Peneliti telah lama mengetahui bahwa mereka dapat mengumpulkan informasi tersembunyi tentang cara kerja internal suatu situs web dengan mengukur waktu yang dibutuhkan untuk memenuhi berbagai permintaan dan mengekstrapolasi informasi—serta kerentanannya—dari variasi yang kecil. Serangan “pengukuran waktu web” seperti itu telah dideskripsikan selama bertahun-tahun, tetapi seringkali terlalu rumit bagi penyerang dunia nyata untuk digunakan dalam praktik, meskipun mereka berhasil dalam teori. Namun, di konferensi keamanan Black Hat di Las Vegas pekan ini, seorang peneliti memperingatkan bahwa serangan pengukuran waktu web sebenarnya dapat terjadi dan siap untuk dimanfaatkan.
James Kettle, direktur riset di perusahaan keamanan aplikasi web PortSwigger, mengembangkan serangkaian teknik serangan pengukuran waktu web yang dapat digunakan untuk mengekspos tiga kategori kerentanan berbeda di situs web. Dia memvalidasi metode tersebut menggunakan lingkungan uji yang dia buat yang mengkompilasi 30.000 situs web nyata, semuanya menawarkan program bounty bug. Dia mengatakan tujuan dari pekerjaan ini adalah untuk menunjukkan bahwa begitu seseorang memiliki pemahaman konseptual tentang jenis informasi yang dapat diberikan oleh serangan pengukuran waktu web, memanfaatkannya menjadi lebih memungkinkan.
“Saya selalu menghindari riset serangan waktu karena itu adalah topik dengan reputasi,” kata Kettle. “Semua orang melakukan riset tentang hal itu dan mengatakan bahwa riset mereka praktis, tetapi sepertinya tidak ada yang benar-benar menggunakan serangan waktu dalam kehidupan nyata, jadi seberapa praktis itu? Harapan saya adalah pekerjaan ini akan menunjukkan kepada orang bahwa hal-hal ini sebenarnya berfungsi saat ini dan membuat mereka memikirkannya.”
Kettle terinspirasi sebagian oleh makalah penelitian tahun 2020 yang berjudul “Timeless Timing Attacks,” yang bekerja menuju solusi untuk masalah umum. Dikenal sebagai “jitter jaringan,” julukan makalah tersebut merujuk pada keterlambatan waktu antara saat sinyal dikirim dan diterima di jaringan. Fluktuasi ini memengaruhi pengukuran waktu, tetapi mereka independen dari pemrosesan server web yang diukur untuk serangan waktu, sehingga mereka dapat merusak pembacaan. Namun, penelitian 2020 itu menunjukkan bahwa ketika mengirim permintaan melalui protokol jaringan HTTP/2 yang umum, memungkinkan untuk memasukkan dua permintaan ke dalam satu paket komunikasi TCP sehingga Anda tahu bahwa kedua permintaan tiba di server pada saat yang sama. Kemudian, karena bagaimana HTTP/2 dirancang, respon akan kembali tertata sehingga yang memakan waktu lebih singkat untuk diproses adalah pertama dan yang memakan waktu lebih lama adalah kedua. Hal ini memberikan informasi yang dapat diandalkan dan objektif tentang waktu pada sistem tanpa memerlukan pengetahuan tambahan tentang server web target—maka, “serangan waktu abadi.”
Serangan pengukuran waktu web merupakan bagian dari kelas hack yang dikenal sebagai “saluran samping,” di mana penyerang mengumpulkan informasi tentang target berdasarkan properti fisik dunia nyata. Dalam karyanya yang baru, Kettle menyempurnakan teknik “serangan waktu abadi” untuk mengurangi kebisingan jaringan dan juga mengambil langkah-langkah untuk mengatasi jenis masalah yang serupa dengan kebisingan terkait server sehingga pengukurannya lebih akurat dan dapat diandalkan. Kemudian, dia mulai menggunakan serangan waktu untuk mencari kesalahan pemrograman yang tidak terlihat dan kerentanan dalam situs web yang biasanya sulit ditemukan oleh pengembang atau pelaku buruk, tetapi disorot dalam informasi yang bocor dengan pengukuran waktu.
Selain menggunakan serangan waktu untuk menemukan pijakan tersembunyi untuk menyerang, Kettle juga mengembangkan teknik efektif untuk mendeteksi dua jenis bug web yang umum dapat dieksploitasi. Salah satunya, dikenal sebagai kerentanan injeksi sisi server, memungkinkan penyerang untuk memasukkan kode berbahaya untuk mengirim perintah dan mengakses data yang seharusnya tidak tersedia. Dan yang lainnya, disebut proxy terbalik yang salah konfigurasi, memungkinkan akses yang tidak disengaja ke sistem.
Dalam presentasinya di Black Hat pada hari Rabu, Kettle memperlihatkan bagaimana dia dapat menggunakan serangan waktu web untuk mengungkapkan suatu konfigurasi yang salah dan akhirnya melewati firewall aplikasi web target.
“Karena Anda menemukan konfigurasi proxy terbalik ini Anda hanya mengelilingi firewall,” katanya kepada WIRED sebelum presentasinya. “Ini benar-benar mudah dieksekusi begitu Anda menemukan proxy jarak jauh ini, dan serangan waktu bagus untuk menemukan masalah ini.”
Selain presentasinya, Kettle merilis fungsionalitas untuk alat pemindai kerentanan sumber terbuka yang dikenal sebagai Param Miner. Alat ini merupakan ekstensi untuk platform penilaian keamanan aplikasi web populer Burp Suite, yang dikembangkan oleh majikannya, PortSwigger. Kettle berharap untuk meningkatkan kesadaran tentang kegunaan serangan waktu web, tetapi dia juga ingin memastikan teknik-teknik itu digunakan untuk pertahanan bahkan ketika orang tidak memahami konsep dasarnya.
“Saya mengintegrasikan semua fitur baru ini ke dalam Param Miner sehingga orang di luar sana yang tidak tahu apa pun tentang ini bisa menjalankan alat ini dan menemukan beberapa kerentanan ini,” kata Kettle. “Ini menunjukkan kepada orang hal-hal yang seharusnya mereka lewatkan.”