Insiden CrowdStrike Memberikan Peta Jalan bagi Musuh untuk Mengekspos Kerentanan Amerika
(nytimes.com)Apa yang Terjadi pada Ketahanan Digital?
-
Penyebab bencana digital
- Gangguan digital yang pada hari Jumat memengaruhi bandara, rumah sakit, dan stasiun TV disebabkan oleh bug dalam pembaruan perangkat lunak
- Ini bukan ulah kekuatan musuh, melainkan sebuah insiden yang mengungkap kerentanan Amerika
-
Mengapa pemulihan sulit
- Pemerintahan Biden telah mensimulasikan skenario serangan oleh peretas Rusia dan Tiongkok
- Namun insiden kali ini disebabkan oleh kesalahan manusia yang sederhana
- Dalam sistem jaringan yang kompleks, kesalahan kecil dapat menimbulkan masalah besar
-
Reaksi para pejuang siber
- Mereka merasa lega karena insiden ini bukan serangan tingkat negara
- Malware seperti Volt Typhoon dari Tiongkok sulit ditemukan dan lebih sulit lagi dihapus
- Insiden ini sekali lagi memperlihatkan batas ketahanan siber
-
Kerja sama pemerintah dan swasta
- Dalam beberapa tahun terakhir, Amerika Serikat mulai menangani masalah keamanan siber dengan serius
- Lembaga pemerintah seperti FBI, NSA, dan CISA bekerja sama dengan perusahaan swasta untuk berbagi kerentanan dan memperingatkan tentang peretas
- Presiden Biden membentuk dewan peninjauan keselamatan siber yang meninjau insiden-insiden besar
Ringkasan GN⁺
- Insiden ini adalah gangguan digital yang terjadi akibat kesalahan dalam pembaruan perangkat lunak sederhana
- Insiden ini mengungkap kerentanan sistem jaringan yang kompleks dan menunjukkan batas ketahanan siber
- Kerja sama antara pemerintah dan sektor swasta penting, dan sistem untuk meninjau insiden besar diperlukan
- Produk atau proyek dengan fungsi serupa mencakup perangkat lunak keamanan siber seperti CrowdStrike
1 komentar
Pendapat di Hacker News
Menarik bahwa di antara ulasan yang saya lihat di media, hampir tidak ada yang mengatakan bahwa OS yang membutuhkan patch keamanan terlalu sering sejak awal seharusnya tidak dipakai untuk infrastruktur
Saya juga melihat foto layar daftar penerbangan di papan informasi bandara yang menampilkan blue screen, dan jadi bertanya-tanya mengapa hal seperti ini tidak dibuat di atas Linux atau OpenBSD
Keamanan bukan fitur yang ditambahkan belakangan, melainkan harus tertanam sejak awal; sekarang sudah muncul seluruh industri yang mencoba menambal keamanan di atas Windows, tetapi tetap saja tidak bekerja dengan semestinya
Dalam praktiknya, banyak juga yang awalnya dibuat untuk DOS atau OS/2 lalu berpindah ke NT4, dan sejarah, inersia, kebiasaan, biaya, serta kemudahan dukungan semuanya berperan
Keamanan bukan produk, melainkan proses; distro-distro pun membutuhkan pembaruan yang sering, tetapi cakupan perangkat lunak yang terpasang bisa dikurangi
Perangkat display bandara mungkin tidak membutuhkan codec seperti MPEG2 atau VP1
Untuk sistem khusus seperti ini juga banyak perangkat lunak buatan bengkel kecil, sehingga meski kita menginginkan SAML/OIDC, yang didukung hanya LDAP plaintext atau paling-paling Active Directory; meski kita menginginkan Apache Tomcat terbaru, vendor tidak mampu menyelesaikan masalahnya sehingga hanya “mendukung” versi rentan yang sudah berumur 3 tahun
Jika hipotesis bahwa penyebab blue screen CrowdStrike adalah null pointer benar, seharusnya mereka memakai bahasa yang aman, dan dalam kasus ini saya rasa mudah untuk menimpakan tanggung jawab kepada CrowdStrike
Microsoft menyediakan senapan tabur; memastikan larasnya tidak diarahkan ke diri sendiri adalah tanggung jawab vendor
https://news.ycombinator.com/item?id=41018029
Karena itu berarti masalah sedang diangkat dan risiko sedang dimitigasi
Keamanan bukan checklist, melainkan lebih seperti proses tanpa akhir seiring lingkungan yang terus berubah; OS yang tidak menerima pembaruan atau tidak sering diperbarui bukanlah pilihan yang lebih baik
Yang diinginkan adalah pembaruan yang tidak membuat OS menjadi tidak stabil, dan di balik itu ada lapisan keputusan yang sangat besar yang dibangun tiap organisasi saat mengoperasikan perangkat-perangkat ini
Keamanan harus dirancang secara berlapis dan harus tertanam
Bukan berarti “tidak bekerja”; justru karena sudah lama berjalan tanpa banyak suara, sistem itu telah bekerja, dan manusia hanya melihat kegagalan yang mencolok
Sebagian besar orang tahu cara memakai komputer Windows, tenaga dukungan IT desktop juga terbiasa mengelola Windows, dan tim fasilitas gedung pun sampai batas tertentu bisa membantu
Microsoft membuat kumpulan komputer mudah dikelola, serta menyediakan pelatihan dan sertifikasi sendiri ditambah banyak pelatihan pihak ketiga
Windows pada dasarnya adalah mesin standar untuk pekerjaan, dan sebagian besar perusahaan signage juga memakai Windows
Tidak mudah mencari orang yang paham BSD
Big Brand adalah sasaran yang baik, tetapi proyek open source seperti OpenBSD tidak demikian
Meski terjadi kerugian jutaan dolar, kecil kemungkinan seorang CTO dipecat hanya karena memilih Windows+CrowdStrike alih-alih Linux/BSD
Ungkapan “tidak ada orang yang dipecat karena membeli IBM” setidaknya masih berlaku di dunia korporat
Saya bahkan tidak yakin apakah “resiliensi digital” pernah benar-benar ada, dan kalau memang ada, saya penasaran kapan itu terjadi
Kekacauan kali ini memang bukan disebabkan oleh pihak lawan, tetapi pada dasarnya memberikan peta kerentanan AS pada saat yang krusial
Pihak-pihak yang tidak berhubungan baik dengan AS kemungkinan besar sudah membuat dan menimbun peta kerentanan seperti ini
Mengejutkan, tetapi di sisi lain juga jelas, bahwa AS dan negara-negara lain bersikap longgar terhadap ancaman semacam ini dan tidak memperkuat kerentanan lebih jauh
Biaya memang salah satu faktor, tetapi menurut saya faktor yang lebih besar adalah kenyamanan
Jika sistem diperkuat untuk menghadapi kerentanan, sistem menjadi kurang nyaman dan kurang mudah digunakan, dan orang-orang langsung menolak
Saat Microsoft merilis Windows, terutama Windows 95, mereka berusaha merebut pengguna non-ahli dengan membuat semuanya mudah dilakukan hanya dengan klik, dan keamanan tidak cukup dipertimbangkan
Ketika virus, kerentanan, dan intrusi menjadi tak terkendali, pembatasan mulai diperkenalkan, dan pengguna kehilangan sebagian kebebasan yang sudah mereka biasakan
Microsoft membuat dunia terbiasa dengan cara operasi yang longgar, dan sejak itu setiap upaya untuk membalikkan keadaan terus berbenturan dengan penolakan pengguna
Kita kini terjebak dalam masalah besar yang bahkan sebelum peluncuran Windows 95 pun mudah diprediksi, dan memperbaikinya akan sangat sulit
Perusahaan tidak diberi imbalan untuk menjalankan sistem komputer yang aman, redundan, dan andal; mereka diberi imbalan agar angka paling bawah di laporan laba rugi melampaui ekspektasi yang ditetapkan 90 hari sebelumnya oleh analis di Lower Manhattan
Karena di AS sebagian besar urusan masyarakat ditangani oleh perusahaan, sistem-sistem penting pun dirancang seperti itu
Perkara ini mungkin masuk pengadilan dan CrowdStrike mungkin harus diakuisisi untuk mengganti kerugian yang ditimbulkannya kepada pelanggan sejak 19 Juli, tetapi itu akan memakan waktu bertahun-tahun, dan para penggugat mungkin hanya menerima ganti rugi simbolis atau bahkan tidak menerima apa pun
Pada saat itu, pasar sudah melakukan hedging, menangkap regulator, memangkas kerugian, lalu melanjutkan begitu saja
Asetnya akan dibeli murah oleh orang-orang yang melihat ini sebagai “penghancuran kreatif”, tanpa peduli bahwa nyawa orang telah dipertaruhkan
Dan siklusnya akan terus berlanjut
Hampir semua infrastruktur kritisnya telah diserang secara siber selama bertahun-tahun; sistem sempat turun dan mengalami gangguan, tetapi mereka beradaptasi
Kadang mereka kembali ke solusi berteknologi rendah, kadang mereka membangun sistem baru yang tangguh dan menyingkirkan yang lama
Jika masalahnya konkret dan mendesak, secara politik jauh lebih mudah untuk membenarkannya
Seingat saya, salah satu langkah pertama yang diambil AS ketika ketegangan mulai meningkat adalah mengirim tim pakar keamanan siber NSA untuk membantu penguncian dan pembersihan intrusi
Karena lebih mudah mencetak poin dan terlihat seolah-olah sedang melakukan sesuatu
Sementara pertahanan adalah pekerjaan membosankan: melindungi begitu banyak endpoint tua, atau meyakinkan perusahaan raksasa yang sangat menguntungkan agar melakukan hal yang kurang rentan tetapi kurang profitable
Masa ketika instalasi perangkat lunak berada di dalam jaringan privat, mesin dan topologi memiliki struktur yang pada dasarnya berbeda, dan berbagai perangkat lunak—meski kualitasnya rendah—digunakan, jauh lebih tangguh daripada hari ini
Sekarang satu gangguan pada layanan tunggal seperti AWS dapat menghentikan banyak perusahaan, dan pembaruan buruk seperti ini langsung berdampak pada semua orang serta menimbulkan efek domino
Dulu hal seperti ini tidak umum
Kita telah memusatkan arsitektur kolektif kita pada segelintir tool praktik terbaik, dan itu menjadi titik kegagalan tunggal bukan hanya untuk serangan digital, tetapi juga untuk salah konfigurasi, kegagalan manajemen, kegagalan perusahaan, engineer bergaji rendah yang kelelahan, dan optimisasi
Saya tidak setuju bahwa penguatan sistem pasti membuatnya kurang nyaman
Dalam 10 tahun terakhir, industri keamanan justru bergerak ke arah sebaliknya, dan menyadari bahwa keamanan yang terlalu ketat membuat pengguna mencari jalan pintas yang sederhana dan dapat diprediksi, sehingga melemahkan postur keamanan secara keseluruhan
Lihat saja perubahan rekomendasi NIST tentang kata sandi
Jika harus diganti setiap 90 hari, berbeda dari 10 kata sandi sebelumnya, dan masih ada syarat kompleksitas, pengguna akan memakai panjang minimum dengan pola yang mudah ditebak lalu hanya menaikkan angka di akhir
Hash kata sandi lama yang disimpan untuk memeriksa penggunaan ulang menjadi beban karena saat terjadi kebocoran, itu memberi tahu penyerang pola masing-masing pengguna
Saat ini jauh lebih banyak keamanan yang dapat digunakan diterapkan dengan cara yang nyaris atau sepenuhnya transparan bagi pengguna akhir
CAPTCHA di situs web lama umum, buruk, dan mudah dilewati, tetapi solusi CAPTCHA dari Cloudflare dan Google cukup transparan sekaligus jauh lebih efektif
Memang benar bahwa kelonggaran Microsoft yang menyeluruh dan berkelanjutan berkontribusi pada praktik keamanan yang buruk, tetapi ekosistem itu memiliki sisi aneh karena lingkungannya secara inheren tidak stabil, dan kecuali pada puncak singkat tertentu, hampir tidak pernah menjadi fondasi inti infrastruktur internet
Sayangnya, di infrastruktur korporat, Microsoft memang menjadi inti, dan tampaknya tidak pernah menerima memo tentang keamanan yang usable atau transparan
Semoga sekarang mereka setidaknya berupaya di balik layar
Dengan cara yang terdistorsi, CrowdStrike bisa dibilang telah melakukan uji paksa pemulihan bencana dan resiliensi bagi peradaban Barat
Serangan sungguhan tidak akan di-rollback dalam satu jam
CrowdStrike bukan satu-satunya perusahaan yang punya akses berskala besar ke begitu banyak perusahaan, pemerintah, dan sumber daya
Jika satu orang karyawan internal menyebarkan penghapus disk sehingga menghancurkan bukan hanya Windows, tetapi juga komputer Linux dan macOS, sistem yang terdampak bisa sama sekali tidak pulih
Dalam kasus seperti itu, sistem inti bisa butuh berbulan-bulan untuk kembali online, dan ekonomi dunia bisa berhenti lebih parah daripada saat COVID
Intinya memang juga “mengapa CrowdStrike tidak bekerja lebih baik”, tetapi secara lebih luas, mengapa teknologi sistem inti tidak lebih tangguh terhadap kesalahan atau peretasan dari satu vendor
Misalnya, jika bukan boot loop melainkan penghapus disk yang menghapus semua disk boot, saya bertanya-tanya apakah ada alasan server, ATM, kios, POS, dan sebagainya tidak bisa dikonfigurasi sebelumnya dengan image pemulihan PXE boot atau image cadangan
Bahkan jika UEFI dan BIOS ikut terhapus, tampaknya bukan berarti implementasi mekanisme pemulihan otomatis secara teknis mustahil
Jika belum pernah melakukan analisis akar penyebab dalam respons insiden IT/keamanan, bisa dimaklumi bila tidak berpikir lebih dalam, tetapi ransomware, penghapus disk, dan risiko rantai pasok sudah merajalela selama lebih dari 10 tahun, dan analisis akar penyebab yang selama ini hilang justru jenis seperti ini
Mudah mencari pihak untuk disalahkan dan marah, tetapi itu tidak menyelesaikan akar penyebab
Mengambil keputusan teknis yang sulit, tidak menyia-nyiakan krisis yang baik, dan mendorong investasi teknologi yang resilienlah yang benar-benar menyelesaikan akar penyebab masalah ini dan masalah-masalah berulang
Pada titik tertentu, hal-hal seperti ini memang bisa dibuat tidak dapat dipulihkan, tetapi itu bukan masalah sebenarnya yang perlu diselesaikan
Selangkah lebih jauh, penekanan pada keamanan sedang mengorbankan pembahasan tentang resiliensi
Khususnya secara finansial, resiliensi jauh lebih penting daripada keamanan
Ini sudah menjadi rahasia umum selama puluhan tahun
Vendor OS dan browser besar hanya sedikit, mereka terus mengirim patch, dan sebagian besar software memiliki rantai pasok yang begitu luas sehingga secara praktis mustahil mengaudit apa pun dan sulit pula menyertifikasi bahwa sesuatu benar-benar aman
Software “keamanan” hanya memperluas permukaan serangan
Semua orang di industri sudah tahu hal ini, jadi menarik bahwa NYT baru sekarang mengejarnya
Kalau perusahaan di luar AS, menurut saya gila memakai layanan CrowdStrike ini
FBI bisa, lewat surat perintah rahasia, memaksa CrowdStrike menyuntikkan DLL ke infrastruktur
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
Sepemahaman saya, pemerintah AS bisa memerintahkan perusahaan menyerahkan data, tetapi tidak bisa memaksa mereka benar-benar melakukan pekerjaan
Inti sengketa antara pemerintah dan Apple setelah penembakan San Bernardino juga ada di bagian ini, dan Apple punya hak hukum untuk menolak memberikan bantuan
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
Fakta bahwa NSA dan CIA sampai mencegat pengiriman laptop/ponsel dan mengerjakannya sendiri untuk menanam backdoor juga mengisyaratkan bahwa tindakan seperti ini tidak bisa dipaksakan
Kemarin saya bilang kepada keluarga bahwa kalau kita benar-benar masuk perang, dalam 8 jam semuanya akan berhenti berfungsi
Kita akan kembali ke uang tunai dan pekerjaan berbasis dokumen, tetapi itu akan menyakitkan dan lambat
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
Gangguan sebagian besar terbatas pada infrastruktur fisik yang terkena serangan rudal, dan Rusia juga bukan pihak yang lemah dalam perang digital
Bukan berarti kekurangan hacker bermusuhan
Yang dibutuhkan adalah “keragaman”, tentu saja bukan keragaman dalam arti kelompok terpinggirkan
Jika lebih banyak peralatan inti menjalankan OS yang berbeda-beda, kerusakannya akan terbatas
Risiko “monokultur” biasanya dibicarakan untuk tanaman, tetapi risiko yang sama juga berlaku pada infrastruktur komputasi
Fakta bahwa peradaban tidak runtuh dengan sendirinya adalah bukti bahwa ada sangat banyak infrastruktur yang tidak memakai Windows dan CrowdStrike
Kalau boleh berkata agak kasar, menurut saya perusahaan-perusahaan yang terdampak CrowdStrike juga ikut menanggung sebagian tanggung jawab atas kejadian kemarin
CrowdStrike bahkan bukan pemain nomor satu di bidang ini, tetapi hal seperti ini terjadi karena efek jaringan
Jumlah platform yang diperlukan untuk mendapatkan tingkat keamanan seperti ini kemungkinan besar tidak realistis
Secara global, perusahaan yang menjalankan CrowdStrike di perangkat Windows mengalami gangguan komputer berskala besar
CrowdStrike dijual sebagai perangkat lunak anti-peretasan, tetapi dalam praktiknya merupakan perangkat lunak populer yang dipakai eksekutif level C untuk memantau perilaku karyawan
Dipasang dengan hak akses yang sangat tinggi, dan secara desain dibuat sulit diperbaiki atau dihapus
Saya penasaran apakah kejadian ini benar-benar akan memberi pelajaran kepada seseorang tentang sesuatu
Microsoft mengumumkan ada 8,5 juta perangkat yang terdampak, yang sulit dipercaya, tetapi melihat upaya respons bahkan di organisasi yang relatif menengah seperti kami, muncul pertanyaan yang sangat sederhana seperti “setengah karyawan bekerja jarak jauh, jadi bagaimana caranya mengakses perangkat-perangkat ini?”
Responsnya selama ini selalu “berapa biaya jika melakukan ini”, tetapi sekarang ada juga angka di sisi sebaliknya, yaitu “berapa biaya jika tidak melakukannya”
Akan bagus kalau ada screenshot
Saya tidak setuju dengan bagian ketika Kent Walker dari Google berkata, sambil menyatakan “bukannya tidak ada harapan”, bahwa AI memungkinkan kemajuan berarti dalam mengidentifikasi kerentanan, menambal celah, dan meningkatkan kualitas kode
Jika satu-satunya harapan hanyalah janji AI yang samar, menurut saya sebenarnya tidak ada harapan
Ini mirip dengan mengatakan bahwa cara terbaik untuk mencegah penembakan massal di sekolah adalah memberi guru senjata
Saya rasa AI tidak akan lebih mampu meyakinkan manajemen CrowdStrike bahwa strategi rollout bertahap layak mengeluarkan biaya
Masalah seperti ini disebabkan oleh manusia, bukan teknologi, jadi menambahkan lebih banyak teknologi tidak akan menyelesaikannya