Cyberthreat.id - Pada akhir pekan 16-17 Oktober lalu, para peretas China mengamuk. Mereka berhasil membobol 12 dari 15 produk selama serangan eksploitasi di Piala Tianfu. Kompetisi tahunan ini, yang diadakan di provinsi Sichuan di Chengdu, telah menjadi pilihan para peretas elit China sejak mereka dilarang berpartisipasi dalam acara peretasan kompetitif serupa di luar negeri. Yang terbesar dan paling terkenal dari ini, Pwn2Own, akan berlangsung di Austin, Texas, 2-5 November mendatang.  

Di Piala Tiafu, seperti dilaporkan penulis senior Forbes Davey Winder baru-baru ini, para peserta memperlihatkan kepiawaiannya. Itu termasuk bagaimana mereka membobol iPhone 13 Pro, yang menjalankan versi iOS 15.0.2 yang sepenuhnya telah ditambal (pada saat itu).  

Kerentanan zero-day, dieksploitasi oleh Kunlun Lab dan Team Pangu dalam hitungan detik pada hari itu, menjadi serangan eksekusi kode jarak jauh dan jailbreak iOS 15 pertama.

Selain serangan terhadap Apple iOS dan Safari, ada banyak korban lainnya. Ini termasuk Microsoft, yang melihat lima eksploitasi sukses yang melibatkan sistem operasi Windows 10, satu memengaruhi Microsoft Exchange, dan Google, yang membuat Chrome menyerah dua kali.

Tetapi daftarnya masih jauh dari selesai: Adobe PDF, router Asus AX56U, Docker CE, Parallels VM, QEMA VM, Ubuntu 20, VMware ESXi dan Workstation juga berhasil diretas.

Rincian lengkap dari kerentanan yang dieksploitasi dan eksploitasi itu sendiri akan disaring ke domain publik dalam beberapa bulan mendatang. Sementara itu, pengungkapan penuh kelemahan keamanan akan segera dilakukan kepada semua vendor yang terkena dampak.

Debat kompetisi peretasan industri keamanan

Di satu sisi, kompetisi peretasan semacam ini bisa menjadi hgayaal positif lantaran semua celah keamanan yang ditemukan akan disampaikan kepada vendornya masing-masing. Namun di sisi lain, itu menjadi semacam pameran kekuatan.

Setidaknya, itulah yang ada di benak Sam Curry, kepala petugas keamanan di Cybereason.

“Ini setara dengan menerbangkan pesawat di atas Taiwan,” kgayagayaatanya, seraya menambahkan hal positifnya adalah bahwa eksploitasi akan diungkapkan kepada vendor.

Tentu saja ada banyak hal positif dari kompetisi hacking, seperti Tianfu Cup atau Pwn2Own.

“Para peneliti keamanan yang terlibat dalam skema ini dapat menjadi tambahan bagi tim keamanan yang ada dan memberikan perhatian tambahan pada produk organisasi,” kata George Papamargaritis, direktur layanan keamanan terkelola di Obrela Security Industries.

“Artinya bug akan digali dan diungkapkan sebelum penjahat dunia maya mendapat kesempatan untuk menemukan mereka dan mengeksploitasinya dengan jahat.”

Memang, dalam hal style acara, Kristina Balaam, seorang insinyur intelijen keamanan senior di Lookout mengatakan, tidak banyak perbedaan di antara keduanya.

“Keduanya memberikan kebebasan relatif kepada peretas atas produk yang mereka coba eksploitasi. Dan, hadiah uang tunai dapat menyaingi beberapa acara olahraga profesional paling populer,” kata Bileam.

Namun, tentu saja, dengan kompetisi peretasan apa pun yang bergantung pada penemuan zero-days, ada risiko peserta menjual atau mengeksploitasi kerentanan yang mereka temukan di luar batas kompetisi.

Oleh karena itu, diasumsikan bahwa peretas yang ambil bagian tidak akan mengungkapkan eksploitasi dan kerentanan yang mereka temukan sampai vendor memiliki waktu yang cukup untuk mengeluarkan perbaikan.

“Etiket semacam ini dikenal sebagai pengungkapan yang bertanggung jawab, atau pengungkapan terkoordinasi baru-baru ini, Jonathan Knudsen, ahli strategi keamanan senior di Synopsys Software Integrity Group, menjelaskan.

“Ketika berhasil, itu adalah tarian yang indah,” katanya.

Tetapi bagaimana jika seseorang menari dengan irama yang berbeda? Setelah Piala Tianfu 2019, Apple membuat blog bahwa serangan telah memengaruhi iOS selama beberapa bulan.

Sebuah artikel dari MIT Technology Review menyebut serangan itu dimulai segera setelah acara Piala Tianfu, dan terus berlanjut hingga Apple mengeluarkan perbaikan.

Artikel itu selanjutnya mengatakan bahwa “hampir dalam semalam, intelijen China menggunakannya sebagai senjata melawan kelompok etnis minoritas yang terkepung.”

Hal ini kemudian menimbulkan pertanyaan apakah Piala Tianfu, khususnya, dapat dilihat sebagai keuntungan bersih atau, secara seimbang, apakah itu hal yang negatif?

Misalkan ada pedoman ketat untuk kejadian seperti itu sehingga kerentanan tidak boleh diungkapkan sampai vendor berhasil melakukan mitigasi.

“China menerapkan undang-undang pada 1 September 2021 yang akan mewajibkan setiap warga negara China untuk mengungkapkan kerentanan zero-day yang mereka temukan kepada pemerintah,” kata Balaam.

Dia menambahkan, mereka juga diharuskan untuk tidak menjual atau memberikan perincian tentang kerentanan tersebut kepada aktor pihak ketiga mana pun.

Poin terakhir ini, Bileam setuju. Itu adalah langkah baik dan akan mencegah penjualan ke pengembang malware bayaran.

Namun, dia memperingatkan bahwa itu juga berarti "pemerintah China dapat menimbun sejumlah besar produk yang digunakan secara luas di wilayah lain dan memiliki akses ke pengetahuan yang diperlukan untuk mengeksploitasi produk ini sebelum berhasil ditambal."

Jake Williams, salah satu pendiri BreachQuest, merasa tidak jelas bahwa peristiwa seperti ini meningkatkan risiko aktor ancaman negara China mengeksploitasi kerentanan sebelum pengungkapan.

“Para peneliti sering mempertahankan kerentanan yang mereka temukan untuk menggunakannya dalam kompetisi seperti ini,” katanya, menambahkan, “tetapi penting untuk mempertimbangkan alasan mereka menimbun kerentanan untuk kompetisi daripada segera mengungkapkannya kepada vendor yang terkena dampak.”

Sederhananya, kompetisi membayar, sementara vendor biasanya tidak, menurut Williams.

“Bahkan ketika vendor telah mengimplementasikan bug bounty, biasanya membayar sen dolar dibandingkan dengan hadiah yang dimenangkan di kompetisi,” katanya.

“Jika vendor tidak menyukai ekosistem persaingan yang rentan, mereka memiliki kekuatan untuk mengganggu ekonomi pasarnya.”

Williams menyimpulkan bahwa "kita tidak perlu khawatir tentang Piala Tianfu lebih dari kompetisi kerentanan lainnya."

Sebaliknya, menurut William,"kita harus memfokuskan kembali kekhawatiran itu pada fakta bahwa program pengungkapan vendor mendorong kompetisi seperti Piala Tianfu."
 

Vendor mana yang telah merilis perbaikan keamanan Piala Tianfu?

Seorang juru bicara Microsoft mengatakan bahwa “semua kerentanan yang dilaporkan sebagai bagian dari kontes diungkapkan secara bertanggung jawab dan rahasia. Solusi untuk masalah keamanan terverifikasi yang memenuhi kriteria kami untuk servis segera biasanya dirilis melalui Update Tuesday bulanan kami.”

Jadi, tanpa mengonfirmasi secara spesifik, ada beberapa harapan bahwa patch untuk kerentanan Windows 10 dan Microsoft Exchange akan dirilis pada hari Selasa, 9 November.

Google tidak memberikan pernyataan tetapi mengkonfirmasi mereka akan meluncurkan tambalan apa pun yang diperlukan setelah masalah diselidiki secara menyeluruh. Namun, menurut blog keamanan Google, tampaknya dua kerentanan yang dieksploitasi selama Piala Tianfu telah diperbaiki di Chrome 95.0.4638.69, yang mulai diluncurkan pada Kamis, 28 Oktober.

Sementara vendor yang tersisa seperti Adobe, Apple, Asus, Canonical, Docker, Parallels, dan VMware belum merespon permintaan konfirmasi.

Karena itu, tetaplah menunggu versi pembaruan dan segera memperbaruinya jika anda adalah pengguna Adobe PDF, Apple iOS dan Safari, router Asus AX56U, Docker CE, Microsoft Exchange, dan Windows 10, Parallels VM, QEMA VM, Ubuntu 20 atau VMware ESXi dan Workstation.[]