Sabtu, 06 November 2010

Firesheep

Bukan, meski Firesheep berarti "domba api", tapi tulisan ini bukan tentang wedhus gembel alias awan panas dari Gunung Merapi.
Firesheep adalah sebuah extension untuk browser Firefox yang meski baru muncul beberapa hari sudah menghebohkan. Bagaimana tidak, dengan Firesheep Anda dapat dengan sangat mudah menghack account Facebook (dan banyak situs lainnya) dari orang-orang disekitar Anda dalam sebuah hotspot.
Hari Minggu, 24 Oktober 2010 di San Diego, pada acara Toorcon 12, Eric Butler mengumumkan Firesheep buatannya. Ia bermaksud membuat sebuah tool yang mengeksploitasi kelemahan sistem login dari berbagai situs populer yang tidak mengandalkan SSL (secure socket layer) untuk semua halaman dan hanya bergantung pada cookie saja. Eric berharap Firesheep buatannya akan membuat para administrator situs-situs itu "kebakaran jenggot" dan secepatnya memperbaiki sistem login mereka.

Dan sepertinya Firesheep memang mampu memberikan "paksaan" untuk berubah yang sangat kuat. Untuk menghack account orang lain Anda tinggal menginstall extension itu pada browser, lalu pergi ke sebuah open hotspot, klik "Start Capturing", dan tunggu sebentar.
Setelah beberapa saat, maka disebelah kiri layar akan muncul beberapa foto dan nama orang-orang disekitar Anda. Itu adalah daftar orang-orang yang telah login ke beberapa situs yang menjadi target. Lalu jika Anda double-click pada foto orang itu, Anda akan login SEBAGAI ORANG ITU.
That's it! Itu saja langkah untuk menghack account orang lain!
Setelah itu tentu saja Anda bebas berbuat apa saja sebagai orang itu, seperti menulis status, mengubah setting/pengaturan, apa saja yang Anda mau.
Saya sendiri begitu mengetahui tentang Firesheep langsung mencobanya di hotspot langganan. Saya sampai geleng-geleng melihat betapa mudahnya menghack account Facebook para pengunjung lain.
Firesheep bekerja dengan memanfaatkan fakta bahwa beberapa situs populer mengimplementasikan SSL hanya untuk login dan bukan untuk semua halaman.
Jadi meski mungkin saat login kita menggunakan SSL, namun setelah itu kita dikembalikan ke halaman non-SSL (SSL ditandai dengan gambar gembok dan awalan https://... dan bukan sekedar http://..., "s" singkatan dari secure). Metode ini dipakai dengan alasan koneksi SSL akan mengharuskan negosiasi antara browser dan server untuk membuat assymetric-key encryption yang kemudian dipakai untuk mengacak seluruh isi komunikasi. Negosiasi ini yang dianggap cukup berat untuk server yang diakses sampai ribuan orang setiap detiknya.
Padahal apapun yang kita lakukan di halaman non-SSL akan dapat dibaca siapa saja dalam network yang sama, seperti dalam sebuah open hotspot.
Dan meski username dan password akan terlindungi dengan metode tadi, sebagai tanda sudah login, kita akan diberi sebuah cookie. Cookie ini berfungsi sebagai "karcis" yang mengidentifikasi siapa Anda dan apakah sudah login atau belum.
Cookie inilah yang "dicuri" oleh Firesheep. Server tidak dapat membedakan lagi antara Anda dan "korban", karena keduanya memiliki cookie yang sama. Apalagi karena masih satu hotspot, IP Address Anda dan "korban" juga sama. Perlu diketahui bahwa kita tetap tidak tahu password "korban".
Sementara itu situs yang sudah menggunakan SSL untuk semua halaman penting akan "imun" dari ekploitasi Firesheep, misalnya Google (Gmail, Docs, dsb).
Saat ini Firesheep masih versi 0.1 alias sangat-sangat awal, dan masih banyak bug atau kesalahan program. Firesheep juga baru tersedia untuk Mac dan Windows (versi Linux masih dalam pengembangan) dan untuk Windows kita harus menginstall WinPcap sebelumnya.
Meski masih versi 0.1, saat ini Firesheep mampu menghack account Facebook, Twitter, Dropbox, Evernote, dsb. Dan masih banyak lagi yang akan menyusul pada versi selanjutnya.
Jika Anda ingin melindungi diri Anda dari Firesheep, Anda dapat menggunakan VPN meski repot dan juga membawa masalah sendiri (apakah server VPN terpercaya, kebanyakan tidak gratis, dsb). Selain itu tak ada salahnya menggunakan extension HTTPS-Everywhere dari EFF yang memaksa koneksi SSL untuk semua halaman. Namun ini hanya berfungsi untuk situs yang memang sudah mendukung SSL untuk semua halaman tetapi belum mewajibkannya untuk semua pengunjung.
Dan bagi pengelola hotspot, Firesheep hanya berjalan jika hotspot itu bersifat open alias tanpa password. Meski ini bukan sepenuhnya "kesalahan" sistem open hotspot, Firesheep akan mati kutu jika hotspot itu menggunakan enkripsi WPA2, walau semua pengunjung menggunakan satu password yang sama. Jadi tak ada salahnya pindah menggunakan WPA2 untuk melindungi customer Anda. Tulis saja passwordnya di dekat kasir.
Agar fenomena mudahnya menghack ini tidak semakin menjadi-jadi, saya hanya bisa berharap semoga saja para pengelola situs-situs yang menjadi target segera memperbaiki sistem login mereka.
Disclaimer: Jika Anda tertarik untuk mencoba Firesheep, silakan download disini. Namun saya mengingatkan Anda untuk menggunakannya dengan penuh tanggung jawab. Dan jika Anda melihat saya di sebuah hotspot, saya memohon dengan sangat, jangan hack account saya...

Updated 30 November 2012:
Mulai November 2012, Facebook secara default menggunakan koneksi SSL (https://www.facebook.com, ada tambahan "s" dan bukan hanya http://) sehingga kini semua orang secara otomatis menggunakannya. Hal ini membuat Firesheep menjadi kadaluarsa.

Tidak ada komentar:

Poskan Komentar