Web Spoofing

Hampir seluruh aspek dalam kehidupan kita seperti pendidikan, sosial, pemerintahan mengalami perubahan dan bergerak menuju era yang berbasis elektronik. World Wide Web (WWW atau Web) merupakan media standar untuk beberapa pekerjaan atau layanan ini. Dengan semakin banyaknya orang yang terus menggunakan Web untuk mendapatkan atau tukar-menukar informasi serta melakukan fungsi-fungsi yang begitu banyak, Web spoofing telah menjadi metode penyerangan yang menarik bagi hackers untuk mengumpulkan informasi yang berharga.

Web spoofing memungkinkan penyerang untuk menciptakan “shadow copy” dari seluruh WWW. Web yang palsu tersebut kelihatan sama seperti yang aslinya : mempunyai halaman dan semua link yang sama [1]. Akan tetapi penyerang mengendalikan Web yang palsu tersebut sehingga aliran data pada jaringan antara browser pengguna dan Web akan melalui mesin penyerang. Akses ke Web bayangan diarahkan ke mesin penyerang yang memungkinkan penyerang untuk memonitor seluruh aktivitas pengguna termasuk mendapatkan dan mengubah informasi yang ditransfer melalui Web tersebut. Serangan yang demikian memberikan metode bagi penyerang untuk mendapatkan informasi yang bersifat pribadi seperti : password, nomor rekening, alamat, nomor telepon dan lain-lain. Sebagai tambahan, serangan ini dapat digunakan untuk memberikan informasi palsu yang menyesatkan pengguna sehingga menyebabkan salah satu tipe dari “Denial of Service” attack dengan meniadakan akses pengguna ke informasi situs web yang diinginkan.

Dengan serangan Web Spoofing ini, bagaimana seorang pengguna dapat memastikan bahwa situs yang dikunjungi merupakan situs yang benar-benar asli dan dapat dipercaya? Misalnya, situs bank online, www.klikbca.com, bagaimana seseorang dapt mengetahui bahwa situs tersebut merupakan situs yang masih berasal dari Bank BCA yang asli dan tidak diambil alih oleh penyerang? Akan sulit bagi seorang pengguna untuk dapat mengetahui dan mempercayai sebuah situs untuk suatu layanan tertentu.

Karena penyerang dapat mengamati atau mengubah data dari pengguna ke server penyerang, dan juga dapat mengendalikan data dari server web ke browser pengguna, maka penyerang akan mendapatkan beberapa kemungkinan [1] :
  • Pengamatan
Penyerang dapat secara pasif mengamati aliran data, merekam halaman situs yang dikunjungi pengguna dan isi dari halaman tersebut. Ketika pengguna mengisi sebuah formulir, data yang dimasukkan akan ditransmisikan ke server web sehingga penyerang dapat merekam data tersebut bersama-sama dengan tanggapan yang dikirimkan kembali oleh server.
Penyerang dapat melakukan pengamatan meskipun pengguna menggunakan “secure connection” (biasanya melalui Secure Sockets Layer) ke server, yaitu, meskipun browser pengguna menunjukkan simbol “secure connection” (biasanya sebuah gambar gembok atau kunci).
  • Pembajakan
Penyerang juga bebas untuk mengubah setiap data yang mengalir dari pengguna ke server web mapun sebaliknya. Penyerang dapat memodifikasi data formulir yang dikirimkan oleh pengguna. Misalnya, pengguna memesan sebuah produk secara online , maka penyerang dapat mengubah nomor atau jenis produk, jumlah barang, atau alamat pengiriman barang. Penyerang juga dapat memodifikasi data yang dikirimkan kembali oleh server web, misalnya dengan memasukkan materi yang menyesatkan untuk memperdaya pengguna atau menyebabkan pertentangan antara pengguna dengan server.

Web Spoofing mungkin dilakukan karena informasi yang disediakan oleh server kepada pengguna dikumpulkan dan ditampilkan oleh pembaca atau peraga sistem WWW yang lebih dikenal dengan istilah browser. Bahkan dalam koneksi Secure Sockets Layer (SSL), pengguna menilai apakah koneksi tersebut aman berdasarkan informasi seperti simbol SSL, tampilan peringatan, informasi lokasi, dan sertifikat. Tetapi pengguna tidak menerima informasi ini secara langsung, melainkan pengguna mengambil kesimpulan berdasarkan apa yang ditampilkan oleh browser.

Kunci dari Web spoofing adalah kenyataan bahwa “hypertext markup” sederhana (dari HyperText Markup Languange atau HTML) tidak cukup baik. Pembuat sebuah situs web terus-menerus menginginkan halaman web lebih interaktif dan lebih hidup dibanding dengan apa yang diberikan oleh hypertext markup sederhana, dan telah mengembangkan serangkaian cara untuk mengeksekusi perintah (menjalankan program) dalam sebuah halaman web [2].

Parameter utamanya adalah :
  • Bahasa pemrograman
  • Lokasi program tersebut dijalankan
Untuk bahasa pemrograman, Java dan Java script adalah dua bahasa permrograman yang umum digunakan. Untuk lokasi, pilihan utama adalah diletakkan pada klien atau pada server. Contoh mekanisme mengeksekusi perintah di server - dijalankan berdasarkan permintaan dari client - dapat dilakukan dengan script CGI atau dengan servlet.  Mekanisme mengeksekusi perintah di sisi client dapat dilakukan dengan Dynamic HTML (DHTML), Cascading Style Sheet (CSS), dan Java script  untuk menciptakan halaman yang lebih hidup dan interaktif yang terutama bergantung pada eksekusi di sisi client.

Referensi :
[1] Edward W. felten, Dirk Balfanz, Drew Dean, Dan  S. Wallach, “Web spoofing: An Internet Con Game”, Technical Report 540-96 (revised Feb 1997), Department of Computer Science, Princeton University
[2] Yougu Yuan, Eileen Zishuang Ye, Sean Smith, “Web Spoofing 2001”, Technical Report TR2001-409, Department of Computer Science/ Institute for Security Technology Studies Dartmouth College, July 2001.


Previous
Next Post »