Pentingnya Kolaborasi dalam Program ”Bug Bounty” untuk Pengamanan Siber
Microsoft hadiahkan Rp 700 juta bagi peretas yang membobol sistemnya dan Intel akui setengah celah keamanan pada produknya berhasil ditemukan para peretas etis. Kolaborasi seperti program ”bug bounty” jadi kian penting.
Oleh
SATRIO PANGARSO WISANGGENI
·4 menit baca
JAKARTA, KOMPAS — Upaya pengamanan sistem komputer sebuah institusi tidak dapat hanya mengandalkan kemampuan internal. Kolaborasi melalui program bug bounty opsi yang mulai banyak dipilih sejumlah organisasi di seluruh dunia, dari perusahaan swasta hingga institusi pemerintah.
Contoh integral program bug bounty dalam keamanan siber ditunjukkan oleh perusahaan semikonduktor raksasa asal Amerika Serikat, Intel Corporation. Sekitar setengah dari total celah keamanan yang ada pada produk buatan perusahaan tersebut selama 2020 berhasil diidentifikasi oleh ethical hacker atau peretas etis.
Berdasarkan laporan 2020 Product Security Report Intel Security yang dipublikasikan pada Kamis (4/3/2021), dari 231 celah keamanan yang terdeteksi, sebanyak 105 (45 persen) ditemukan melalui program bug bounty atau kontes pencarian celah keamanan. Celah keamanan sisanya hampir semuanya ditemukan melalui riset internal Intel.
Antusiasme terhadap program bug bounty semacam ini pun terus meningkat. Disebutkan, Intel meyakini bahwa bekerja sama dengan peneliti keamanan siber di seluruh dunia adalah bagian krusial dalam upaya mitigasi munculnya celah keamanan.
Senior Director Security Communications and Incident Response Intel Jerry Bryant mengatakan, jumlah laporan temuan celah keamanan dari program ini meningkat 33 persen dibandingkan dengan tahun sebelumnya.
Pada prinsipnya, apa yang dilakukan Muthiyah sederhana, ia melakukan serangan brute-force atau mencoba satu per satu angka kombinasi untuk mendapatkan kode yang tepat.
Selain itu, dibandingkan 2019, terlihat pula peningkatan sebesar 62 persen jumlah peretas baru yang turut berpartisipasi dalam program ini.
”Sejak kami menyelenggarakan program bug bounty ini sejak 2018, kami telah menghadiahkan uang rata-rata 800.000 dollar AS per tahun (Rp 11,5 miliar). Untuk para peneliti keamanan, terima kasih atas partisipasinya,” kata Bryant.
Program bug bounty semacam ini sudah lumrah dilakukan oleh perusahaan teknologi dan mulai digunakan oleh instansi pemerintahan di seluruh dunia bersamaan dengan semakin eratnya penggunaan teknologi dalam kegiatan pemerintahan.
Pada Januari 2021, Departemen Angkatan Darat Amerika Serikat menggelar program bug bounty untuk ketiga kalinya bersama dengan platform perantara bug bounty Hackerone.
Dalam program yang diberi nama ”Hack the Army 3.0”, para peretas diberi waktu sejak 6 Januari sampai dengan 17 Februari untuk menemukan celah keamanan pada sistem komputer matra darat militer AS tersebut.
”Dengan mengurundayakan (crowdsourcing) solusi dari peretas sipil dan militer terbaik dunia, kami dapat melengkapi sistem keamanan kami dan sekaligus mengidentifikasi celah-celah keamanan yang ada,” ujar Direktur Operasi Komando Siber Angkatan Darat AS Brigadir Jendereal Adam C Volant melalui keterangan resminya.
Perusahaan teknologi Microsoft pun baru saja memberikan hadiah kepada peretas asal India atas keberhasilannya menemukan celah keamanan pada akun Microsoft. Awal pekan ini, Selasa (2/3/2021), seorang pakar keamanan siber asal India, Laxman Muthiyah, mendapatkan hadiah sebesar 50.000 dollar AS atau sekitar Rp 717,8 juta dari perusahaan raksasa teknologi tersebut.
Muthiyah berhasil memanipulasi mekanisme forgot password atau ”lupa kata sandi” dalam laman log in akun Microsoft. Dalam sistem milik Microsoft tersebut, apabila lupa kata sandi untuk akunnya, pengguna diminta untuk memasukkan alamat surel cadangan yang dimaksud. Lalu, Microsoft akan mengirimkan kode keamanan ke surel tersebut yang dapat menjadi kunci akses terhadap akun Microsoft yang ingin diakses semula.
Kode keamanan tersebut terdiri atas tujuh digit, yang artinya ada 10 juta kombinasi angka. Pada prinsipnya, apa yang dilakukan Muthiyah sederhana, ia melakukan serangan brute-force atau mencoba satu per satu angka kombinasi untuk mendapatkan kode yang tepat.
Namun, serangan brute-force semacam ini tidak akan bisa dilakukan tanpa keberhasilan Muthiyah untuk menemukan celah keamanan yang memungkinkan seorang peretas dapat mencoba ribuan kombinasi tanpa terkena batasan percobaan.
Bahkan, dengan metode yang mirip, ia juga bisa mengalahkan lapisan keamanan kedua yang disebut dengan 2FA atau two-factor authentication yang terdiri atas barisan 6 digit angka (1 juta kombinasi).
”Jadi, pada dasarnya, seorang peretas harus mengirimkan seluruh kombinasi potensial untuk kode keamanan yang terdiri dari 6 dan 7 digit, yakni sekitar 11 juta request. Namun, ini tidak mudah, hal ini membutuhkan kekuatan komputer yang besar dan ribuan alamat IP untuk melakukan serangan ini,” tutur Muthiyah dalam blognya.
Isi surel yang dikirim oleh Microsoft kepada Laxman Muthiyah pada akhir 2020 memberitahukan bahwa celah keamanan yang ditemukannya tergolong penting dan peretas asal Chennai, India, tersebut akan diberi hadiah sebesar 50.000 dollar AS.
Beberapa saat setelah Muthiyah memberitahukan persoalan ini kepada Microsoft, pada 30 November 2020, temuannya pun diakui Microsoft. Celah keamanan itu pun telah ditutup. Uang sebesar 50.000 dollar AS tersebut pun dikirimkan pada 9 Februari 2021 dan Muthiyah diizinkan untuk membuka temuannya kepada publik sekitar satu bulan kemudian.
Sebelumnya, pada pertengahan 2019, Muthiyah juga berhasil menembus sistem keamanan akun Instagram. Karena itu, ia mendapat hadiah sebesar 30.000 dollar AS atau sekitar Rp 430 juta.