Safari dan ie8 berhasil dijebol, chrom dan mozilla aman

Kontes hacking untuk menjebol sistem keamanan browser internet dan perangkat mobile bertajuk Pwn2Own yang berlangsung sebagai bagian konferensi CanSecWest di Vancouver, Kanada, 9-11 Maret 2011, telah berakhir. Hasilnya, browser Chrome 9 buatan Google dan Firefox 3.6 buatan Mozilla yang tak jebol. Sementara Safari 5 dari Apple dan Internet Explorer 8 buatan Microsoft takluk di hari pertama.

"Aku cinta Pwn2Own! Safari dan IE8 jebol di hari pertama, tapi tidak dengan Chrome," tulis Matt Cutts, kepala tim spam web Google, di akun Twitter saat kontes hari pertama selesai. Harapannya bertahan sampai kontes berakhir karena Chrome tak jua berhasil ditembus.

Ini merupakan keberhasilan Google mempertahankan rekor sebagai browser yang tidak mudah ditembus. Selama dua tahun berturut-turut di kontes yang sama, Chrome terbukti menjadi satu-satunya browser yang tidak bisa ditembus hacker. Namun, tahun ini Firefox 3.6 pun tak kalah aman dan untuk pertama kalinya gagal dijebol.

"Whew, Firefox bertahan di #pwn2own 2011. Ini bukan kesuksesan besar, tetapi saya tetap senang mendengarnya," kata Brendan Eich, CTO Mozilla, di akun Twitter miliknya mengomentari kabar baik tersebut. Tak lupa, bos Mozilla itu pun memberi selamat kepada tim Chrome dari Google lewat tweet selanjutnya.

Pujian yang sama juga disampaikan tim Google kepada Mozilla. "Kedua browser yang bertahan sama-sama open source, punya program penghargaan, punya tim keamanan yang melekat, lebih baik dan cepat melakukan perbaikan. Kebetulan?" tulis Chris Evans, insinyur di tim keamanan Chrome.

Selain menantang para hacker menembus keamanan browser internet, Pwn2Own juga menantang peserta menembus sistem operasi perangkat mobile. iOS di iPhone 4 dan BlackBerry Torch sukses ditembus, tetapi Android dan Windows Phone 7 bisa bertahan.

Tak disangka browser Safari buatan Apple dan Internet Explorer 8 buatan Microsoft punya nasib yang sama. Berhasil dijebol hacker di hari pertama kontes Pwn2Own yang digelar sebagai bagian dari konferensi teknologi keamanan CanSecWest di Vancouver, Kanada, 9-11 Maret 2011.

Para peneliti sistem keamanan dari perusahaan Vupen, Perancis menjadi tim pertama yang berhasil menjebol Safari 5. Bahkan sesuai angka versi software tersebut, mereka melakukannya hanya dalam waktu lima detik. Tidak main-main yang dijebol adalah browser versi 64 bit yang berjalan di Mac OS X Snow Leopard di MacBook dan sudah di-patch besar-besaran sebelumnya.

Co-founder Vupen, Charouki Bekrar, dan dua anggota timnya bekerja keras selama dua minggu untuk menemukan kelemahan di Safari 5. Mereka menemukannya pada bagian Webkit, mesin rendering berbasis open source yang digunakan browser tersebut. Mereka sukses mengeksploitasi kelemahan itu dan menembus sistem lewat ASLR (Address Space Layout Randomization) and DEP (Data Execution Prevention), dua fitur keamanan yang khusus dirancang untuk mencegah program jahat menyusup.

Bahkan, tim tersebut telah membuat program khusus untuk disusupkan lewat lubang kelemahan tersebut. Program tersebut mengaktifkan kalkulator dan menginfeksi komputer untuk mengambil akses secara penuh. "Korban yang mengunjungi sebuah website, ia akan terjebak. Tanpa perlu interaksi apa pun," kata Bekrar.

Sementara IE8 tantangan berhasil dipecahkan peneliti keamanan dari Irlandia Stephen Fewer. Ia sukses menjebol browser tersebut yang berjalan di Windows 7 versi 64 bit. Untuk menembus sistem keamanan IE8, Fewer menemukan tiga kelemahan, dua di antaranya sudah diperkirakannya sejak awal untuk melakukan eksploitasi. Dengan menembus dua kelamahan itu, ia berhasil menemukan kelemahan ketiga untuk menjebol Protected Mode sandbox sehingga dapat mengakses sistem operasi secara penuh. Seperti Vupen, ia juga sukses menyusup dengan menjebol DEP dan ASLR di Windows 7.

Atas keberhasilannya, Vupen membawa 15.000 dollar AS dan komputer MacBook Air 13 inci yang ditaklukannya. Sementara Fewer juga berhak menggondol hadiah sebesar 15.000 dollar AS dan sebuah komputer Sony Vaio yang berhasil diambil alih sistemnya.

Sesuai aturan kontes, semua teknik eksploitasi yang berhasil dilakukan untuk menembus kelemahan tersebut tidak akan dipublikasikan. Pihak panitia memberikan data tersebut kepada TioipingPoint selaku sponsor. Selanjutnya info tersebut akan diberikan kepada masing-masing vendor untuk memberi kesempatan melakukan patch atau perbaikan sampai 6 bulan sebelum diungkap kepada publik.

Kontes berlangsung di hari kedua. Namun, browser lainnya, Chrome 9 dan Firefox 3.6 gagal dijebol peserta mana pun. Sementara itu, untuk kontes mobile devices, iPhone 4 dan BlackBerry Torch juga berhasil ditaklukkan. Sementara Android dan Windows Phone 7 berhasil bertahan.

Posted in: News