tirto.id - “Ini sungguh sangat menakutkan.”
“Kamu tak akan menyangka bahwa percakapan pribadimu akan bocor dari suatu aplikasi,” ujar Daniel Gruss, salah satu anggota tim peneliti yang berasal dari Graz University of Technology, Austria.
Daniel tak sembarangan mengungkapkan rasa ketakutannya. Ia beserta rekan-rekannya membuat sebuah kode pemrograman komputer. Kode itu dirancang dengan satu tujuan, mencuri informasi dari bagian yang paling dalam dan yang paling terlindungi dari sistem operasi komputer. Bagian itu bernama kernel.
Kode itu kemudian bekerja dengan sukses yang membuat rasa takut Daniel menjadi-jadi. Ia bersama para peneliti di Cyberus Technology GmbH, University of Pennsylvania, University of Maryland, University of Adelaide, dan Google Project Zero membuat dua paper yang berjudul “Meltdown” dan “Spectre Attacks: Exploiting Speculative Execution” untuk menjelaskan secara rinci temuan yang menakutkan ini.
Kini muncul istilah dalam jagat teknologi "Meltdown dan Spectre". Meltdown dan Spectre, tulis laman resmi yang kemudian diciptakan tim peneliti, merupakan celah keamanan kritis yang dimanfaatkan untuk mengeksplorasi prosesor modern. Dalam sebuah pemberitaan The Verge, disebutkan bahwa hampir semua prosesor modern keluaran Intel dalam 20 tahun terakhir terasuki Meltdown dan Spectre.
Laman resmi itu menyebut bahwa celah keamanan itu berdampak pada hampir semua sistem, desktop, laptop, cloud server, hingga smartphone. Tim peneliti telah menverifikasi di prosesor Intel, AMD, hingga ARM.
Charles Lim, Chapter Lead Indonesia Honeynet Project, sebuah komunitas yang bertujuan meningkatkan keamanan di dunia teknologi, sekaligus dosen peneliti pada Swiss German University mengatakan bahwa Meltdown dan Spectre merupakan dua celah keamanan yang lahir atas adanya cacat desain pada prosesor. Cacat ini meliputi Intel yang secara umum memiliki celah keamanan Meltdown dan AMD yang secara umum memiliki celah keamanan Spectre.
“Itu karena kesalahan desain di prosesornya dan menyebabkan kita bisa mencuri informasi dari kerentanan itu,” tegas Charles kepada Tirto.
Konsekuensi adanya masalah karena cacat desain, tak banyak cara untuk benar-benar memperbaiki Meltdown dan Spectre.
“Karena itu menyangkut hardware usaha apapun menggunakan software (untuk memperbaiki Meltdown dan Spectre) hanya akal-akalan. Pada akhirnya tinggal tunggu tanggal mainnya hacker masuk ke dalam sistem,” kata Charles.
“Cara-cara yang dilakukan cuma sifatnya sementara,” ujarnya.
Ia mengatakan bahwa Meltdown dan Spectre merupakan celah fundamental. Akibatnya, perbaikan dalam bentuk software menyebabkan penurunan kemampuan sebuah komputer.
“Patch itu di-apply kemungkinan sangat besar performa menurun sekitar 30 persen,” ucap Charles.
Apa yang diucap Charles tak berbeda dengan apa yang disampaikan Intel. Pihak Intel mengatakan bahwa update atau patch akan berpengaruh tinggi terhadap performa komputer.
Charles menegaskan cara terbaik untuk mengatasi Meltdown dan Spectre adalah mengganti prosesor dengan versi baru, versi yang tak terdampak, yaitu versi yang bukan dengan patch, atau software perbaikan apapun. Ini semacam recall dalam dunia otomotif. Sayangnya, cara recall sukar digunakan bagi Intel.
“Cara yang paling efektif prosesornya diganti. Tapi apakah Intel bisa mengganti seluruh prosesornya di dunia. Bangkrut dia,” kata Charles.
Meltdown dan Spectre merupakan dua celah kemananan yang ditemukan berada di titik sentral kerja suatu mesin komputer. Chris Baraniuk & Mark War pada BBC mengatakan pada saat bekerja komputer modern mengacak data yang besar. Proses mengacak data tersebut terkait dengan segala input yang dilakukan pengguna.
Kernel, inti dari sistem operasi, bertugas mengkoordinasikan proses kerja ini dengan cara memindahkan data-data ke memori yang terdapat di chip/prosesor atau di tempat lain. Untuk memastikan data dapat tersedia dengan cepat bila diperlukan, komputer menjalankan sebuah proses bernama speculation execution.
Data, kemudian diproses di dalam memori sang prosesor. Di titik inilah, kerentanan atau celah keamanan Meltdown dan Spectre menjadi masalah pangkalnya.
Mengutip paper “Meltdown” dikatakan bahwa komputer, secara fundamental, bekerja dengan mengisolasi memori. Masing-masing aplikasi, bekerja pada memorinya sendiri. Ini kemudian memungkinkan pengguna komputer menjalankan lebih dari satu aplikasi secara bersamaan, Google Chrome dan Winamp misalnya.
Namun, selain untuk tujuan praktis tersebut, pemisahan juga dimaksudkan agar aplikasi tak bisa membaca atau mengubah memori kernel, fondasi dari sistem operasi.
Meltdown bekerja merusak isolasi tersebut. Sementara Spectre, bekerja dengan cara memerintahkan suatu aplikasi memproses tindakan yang tidak perlu.
Sampai saat ini celah keamanan Meltdown dan Spectre belum dimanfaatkan penjahat cyber. Meltdown maupun Spectre baru dimanfaatkan dalam bentuk proof-of-concept. Namun, Charles mengatakan bahwa ini hanyalah masalah waktu saja, masalah besar akan datang.
“Proof-of-concept sudah ada, malware-nya belum ada. Tinggal tunggu. WannaCry itu kan sebenarnya lahir karena kerentanan yang ditemukan di dalam SMB Protocol. Nah, ini sudah dikasih tahu ada perentanan di SMB Protocol itu, tapi Microsoft kurang cepat dan lalu dibuat malware oleh hacker. Ini kerentanannya di hardware, lebih fundamental,” kata Charles.
Dalam pernyataan resminya, Intel mengatakan bahwa mereka kini tengah bekerjasama dengan perusahaan teknologi lain, termasuk dengan AMD dan ARM, untuk sesegera mungkin menyelesaikan masalah ini. Namun, Intel meyakini kerentanan tersebut tak berpotensi merusak, mengubah, atau sampai menghapus data.
“Intel telah meluncurkan pembaruan software dan firmware untuk memitigasi kerentanan ini,” tulis Intel dalam pernyataan resminya.
Namun, apapun persoalan kerentanan ini telah membuat khawatir Charles dan sangat beralasan, karena Daniel dan rekan-rekannya pun merasakan rasa khawatirnya soal celah lebar di titik terdalam otak komputer buatan Intel ini. Ini akan menjadi hantu yang siap datang kapan saja.
-------------------------------
Catatan: Pada naskah ada tambahan penjelasan Intel.
Penulis: Ahmad Zaenudin
Editor: Suhendra
