Para pengembang browser mengklaim kalau mereka selalu menanggapi laporan mengenai celah keamanan pada browser dengan cepat dan membanggakan kemampuan mereka untuk memperbaikinya.
Keamanan menjadi suatu faktor penting bagi semakin pengguna browser yang semakin hari semakin banyak menggunakan browser untuk melakukan kegiatan penting seperti e-banking, namun juga sangat sulit dinilai sebaik apa tingkat keamanan suatu browser. Kebanyakan pengembang hari ini hanya menampilkan benchmark yang menampilkan kelengkapan fitur dan seberapa cepat kemampuan browser dalam membuka situs dan mengolah kode Javascript.
Banyak celah keamanan tidak akan ditemukan tanpa melakukan pengujian secara menyeluruh dan kita juga tidak tahu banyak tentang celah keamanan yang terdapat pada browser yang sekarang ini kita pakai. Bagaimana jika lubang tersebut berhasil ditemukan dan dimanfaatkan oleh orang yang tidak bertanggung jawab? Untuk itu diadakanlah kompetisi Pwn2Own salah satu acara di konferensi keamanan tingkat dunia, CanSecWest 2009 di , British Columbia, Kanada.
Tentang Pwn2Own
Sebuah kompetisi tahunan yang ketiga kalinya dan berlangsung selama tiga hari (18-20 Maret 2009). Kompetisi ini mempertemukan para ahli dan antusias dari berbagai komunitas keamanan di mana mereka saling berlomba untuk mendemonstrasikan kemampuan masing-masing dalam menemukan dan membobol web browser dan juga perangkat mobile.
Web browser yang diikutkan dalam perlombaan ini adalah Firefox, Internet Explorer, Safari dan Chrome yang semuanya sudah mendapatkan versi stabil dan update terakhir. Semua browser ini dioperasikan di laptop Vaio P dengan sistem operasi Windows 7 dan Macbook dengan Mac OS X.
Mobile Platform Masih Aman
Hal menarik dari hasil kompetisi ini selain ketangguhan Chrome adalah para peserta kesulitan untuk mencoba membobol keamanan dari perangkat mobile yang diperlombakan seperti Blackberry, G1 (Android), iPhone, Nokia (Symbian) dan HTC Touch (Windows Mobile). Sampai hari terakhir tidak ada yang sanggup mendemonstrasikan usaha pencurian data dari perangkat-perangkat tersebut. Padahal orang pertama yang berhasil membobolnya maka perangkat tersebut boleh dibawa pulang ditambah gratis kontrak satu tahun dari operator dan uang $10,000 USD per bug-nya, lebih besar dari nilai untuk bug di browser.
Lalu apa yang menyebabkan lingkungan dari sistem operasi mobile sulit ditembus? Blog TippingPoint disebutkan kalau lingkungan perangkat mobile memiliki keterbatasan pada memori dan kekuatan prosesor. Celah keamanan pasti ada, hanya saja dikarenakan dua keterbatasan tersebut membuat kegiatan eksploitasi menjadi sangat sulit dan tidak dapat diprediksi.
Faktor lainnya adalah pabrik pembuat perangkat keras yang lebih bervariasi dan jenis jaringan yang digunakan. Kemungkinan pada acara yang sama tahun depan komunitas akan lebih siap untuk membobol perangkat mobile dan menciptakan teknik pembobolan generasi terbaru khusus perangkat mobile, Micro Exploits.
Fakta menarik lain yang dihasilkan dari kegiatan ini adalah adanya lubang keamanan serius di IE yang sudah lama tidak mendapatkan patch, namanya Token Kidnapping yang sudah dilaporkan ke Microsoft sejak setahun yang lalu oleh para ahli keamanan.
Pemenang kontes pertama, yaitu Miller mengatakan kepada ZDNet bahwa ia “tidak akan memberikan bug secara gratis. Bahkan saya mempunyai kampanye baru. Namanya TIDAK ADA LAGI BUG GRATIS. Celah keamanan memiliki bernilai tinggi, jadi sangat aneh jika bekerja keras untuk menemukan bug, menuliskan cara eksploitasinya kemudian dilepaskan begitu saja.”
Celah keamanan yang ditemukan Miller di Safari sebenarnya sudah ia temukan setahun lalu dan dipersiapkan dengan matang untuk diperlombakan pada tahun ini. Dia juga sebelum perlombaan sudah meramalkan kalau browser Safari akan menjadi browser yang paling rentan dibobol. Menurut Miller browser di Windows lebih sulit karena kehadiran fitur ASLR dan fitur pengamanan lainnya.
Apakah Anda khawatir bug Miller akan langsung dimanfaatkan oleh para penjahat dunia maya untuk membobol browser Anda? Jangan terburu takut dulu, para pemenang kontes tersebut telah diminta untuk menandatangani perjanjian umum ZDI (Zero Day Initiative) untuk tidak mempublikasikan temuan bug mereka dan melaporkan bug tersebut ke masing-masing pengembang browser. Informasi teknis mengenai kelemahan yang ditemukan tidak akan dibeberkan sampai pihak pengembang selesai membuat patch-nya.
Pesan penting yang bisa kita dapatkan dari kegiatan ini adalah apapun browser yang Anda pakai, selalu saja ada seseorang di luar sana yang bekerja keras untuk mencari celah keamanan dan mengambil keuntungan pribadi darinya, termasuk untuk memenangi hadiah menggiurkan yang disediakan panitia kompetisi Pwn2Own.
Memang penyakit selalu datang lebih awal dibandingkan obatnya, tapi jangan dipermudah infeksinya dengan tidak pernah melakukan update aplikasi sama sekali. Selain antivirus aplikasi lain yang tidak berhubungan dengan masalah keamanan juga penting untuk Anda pantau perkembangan update terbarunya dan lakukan perbaruan secara berkala.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar