Pemecah Keselamatan SSL : Bahagian I




Assalamualaikum dan salam sejahtera kepada semua pembaca tegar OMG! Hacker? ataupun yang baru terjumpa, ataupun yang masih dalam berkenalan. Sempena bulan syawal yang mulia, sama- samalah kita saling bermaaf- maafan sesama kita, tidak kira yang besar ataupun yang tua, samada kesilapan kecil mahupun besar. Dah lama tak menulis (sebab sibuk beraya), rasa kekok pula

Raya-raya juga, ilmu komputer jangan lupa... hehehe... Kali ini th3bAdh ada satu tool dari Backtrack yang ingin saya kongsikan. Tool ini boleh tahan la bagi sesiapa yang dah biasa dengan ARP Spoofing, sangat ringkas dan boleh dikatakan SUPERB! (pendapat peribadi je)....

Anda sudah tahu apa itu Arpspoofing?. Rujuk disini (karangan Arya Putra). Sebelum kita pergi lebih jauh tentang SSLSniff elok lah kita tahu terlebih dahulu tentang SSL (Rujuk disini). SSL Sniff ini telah diperkenal dan dibentangkan oleh Moxie Marlinspike pada persidangan Black Hat DC 2009 (salah satu confrence hacker) . Merujuk pada tajuk yang th3bAdh tulis, saya tidak mahu membincangkan tutorial pada bahagian ini ( kena tunggu bahagian II).  Sebelum tool ini dilepaskan, ada yang beranggapan bahawa SSL ini adalah lapisan keselamatan yang selamat, walaupun ianya telah diserang oleh orang tengah (Man in the Middle Attack), encryption yang terdapat pada kunci tidak boleh diterobos, kerana kunci itu hanya terdapat pada 2 pihak sahaja. (Sila rujuk bagaimana keselamatan SSL dikunci).


Jadi bagaimana SSLSniff bertindak?
Pada peringkat pertama, rangakaian akan diracun dengan cara ARPSpoofing, meyakin kan bahawa kita mesin kita adalah Router, dan serangan bermula apabila data-data telah melalui mesin kita. Kernel akan meneruskan data-data tersebut tersebut terus ke port yang kita set kan (biasanya 80)
Pada masa ini lah sslsniff akan menerima data-data dan melakukan magik nya. Masih tak faham,? Rujuk gambar bawah ni sampai faham.


Apa yang akan dapat dengan memecahkan SSL?
 Kita akan dapat menghidu segala kata-kata laluan yang terdapat pada SSL, biskut-biskut sedap(cookie).
Jadi, itu sahaja penerangan buat masa ini, untuk bahagian II pula, kita akan belajar menggunakan tool tersebut dengan menggodam facebook sebagai bahan uji

#Nota kaki: Malas nak tulis artikel panjang-panjang, sedut je yang Mr Hac punya, nasib baik ada, kalau tidak jenuh nak tulis panjang (untuk beginer, kena study banyak sikit, tak rugi belajar ilmu asas, dah tahu, macam-macam boleh buat)
Powered by Blogger.