Tautan-tautan Akses

Para Peretas Manfaatkan Kelemahan MS Word di Tengah-Tengah Berlarut-Larutnya Penyelidikan Microsoft


Pimpinan Perusahaan Windows dan Divisi WIndows Live, Steven Sinofsky mempresentasikan komputer tablet Surface di Los Angeles, California (18/6).
Pimpinan Perusahaan Windows dan Divisi WIndows Live, Steven Sinofsky mempresentasikan komputer tablet Surface di Los Angeles, California (18/6).

Kasus tentang celah keamanan yang secara resmi dikenal sebagai CVE-2017-0199 dapat menggambarkan bagaimana sulitnya melindungi komputer bahkan dari serangan peretas dengan kemampuan biasa-biasa saja.

Untuk memahami mengapa sulit sekali untuk melindungi komputer bahkan dari serangan peretas dengan kemampuan biasa-biasa saja, pertimbangkan kasus celah keamanan yang secara resmi dikenal sebagai CVE-2017-0199.

Kelemahan ini luarbiasa berbahaya namun dari jenis yang biasa: kelemahan dalam perangkat lunak Microsoft, yang memungkinkan peretas untuk mengendalikan komputer pribadi dengan hanya sedikit meninggalkan jejak, dan kelemahan ini baru diperbaiki tanggal 11 April dalam pembaharuan keamanan bulanan Microsoft.

Namun waktu sejak ditemukannya celah keamanan hingga diperbaikinya kelemahan tersebut harus melewati jalan terjal dan butuh waktu sembilan bulan, yang menurut para pakar siber adalah waktu yang terlalu lama.

Para peneliti keamanan di Google, contohnya, memberi waktu peringatan selama 90 hari kepada para vendor sebelum mempublikasikan keamanan yang mereka temukan.

Microsoft Corp. menolak berkomentar berapa lama biasanya yang mereka butuhkan untuk menutup celah keamanan.

Semantara Microsoft melakukan penyelidikan, para peretas telah menemukan kelemahan ini dan memanipulasi perangkat lunak untuk memata-matai seseorang di Rusia, atau kemungkinan juga di Ukraina.

Dan sekelompok pencuri memanfaatkannya untuk memperkuat usahanya untuk mencuri uang jutaan dari rekening bank online di Australia dan berbagai negara lain.

Kesimpulan dan rincian lain yang muncul dalam wawancara dengan para peneliti di perusahaan keamanan siber yang mempelajari peristiwa tersebut dan versi kode serangan yang telah dianalisa.

Microsoft menegaskan rentetan kejadian tersebut.

Kisahnya bermula bulan Juli lalu, ketika Ryan Hanson, seorang alumni Idaho State University tahun 2010 dan seorang konsultan pada perusahaan keamanan siber eklusif, Optiv Inc. di Boise, menemukan kelemahan ini dalam cara Microsoft Word memproses dokumen yang berasal dari format berbeda. Kelemahan ini memungkinkannya untuk menyisipkan tautan ke program jahat yang akan mengendalikan sebuah komputer.

Hanson menghabiskan waktu beberapa bulan untuk mengkombinasikan temuannya dengan kelemahan yang lain yang membuatnya bahkan lebih berbahaya, ujarnya lewat Twitter. Kemudian bulan Oktober ia memberitahu Microsoft perihal temuannya. Perusahaan tersebut acap kali memberi imbalan beberapa ribu dolar atas ditemukannya risiko keamanan.

Segera setelah diketahuinya risiko keamanan tersebut enam bulan lalu, Microsoft bisa jadi berkesempatan untuk memperbaiki masalahnya, sebagaimana pengakuan perusahaan tersebut. Namun hal tersebut tidak sesederhana itu. Perubahan sedikit dalam penyetelan di MS Word akan membantu para pelanggan untuk menangani permasalahan tersebut, namun apabila Microsoft memberitahu para pelanggan tentang kelemahan tersebut dan perbaikan yang direkomendasikan, berarti perusahaan itu juga akan memberitahu para peretas bagaimana caranya untuk meretas perangkat lunak tersebut.

Sebagai alternatifnya, Microsoft seharusnya bisa menciptakan program untuk menutup celah keamanan tersebut dan mendistribusikannya sebagai bagian pembaharuan bulanan untuk perangkat lunaknya.

Namun perusahaan tersebut tidak mendistribusikan segera program untuk menutup celah keamanan yang terjadi malahan melakukan penyelidikan lebih mendalam. Perusahaan tersebut tidak sadar bahwa setiap orang dapat menggunakan metode yang dilakukan oleh Hanson, dan perusahaan tersebut ingin memastikan bahwa mereka telah mendapatkan solusi yang komprehensif.

“Kami melakukan penyelidikan untuk mengetahui metode-metode dengan potensi serupa dan memastikan bahwa koreksi yagng kami lakukan menjawab lebih dari hanya persoalan yang dilaporkan,” ujar Microsoft melalui seorang jurubicaranya, yang menjawab pertanyaan melalui email tanpa menyebutkan namanya. “Ini adalah penyelidikan yang kompleks.”

Hanson menolak untuk diwawancara.

Kisah ini memperlihatkan seberapa cepat Microsoft merespon masalah-masalah keamanan, sama dengan industri perangkat lunak secara keseluruhan, tetap tidak konsisten di era dimana taruhannya berkembang secara dramatis. [ww]

XS
SM
MD
LG