in Web Security

Trusted and Untrusted klikBCA

Kalau anda tanyakan pada nasabah bca, apa alamat internet banking bca. Pasti jawabannya adalah klikbca.com. Padahal yang benar bukan itu, yang benar adalah ibank.klikbca.com, bukan www.klikbca.com atau klikbca.com saja. Kelihatannya sepele, tapi ada konsekuensi security di sini. Web yang dilindungi dengan https (trusted) hanya ibank.klikbca.com, sedangkan www.klikbca.com tidak (untrusted).

HTTP is Untrusted

Sebelumnya saya sarankan anda membaca artikel saya tentang understanding https. Anda akan memahami bahwa halaman web yang tidak dilindungi dengan SSL, tidak bisa dipercaya, untrusted. HTTPS menjamin Authentication dan Confidentiality, sehingga anda bisa yakin telah berkomunikasi dengan server yang benar dan komunikasi anda dijamin tidak didengarkan orang lain.

Dalam kasus ini confidentiality tidak penting, karena memang www.klikbca.com tidak mengandung informasi yang confidential. Serangan yang efektif adalah pada aspek Authentication. HTTP tidak menjamin Authentication sehingga anda tidak bisa benar-benar yakin bahwa halaman www.klikbca.com yang tampak di browser anda adalah berasal dari server yang benar. Konsekuensinya adalah informasi yang anda baca dan link yang ada di sana juga tidak bisa dipercaya.

Screenshot di bawah ini adalah halaman klikBCA yang normal. Terlihat dari status bar yang memperlihatkan url link button Login yang mengarah pada https://ibank.klikbca.com .

Normal

Normal

Sekarang perhatikan juga screenshot di bawah ini yang merupakan halaman klikbca.com yang telah dideface dengan teknik man-in-the-middle sehingga bila user mengklik tombol Login akan membuka halaman ibank.klikbca.com yang telah diberi “racun” XSS (lihat artikel saya yang berjudul: menjaring password klikbca dengan XSS ). Screenshot ini hanyalah simulasi man-in-the-middle di komputer saya sendiri.

defaced

defaced

Kedua screenshot tersebut sama-sama mengakses URL yang sama, yaitu www.klikbca.com, namun hasilnya berbeda tergantung dari server siapakah yang diakses. Jangan menganggap kejadian pada gambar ke-2 sulit terjadi, karena bagi orang yang paham, dengan serangan man in the middle kejadian itu bukanlah hal yang aneh dan sulit.

HTTP Rentan Terhadap Man in The Middle Attack

Salah satu jenis serangan yang berbahaya pada http adalah man in the middle. Serangan ini terjadi karena tidak adanya fitur authentication pada http, sehingga browser mengira tengah berkomunikasi dengan server yang benar, padahal sebenarnya dia tengah berkomunikasi dengan orang ke-3. Orang ke-3 ini bisa dengan bebas membaca dan mengubah request yang dikirimkan ke server dan response yang akan dikirim ke browser. Salah satu contohnya adalah pada screenshot gambar ke-2 yaitu dengan memodifikasi URL untuk link ke ibank.klikbca.com.

Kenapa Serangan ini akan Efektif

Menyesatkan orang ke halaman login palsu dengan serangan ini saya yakin akan efektif. Karena orang sudah merasa benar dengan mengakses www.klikbca.com, dan mengikuti petunjuk resmi BCA untuk mengklik tombol Login. Hal ini berbeda dengan memberikan link phishing/palsu melalui email, karena orang mungkin tidak percaya dengan link yang dikirim melalui email. Tapi saya yakin semua orang akan percaya dengan link yang ada di halaman www.klikbca.com.

Kesimpulan

Seharusnya semua halaman yang mengandung link untuk masuk ke halaman login internet banking juga harus dilindungi dengan https. Karena orang akan mengira link yang ada pada halaman www.klikbca.com pasti bisa dipercaya, padahal tidak karena tidak dilindungi https. Perhatikan Paypal.com, setiap halaman yang mengandung link Login pasti dilindungi dengan https.

Link bisa diilustrasikan seperti orang yang menunjukkan jalan. Bayangkan anda sebagai orang yang tidak tahu jalan, lalu anda bertanya pada orang di jalan. Bila orang yang anda tanya untrusted, maka kemungkinan anda dalam bahaya. Namun bila ada bertanya pada orang yang trusted, maka anda akan selamat.

Tips saya kalau ingin mengakses klikbca, jangan masuk dengan mengklik link yang ada pada halaman yang untrusted. Ketik saja langsung di browser anda https://ibank.klikbca.com .

Write a Comment

Comment

  1. hmm..

    “Sekarang perhatikan juga screenshot di bawah ini yang merupakan halaman klikbca.com yang telah dideface dengan teknik man-in-the-middle sehingga bila user mengklik tombol Login akan membuka halaman ibank.klikbca.com yang telah diberi “racun” XSS”

    ?? how did u deface the page using mitm method ??
    did u mean dns spoofing then use modified page?

  2. @e-frame
    betul, banyak cara utk mitm http, salah satunya dns dan arp cache poisoning. namun dalam artikel ini pakai teknik apa itu tidak penting, yang penting adalah it is very possible to do that (and not hard too). in this articles i just used FireBug addon, to convey my idea. thanks

  3. Maksud saya begini: Seperti kisah metasploit yg di-deface, sebenernya situsnya sendiri tidak tersentuh. Tapi dilakukan dns/arp poisoning, supaya user di-redirect ke halaman lain. Apa ini termasuk kategori “deface” seperti yg anda lakukan? Hanya ingin meluruskan saja, apakah sebenarnya arti deface itu. Apakah deface itu berarti mengubah isi dari file yg dimaksud (yang ada di server asli), atau mengalihkan ke tempat lain (beda server) juga berarti deface ?

    thx.

    • @e-frame
      oo gitu, maaf saya salah ngerti. Dalam artikel ini yang dimaksud deface dengan mitm attack adalah si orang yg di tengah (the person in the middle) secara aktif mengubah responsenya, sehingga berbeda dengan aslinya. Bukan dengan mengubah isi file di servernya karena memang artikel ini membahas kelemahan protokol http bukan kelemahan logic programming di sisi server. Mungkin ilustrasinya mirip dengan proxy beriklan… dia mengirim balik response yang sudah dimodifikasi… biasanya dikasih frame di header buat iklan. thanks.

Webmentions

  • MITM Attack on Mandiri Internet Banking mengunakan SSLStrip - ISD TEAM OPEN SOURCE January 10, 2009

    […] tersebut juga DIJAMIN dikirim oleh web server yang benar. Dulu saya pernah menulis artikel tentang Trusted vs Untrusted klikBCA, yang menjelaskan tentang adanya dua subdomain yang berbeda, yang trusted menggunakan https dan […]

  • MITM Attack on Mandiri Internet Banking using SSLStrip « DeVoicey Blog January 10, 2009

    […] tersebut juga DIJAMIN dikirim oleh web server yang benar. Dulu saya pernah menulis artikel tentang Trusted vs Untrusted klikBCA, yang menjelaskan tentang adanya dua subdomain yang berbeda, yang trusted menggunakan https dan […]

  • Https dalam Form, Amankah? | Web Security | IlmuHacking.com January 10, 2009

    […] di artikel saya sebelumnya bahwa http itu untrusted dan insecure (baca juga understanding https dan trusted and untrusted klikbca ) . Karena menggunakan http, maka serangan man-in-the-middle (mitm) bisa dilancarkan. Attacker mitm […]