Vendor Mengacak untuk Memperbaiki Bug dalam Keamanan Net

Pembuat perangkat lunak di sekitar dunia berebut untuk memperbaiki bug serius dalam teknologi yang digunakan untuk mentransfer informasi secara aman di Internet.

Cacat terletak pada protokol SSL, paling dikenal sebagai teknologi yang digunakan untuk penelusuran aman di situs Web yang dimulai dengan HTTPS, dan memungkinkan penyerang memotong komunikasi SSL aman (Secure Sockets Layer) antara komputer menggunakan apa yang dikenal sebagai serangan man-in-the-middle.

Meskipun cacat hanya dapat dieksploitasi dalam keadaan tertentu, itu dapat digunakan untuk meretas ke server bersama hosting lingkungan, server email, database, dan banyak aplikasi aman lainnya, menurut Chris Paget, seorang peneliti keamanan yang telah mempelajari masalah ini.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

"Ini adalah kesalahan tingkat protokol. " kata Paget, chief technology officer dengan konsultan keamanan yang disebut H4rdw4re. "Ada banyak hal yang harus diperbaiki pada yang satu ini: Browser web, server Web, load balancing Web, akselerator Web, server email, Server SQL, driver ODBC, protokol peer-to-peer."

Meskipun penyerang pertama-tama harus meretas ke jaringan korban untuk meluncurkan serangan man-in-the-middle, hasilnya kemudian akan menghancurkan - terutama jika digunakan dalam serangan yang ditargetkan untuk mendapatkan akses ke database atau server email, Paget berkata.

Karena begitu luas digunakan, SSL secara konstan berada di bawah mikroskop peneliti keamanan. Akhir tahun lalu, para peneliti menemukan cara untuk membuat sertifikat SSL palsu yang akan dipercaya oleh browser apa pun, dan pada bulan Agustus para peneliti meluncurkan beberapa serangan baru yang dapat membahayakan lalu lintas SSL. Tapi tidak seperti serangan-serangan itu, yang berkaitan dengan infrastruktur yang digunakan untuk mengelola sertifikat digital SSL, bug terbaru ini terletak pada protokol SSL itu sendiri dan akan jauh lebih sulit untuk diperbaiki.

Masalah rumit lebih lanjut adalah kenyataan bahwa bug itu secara tidak sengaja diungkapkan pada mailing list yang tidak jelas hari Rabu, memaksa vendor menjadi berebut untuk menambal produk mereka.

Masalah ini ditemukan di Auguust oleh para peneliti di PhoneFactor, perusahaan keamanan telepon seluler. Mereka telah bekerja selama dua bulan terakhir dengan konsorsium vendor teknologi yang disebut ICASI (Konsorsium Industri untuk Kemajuan Keamanan di Internet) untuk mengkoordinasikan perbaikan industri yang luas untuk masalah ini, dijuluki "Proyek Mogul."

Tapi mereka rencana hati-hati dilemparkan ke dalam kekacauan Rabu ketika insinyur SAP Martin Rex sengaja menemukan bug sendiri. Rupanya tidak menyadari keseriusan masalah ini, ia diposting pengamatannya tentang masalah ini ke daftar diskusi IETF (Internet Engineering Task Force). Itu kemudian dipublikasikan oleh peneliti keamanan HD Moore.

Pada Rabu sore, cukup banyak orang berbicara tentang masalah bahwa PhoneFactor memutuskan untuk mengumumkan temuan mereka. "Pada saat itu kami merasa seperti orang-orang jahat tahu dan kami merasa kami memiliki tanggung jawab untuk orang-orang baik untuk tahu juga," kata Sarah Fender, wakil presiden pemasaran PhoneFactor.

Fender tidak bisa mengatakan siapa yang siap untuk menambal masalah, tetapi dia mencatat bahwa sejumlah produk open source "cemas" untuk mendorong keluar patch. "Saya pikir kita akan melihat beberapa tambalan dalam waktu dekat," katanya.

ICASI tidak dapat dihubungi untuk komentar Rabu malam.

Meskipun pakar keamanan mengatakan cacat mungkin telah ada selama bertahun-tahun, itu tidak diduga telah dieksploitasi dalam serangan apa pun.

"Meskipun kami menganggapnya sebagai kerentanan material, ini bukan akhir dari dunia," kata Fender.