Ingin Tenang? Lakukan Patching!

Tulisan ini sebenarnya masih terkait tulisan saya sebelumnya mengenai serangan malware ransomware WannaCry. Terus terang tulisan saya tersebut lebih ditujukan kepada tim IT yang ada di organisasi/perusahaan karena menurut saya dampak ransomware akan lebih besar  bagi organisasi/perusahaan.  Akan tetapi dari pantauan dan interaksi saya di beberapa grup instant messaging ataupun media sosial ketika kehebohan WannaCry terjadi ternyata keresahan atau kekuatiran (akan terinfeksi) pun melanda para pengguna komputer rumahan/pribadi.

WannaCry-Windows7

WannaCry menyerang komputer yang tidak terlindungi dari kelemahan sistem remote code execution pada SMBv1 yang ada di sistem Microsoft sebagaimana dipublikasikan pada Microsoft Security Bulletin MS17-010 Critical, pada tanggal 14 Maret 2017.  Jadi di sini kata kuncinya adalah sudah atau tidaknya sebuah komputer terupdate dengan pembaharuan program (patch) dari Microsoft ini.  Tapi rupanya terminologi Patch atau update masih terdengar asing bagi kebanyakan pengguna. Rata-rata mereka tidak tahu atau bingung bagaimana melakukan patch sistem operasi mereka.

Jadi, sebenarnya apa sih Patch itu?

Menurut wikipedia, ” A patch is a piece of software designed to update a computer program or its supporting data, to fix or improve it.[1] This includes fixing security vulnerabilities[1] and other bugs, with such patches usually called bugfixes or bug fixes,[2] and improving the usability or performance

Kalau bahasa gampang saya, karena software dibuat oleh manusia maka tidak ada software yang sempurna. Baik di sisi fungsionalitas maupun sisi keamanan. Karenanya si pembuat software merasa perlu untuk melakukan perbaikan softwarenya. Perbaikan itu berupa patch yang harus dipasang/install ke software tersebut. Konteks patch yang saya maksud dalam tulisan saya ini adalah patch yang terkait dengan keamanan sistem.

Di dunia ini selalu ada dua sisi yang berseberangan. Dalam konteks keamanan sistem, di satu sisi ada sekelompok orang yang melakukan riset dan study untuk menemukan kelemahan sebuah sistem dan di sisi yang lain, si pembuat software harus menutup kelemahan yang telah ditemukan. Hampir setiap hari ditemukan kelemahan atau biasa disebut vulnerability baru yang dipublikasikan. Contoh situs yang mempublikasikan vulnerability tersebut adalah milik NIST di https://nvd.nist.gov/home ataupun https://www.cvedetails.com.

Berdasarkan vulnerability yang ditemukan, si pembuat software harus segera membuat program untuk menutupi kelemahan tersebut. Nah, serunya ternyata tidak hanya pembuat software yang mempergunakan vulnerability ini. Ada juga sekelompok orang -mungkin bisa disebut sebagai hacker– yang membuat juga program yang memanfaatkan kelemahan sistem ini untuk kepentingan tertentu. Ini yang biasa disebut dengan Exploit.

Menurut wikipedia, an exploit (from the English verb to exploit, meaning “using something to one’s own advantage”) is a piece of software, a chunk of data, or a sequence of commands that takes advantage of a bug or vulnerability in order to cause unintended or unanticipated behavior to occur on computer software, hardware, or something electronic (usually computerized). Such behavior frequently includes things like gaining control of a computer system, allowing privilege escalation, or a denial-of-service (DoS or related DDoS) attack

Ibaratnya, seseorang menemukan bahwa pada jendela sebuah rumah tidak didisain dengan baik sehingga dengan sebuah cara/alat tertentu jendela itu akan dapat dibuka dan seseorang dapat masuk ke dalam rumah tersebut. Kemudian, temuan itu dipublikasikan. Jelas disebutkan alamat rumahnya dan jendela yang sebelah mana. Berdasarkan temuan tersebut, tentu si pemilik rumah harus memperbaiki disain jendela rumahnya untuk mencegah orang menyalahgunakan kesalahan disain tersebut. Nah, pada saat yang sama ada juga orang lain yang membuatkan alat untuk membuka jendela tersebut.

Di sini si pemilik rumah (pembuat software) harus secepat mungkin memperbaiki kelemahan disain jendela tersebut agar rumahnya tidak dimasuki orang!

Zero-day Vulnerability

Dalam kondisi sebuah exploit telah tersedia secara publik atau sebuah serangan telah terjadi, sementara patch untuk memperbaiki kelemahan sistem belum tersedia (disediakan oleh si pembuat software) maka kondisi ini dikenal dengan istilah Zero-day Vulnerability.

Menurut Wikipedia, A zero-day (also known as zero-hour or 0-day or day zero) vulnerability is an undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network.[1]

Jadi, apa yang harus dilakukan? 

Kali ini saya tidak membahas proses pemeliharaan untuk organisasi atau perusahaan dimana tentu sudah ada tim IT yang secara khusus bertugas memelihara sistem termasuk keamanannya. Kendala-kendala dalam proses patch telah saya singgung di tulisan saya terdahulu. Fokus tulisan saya kali ini adalah untuk pengguna komputer personal/rumahan.

Pengkinian software baik aplikasi maupun sistem operasi (Windows, Linux, MacOSX, Android, IOS) harus rutin dilakukan. Sebenarnya, secara rutin pembuat software maupun sistem operasi akan melakukan pembaharuan software atau sistem operasi melalui sistem mekanisme update yang sudah tersedia di sistem. Apabila komputer terhubung ke internet maka biasanya akan muncul notifikasi atau pemberitahuan kepada pengguna bahwa sebuah update atau patch telah tersedia untuk diunduh dan dipasang.  Pengguna tinggal mengikuti instruksi yang tersedia.

Dalam kasus ransomware WannaCry, sebenarnya patch sudah tersedia di bulan Maret 2017 dan insiden/attack terjadi di bulan Mei 2017. Jadi dalam kenyataannya banyak pengguna yang tidak mengindahkan notification/pemberitahuan tersebut dan tidak melakukan patch sehingga komputer mereka berisiko terinfeksi malware tersebut.  

Proses sistem update dapat dilakukan secara otomatis selama komputer terkoneksi ke internet. Contoh bagaimana melakukan konfigurasi sistem agar dapat melakukan update secara otomatis dapat dilihat di sini –> http://www.wikihow.com/Enable-Automatic-Updates. Untuk sistem operasi Linux dan MacOSX umumnya sudah didisain by default untuk menerima notifikasi/alert mengenai adanya update. Sekali lagi dengan catatan selama terkoneksi ke internet!

Jadi, sebenarnya mudah .. pastikan saja komputer Anda sudah terkonfigur secara otomatis untuk menerima update. Dan apabila ada informasi bahwa update telah tersedia, tinggal klik dan ikuti langkah-langkahnya. Beberapa update perlu restart agar berfungsi. 

Catatan penting

Umumnya pembuat software HANYA menyediakan update untuk aplikasi atau sistem operasi yang masih dalam masa dukungan mereka.  Misalnya, secara resmi Microsoft sebenarnya telah mencabut dukungan teknis (termasuk penyediaan patch) untuk Windows XP sejak April 2014. Rilis Ubuntu Linux akan mendapatkan dukungan paling tidak selama 9 (sembilan) bulan sejak dirilis, kecuali untuk versi LTS (Long Time Support) yaitu selama 5 (lima) tahun. Konsekuensi apabila Anda masih mempergunakan versi aplikasi atau sistem operasi yang sudah tidak didukung adalah tentu Anda harus melakukan upgrade aplikasi atau sistem operasi Anda ke versi yang lebih tinggi.

Sebagai penutup, menurut saya berikut adalah beberapa kendala/hambatan yang mengakibatkan proses patch tidak berjalan baik bagi pengguna komputer personal/rumahan:

  • Kesadaran pengguna terhadap pentingnya update/patch
    Ketidakpedulian atau ketidaktahuan masih jadi faktor penting. Ini jadi tantangan para praktisi keamanan informasi untuk menyebarkan kesadaran keamanan komputer.
  • Koneksi internet
    Harus diakui bahwa ini masih jadi kendala di Indonesia dimana penetrasi internet belum merata ke seluruh wilayah Indonesia. Terjangkaupun belum tentu mendapatkan koneksi dan kecepatan yang stabil. Terkadang memang proses patch memerlukan waktu yang lumayan lama apabila pengguna baru pertama kali melakukan patch (karena jumlah patch yang perlu didownload lumayan banyak atau koneksi yang lemot). Akan tetapi bagi yang berada di kota-kota yang sudah terjangkau internet yang relatif stabil dan cepat, harusnya hal ini tidak menjadi masalah.
    Apabila komputer dalam posisi off-line, harus diupayakan metode lain agar komputer juga dapat selalu mendapatkan patch/update secara teratur. Misalnya melakukan download patch dari warnet ke dalam media CD atau usb drive, kemudian melakukan instalasi manual ke komputer off-line tersebut.
  • Sistem Operasi Bajakan (Pirated),
    Saya tidak punya statistik pengguna OS bajakan di Indonesia, tetapi saya yakin jumlahnya masih cukup banyak. Untuk menghindari terdeteksinya OS bajakan yang mereka pakai, fitter otomatis update yang ada di OS sengaja dimatikan.  Saya tidak punya solusi bagi mereka kecuali menyarankan untuk mempergunakan software original atau berpindah ke Linux 🙂
  • Kelemahan Sistem Operasi itu sendiri
    Bagi pengguna awam, melakukan konfigurasi sederhana pun adalah hal yang membingungkan. Sehingga seharusnya pembuat aplikasi atau sistem operasi HARUS secara default membuat aplikasi atau sistem operasinya terupdate secara otomatis. Seperti halnya Linux dan MacOSX, sejak Windows 10 Microsoft sudah secara default melakukan hal ini.

Secara konsep, tulisan ini juga applicable untuk mobile OS seperti Android, Windows Phone ataupun IOS. Seperti halnya komputer, mobile device pun memiliki risiko yang sama dengan komputer.

Jadi kalau Anda tidak mau panik ketika ada serangan, mulai sekarang update komputer Anda secara teratur. Percayalah, there will be more malware and threat to come!

—-

Tulisan ini dibuat dalam rangka ikut berpartisipasi untuk mencerdaskan kehidupan bangsa khususnya di bidang keamanan informasi.

 

 

 

 

 

 

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Blog at WordPress.com.

Up ↑

%d bloggers like this: