang web administrator dan web developer, tetapi umumnya para
pembuat web akan memprioritaskan bagaimana membuat web yang menarik bagi
pengunjung dan menempatkan keamanan web di urutan ke-sekian. Padahal, umumnya
aplikasi web adalah penghubung terdepan antara user ataupun attacker, sekaligus sebagai
pintu masuk ke seluruh data yang relatif penting milik perusahaan anda.
Para pembuat/penyedia web umumnya mengkategorikan keamanan web sebagai
suatu hal yang hanya perlu dipikirkan setelah web itu dibuat dan siap digunakan oleh
pengguna. Banyak ahli keamanan web bahkan menyatakan bahwa, umumnya keseluruhan
website yang ada di internet rentan untuk dikuasai oleh penyerang, dan celah tersebut
umumnya relatif gampang ditemukan bahkan untuk dieksploitasi.
Menurut artikel Kompas Jumlah kasus cyber crime atau kejahatan di dunia maya
yang terjadi di Indonesia merupakan yang tertinggi di dunia, antara lain, karena banyaknya
aktivitas para hacker di Tanah Air. Tingginya kasus cyber crime dapat dilihat dari banyaknya
kasus pemalsuan kartu kredit dan pembobolan sejumlah bank. Masih ingat kah anda dengan
kasus-kasus cybercrime di Indonesia salh satunya yang sangat popular adalah Klik BCA.
Penyerangan terhadap website-website e-commerce ini tidak hanya merugikan perusahaan
tetapi juga merugikan konsumen
Kriptografi berkembang sedemikian rupa sehingga melahirkan bidang yang
berlawanan yaitu kriptanalisis. Kriptanalisis (cryptanalisis) adalah ilmu dan seni untuk
memecahkan cipherteks menjadi plainteks tanpa mengetahui kunci yang digunakan.
Pelakunya disebut kriptanalis. Jika seorang kriptografer (cryptographer)
mentransformasikan plainteks menjadi cipherteks dengan suatu algoritma dan kunci
maka sebaliknya seorang kriptanalis berusaha untuk memecahkan cipherteks tersebut
untuk menemukan plainteks atau kunci.
Kriptologi (cryptology) adalah studi mengenai kriptografi dan kriptanalis. Baik
kriptografi dan kriptanalisis keduanya saling berkaitan Serangan (atau serangan
kriptanalis) terhadap sistem kriptografi dapat dikelompokkan dengan beberapa cara.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
4/19
PEMBAHASAN
Penyerangan keaman terhadap web security terdapat 2 jenis yaitu passive attack dan
active attack.
1. Serangan Pasif
Serangan pada sistem autentikasi yang tidak menyisipkan data pada aliran data,
tetapi hanya mengamati atau memonitor pengiriman informasi ke tujuan. Informasi ini
dapat digunakan di lain waktu oleh pihak yang tidak bertanggung jawab. Serangan pasif yang
mengambil suatu unit data kemudian menggunakannya untuk memasuki sesi autentikassi
dengan berpura-pura menjadi user yangg autentik / asli disebut dengan replay attack.
Beberapa informasi autentikasi seperti password atau data biometric yang dikirim melalui
transmisi elektronik dapat direkam dan kemudian digunakan untuk memalsukann data yang
sebenarnya. Serangan pasif ini sulit dideteksi karena penyerang tidak melakukan perubahan
data. Oleh sebab itu untuk mengatasi serangan pasif ini lebih ditekankan pada pencegahan.
Adapun ilustrasi gambar seperti dibawah :
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
5/19
Salah satu contoh serangan pasif yaitu sniffing.
Istilah Sniffing memang sering kita ketahui di dunia internet. Tapi tidak semua orang
mengerti, maka dari itu saya ingin sedikit share tentang apa itu Sniffing ??
SNIFFING merupakan cara untuk melihat paket-paket berupa data yang keluar
maupun masuk pada sebuah jaringan komunikasi. Sebagai contohnya komputer yang
terhubung dengan jaringan LAN atau pada WLAN, kemudian paket-paket tersebut disusun
ulang sehingga data yang dikirimkan oleh pihak tertentu dapat dilihat oleh orang yang
melakukan SNIFFING. Tapi tunggu dulu, Sniffing ini sebenarnya bukan mengajarkan kita
untuk berbuat negatif, karena Sniffing juga bisa digunakan untuk mengelola jaringan. secara
positif kususnya bagi seorang admin. Sniffing juga bisa digunakan untuk pertahanan jaringan.
Pertahanan yang dimaksud yaitu dengan cara melakukan penganalisaan paket-paket yang
lewat pada suatu jaringan. Apakah paket tersebut berbahaya atau tidak, mengandung virus
atau tidak yang mungkin dapat mengancam performa jaringan itu sendiri.
Untuk melakukkan Sniffing, ada beberapa software yang bisa kita pakai utuk kegiatan
tersebut, sebagai contoh yaitu Wireshark. Dengan memanfaatkan tools yang ada di dalam
nya kita bisa melakukan Sniffing misalnya untuk mengetahui password dan username.
Sebagai contoh tutorial melakukan Sniffing menggunakan Wireshark dapat kita lihat sebagai
berikut
1. Buka program WIreshark pada PC atau Laptop2. Jalankan program dengan mengeklik Capture> interface> lalu pilih interface yang
telah terhubung ke jaringan> klik Start untuk memulai mengcapture.
3. Setelah mulai mengcapture, paket-paket data yang ada di jaingan akan terlihat,4. Sebagai contoh kita akan menSniffing password pada salah satu situs saat kita
melakukan login.
5. pada saat seseorang melakukan login, paket-paket data yang dikirimkan akantercapture oleh Wireshark
6. Pilih paket yang berisikan data POST untuk mengetahui username dan password yangtadi dimasukkan
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
6/19
2. Serangan Aktif
Merupakan serangan yang mencoba memodifikasi data, mencoba mendapatkan
autentikasi, atau mendapatkan autentikasi dengan mengirimkan paket-paket data yang
salah ke dalam data stream atau dengan memodifikassi paket-paket yang melewati data
stream. Kebalikan dari serangan pasif, serangan aktif sulit untuk dicegah karena untuk
melakukannya dibutuhkan perlindungan fisik untuk semua fasilitass komunikassi dan jalur-
jalurnya setiap saat. Yang dapat dilakukan adalah mendeteksi dan memulihkan keadaan
yang disebabkan oleh serangan ini. Salah satu contoh serangan aktif adalah metode Man In
The Middle.
Serangan Man-in-the-middle
Man-in-the-middle (MITM) attack adalah salah satu serangan pada tahap gaining
access. Dengan cara ini seseorang bisa membaca, menyisipkan, dan memalsukan data antara
dua komputer yang saling terhubung di dalam switched network.
Man-in-the-middle attack dapat dilakukan jika komputer attacker berada di dalam satu
network dengan dua komputer yang lainnya sesuai dengan namanya. Man-in-tthe-middle.
Atttacker harus menempatkan diri di tengah-tengah komunikasi antara komputer
User A dan komputer User B sehingga attacker bisa meng-capture (sniff) semua data dari
komputer User A dan komputer User dan dapat melakukan serangan terhadap kriptografi.
Serangan terhadap kriptografi berarti usaha untuk menemukan kunci atau plaintext dari
ciphertext.
Bukan Sekedar Sniffing
Mungkin banyak yang mengira tujuan dari serangan mitm adalah untuk menyadap
komunikasi data rahasia, seperti yang sniffing. Sniffing bisa disebut sebagai passive attack
karena pada sniffing attacker tidak melakukan tindakan apa-apa selain memantau data yang
lewat. Memang benar dengan serangan MITM, seorang attacker bisa mengetahui apa yang
dibicarakan oleh dua pihak yang berkomunikasi. Namun sebenarnya kekuatan terbesar dari
mitm bukan pada kemampuan sniffingnya, namun pada kemampuan mencegat dan
mengubah komunikasi sehingga mitm attack bisa disebut sebagai jenis serangan aktif.
Gambar di bawah ini adalah skenario yang bisa dilakukan attacker dengan serangan MITM.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
7/19
Pada gambar tersebut terlihat ada 4 macam serangan yang bisa dilakukan dengan MITM.
Berikut adalah penjelasan dari jenis serangan tersebut dalam skenario seperti gambar di
atas.
Sniffing: Charlie mengetahui semua pembicaraan antara Alice dan Bob. Intercepting: Charlie mencegat pesan dari Alice ketika Alice ingin menutup
percakapan dengan Bob Im going to sleep, Bye!. Dengan begini Bob mengira Alice
masih berkomunikasi dengannya.
Tampering: Charlie mengubah jawaban Bob kepada Alice dari account Paypal bobmenjadi charlie.
Fabricating: Charlie menanyakan nomor social security number kepada Bob, padahalpertanyaan ini tidak pernah diajukan oleh Alice.
Dengan cara mitm ini bisa dibayangkan betapa besar potensi kerusakan yang bisa dilakukan
Charlie kepada Alice dan Bob.
Proses Terjadinya Serangan Man-in-The-Middle
Dalam serangan mitm, seorang attacker akan berada di tengah-tengah komunikasi
antara dua pihak. Seluruh pembicaraan yang terjadi di antara mereka harus melalui attacker
dulu di tengah. Attacker dengan leluasa melakukan penyadapan, pencegatan, pengubahan
bahkan memalsukan komunikasi seperti yang sudah saya jelaskan sebelumnya.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
8/19
Sekarang mari kita lihat proses terjadinya MITM dalam contoh kasus Alice berkomunikasi
dengan Bob. Charlie sebagai attacker akan berusaha berada di tengah antara Alice dan Bob.
Agar Charlie berhasil menjadi orang ditengah, maka Charlie harus:
menyamar sebagai Bob dihadapan Alice menyamar sebagai Alice dihadapan Bob
Pentingnya Otentikasi: Who Are You Speaking With?
Otentikasi adalah proses untuk membuktikan identitas suatu subjek, bisa orang atau
mesin. Proses membuktikan identitas seeorang ada banyak cara, namun semuanya bisa
dikelompokkan dalam 3 kategori:
What you know: PIN, password, pasangan kunci publik-privat What you have: smart card, kunci, USB dongle What you are: fingerprint, retinaSecara singkat otentikasi menjawab pertanyaan Who are you speaking with?.
Pertanyaan itu sangat penting diketahui sebelum dua pihak berkomunikasi. Bila dua pihak
berkomunikasi tanpa sebelumnya melakukan otentikasi, maka keduanya bisa terjebak
berbicara dengan orang yang salah, yaitu orang yang menyamar menjadi lawan bicaranya.
Bila sampai ini terjadi maka akibatnya bisa sangat fatal, salah satunya adalah terjadinya
mitm attack.
Bila dua orang yang sudah saling mengenal berbicara dengan tatap muka langsung,
maka tidak mungkin keduanya terjebak dan tertipu berbicara dengan orang yang salah.
Otentikasi menjadi sangat penting bila kedua pihak berbicara melalui media komunikasi
jarak jauh seperti telpon atau internet. Dalam komunikasi jarak jauh, kita hanya bisa
mendengar suara lawan bicara kita, jadi sangat besar kemungkinan kita berbicara dengan
orang yang salah.
Jadi cara untuk mencegah serangan MITM adalah dengan melakukan otentikasi
sebelum berkomunikasi. Bahkan walaupun otentikasi dilakukan oleh salah satu pihak saja,
itu sudah cukup untuk mencegah mitm. Mari kita lihat kembali contoh Alice, Bob dan
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
9/19
Charlie, bila otentikasi hanya dilakukan oleh Bob, sedangkan Alice tidak. Karena tidak adanya
otentikasi Alice, maka Charlie bisa menyamar sebagai Alice di hadapan Bob, namun Charlie
tidak bisa menyamar sebagai Bob di hadapan Alice. Kenapa Charlie tidak bisa menyamar
menjadi Bob? Sebab Alice akan menguji keaslian Bob dengan otentikasi, sehingga
penyamaran Charlie sebagai Bob palsu akan terbongkar dan Alice tidak akan mau
melanjutkan komunikasi.
Contoh serangan Man In The Middle
Https (http over SSL) sebenarnya adalah protokol yang sangat aman, protokol ini
menjamin keamanan data dari browser hingga web server. MITM attack (man in the middle)
tidak bisa dilakukan terhadap https karena https memiliki fitur authentication sehingga
attacker tidak bisa menyamar sebagai web server. Walaupun mitm attack tidak bisa
dilakukan terhadap https, namun attacker tetap bisa menyerang user yang menggunakan
http sebagai pintu masuk menuju https. Dalam artikel ini saya akan jelaskan
tentangSSLStrip, sebuah tool yang dibuat oleh Moxie Marlinspike untuk melakukan
serangan mitm terhadap pengguna situs yang dilindungi dengan https.
SSL is not vulnerable to MITM attack
MITM attack adalah serangan dimana attacker berada di tengah bebas
mendengarkan dan mengubah percakapan antara dua pihak. Jadi dengan serangan MITM ini
attacker tidak hanya pasif mendengarkan, tetapi juga aktif mengubah komunikasi yang
terjadi. Sebagai contoh, pada percakapan antara Alice dan Bob, Charlie menjadi pihak yang
ditengah melakukan MITM attack. Charlie tidak hanya bisa mendengarkan percakapan itu,
namun juga bisa mengubah percakapannya. Ketika Alice berkata Besok makan siang jam 7,Charlie bisa mengubahnya menjadi Besok makan siang dibatalkan sehingga Bob mengira
makan siang dengan Alice tidak jadi.
Kenapa MITM attack bisa terjadi? MITM attack bisa terjadi karena sebelum
berkomunikasi kedua pihak tidak melakukan authentication. Authentication berguna untuk
memastikan identitas pihak yang berkomunikasi, apakah saya sedang berbicara dengan
orang yang benar, atau orang ke-3 (the person in the middle) ? Tanpa authentication Alice
akan mengira sedang berbicara dengan Bob, sedangkan Bob juga mengira sedang berbicara
dengan Alice, padahal bisa jadi sebenarnya Alice sedang berbicara dengan Charlie dan Bob
http://www.thoughtcrime.org/software/sslstrip/index.htmlhttp://www.thoughtcrime.org/software/sslstrip/index.htmlhttp://www.thoughtcrime.org/software/sslstrip/index.htmlhttp://www.thoughtcrime.org/software/sslstrip/index.html -
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
10/19
juga sedang berbicara dengan Charlie, sehingga Charlie bertindak sebagai the person in the
middle. Seharusnya sebelum Alice dan Bob berbicara, harus ada authentication, untuk
memastikan Who are you speaking with?. Alice harus memastikan Are you really Bob?
Prove it!, sedangkan Bob juga harus memastikan Are you really Alice? Prove it!.
SSL adalah protokol yang memiliki tingkat keamanan sangat tinggi. SSL tidak hanya
mengatur tentang enkripsi, namun juga mengatur tentang authentication sehingga SSL tidak
rentan terhadap serangan man in the middle. SSL menggunakan sertifikat yang
memanfaatkan kunci publik dan kunci private sebagai cara untuk melakukan authentication.
Dengan menggunakan sertifikat SSL ini, pengunjung web bisa yakin sedang berkomunikasi
dengan web server yang benar, bukan attacker in the middle yang menyamar menjadi web
server suatu situs.
Attacker yang mencoba menjadi the person in the middle, akan dengan mudah
ketahuan karena attacker tidak bisa membuktikan identitasnya dengan sertifikat SSL yang
sah. Sertifikat SSL yang sah haruslah ditandatangani oleh CA (certificate authority) yang
dipercaya dan tersimpan dalam daftar trusted CA browser. Jadi bila attacker mencoba
membuat sertifikat SSL sendiri, browser akan memberi peringatan keras pada pengunjungbahwa sertifikat SSL tidak bisa dipercaya dan pengunjung disarankan untuk membatalkan
kunjungan karena beresiko terkena serangan mitm. Serangan mitm attack baru bisa berhasil
bila pengunjung tetap bandel dan nekat untuk menggunakan sertifikat palsu tersebut. Bila
ini yang terjadi, maka kesalahan ada pada pengguna, bukan kelemahan SSL sebagai protokol.
HTTPS vs HTTP, Trusted vs Untrusted
Http adalah protokol yang tidak bisa dipercaya karena rentan terhadap serangan
mitm. Sedangan http over SSL (https) adalah protokol yang bisa dipercaya karena protokol
ini tidak rentan terhadap serangan mitm. Informasi yang dilihat pengunjung pada browser di
sebuah page http sebenarnya tidak bisa dipercaya karena tidak ada jaminan integritas dan
keontentikan data. Informasi tersebut kemungkinan sudah diubah di tengah jalan atau
berasal dari sumber yang tidak otentik (orang lain). dan pengunjung tidak bisa melakukan
verifikasi.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
11/19
Sedangkan informasi yang dilihat pengunjung pada browser di sebuah halaman https
bisa dipercaya karena DIJAMIN informasi yang diterima adalah sama dengan yang dikirim
web server dan informasi tersebut juga DIJAMIN dikirim oleh web server yang benar.
HTTP as Gate to HTTPS
Jarang sekali orang mengunjungi situs dengan mengetikkan https:// bahkan http:// pun
orang sudah malas. Kebanyakan orang langsung mengetikkan alamat situs yang ditujunya
tanpa harus diawali dengan http:// atau https://. Secara default browser akan berasumsi
bahwa pengunjung akan menggunakan protokol http, bukan https bila pengunjung tidak
menyebutkan protokolnya.
Kebanyakan situs yang harus memakai https, memang dirancang untuk menerima
request melalui http (port 80) atau https (port 443). Situs pada port 80 biasanya hanya
dijadikan jembatan untuk menuju situs yang sebenarnya pada port 443. Bila pengunjung
masuk melalui port 80, maka server akan memberikan link untuk menuju URL https, atau
dengan memberikan response Redirect.
Jadi bisa disimpulkan bahwa sebagian besar pengunjung memasuki https dengan melaluihttp, dengan kata lain http sebagai gerbang menuju https. Metode peralihan dari situs http
ke situs https ada beberapa cara, yaitu:
Memberikan link menuju URL https. Memberikan response redirect ke URL https. Menggunakan META tag auto refresh ke URL https. Menggunakan javascript untuk load halaman https.
Attacking HTTP, not HTTPS
Sebelumnya sudah dijelaskan bahwa https adalah protokol yang sangat secure
sehingga tidak bisa diserang dengan serangan mitm. Namun mengingat kenyataan bahwa
kebanyakan orang mengakses https melalui http, maka attacker memiliki peluang untuk
menyerang ketika pengunjung masih berada dalam protokol http.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
12/19
SSLStrip adalah tool untuk melakukan mitm attack pada protokol http (bukan
HTTPS), dengan maksud untuk menyerang situs-situs yang dilindungi dengan https. SSLStrip
sebagai the person in the middle, akan mencegah peralihan dari http ke https dengan
secara aktif mengubah response dari server sehingga pengunjung akan tetap berada dalam
protokol http.
Mari kita lihat beberapa cara peralihan dari http ke https, saya tambahkan cara SSLStrip
mencegah peralihan itu:
Memberikan link menuju URL https: SSLStrip akan mengubah link berawalan httpsmenjadi http. Sehingga yang muncul di browser korban bukan link ke https melainkan
link ke http.
Memberikan response redirect ke URL https: SSLStrip akan mengubah headerLocation dari URL berawalan https menjadi http.
Menggunakan META tag auto refresh ke URL https: SSLStrip akan mengubah url httpsmenjadi http.
Menggunakan javascript untuk load halaman https: SSLStrip akan mengubah url httpsmenjadi http.
Untuk lebih jelasnya berikut adalah gambar yang menunjukkan salah satu cara kerja SSLStrip
mencegah korban beralih dari http ke https.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
13/19
Pada gambar di atas korban mengakses web server bank dengan URLhttp://bank/.
Request tidak secara langsung dikirim ke web server, namun melalui SSLStrip dulu. SSLStrip
meneruskan request tersebut ke web server. Kemudian web server menjawab dengan
memberikan html berisi link ke URLhttps://bank/login/kepada SSLStrip. Sebelum response
html diterima oleh browser, SSLStrip mengubah response tersebut dengan mengubah URL
https menjadi http biasa sehingga HTML yang diterima di browser korban berisi link ke
URLhttp://bank/login/bukanhttps://bank/login/.
Korban mengklik link pada halaman yang muncul browsernya, tentu saja link ini
bukan kehttps://bank/login/melainkan kehttp://bank/login/. Dengan cara ini browser tetap
dalam protokol http bukan dalam protokol https seperti seharusnya, dengan kata lainSSLStrip berhasil mencegah browser beralih ke protokol https. Request
http://bank/http://bank/http://bank/https://bank/login/https://bank/login/https://bank/login/http://bank/login/http://bank/login/http://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/http://bank/login/http://bank/login/http://bank/login/http://bank/login/https://bank/login/https://bank/login/http://bank/login/https://bank/login/http://bank/ -
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
14/19
kehttp://bank/login/tersebut dikirimkan ke SSLStrip. Kemudian SSLStrip tidak meneruskan
request tersebut kehttp://bank/login/, melainkan membuat request baru
kehttps://bank/login/. Kemudian web server mengirimkan response dari response tersebut
ke SSLStrip. Seperti biasanya SSLStrip akan mengubah response dari server tersebut untuk
mencegah peralihan ke https. Response yang telah diubah ini kemudian dikirimkan ke
browser korban sehingga korban tetap melihat halaman yang sama persis seperti ketika dia
membukahttps://bank/login/. Dengan tampilan yang sama persis ini, korban mengira sedang
membukahttps://bank/login/, padahal sebenarnya dia sedang membukahttp://bank/login/.
Perhatikan bahwa koneksi antara browser dengan SSLStrip adalah dalam http biasa,
sedangkan dari SSLStrip ke web server dalam https.
Setelah muncul halaman login dan korban mengira sedang
membukahttps://bank/login, kemudian korban memasukkan username dan password dan
mengklik tombol Login. Browser akan membuat POST request kehttp://bank/login/yang
diterima oleh SSLStrip. Karena protokolnya adalah http, maka SSLStrip dengan mudah bisa
membaca username dan password yang dimasukkan korban. SSLStrip kemudian akan
mengirimkan username dan password korban degan POST request
kehttps://bank/login/. Seperti biasa jawaban dari webserver akan dimodifikasi dulu
seperlunya oleh SSLStrip sebelum dikirimkan ke browser korban.
Perhatikan bahwa korban sejak awal hingga login mengakses situs dengan http,
sedangkan SSLStrip di tengah-tengah membuat koneksi https ke web server yang
sebenarnya. Jadi walaupun browser mengakses dengan http, namun response yang diterima
browser berasal dari koneksi https yang dibuat oleh SSLStrip.
Case Study: Mandiri Internet Banking
http://bank/login/http://bank/login/http://bank/login/http://bank/login/http://bank/login/http://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/https://bank/login/http://bank/login/http://bank/login/http://bank/login/https://bank/loginhttps://bank/loginhttps://bank/loginhttp://bank/login/http://bank/login/http://bank/login/https://bank/login/.%C2%A0https://bank/login/.%C2%A0http://bank/login/https://bank/loginhttp://bank/login/https://bank/login/https://bank/login/https://bank/login/http://bank/login/http://bank/login/ -
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
15/19
Mari kita coba trik di atas dengan contoh kasus pada situs internet banking Mandiri.
Karena ini hanya contoh, saya tidak menggunakan teknik ARP Spoofing untuk melakukan
MITM attack yang sesungguhnya. Saya sengaja mengubah setting browser saya agar
menggunakan proxy, yaitu SSLStrip. Dalam websiteSSLStrip, disebutkan seharusnya cara
untuk melakukan MITM attack dengan SSLStrip adalah:
Setting komputer agar bisa melakukan forwarding paket Setting iptables untuk mengarahkan traffic HTTP ke SSLStrip Jalankan SSLStrip Gunakan ARPSpoof untuk meyakinkan jaringan bahwa traffic harus dikirimkan
melalui komputer yang menjalankan SSLStrip.
Dalam contoh ini saya tidak melakukan ARPSpoofing, namun saya menggunakan
SSLStrip sebagai proxy yang saya setting dalam browser saya. Sehingga setiap traffic http
yang dilakukan browser saya akan dikirimkan melalui SSLStrip sebagai man in the middle.
Saya menjalankan SSLStrip di linux dengan IP address 192.168.0.10. Cara
menjalankannya mudah sekali, cukup jalankan perintah: python sslstrip.py -l portnumber .
Kemudian pada browser saya setting untuk menggunakan proxy 192.168.0.10 dan port
sesuai dengan port sslstrip. Untuk lebih jelasnya, perhatikan gambar di bawah ini:
Setelah semuanya siap, mari kita coba melakukan serangan mitm. Pada skenario ini,
korban akan login ke Mandiri IB tidak dengan mengetikkanhttps://ib.bankmandiri.co.id,
karena korban hanya hafal bankmandiri.co.id saja maka korban langsung mengetikkan
http://www.thoughtcrime.org/software/sslstrip/index.htmlhttp://www.thoughtcrime.org/software/sslstrip/index.htmlhttp://www.thoughtcrime.org/software/sslstrip/index.htmlhttps://ib.bankmandiri.co.id/https://ib.bankmandiri.co.id/https://ib.bankmandiri.co.id/https://ib.bankmandiri.co.id/http://www.thoughtcrime.org/software/sslstrip/index.html -
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
16/19
bankmandiri.co.id (tanpa diawali www atau http://). Secara default browser akan
menganggap korban menghendaki koneksi dengan protokol http, bukan https. Request http
tersebut dikirimkan melalui SSLStrip sebagai man in the middle, dan berikut adalah response
yang diterima di browser korban. Sebagai pembanding saya juga berikan gambar screenshot
halaman depan bank mandiri yang asli (tidak dimodifikasi sslstrip).
Berikutnya setelah bertemu dengan halaman login, korban akan dengan senang hati
memasukkan username dan password. Request tersebut dikirimkan dalam request POST
http (bukan https) ke sslstrip. Karena POST dikirim melalui http, maka sslstrip bisa dengan
mudah menyimpan username dan password korban.
Setelah itu sslstrip akan mengirimkan username dan password korban dalam POST
request ke URL https (ini adalah url submit yang asli). Response yang diberikan oleh
webserver Mandiri IB akan dimodifikasi seperlunya dan dikembalikan ke browser korban.
Bila login berhasil, maka korban akan melihat tampilan seperti gambar dibawah ini, sebagai
pembanding saya juga sertakan gambar bila menggunakan protokol https.
Seperti pada halaman login, halaman setelah login berhasil juga sama persis walaupun menggunakan
protokol http. Korban tidak akan menyadari bahwa dia sedang menggunakan http, bukannya httpskarena tampilannya memang tidak ada bedanya.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
17/19
Tips Pencegahan
Serangan mitm dengan sslstrip ini dilakukan dengan memanfaatkan kemalasan
pengguna untuk langsung menggunakan https. Pengguna yang malas memilih untuk
menggunakan http biasa dan berharap di-redirect ke url https otomatis atau menemukan
link ke url https. Padahal pada saat pengguna menggunakan http biasa itulah pengguna
berpotensi terkena serangan mitm. Bila pengguna langsung menggunakan https, maka
pengguna akan aman dan terbebas dari serangan mitm. Jadi mulai sekarang biasakanlah
mengetikkan https:// di URL anda bila ingin mengakses situs yang sensitif.
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
18/19
PENUTUP
Kesimpulan
Serangan pasif (passive attack)
Penyerang tidak terlibat dalam komunikasi antara pengirim dan penerima Penyerang hanya melakukan penyadapan untuk memperoleh data atau informasi
sebanyak-banyaknya
Serangan Active (active attack)
penyerang mengintervensi komunikasi dan ikut mempengaruhi sistem untukkeuntungan dirinya
penyerang mengubah aliran pesan seperti: menghapus sebagian cipherteks,mengubah cipherteks, menyisipkan potongan cipherteks palsu, me-replay pesan
lama, mengubah informasi yang tersimpan, dsb
-
7/29/2019 Tugas2 Kriptografi 1210705123 Rizki-Ardian if-D
19/19
DAFTAR PUSTAKA
http://ti.stmik-dci.ac.id/mengenal-serangan-man-in-the-middle-mitm/
http://kopastuntas.wordpress.com/2011/01/28/man-in-the-middle-attack-bank-mandiri/
http://ilmukomputer.org/wp-content/uploads/2012/10/kiki-sniffing.pdf
http://ti.stmik-dci.ac.id/mengenal-serangan-man-in-the-middle-mitm/http://ti.stmik-dci.ac.id/mengenal-serangan-man-in-the-middle-mitm/http://kopastuntas.wordpress.com/2011/01/28/man-in-the-middle-attack-bank-mandiri/http://kopastuntas.wordpress.com/2011/01/28/man-in-the-middle-attack-bank-mandiri/http://ilmukomputer.org/wp-content/uploads/2012/10/kiki-sniffing.pdfhttp://ilmukomputer.org/wp-content/uploads/2012/10/kiki-sniffing.pdfhttp://ilmukomputer.org/wp-content/uploads/2012/10/kiki-sniffing.pdfhttp://kopastuntas.wordpress.com/2011/01/28/man-in-the-middle-attack-bank-mandiri/http://ti.stmik-dci.ac.id/mengenal-serangan-man-in-the-middle-mitm/