Microsoft kembali menuai sorotan setelah mengancam akan mengambil langkah hukum terhadap peneliti keamanan yang membongkar sejumlah celah pada produknya. Respons keras ini memicu kritik luas karena dianggap bisa merusak hubungan antara perusahaan teknologi besar dan komunitas peneliti independen yang selama ini membantu menemukan kelemahan sebelum dieksploitasi pelaku kejahatan siber.
Kasus ini juga menyoroti ketegangan lama di dunia keamanan digital, yakni soal batas antara pengungkapan yang dianggap bertanggung jawab dan publikasi terbuka. Di tengah meningkatnya ancaman siber, cara perusahaan merespons laporan kerentanan sering kali menjadi sama pentingnya dengan celah yang diungkap itu sendiri.
Kontroversi bermula ketika peneliti yang memakai nama samaran Nightmare Eclipse mempublikasikan serangkaian kerentanan yang belum ditambal Microsoft. Ia tidak hanya mengungkap detail celah keamanan, tetapi juga merilis kode eksploitasi yang memungkinkan pihak lain memanfaatkan kelemahan tersebut.
Microsoft menanggapi dengan pernyataan keras melalui unggahan blog pada akhir Mei. Perusahaan menyebut Nightmare Eclipse tidak mengikuti praktik pengungkapan kerentanan yang dianggap bertanggung jawab atau responsible disclosure.
Menurut Microsoft, peneliti keamanan semestinya melaporkan kerentanan terlebih dahulu kepada perusahaan agar perbaikan bisa dilakukan sebelum informasi dipublikasikan. Dengan cara itu, risiko penyalahgunaan oleh pelaku kejahatan siber dinilai dapat ditekan.
Celah Menyasar Defender dan BitLocker
Kerentanan yang diungkap bukan masalah kecil. Beberapa di antaranya diberi nama BlueHammer, RedSun, UnDefend, dan YellowKey.
Celah itu disebut memengaruhi produk penting Microsoft, termasuk Windows Defender sebagai antivirus bawaan Windows dan BitLocker yang digunakan untuk mengenkripsi data pada perangkat pengguna. Microsoft menilai publikasi detail teknis dan metode eksploitasi sebelum ada tambalan keamanan justru bisa membantu pelaku kejahatan siber menemukan cara serangan baru.
Perusahaan juga menyebut bahwa beberapa kerentanan yang diungkap telah dimanfaatkan dalam serangan nyata oleh peretas. Dalam pernyataannya, Microsoft dan Cybersecurity and Infrastructure Security Agency menyinggung bahwa sebagian celah tersebut sudah dipakai dalam aksi serangan.
Microsoft kemudian menegaskan bahwa Digital Crimes Unit akan terus mengambil tindakan terhadap pihak-pihak yang dianggap mendukung aktivitas kriminal siber. Perusahaan juga menyatakan siap bekerja sama dengan aparat penegak hukum di berbagai negara jika diperlukan.
Versi Berbeda dari Nightmare Eclipse
Nightmare Eclipse memberikan cerita yang berbeda. Dalam sejumlah tulisan yang dipublikasikan beberapa minggu terakhir, ia mengaku sudah mencoba berkomunikasi dengan Microsoft terkait kerentanan yang ditemukan, tetapi tidak mendapat respons yang memadai.
Salah satu poin yang disorot adalah pencabutan akses akunnya di Microsoft Security Response Center, portal resmi untuk melaporkan kerentanan keamanan ke Microsoft. Kondisi itu membuat Nightmare Eclipse mengisyaratkan bahwa ia merasa tidak punya pilihan lain selain mempublikasikan seluruh detail ke publik.
Setelah itu, status kerentanan berubah menjadi zero-day, yakni celah yang bisa dimanfaatkan sebelum pengembang menyediakan perbaikan resmi. Tidak lama setelah publikasi, akun Nightmare Eclipse di GitHub dan GitLab juga dilaporkan diblokir, sementara GitHub merupakan platform milik Microsoft.
Hingga kini, baik Microsoft maupun Nightmare Eclipse belum memberikan komentar lanjutan soal perselisihan tersebut. Situasi ini membuat perdebatan atas cara terbaik menangani kerentanan keamanan kembali mengemuka di kalangan peneliti.
Kritik dari Komunitas Keamanan Siber
Respons Microsoft tidak mendapat dukungan luas dari komunitas keamanan siber. Sebaliknya, banyak peneliti justru membagikan pengalaman negatif mereka saat berinteraksi dengan perusahaan tersebut.
Salah satu kritik paling keras datang dari Katie Moussouris, pendiri Luta Security yang dikenal sebagai pelopor program bug bounty saat masih bekerja di Microsoft. Menurut Moussouris, penggunaan istilah responsible disclosure sering kali bermasalah karena dinilai membebankan seluruh tanggung jawab kepada peneliti.
Ia juga menilai penyebutan Digital Crimes Unit dalam konteks ini terlalu berlebihan. Moussouris memperingatkan bahwa ancaman hukum seperti itu bisa membuat peneliti kehilangan kepercayaan terhadap Microsoft dan enggan melaporkan kerentanan di masa depan.
Kevin Beaumont turut mengkritik langkah perusahaan itu. Dalam unggahan blog pribadinya, ia menyebut situasi ini sebagai masalah yang diciptakan sendiri oleh Microsoft.
Beaumont mengatakan bahwa pembuatan proof-of-concept exploit merupakan praktik yang lazim dalam penelitian keamanan siber. Karena itu, ia mempertanyakan alasan Microsoft mengaitkan aktivitas tersebut dengan tindakan kriminal dan menyebutnya sebagai titik terendah baru dalam hubungan vendor teknologi dengan komunitas peneliti.
Perdebatan Lama yang Kembali Menguat
Perselisihan ini kembali membuka perdebatan yang sudah berlangsung bertahun-tahun di keamanan siber. Intinya, masih ada pertanyaan apakah peneliti wajib memastikan perusahaan benar-benar memperbaiki celah sebelum detailnya dipublikasikan.
Sebagian pihak menilai pengungkapan privat adalah cara terbaik untuk melindungi pengguna. Namun, pihak lain berpendapat publikasi terbuka kadang menjadi satu-satunya cara untuk mendorong perusahaan bertindak lebih cepat.
Perdebatan soal insentif peneliti keamanan pun sudah lama berkembang. Pada 2009, muncul kampanye No More Free Bugs yang menuntut perusahaan memberi kompensasi kepada peneliti yang menemukan kerentanan.
Kini, banyak perusahaan teknologi besar menjalankan program bug bounty untuk memberi hadiah kepada peneliti yang melapor secara bertanggung jawab. Dalam beberapa kasus, hadiahnya bahkan bisa mencapai ratusan ribu dolar jika kerentanannya kritis dan prosedur pelaporannya dipatuhi.
Terlepas dari siapa yang paling benar dalam kasus ini, banyak pihak sepakat bahwa hubungan antara perusahaan dan peneliti independen sangat penting bagi keamanan digital. Jika kepercayaan itu terus terkikis, pelaporan kerentanan bisa makin berkurang dan ruang serangan siber justru makin terbuka.
Source: www.gadgetdiva.id-
-
-
-
