Situs-situs yang pernah anda kunjungi yang tersimpan dalam peramban atau web browser anda bisa diakses tanpa sepengetahuan dan seijin anda.
Kode JavaScript yang disebarkan oleh berbagai situs serta penyedia layanan iklan online memanfaatkan kerentanan peramban
untuk menentukan situs mana yang pernah dan belum anda kunjungi,
menurut penelitian baru yang dilakukan oleh para ilmuwan komputer di
Universitas California, San Diego.
Para peneliti mendokumentasikan kode JavaScript yang diam-diam
mengumpulkan informasi berbagai situs yang pernah dikunjungi oleh
penguna Web melalui "history sniffing" atau "pengendusan riwayat"
dan mengirim informasi tersebut melalui jaringan. Walaupun pengendusan
riwayat serta potensi implikasinya terhadap pelanggaran privasi telah
didiskusikan dan didemonstrasikan, penelitian baru menyediakan analisis
empiris pengendusan riwayat pada Web yang sesungguhnya untuk pertama
kalinya.
"Tak seorang pun tahu jika siapa saja di Internet menggunakan
pengendusan riwayat untuk mendapatkan informasi pribadi situs-situs
kunjungan para pengguna. Yang mampu kami tunjukkan ialah bahwa hal
tersebut mungkin dilakukan," tutur Profesor ilmu komputer UC San Diego
Hovav Shacham. Para ilmuwan komputer dari UC San Diego Jacobs School of Engineering mempresentasikan studi ini pada bulan Oktober dalam Konferensi Computer and Communications Security 2010 (CCS 2010) dalam makalah yang berjudul, "An Empirical Study of Privacy-Violating Information Flows in JavaScript Web Applications".
Pengendusan Riwayat
Pengendusan riwayat terjadi tanpa sepengetahuan atau seijin anda dan
mengandalkan pada fakta bahwa peramban menampilkan tautan atau link ke
situs-situs yang telah anda kunjungi berbeda dari yang belum anda
kunjung: normalnya tautan yang sudah dikunjungi berwarna ungu, dan yang
belum dikunjungi berwarna biru. Kode JavaScript pengendusan riwayat yang
dijalankan pada sebuah halaman Web mengecek apakah peramban anda
menampilkan tautan ke alamat situs tertentu dengan warna ungu atau biru.
Pengendusan riwayat bisa digunakan oleh para pemilik situs web untuk
mengetahui situs pesaing mana yang telah atau belum dikunjungi oleh para
pengunjung. Pengendusan riwayat bisa juga disebarkan oleh berbagai
perusahaan pengiklan untuk membangun profil pengguna, atau digunakan
oleh para penjahat online untuk mengumpulkan informasi untuk serangan
pengelabuan atau phishing berikutnya. Misalnya, dengan mengetahui
situs-situs bank mana saja yang anda kunjungi akan menginformasikan
halaman bank palsu mana yang akan ditampilkan selama serangan
pengelabuan yang ditujukan untuk mengumpulkan informasi login akun bank
anda.
"JavaScript merupakan sesuatu yang mengagumkan, bahasa skrip tersebut
memungkinkan berbagai hal seperti Gmail dan Google Maps serta tumpukan
aplikasi-aplikasi Web 2,0; tapi skrip itu juga membuka banyak kerentanan
keamanan. Kami ingin masyarakat luas tahu bahwa pengendusan riwayat
mungkin dilakukan, hal itu memang terjadi di luar sana, dan banyak orang
yang rentan terhadap serangan ini," kata profesor ilmu komputer UC San
Diego Sorin Lerner, seperti yang dikutip dari Physorg (03/12/10).
Versi terakhir Firefox, Chrome, dan Safari sekarang memblokir
serangan-serangan pengendusan riwayat yang dimonitor oleh para ilmuwan
komputer. Namun Internet Explorer tidak memberikan perlindungan terhadap
pengendusan riwayat. Pokoknya siapa pun yang tidak menggunakan versi
terakhir peramban yang secara berkala di-update juga rentan terhadap
serangan tersebut.
Mengetahui Pengendusan Riwayat
"Kami membangun mesin aliran data dinamis bagi JavaScript untuk melacak
pengendusan riwayat. Saya tidak tahu intstrumen praktis lainnya yang
dapat digunakan untuk melakukan studi luas ini," kata Dongseok Jang
seorang mahasiswa ilmu komputer bergelar Ph.D UC San Diego yang
mengembangkan teknologi JavaScript monitoring ini. Para peneliti
berencana untuk memperluas penelitian mereka dan mempelajari informasi
apa yang dibocorkan oleh aplikasi-aplikasi pada media sosial dan
situs-situs Web 2,0 lainnya.
Para ilmuwan komputer tersebut mencari pengendusan riwayat pada
halaman-halaman depan 50.000 situs web teratas menurut peringkat situs
global Alexa. Mereka menemukan bahwa 485 dari 50.000 situs teratas
memeriksa properti style yang bisa digunakan untuk menduga
riwayat peramban. Dalam 458 situs, 63 mentransfer riwayat peramban ke
dalam jaringan. "Kami mengkonfirmasi bahwa 46 di antaranya benar-benar
melakukan pengendusan riwayat, salah satu dari situs-situs tersebut
berada di peringkat 100 teratas Alexa," seperti yang ditulis oleh para
ilmuwan komputer UC San Diego dalam makalah CCS 2010 tersebut.
Perspektif Pengendusan Riwayat
Para ilmuwan komputer mengatakan bahwa pengendusan riwayat tidak
seberbahaya bagi privasi atau identitas anda seperti program-program
jahat (malware) yang dapat mencuri informasi perbankan anda atau
keseluruhan profil Facebook anda. Namun, menurut Shachan, "pengendusan
riwayat memungkinkan setiap situs yang anda kunjungi untuk bisa melacak
kebiasaan browsing anda di situs lainnya, tak peduli apakah kedua situs tersebut memiliki keterkaitan bisnis atau tidak."
Untuk melihat bagaimana pengendusan riwayat dalam prakteknya anda bisa mengunjungi: http://www.whatthe … aboutyou.com.
"Saya pikir mereka yang telah meng-update atau mengganti peramban mereka
sekarang mungkin harus khawatir dengan hal-hal selain pengendusan
riwayat, seperti menjaga agar Flash plug-in mereka tetap yang
terbaru agar supaya mereka tidak dieksploitasi. Namun, hal tersebut
tidak berarti bahwa perusahaan-perusahaan yang telah berkecimpung dalam
pengendusan riwayat 60 persen populasi pengguna saat ini yang rentan
terhadap hal itu mendapatkan karcis masuk gratis," ujar Shacham.
Melacak Pengendusan Riwayat
Alat pendeteksi pengendusan-riwayat UC San Diego menganalisa JavaScript
yang dijalankan pada halaman untuk mengidentifikasi dan melabelkan semua
instance ketika riwayat peramban sedang diperiksa. Cara sistem
tersebut melabelkan setiap potensi kegiatan pengendusan riwayat dapat
dibandingkan dengan tinta atau cat yang ditambahkan pihak bank ke
tas-tas uang yang dicuri.
"Segera setelah JavaScript mencoba melihat semua warna tautan, kami
segera memberi "cat" terhadap kegiatan itu. Beberapa situs mengumpulkan
informasi tersebut tapi tak pernah mengirimkannya ke jaringan, jadi
masih ada semua "cat" ini dalam peramban. Namun, dalam kasus lain, kami
mengamati "cat" dikirim ke jaringan yang mengindikasikan bahwa
pengendusan riwayat sedang terjadi," jelas Lerner. Para ilmuwan komputer
hanya menganggapnya sebagai pengendusan riwayat jika informasi riwayat
peramban dikirim melalui jaringan ke sebuah server.
"Kami mendeteksi ketika riwayat peramban diperiksa, dikumpulkan pada
peramban tersebut dan dikirim ke jaringan dari peramban tersebut ke
server-server mereka. Apa yang kemudian dilakukan server-server tersebut
terhadap informasi itu merupakan spekulasi," kata Lerner.
Pendekatan pengendusan "cat" untuk memonitor JavaScript bisa digunakan
lebih dari sekadar pengendusan riwayat, jelas Lerner. "Hal tersebut bisa
berguna untuk mengetahui informasi apa yang sedang dibocorkan oleh
aplikasi-aplikasi di berbagai situs Web 2,0. Banyak aplikasi-aplikasi
ini menggunakan tumpukan JavaScript."
Oleh karena itu sangat disarankan bagi anda untuk secara rutin
meng-update peramban yang anda gunakan demi keamanan dan privasi anda di
Internet.
Informasi lebih lanjut bisa anda temukan di: An Empirical Study of Prvacy-Violating Information Flows in JavaScript Web Applications.
from : http://sainspop.blogspot.com/
Rabu, 08 Agustus 2012
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar