Para pengembang browser mengklaim kalau mereka selalu menanggapi laporan mengenai celah keamanan pada browser dengan cepat dan membanggakan kemampuan mereka untuk memperbaikinya. Keamanan menjadi suatu faktor penting bagi semakin pengguna browser yang semakin hari semakin banyak menggunakan browser untuk melakukan kegiatan penting seperti e-banking, namun juga sangat sulit dinilai sebaik apa tingkat keamanan suatu browser. Kebanyakan pengembang hari ini hanya menampilkan benchmark yang menampilkan kelengkapan fitur dan seberapa cepat kemampuan browser dalam membuka situs dan mengolah kode Javascript.
Banyak celah keamanan tidak akan ditemukan tanpa melakukan pengujian secara menyeluruh dan kita juga tidak tahu banyak tentang celah keamanan yang terdapat pada browser yang sekarang ini kita pakai. Bagaimana jika lubang tersebut berhasil ditemukan dan dimanfaatkan oleh orang yang tidak bertanggung jawab? Untuk itu diadakanlah kompetisi Pwn2Own salah satu acara di konferensi keamanan tingkat dunia, CanSecWest 2009 di , British Columbia, Kanada.
Tentang Pwn2Own
Sebuah kompetisi tahunan yang ketiga kalinya dan berlangsung selama tiga hari (18-20 Maret 2009). Kompetisi ini mempertemukan para ahli dan antusias dari berbagai komunitas keamanan di mana mereka saling berlomba untuk mendemonstrasikan kemampuan masing-masing dalam menemukan dan membobol web browser dan juga perangkat mobile.
Web browser yang diikutkan dalam perlombaan ini adalah Firefox, Internet Explorer, Safari dan Chrome yang semuanya sudah mendapatkan versi stabil dan update terakhir. Semua browser ini dioperasikan di laptop Vaio P dengan sistem operasi Windows 7 dan Macbook dengan Mac OS X.
Peserta pertama yang berhasil membobol keamanan dari salah satu browser akan berhak memiliki laptop yang dibobol secara cuma-cuma dan ditambah pula dengan uang dari TippingPoint sebagai sponsor acara sebesar $5,000 USD untuk tiap bug yang ditemukan. Lebih lengkapnya tentang peraturan lomba bisa Anda baca di sini
Jalannya Lomba
Di hari pertama perlombaan ini Charlie Miller menjadi orang pertama yang berhasil membobol kelemahan browser dan mengambil alih kontrol. Korbannya adalah Safari di Mac OS X dan dia berhasil melakukannya hanya dalam waktu 10 detik!
"Mereka klik link-nya dan saya mengambil alih kontrol dari sistem," kata Miller yang juga memenangkan perlombaan yang sama tahun lalu dengan catatan waktu 2 menit. Peserta lainnya, Nils juga tampil mengagumkan dengan sedikit tweak berhasil mengelabuhi browser IE8 dan berbagai teknologi keamanan terakhir yang didesain Microsoft- DEP (Data Execution Prevention) seperti halnya ASLR (Address Space Layout Randomization). Beberapa anggora dari tim sekuriti Microsoft juga hadir untuk menyaksikan proses pembobolan ini.
Tidak sampai di situ saja, Nils juga berhasil membobol Safari untuk yang kedua kalinya dengan teknik eksploitasi yang berbeda dari Miller. Hari pertama seperti sudah akan berakhir, tetapi Nils mendaftarkan diri untuk mencoba melewati tantangan browser dari Mozilla. Entah bagaimana caranya dia berhasil menemukan celah keamanan yang belum banyak diketahui orang dan akhirnya Firefox menjadi korban ketiga Nils. Anda bisa hitung sendiri berapa uang yang didapatkan peneliti keamanan yang masih muda ini dan belum ditambah laptop yang bisa dia bawa pulang di hari pertama.
Chrome Tetap Berdiri Tegak
Chrome, browser yang baru diikut sertakan dalam perlombaan ini di hari pertama tidak sempat dicoba untuk dibobol dan di hari kedua malah tidak ada satu pun peserta yang berhasil, walaupun peraturan mengenai tata cara penggunaan teknik yang diperbolehkan di hari kedua ini tidak seketat di hari pertama (tanpa plugin, seperti Flash, Java, .net, quicktime, dll), begitu pun di hari ketiga yang menjadi hari terakhir dan penutup kompetisi ini.
Chrome bukannya tidak memiliki bug sama sekali, Miller mengatakan kalau dia telah menemukan lubang keamanan di browser milik Google tersebut, tapi dia tidak dapat melakukan eksploitasi karena fitur sandboxing dan beberapa fitur pengamanan Chrome terbukti merupakan dinding pertahanan yang sangat tangguh. Eksploitasi belum dapat dimungkinkan menggunakan teknik yang ada saat ini.
Mobile Platform Masih Aman
Hal menarik dari hasil kompetisi ini selain ketangguhan Chrome adalah para peserta kesulitan untuk mencoba membobol keamanan dari perangkat mobile yang diperlombakan seperti Blackberry, G1 (Android), iPhone, Nokia (Symbian) dan HTC Touch (Windows Mobile). Sampai hari terakhir tidak ada yang sanggup mendemonstrasikan usaha pencurian data dari perangkat-perangkat tersebut. Padahal orang pertama yang berhasil membobolnya maka perangkat tersebut boleh dibawa pulang ditambah gratis kontrak satu tahun dari operator dan uang $10,000 USD per bug-nya, lebih besar dari nilai untuk bug di browser.
Lalu apa yang menyebabkan lingkungan dari sistem operasi mobile sulit ditembus? Blog TippingPoint disebutkan kalau lingkungan perangkat mobile memiliki keterbatasan pada memori dan kekuatan prosesor. Celah keamanan pasti ada, hanya saja dikarenakan dua keterbatasan tersebut membuat kegiatan eksploitasi menjadi sangat sulit dan tidak dapat diprediksi.
Faktor lainnya adalah pabrik pembuat perangkat keras yang lebih bervariasi dan jenis jaringan yang digunakan. Kemungkinan pada acara yang sama tahun depan komunitas akan lebih siap untuk membobol perangkat mobile dan menciptakan teknik pembobolan generasi terbaru khusus perangkat mobile, Micro Exploits.
Fakta menarik lain yang dihasilkan dari kegiatan ini adalah adanya lubang keamanan serius di IE yang sudah lama tidak mendapatkan patch, namanya Token Kidnapping yang sudah dilaporkan ke Microsoft sejak setahun yang lalu oleh para ahli keamanan.
Pemenang kontes pertama, yaitu Miller mengatakan kepada ZDNet bahwa ia "tidak akan memberikan bug secara gratis. Bahkan saya mempunyai kampanye baru. Namanya TIDAK ADA LAGI BUG GRATIS. Celah keamanan memiliki bernilai tinggi, jadi sangat aneh jika bekerja keras untuk menemukan bug, menuliskan cara eksploitasinya kemudian dilepaskan begitu saja."
Celah keamanan yang ditemukan Miller di Safari sebenarnya sudah ia temukan setahun lalu dan dipersiapkan dengan matang untuk diperlombakan pada tahun ini. Dia juga sebelum perlombaan sudah meramalkan kalau browser Safari akan menjadi browser yang paling rentan dibobol. Menurut Miller browser di Windows lebih sulit karena kehadiran fitur ASLR dan fitur pengamanan lainnya.
Apakah Anda khawatir bug Miller akan langsung dimanfaatkan oleh para penjahat dunia maya untuk membobol browser Anda? Jangan terburu takut dulu, para pemenang kontes tersebut telah diminta untuk menandatangani perjanjian umum ZDI (Zero Day Initiative) untuk tidak mempublikasikan temuan bug mereka dan melaporkan bug tersebut ke masing-masing pengembang browser. Informasi teknis mengenai kelemahan yang ditemukan tidak akan dibeberkan sampai pihak pengembang selesai membuat patch-nya.
Pesan penting yang bisa kita dapatkan dari kegiatan ini adalah apapun browser yang Anda pakai, selalu saja ada seseorang di luar sana yang bekerja keras untuk mencari celah keamanan dan mengambil keuntungan pribadi darinya, termasuk untuk memenangi hadiah menggiurkan yang disediakan panitia kompetisi Pwn2Own.
Memang penyakit selalu datang lebih awal dibandingkan obatnya, tapi jangan dipermudah infeksinya dengan tidak pernah melakukan update aplikasi sama sekali. Selain antivirus aplikasi lain yang tidak berhubungan dengan masalah keamanan juga penting untuk Anda pantau perkembangan update terbarunya dan lakukan perbaruan secara berkala.
whaha.., gak nyangka ya ternyata Google Chrome kuat juga....
padahal sebelumnya males make..,
agak repot User Interfacenya, trus blom ketemu yang installernya bisa langsung didonlot ke HardDisk..
tapi saluuut bro buat postingnya..,
kapan ya..bisa kayak mereka.. ::)
enak tu sehari dapet vaio,..
Waaaagghhhh... keren bangetttsss...!!!
*hiperbolis mode on* ;D
Jadi pengen beralih pake Chrome....
Tapi tetep ada kemungkinan bisa dibobol juga (kalo Google gak berinovasi). Wah.. om Google emang kereen.. :D
Kutip dari: utusan langit pada Maret 26, 2009, 06:59:36 AM
Chrome bukannya tidak memiliki bug sama sekali, Miller mengatakan kalau dia telah menemukan lubang keamanan di browser milik Google tersebut, tapi dia tidak dapat melakukan eksploitasi karena fitur sandboxing dan beberapa fitur pengamanan Chrome terbukti merupakan dinding pertahanan yang sangat tangguh. Eksploitasi belum dapat dimungkinkan menggunakan teknik yang ada saat ini.
Btw.. kok mobile flatform sama sekali gak bisa dibobol ya? Emang apa sih bedanya sama PC flatform?
Kutip dari: insan sains pada Mei 11, 2009, 08:57:43 AM
Waaaagghhhh... keren bangetttsss...!!!
[...]
Btw.. kok mobile flatform sama sekali gak bisa dibobol ya? Emang apa sih bedanya sama PC flatform?
Lhoh.., kan uda ditulis daiatas peneybabnya., saya quote ya..
Kutip
[...]
Lalu apa yang menyebabkan lingkungan dari sistem operasi mobile sulit ditembus? Blog TippingPoint disebutkan kalau lingkungan perangkat mobile memiliki keterbatasan pada memori dan kekuatan prosesor. Celah keamanan pasti ada, hanya saja dikarenakan dua keterbatasan tersebut membuat kegiatan eksploitasi menjadi sangat sulit dan tidak dapat diprediksi.
Faktor lainnya adalah pabrik pembuat perangkat keras yang lebih bervariasi dan jenis jaringan yang digunakan. Kemungkinan pada acara yang sama tahun depan komunitas akan lebih siap untuk membobol perangkat mobile dan menciptakan teknik pembobolan generasi terbaru khusus perangkat mobile, Micro Exploits.
[..]
jadi emang kebanyak virus2 di hape cuman nyampah doang..;D
@ Idad :
Nah itu dia yang menurut saya lucu...
Kutip dari: utusan langit pada Maret 26, 2009, 06:59:36 AM
lingkungan perangkat mobile memiliki keterbatasan pada memori dan kekuatan prosesor. Celah keamanan pasti ada, hanya saja dikarenakan dua keterbatasan tersebut membuat kegiatan eksploitasi menjadi sangat sulit dan tidak dapat diprediksi.
Jika begitu alasannya. Apa itu berarti browser yang dijalankan di komputer jebot dan amat lemot bisa lebih tahan dari kebobolan?
unreasonable....!
yang saya pernah denger, pembobolan semacam ini juga membutuhkan memory sekaligus kerja prosesor, kita bandingkan saja prosesor kompi dan hapi, serta memory keduanya, saya kira ada batasan minimum spec kompi untuk bisa dibobol,
logis kok!,... wkwkwkwk
wah..
posting yg keren..
wkwk..
tapi memang lebih sulit membuat pertahanan daripada mencari celah untuk menyerang..
OM UL da pernah nyoba?
chrome pernah coba sering, asik kok!
coba aja,..
sep postingnya keren banget.
ehh boleh minta link-nya donlot google chrome gak?
IE, Mozilla pensiunin ahhhh....
ehh kalo opera udah diikut sertakan blom??
berarti intinya google chrome browser teraman saat ini donk?
om kalo chrome bisa modus penyamaran . hha
jadi bisa buka yang blablabla wkwkwk.bcnda um
kn di chrome ad modus penyamaran tuh . maksud nya gimana y?
Kutip dari: senopati pada Juli 29, 2009, 06:03:07 PM
kn di chrome ad modus penyamaran tuh . maksud nya gimana y?
maksudnya tentang "modus penyamaran", saya kurang jelas ni,...apaan sih?
iah modus penyamaran
yang saya tau dia g nympen history ma cookies .btul kah?
pencerahan dunt wat yang ngerti
minal aidzin wal faidzin (LOH KOK !!!) tetep damai ^^v
keren2 postingannya .........
btw Chrome emank mantap .... dari segi keamanan, mengelolah javascript dan css,,, chrome bisa dihandalkan,,, sebagian fitus CSS3 udah bisa di jalankan di Chrome seperi -moz-border-radius (kode css utk membuat lekukan/rounded) dan opacity (transparans).....
Dapet dari mana beritanya, IQ+1 buat UL
Kutip dari: senopati pada September 06, 2009, 09:50:59 AM
iah modus penyamaran
yang saya tau dia g nympen history ma cookies .btul kah?
pencerahan dunt wat yang ngerti
minal aidzin wal faidzin (LOH KOK !!!) tetep damai ^^v
ada kok hirtory ma cookiesnya,..
mending coba deh,..
hehehe
@ Nabih.
dapat nemu dari Okezone,..
ada lagi yang menarik,.. KHUSUS untuk platform MAC OS,.. safari lebih unggul dalam hal kecepatan,..
kutipan Okezone 10 Des 2009
Safari 'berlari' lebih cepat dibandingkan dengan Firefox dan Chrome saat dijalankan pada platform OS Mac.
Analis dari ComputerWorld, Gregg Keizer baru saja melakukan serangkaian tes kecepatan browser. Menurutnya, Chrome versi beta yang baru dirilis untuk komputer berbasis OS Mac masih kalah cepat dengan browser Safari. Chrome menduduki urutan kedua tercepat dari empat browser yang diuji pada komputer Mac.
"Chrome me-render JavaScript 10 kali lebih cepat dari Opera 10.10 dan hampir dua kali secepat Firefox 3.6 Beta 4, versi Mac dari browser open source besutan Mozilla yang baru dirilis," kata Keizer, seperti dikutip dari TG Daily, Kamis (10/12/2009).
"Namun demikian, Chrome tidak dapat menyamai kecepatan Safari 4.0.4, yaitu browser besutan Apple yang sebelumnya memang sempat diprediksi 12 persen lebih cepat dari Chrome beta untuk Mac," tambahnya.
Keizer menegaskan bahwa Chrome saat ini dikategorikan sebagai browser tercepat, hanya untuk komputer berplatform Windows Microsoft.
Seperti diketahui, beberapa waktu lalu tepatnya bulan September, ComputerWorld menguji Chrome 3.0 pada komputer Windows. Saat itu Chrome 3.0 dengan mudah mengalahkan semua kompetitornya dalam hal kecepatan, termasuk Safari yang ketika itu menempati urutan kedua. (tyo)
waahhh....hebat peneliti keamanannya!!....
selain kuat, google chrome juga lumayan cepat di banding kan mozilla atau IE.
chrome juga tawu sebagian dari situs yang ada malwarenya.
tapi koq opera ng diikutsertakan...????
chrome, pernah sih, aku pake tapi ribet interfacenya
tp firefox juga keren juga dengan cara nggak di apa2 in bisa utk ngebuka account fb,yahoo dan gmail secara random. sudah beberapa kali aku ngalamin ngebuka account org lain tanpa aku sengaja sepertinya sih bug nya firefox sekaligus itu kelebihannya