Keadaan keamanan World Wide Web pada tahun 2021
Business

Keadaan keamanan World Wide Web pada tahun 2021

Seberapa aman atau lebih berisiko rata-rata pengguna internet sekarang dibandingkan dengan 10 tahun yang lalu?

Jika Anda membaca berita utama, Anda mungkin berpikir kita telah berubah dari buruk menjadi lebih buruk, padahal sebenarnya kita tidak pernah lebih aman. Jelas, kami belum “menyelesaikan” keamanan, namun rasanya kami telah memeriksa banyak item dari daftar.

Untuk memverifikasi, Chester Wisniewski merinci kemajuan yang telah kami buat untuk melihat apakah mereka membuat perbedaan.

Chester Wisniewski (foto) adalah ilmuwan peneliti utama di pemimpin keamanan generasi berikutnya, Sophos.

Keamanan di hari-hari awal

World wide web hari ini adalah tempat yang sangat berbeda dari ketika muncul dari pikiran Sir Tim Berners-Lee pada tahun 1990. Sementara web awal gratis dan terbuka, itu agak terlalu terbuka. Tidak ada privasi atau enkripsi untuk melindungi informasi yang bergerak di antara banyak server dan router yang terlibat dalam menghubungkan dunia.

Netscape membantu memecahkan ini dengan memperkenalkan enkripsi melalui Secure Sockets Layer (SSL), kemudian diperbarui ke spesifikasi formal, Transport Layer Security (TLS). Pada saat itu, TLS dimaksudkan untuk mengamankan keranjang belanja, informasi kartu kredit, dan terkadang ID login dan kata sandi Anda.

Keamanan secara default

Anehnya, ini tetap benar sampai tahun 2013, ketika kontraktor NSA, Edward Snowden, memutuskan untuk memberi tahu dunia tentang berapa banyak informasi online yang dikumpulkan Amerika Serikat – dan dapat dikumpulkan – di hampir semua orang di dunia.

Meskipun demikian, hingga Oktober 2013, beberapa bulan setelah kebocoran Snowden, hanya 27,5 persen halaman web yang dimuat oleh Mozilla Firefox menggunakan beberapa bentuk enkripsi.

Hal ini mendorong orang-orang di industri keamanan untuk tertarik dan bekerja untuk meningkatkan keamanan dan privasi pengguna internet secara global.

Pemikirannya adalah: satu-satunya cara untuk memecahkan masalah ini adalah dengan mengenkripsi semuanya dan menjadikannya sebagai persyaratan, bukan renungan. Hal ini mendorong pengenalan teknologi dan standar baru untuk memastikan bahwa segala sesuatunya aman secara default dan untuk mencegah hal-hal diturunkan versinya menggunakan metode lama yang tidak aman.

Teknologi dan standar baru tidak menghilangkan risiko. Jika seseorang dapat mencampuri koneksi jaringan Anda, mereka dapat dengan mudah mengarahkan ke situs penipu untuk mencuri informasi pribadi Anda. Ini dikenal sebagai serangan mesin-in-the-middle (MitM), yang dapat dilakukan dengan memberikan respons DNS (Sistem Nama Domain) palsu, mengoperasikan titik akses Wi-Fi kembar jahat, atau langsung oleh ISP (Penyedia Layanan Internet). ), pemerintah, penegak hukum, dan lain-lain. Perusahaan bahkan dapat mencegat lalu lintas TLS menggunakan kotak tengah yang dirancang untuk memeriksa lalu lintas yang dilindungi.

Memperbaiki masalah

Meskipun situs yang Anda kunjungi menggunakan HTTPS, kemungkinan besar situs tersebut harus mendengarkan HTTP (HyperText Transfer Protocol) yang tidak aman dan mengarahkan pengguna ke situs yang aman, karena browser web biasanya secara default mencoba HTTP terlebih dahulu.

Untuk memberitahu browser untuk membuat koneksi awal melalui HTTPS, pada tahun 2012 Google mengusulkan header HTTP baru: HSTS (HTTP Strict Transport Security). Header HTTP ini memungkinkan administrator situs web untuk menunjukkan bahwa situs web mereka hanya boleh dimuat melalui HTTPS dan browser tidak boleh mencoba membuat koneksi melalui HTTP pada port 80.

Tentu saja, ini masih berarti Anda berisiko mengalami penurunan versi ke HTTP saat pertama kali mengunjungi situs, sebelum browser Anda mengamati header HSTS. Ini dikenal sebagai stripping SSL, yang merupakan jenis serangan MitM yang dirancang untuk disembuhkan oleh HSTS.

Untuk mengatasi masalah ini, HSTS telah diperpanjang dengan opsi “pramuat”.

Akhir tahun 2013, untuk mendorong semua situs menerapkan enkripsi TLS, Google mengumumkan browser Chrome-nya akan mulai memperingatkan orang-orang saat mengakses halaman web yang tidak aman dan akan memberi peringkat situs yang tidak terenkripsi lebih rendah dalam hasil pencariannya.

Karena kebijakan Google dan komunitas keamanan secara keseluruhan bekerja keras, kami menggandakan jumlah situs yang mendukung koneksi aman hanya dalam tiga tahun. Statistik Google sekarang menunjukkan bahwa di sebagian besar negara, situs yang dikunjungi oleh pengguna Chrome 95 persen dienkripsi.

Langkah terbaru oleh vendor browser untuk mendorong kita ke dunia yang selalu terenkripsi dimulai pada November 2020 ketika Mozilla memperkenalkan opsi khusus HTTPS ke Firefox. Saat diaktifkan, fitur ini mencoba semua koneksi dengan aman melalui HTTPS dan kembali ke peringatan jika HTTPS tidak tersedia. Chrome diikuti dengan menambahkan opsi serupa dan mengaktifkannya secara default pada April 2021.

Itu kemajuan yang fantastis, tetapi selain dari tingkat enkripsi yang tinggi, apakah orang-orang menerapkan teknologi seperti HSTS dan apakah itu digunakan cukup luas untuk membantu melindungi pengguna di jaringan yang tidak tepercaya?

Intinya

Web tidak pernah lebih aman.

Dengan 95 persen halaman web terenkripsi dan sebagian besar tidak menampilkan banyak risiko, ini adalah berita bagus, terutama selama musim belanja online yang sibuk.

Sedikit demi sedikit, komunitas keamanan telah bekerja sama untuk meningkatkan standar, menerapkan tekanan pada lamban, dan menurunkan biaya komunikasi dengan aman melalui internet. Jumlah kemajuan yang telah dibuat sangat mengesankan mengingat skala masalahnya dulu.

Namun, pekerjaan tidak berarti selesai. Dengan hanya 31,6 persen situs yang menggunakan HSTS, ini menunjukkan bahwa bahkan fitur yang gratis dan memberikan peningkatan keamanan yang signifikan tidak digunakan secara luas sebagaimana mestinya.

Mengamankan lapisan aplikasi memiliki implikasi besar bagi pengguna dan keamanan. Masih ada risiko penyedia jaringan yang kami gunakan akan memata-matai kami, menjual kami ke jaringan periklanan, atau akan disusupi oleh penjahat dunia maya.

Namun, karena HSTS dan TLS, Anda dapat menjelajah dan berkomunikasi sebebas mungkin dengan risiko hasil buruk yang dapat diabaikan, bahkan melalui Wi-Fi dan jaringan seluler yang tidak tepercaya.

Posted By : pengeluaran hk hari ini