Ini Solusi Mitigasi Lubang Keamanan Meltdown dan Spectre

Ini Solusi Mitigasi Lubang Keamanan Meltdown dan Spectre
Ilustrasi Meltrdown dan Spectre. ( Foto: Istimewa )
Emanuel Kure / FER Sabtu, 13 Januari 2018 | 15:37 WIB

Jakarta - Tahun baru 2018 disambut dengan kabar dua ancaman keamanan baru yakni Meltdown dan Spectre yang memanfaatkan lubang keamanan pada prosesor modern buatan Intel, AMD, dan ARM. Memanfaatkan keduanya, pihak yang tidak bertanggungjawab bisa mengeksploitasi lubang keamanan tersebut untuk mengakses data-data sensitif seperti password, foto, email, hingga dokumen bisnis.

Kedua ancaman keamanan baru tersebut mengancam hampir seluruh perangkat komputasi termasuk komputer, tablet, smartphone, hingga server cloud. Oleh karena lubang keamanan ada pada hardware, maka kedua ancaman baru tersebut bisa dijalankan pada software sistem operasi apa pun termasuk Microsoft Windows, Apple OS X, dan Linux.

"Meltdown dan Spectre memungkinkan cracker menjalankan proses jahat yang mampu membaca data dari memori aplikasi berjalan yang seharusnya tidak dapat diakses oleh aplikasi lain. Kedua lubang kemanan ini memanfaatkan fitur pada prosesor yang disiapkan untuk mempercepat performa komputasi secara efisien yakni out-of-order execution dan speculative execution," kata CEO PT Equnix Business Solutions (Equinix), Julyanto Sutandang, melalui siaran pers yang diterima Sabtu, (13/1).

Julyanto mengatakan, sebuah prosesor bisa dianalogikan sebagai bank lengkap dengan setiap kasir yang menangani satu antrian dan melayani nasabah secara berurutan. Ada kalanya seorang kasir bank meminta bantuan staff lain untuk melakukan tugas tertentu, misalnya memfotokopi kartu identitas.

Fitur out-of-order execution bekerja seperti kasir bank yang sembari menunggu proses fotokopi nasabah pertama selesai, ia menanyakan kebutuhan nasabah di antrian berikutnya demi efisiensi waktu dan mempercepat performa kerja.

Misalnya nasabah tersebut ingin mentransfer uang ke rekeningnya dan memberikan nomor rekening dan dokumen penting kepada kasir. Namun kasir belum bisa melaksanakan perintah nasabah berikutnya tersebut sebelum proses nasabah pertama selesai, lalu ia meletakkan informasi nasabah itu di meja (memori cache prosesor).

"Permasalahan muncul saat ada salah satu nasabah lain di dalam antrian yang berbeda mampu melihat informasi nasabah yang ada di meja kasir. Celah keamanan tersebut, yakni informasi nasabah di meja kasir yang bisa dilihat nasabah lain karena proses out-of-order execution itulah yang disebut Meltdown," jelas Julyanto.

Meski memiliki ancaman serius dan memengaruhi banyak perangkat, tapi belum ada bukti adanya serangan cracker yang memanfaatkan lubang keamanan tersebut. Tapi bukan berarti tidak perlu adanya langkah pencegahan karena akan ada gelombang malware atau pihak tidak bertanggungjawab yang berupaya mengeksploitasi lubang keamanan tersebut.

"Para pengembang dan operator dengan hak akses sistem yang tidak berintegritas, pengguna sistem, baik umum atau khusus, penyedia atau pihak yang bertanggungjawab untuk sistem operasi, pembuat driver hardware, pembuat tools, compiler, dan lain-lain, berpotensi untuk memanfaatkan celah keamanan ini," tambah Julyanto.

Lebih jauh, penggantian prosesor dengan generasi lebih baru yang tidak memiliki lubang keamanan memang menjadi solusi terbaik, tapi bukan opsi yang tepat untuk saat ini. Untuk itu, para pabrikan prosesor, komputer, dan software termasuk Linux telah menyediakan solusi perbaikan dengan cara penambalan (patch) melalui pembaruan software dan firmware.

"Intel berkomitmen terhadap produk dan keamanan konsumen dan bekerjasama dengan banyak perusahaan teknologi lainnya, termasuk AMD, ARM Holdings dan beberapa penyedia sistem operasi, untuk mengembangkan pendekatan berskala industri guna mengatasi masalah ini dengan cepat dan konstruktif. Intel telah menyediakan pembaruan software dan firmware untuk memitigasi eksploitasi tersebut," ucap Tim Intel Corporation dalam pernyataan resminya.

Rekomendasi mitigasi keamanan

Selain menggunakan patch, ada cara lain yang tidak biasa dalam menghadapi bug secara umum, yakni dengan melakukan langkah-langkah mitigasi dengan dimulai dari penaksiran, audit, penguatan, implementasi SOP (Standar Operation Processedure) yang lebih ketat dan hati-hati.

"Langkah mitigasi tersebut pada dasarnya tidak menghilangkan potensi kebocoran di sisi prosesor, tetapi menerapkan mekanisme operasi yang ketat agar tidak ada pemicu yang dapat menyebabkan kebocoran. Ibarat orang yang sudah lemah pertahanan tubuhnya, kita rawat secara lebih detail agar tidak terkena hal yang dapat menyebabkan penyakit,” ungkap Julyanto.

Sebagai perusahaan lokal penyedia jasa solusi TI berbasis software open source, terutama PostgreSQL dan Linux, Equnix mempertimbangkan, perbaikan sistem operasi (OS) atau patch akan menyebabkan degradasi kinerja yang berujung pada penurunan kenyamanan pengguna. Maka dari itu, patch OS bukanlah satu-satunya jawaban. Equnix memaparkan rekomendasi solusi alternatif sebagai langkah mitigasi menghadapi Meltdown dan Spectre, sebagai berikut,

Pertama, alasan utama mengapa patching dapat menyebabkan penurunan performa hingga 30 persen karena patch tersebut mengakibatkan terjadinya inefisiensi yang sebelumnya ada. Patch tersebut menyebabkan Memory Cache CPU tidak efektif lagi, separasi memori antara Kernel dengan aplikasi menyebabkan timbulnya Overhead Context Switching yang sebelumnya tidak ada atau tidak diperlukan. Akibatnya adalah munculnya beberapa overhead yang menyebabkan pekerjaan CPU lebih berat namun tidak memberikan penambahan keluaran hasil komputasi.

Kedua, melakukan pengauditan software secara menyeluruh terhadap OS yang digunakan dalam sistem produksi. Hal tersebut bisa dilakukan pada setiap aplikasi, namun harus ada perbedaan antara proses penguatan software dan pengauditan berdasarkan tingkat ketergantungan sistem operasi terhadap akses atau input dari luar.

Ketiga, Sekuriti pada dasarnya adalah mitigasi ketidakstabilan sistem terhadap manipulasi pengguna (user). Oleh karena itu, server database yang secara alami berada di lapisan kedua atau tidak langsung menerima input dari pengguna, maka cenderung lebih aman. Jika ada input database maka formatnya bisa diprediksi dan umumnya berasal dari aplikasi.

Keempat, hindari atau perhatikan lebih serius penggunaan komputasi pada cloud seperti VM, Docker, dan sebagainya karena lebih rentan.



Sumber: Investor Daily
CLOSE