Selasa, November 08, 2011
Irulz
image: nytimes.com
“Suka atau tidak, kita sekarang hidup di sebuah novel cyberpunk,” kata Darren Kitchen, seorang administrator sistem untuk sebuah perusahaan aerospace di Richmond, California, dan tuan rumah Hak5, podcast video tentang hacking dan keamanan komputer. “Ketika orang mengetahui bagaimana mudahnya untuk melihat dan bahkan memodifikasi apa yang Anda lakukan secara online, mereka terkejut.”
Sampai saat ini, hanya hacker tertentu yang dikenal memiliki alat-alat canggih dan yang punya banyak waktu bisa memata-matai anda sementara Anda menggunakan laptop atau smartphone di area hotspot Wi-Fi. Tapi sebuah program gratis yang disebut Firesheep, dirilis pada bulan Oktober, telah membuatnya menjadi mudah untuk melihat apa yang pengguna lain lakukan dari jaringan Wi-Fi yang tidak aman dan kemudian log on sebagai mereka di situs yang mereka kunjungi.
Tanpa menerbitkan peringatan atas ancaman tersebut, para pengelola situs Web telah berusaha untuk memberikan perlindungan tambahan.
“Saya merilis Firesheep untuk menunjukkan bahwa isu utama dan penting dalam keamanan situs Web sedang diabaikan,” kata Eric Butler, pengembang perangkat lunak di Seattle, yang menciptakan program tersebut. “Ini menunjukkan kurangnya enkripsi end-to-end.”
Yang ia maksudkan adalah bahwa sementara awalnya password yang Anda masukkan pada situs Web seperti Facebook, Twitter, Flickr, Amazon, eBay dan The New York Times dienkripsi, Web browser cookie, kode yang yang mengidentifikasi komputer Anda, pengaturan Anda situs atau informasi pribadi lainnya, seringkali tidak dienkripsi. Firesheep menambil cookie, yang memungkinkan pengguna usil atau jahat untuk, pada intinya, menjadi Anda di situs tersebut dan memiliki akses penuh ke account Anda.
Lebih dari satu juta orang telah men-download program ini dalam tiga bulan terakhir (termasuk juga wartawan, yang bukan seorang jenius komputer). Dan program tersebut mudah digunakan.
Situs-situs yang aman dari pengintai adalah mereka yang menggunakan cryptographic protocol transport layer security atau pendahulunya, secure socket layer (lapisan soket aman), disepanjang sesi Anda. PayPal dan banyak bank melakukan hal ini, tapi sejumlah situs yang dipercaya orang-orang untuk melindungi privasi mereka, tidak menggunakannya. Anda akan tahu bahwa Anda sedang terlindung pengintai jika ada gambar kunci kecil muncul di sudut browser Anda atau alamat web dimulai dengan “https” daripada “http.”
“Alasan yang biasa diberikan oleh situs Web dengan tidak mengenkripsi semua komunikasi adalah bahwa hal itu akan memperlambat situs dan akan menjadi beban besar,” kata Chris Palmer, direktur teknologi di Electronic Frontier Foundation, sebuah kelompok advokasi hak elektronik yang berbasis di San Francisco . “Ya, ada kendala operasional, tetapi mereka dapat dipecahkan.”
Memang, Gmail membuat enkripsi end-to-end pada modus default pada Januari 2010. Facebook mulai menawarkan perlindungan yang sama sebagai pilihan fitur keamanan akhir bulan lalu, meskipun sejauh ini hanya tersedia untuk sebagian kecil dari pengguna dan fitur tersebut memiliki keterbatasan. Sebagai contoh, fitur tersebut tidak bekerja pada aplikasi pihak ketiga.
“Menjadi sebuah catatan bahwa facebook telah mengambil langkah ini, tetapi terlalu dini untuk mengucapkan selamat kepada mereka,” kata Mr Butler, yang kecewa bahwa “https” bukan pengaturan default dari facebook. “Kebanyakan orang tidak akan tahu tentang fitur itu atau tidak akan berpikir itu penting atau tidak ingin menggunakan facebook jika menemukan facebook men-disable sebagian besar aplikasi.”
Joe Sullivan, kepala petugas keamanan di Facebook, mengatakan perusahaan itu terlibat dalam sebuah “proses peluncuran musyawarah,” untuk mengakses dan mengatasi kesulitan yang tak terduga. “Kami berharap untuk fitur keamanan tersebut tersedia untuk semua pengguna dalam beberapa minggu berikutnya,”katanya, menambahkan bahwa perusahaan juga bekerja untuk mengatasi masalah dengan aplikasi pihak ketiga dan untuk membuat “https” sebagai pengaturan standar.
Banyak situs Web menawarkan beberapa dukungan untuk enkripsi melalui “https,” tetapi mereka membuatnya sulit untuk digunakan. Untuk mengatasi masalah ini, Electronic Frontier Foundation bekerjasama dengan Proyek Tor, kelompok lain yang bersangkutan dengan privasi Internet, sebuah add-on untuk browser Firefox dirilis pada bulan Juni, yang disebut Https Everywhere. Sebuah ekstensi, yang bisa didownload di http://eff.org/https-everywhere, membuat “https” default yang tidak bisa diubah pada semua situs yang mendukungnya.
Karena tidak semua situs Web memiliki kemampuan “https”, Bill Pennington, Kepala Pejabat Strategi situs manajemen risiko perusahaan Web WhiteHat Security di Santa Clara, California, mengatakan: “Saya memberitahu orang-orang bahwa jika Anda melakukan hal-hal dengan data sensitif, jangan melakukannya di area hotspot Wi-Fi. Lakukan saja di rumah. ”
Meski demikian jaringan nirkabel rumah juga tidak sepenuhnya aman, karena banyak tersedia program Wi-Fi cracking yang gratis seperti Gerix WiFi Cracker, Aircrack-ng dan Wifite. Program-program itu bekerja dengan berpura-pura beraktivitas sebagai pengguna yang sah untuk mengumpulkan serangkaian informasi atau petunjuk untuk password. Proses ini sepenuhnya otomatis, kata Mr Kitchen di Hak5, sehingga bahkan memungkinkan techno-ignoramuses untuk memulihkan password router nirkabel dalam hitungan detik. “Aku belum menemukan bahwa jaringan WEP yang terlindungi tidak rentan terhadap serangan semacam ini,” kata Mr Kitchen.
Sebuah password WEP-dienkripsi (Wired Equivalent Privacy) tidak sekuat sebagai password WPA (Wi-Fi Protected Access), jadi yang terbaik untuk menggunakan password WPA sebagai gantinya. Meskipun demikian, hacker dapat menggunakan program perangkat lunak bebas yang sama untuk mendapatkan pada jaringan WPA dilindungi sandi juga. Hanya saja memakan waktu lebih lama (mingguan) dan keahlian komputer yang lebih.
Menggunakan program tersebut bersama dengan antena Wi-Fi bertenaga tinggi yang harganya kurang dari $ 90, hacker dapat menarik sinyal dari jaringan rumah 2-3 mil. Ada juga beberapa perangkat cracking komputerisasi dengan built-in antena, seperti WifiRobin ($ 156). Namun para ahli mengatakan bahwa perangkat tersebut tidak secepat atau seefektif seperti program cracker terbaru yang gratis, karena perangkat bekerja hanya pada jaringan WEP-terlindungi.
Untuk melindungi diri, ubah Service Set Identifier atau SSID jaringan nirkabel Anda dari nama default router anda (seperti Linksys atau Netgear) menjadi sesuatu yang sulit diprediksi, seperti contoh memilih sandi alfanumerik yang panjang dan rumit.
Dengan men-setup jaringan pribadi virtual, atau VPN, yang mengenkripsi semua komunikasi yang Anda kirimkan secara nirkabel baik pada jaringan rumah Anda atau di tempat hotspot, bahkan bisa lebih aman. Data tersebut tampak seperti sampah bagi pengintai ketika data tersebut berpindah dari komputer Anda ke server yang aman sebelum meluncur ke Internet.
Penyedia V.P.N. ternama termasuk VyperVPN, HotSpotVPN dan LogMeIn Hamachi, ada yang gratis; yang lainnya harus berlangganan $ 18 per bulan, tergantung pada seberapa banyak data dienkripsi. versi Gratis cenderung hanya mengenkripsi aktivitas Web dan tidak pertukaran e-mail.
Namun, Mr Palmer dari Electronic Frontier Foundation menyalahkan situs Web yang dirancang dengan buruk, untuk penyimpangan keamanan. “Banyak situs populer tidak dirancang untuk keamanan dari awal, dan sekarang kita mendapatkan konsekuensinya,” katanya. “Orang-orang perlu meminta ‘https’ sehingga Web akan sulit disusupi.”
Sumber: nytimes.com
Posted in: 
0 komentar:
Posting Komentar