Hati-hati, Software ini Berbahaya!


bahaya2
ActiveX Plugin berbahaya dapat dinonkatifkan dalam registry melalui fasilitas kill bit.

Malware membutuhkan CELAH keamanan program agar dapat menginfeksi PC. Realitasnya,program yang cacat semacam itu tersedia banyak. CHIP coba mengungkapkan Top 10 aplikasi paling tidak aman dan cara menangkal serangan pada Firefox, Office dan lainnya.

bahaya1

Semakin banyak turis di seluruh dunia menggemari wisata yang dapat memacu adrenalin mereka. Wisata di lepas pantai Afrika Selatan contohnya, menyalurkan hobi para turis tersebut untuk dapat memotret hiu putih langsung di bawah permukaan air. Memang, mereka tidak lang­sung berha­dapan dengan sang pemakan daging tersebut, tetapi berada di dalam sangkar besi khusus yang tahan gigitan hiu.

Tidak ada turis yang mau masuk ke dalam air tanpa perlindungan khusus. Namun, banyak pengguna yang berselancar di “belantara” Internet berani melakukan hal tersebut. Mereka mengabaikan update keamanan yang penting dan mengundang hacker masuk ke PC. Penyedia layanan Trustee telah menguji software pada 2,5 juta PC pengguna. Hasilnya, 80% pengguna berselancar dengan versi flash lama yang tidak aman. Untuk Adobe Reader, bahkan 84%. Cukup berkunjung ke sebuah website terinfeksi atau membuka sebuah dokumen yang dimanipulasi – malware akan bersarang dalam sistem Anda.

Karena Windows kini semakin sulit ditembus (boks INFO), hacker menempuh rute penyusupan alternatif ke PC melalui aplikasi yang tidak aman atau memilki celah keamanan. Hasilnya tidak mengecewakan. Menurut National Vulnerability Database USA (salah satu instansi yang terkait dengan Homeland Security), hingga kini telah ditemukan 38.571 celah keaman­an da­lam software. Perkembangannya hing­ga kini mencapai rata-rata 19 per hari. Celah keamanan banyak ditemukan pada software yang jarang digunakan pengguna biasa, misalnya sistem operasi Sun Solaris. Namun, program-program populer yang tersedia pada setiap PC juga ada di posisi teratas dalam daftar (lihat tabel pada halaman berikut). Konsekuensinya, aktualitas software (misalnya melalui fasilitas update) menjadi sangat pernting artinya. Akan lebih baik lagi jika Anda mencari software yang aman (lihat boks CD/DVD pada halaman berikut).

Sebelum CHIP mengungkap berbagai celah keamanan secara rinci, ada baiknya kita simak dulu interface Windows ActiveX yang sejak bertahun-tahun bermasalah. Menurut laporan bagian keamanan IBM X-Force, pada tahun 2009 ini serang­an web via ActiveX masih mendominasi (60%). Tiga dari lima serangan browser terfavorit memanfaatkan celah kemanan Windows tersebut (lihat boks INFO).

ActiveX: luka terbuka Windows

ActiveX diimplementasikan dalam Windows tahun 1996 untuk menyempurnakan program standar, seperti IE, Media Player, dan Outlook dengan fungsi-fungsi baru, seperti ActiveX Control QuickTime. Karena dikembangkan saat Internet masih relatif aman, plugin ActiveX hanya menerapkan mekanisme signature. Komponen ActiveX yang terbukti tidak dapat dipercaya, dapat ditandai Microsoft melalui sebuah entri registry dengan sebuah kill bit via update. Apabila Anda ingin memeriksa sendiri, kill bit mana yang ada dalam sistem Anda, lihat dalam registry pada bagian “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility”. Kill bit dapat Anda ketahui pada “Compatibility Flag” de­ngan nilai “0×00000400″.

Celah keamanan ActiveX berdampak besar karena plugin ini memiliki hak atau akses ke sis­tem yang sama seperti program-program. Misalnya, seorang pengguna XP biasanya berselancar sebagai administrator sehingga modul ActiveX memiliki akses penuh pada sis­tem. Pada Vis­ta dan Windows 7 setidaknya masih ada UAC (selama diaktifkan) yang menawarkan proteksi dasar.

Setiap website yang terinfeksi dapat menggunakan celah dalam sebuah plugin ActiveX. Untuk itu, hanya dibutuhkan kode ID-nya dan plugin yang tidak aman aktif dalam browser. Apabila Anda tidak membutuhkan ActiveX dalam IE, nonaktifkan melalui “Tools | Internet Options| Security | Custom level”.

Akhir Juli masalahnya bertambah besar. Dua celah dalam ATL (Active Template Library) yang digunakan untuk memprogram plugin ActiveX membahayakan seluruh sistem. Pada dasarnya, se­tiap plugin yang dibuat harus diuji dan bila perlu diprogram ulang.

Celah ATL yang pertama bisa menybabkan buffer overflow, sehingga sebuah plugin terinfeksi dapat menulis dalam area RAM lain yang misalnya direservasi untuk layanan Windows. Celah kedua mengatasi Kill bit dalam registry dan dengan itu memungkinkan plugin yang tidak aman diaktifkan tanpa sepengetahuan pengguna. Saat ini Microsoft telah me­ngeluarkan patch yang dibutuhkan untuk mengatasi masalah tersebut dalam Outlook dan Media Player. Selain itu, pengguna dapat menggunakan sebuah browser lain yang memang tidak mengaktifkan (menggunakan) ActiveX.

Pemilihan web browser menentukan keamanan sistem secara keseluruhan. Me­nurut laporan IBM, 50% celah keamanan yang kritis ditemukam dalam browser. Selama bertahun-tahun IE dianggap tidak aman. Tidak mengherankan karena Microsoft telah menelantarkan browsernya hingga hampir terlambat. Firefox mendapat manfaat dari hal itu dan banyak pengguna pindah ke browser open-source ini karena dianggap lebih aman daripada IE.

Browser: Firefox paling memiliki celah keamanan

Kini situasinya berbeda. Tahun ini saja ditemukan lebih dari 80 celah keamanan dalam Firefox. Dengan kata lain, Firefox digolongkan sebagai browser paling tidak aman, bahkan dibanding IE. Selama dua tahun, jumlah celah keamanan Firefox terus meningkat, sementara IE cenderung sedikit menurun. Walau demikian, data statistik tidak bisa menyimpulkan browser mana yang lebih aman. Mozilla sangat terbuka dengan celah-celah yang ditemukan, sebaliknya Microsoft kadang merahasiakan celah yang belum dimanfaatkan malware. Karena itu, untuk memilih browser yang tepat sebaiknya melihat ke dalam detail. Kebanyakan serangan sekarang ini dilakukan melalui cross site scripting (XSS) dan metode serupa. Dengan mengganti sebuah elemen HTML, content berbahaya bisa disusupkan ke dalam website yang biasanya dapat dipercaya telah aman.

Kesalahan browser yang menggunakan XSS bisa saja sepele. Contoh terbaik untuk itu adalah sebuah celah keamanan yang ditemukan baru-baru ini, yang memungkinkan sertifikasi SSL diakali. Sebuah modifikasi kecil pada alamat sudah cukup. Dengan mengklik sebuah link berdasarkan pola http://www.paypal.com/0.malware.org bagi banyak browser cukup sertifikat yang berlaku untuk PayPal karena mereka mengartikan “0″ sebagai pertanda stop. Domain sebenarnya adalah setelah “0″ – di situ hacker berada.

Firefox 3.5 tidak dapat ditipu dengan cara itu, tetapi IE masih bisa. Di sisi lain, penyerang dapat menggunakan fungsi update Firefox melalui tipuan SSL untuk meng-install malware pada PC. Ini juga tidak dapat dilakukan pada IE karena Mi­crosoft memeriksa validitas tidak hanya melalui SSL. Jadi, pengguna tetap berisiko memakai kedua browser tersebut.

Anda dapat memakai browser lainnya, seperti Apple Safari atau Google Chrome agar ‘tipuan’ SSL tidak berfungsi. Namun, kedua browser ini pun memiliki banyak celah keamanan. Biang keladinya adalah engine webkit-nya yang bertanggung jawab atas pemrosesan JavaScript. Tahun ini saja ditemukan lebih dari 30 celah di dalamnya. Dalam hal keamanan, Opera menjadi satu-satunya browser yang direkomendasikan karena paling sedikit memiliki celah kemanan.

ActiveX Plugin berbahaya dapat dinonkatifkan dalam registry melalui fasilitas kill bit.
QuickTime Agar lebih aman, Anda disarankan tidak menggunakan QuickTime sebagai player standar untuk berbagai format multimedia (kecuali format MOV).

Multimedia: crash untuk Apple & Adobe

Browser teraman tidak akan banyak gu­nanya bila perluasan penting untuk web-content dapat diserang. Plugin multimedia seperti QuickTime atau Flash Player sering menjadi sasaran hacker karena ditemukan pada hampir semua sistem. Menurut Adobe, pangsa pasar Flash Player kini mencapai 99%. Jadi, kemungkinan untuk sebuah serangan yang berhasil di sini lebih tinggi dibanding serangan langsung pada suatu browser. Misalnya IE yang digunakan oleh sekitar 65% pengguna.

Plugin multimedia sering menjadi sasaran serangan yang menimbulkan buffer overflow. Sebenarnya skenarionya selalu sama. Peselancar digiring untuk membuka sebuah stream video atau audio yang terinfeksi, yang mengakibatkan QuickTime atau Flash menulis di luar bagian RAM yang telah direservasi. Dengan cara itu kode yang dapat dijalankan disusupkan ke dalam sistem. Celah keamanan yang menggunakan buffer-overflow karena itu dianggap berisiko. Tidak mengherankan, QuickTime dengan 9,2 dari 10 memiliki nilai rata-rata sangat tinggi pada besarnya risiko celah keamanan.

Sayangnya masalah tidak dapat dibatasi karena plugin multimedia memiliki kelemahan di luar berbagai format. Tahun ini saja, selain file MOV, format film AVI dan foto dalam format PSD terkena. Karena QuickTime tidak dapat digantikan sepenuhnya, pengguna hanya memiliki dua pilihan. Menyingkirkan QuickTime atau mengatur agar plugin tersebut hanya mem-playback MOV stream. Pertimbangnannya sederhana, untuk memutar format lainnya tersedia alternatif.

INFO
Proteksi Diri Windows

DEP: Data Execution Prevention meng­alokasikan area memori untuk kode yang tidak dapat dijalankan. Apabila sebuah malware ingin menjalankan kode dalam bagian ini melalui teknik buffer overflow, ia akan dicegah. Sekarang ini kebanyakan program standar telah mendukung DEP. Masalah: Di bawah XP banyak program tersebut start tanpa proteksi tambahan ketika menggunakan sebuah plugin yang tidak mendukung DEP. Apabila demikian, nonaktifkan features tersebut.

ASLR: Sebuah serangan melalui buffer overflow akan dipersulit, bila penyerang tidak mengetahui sebelumnya, ke bagian RAM mana ia harus membelokkan kode yang dapat dijalankan. Address Space Load Randomization (ASLR) membagi-bagi layanan yang relevan sistem secara acak pada RAM. Feature ASLR ini belum dimiliki XP dan baru diterapkan di Vista.

QuickTime Agar lebih aman, Anda disarankan tidak menggunakan QuickTime sebagai player standar untuk berbagai format multimedia (kecuali format MOV).

PDF Quick Reader
Alternatif untuk Adobe Reader yang tidak aman

Pada Adobe masalahnya lebih rumit, karena Flash Player merupakan plugin standar untuk melihat film secara online. Apabila Anda berselancar ke website terkenal, seperti YouTube, tidak banyak yang dapat terjadi. Di luar itu, Anda hanya memiliki pilihan untuk menonaktifkan Flash dalam brow­ser atau bila perlu memblokir content-nya dengan filter khusus, seperti IE7pro (pada IE) dan FlashBlock (pada Firefox). Selain itu, kini Firefox pun memeriksa, apakah Flash Player yang ter-install adalah versi lama dan menyarankan untuk meng-update dengan versi terbaru.

Office: PDF script berbahaya

Menurut X-team dari IBM, setelah brow­ser, Office merupakan target yang paling diincar hacker (sekitar (30%). Yang paling parah adalah Adobe Reader (PDF viewer) karena  di dalamnya terdapat pustaka  (library) Flash yang rentan. Di luar itu animasi Flash dikendalikan oleh ActionScript. Kesalahan dalam bahasa ini membuat semua program Adobe rentan – termasuk AIR, sebuah platform untuk aplikasi web. Contoh terbaru adalah Heap Spraying dengan ActionScript. Heap Spraying terutama digunakan untuk memenuhi RAM dengan kode tanpa arti. Tujuan akhirnya adalah buffer overflow.

Heap Spraying dengan JavaScript juga ada dan untuk Adobe Reader tersedia sebuah solusi sederhana: Melalui menu “Edit” navigasilah ke “Pre-Settings”, pilih “JavaScript” dan singkirkan tanda di depan “Activate Acrobat JavaScript”. Cara serupa tidak dapat diterapkan pada ActionScript karena fungsi Flash tidak dapat dinonak­tifkan dalam Adobe Reader.

Apabila Anda ingin sama sekali aman sebagai pengguna, sebaiknya gunakan program pengganti Adobe Reader seperti PDF Quick Reader (CD/DVD). Pembaca PDF alternatif ini tidak dapat menampilkan Flash sehingga tidak terpengaruh oleh celah tersebut.

Masalah keamanan Adobe Reader cepat sekali membesar, sehingga produsen antivirus F-Secure menyarankan untuk tidak memakai program tersebut. Namun Adobe meresponsnya dengan membuat patch-day tetap untuk Reader. Sayangnya, untuk Flash Player masih belum tersedia.

Sebaliknya MS Office kini tidak lagi terlalu sering menjadi sasaran serangan malware, tetapi bukan berarti tidak ada celah keamanan. Dua masalah keamanan penting ditemukan tahun ini. Semua dianggap berisiko besar karena dokumen terinfeksi selalu menimbulkan buffer overflow dan ini menyangkut dua program Office, yaitu Excel dan PowerPoint. Agar terhindar, pengguna dapat melakukan antisipasi dengan tidak membuka dokumen dalam format-format seperti ini yang berasal dari Internet. Bagi para pakar dan pengguna yang ingin tahu lebih mendalam, Microsoft menyediakan software OffVis dalam versi Beta. OffVis membuka dokumen Office, menampilkanmya dalam Hex-Code, dan membentuk struktur internalnya dengan elemen terintegrasi. Selain itu, software ini dapat mengidentifikasi malware yang memanfaatkan celah keamanan yang telah dikenal.

Semua langkah-langkah tersebut tentu tidak banyak berguna, bila Anda tidak meng-install security update yang pen­ting. Akhir-akhir ini semakin banyak muncul dokumen PowerPoint yang me­manfaatkan celah yang telah ditutup tiga tahun lalu untuk menyusupkan sebuah trojan ke dalam sistem. OffVis bisa mendeteksinya, bagaimana dengan Office Anda?

INFO
5 Celah Browser Favorit

Semua celah keamanan browser memiliki persamaan yaitu disebarkan melalui Exploits Toolkits dari kalangan malware dan dapat ditutup melalui update software.

1. Microsoft MDAC ActiveX Kode: CVE-2006-0003 Ini adalah sebuah celah dalam Microsoft Data Access Components, yang digunakan untuk mengakses database dan sumber data. Dengan demikian penyerang dapat mengatasi setting keamanan IE.

2. Ms Snapshot Viewer ActiveX Kode: CVE-2008-2463            Plugin ActiveX dalam software ini memungkinkan akses remote pada PC untuk misalnya menyimpan sebuah script yang merusak.

3. Adobe Reader    Kode: CVE-2007-5659 Sebuah PDF yang dimanipulasi menyebabkan buffer-overflow dalam Adobe Reader dan dengan itu menyusupkan malware ke dalam PC.

4. Microsoft Internet Explorer?7    Kode: CVE-2009-0075            Menampilkan sebuah website yang dimanipulasi sehingga memungkinkan kode terinfeksi dijalankan melalui IE7.

5. RealPlayer ActiveX Kode: CVE-2007-5601 Eror dalam modul database Real Player yang menimbulkan buffer overflow.

sumber: http://chip.co.id/articles/featured/2010/03/19/hati-hati-software-ini-berbahaya/

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s