Ilustrasi via seopressor.com
Ilustrasi via seopressor.com
Cyberthreat.id - Pemerintah DKI Jakarta membuka pendaftaran secara online bagi warga miskin DKI Jakarta di situs http://fmotm.pusdatin-dinsos.jakarta.go.id. Namun, situs itu ditandai "tidak aman" oleh peramban web Google Chrome dan Firefox Mozilla.
Jika pada Google Chrome ditandai dengan tulisan "not secure" (tidak aman) pada bilah alamat tautan, pada Firefox muncul gembong yang ditandai silang merah.
Ikon gembok dengan silang merah menandakan situs itu tidak aman. Itu lantaran situs web tersebut masih menggunakan koneksi Hypertext Transfer Protocol (HTTP). Sementara pada web yang aman koneksinya, hanya muncul tanda gembok tanpa silang merah. Ini lantaran situs webnya sudah menggunakan Hypertext Transfer Protocol Secure (HTTPS).
Cyberthreat.id menghubungi Deputi Head dari Master of Information Technology-Swiss Germany University (SGU) Charles Lim untuk menanyakan lebih lanjut terkait perbedaan dari HTTP dan HTTPS.
HTTP, kata Charles, merupakan protokol untuk melayani peramban web kita. HTTP ini dibutuhkan untuk proses browsing. Charles menjelaskan misalnya, di peramban web kita ketik cyberthreat.id, kita melakukan itu sebenarnya akses ke servernya Cyberthreat.id. Server Cyberthreat.id merespons dengan halaman pertama yang dimunculkan ke kita.
Charles mengatakan perbedaannya adalah adanya sertifikat keamanan yang dimiliki HTTPS untuk mengenkripsi komunikasi. Ketika mengakses Cyberthreat.id tetapi tidak memiliki sertifikat keamanan atau tidak memakai HTTPS, maka segala yang di-request atau respon yang didapatkan pada proses browsing bersifat publik. Artinya, jika memakai HTTP segala komunikasi yang dilakukan tidak terenkripsi.
"Kalau tidak pakai https, saya bisa lihat semua trafik, kelihatan tuh, oh page ini yang diklik, yang dilihat, tapi kalau pakai HTTPS terenkripsi. Kita hanya tahu oh ada lagi request page ini tapi saya tidak bisa lihat isinya.” ujarnya ketika dihubungi Cyberthreat.id Rabu (28 Oktober 2020).
Charles pun menilai HTTPS ini penting diterapkan bagi situs web yang memiliki halaman login seperti memasukkan user ID dan kata sandi, serta berisikan data-data sensitive. Oleh karena itu, HTTPS penting diterapkan untuk situs web perbankan, dan sebagainya yang meminta user ID dan kata sandi, serta data-data sensitive.
“Nah itu jadi penting karena berarti kontennya jadi terenkripsi. Bayangkan pada saat seseorang lagi login, kalau tidak pakai HTTPS, apa yang terjadi? bisa dibaca [oleh publik],” ujarnya.
Oleh karena itu, situs web yang meminta isi data, login user ID dan kata sandi, dan macam-macam sifatnya sensitif dan kredensial, dan menggunakan HTTP akan bermasalah dan rawan akan kebocoran data atau penyadapan data karena tidak dienkripsi.
"Jadi dengan HTTP itu kalau kita ketik user id dan password akan kelihatan passwordnya, enggak rahasia lagi. Itulah yang jadi masalah.” ungkapnya.
Lantas apakah HTTPS selalu aman?
Charles menekankan keamanan yang dimaksud dari HTTPS ini adalah komunikasinya. Yang diamankan, kata Charles, adalah komunikasinya antara klien dan server.
Charles pun menganalogikannya seperti saat sedang tersambung dalam sebuah telepon, apa yang diomongkan lewat sambungan telepon itu begitu masuk ke ponsel yang ditelopon dikirim lewat GSM, dienkripsi terlebih dahulu, kemudian nanti di ponsel yang ditelpon itu baru dibuka lagi. Jadi, kata Charles, intinya adalah kerahasiaan data.
Untuk membuat situs web menjadi lebih aman atau komunikasinya terenkripsi atau HTTPS, maka itu harus disertifikasi oleh badan sertifikasi atau Certificated Authoritazion (CA). Ada banyak CA yang mengeluarkan sertifikat keamanan untuk HTTPS. Saat ini, kata Charles, sertifikat keamanannya itu berbentuk Transport Layer Security (TLS).
"TLS itu Transport Layer Security, karena SSL itu sudah expired” ujarnya.
Sertifikat keamanan yang dikeluarkan CA itu akan menghasilkan private key dan public key. Private key ini, kata Charles, untuk mendekripsi. Sementara public key, untuk mengenkripsi proses saat browsing di HTTPS.
Untuk itu, menurutnya private key ini penting untuk dijaga. Jika itu jatuh ke tangan orang jahat maka orang jahat itu akan mendekripsi atau sama saja bisa menyadap.
"Aman komunikasinya, sepanjang private key-nya tidak dicopot orang,” kata Charles.
Namun, private key ini juga bisa diketahui orang lain dari kerentanan sertifikat keamanannya seperti SSL jaman dulu. Open SSL, kata Charles, dulu pernah memiliki kerentanan sehingga private key bisa diketahui oleh peretas dengan mengeksploitasi kerentanan itu. Namun, saat ini yang paling terbaru yakni TLS 1.3 itu, kata Charles, belum memiliki kerentanan yang signifikan yang bisa berpotensi menjadi bocornya private key webserver.
Meskipun sudah menggunakan HTTPS, kata Charles, tidak berarti aman dari serangan pihak luar. Sebab, yang dilakukan adalah mengenkripsi komunikasi untuk mencegah kebocoran data. Itu sebabnya, Charles mewanti-wanti agar jangan lengah meskipun sudah menggunakan protokol HTTPS.
Kemungkinan peretasan atau hacking itu, kata Charles itu bisa saja terjadi meski bukan dari segi situs webnya.
"Kalau hack itu menyerang, people, process dan technology, tinggal kita lihat saja mana yang lemah yang diserang itu.” ujarnya.
Charles pun mengatakan saat ini berdasarkan statistik 70 persen trafik HTTP sekarang sudah HTTPS. Sehingga, kata Charles, sisa 30 persen yang belum HTTPS. Kendati demikian, Charles mengatakan seharusnya pemerintah mewajibkan seluruh situs web untuk HTTPS karena untuk memasang TLS itu gampang dan hitungan menit atau tidak lama.
“Kalau bisa mewajibkan semua dari website sudah https, terlebih ada sistem login gitu, sehingga bisa terjamin. “
HTTPS Juga Dipakai untuk Situs Phishing
Charles menilai bahwa HTTPS itu mengenkripsi komunikasi yang menawarkan keamanan berkomunikasi sehingga dinilai aman, maka wajar jika penjahat memanfaatkan kenyataan itu untuk melakukan jebakan phising.
Seperti diketahui, situs phishing adalah versi palsu sebuah situs web yang dibuat mirip dengan aslinya. Tujuannya, untuk mencuri data kredensial berupa username dan password. Ini bisa terjadi lantaran pengguna merasa sedang mengunjungi situs asli, sehingga memasukkan kredensial yang biasa dipakainya. Namun, tanpa disadari, dia sedang berada di situs palsu yang merekam data kredensialnya. Data itu kemudian dipakai oleh si pembuat situs phishing untuk masuk ke akun asli korban. Ini pernah menimpa Bank BCA pada 2001 (Baca: Ada Situs Citibank Palsu, Mirip Kasus BCA yang Menghebohkan)
"Memang, makanya kalau dia [peretas] pintar pakai HTTPS ya gak keliatan kan. Ya phising itu kan memang sengaja dibuat mirip dengan asli. Kalau situs resminya pakai HTTPS ya dia [peretas] bikin HTTPS sekalian, biar orang merasa buka itu legit, kayak aman gitu, komunikasi saya aman,” ujarnya.
“[Pengamanan dari sisi] komunikasi dipasang biar orang merasa nyaman, tapi ya tetap saja yang meniru itu website bohongan, kita ditipu.” katanya. []
Editor: Yuswardi A. Suud
Update:
Berita terkait:
Share:
