Para pengembang browser mengklaim kalau mereka selalu menanggapi laporan mengenai celah keamanan pada browser dengan cepat dan membanggakan kemampuan mereka untuk memperbaikinya. Keamanan menjadi suatu faktor penting bagi semakin pengguna browser yang semakin hari semakin banyak menggunakan browser untuk melakukan kegiatan penting seperti e-banking, namun juga sangat sulit dinilai sebaik apa tingkat keamanan suatu browser. Kebanyakan pengembang hari ini hanya menampilkan benchmark yang menampilkan kelengkapan fitur dan seberapa cepat kemampuan browser dalam membuka situs dan mengolah kode Javascript.
Banyak celah keamanan tidak akan ditemukan tanpa melakukan pengujian secara menyeluruh dan kita juga tidak tahu banyak tentang celah keamanan yang terdapat pada browser yang sekarang ini kita pakai. Bagaimana jika lubang tersebut berhasil ditemukan dan dimanfaatkan oleh orang yang tidak bertanggung jawab? Untuk itu diadakanlah kompetisi Pwn2Own salah satu acara di konferensi keamanan tingkat dunia, CanSecWest 2009 di , British Columbia, Kanada.
Tentang Pwn2Own
Sebuah kompetisi tahunan yang ketiga kalinya dan berlangsung selama tiga hari (18-20 Maret 2009). Kompetisi ini mempertemukan para ahli dan antusias dari berbagai komunitas keamanan di mana mereka saling berlomba untuk mendemonstrasikan kemampuan masing-masing dalam menemukan dan membobol web browser dan juga perangkat mobile.
Web browser yang diikutkan dalam perlombaan ini adalah Firefox, Internet Explorer, Safari dan Chrome yang semuanya sudah mendapatkan versi stabil dan update terakhir. Semua browser ini dioperasikan di laptop Vaio P dengan sistem operasi Windows 7 dan Macbook dengan Mac OS X.
Peserta pertama yang berhasil membobol keamanan dari salah satu browser akan berhak memiliki laptop yang dibobol secara cuma-cuma dan ditambah pula dengan uang dari TippingPoint sebagai sponsor acara sebesar $5,000 USD untuk tiap bug yang ditemukan.
Jalannya Lomba
Di hari pertama perlombaan ini Charlie Miller menjadi orang pertama yang berhasil membobol kelemahan browser dan mengambil alih kontrol. Korbannya adalah Safari di Mac OS X dan dia berhasil melakukannya hanya dalam waktu 10 detik!
"Mereka klik link-nya dan saya mengambil alih kontrol dari sistem," kata Miller yang juga memenangkan perlombaan yang sama tahun lalu dengan catatan waktu 2 menit. Peserta lainnya, Nils juga tampil mengagumkan dengan sedikit tweak berhasil mengelabuhi browser IE8 dan berbagai teknologi keamanan terakhir yang didesain Microsoft- DEP (Data Execution Prevention) seperti halnya ASLR (Address Space Layout Randomization). Beberapa anggora dari tim sekuriti Microsoft juga hadir untuk menyaksikan proses pembobolan ini.
Tidak sampai di situ saja, Nils juga berhasil membobol Safari untuk yang kedua kalinya dengan teknik eksploitasi yang berbeda dari Miller. Hari pertama seperti sudah akan berakhir, tetapi Nils mendaftarkan diri untuk mencoba melewati tantangan browser dari Mozilla. Entah bagaimana caranya dia berhasil menemukan celah keamanan yang belum banyak diketahui orang dan akhirnya Firefox menjadi korban ketiga Nils. Anda bisa hitung sendiri berapa uang yang didapatkan peneliti keamanan yang masih muda ini dan belum ditambah laptop yang bisa dia bawa pulang di hari pertama.
Chrome Tetap Berdiri Tegak
Chrome, browser yang baru diikut sertakan dalam perlombaan ini di hari pertama tidak sempat dicoba untuk dibobol dan di hari kedua malah tidak ada satu pun peserta yang berhasil, walaupun peraturan mengenai tata cara penggunaan teknik yang diperbolehkan di hari kedua ini tidak seketat di hari pertama (tanpa plugin, seperti Flash, Java, .net, quicktime, dll), begitu pun di hari ketiga yang menjadi hari terakhir dan penutup kompetisi ini.
Chrome bukannya tidak memiliki bug sama sekali, Miller mengatakan kalau dia telah menemukan lubang keamanan di browser milik Google tersebut, tapi dia tidak dapat melakukan eksploitasi karena fitur sandboxing dan beberapa fitur pengamanan Chrome terbukti merupakan dinding pertahanan yang sangat tangguh. Eksploitasi belum dapat dimungkinkan menggunakan teknik yang ada saat ini.
Mobile Platform Masih Aman
Hal menarik dari hasil kompetisi ini selain ketangguhan Chrome adalah para peserta kesulitan untuk mencoba membobol keamanan dari perangkat mobile yang diperlombakan seperti Blackberry, G1 (Android), iPhone, Nokia (Symbian) dan HTC Touch (Windows Mobile). Sampai hari terakhir tidak ada yang sanggup mendemonstrasikan usaha pencurian data dari perangkat-perangkat tersebut. Padahal orang pertama yang berhasil membobolnya maka perangkat tersebut boleh dibawa pulang ditambah gratis kontrak satu tahun dari operator dan uang $10,000 USD per bug-nya, lebih besar dari nilai untuk bug di browser.
Lalu apa yang menyebabkan lingkungan dari sistem operasi mobile sulit ditembus? Blog TippingPoint disebutkan kalau lingkungan perangkat mobile memiliki keterbatasan pada memori dan kekuatan prosesor. Celah keamanan pasti ada, hanya saja dikarenakan dua keterbatasan tersebut membuat kegiatan eksploitasi menjadi sangat sulit dan tidak dapat diprediksi.
Faktor lainnya adalah pabrik pembuat perangkat keras yang lebih bervariasi dan jenis jaringan yang digunakan. Kemungkinan pada acara yang sama tahun depan komunitas akan lebih siap untuk membobol perangkat mobile dan menciptakan teknik pembobolan generasi terbaru khusus perangkat mobile, Micro Exploits.
Fakta menarik lain yang dihasilkan dari kegiatan ini adalah adanya lubang keamanan serius di IE yang sudah lama tidak mendapatkan patch, namanya Token Kidnapping yang sudah dilaporkan ke Microsoft sejak setahun yang lalu oleh para ahli keamanan.
Pemenang kontes pertama, yaitu Miller mengatakan kepada ZDNet bahwa ia "tidak akan memberikan bug secara gratis. Bahkan saya mempunyai kampanye baru. Namanya TIDAK ADA LAGI BUG GRATIS. Celah keamanan memiliki bernilai tinggi, jadi sangat aneh jika bekerja keras untuk menemukan bug, menuliskan cara eksploitasinya kemudian dilepaskan begitu saja."
Celah keamanan yang ditemukan Miller di Safari sebenarnya sudah ia temukan setahun lalu dan dipersiapkan dengan matang untuk diperlombakan pada tahun ini. Dia juga sebelum perlombaan sudah meramalkan kalau browser Safari akan menjadi browser yang paling rentan dibobol. Menurut Miller browser di Windows lebih sulit karena kehadiran fitur ASLR dan fitur pengamanan lainnya.
Apakah Anda khawatir bug Miller akan langsung dimanfaatkan oleh para penjahat dunia maya untuk membobol browser Anda? Jangan terburu takut dulu, para pemenang kontes tersebut telah diminta untuk menandatangani perjanjian umum ZDI (Zero Day Initiative) untuk tidak mempublikasikan temuan bug mereka dan melaporkan bug tersebut ke masing-masing pengembang browser. Informasi teknis mengenai kelemahan yang ditemukan tidak akan dibeberkan sampai pihak pengembang selesai membuat patch-nya.
Pesan penting yang bisa kita dapatkan dari kegiatan ini adalah apapun browser yang Anda pakai, selalu saja ada seseorang di luar sana yang bekerja keras untuk mencari celah keamanan dan mengambil keuntungan pribadi darinya, termasuk untuk memenangi hadiah menggiurkan yang disediakan panitia kompetisi Pwn2Own.
Memang penyakit selalu datang lebih awal dibandingkan obatnya, tapi jangan dipermudah infeksinya dengan tidak pernah melakukan update aplikasi sama sekali. Selain antivirus aplikasi lain yang tidak berhubungan dengan masalah keamanan juga penting untuk Anda pantau perkembangan update terbarunya dan lakukan perbaruan secara berkala.
More about “Chrome Adalah Dinding Browser Tangguh” »»
