Transparansi mengenai celah keamanan dan mekanisme ”bug bounty” diyakini akan meningkatkan keamanan platform digital. Kerja sama dengan publik justru akan meningkatkan keamanan siber bagi pengguna platform digital.
Transparansi dan kolaborasi antara pemilik platform digital dan masyarakat dinilai menjadi cara terbaik untuk meningkatkan keamanan siber. Pemilik platform dapat dengan lincah merespons segala kemungkinan yang dapat merugikan penggunanya.
Jumat (4/9/2020) pagi pengelola platform percakapan instan Whatsapp mengumumkan akan menyediakan satu laman khusus yang akan menyebutkan dengan lengkap seluruh celah keamanan yang telah ditemukan dan diperbaiki (patched).
ADVERTISEMENT
SCROLL TO RESUME CONTENT
Dalam laman ini, Whatsapp akan menampilkan seluruh rekaman celah keamanan yang telah ditemukan sejak 2018. Bersamaan dengan peluncuran laman khusus ini, Whatsapp juga merilis enam celah keamanan yang baru saja ditemukan. Salah satunya, dengan kode CVE-2020-1894, dapat dieksploitasi untuk mengirimkan kode berbahaya dan menjalankannya secara jarak jauh.
Dengan pemaparan setiap celah keamanan ini, Whatsapp berharap penggunanya semakin sadar dan memahami betapa pentingnya untuk memperbarui aplikasi Whatsapp dan sistem operasi ponsel sesegera mungkin. ”Begitu ada update yang tersedia, maka segeralah perbarui,” tulis Whatsapp dalam keterangan resminya.
Whatsapp digunakan oleh lebih dari 2 miliar pengguna global. Fakta bahwa Whatsapp adalah salah satu aplikasi paling populer di seluruh dunia juga mendorong peretas untuk terus berusaha mencari celah keamanan dalam platform tersebut.
WHATSAPP—Salah satu celah keamanan yang diumumkan Whatsapp pada Jumat (4/9/2020) bersamaan dengan peluncuran laman khusus daftar celah keamanan. Celah keamanan dengan kode CVE-2020-1894 ini disebut memungkinkan pelaku untuk menjalankan program berbahaya dari jarak jauh (remote execution).
Tahun lalu, setelah menemukan sebuah celah keamanan dan memperbaikinya, Whatsapp menggugat perusahaan keamanan siber NSO Group. Perusahaan asal Israel tersebut diduga memanfaatkan celah keamanan tersebut sebagai metode untuk menginfeksi ponsel target dengan aplikasi penyadap (spyware) canggihnya yang bernama Pegasus.
Dalam gugatannya tersebut, disebut bahwa Pegasus telah menginfeksi lebih dari 1.400 ponsel. Whatsapp mengatakan, lebih dari 100 aktivis HAM dan jurnalis menjadi korban atas serangan Pegasus.
Hingga kini, proses pengadilan masih berjalan. NSO Group telah membantah bahwa pihaknya melakukan serangan tersebut; pihaknya hanya menjual program tersebut kepada instansi intelijen pemerintah untuk menjaga keamanan negara dari serangan terorisme maupun kriminal.
KOMPAS/SATRIO PANGARSO WISANGGENI–Fungsi Pegasus dan data yang bisa diekstrak oleh aplikasi penyadap tersebut, berdasarkan dokumen yang diduga milik NSO Group.
Peneliti dari lembaga riset Citizen Lab, John Scott-Railton, mengapresiasi langkah Whatsapp untuk memublikasikan celah keamanan. Menurut dia, Whatsapp memberikan sinyal bahwa pihak mereka akan lebih rutin dalam mencari celah keamanan dan memperbaikinya.
”Dengan demikian, akan semakin sulit bagi para bad actors untuk melakukan peretasan,” ujarnya. Scott-Railton adalah salah satu peneliti Citizen Lab yang menemukan bukti-bukti bahwa Pegasus menyerang sejumlah aktivis HAM dan jurnalis.
Langkah ini adalah salah satu upaya terbaru dari Facebook—perusahaan induk Whatsapp—untuk meningkatkan transparansi dan komitmennya terhadap keamanan siber penggunanya.
Selain menggunakan reviewer internal untuk memeriksa setiap kode yang ditulis, Facebook mengatakan, peneliti eksternal—sebutan untuk peretas etis (ethical hacker)—juga dilibatkan untuk menjaga keamanan platform media sosial terbesar dunia itu. Mekanisme pelibatannya adalah menggunakan sistem bounty hunter, siapa yang menemukan celah keamanan akan diberi hadiah.
AFP/GETTY IMAGES NORTH AMERICA/JUSTIN SULLIVAN—Logo Facebook berikut aplikasi lain yang menjadi bagian Facebook, seperti Instagram dan Whatsapp.
Facebook menyebutkan bahwa besaran minimal untuk hadiah bagi mereka yang menemukan celah keamanan adalah 500 dollar AS atau sekitar Rp 7,4 juta. Namun, apabila ternyata celah keamanannya tergolong memiliki risiko rendah, temuan tersebut dapat dinyatakan tidak berkualifikasi untuk mendapat hadiah.
Pada umumnya, Facebook hanya memberikan hadiah bounty kepada mereka yang menemukan celah keamanan setidaknya berpengaruh untuk 200.000 pengguna media sosial ini. Praktik manipulasi psikologis seperti spam maupun phishing juga tidak memenuhi syarat untuk mendapatkan hadiah.
Google
Raksasa teknologi AS lainnya, Google, pada awal pekan ini juga mengambil langkah untuk meningkatkan keterlibatan masyarakat dalam upaya keamanan sibernya.
Pada Selasa (1/8/2020), Google mengumumkan akan meningkatkan besaran hadiah bounty untuk setiap temuan penyalahgunaan fitur (product abuse risk).
GOOGLE–Besaran hadiah yang dapat diberikan kepada peretas etis (ethical hacker) oleh Google.
Sebelumnya, besaran hadiah bounty untuk temuan product abuse risk berisiko tinggi adalah 5.000 dollar AS. Namun, kini angka tersebut ditingkatkan 166 persen menjadi 13.337 dollar AS atau sekitar Rp 197 juta.
”Teknologi selalu berkembang, pelaku-pelaku kejahatannya pun terus berkembang. Di tengah kondisi yang sangat dinamis ini, kami tertarik dengan temuan-temuan yang dapat melindungi privasi pengguna hingga mencegah penipuan finansial,” kata Marc Henson, Lead and Program Manager Trust and Safety Google.
Abuse risk berbeda dengan celah keamanan. Misalnya, kemampuan untuk mengunggah daftar kontak ke aplikasi sosial media untuk melihat teman yang sudah menggunakan aplikasi tersebut adalah sebuah fitur.
Namun, jika tidak ada kuota yang membatasi, seorang pelaku kejahatan dapat menggunakannya untuk mengunggah sejumlah besar kontak untuk membangun sebuah basis data berisi pengguna aplikasi tersebut yang dapat dijadikan target spam, misalnya.
Oleh SATRIO PANGARSO WISANGGENI
Editor: KHAERUDIN KHAERUDIN
Sumber: Kompas, 4 September 2020
