Cyberthreat.id – Pernah dengar kata bug hunter, bukan? Bagi Anda pembaca awam, bug hunter adalah para pemburu celah keamanan alias bug. Mereka adalah peretas (hacker) topi putih yang terbiasa mengikuti sayembara mencari celah demi hadiah, biasa dikenal dengan program bug bounty.

Pada 2016, Pentagon memulai dengan program tersebut. Mereka menamainya “Hack the Pentagon” yang diadakan oleh Pusat Kejahatan Siber Departemen Pertahanan AS (DC3). Mereka menggandeng platform HackerOne, komunitas peretas topi putih yang memang menyediakan jasa pencarian bug.

Dalam laporan tahunan Program Pengungkapan Kerentanan (vulnerability disclosure program/VDP), Jumat (28 Februari 2020), DC3 menyatakan, sepanjang tahun lalu lebih banyak kerentanan (vulnerability) yang ditemukan para bug hunter.

Secara keseluruhan, VDP memproses sebanyak 4.013 laporan kerentanan, 2.836 di antaranya berupa mitigasi. “Delapan persen dari laporan tersebut berupa kerentana kritis atau sangat parah,” ujar Direktur Eksekutif DC3 Jeffrey Specht dalam laporan tersebut.

“2019 adalah tahun tersibuk kami dengan peningkatan yang mengejutkan sebesar 21,7 persen dari laporan yang dikirimkan pada 2017,” ia menambahkan seperti dikutip dari Cyberscoops.

Ketika “Hack the Pentagon” diadakan pertama kali, Departemen Pertahanan menerima sekitar 140 kerentanan di lima situs web pemerintah. Hadiah yang dikeluarkan Dephan saat itu mencapai US$ 150.000.

Enggan kerja sama

Apakah pengujian keamanan resmi itu berjalan lancar? Tentu tidak. Direktur Program Pengungkapan Kerentanan Dephan AS, Kristopher Johnson, mengatakan, masih banyak lembaga pemerintahan yang enggan bekerja sama dengan peretas topi putih. Padahal, Pentagon sendiri telah bermitra dengan peretas topi putih untuk memperkuat pertahanan pemerintah.

Ia mengatakan, bekerja dengan peretas bisa meningkatkan kebersihan dunia maya sebuah institusi. “Pada 2016 kerja sama ini dianggap sebagai sebuah ide revolusioner, tetapi kini  telah berkembang menjadi hampir biasa di Dephan," kata Johnson.

"Kepercayaan adalah dasar dari program ini [...] Kami percaya bahwa peretas akan mengikuti kebijakan dan tidak membahayakan," ia menambahkan.

Selama 2019, laporan itu mencatat, peretas topi putih sangat membantu dalam mengungkap titik akhir jaringan pribadi virtual (VPN) yang tidak ditambal. Kerentanan ini yang sering dimanfaatkan oleh hacker yang didukung negara (APT) untuk mencuri kredensial pengguna dan memonitor lalu lintas sensitif. Laporan kerentana pada VPN ini ialah temuan "paling parah" dari tahun lalu.

“Titik akhir VPN bukan satu-satunya masalah,” catatan laporan tersebut.

“Kami juga melihat server manajemen konten seperti DotNetNuke, WordPress, dan vBulletin yang belum ditambal dan dapat dieksploitasi, mulai kerentanan berupa cross-site scripting (XSS) sederhana, Denial of Service sampai ke eksekusi perintah jarak jauh.”

Dua bug paling umum pada tahun lalu adalah kerentanan kebocoran informasi dan dan pelanggaran prinsip-prinsip desain yang aman. Selanjutnya, masalah cross-site scripting (XSS), business logic errors, dan open redirect flaws yang rentan dari serangan phishing.

“Peretas topi putih terbukti menjadi sumber daya berharga dalam mengungkap kerentanan dan kelemahan di seluruh Dephan pada 2019,” demikian laporan VDP.

Menurut laporan itu, VDP akan bekerja sama dengan Badan Keamanan Pertahanan dan Kontra Intelijen (DCSA) dan Lingkungan Berbagi Informasi Kolaboratif Pangkalan Industri Pertahanan (DCISE). Program ini direncanakan berjalan selama sembilan bulan.[]