Apa itu Kerentanan Perangkat Lunak, dan Mengapa Ada Begitu Banyak Kerentanan?

Serangan ransomware WannaCry baru-baru ini menyebar seperti api. Memanfaatkan kelemahan dalam sistem operasi Windows untuk mengendalikan ratusan ribu komputer di seluruh dunia. Namun, sebenarnya apa artinya itu?

Ada baiknya untuk menganggap peretas sebagai pencuri dan perangkat lunak berbahaya sebagai alat perampok mereka. Setelah meneliti kejahatan dunia maya dan penggunaan teknologi di antara populasi kriminal selama lebih dari satu dekade. Saya tahu bahwa kedua jenis penjahat itu ingin mencari cara ke tempat yang aman. Komputer dan jaringan, serta rumah dan bisnis. Mereka memiliki berbagai opsi untuk masuk.

Beberapa pencuri mungkin memilih untuk hanya mendobrak jendela atau pintu dengan linggis. Sementara yang lain mungkin lebih sembunyi-sembunyi dan mencoba untuk mengambil kunci atau menyelinap di pintu yang dibiarkan terbuka. Peretas beroperasi dengan cara yang sama. Meskipun mereka memiliki lebih banyak titik masuk potensial daripada pencuri, yang biasanya bergantung pada jendela atau pintu.

Kelemahan yang dimanfaatkan peretas bukanlah kaca jendela yang rusak atau engsel yang berkarat. Sebaliknya, mereka adalah kekurangan dalam program perangkat lunak yang berjalan di komputer. Program ditulis oleh manusia, dan pada dasarnya tidak sempurna. Tidak ada yang menulis perangkat lunak yang sepenuhnya bebas dari kesalahan yang menciptakan celah bagi penyerang potensial.

Apa Sebenarnya Kekurangan Ini?

Sederhananya, kerentanan bisa menjadi kesalahan dalam cara manajemen pengguna terjadi dalam sistem. Kesalahan dalam kode atau cacat dalam menanggapi permintaan tertentu. Satu kerentanan umum memungkinkan serangan yang disebut injeksi SQL. Ini berfungsi di situs web yang meminta database, seperti untuk mencari kata kunci. Penyerang membuat kueri yang berisi kode sendiri dalam bahasa pemrograman database yang disebut SQL.

Jika situs tidak dilindungi dengan benar, fungsi pencariannya akan menjalankan perintah SQL. Yang memungkinkan penyerang mengakses database dan berpotensi mengontrol situs web.

Begitu pula banyak orang menggunakan program yang didukung oleh bahasa pemrograman Java, seperti Adobe Flash Player, dan berbagai aplikasi Android. Ada banyak kerentanan di platform Java, yang semuanya dapat dieksploitasi dengan cara yang berbeda. Namun, paling umum dengan meminta individu untuk mengunduh “plug-in” atau “codec” ke perangkat lunak. Plug-in ini sebenarnya berisi kode berbahaya yang akan memanfaatkan kerentanan dan membahayakan mesin.

Cacat Ada di Mana-mana

Kerentanan ada di semua jenis perangkat lunak. Beberapa versi sistem operasi Microsoft Windows terbuka untuk serangan WannaCry. Misalnya, peramban web sumber terbuka populer Firefox memiliki lebih dari 100 kerentanan yang diidentifikasi dalam kodenya setiap tahun sejak 2009. Lima belas kerentanan berbeda telah diidentifikasi dalam varian peramban Microsoft Internet Explorer sejak awal 2017.

Pengembangan perangkat lunak bukanlah proses yang sempurna. Pemrogram sering kali mengerjakan jadwal yang ditetapkan oleh tim manajemen yang berupaya menetapkan tujuan yang masuk akal. Meskipun dapat menjadi tantangan untuk memenuhi tenggat waktu tersebut. Akibatnya, pengembang melakukan yang terbaik untuk merancang produk yang aman seiring perkembangannya. Namun, mungkin tidak dapat mengidentifikasi semua kekurangan sebelum tanggal rilis yang diantisipasi. Penundaan mungkin mahal. Banyak perusahaan akan merilis versi awal suatu produk dan kemudian, ketika mereka menemukan masalah. (Atau mendapatkan laporan dari pengguna atau peneliti), memperbaikinya dengan merilis pembaruan keamanan. Terkadang disebut tambalan karena menutupi lubang.

Namun, perusahaan perangkat lunak tidak dapat mendukung produk mereka selamanya untuk tetap menjalankan bisnis. Mereka harus terus menyempurnakan program dan menjual salinan versi yang diperbarui. Jadi setelah beberapa waktu berlalu, mereka berhenti mengeluarkan patch untuk program yang lebih lama.

Namun, tidak setiap pelanggan membeli perangkat lunak terbaru. Begitu banyak pengguna yang masih menjalankan program lama yang mungkin memiliki kekurangan yang belum ditambal. Itu memberi kesempatan kepada penyerang untuk menemukan kelemahan pada perangkat lunak lama. Meskipun versi yang lebih baru tidak memiliki kekurangan yang sama.

Memanfaatkan Kelemahan

Setelah penyerang mengidentifikasi kerentanan. Dia dapat menulis program komputer baru yang menggunakan kesempatan itu untuk masuk ke mesin dan mengambil alihnya. Dalam hal ini, exploit mirip dengan cara pencuri menggunakan alat seperti linggis. Lock pick atau cara lain untuk masuk ke lokasi fisik.

Mereka menemukan titik lemah dalam pertahanan sistem, mungkin koneksi jaringan yang belum diamankan dengan baik. Jika penyerang bisa mendapatkan kontak dengan komputer target, mereka bisa belajar tentang sistem macam apa itu. Itu memungkinkan mereka mengidentifikasi pendekatan tertentu mengakses file tertentu atau menjalankan program tertentu. Yang dapat memberi mereka kendali yang lebih besar atas mesin dan datanya. Dalam beberapa tahun terakhir, penyerang mulai menargetkan browser web, yang diizinkan untuk terhubung ke internet dan sering menjalankan program kecil; mereka memiliki banyak kerentanan yang dapat dieksploitasi. Bukaan awal tersebut dapat memberikan kendali penyerang atas komputer target. Yang pada gilirannya dapat digunakan sebagai titik gangguan ke jaringan sensitif yang lebih besar.

Terkadang kerentanan ditemukan oleh pengembang perangkat lunak itu sendiri, atau pengguna atau peneliti yang memberi tahu perusahaan bahwa diperlukan perbaikan. Namun, di lain waktu, peretas atau agen mata-mata pemerintah mencari cara untuk membobol sistem dan tidak memberi tahu perusahaan. Kelemahan ini disebut “zero days”, karena pengembang tidak punya waktu untuk memperbaikinya. Akibatnya, perangkat lunak atau perangkat keras telah disusupi hingga tambalan atau perbaikan dapat dibuat dan didistribusikan kepada pengguna.

Cara terbaik bagi pengguna untuk melindungi diri mereka sendiri adalah dengan menginstal pembaruan perangkat lunak secara teratur. Segera setelah pembaruan tersedia.

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *