Mengenal Zero Day

Pada kesempatan kali ini ESET ingin membahas tentang zero day, kerentanan yang belakangan menghantui banyak perusahaan di dunia, dimana dampaknya berakibat fatal bagi dunia usaha, berikut pemaparannya.

Definisi zero day

Zero day adalah kelemahan keamanan software yang diketahui vendor software, tetapi tidak memiliki patch untuk memperbaiki kekurangan tersebut, sehingga berpotensi untuk dieksploitasi oleh penjahat dunia maya.

Nama zero day berasal dari dunia pembajakan konten digital, jika para pembajak dapat mendistribusikan salinan bajakan dari sebuah film atau album pada hari yang sama saat dijual secara sah (atau mungkin bahkan sebelumnya), hal tersebut dijuluki sebagai “zero day.”

Dipinjam ke dalam dunia keamanan siber, nama tersebut membangkitkan skenario di mana penyerang mendapatkan pijakan ke vendor perangkat lunak, menerapkan serangan yang mengeksploitasi kelemahan sebelum orang-orang dapat merespons.

Setelah teknik serangan zero day beredar di luar sana dalam ekosistem kriminal, sering dijual oleh penemunya dengan harga mahal. Sementara jam terus berdetak bagi vendor untuk membuat dan mendistribusikan tambalan yang menutup lubang.

Situasi ini memicu kedua belah pihak untuk bertindak cepat, bagi penjahat dunia maya dengan semakin cepat memanfaatkan kerentanan dapat menghasilkan keuntungan yang besar. Sedangkan bagi vendor, dengan bergerak cepat menutup kerentanan berarti menutup kemungkinan eksploitasi.

Kejadian besar eksploitasi yang baru-baru ini terjadi adalah saat eksploitasi server Microsoft Exchange yang menyebabkan kebobolan besar-besaran yang pada akhirnya merugikan banyak pihak.

Zero Day vs Exploit vs Attack

Ada tiga kata, kerentanan, eksploitasi, dan serangan, yang sering Anda lihat terkait dengan zero day, dan dengan memahami perbedaannya akan membantu Anda memahami siklus hidup zero day.

Kerentanan zero day adalah cacat perangkat lunak atau perangkat keras yang telah ditemukan dan tidak ada patch/tambalan yang tersedia. Bagian penemuan adalah kunci untuk ini, tidak ada keraguan sejumlah kekurangan di luar sana yang secara harfiah tidak diketahui siapa pun.

Tapi pertanyaan tentang siapa yang tahu tentang kekurangan ini sangat penting untuk bagaimana insiden keamanan terjadi. Peneliti keamanan yang menemukan cacat dapat menghubungi vendor secara rahasia sehingga tambalan dapat dikembangkan sebelum keberadaan cacat diketahui secara luas.

Beberapa peretas jahat atau grup peretas yang disponsori negara, sementara itu, mungkin ingin merahasiakan pengetahuan tentang kerentanan sehingga vendor tetap dalam kegelapan dan lubangnya tetap terbuka.

Bagaimanapun, kerentanan dengan sendirinya merupakan target yang menggoda, tetapi tidak lebih. Untuk menggunakan kerentanan tersebut untuk mendapatkan akses ke sistem atau datanya, pelaku harus membuat eksploitasi zero day, teknik penetrasi atau malware yang memanfaatkan kelemahan tersebut. Sementara beberapa peretas merancang eksploitasi ini untuk digunakan sendiri, yang lain menjualnya kepada penawar tertinggi daripada mengotori tangan mereka secara langsung.

Setelah dipersenjatai dengan exploit, peretas jahat sekarang dapat melakukan serangan zero day. Dengan kata lain, kerentanan hanya mewakili jalan potensial serangan, dan eksploitasi adalah alat untuk melakukan serangan itu, serangan itu sendiri yang benar-benar berbahaya.

Ini bisa menjadi titik perdebatan dalam komunitas riset keamanan, di mana kerentanan sering ditemukan dan terkadang dipublikasikan dengan tujuan untuk meningkatkan kesadaran dan menambalnya lebih cepat. Namun, vendor yang kerentanannya terekspos terkadang memperlakukan eksposur itu sama saja dengan serangan itu sendiri.

Mengapa eksploitasi zero day berbahaya?

Karena eksploitasi zero day merupakan sarana untuk memanfaatkan kerentanan yang belum ditambal, eksploitasi tersebut adalah semacam “senjata pamungkas” untuk serangan dunia maya. Meskipun hampir tak terhitung banyaknya sistem di seluruh dunia yang dilanggar setiap tahun, kebenaran yang menyedihkan adalah bahwa sebagian besar dari pelanggaran tersebut memanfaatkan lubang yang diketahui oleh para profesional keamanan dan yang perbaikannya ada;

Serangan tersebut berhasil sebagian karena higienitas keamanan yang buruk di pihak para korban, dan organisasi yang berada di atas situasi keamanan mereka.

Tetapi kerentanan zero day, tidak dapat ditambal, jika kerentanan belum dipublikasikan secara luas, calon korban mungkin tidak memperhatikan sistem atau perangkat lunak yang rentan sehingga dapat melewatkan sinyal aktivitas yang mencurigakan.

Keuntungan menjadi milik para penjahat dunia maya, yang akan mencoba untuk menjaga kerahasiaan pengetahuan tentang kerentanan dan menggunakan eksploitasi zero day hanya terhadap target bernilai tinggi, karena rahasianya tidak akan bertahan selamanya.

Patut ditegaskan kembali bahwa kategori “pelaku” di sini tidak hanya mencakup penjahat dunia maya tetapi juga kelompok yang disponsori negara. Badan intelijen China dan AS diketahui mengumpulkan informasi tentang kerentanan zero day yang dapat mereka gunakan untuk tujuan spionase atau cybersabotage.

Salah satu contoh yang sangat terkenal adalah kerentanan yang ditemukan dalam protokol SMB di Microsoft Windows oleh Badan Keamanan Nasional AS; NSA membuat kode eksploitasi EternalBlue untuk memanfaatkan ini, yang akhirnya dicuri oleh peretas jahat yang menggunakannya untuk membuat worm ransomware WannaCry.

Serangan ransomware yang dikenal sebagai “WannaCry” atau “WannaCryptor” terdeteksi pertama kali oleh ESET sebagai Win32/Filecoder.WannaCryptor.D mulai menyebar ke seluruh dunia dalam skala dan kecepatan yang belum pernah terjadi sebelumnya menjadi contoh nyata betapa bahayanya serangan yang memanfaatkan zero day.

Di sisi lain, ketika perusahaan yang terpengaruh benar-benar mempelajari tentang kerentanan zero day, mereka mungkin menemukan diri mereka dalam kebingungan, terutama jika kerentanan ada dalam sistem operasi atau perangkat lunak lain yang banyak digunakan, mereka harus menerima risiko serangan atau menutup aspek penting dari operasi mereka.

Pertahanan terhadap serangan zero day

Meskipun kerentanan dan serangan zero day merupakan masalah yang sangat serius, itu tidak berarti bahwa mitigasi terhadapnya tidak mungkin dilakukan. Berikut beberapa tips dari ESET:

• Latih pertahanan secara mendalam. Ingat, banyak pelanggaran adalah hasil dari rangkaian serangan yang mengeksploitasi berbagai kerentanan. Menjaga agar tambalan Anda tetap mutakhir dan staf Anda mengetahui praktik terbaik dapat memutus rantai itu. Server pusat data Anda mungkin terkena kerentanan zero day, misalnya, tetapi jika PERETAS tidak dapat menembus firewall terbaru Anda atau meyakinkan pengguna Anda untuk mengunduh trojan yang dilampirkan ke email phising, mereka tidak akan dapat untuk mengirimkan eksploitasi mereka ke sistem yang rentan tersebut.
• Waspadai gangguan. Karena Anda mungkin tidak tahu bentuk serangan zero day, Anda perlu mewaspadai segala jenis aktivitas yang mencurigakan. Bahkan jika peretas memasuki sistem Anda melalui kerentanan yang tidak diketahui, mereka akan meninggalkan tanda-tanda saat mereka mulai bergerak melintasi jaringan dan mungkin mengekstrak informasi. Sistem deteksi dan pencegahan intrusi dirancang untuk mengenali aktivitas semacam ini, dan antivirus tingkat lanjut mungkin juga mematok kode sebagai malware berdasarkan perilakunya, meskipun tidak cocok dengan tanda tangan yang ada.
• Kunci jaringan Anda. Perangkat atau server apa pun di perusahaan Anda secara teoritis dapat menyimpan kerentanan zero day, tetapi kemungkinan besar tidak semuanya seperti itu. Infrastruktur jaringan yang mempersulit peretas untuk berpindah dari komputer ke komputer dan mudah mengisolasi sistem yang dikompromikan dapat membantu membatasi kerusakan yang dapat dilakukan oleh serangan. Secara khusus, Anda ingin menerapkan kontrol akses berbasis peran untuk memastikan bahwa penyusup tidak bisa mendapatkan data berharga perusahaan dengan mudah.
• Pastikan untuk mencadangkan data. Terlepas dari upaya terbaik Anda, ada kemungkinan bahwa serangan zero day akan dapat membuat beberapa sistem offline, atau merusak atau menghapus data. Pencadangan yang rutin dan berkala akan memastikan bahwa Anda dapat bangkit kembali dari skenario terburuk seperti itu dengan cepat.

Jika perusahaan ingin sedari awal mengetahui hadirnya serangan siber yang datang untuk mengeksploitasi sistem atau jaringan perusahaan, ada langkah jitu yang dapat dilakukan, untuk lebih jelas bisa dilihat di sini.