KISAH PEMBURU KERENTANAN (2)

​​​​​​​Netscape sebagai Pelopor, Mozilla Penyelenggara Bug Bounty Tertua

Netscape | Foto: engadget.com

Cyberthreat.id – Program bug bounty—sayembara pencarian celah keamanan (bug) berhadiah—ini sebenarnya bukan baru-baru ini saja hadir. Namun, ada sejak lama. Pelopornya: Netscape, perusahaan peramban web sebelum Google yang meluncurkan programnya pada 1995.

Mozilla, pengembang peramban Firefox, pun mengikuti jejak Netscape beberapa tahun kemudian dengan meluncurkan program serupa dan masih berjalan hingga sekarang.

Mozilla saat itu memulai dengan imbalan uang yang cukup untuk 10 hadiah. "Kami adalah penyelenggara program bug bounty keamanan tertua yang masih beroperasi," kata Daniel Veditz, insinyur keamanan staf senior di Mozilla.

"Kami sebagai perusahaan kecil, inilah tampaknya cara yang baik untuk mendorong orang-orang melihat masalah keamanan.”


Berita Terkait:


Meskipun tidak optimistis saat itu berhasil, kenyataannya program bug bounty Mozilla ini telah berkembang. Antara 2017 hingga 2019, Mozilla membayar hampir satu juta dolar, tepatnya US$ 965.750 kepada peneliti keamanan yang melaporkan 348 bug, dengan bayaran rata-rata US$ 2.775 per bug.

Mozilla akan membayar peneliti yang melihat kerentanan tingkat tinggi yang berpotensi dapat dieksploitasi sebesar US$3.000 dan US$10.000.

Menurut Veditz, program bug bounty ini menunjukkan sikap perusahaan terhadap keamanan. Itu juga memperlihatkan bahwa perusahaan menyambut baik peneliti keamanan dan melihat nilai dalam pekerjaan mereka.  "Kami ingin mengirim sinyal - kami peduli, silahkan datang. Jika Anda menemukan sesuatu, itu membantu semua orang.” kata Veditz.

Setelah percobaan Netscape dan Mozilla, perusahaan-perusahaan lain pun mengikuti jejak tersebut. Kini, bug bounty ditawarkan untuk segala hal mulai dari bug di situs web hingga layanan komputasi awan, perangkat lunak bisnis, atau aplikasi seluler.

"Sepanjang jalan, banyak orang telah memutuskan bahwa itu adalah ide yang bagus dan meniru kami dan melampaui kami dalam jumlah uang yang mereka mampu untuk membayar orang.” kata Veditz.

Beberapa perusahaan raksasa teknologi yang menghabiskan uangnya untuk menggelar bug bounty ini adalah Microsoft. Dengan berbagai produknya, Microsoft menawarkan bounty kepada peneliti keamanan yang menemukan kerentanan dari Microsoft Azure hingga Xbox, Microsoft Dynamics 365 hingga peramban web Edge barunya.

Microsoft pun awal 2020 mengklaim menghabiskan US$13,7 juta dalam bug bounty 12 bulan terakhir, yang mana lebih dari tiga lipat yang dihabiskan perusahaan pada tahun sebelumnya. Biaya yang dikeluarkan perusahaan sebanding dengan kerentanan yang ditemukan.

Seperti seorang peneliti yang menemukan eksekusi kode jarak jauh yang kritis, pengungkapan informasi, atau kerentanan DoS di Microsoft Hyper-V memperoleh US$250.000, sedangkan laporan kerentanan pada layanan cloud Microsoft Azure mendapat US$40.000

Selama pandemi Covid-19, Microsoft mengklaim para pemburu bug bounty juga sibuk. Itu terlihat dari laporan bug yang meningkat selama beberapa bulan pertama pandemi di semua 15 program bug bounty Microsoft.

Selain Microsoft, Google juga mengeluarkan biaya besar program serupa; total uang yang telah dihabiskan sebesar US$21 juta sejak programnya dirilis satu dekade lalu.

Bayaran fantastis juga ditawarkan Google, seperti penemuan bug untuk "full chain remote code execution exploit with persistence" yang dapat membahayakan chip Titan M pada perangkat seluler Pixel; hadiah utamanya US$1 juta. Dan, tambahan bayaran jika ditemukan eksploitasi serupa pada versi pratinjau dari Android, ada bonus 50 persen sehingga total bisa US$1,5 juta.

Semenjak perusahaan-perusahaan raksasa teknologi ini menggelar program bug bounty ini, banyak perusahaan teknologi lain menirunya. Bahkan, beberapa tahun terakhir, bug bounty ini menyebar di perusahaan lain juga berkat Departemen Pertahanan AS. Pentagon meluncurkan Hack the Pentagon pada 2016 sebagai program bug bounty pertama pemerintah, yang memungkinkan mengidentifikasi dan memperbaiki ribuan kerentanan keamanan pada sistem yang diakses publik.

Keuntungan perusahaan

Mengapa kode memiliki kekurangan sehingga menimbulkan kerentanan ? Menurut Kattie Paxton-Fear (@InsiderPhD), seorang programmer juga bug hunter, sebagian masalahnya adalah pengembangan perangkat lunak sangat kompleks dan melibatkan banyak tim.

Juga, "Waktu pengembangan yang sering kali sangat terbatas untuk suatu fitur. Sebagai pengembang, Anda hanya ingin mengeluarkan fitur tepat waktu. Anda membagikan kode dan hal-hal kecil bisa terlewat sepanjang waktu, sayangnya beberapa di antaranya akhirnya menjadi risiko keamanan yang sangat besar,” kata perempuan yang bergelar PhD dari Cranfield University (@CranfieldDefsec).

Manfaat menjadi peneliti dan pemburu bug ini ialah kesempatan untuk melihat-lihat sistem orang lain sambil mendapatkan bayaran dan mungkin menjadi peretas populer.

Bagi perusahaan yang menggelar bug bounty, keuntungannya datang dari bisa mendapatkan banyak peretas berpengalaman untuk melihat kode mereka, tetapi tanpa risiko dan membayar jika mereka menemukan sesuatu. Berbeda dengan penyerang yang melakukan hal yang sama tetapi menimbulkan risiko karena bisa saja mengeksploitasi kode yang salah itu.

Program bug bounty ini bagi perusahaan yakni mengurangi risiko yang ditimbulkan dari kode yang seringkali salah dan memicu kerentanan yang dapat dieksploitasi penyerang.

GitLab yang meluncurkan program bug bounty pribadinya pada 2014 dan kini beralih ke HackerOne, perusahaan penyedia layanan perburuan bug, pun telah membayar US$1 juta untuk 786 pelaporan bug, juga menilai bahwa bug bounty ini dapat mengurangi risiko.

"Nilai utama yang kami peroleh darinya adalah mengurangi risiko; itulah tujuan akhirnya," kata James Ritchey, manajer keamanan aplikasi di GitLab.

"Untuk melakukan itu, kami perlu mewaspadai masalah keamanan kami... (bug bounty) ini membantu skala tim keamanan kami.”

Ritchey mengatakan bahwa setiap sistem yang terpapar ke internet pasti memiliki ancaman, itulah mengapa perlunya bantuan untuk mengatasi masalah keamanan ini.

"Kenyataannya adalah saat Anda berada di internet, Anda tetap menjadi target terbuka,” katanya.[]

Redaktur: Andi Nugroho