Mengatasi Serangan DROWN pada SSLv2

Monday, March 7th, 2016 - Tips
Advertisement

DROWN merupakan sebuah vulnerability yang sangat serius pada semua protokol yang menggunakan SSL/TLS, semisal HTTPS, SMTP atau SFTP. DROWN merupakan singkatan dari Decrypting RSA using Obsolete and Weakened eNcryption) merupakan metode untuk mendekripsi semua pesan yang melewati protokol yang terenkripsi (cipher text) SSLv2. Celah keamanan ini sudah diketahui oleh RedHat dan mengumumkannya dengan kode CVE-2016-0800. Situs besar seperti Alibaba dan Yahoo masuk dalam situs dengan vulnerability ini.

Bagaimana cara DROWN menghack jaringan SSL versi 2 atau bahkan pada protokol seperti HTTPS, SFTP dan sebagainya? Secara teknis, seorang hacker dapat mengobservasi response dari sebuah server saat berkomunikasi dengan client.

Untuk mengatasi celah keamanan ini ada beberapa tips yaitu :

  1. Mengupgrade OpenSSL ke versi terbaru. Upgrade OpenSSL ke versi 1.0.2g
  2. Non aktifkan SSLv2. Pada nginx atau apache misalnya, cukup non aktifkan SSLv2 gunakan versi yang termutakhir yang dapat disupport oleh lingkup sistem anda.
  3. Menghindari penggunaan kembali private key pada server lain.

 

Advertisement
Mengatasi Serangan DROWN pada SSLv2 | Jsmith | 4.5
Like Page Tutorlinux di Facebook
Leave a Reply