Select Page

Bisnis Kelabu Celah Keamanan Software – Mencari Jarum Dalam Tumpukan Jerami

Sebelum mendapatkan uang dari eror software, seseorang harus mencarinya di dalam ratusan bahkan ribuan baris kode program. Kompetisi untuk menemukan bug pada software sudah ada, seperti kontes hacking komputer Pwn2Own, yang berlangsung November lalu di PacSec Applied Security conference, Tokyo. Pada kontes yang disponsori HP ini, para peserta berhasil menemukan adanya exploit baru dalam sistem iOS 7, browser Chrome di Android, dan browser IE 11 di sistem Windows 8.1. Dengan exploit tersebut, mereka dapat mengakses foto dari iPhone dan mengendalikan Google Nexus 4, Samsung Galaxy S 4, Microsoft Surface RT. Donato Ferrante dari badan keamanan TI ReVuln mencoba memberikan gambaran tentang metode yang digunakan hacker di ajang hacker ShmooCon 2013, Washington, DC, AS. Metode awal dinamakan Fuzzing.

Baca Juga : Status Wa

Pada teknik pengujian software ini, tool menyediakan semua input data dari software atau aplikasi web, untuk melihat bagaimana input tersebut dioleh oleh software. Contohnya, apa yang dilakukan browser jika sebuah kode JavaScript dimasukkan dalam textbox URL dan bukan sebuah URL Menurut Ferrante, metode Fuzzing tergolong mudah dilakukan, tetapi celah keamanan (loophole) yang ditemukan dengan teknik ini biasanya langsung tersedia patch-nya sehingga kurang menarik. Metode kedua, Code Review, adalah pemeriksaan sistematis pada kode program yang sudah diketahui. Cotohnya, tool Open Source atau kode sumber (source code) yang bocor. Menurut Ferrante, metode ini memiliki tingkat kesulitan menengah untuk dilakukan tetapi bisa diandalkan dalam mencari celah keamanan.

Metode ketiga, Reverse Engineering software, ditempuh jika kode program tidak diketahui. Tujuan dari metode ini adalah melacak kembali tahapan pengembangan software untuk menemukan ada tidaknya celah atau eror pada software. Menurut Ferrante, meskipun metode ini sangat sulit dilakukan dan butuh biaya beasr, celah keamanan yang ditemukan seringkali tidak di-patch dalam jangka waktu yang lama. Hacker juga menggunakan metode ini untk melakukan security patch. “Mereka mencoba menemukan eror apa saja yang sudah diperbaiki sehingga mereka dapat menyerang software yang belum diperbaiki (di-install) dengan patch”, kata Sean Sullivan, peneliti keamanan dari F-Secure.

Mereka yang telah menggunakan metode ini untuk menemukan celah keamanan baru di software hanya membutuhkan satu tahapan lagi untuk meraih keuntungan. Pertanyaannya adalah siapa yang mau membeli atau membayar jasa mereka