Protokol SSL (Secure Socket Layer) dilumpuhkan oleh hacker

Keamanan dari protokol Secure Sockets Layer (SSL) yang secara luas digunakan oleh ecommerce kini mulai dipertanyakan setelah seorang peserta di konferensi keamanan komputer Black Hat menunjukkan bagaimana sebuah sistem yang menggunakan protokol SSL mudah sekali ditembus.

Dalam presentasinya, yang diberi judul "New Techniques for Defeating SSL in Practice" atau "Teknik-teknik Baru untuk Melumpuhkan SSL secara Praktek", seorang peneliti yang menyebut dirinya Moxie Marlinspike mendemonstrasikan sejumlah cara yang menunjukkan bahwa sistem yang menggunakan protokol SSL dapat dilumpuhkan dengan software yang ia tulis sendiri dan diberi nama sslstrip.

Software tersebut berwujud sebagai bagian dari serangan ‘man in the middle’ yang mana mengenali traffic HTTPS dan menyisipkan dirinya diantara data yang datang dan data yang ada di pengguna.

Saat serangan ini berlangsung artinya pengguna akan melihat HTTP dan bukan HTTPS di browser mereka. Software itu bahkan dapat menampilkan ikon padlock untuk mengelabui pengguna.

Salah satu sumber masalah dari bisa tembusnya protokol SSL ini adalah orang-orang terbiasa tidak mengetik alamat suatu website dengan menambahkan tag HTTP atau HTTPS, melainkan hanya www. dan selanjutnya membiarkan browser yang memproses.

Dalam waktu 24 jam pengujian yang ia lakukan ia berhasil mengumpulkan 16 nomer kartu kredit, informasi login untuk 117 akun email, tujuh login PayPal dan 300 macam-macam lainnya.

Sang hacker pun berencana akan merilis kodenya kepada publik pada akhir pekan. Video wawancaranya bisa disaksikan disini.