Apakah Browser Teraman dan Tahan Serangan Hacker pada tahun 2011 ini ???
Keamanan sebuah browser internet merupakan faktor penting bagi setiap pengguna internet. Salah satu pintu masuk serangan lewat internet ke komputer lewat aplikasi tersebut. Semua pembuat browser pun berlomba-lomba mengembangkan fitur security (keamanan) terbaik.
Hasil ini didapat dari “Pwn2Own Hacking Contest” yang merupakan Kompetisi tahunan yang akan dihadiri hacker-hacker sebagai salah satu ajang pembuktian yang independen. Pwn2Own kali ini akan berlangsung 9-11 Maret 2011 di Vancouver, Kanada, sebagai bagian dari konferensi CanSecWest.
Browser yang akan dijajal para hacker tahun ini ada empat yakni Internet Explorer 8 (Microsoft), Safari 5 (Apple), Chrome 9 (Google), dan Firefox 3.6 (Mozilla).
Apple, Mozilla, dan Google merilis sejumlah patch keamanan atau program penambal lubang keamanan untuk browser buatan masing-masing. Mozilla mengumumkan 10 patch untuk mengatasi kelemahan pada Firefox 3.6 pada 1 Maret 2011 lalu. Google malah merilis 19 patch untuk Chrome 9. Setiap bug atau kelemahan yang coba diatasi masuk kategori prioritas tinggi atau kritis.
Apple belum mengumumkan patch terbaru. Namun, menurut perusahaan solusi keamanan digital Vupen dari Perancis, patch mungkin bakal dikeluarkan sebelum Pwn2Own berlangsung. Tidak main-main, Apple mengatasi 50 masalah pada WebKit dan sekaligus melakukan update untuk Safari dan Mac OS X.
Hanya Microsoft yang adem ayem, Tak ada kabar rencana perusahaan software terbesar itu akan merilis patch untuk IE8. Pada 8 Februari 2011 lalu, IE8 memang baru diperbarui sebagai bagian dari update besar-besaran yang dilakukan Microsoft. Pada 4 Maret 2011 lalu, para peneliti keamanan di Microsoft juga menyatakan bahwa pihaknya siap menghadapi tantangan Pwn2Own.
Chrome dan Firefox Tahan Serangan “Hacker”
Kontes hacking untuk menjebol sistem keamanan browser internet dan perangkat mobile bertajuk Pwn2Own yang berlangsung sebagai bagian konferensi CanSecWest di Vancouver, Kanada, 9-11 Maret 2011, telah berakhir. Hasilnya, browser Chrome 9 buatan Google dan Firefox 3.6 buatan Mozilla yang tak jebol. Sementara Safari 5 dari Apple dan Internet Explorer 8 buatan Microsoft takluk di hari pertama.
“Aku cinta Pwn2Own! Safari dan IE8 jebol di hari pertama, tapi tidak dengan Chrome,” tulis Matt Cutts, kepala tim spam web Google, di akun Twitter saat kontes hari pertama selesai. Harapannya bertahan sampai kontes berakhir karena Chrome tak jua berhasil ditembus.
Ini merupakan keberhasilan Google mempertahankan rekor sebagai browser yang tidak mudah ditembus. Selama dua tahun berturut-turut di kontes yang sama, Chrome terbukti menjadi satu-satunya browser yang tidak bisa ditembus hacker. Namun, tahun ini Firefox 3.6 pun tak kalah aman dan untuk pertama kalinya gagal dijebol.
“Whew, Firefox bertahan di #pwn2own 2011. Ini bukan kesuksesan besar, tetapi saya tetap senang mendengarnya,” kata Brendan Eich, CTO Mozilla, di akun Twitter miliknya mengomentari kabar baik tersebut. Tak lupa, bos Mozilla itu pun memberi selamat kepada tim Chrome dari Google lewat tweet selanjutnya.
Pujian yang sama juga disampaikan tim Google kepada Mozilla. “Kedua browser yang bertahan sama-sama open source, punya program penghargaan, punya tim keamanan yang melekat, lebih baik dan cepat melakukan perbaikan. Kebetulan?” tulis Chris Evans, insinyur di tim keamanan Chrome.
Selain menantang para hacker menembus keamanan browser internet, Pwn2Own juga menantang peserta menembus sistem operasi perangkat mobile. iOS di iPhone 4 dan BlackBerry Torch sukses ditembus, tetapi Android dan Windows Phone 7 bisa bertahan.
Browser Safari 5 dan IE8 Berhasil Dijebol “Hacker”
Tak disangka browser Safari buatan Apple dan Internet Explorer 8 buatan Microsoft punya nasib yang sama. Berhasil dijebol hacker di hari pertama kontes Pwn2Own yang digelar sebagai bagian dari konferensi teknologi keamanan CanSecWest di Vancouver, Kanada, 9-11 Maret 2011.
Para peneliti sistem keamanan dari perusahaan Vupen, Perancis menjadi tim pertama yang berhasil menjebol Safari 5. Bahkan sesuai angka versi software tersebut, mereka melakukannya hanya dalam waktu lima detik. Tidak main-main yang dijebol adalah browser versi 64 bit yang berjalan di Mac OS X Snow Leopard di MacBook dan sudah di-patch besar-besaran sebelumnya.
Co-founder Vupen, Charouki Bekrar, dan dua anggota timnya bekerja keras selama dua minggu untuk menemukan kelemahan di Safari 5. Mereka menemukannya pada bagian Webkit, mesin rendering berbasis open source yang digunakan browser tersebut. Mereka sukses mengeksploitasi kelemahan itu dan menembus sistem lewat ASLR (Address Space Layout Randomization) and DEP (Data Execution Prevention), dua fitur keamanan yang khusus dirancang untuk mencegah program jahat menyusup.
Bahkan, tim tersebut telah membuat program khusus untuk disusupkan lewat lubang kelemahan tersebut. Program tersebut mengaktifkan kalkulator dan menginfeksi komputer untuk mengambil akses secara penuh. “Korban yang mengunjungi sebuah website, ia akan terjebak. Tanpa perlu interaksi apa pun,” kata Bekrar.
Sementara IE8 tantangan berhasil dipecahkan peneliti keamanan dari Irlandia Stephen Fewer. Ia sukses menjebol browser tersebut yang berjalan di Windows 7 versi 64 bit. Untuk menembus sistem keamanan IE8, Fewer menemukan tiga kelemahan, dua di antaranya sudah diperkirakannya sejak awal untuk melakukan eksploitasi. Dengan menembus dua kelamahan itu, ia berhasil menemukan kelemahan ketiga untuk menjebol Protected Mode sandbox sehingga dapat mengakses sistem operasi secara penuh. Seperti Vupen, ia juga sukses menyusup dengan menjebol DEP dan ASLR di Windows 7.
Atas keberhasilannya, Vupen membawa 15.000 dollar AS dan komputer MacBook Air 13 inci yang ditaklukannya. Sementara Fewer juga berhak menggondol hadiah sebesar 15.000 dollar AS dan sebuah komputer Sony Vaio yang berhasil diambil alih sistemnya.
Sesuai aturan kontes, semua teknik eksploitasi yang berhasil dilakukan untuk menembus kelemahan tersebut tidak akan dipublikasikan. Pihak panitia memberikan data tersebut kepada TioipingPoint selaku sponsor. Selanjutnya info tersebut akan diberikan kepada masing-masing vendor untuk memberi kesempatan melakukan patch atau perbaikan sampai 6 bulan sebelum diungkap kepada publik.
Kontes berlangsung di hari kedua. Namun, browser lainnya, Chrome 9 dan Firefox 3.6 gagal dijebol peserta mana pun.
sumber : tekno.kompas.com