Imbalan Bagi Penemu Error Software

Imbalan Bagi Penemu Error Software

Teknorus – Calon konsumen pertama yang tertarik dengan celah keamanan software adalah produsen software itu sendiri. Sebagian memberikan imbalan bag penemunya (Bug Bounty). Beberapa perusahaan memberi imbalan antara US$ 1000-20.000 untuk setiap temuan satu celah keamanan. “Penawaran imbalan ini mendororong banyak pihak untuk menginformasikan penemuannya ke produsen software”, tamabah Christian Funk (analis virus Kaspersky). “Imbalannya pun tidak lebih rendah dari apa yang mereka dapatkan dari pihak lain yang tidak berkepentingan.” Sejak Juni 2013, Microsoft juga memberi imbalan hingga US$ 100.000 bagi siapa saja yang menemukan celah keamanan di Windows 8.1. Google dan Facebook lebih siap dengan problem keamanan seperti ini. Sejak 2010, Google telah mengidentifikasikan 2.000 celah keamanan dengan program reward tersebut yang menghabiskan dana hingga US$ 2 juta.

Game Ppsspp – Facebook juga telah mendistribusikan lebih dari US$ 1 juta ke lebih dari 300 peneliti keamanan selama dua tahun belakang ini. Dua orang diantaranya bekerja langsung unutk tim sekuriti Facebook. Johnathan Nightingale, Vice President, Firefox Engineering di Mozilla juga menyatakan bahwa “Bug Bounty adalah program penting dalam sistem sekuriti kami”. Selain memberikan imbalan bagi penemunya tapi juga memberi jaminan bagi penemunya bahwa mereka tidak melanggar aturan hukum karena mengutak-atik software pihak lain. Namun, Nightingale menyadari bahwa program Bug Bounties bukanlah solusi pamungkas karena menghadapi persaingan dari konsumen kaya yang bermodal besar di pasar bebas. Tidak seperti produsen software, kosumen atau pembeli di pasar bebas bukan hanya mencari celah keamanan, tapi juga exploit. Exploit yang berguna dalam menyebarkan malware ke sistem target menjadi daya tarik bagi para kriminal cyber. Pihak intelijen dan militer juga membutuhkan exploit sebagai amunisi dalam perang cyber.

Untuk bisa masuk ke dalam daftar pembelian calon konsumen, seorang broker (pialang) dibutuhkan sebagai perantara bagi calon pembeli celah keamanan dan zero-day exploit (celah yang belum ada patch-nya). Selanjutnya, hacker atau peniliti keamanan yang menemukan celah kemanan tersebut akan menjualnya kepada penawar tertinggi. “Pasar ini mulai ada sejak akhir tahun 90-an”, jelas Candid Wüest, peneliti keamanan Symantec. “Namun, jumlah exploit yang diperdagangkan dan harganya terus meningkat belakang ini.” Meskipun peningkatan perang cyber war merupakan salah satu faktor penyebab terjadinya peningkatan, adanya perubahan mekanisme pasar malware pun berkontribusi terha dap fenomena ini.

“Terutama karena Drive-by-Downloads te lah menjadi metode stadnar penyerangan saat ini”, kata Christian Funk. Serangan seperti membutuhkan exploit yang dapat memanipulasi websites untuk selanjutnya mencari adanya celah kemanan yang belum di-patch pada PC pengunjung website dan meng-install malware melalui celah keamanan yang dideteksi tersebut.

Leave a Reply