Peneliti mencari uang tunai untuk bug perangkat lunak

BARU YORK – Bagi beberapa peneliti keamanan yang menemukan kelemahan dalam program komputer terkemuka, penghargaan dari perusahaan perangkat lunak tidak lagi cukup. Sekarang mereka menginginkan uang.

Para kritikus mengatakan kemurnian penelitian terganggu karena penemuan-penemuan tersebut diburu dan bukannya disajikan langsung kepada vendor perangkat lunak sehingga mereka dapat dengan cepat mengembangkan solusi.

“Saya tidak suka adanya insentif untuk mengubahnya menjadi pasar,” kata Bruce Schneier, chief technology officer perusahaan keamanan BT Counterpane. “Kemudian Anda menciptakan insentif bagi pelaku kejahatan untuk mulai menemukan barang-barang ini dan menjualnya, dan jika pelaku kejahatan mengenakan harga lebih tinggi, maka pelaku kejahatan harus mengenakan tarif lebih tinggi.”

Beberapa perusahaan telah menawarkan pembayaran untuk informasi tersebut – ratusan atau ribuan dolar, tergantung pada tingkat keparahan kesalahannya – dan situs lelang Swiss dibuka bulan ini untuk mendorong penawaran atas informasi tersebut.

Vendor perangkat lunak sejauh ini menahan diri untuk tidak membeli informasi tersebut, dan enggan mendorong pemerasan – para peneliti menahan diri atau mengancam akan menjualnya kepada penjahat kecuali mereka mendapatkan harga yang tepat.

Pasar gelap telah lama ada untuk memperdagangkan informasi tentang kerentanan perangkat lunak Microsoft Corp., Cisco Sistem Inc. dan pemasok produk penting lainnya untuk mengelola komputer dan mengirim data melalui Internet. Informasi tersebut kemudian dapat digunakan untuk membobol sistem dengan nomor kartu kredit atau secara diam-diam menanam spyware dalam jaringan perusahaan.

Para ahli mengatakan lembaga pemerintah juga telah membeli pengetahuan tersebut – bukan untuk mengingatkan masyarakat, namun berpotensi untuk meretas komputer demi keamanan nasional atau investigasi kriminal. Charlie Miller, mantan pegawai Badan Keamanan Nasional, mengatakan bahwa salah satu lembaga yang tidak disebutkan namanya membayarnya sebesar $50.000 pada bulan September.

Untuk mengimbanginya, perusahaan keamanan iDefense, yang sekarang menjadi bagian dari VeriSign Inc., memelopori pasar “topi putih” untuk eksploitasi sekitar lima tahun yang lalu, menciptakan Program Kontributor Kerentanan untuk memberi penghargaan kepada peneliti sah yang mengirimkan informasi tentang kelemahan. TippingPoint, sebuah unit dari 3Com Corp., menyusul tiga tahun kemudian dengan program serupa.

Dalam kedua kasus tersebut, perusahaan keamanan yang membeli informasi tersebut kemudian bekerja sama dengan vendor dan menghindari pengungkapan kelemahan secara publik sampai perbaikan ditemukan. Informasi ini berharga karena perusahaan keamanan terkadang dapat menggunakan pengetahuan tersebut untuk melindungi klien mereka sendiri.

Meskipun para peneliti secara historis berbagi pengetahuan secara gratis, “ada pasar yang berkembang secara alami di mana informasi adalah kekuatan,” kata Ken Durham, direktur tim respons cepat di VeriSign-iDefense. “Kekhawatiran kami adalah orang-orang akan mulai beralih ke sisi gelap kecuali mereka memiliki jalur yang bertanggung jawab.”

Terri Forslof, yang menjalankan Zero Day Initiative di TippingPoint, mengatakan bahwa program seperti miliknya tidak akan pernah bisa membayar sebanyak pasar gelap, namun sebagian besar peneliti yang sah bersedia menerima pembayaran yang lebih kecil karena mengetahui pembeli akan menangani informasi secara bertanggung jawab.

Situs lelang yang baru diluncurkan, WabiSabiLabi, tidak mengharuskan pembeli untuk bekerja sama dengan penjual dalam mencari solusi sebelum mengungkapkan kesalahannya. Operator situs tersebut mengatakan bahwa mereka mencoba untuk mengotentikasi pembeli dan penjual – misalnya, meminta salinan paspor dan informasi rekening bank – namun banyak orang tetap skeptis.

“Anda mungkin tidak tahu siapa yang membeli kerentanan itu,” kata Mark Miller, direktur komunikasi respons keamanan Microsoft. “Potensi risiko pelanggan dapat meningkat.”

Roberto Preatoni, direktur strategis WabiSabiLabi, mengatakan penjahat tidak memerlukan situsnya karena mereka dapat tetap anonim di pasar gelap. Dia juga mengatakan bahwa lelangnya lebih seperti situs eBay Inc. yang berfungsi untuk menghubungkan pembeli dan penjual, sehingga pertanyaan mengenai tanggung jawab hukum dan pengungkapan sepenuhnya berada di antara pihak-pihak tersebut.

Sejauh ini, jumlah penelitian kerentanan yang dijual tidak ada apa-apanya dibandingkan dengan apa yang telah diserahkan langsung ke vendor atau ditemukan oleh staf peneliti vendor itu sendiri. Namun ada tanda-tanda bahwa pasar sedang berkembang.

“Ini adalah wilayah baru. Belum dipetakan,” kata Russell Smoak, kepala tim Respons Insiden Keamanan Produk Cisco. “Saya telah didekati oleh para peneliti untuk meminta (pembayaran) dan sampai saat ini kami mengatakan tidak.”

Charlie Miller, yang sekarang menjadi analis keamanan utama di Independent Security Evaluators, mengatakan tuntutan pembayaran berasal dari rasa frustrasi karena peneliti internal vendor “menghasilkan banyak uang untuk mencari bug dan ketika seseorang dari luar menemukan sesuatu, mereka tidak dibayar.”

Menggambarkan lelangnya sebagai cara bagi para peneliti untuk menerima pengetahuan yang benar-benar berharga, Preatoni mengatakan industri keamanan saat ini dibangun di atas penelitian yang diremehkan.

Matthew Murphy, yang menerima ratusan dolar untuk setiap selusin kiriman ke program iDefense, mengatakan bahwa meskipun pembayaran tidak cukup untuk menggantikan pekerjaan penuh waktu, gaji tersebut cukup untuknya di sekolah menengah untuk membelikan orang tuanya komputer baru dan memberinya uang untuk makan malam bersama teman-temannya.

Namun Miller, setelah mencoba menjual dua kerentanan terpisah, termasuk kerentanan senilai $50.000 kepada pemerintah, menyimpulkan bahwa hal itu tidak sepadan. Dia mengatakan sulit untuk mengidentifikasi calon pembeli, dan dalam satu kasus penjual menyelesaikan masalahnya sebelum dia dapat menyelesaikan penjualan.

Saya ingin memulai bisnis dari situ, katanya. “Salah satu pelajaran yang saya pelajari adalah bahwa hal itu tidak mungkin dilakukan.”

Dan itulah salah satu tantangan lelang WabiSabiLabi. Penjual potensial harus mengungkapkan cukup banyak hal untuk menarik pembeli, namun mengungkapkan terlalu banyak dapat membantu orang lain menemukan kekurangannya secara mandiri, sehingga menghilangkan nilainya. Preatoni mengatakan situs tersebut memverifikasi semua klaim sebelum memulai lelang.

Microsoft, yang sering membuat sistem operasi Windows, mengatakan pihaknya tidak berencana untuk mulai membayar kontributor, dan mencatat bahwa banyak peneliti dengan bersemangat menyerahkan temuan mereka hanya dengan janji kredit, yang dapat ditambahkan ke resume untuk meningkatkan prospek pekerjaan.

“Mereka dengan jelas mengatakan kepada kami bahwa dengan bekerja sama dengan kami, model ini juga akan bermanfaat bagi mereka,” kata Miller dari Microsoft.

Marc Maiffret, chief technology officer di eEye Digital Security, mengatakan dia juga menahan diri untuk tidak membayar kontributor, dengan mengatakan penjualan seperti itu “mendukung pasar yang akhirnya berubah menjadi perang penawaran. Hal ini mendorong orang untuk tidak melaporkan (masalah) kepada penjual.”