Thursday, May 22, 2014

Antivirus Sudah Mati ?


http://images.detik.com/content/2014/05/21/323/125639_virus6.jpgIlustrasi (Ist.)
Jakarta - "Virus hanyalah mitos urban, seperti mengharapkan aligator di selokan New York". Pernyataan ini diungkapkan oleh Peter Norton di tahun 1988. Ironisnya, Norton Antivirus kemudian menjadi salah satu produk antivirus paling populer untuk menghadapi mitos urban.

Demikian pula dengan Alan Solomon, pembuat Solomon Antivirus yang diakuisisi oleh McAfee mengeluarkan pernyataan yang sama 15 tahun yang lalu. "Antivirus sudah mati dan tidak diperlukan".

Lalu, seperti tidak mau belajar dari sejarah, petinggi Symantec pada awal Mei 2014 juga ikut-kutan mengeluarkan klaim 'Antivirus is Dead' dalam wawancara dengan Wallstreet dan kontan menggemparkan pada penggiat sekuriti.

Jika yang dimaksudkan adalah software antivirus yang berbasiskan pengenalan sidik jari (signature) untuk mendeteksi virus, hal ini sudah terjadi sejak lama dan tidak perlu diberitahu para vendor antivirus juga sudah tahu.

Seperti kita ketahui, jika mengandalkan sidik jari malware, vendor antivirus harus mendapatkan contoh malware terlebih dahulu untuk mengenali satu malware untuk kemudian menyebarkan pengenalan signature ini ke server update antivirus. Dimana seluruh program antivirus yang terinstal di seluruh dunia dalam waktu singkat akan dapat mengenali malware yang baru dideteksi dengan cara mengupdate definisi ke server antivirus tersebut.

Namun karena malware memiliki banyak cara untuk mengelabui antivirus seperti teknik polymorphic dan sejenisnya dimana satu malware yang sudah terdeteksi antivirus bisa mereplikasi dirinya menjadi ribuan file baru dengan sidik jari (MD5) yang berbeda, tentunya akan mustahil bagi antivirus untuk mengandalkan pengenalan sidik jari dan harus menggunakan teknologi lain.

Hal ini yang membuat vendor antivirus berlomba-lomba meningkatkan teknologi pendeteksian malware dengan tidak hanya mengandalkan sidik jari malware saja. Beberapa teknologi yang digunakan adalah teknologi heuristic, sandbox, behaviour checking atau bank guard yang mampu mendeteksi hampir 100% trojan malware yang mengeksploitasi pengguna internet banking dan e-commerce dengan cara menginjeksi proses peramban.
Jadi pernyataan di atas mungkin benar kalau program antivirus 'hanya' mengandalkan 100% pada deteksi sidik jari malware, namun dengan kemunculan 8.000 varian malware baru setiap hari seperti yang dikemukakan oleh laboratorium virus Gdata, justru kecepatan untuk memberikan respons terhadap ancaman dan teknologi deteksi yang digunakan menjadi faktor krusial dalam menghadapi malware. 

Apakah karena saking banyaknya malware yang harus kita hadapi setiap hari lalu kita harus melemparkan handuk dan menyerah? Justru karena tingginya ancaman malware inilah solusi reaktif dan proaktif digunakan oleh program antivirus modern sehingga mereka dapat memberikan perlindungan, bahkan terhadap malware baru yang belum pernah didapatkan sampelnya sebelumnya.

Industri sekuriti adalah suatu pertarungan abadi antara penyerang dengan yang diserang dan perlombaan ini ibarat perlombaan maraton seumur hidup dan tidak akan pernah berakhir selama manusia masih hidup dan menggunakan komputer.

Faktanya hari ini adalah produsen antivirus yang belasan tahun lalu bisa dihitung jari, hari ini bukannya mati bahkan sebaliknya malah bertambah menjadi 108 merek (menurut data Virus bulletin) per akhir Mei 2014. 


Gambar 1: Produsen antivirus bukannya mati tetapi berkembang menjadi 108 merek sampai akhir Mei 2014.

Bahkan perkembangan terakhir dimana OS Windows yang perkembangannya cenderung stagnan dibandingkan dengan OS Android yang melesat membuat pernyataan ini lebih tidak tepat lagi. 

Sekalipun Windows mengalami penurunan pangsa pasar dibandingkan Android, logikanya pangsa pasar antivirus juga akan stagnan atau nanti pelan-pelan mati. Namun rupanya ancaman malware bergeser ke Android dan saat ini vendor antivirus malah berlomba-lomba memberikan solusi antivirus untuk Android.
Jadi, bukannya mati malah vendor antivirus makin pusing memberikan solusi antivirus pada platform lain seperti Android dan Mac yang mulai diminati malware.

Sumber Malware

Untuk mengetahui tingkat ancaman dan sejauh mana kemampuan program antivirus melindungi penggunanya dari ancaman-ancaman tersebut, secara umum malware bisa digolongkan ke dalam 3 sumber:

1. Ancaman newbie atau script kiddie
Ancaman dari newbie atau script kiddie merupakan jenis ancaman yang datang dari programmer pemula yang dengan kemampuan dan pengetahuan pemrograman yang rendah dan sedang namun karena adanya tools atau software bantuan yang sangat memudahkan membuat malware baru. 

Ancaman ini selalu akan ada karena newbie di komputer akan selalu bermunculan seiring dengan berjalannya waktu, salah satu contohnya adalah virus-virus lokal yang banyak berkeliaran di Indonesia. Untuk ancaman seperti ini pada umumnya program antivirus yang terupdate dapat menangani dengan baik.

2. Ancaman dari organisasi pembuat malware terorganisir.
Lebih tinggi dari newbie adalah pembuat malware terorganisir yang mendapatkan keuntungan finansial dari aktivitas malwarenya. Sebagai contoh pembuat DNSChanger, spyware, adware atau foistware yang mendapatkan keuntungan finansial dari aksi jahatnya. Menghadapi pembuat malware terorganisir ini perusahaan antivirus sebenarnya sudah mendapatkan lawan yang sepadan.

Mengapa? Karena pembuat malware terorganisir ini seperti perusahaan antivirus juga memiliki sumber pendanaan dari aktivitas jahatnya sehingga mampu selalu mengupdate malware yang mereka ciptakan ke tingkat yang lebih sulit dideteksi setiap kali bisa berhasil dideteksi oleh antivirus.
Bahkan beberapa foistware berhasil memanfaatkan celah hukum untuk menginstalkan dirinya pada komputer korbannya dan meskipun mereka sudah terang-terangan menjalankan aksinya namun tidak terjangkau oleh hukum karena memanfaatkan celah hukum (EULA) dimana secara tidak sadar, pemilik komputer menyetujui menginstal aplikasi foistware atau spyware ketika menginstal program freeware lainnya.

3. Ancaman dari organisasi dengan sumber daya tidak terbatas
Jujur saja, kalau membicarakan organisasi dengan sumber daya tidak terbatas, ibaratnya pemain antivirus adalah petinju kelas bulu dan jika harus menghadapi organisasi dengan sumber daya dan dana tidak terbatas ibaratnya harus mengalahkan petinju kelas berat. 

Jangankan perusahaan antivirus, penulis berkeyakinan perusahaan seperti FireEye yang digadang-gadang setingkat di atas perusahaan antivirus dan memiliki kemampuan mendeteksi ancaman di tingkat jaringan lebih baik dari perusahaan antivirus tetap bukan merupakan lawan yang sepadan dari organisasi dengan sumber daya tidak terbatas ini. 

Meskipun kelihatannya petinju kelas bantam lebih kuat dari petinju kelas bulu, namun kalau lawannya petinju kelas berat. Tetap saja tidak sekali ditinju bisa-bisa langsung KO. 

Contohnya adalah kasus seperti Uroburos, Stuxnet, Duqu dan Flame yang lolos dari deteksi antivirus pada awal munculnya dan kemudian dideteksi oleh antivirus setelah menjalankan aksinya bertahun-tahun. 

Malware yang disebutkan di atas adalah malware yang dibuat oleh organisasi yang memiliki sumber daya tidak terbatas (seperti dinas rahasia negara) dan memiliki sasaran spesifik seperti departemen pertahanan, divisi riset dari korporasi besar dan penting seperti perusahaan obat raksasa, dinas rahasia atau departemen negara yang mengandung informasi penting yang seharusnya memang sudah mengetahui kalau mereka menjadi sasaran dan melakukan tindakan pencegahan yang diperlukan dalam mengamankan data penting yang bersifat krusial atau strategis. 

Lihat malware Uroburos yang berhasil menginfeksi komputer Departemen Luar Negeri Belgia dan disinyalir dikendalikan oleh pihak Rusia guna mendapatkan dokumen informasi penting milik negara-negara Uni Eropa dalam krisis Ukraina.
Uroburos dideteksi oleh Gdata pada Februari 2014, lalu dorman (berdiam diri) dan tidak terdeteksi oleh program antivirus lain sampai ia menjalankan aksinya pada bulan Mei 2014 mencuri dokumen berisi krisis Ukraina yang dimiliki oleh negara-negara Eropa Barat yang berseberangan dengan Rusia dalam krisis Ukraina.

Namun jika Anda bukan termasuk dalam golongan pengguna komputer yang menjadi sasaran dari state sponsored malware, rasanya tidak banyak negara yang tertarik pada data yang sifatnya pribadi dan tidak mengandung nilai strategis.

Evolusi Antivirus

Antivirus memang tidak seharusnya mengandalkan definisi semata. Sebagai contoh kasus malware Happy Images yang menginfeksi komputer dan mengeksploitasi akun Facebook korbannya dengan mengirimkan FBChat tanpa sepengetahuan pemilik akun dan tidak terdeteksi oleh mayoritas program antivirus, namun masih ada beberapa program antivirus yang mampu mendeteksi malware ini tanpa tergantung pada update definisi (lihat gambar 2). 

Perhatikan pada gambar di bawah pada tanggal 7 Mei 2014, hanya 10 merek antivirus yang mampu mendeteksi malware tersebut dan sisanya 47 program antivirus tidak memiliki teknologi yang memadai untuk mendeteksi malware ini.


Gambar 2: Happy Images yang tidak terdeteksi oleh mayoritas antivirus.

Vendor Antivirus diwajibkan untuk selalu menyesuaikan diri dengan trik dan teknik ancaman malware terkini, salah satu yang sangat krusial adalah perlindungan terhadap malware yang melakukan eksploitasi terhadap celah keamanan piranti lunak.
Seperti kita ketahui, meskipun sudah dilindungi dengan update definisi antivirus terbaru, komputer yang mengandung celah keamanan tetap akan takluk dan antivirus tidak akan berdaya melindungi jika malware mengeksploitasi celah keamanan piranti lunak yang belum ditambal (patch) yang terkandung pada sistem komputer tersebut. 

Adapun celah keamanan pada piranti lunak sangat luas dan selalu ditemukan setiap hari dan menjadi incaran khususnya pada piranti lunak yang banyak digunakan seperti OS Windows, MS Office, Acrobat Reader, Macromedia Flash, peramban Firefox, Chrome, Internet Explorer sampai Java. 

Kabar buruknya, khusus untuk piranti lunak cross platform, eksploitasi celah keamanan bukan monopoli OS Windows yang merupakan favorit pembuat malware namun juga OS lain yang menggunakan piranti lunak yang mengandung celah keamanan tersebut juga rentan terhadap eksploitasi. 

Ambil contoh kasus celah keamanan Heartbleed yang terkandung pada OpenSSL dan digunakan pada mayoritas OS Linux seperti Debian, Ubuntu, FreeBSD dan Centos sehingga mengakibatkan OS tersebut juga rentan terhadap eksploitasi celah keamanan ini.

Terhadap ancaman terhadap eksploitasi celah keamanan yang selama ini menjadi kelemahan utama program antivirus, beberapa vendor sekuriti terkemuka seperti G Data mengembangkan teknologi untuk melindungi proses piranti lunak yang berjalan sehingga mampu mencegah ekslploitasi terhadap celah keamanan pada sistem yang belum di tambal (patch) atau belum sempat melakukan patch. 

Hal yang selama ini merupakan impian dan dianggap tidak mungkin menjadi mungkin. Jadi dengan teknologi Exploit Protection kini memungkinkan beberapa program antivirus terkemuka melindungi sistem komputer yang mengandung celah keamanan dari eksploitasi, sekalipun celah keamanan tersebut belum ditambal/patch. 

Inovasi ini membawa perlindungan terhadap sistem komputer ke tingkat yang lebih tinggi dan pengguna komputer bisa lebih tenang menjalankan aktivitasnya.


*) PenulisAlfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.

Sumber : http://inet.detik.com/read/2014/05/21/125125/2588208/323/6/antivirus-sudah-mati--lagi-

0 comments:

Post a Comment

Followers

  © Blogger template 'A Click Apart' by Ourblogtemplates.com 2008

Back to TOP