Session Juggler :Secure Web Login From an Untrusted

Terminal Using Session Hijacking

Irien Kamaratih A, Nella Indriani, Rizkiyani Harminingtyas3KS1

Latar Belakang

Let’s Juggling

Looking for Something ?

Teknologi/Istilah Penting

Let’s Juggling

• Session : sebuah varibel sementara yang diletakkan di server

• Session Hijacking : metode mengambil alih session dari pengguna Web secara diam-diam untuk mendapatkan session ID dan menyamar sebagai user terdaftar

• Bookmarklet : sebuah aplikasi kecil yang dapat diletakkan pada browser.

• QR code : bentuk evolusi code button dari satu dimensi ke dua dimensi

• Blackboard : sebuah web service yang memfasilitasi pertukaran informasi di antara telepon dan terminal

• AES (Advance Encryption Standard) key : algoritma kriptografi simetrik untuk mengamankan data. Menggunakan kunci kriptografi 128, 192 dan 256bits untuk dekrip dan enkrip data pada blok 128bits

• Long term credential : satu set user authentication(username+password) yang dipakai oleh protokol client unutk diautentikasi(dicocokkan) dengan protocol server

• Android Webview : Tampilan yang memungkinkan kita untuk meng-embed halaman web ke layout di android

Permasalahan Riset

Let’s Juggling

• Bagaimana cara melindungi credential user dari serangan malware dan menyelamatkan user dari session hijack??

Kontribusi Riset

Let’s Juggling

• Pembuatan sebuah arsitektur yang disebut Session Juggler (http://sessionjuggler.net) yang memungkinkan user untuk login tanpa pernah memasukkan long term credential mereka pada terminal dengan bantuan Android app pada smartphone.

• Session Juggler dapat membantu user lepas dari serangan session hijacking dengan menyediakan secure logout dimana phone dan untrusted terminal berbagi session data yg sama sehingga malware tidak dapat mencegah user logout dari phone app.

Three Main Studies About Session Management

1. Secure Login Pages

Did LinkedIn use https???

Is that amazing??

2. Binding Session to Devices• Survey seberapa banyak web yang mengikat

atau menjaga sessionnya dari hijacking

3. Logout Procedures• Ketika logout, seharusnya session dihapus dari

devices agar transaksi user tidak dilanjutkan oleh orang lain

• Menurut survey, web terkenal menghapus session dari browser,tapi tidak di server.

• Google menerapkan security logout pada main site (Gmail&Reader) tapi tidak pada side services (Youtube,Blogger dll)

• Beberapa company mengabaikan masalah ini karena jarang ada serangan terhadap hal ini dan membutuhkan biaya besar utk penggantian session management

Metode Pemecahan Masalah

Let’s Juggling

Storyboard of The User Experience with Session Juggler

QR Mode Message Flow

Pin-code Message Flow

Membatasi efektivitas dari malware, dengan memperbolehkannya hanya menangkap short-lived session credential, bukan long term.

Mengurangi resiko sniffing pada insecure network.

Session Juggler memiliki tiga phising defenses (user consent popup, domain blacklist check, dan password manager hanya memberitahukan password untuk URL yg benar)

Menyediakan trusted logout yang dapat membatalkan validasi dari ongoing session

Why Session Juggler improves logging security ?

Evaluasi

Let’s Juggling

Session Juggler dapat berhasil digunakan untuk login pada 87% dari Top-100 situs Alexa. Selain itu juga memiliki keberhasilan 100% saat menggunakan Session Juggler untuk login di website yang menggunakan Facebook connect. Secara manual jika kita mampu menggunakan Session Juggler dan Firefox untuk login di 64 Top-100 situs yang memiliki Alexa login sistem.

Kasus kegagalan Session Juggler (msn.com, megaupload.com dan rapidshare.com) : Dealing with Mobile Session Separation

Smartphone atau web browser biasa? Finding Webview Limitations

- WebView Android tidak mampu untuk membuat versi penuh msn.com dan rapidshare.com- megaupload.com secara otomatis akan diarahkan ke website versi mobile, sehingga mencegah adanya transfer session

Handling Secure CookiesVersi pertama dari aplikasi Android :

Cookie diekstrak dari Web View langsung menggunakan interface Cookie Manager >> gagal

Versi sekarang : cookie diambil langsung dari cookie repositori melalui interface Sqlite

The Third Party Login Challenge (Tantangan login sebagai pihak ketiga)

>> harus memasukkan identitas dua kali : pada domain dan pihak ketiga domain

Ide Pengembangan Riset

Let’s Juggling

- SJ dibuat dapat menyimpan long-term pairing sehingga apabila ingin login tidak perlu inisialisasi session juggler (nb: ada expired date) dengan catatan browser dan terminal yg digunakan sama

- Memodifikasi SJ agar bisa menghilangkan expired date dari cookies

- SJ dapat “menipu” browse fingerprinting

Kesimpulan

Let’s Juggling

• Session Juggler adalah solusi universal pertama untuk login web secara aman di Unstrusted terminal.

• Session Juggler bersifat universal karena tidak memerlukan site-modification dan tidak memerlukan software tertentu pada terminal-side

• Berdasarkan evaluasi menunjukkan bahwa Session Juggler bekerja dengan setiap Alexa Top 100 website kecuali delapan.

• Session jugler bekerja sempurna pada website yang mempunyai Facebook connect, yang memungkinkan pengguna untuk menggunakannya pada lebih dari 85000 website.

• Session juggler adalah solusi pertama yang menyediakan mekanisme yang terpercaya untuk logout dan memastikan bahwa session pengguna akan dihapus segera setelah pengguna selesai menggunakan website