Laxman Muthiyah, Spesialis Pemburu Bug Facebook
Laxman Muthiyah | Foto: The Economic Times
Chennai, Cyberthreat.id – Laxman Muthiyah bukanlah pemuda sembarangan. Usianya baru 22 tahun, tapi namanya sudah harum di jagat per-hacker-an.
Ia memang tak membobol sistem jaringan perusahaan terkemuka dunia. Atau, membocorkan data rahasia seperti Edward Snowden dan diburu polisi interpol.
Namun,namanya sudah terkenal di perusahaan raksasa media sosial Silicon Valley, Facebook.
Pada Februari 2015, perusahaan milik Mark Zuckerberg itu memberinya uang US$ 12.500, jika dikurs saat ini senilai Rp 174, 71 juta. Ia menemukan celah keamanan (bug) atau kerentanan pada sistem Facebook. Jadi, ia bisa masuk ke celah untuk menghapus album foto apa pun di Facebook tanpa izin pemiliknya.
Bulan berikutnya, 16 Maret, ia kembali diganjar uang ratusan juta. Atau, tepatnya sebesar US$ 10.000 atau saat ini berkisar Rp 139,76 ribu. Celah yang ia temukan yaitu memungkinkan seseorang melihat foto pribadi pengguna Facebook yang diambil melalui ponsel, bahkan sekalipun foto itu tidak diunggah di situs web Facebook.
Ia dapatkan rezeki nomplok dalam dua bulan itu saat usianya baru 22 tahun. “Berapa pun jumlah uang yang saya dapatkan hingga sekarang, saya telah memberikannya kepada orangtua saya. Mereka mungkin akan menggunakannya untuk membeli emas untuk pernikahan saudara perempuan saya,” kata dia sambil tertawa kala itu.
Ia adalah sarjana Teknik Ilmu Komputer dari Sri Venkateswara College of Engineering & Technology, sebuah perguruan tinggi teknik berpusat di Andhra Pradesh, negara bagian terbesar keempat di India dengan ibu kotanya yang terkenal Hyderabad. Wilayah pesisir ini memiliki panjang pantai 972 kilometer, terpanjang kedua dibandingkan negara-negara bagian lain di India.
Di kampus itu, Laxman menghabiskan belajarnya selama empat tahun (2010-2014). Sejak lulus ia tak perlu repot cari pekerjaan. Ia telah menemukan jiwanya sebagai bug hunter atau pemburu celah keamanan. Di media sosial, Linkedin, ia menulis dirinya sebagai peneliti keamanan independen.
Ia menguasai sejumlah program koding seperti Core PHP, HTML, JavaScript dan bahasa skrip lainnya.
Hadiah bagi para peretas ramah, “friendly hackers”, telah lama menjadi tren. Pada 2013,misalnya, rival Facebook yaitu Google dan Microsoft membuat semacam lomba. Ada hadiah senilai US$ 300 bagi mereka yang bisa menemukan celah di web. Bahkan, kedua raksasa teknologi itu menaikkan hadiahnya menjadi US$ 5.000 untuk deteksi bug kritis.
Dan, di India, jumlah para pemburu bug, khususnya Facebook, termasuk terbesar di dunia. Pada tahun pertama, mereka telah mengirimkan temuan 136 bug.
Pencarian bug pada Facebook telah dilakukan Laxman sejak 2013. Laxman memang mengharapkan sejumlah uang besar dari jerih payahnya memelototi skrip-skrip sistem yang dihadapinya. Kala itu, ia sendiri juga merasa bingung dengan hasil uang yang didapatkannya. “Siapa pun bisa menjadi pemburu bug. Kamu hanya perlu rasa penasaran,” kata dia seperti dikutip dari India Times, yang diakses Rabu (24 Juli 2019).
Untuk menjelaskan tentang pencarian celah itu, ia membuat sebuah analogi sederhana. “Jika Anda melihat sepeda, Kamu harus bertanya-tanya bagaimana cara kerjanya jika kamu menambah atau menghapus bagian-bagian tertentu,” ujar dia.
Menjadi seorang bug hunter yang bisa menemukan celah keamanan online, kata Laxman, tak perlu repot-repot belajar sebagai teknisi. Yang perlu menjadi konsen sebagai bug hunter yaitu terletak pada logical, privacy, privilege escalation, insufficient permission check, dan information leakage.
"Saya mempelajari dasar-dasar teknologi web di perguruan tinggi, tetapi semua yang terkait dengan kerentanan keamanan, saya pelajari sendiri dari Google," ungkap pengagum Zuckerberg, Bill Gates, dan Larry Page ini.
"Saya suka mereka karena kemampuan mereka untuk berpikir di luar kotak," katanya sambil berharap bisa diam-diam menonjol dari kerumunan seusianyai, sama seperti pahlawan teknologi.
Empat tahun beselang. Kini usianya telah 26 tahun. Pada, 10 Juli, rezeki datang lagi, kali ini dari Instagram, satu grup dengan Facebook. Ia mendapatkan sekitar Rp 417,95 juta karena menemukan celah.
Ketika pengguna ingin mengubah kata sandinya, kode enam digit dikirim ke ponsel pengguna dan mereka harus memasukkan kode itu dalam waktu 10 menit untuk dapat mengubah kata sandi.
Kode enam digit adalah “permainan” paling menyenangkan bagi hacker dengan sumber daya komputasi. Meski pengembang Instagram memang telah menerapkan “mekanisme pembatasan” untuk mencegah penyerang membobol kode enam digit itu (dengan teknik serangan brute-force), tetapi Laxman menemukan cara lain untuk menerobos sistem itu.
Ia melakukan uji coba dengan mengirim 1.000 kali permintaan yang berisi kode verifikasi, 250 di antaranya diproses oleh sistem. Ia kemudian mencoba kembali kode kombinasi dan kali ini membombardir Instagram sebanyak 200 ribu kali dari 1.000 alamat Internet Protocol berbeda.
Dan, teknik yang ia pakai adalah teknik race condition—situasi di mana beberapa proses mengakses dan memanipulasi data bersama secara bersamaan.
“Itu terdengar begitu besar ya, tapi itu sebenarnya mudah jika Anda menggunakan penyedia layanan cloud, seperti Amazon atau Google. Biayanya sekitar US$150 untuk melakukan serangan penuh untuk satu juta kode ke sembarang akun,” kata dia seperti dikutip dari SecurityWeek.com.
Logika sederhana dari teknik race condition begini: jika di sebuah ruangan terdapat sebuah lampu, tapi dibuat dengan dua saklar. Selanjutnya, lampu itu dihidupkan bersama-sama oleh dua orang dengan saklar masing-masing. Apa yang terjadi? Ada yang bisa menyalakan, ada yang gagal. Artinya satu instruksi bisa membatalkan instruksi lainnya.
Teknik race condition biasanya dipakai pada memori atau penyimpanan komputer. Kondisi itu dapat terjadi jika ada perintah untuk membaca dan menulis sejumlah data besar yang diterima pada saat hampir bersamaan. Akibatnya, mesin berusaha untuk menimpa sebagian atau semua data lama saat data lama sedang digunakan. Mesin dipaksa untuk membaca, membaca data lagi.
“Hasilnya bisa bermacam-macam mulai komputer crash, pemberitahuan dan penutupan program hingga kesalahan membaca data lama atau kesalahan menulis data baru,” demikian seperti dikutip dari SearchStorage.
Di masa-masa kuliahnya, ia menghabiskan sekitar enam jam setiap hari untuk mencari kerentanan keamanan online. Kini ia telah menguranginya menjadi beberapa jam. Dan, seperti anak-anak muda lainnya, di akhir pekan, bagaimanapun,itu adalah waktu untuk “mallhopping”.
"Teman-teman saya akan ‘membunuh’ saya jika saya mengabaikan mereka dan lebih banyak dengan komputer saya. Makanya, saya pergi ke mal dan gedung bioskop," katanya.
Orang tuanya biasa memarahinya karena terpaku pada komputer selama berjam-jam. Namun, akhirnya mereka bahagia atas prestasinya.
"Mereka tidak mengerti teknis dari apa yang saya lakukan. Faktanya, teman-teman dan keluarga saya mudah bosan dengan pembicaraan teknologi ini. Hanya, mereka meminta saya untuk menjaga kesehatan saya," katanya, tertawa.
Jadi, ketika berbicara tentang teknologi, Laxman memilih untuk mengobrol tentang hal itu dengan teman-teman online-nya.
Pada 2015, kala menemukan dua bug Facebook itu, ia masih bekerja di sebuh situs film Tamil sebagai web development. Pengaggum aktor Shah Rukh Kahn ini baru bisa beraksi memburu bug pada malam harinya. Dan, itulah kesenangannya, demi cita-citanya untuk menjadi ahli cybersecurity.
