Sebagian besar pengguna komputer menganggap virus adalah hal yang tak bisa dihindari dari penggunaan komputer. Jadi sering pengguna menganggap hal itu bukan masalah karena tak bisa dihindari. Ada juga yang berpendapat masalah tersebut akan beres bila menggunakan antivirus, artinya platform yang memiliki kemungkinan terserang virus tersebut bukanlah masalah berarti, toh ada anti virus yang dapat mencegahnya. Tapi runyamnya lagi, biaya penanganan virus ini tidak dianggap hal yang memberatkan karena dianggap tak bisa dihilangkan. Jadi biaya seperti biaya lisensi anti virus, biaya update database signature virus, waktu yang terbuang termasuk untuk menscan, mengupdate anti virus dan sebagainya lupa diperhitungkan sebagai biaya pengoperasian sistem.

Tapi apakah sebenarnya tindakan preventif mencegah virus ini bisa menyelamatkan situasi kerentanan sistem sekuriti? Teknologi virus sendiri semakin canggih. Untuk mengidentifikasinyapun makin sulit, karena virus menggunakan teknik berubah bentuk dan menyembunyikan diri dalam enkripsi. Vektor penyebaranpun makin beraneka-ragam, dari yang tadinya hanya memanfaatkan file biasa, boot-sector, attachment file, dan kini dengan memanfaatkan HTML dengan URL yang akan mengirimkan virus tersebut ke sistem operasi yang rentan. Dengan makin terkoneksinya komputer, maka metoda penularan pun menjadi beragam termasuk melalui pengiriman email, messenger. Kesulitan penanganan virus ini ditambah lagi kenyataan bahwa anti virus biasaya akan memiliki penangkal setelah ada virus yang menyebar. Jadi tetap anti virus hanya akan ada setelah ada korban virus.

Kenyataan ini menjadi pelajaran pahit sekali, seperti yang diberitakan oleh majalah Spiegel Jerman dalam artikel Espionage Report : Merkel’s China Visit Marred by Hacking Allegations, [ http://www.spiegel.de/international/world/0,1518,502169,00.html], tentang kejadian masuknya trojan di komputer pemerintah Jerman. Dan trojan ini berfungsi sebagai spy yang menyadap data dan mengirim data tersebut ke China. Menurut analisis sekuriti Jerman, lebih dari 160 Giga data telah ditransfer secara rahasia ke China, tepatnya di propinsi Lanzhou dengan dibelokkan terlebih dulu melalui Korea Selatan. Dan kejadian spionase model baru dengan memanfaatkan celah sekuriti komputer ini tidak saja melanda di Jerman, tapi juga negara lain seperti USA, UK, Kanada dan Australia.

Bila difikir-fikir, negara-negara besar tersebut tentu tidak kurang dalam melakukan pengamanan sistem komputer mereka. Anti virus terlengkap dan terbaru pasti sudah diinstal, dan juga secara rutin diupdate. Pengetahuan tentang sekuriti sudah pasti lebih dari cukup, proses audit ketika menginstal sistem tentu ada. Ternyata celahnya seperti cerita “Achiles Heel“, ini sesuai dengan prinsip rantai. Tingkat keamanan dari suatu sistem adalah tingkat keamanan terendah dari komponen yang ada. Jadi bila pada suatu sistem yang dibuat aman, dan salah satu komponennya ada yang tidak aman, maka semua sistem menjadi tak aman. Seaman-amannya sistem, tapi bila sistem operasi desktopnya masih memiliki celah virus melalui attachment, maka secara keseluruhan sistem menjadi tidak aman. Kasus Trojan ini terjadi karena sistem operasi yang digunakan memungkinkan masuknya virus, ataupun trojan. Dengan mengkombinasikan dengan kelamahan program aplikasi dan sistem operasi yang digunakan serta teknik social engineering, maka trojan dapat ditanamkan menembus pertahana yang berlapis dari firewall, IDS, IPS, serta antivirus.

Trojan masuk dengan menyaru seperti email yang normal. Saat ini trojan atau virus dapat masuk tidak saja melalui attachment tapi juga melalui email yang hanya berformat HTML. Bayangkan kalau antivirus yang digunakan tidak selalu diperbaharui, tentu saja akan jadi sasaran empuk sekali. “Untung“-nya kantor pemerintahan Indonesia belum dihubungkan dengan jaringan kecepatan tinggi sebagian besar, jadi bahaya penyadapan seperti ini masih rendah. Tetapi apa jadinya bila perusahaan atau industri, mengalami kejadian seperti ini. Rahasia perusahaan bisa keluar ke tangan kompetitor. Intelijen industri kini telah memanfaatkan trojan dan virus untuk melakukan aksinya.

Permasalahan itu timbul karena platform dan aplikasi yang digunakan memang secara arsitektur memiliki kerentanan. Kerentanan itu bukan saja timbul karena aristektur, tetapi juga karena pendekatan dalam menyediakan fitur dan perimbangannya terhadap sekuriti. Di samping itu faktor keseragaman memungkinkan mudahnya virus atau trojan cepat menyebar pada platform tersebut. Tentu saja vendor pembuat perangkat lunak dari platform tersebut tidak serta merta menerima bahwa arsitekturnyalah yang menjadi penyebab, atau celah keamanan di programnyalah yang jadi penyebab. Lagi-lagi pengguna yang jadi sasaran jadi kambing hitam, yang dianggap tidak pernah mengupdate anti virus, yang lalai mengiyakan trik melalui attachment email, dan lain sebagainya.

Percaya saja ke vendor saat ini bukan zamannya lagi. Bayangkan kasus bug di MS Excell 2007 yang baru ramai belakangan ini [http://www.joelonsoftware.com/items/2007/09/26b.html] Penjelasan dari pihak Microsoft yang terbatas [http://blogs.msdn.com/excel/archive/2007/09/25/calculation-issue-update.aspx] hanya memungkinkan pengguna untuk menerima dan percaya begitu saja. Sulit rasanya untuk menguji secara menyeluruh dan total apakah memang tidak ada kesalahan pada. Oleh karena itu auditing menyeluruh adalah jawaban untuk mengetahui dengan pasti. Dalam isilah rekayasa perangkat lunak “black box testing” tidaklah cukup untuk memeriksa kemamanan, “white box testing” sangat dibutuhkan untuk memberikan jaminan pengujian total.

Sekarang kalau kita mempertimbangkan lagi dari konsep keamanan negara dan kepercayaan pengolahan data, mau tidak mau ingatan kita melayang ke pemanfaatan komputer untuk perhitungan suara misal seperti KPU. Saatnya untuk berfikir kembali, apakah bisa begitu saja mengabaikan aspek kepercayaan ini. Atau kita belajar untuk percaya dengan kekuatan sendiri. Open Source memungkinkan hal itu, tapi tentu saja itu ada konsekuensinya, kita harus berani menerima tanggung jawab itu dan harus melepaskan strategi mencari kambing hitam yang selama ini sering digunakan oleh orang TI ketika diminta pertanggung-jawaban dukungan teknis. Pemilu 2009 menanti kita untuk mempertimbangkan ulang pilihan yang pernah dilakukan bukan saja terhadap partai politik pilihan, tapi juga pada platfom teknologi informasi yang dipilih untuk digunakan.

This entry was posted on Thursday, November 20th, 2008 at 4:47 am and is filed under Uncategorized. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.