High-Tech Bridge: 90% dari SSL VPN Tidak Aman

High-Tech Bridge (HTB) melakukan penelitian pada server SSL VPN yang dapat diakses oleh publik. Terdapat 10.436 server SSL VPN yang dipilih secara acak dari vendor terbesar seperti Cisco, Fortinet, dan Dell. Hasilnya menemukan banyak masalah, dengan rincian sebagai berikut:

  • Tiga dari empat (77 persen) dari SSL VPN yang diuji masih menggunakan protokol SSLv3 yang sudah usang dirilis pada tahun 1996, sekitar seratus yang masih menggunakan SSLv2. Keduanya memiliki berbagai kerentanan dan kelemahan selama bertahun-tahun dan tidak dianggap aman.
  • Tiga dari empat (76 persen) dari SSL VPN yang diuji menggunakan sertifikat SSL yang tidak terpercaya, membuka jalan bagi kemungkinan serangan man-in-the-middle.
  • Sebanyak 74 persen sertifikat yang menggunakan tanda tangan digital SHA-1, sementara lima persen memanfaatkan teknologi MD5 yang lebih tua. Pada tanggal 1 Januari 2017, mayoritas web browser berencana untuk menghentikan dukungan sertifikat SHA-1, karena tidak cukup kuat untuk menahan serangan.
  • Sekitar 41 persen dari SSL VPN menggunakan panjang kunci 1024 untuk sertifikat RSA mereka. Sertifikat RSA digunakan untuk otentikasi dan enkripsi pertukaran kunci. Panjang kunci RSA dibawah 2048 dianggap tidak aman karena mereka membuka pintu untuk serangan, berdasarkan hasil code breaking dan crypto-analysis.
  • Satu dari 10 server SSL VPN mengandalkan OpenSSL misalnya Fortinet, yang masih rentan terhadap Heartbleed. Heartbleed ditemukan pada bulan April 2014, mempengaruhi semua produk yang menggunakan OpenSSL, memudahkan hacker untuk mengambil data sensitif seperti kunci enkripsi.
  • Hanya tiga persen dari SSL VPN yang telah sesuai dengan persyaratan PCI DSS, dan sesuai pedoman NIST. Persyaratan PCI DSS industri kartu kredit dan pedoman NIST dari AS menetapkan standar keamanan dasar untuk transaksi kartu kredit atau data pemerintah.

VPN memungkinkan pengguna untuk mengakses jaringan secara aman dan berbagi data dari jarak jauh melalui jaringan publik. SSL VPN menawarkan keuntungan lebih dari generasi sebelumnya IPSec VPN, karena mengharuskan instalasi perangkat lunak klien. Pekerja jarak jauh (remote) dapat terhubung ke SSL VPN perusahaan yang menyediakan koneksi web dan login yang tepat. Teknologi ini umumnya mendukung 2FA (Two-factor authentication) untuk aplikasi seperti email.

Banyak administrator jaringan yang ternyata masih menganggap enkripsi SSL/TLS hanya berlaku untuk protokol HTTPS saja, mereka melupakan layanan internet vital seperti email juga bergantung pada itu.

Ilia Kolochenko, CEO dari High-Tech Bridge, berkomentar “saat ini banyak orang masih mengasosiasikan enkripsi SSL/TLS dengan protokol HTTPS dan web browser, dan meremehkan penggunaan dalam protokol lainnya dan teknologi internet.”

High-Tech Bridge menyediakan layanan online gratis yang memungkinkan siapa pun untuk memeriksa koneksi SSL/TLS mereka. Layanan ini mendukung protokol yang mengandalkan enkripsi SSL, sehingga pihak yang berkepentingan dapat menguji web, email, atau server VPN.

TheRegister

You may also like...