Sama halnya seperti Dan Kaminsky saat mempublikasikan kelemahan kritis pada DNS, Robert dan Jack juga memilih memberi kesempatan pada vendor untuk memperbaiki kelemahan tersebut. Tapi ada satu perbedaan penting antara Dan Kaminsky dengan Robert dan Jack. Seperti menemukan harta karun, Dan Kaminsky sudah terlebih dahulu mengisolasi “harta karun” tersebut cara dengan mempublikasikannya setelah para vendor menyediakan security patch. Robert dan Jack“>Robert dan Jack sudah memberi tahu publik akan kemungkinan adanya “harta karun” disuatu tempat yang cukup spesifik. Menurut saya, akan ada empat akibat yang ditimbulkan:
Pertama, para peneliti celah keamanan, dengan berbagai motivasi baik atau buruk, termotivasi untuk beramai-ramai mencari “harta karun” tersebut dengan kemungkinan untuk ditemukan lebih besar dibanding saat Robert dan Jack belum menemukannya karena beberapa indikasi yang diberikan. Fuzer, alat bantu pencari kelemahan suatu sistem, akan kembali membuktikan kemampuannya. Saat ada peneliti lain yang menemukan dan mempublikasikan detailnya termasuk exploit code (kode pemrograman untuk menyerang kelemahan tersebut), maka kondisi universal critical 0-day tercipta. Hampir seluruh sistem komputer menjadi seperti bebek duduk yang siap ditembak mati kapan saja.
Kedua, para pembuat produk yang diberitahu oleh Robert dan Jack beramai-ramai tidak memberikan konfirmasi apapun hingga mereka mengeluarkan security patch untuk menutup kelemahan tersebut. Sehingga terjadi situasi yang tidak menentu seperti saat ini. Walaupun melihat reputasi Robert dan Jack, kemungkinan besar celah keamanan yang ditemukan benar adanya, namun tetap menjadi gosip hingga ada pembuat produk yang melakukan konfirmasi.
Ketiga, Salah satu tehnik pembuatan exploit code yang tercepat adalah melakukan reverse engineering dari security patch. Sehingga, kekompakan untuk mepublikasikan security patch antara satu vendor dengan vendor lainnya amatlah penting. Dan Kaminsky berhasil berkoordinasi dengan (hampir) semua vendor karena produk yang memiliki kelemahan DNS relatif sedikit dibanding dengan celah keamanan TCP DoS ini. Jika benar, Kelemahan ini berakibat pada seluruh ribuan jenis produk yang terhubung ke jaringan. Lalu, bagaimana mungkin seluruh pembuat produk kompak mempublikasikan security patch pada saat yang bersamaan? Menurut pendapat saya, jawaban yang jujur adalah tidak mungkin terjadi. Para pembuat produk saling berkompetisi menjadi yang terbaik. Semakin cepat sebuah vendor mengeluarkan security patch, posisi pasarnya akan semakin diuntungkan. Vendor yang belum mengeluarkan security patch saat exploit code dipublikasikan, namanya akan tercemar. Vendor mana yang akan menunggu vendor (competitor) lainnya?
Keempat, pasang security patch dan berdoa, berharap security patch yang dipasang tidak memiliki bug yang kemudian mengganggu fungsi jaringan. Bagi sistem administrator, memasang security patch memiliki risiko terutama pada sistem jaringan komputer yang relatif kompleks. Sehingga tidak mengherankan jika banyak sistem yang keamanannya tetap berlubang hingga berbulan-bulan sejak security patch disediakan pembuat produk.
Lalu apa yang harus kita lakukan saat ini? Tidak ada. Saat ini, kita seperti bebek duduk yang hanya bisa mengamati dan berharap segala sesuatu berlangsung dengan baik - security patch dipublikasikan para pembuat produk, tidak ada publicly exploit code, semua pihak memasang security patch dan tidak gangguan akibat instalasi tersebut.
Seberapa besar akibatnya pada Indonesia? Saya tidak tahu.
Akankah dunia maya akan kiamat? Saya yakin tidak akan! Mengapa? Karena para penjahat dunia maya juga butuh dunia maya. Kalau dunia maya sudah tidak ada, sama saja kehilangan jabatan :-)
Tidak ada komentar:
Posting Komentar