BOSTON — Ahli keamanan mengatakan ini adalah salah satu kerentanan komputer terburuk yang pernah mereka lihat. Mereka mengatakan peretas China dan Iran yang didukung negara dan penambang cryptocurrency nakal telah memanfaatkannya.
Departemen Keamanan Dalam Negeri AS membunyikan alarm yang mengerikan, memerintahkan agen federal untuk segera menghilangkan bug karena sangat mudah dieksploitasi — dan memberi tahu mereka yang memiliki jaringan yang menghadap publik untuk memasang firewall jika mereka tidak yakin. Perangkat lunak yang terpengaruh berukuran kecil dan sering tidak berdokumen.
Terdeteksi dalam utilitas yang digunakan secara ekstensif yang disebut Log4j, kelemahan ini memungkinkan penyerang berbasis internet dengan mudah menguasai segalanya mulai dari sistem kontrol industri hingga server web dan elektronik konsumen. Cukup mengidentifikasi sistem mana yang menggunakan utilitas merupakan tantangan yang luar biasa; itu sering tersembunyi di bawah lapisan perangkat lunak lain.
Pejabat tinggi pertahanan keamanan siber AS, Jen Easterly, menganggap cacat itu “salah satu yang paling serius yang pernah saya lihat sepanjang karier saya, jika bukan yang paling serius” dalam panggilan telepon Senin dengan pejabat negara bagian dan lokal serta mitra di sektor swasta. Diungkapkan kepada publik Kamis lalu, ini sangat cocok untuk penjahat dunia maya dan mata-mata digital karena memungkinkan entri yang mudah dan bebas kata sandi.
Cybersecurity and Infrastructure Security Agency, atau CISA, yang dijalankan oleh Easterly, membuka halaman sumber daya pada hari Selasa untuk membantu menghapus cacat yang dikatakan ada di ratusan juta perangkat. Negara-negara lain yang sangat terkomputerisasi menganggapnya sama seriusnya, dengan Jerman mengaktifkan pusat krisis TI nasionalnya.
Sejumlah besar industri penting, termasuk tenaga listrik, air, makanan dan minuman, manufaktur dan transportasi, terungkap, kata Dragos, perusahaan keamanan siber kontrol industri terkemuka. “Saya pikir kita tidak akan melihat satu pun vendor perangkat lunak besar di dunia — setidaknya di sisi industri — tidak memiliki masalah dengan ini,” kata Sergio Caltagirone, wakil presiden intelijen ancaman perusahaan.
Eric Goldstein, yang mengepalai divisi keamanan siber CISA, mengatakan Washington memimpin respons global. Dia mengatakan tidak ada agen federal yang diketahui telah dikompromikan. Tapi ini adalah hari-hari awal.
“Apa yang kita miliki di sini adalah kerentanan yang sangat luas, mudah dieksploitasi, dan berpotensi sangat merusak yang tentu saja dapat dimanfaatkan oleh musuh untuk menyebabkan kerugian nyata,” katanya.
KODE KECIL, DUNIA MASALAH
Perangkat lunak yang terpengaruh, yang ditulis dalam bahasa pemrograman Java, mencatat aktivitas pengguna di komputer. Dikembangkan dan dikelola oleh segelintir sukarelawan di bawah naungan Open-source Apache Software Foundation, ini sangat populer di kalangan pengembang perangkat lunak komersial. Ini berjalan di banyak platform – Windows, Linux, macOS Apple – mendukung semuanya mulai dari web cam hingga sistem navigasi mobil dan perangkat medis, menurut perusahaan keamanan Bitdefender.
Goldstein mengatakan kepada wartawan dalam panggilan konferensi Selasa malam bahwa CISA akan memperbarui inventaris perangkat lunak yang ditambal saat perbaikan tersedia. Log4j sering disematkan dalam program pihak ketiga yang perlu diperbarui oleh pemiliknya. “Kami berharap perbaikan akan memakan waktu,” katanya.
Apache Software Foundation mengatakan, raksasa teknologi China, Alibaba, memberi tahu mereka tentang kekurangan tersebut pada 24 November. Butuh dua minggu untuk mengembangkan dan merilis perbaikan.
Selain menambal untuk memperbaiki kekurangannya, ahli keamanan komputer memiliki tantangan yang lebih menakutkan: mencoba mendeteksi apakah kerentanan telah dieksploitasi — apakah jaringan atau perangkat diretas. Itu berarti pemantauan aktif selama berminggu-minggu. Akhir pekan yang panik mencoba mengidentifikasi — dan membanting pintu — pintu terbuka sebelum para peretas mengeksploitasinya sekarang beralih ke maraton.
BERTIDUR SEBELUM BADAI
“Banyak orang sudah cukup stres dan lelah bekerja sepanjang akhir pekan — ketika kita benar-benar akan menghadapi ini di masa mendatang, cukup lama hingga 2022,” kata Joe Slowik, pemimpin intelijen ancaman di perusahaan keamanan jaringan Gigamon.
Perusahaan keamanan siber Check Point mengatakan Selasa bahwa mereka memindai 44% jaringan perusahaan dan mendeteksi 1,3 juta upaya untuk mengeksploitasi kerentanan, sebagian besar oleh kelompok jahat yang dikenal. Dikatakan cacat itu dieksploitasi untuk menanam malware penambangan cryptocurrency – yang menggunakan siklus komputer untuk menambang uang digital secara diam-diam – di lima negara.
Sampai saat ini, tidak ada infeksi ransomware yang berhasil memanfaatkan kelemahan yang telah terdeteksi. Tetapi para ahli mengatakan itu mungkin hanya masalah waktu.
“Saya pikir apa yang akan terjadi akan memakan waktu dua minggu sebelum efeknya terlihat karena peretas masuk ke organisasi dan akan mencari tahu apa yang harus dilakukan selanjutnya.” John Graham-Cumming, chief technical officer Cloudflare, yang infrastruktur online-nya melindungi situs web dari ancaman online.
Kami berada dalam jeda sebelum badai, kata peneliti senior Sean Gallagher dari perusahaan keamanan siber Sophos.
“Kami memperkirakan musuh kemungkinan akan mengambil sebanyak mungkin akses ke apa pun yang bisa mereka dapatkan saat ini dengan tujuan untuk memonetisasi dan/atau memanfaatkannya nanti.” Itu akan termasuk mengekstrak nama pengguna dan kata sandi.
Peretas China dan Iran yang didukung negara telah mengeksploitasi kelemahan tersebut, mungkin untuk spionase siber, dan aktor negara lainnya diperkirakan akan melakukannya juga, kata John Hultquist, analis ancaman utama di perusahaan keamanan siber Mandiant. Dia tidak akan menyebutkan target peretas China atau lokasi geografisnya. Dia mengatakan para aktor Iran “sangat agresif” dan telah mengambil bagian dalam serangan ransomware terutama untuk tujuan yang mengganggu.
PERANGKAT LUNAK: TIDAK AMAN DENGAN DESAIN?
Episode Log4j memaparkan masalah yang tidak ditangani dengan baik dalam desain perangkat lunak, kata para ahli. Terlalu banyak program yang digunakan dalam fungsi kritis belum dikembangkan dengan cukup memikirkan keamanan.
Pengembang open-source seperti sukarelawan yang bertanggung jawab atas Log4j tidak boleh disalahkan seperti halnya seluruh industri programmer yang sering membabi buta memasukkan potongan kode tersebut tanpa melakukan uji tuntas, kata Slowik dari Gigamon.
Aplikasi populer dan custom-made seringkali tidak memiliki “Software Bill of Materials” yang memungkinkan pengguna mengetahui apa yang ada di bawah tenda — kebutuhan penting pada saat seperti ini.
“Ini jelas menjadi semakin menjadi masalah karena vendor perangkat lunak secara keseluruhan menggunakan perangkat lunak yang tersedia secara terbuka,” kata Caltagirone dari Dragos.
Dalam sistem industri khususnya, tambahnya, sebelumnya sistem analog dalam segala hal mulai dari utilitas air hingga produksi makanan dalam beberapa dekade terakhir telah ditingkatkan secara digital untuk manajemen otomatis dan jarak jauh. “Dan salah satu cara mereka melakukannya, jelas, adalah melalui perangkat lunak dan melalui penggunaan program yang memanfaatkan Log4j,” kata Caltagirone.
Posted By : angka keluar hk