1 poin oleh GN⁺ 2024-07-22 | 1 komentar | Bagikan ke WhatsApp

Apa yang Terjadi pada Ketahanan Digital?

  • Penyebab bencana digital

    • Gangguan digital yang pada hari Jumat memengaruhi bandara, rumah sakit, dan stasiun TV disebabkan oleh bug dalam pembaruan perangkat lunak
    • Ini bukan ulah kekuatan musuh, melainkan sebuah insiden yang mengungkap kerentanan Amerika
  • Mengapa pemulihan sulit

    • Pemerintahan Biden telah mensimulasikan skenario serangan oleh peretas Rusia dan Tiongkok
    • Namun insiden kali ini disebabkan oleh kesalahan manusia yang sederhana
    • Dalam sistem jaringan yang kompleks, kesalahan kecil dapat menimbulkan masalah besar
  • Reaksi para pejuang siber

    • Mereka merasa lega karena insiden ini bukan serangan tingkat negara
    • Malware seperti Volt Typhoon dari Tiongkok sulit ditemukan dan lebih sulit lagi dihapus
    • Insiden ini sekali lagi memperlihatkan batas ketahanan siber
  • Kerja sama pemerintah dan swasta

    • Dalam beberapa tahun terakhir, Amerika Serikat mulai menangani masalah keamanan siber dengan serius
    • Lembaga pemerintah seperti FBI, NSA, dan CISA bekerja sama dengan perusahaan swasta untuk berbagi kerentanan dan memperingatkan tentang peretas
    • Presiden Biden membentuk dewan peninjauan keselamatan siber yang meninjau insiden-insiden besar

Ringkasan GN⁺

  • Insiden ini adalah gangguan digital yang terjadi akibat kesalahan dalam pembaruan perangkat lunak sederhana
  • Insiden ini mengungkap kerentanan sistem jaringan yang kompleks dan menunjukkan batas ketahanan siber
  • Kerja sama antara pemerintah dan sektor swasta penting, dan sistem untuk meninjau insiden besar diperlukan
  • Produk atau proyek dengan fungsi serupa mencakup perangkat lunak keamanan siber seperti CrowdStrike

1 komentar

 
GN⁺ 2024-07-22
Pendapat di Hacker News
  • Menarik bahwa di antara ulasan yang saya lihat di media, hampir tidak ada yang mengatakan bahwa OS yang membutuhkan patch keamanan terlalu sering sejak awal seharusnya tidak dipakai untuk infrastruktur
    Saya juga melihat foto layar daftar penerbangan di papan informasi bandara yang menampilkan blue screen, dan jadi bertanya-tanya mengapa hal seperti ini tidak dibuat di atas Linux atau OpenBSD
    Keamanan bukan fitur yang ditambahkan belakangan, melainkan harus tertanam sejak awal; sekarang sudah muncul seluruh industri yang mencoba menambal keamanan di atas Windows, tetapi tetap saja tidak bekerja dengan semestinya

    • Kemungkinan besar karena vendor yang membuat perangkat lunak itu sejak dulu hanya membuatnya untuk Windows
      Dalam praktiknya, banyak juga yang awalnya dibuat untuk DOS atau OS/2 lalu berpindah ke NT4, dan sejarah, inersia, kebiasaan, biaya, serta kemudahan dukungan semuanya berperan
      Keamanan bukan produk, melainkan proses; distro-distro pun membutuhkan pembaruan yang sering, tetapi cakupan perangkat lunak yang terpasang bisa dikurangi
      Perangkat display bandara mungkin tidak membutuhkan codec seperti MPEG2 atau VP1
      Untuk sistem khusus seperti ini juga banyak perangkat lunak buatan bengkel kecil, sehingga meski kita menginginkan SAML/OIDC, yang didukung hanya LDAP plaintext atau paling-paling Active Directory; meski kita menginginkan Apache Tomcat terbaru, vendor tidak mampu menyelesaikan masalahnya sehingga hanya “mendukung” versi rentan yang sudah berumur 3 tahun
      Jika hipotesis bahwa penyebab blue screen CrowdStrike adalah null pointer benar, seharusnya mereka memakai bahasa yang aman, dan dalam kasus ini saya rasa mudah untuk menimpakan tanggung jawab kepada CrowdStrike
      Microsoft menyediakan senapan tabur; memastikan larasnya tidak diarahkan ke diri sendiri adalah tanggung jawab vendor
    • Di halaman depan saat ini juga ada tulisan bahwa CrowdStrike merusak Debian dan Rocky Linux beberapa bulan lalu, tetapi tidak ada yang tahu
      https://news.ycombinator.com/item?id=41018029
    • “OS yang sering menerima pembaruan keamanan” justru merupakan sinyal baik
      Karena itu berarti masalah sedang diangkat dan risiko sedang dimitigasi
      Keamanan bukan checklist, melainkan lebih seperti proses tanpa akhir seiring lingkungan yang terus berubah; OS yang tidak menerima pembaruan atau tidak sering diperbarui bukanlah pilihan yang lebih baik
      Yang diinginkan adalah pembaruan yang tidak membuat OS menjadi tidak stabil, dan di balik itu ada lapisan keputusan yang sangat besar yang dibangun tiap organisasi saat mengoperasikan perangkat-perangkat ini
      Keamanan harus dirancang secara berlapis dan harus tertanam
      Bukan berarti “tidak bekerja”; justru karena sudah lama berjalan tanpa banyak suara, sistem itu telah bekerja, dan manusia hanya melihat kegagalan yang mencolok
    • Staf bandara harus bisa mendukungnya, bukan hanya orang-orang gaya HN yang bisa menanganinya
      Sebagian besar orang tahu cara memakai komputer Windows, tenaga dukungan IT desktop juga terbiasa mengelola Windows, dan tim fasilitas gedung pun sampai batas tertentu bisa membantu
      Microsoft membuat kumpulan komputer mudah dikelola, serta menyediakan pelatihan dan sertifikasi sendiri ditambah banyak pelatihan pihak ketiga
      Windows pada dasarnya adalah mesin standar untuk pekerjaan, dan sebagian besar perusahaan signage juga memakai Windows
      Tidak mudah mencari orang yang paham BSD
    • Bagi banyak CTO/CISO, yang lebih penting daripada sistem yang stabil dan aman adalah sasaran yang baik untuk mengalihkan tanggung jawab saat terjadi masalah
      Big Brand adalah sasaran yang baik, tetapi proyek open source seperti OpenBSD tidak demikian
      Meski terjadi kerugian jutaan dolar, kecil kemungkinan seorang CTO dipecat hanya karena memilih Windows+CrowdStrike alih-alih Linux/BSD
      Ungkapan “tidak ada orang yang dipecat karena membeli IBM” setidaknya masih berlaku di dunia korporat
  • Saya bahkan tidak yakin apakah “resiliensi digital” pernah benar-benar ada, dan kalau memang ada, saya penasaran kapan itu terjadi
    Kekacauan kali ini memang bukan disebabkan oleh pihak lawan, tetapi pada dasarnya memberikan peta kerentanan AS pada saat yang krusial
    Pihak-pihak yang tidak berhubungan baik dengan AS kemungkinan besar sudah membuat dan menimbun peta kerentanan seperti ini
    Mengejutkan, tetapi di sisi lain juga jelas, bahwa AS dan negara-negara lain bersikap longgar terhadap ancaman semacam ini dan tidak memperkuat kerentanan lebih jauh
    Biaya memang salah satu faktor, tetapi menurut saya faktor yang lebih besar adalah kenyamanan
    Jika sistem diperkuat untuk menghadapi kerentanan, sistem menjadi kurang nyaman dan kurang mudah digunakan, dan orang-orang langsung menolak
    Saat Microsoft merilis Windows, terutama Windows 95, mereka berusaha merebut pengguna non-ahli dengan membuat semuanya mudah dilakukan hanya dengan klik, dan keamanan tidak cukup dipertimbangkan
    Ketika virus, kerentanan, dan intrusi menjadi tak terkendali, pembatasan mulai diperkenalkan, dan pengguna kehilangan sebagian kebebasan yang sudah mereka biasakan
    Microsoft membuat dunia terbiasa dengan cara operasi yang longgar, dan sejak itu setiap upaya untuk membalikkan keadaan terus berbenturan dengan penolakan pengguna
    Kita kini terjebak dalam masalah besar yang bahkan sebelum peluncuran Windows 95 pun mudah diprediksi, dan memperbaikinya akan sangat sulit

    • Perkataan Charlie Munger, “tunjukkan insentifnya, maka saya akan menunjukkan hasilnya,” memang benar
      Perusahaan tidak diberi imbalan untuk menjalankan sistem komputer yang aman, redundan, dan andal; mereka diberi imbalan agar angka paling bawah di laporan laba rugi melampaui ekspektasi yang ditetapkan 90 hari sebelumnya oleh analis di Lower Manhattan
      Karena di AS sebagian besar urusan masyarakat ditangani oleh perusahaan, sistem-sistem penting pun dirancang seperti itu
      Perkara ini mungkin masuk pengadilan dan CrowdStrike mungkin harus diakuisisi untuk mengganti kerugian yang ditimbulkannya kepada pelanggan sejak 19 Juli, tetapi itu akan memakan waktu bertahun-tahun, dan para penggugat mungkin hanya menerima ganti rugi simbolis atau bahkan tidak menerima apa pun
      Pada saat itu, pasar sudah melakukan hedging, menangkap regulator, memangkas kerugian, lalu melanjutkan begitu saja
      Asetnya akan dibeli murah oleh orang-orang yang melihat ini sebagai “penghancuran kreatif”, tanpa peduli bahwa nyawa orang telah dipertaruhkan
      Dan siklusnya akan terus berlanjut
    • Mempelajari pengalaman Ukraina akan sangat berguna, dan kemungkinan besar memang sudah berguna
      Hampir semua infrastruktur kritisnya telah diserang secara siber selama bertahun-tahun; sistem sempat turun dan mengalami gangguan, tetapi mereka beradaptasi
      Kadang mereka kembali ke solusi berteknologi rendah, kadang mereka membangun sistem baru yang tangguh dan menyingkirkan yang lama
      Jika masalahnya konkret dan mendesak, secara politik jauh lebih mudah untuk membenarkannya
      Seingat saya, salah satu langkah pertama yang diambil AS ketika ketegangan mulai meningkat adalah mengirim tim pakar keamanan siber NSA untuk membantu penguncian dan pembersihan intrusi
    • “Lembaga-lembaga siber” berfokus pada serangan
      Karena lebih mudah mencetak poin dan terlihat seolah-olah sedang melakukan sesuatu
      Sementara pertahanan adalah pekerjaan membosankan: melindungi begitu banyak endpoint tua, atau meyakinkan perusahaan raksasa yang sangat menguntungkan agar melakukan hal yang kurang rentan tetapi kurang profitable
    • Setidaknya pada tahun 90-an dan awal 2000-an, jika Anda menghubungkan sesuatu yang penting ke internet, Anda akan ditertawakan di ruang rapat dan langsung dipecat
    • Selama lama waktu, resiliensi memang menjadi tujuan, dan menurut saya sebelum cloud SaaS dan pembaruan otomatis mendominasi segalanya, kita lebih resilien
      Masa ketika instalasi perangkat lunak berada di dalam jaringan privat, mesin dan topologi memiliki struktur yang pada dasarnya berbeda, dan berbagai perangkat lunak—meski kualitasnya rendah—digunakan, jauh lebih tangguh daripada hari ini
      Sekarang satu gangguan pada layanan tunggal seperti AWS dapat menghentikan banyak perusahaan, dan pembaruan buruk seperti ini langsung berdampak pada semua orang serta menimbulkan efek domino
      Dulu hal seperti ini tidak umum
      Kita telah memusatkan arsitektur kolektif kita pada segelintir tool praktik terbaik, dan itu menjadi titik kegagalan tunggal bukan hanya untuk serangan digital, tetapi juga untuk salah konfigurasi, kegagalan manajemen, kegagalan perusahaan, engineer bergaji rendah yang kelelahan, dan optimisasi
      Saya tidak setuju bahwa penguatan sistem pasti membuatnya kurang nyaman
      Dalam 10 tahun terakhir, industri keamanan justru bergerak ke arah sebaliknya, dan menyadari bahwa keamanan yang terlalu ketat membuat pengguna mencari jalan pintas yang sederhana dan dapat diprediksi, sehingga melemahkan postur keamanan secara keseluruhan
      Lihat saja perubahan rekomendasi NIST tentang kata sandi
      Jika harus diganti setiap 90 hari, berbeda dari 10 kata sandi sebelumnya, dan masih ada syarat kompleksitas, pengguna akan memakai panjang minimum dengan pola yang mudah ditebak lalu hanya menaikkan angka di akhir
      Hash kata sandi lama yang disimpan untuk memeriksa penggunaan ulang menjadi beban karena saat terjadi kebocoran, itu memberi tahu penyerang pola masing-masing pengguna
      Saat ini jauh lebih banyak keamanan yang dapat digunakan diterapkan dengan cara yang nyaris atau sepenuhnya transparan bagi pengguna akhir
      CAPTCHA di situs web lama umum, buruk, dan mudah dilewati, tetapi solusi CAPTCHA dari Cloudflare dan Google cukup transparan sekaligus jauh lebih efektif
      Memang benar bahwa kelonggaran Microsoft yang menyeluruh dan berkelanjutan berkontribusi pada praktik keamanan yang buruk, tetapi ekosistem itu memiliki sisi aneh karena lingkungannya secara inheren tidak stabil, dan kecuali pada puncak singkat tertentu, hampir tidak pernah menjadi fondasi inti infrastruktur internet
      Sayangnya, di infrastruktur korporat, Microsoft memang menjadi inti, dan tampaknya tidak pernah menerima memo tentang keamanan yang usable atau transparan
      Semoga sekarang mereka setidaknya berupaya di balik layar
  • Dengan cara yang terdistorsi, CrowdStrike bisa dibilang telah melakukan uji paksa pemulihan bencana dan resiliensi bagi peradaban Barat
    Serangan sungguhan tidak akan di-rollback dalam satu jam
    CrowdStrike bukan satu-satunya perusahaan yang punya akses berskala besar ke begitu banyak perusahaan, pemerintah, dan sumber daya
    Jika satu orang karyawan internal menyebarkan penghapus disk sehingga menghancurkan bukan hanya Windows, tetapi juga komputer Linux dan macOS, sistem yang terdampak bisa sama sekali tidak pulih
    Dalam kasus seperti itu, sistem inti bisa butuh berbulan-bulan untuk kembali online, dan ekonomi dunia bisa berhenti lebih parah daripada saat COVID
    Intinya memang juga “mengapa CrowdStrike tidak bekerja lebih baik”, tetapi secara lebih luas, mengapa teknologi sistem inti tidak lebih tangguh terhadap kesalahan atau peretasan dari satu vendor
    Misalnya, jika bukan boot loop melainkan penghapus disk yang menghapus semua disk boot, saya bertanya-tanya apakah ada alasan server, ATM, kios, POS, dan sebagainya tidak bisa dikonfigurasi sebelumnya dengan image pemulihan PXE boot atau image cadangan
    Bahkan jika UEFI dan BIOS ikut terhapus, tampaknya bukan berarti implementasi mekanisme pemulihan otomatis secara teknis mustahil
    Jika belum pernah melakukan analisis akar penyebab dalam respons insiden IT/keamanan, bisa dimaklumi bila tidak berpikir lebih dalam, tetapi ransomware, penghapus disk, dan risiko rantai pasok sudah merajalela selama lebih dari 10 tahun, dan analisis akar penyebab yang selama ini hilang justru jenis seperti ini
    Mudah mencari pihak untuk disalahkan dan marah, tetapi itu tidak menyelesaikan akar penyebab
    Mengambil keputusan teknis yang sulit, tidak menyia-nyiakan krisis yang baik, dan mendorong investasi teknologi yang resilienlah yang benar-benar menyelesaikan akar penyebab masalah ini dan masalah-masalah berulang

    • Jika firmware benar-benar lenyap, diperlukan firmware cadangan
      Pada titik tertentu, hal-hal seperti ini memang bisa dibuat tidak dapat dipulihkan, tetapi itu bukan masalah sebenarnya yang perlu diselesaikan
      Selangkah lebih jauh, penekanan pada keamanan sedang mengorbankan pembahasan tentang resiliensi
      Khususnya secara finansial, resiliensi jauh lebih penting daripada keamanan
  • Ini sudah menjadi rahasia umum selama puluhan tahun
    Vendor OS dan browser besar hanya sedikit, mereka terus mengirim patch, dan sebagian besar software memiliki rantai pasok yang begitu luas sehingga secara praktis mustahil mengaudit apa pun dan sulit pula menyertifikasi bahwa sesuatu benar-benar aman
    Software “keamanan” hanya memperluas permukaan serangan
    Semua orang di industri sudah tahu hal ini, jadi menarik bahwa NYT baru sekarang mengejarnya

    • Mungkin NYT membahasnya karena ada peristiwa besar yang terjadi kemarin, dan karena mereka perusahaan berita
  • Kalau perusahaan di luar AS, menurut saya gila memakai layanan CrowdStrike ini
    FBI bisa, lewat surat perintah rahasia, memaksa CrowdStrike menyuntikkan DLL ke infrastruktur
    https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

    • Saya tidak yakin itu benar
      Sepemahaman saya, pemerintah AS bisa memerintahkan perusahaan menyerahkan data, tetapi tidak bisa memaksa mereka benar-benar melakukan pekerjaan
      Inti sengketa antara pemerintah dan Apple setelah penembakan San Bernardino juga ada di bagian ini, dan Apple punya hak hukum untuk menolak memberikan bantuan
      https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
      Fakta bahwa NSA dan CIA sampai mencegat pengiriman laptop/ponsel dan mengerjakannya sendiri untuk menanam backdoor juga mengisyaratkan bahwa tindakan seperti ini tidak bisa dipaksakan
    • Dalam kenyataan, kepatuhan PCI DSS lebih penting daripada paranoia terhadap FBI
    • Saya penasaran apakah Anda berpikir mereka tidak bisa atau tidak akan memaksa Microsoft mendorong “update” yang melakukan hal yang sama
  • Kemarin saya bilang kepada keluarga bahwa kalau kita benar-benar masuk perang, dalam 8 jam semuanya akan berhenti berfungsi
    Kita akan kembali ke uang tunai dan pekerjaan berbasis dokumen, tetapi itu akan menyakitkan dan lambat

  • Yang dibutuhkan adalah “keragaman”, tentu saja bukan keragaman dalam arti kelompok terpinggirkan
    Jika lebih banyak peralatan inti menjalankan OS yang berbeda-beda, kerusakannya akan terbatas
    Risiko “monokultur” biasanya dibicarakan untuk tanaman, tetapi risiko yang sama juga berlaku pada infrastruktur komputasi

    • Sampai tingkat tertentu, hal itu sudah terjadi
      Fakta bahwa peradaban tidak runtuh dengan sendirinya adalah bukti bahwa ada sangat banyak infrastruktur yang tidak memakai Windows dan CrowdStrike
    • Yang lebih sulit saya pahami adalah para penanggung jawab organisasi yang mengoperasikan sistem sangat kritis menerima gagasan bahwa penyedia software pihak ketiga bisa mendorong patch kapan saja
      Kalau boleh berkata agak kasar, menurut saya perusahaan-perusahaan yang terdampak CrowdStrike juga ikut menanggung sebagian tanggung jawab atas kejadian kemarin
    • Bahkan jika lebih banyak peralatan inti memakai OS lain, kalau semuanya menjalankan CrowdStrike yang sama, kerusakannya tidak akan terbatas
    • Tidak selalu begitu
      CrowdStrike bahkan bukan pemain nomor satu di bidang ini, tetapi hal seperti ini terjadi karena efek jaringan
      Jumlah platform yang diperlukan untuk mendapatkan tingkat keamanan seperti ini kemungkinan besar tidak realistis
  • Secara global, perusahaan yang menjalankan CrowdStrike di perangkat Windows mengalami gangguan komputer berskala besar
    CrowdStrike dijual sebagai perangkat lunak anti-peretasan, tetapi dalam praktiknya merupakan perangkat lunak populer yang dipakai eksekutif level C untuk memantau perilaku karyawan
    Dipasang dengan hak akses yang sangat tinggi, dan secara desain dibuat sulit diperbaiki atau dihapus
    Saya penasaran apakah kejadian ini benar-benar akan memberi pelajaran kepada seseorang tentang sesuatu

    • Sepertinya akan memberi pelajaran
      Microsoft mengumumkan ada 8,5 juta perangkat yang terdampak, yang sulit dipercaya, tetapi melihat upaya respons bahkan di organisasi yang relatif menengah seperti kami, muncul pertanyaan yang sangat sederhana seperti “setengah karyawan bekerja jarak jauh, jadi bagaimana caranya mengakses perangkat-perangkat ini?”
      Responsnya selama ini selalu “berapa biaya jika melakukan ini”, tetapi sekarang ada juga angka di sisi sebaliknya, yaitu “berapa biaya jika tidak melakukannya”
    • Perlu informasi lebih detail tentang fitur pemantauannya
      Akan bagus kalau ada screenshot
  • Saya tidak setuju dengan bagian ketika Kent Walker dari Google berkata, sambil menyatakan “bukannya tidak ada harapan”, bahwa AI memungkinkan kemajuan berarti dalam mengidentifikasi kerentanan, menambal celah, dan meningkatkan kualitas kode
    Jika satu-satunya harapan hanyalah janji AI yang samar, menurut saya sebenarnya tidak ada harapan

    • Benar
      Ini mirip dengan mengatakan bahwa cara terbaik untuk mencegah penembakan massal di sekolah adalah memberi guru senjata
      Saya rasa AI tidak akan lebih mampu meyakinkan manajemen CrowdStrike bahwa strategi rollout bertahap layak mengeluarkan biaya
      Masalah seperti ini disebabkan oleh manusia, bukan teknologi, jadi menambahkan lebih banyak teknologi tidak akan menyelesaikannya