Perangkat IoT Rentan Terhadap Perestasan
Rabu, 05 Juli 2017 - 11:16 WIB
Perangkat IoT Rentan Terhadap Perestasan
A
A
A
JAKARTA - Dalam dunia digital saat ini, kita dikelilingi secara harfiah oleh perangkat “pintar” atau perangkat Internet of Things.(IoT). Produsen barang sehari-hari seperti mainan, furnitur, mobil, dan perangkat medis semakin meningkat, produknya dengan menambahkan fitur “pintar” agar menjadi lebih menarik bahkan kini produsen botol air mulai membuat botol yang tersambung ke internet.
Membuat perangkat pintar menjadi tren di mana pun, namun ada satu hal yang sering menjadi terlewatkan: keamanan. Terlebih lagi, tidak ada persyaratan industri yang harus dipatuhi terkait keamanan perangkat pintar. Para produsen dibiarkan membuat standar perusahaannya sendiri untuk komunikasi, yang tidak selalu menjadikan keamanan sebagai prioritas utama. Perangkat pintar yang tidak memiliki prinsip dasar keamanan modern ini kemudian dikirimkan ke seluruh dunia.
Michal Salat, Director of Threat Intelligence Avast, mengatakan, karena perangkat pintar tidak memiliki pengamanan yang cukup, perangkat tersebut dapat diretas menggunakan sejumlah metode, mulai dari yang mudah seperti pembobolan kredensial login, hingga yang lebih canggih seperti beragam teknik eksploitasi, atau rekayasa balik firmware atau sistem operasi serta mendeteksi kerentanan hari ke 0.
"Layanan dan exploit yang dapat digunakan untuk meretas perangkat IoT dijual di darknet, dan sebagai akibatnya, ada semakin banyak orang yang dapat menggunakannya. Peretas juga terus mencoba menyusup ke jenis jaringan dan bentuk komunikasi baru yang dipakai di perangkat IoT agar dapat meretasnya," ujar Michal Salat, Jakarta, (5/7/2017).
Dirinya menambahkan, cara termudah meretas perangkat pintar adalah dengan membobol kata sandi atau mencoba mendapatkan akses ke perangkat menggunakan kredensial login default perangkat tersebut. Botnet, yang dapat disewa di darknet, membuat metode peretas amatir (script kiddie) ini mudah dipakai untuk menginfeksi ribuan perangkat secara bersamaan. Sebagian besar produsen memakai kredensial login default yang sama untuk seluruh perangkat buatannya, alih-alih membuat kata sandi yang unik untuk setiap perangkat, guna memangkas biaya produksi.
"Salah satu ancaman terbesar terhadap IoT tahun lalu adalah botnet Mirai yang menginfeksi ribuan perangkat pintar, melalui kredensial login default, untuk melancarkan serangan DDOS berskala besar. Karena kode sumber Mirai tersebar luas, hampir semua orang dapat menjalankan botnet IoT-nya sendiri atau menulis ulang kodenya. Akibatnya, banyak bermunculan mutasi Mirai. Cara lainnya untuk menginfeksi perangkat IoT jauh lebih rumit dan membutuhkan biaya dan oleh karena itu tidak umum dilakukan. Sebagai contoh, rekayasa balik firmware atau sistem operasi memerlukan pengetahuan teknik yang mendalam dan waktu yang lebih banyak. 0-day exploit yang memanfaatkan kerentanan memerlukan biaya ribuan dolar," paparnya.
Sedangkan yang harus dilakukan untuk mengamankan perangkat IoT, cara yang memungkinkan dan efektif untuk meningkatkan keamanan IoT secara drastis adalah dengan memudahkan konsumen mengubah kredensial login perangkat pintarnya. Untuk mendorong konsumen mengubah kredensial login perangkat IoT-nya, produsen dapat mewajibkan konsumen membuat kata sandi yang unik dan kokoh saat mengatur perangkat untuk pertama kali.
Hal tersebut jelas tidak dapat diterapkan pada segala kondisi, tetapi perubahan kredensial login default sudah cukup untuk mengurangi jumlah perangkat yang “tidak aman” secara drastis dan mempersulit peretas amatir, peretas “abal-abal”, serta bot pencarian sederhana yang mencoba mengakses perangkat IoT. Di samping itu, produsen perangkat IoT dapat memberi perangkat buatannya kata sandi yang acak dan unik untuk disertakan bersama perangkat saat pengiriman ke pelanggan.
Membuat perangkat pintar menjadi tren di mana pun, namun ada satu hal yang sering menjadi terlewatkan: keamanan. Terlebih lagi, tidak ada persyaratan industri yang harus dipatuhi terkait keamanan perangkat pintar. Para produsen dibiarkan membuat standar perusahaannya sendiri untuk komunikasi, yang tidak selalu menjadikan keamanan sebagai prioritas utama. Perangkat pintar yang tidak memiliki prinsip dasar keamanan modern ini kemudian dikirimkan ke seluruh dunia.
Michal Salat, Director of Threat Intelligence Avast, mengatakan, karena perangkat pintar tidak memiliki pengamanan yang cukup, perangkat tersebut dapat diretas menggunakan sejumlah metode, mulai dari yang mudah seperti pembobolan kredensial login, hingga yang lebih canggih seperti beragam teknik eksploitasi, atau rekayasa balik firmware atau sistem operasi serta mendeteksi kerentanan hari ke 0.
"Layanan dan exploit yang dapat digunakan untuk meretas perangkat IoT dijual di darknet, dan sebagai akibatnya, ada semakin banyak orang yang dapat menggunakannya. Peretas juga terus mencoba menyusup ke jenis jaringan dan bentuk komunikasi baru yang dipakai di perangkat IoT agar dapat meretasnya," ujar Michal Salat, Jakarta, (5/7/2017).
Dirinya menambahkan, cara termudah meretas perangkat pintar adalah dengan membobol kata sandi atau mencoba mendapatkan akses ke perangkat menggunakan kredensial login default perangkat tersebut. Botnet, yang dapat disewa di darknet, membuat metode peretas amatir (script kiddie) ini mudah dipakai untuk menginfeksi ribuan perangkat secara bersamaan. Sebagian besar produsen memakai kredensial login default yang sama untuk seluruh perangkat buatannya, alih-alih membuat kata sandi yang unik untuk setiap perangkat, guna memangkas biaya produksi.
"Salah satu ancaman terbesar terhadap IoT tahun lalu adalah botnet Mirai yang menginfeksi ribuan perangkat pintar, melalui kredensial login default, untuk melancarkan serangan DDOS berskala besar. Karena kode sumber Mirai tersebar luas, hampir semua orang dapat menjalankan botnet IoT-nya sendiri atau menulis ulang kodenya. Akibatnya, banyak bermunculan mutasi Mirai. Cara lainnya untuk menginfeksi perangkat IoT jauh lebih rumit dan membutuhkan biaya dan oleh karena itu tidak umum dilakukan. Sebagai contoh, rekayasa balik firmware atau sistem operasi memerlukan pengetahuan teknik yang mendalam dan waktu yang lebih banyak. 0-day exploit yang memanfaatkan kerentanan memerlukan biaya ribuan dolar," paparnya.
Sedangkan yang harus dilakukan untuk mengamankan perangkat IoT, cara yang memungkinkan dan efektif untuk meningkatkan keamanan IoT secara drastis adalah dengan memudahkan konsumen mengubah kredensial login perangkat pintarnya. Untuk mendorong konsumen mengubah kredensial login perangkat IoT-nya, produsen dapat mewajibkan konsumen membuat kata sandi yang unik dan kokoh saat mengatur perangkat untuk pertama kali.
Hal tersebut jelas tidak dapat diterapkan pada segala kondisi, tetapi perubahan kredensial login default sudah cukup untuk mengurangi jumlah perangkat yang “tidak aman” secara drastis dan mempersulit peretas amatir, peretas “abal-abal”, serta bot pencarian sederhana yang mencoba mengakses perangkat IoT. Di samping itu, produsen perangkat IoT dapat memberi perangkat buatannya kata sandi yang acak dan unik untuk disertakan bersama perangkat saat pengiriman ke pelanggan.
(wbs)
