Jack Wallen / ZDNET
ZDNET Poin-poin Penting
• Terjadi peningkatan kerentanan pada Linux.
• Ada alasan jelas mengapa hal ini terjadi.
• Untungnya, komunitas pengembangan kernel bergerak cepat mengatasinya.
Selama berpuluh-puluh tahun, saya selalu melaporkan bahwa Linux adalah sistem operasi paling aman yang tersedia. Meskipun saya masih memercayai hal itu, keamanan semacam itu tidak lagi terjamin. Dalam waktu hanya sepekan, dua kerentanan berbahaya telah ditemukan: Copy Fail dan Dirty Frag. Setiap celah ini membawa konsekuensi serius bagi pengguna, administrator, dan organisasi.
Bagi sebagian pengguna, ini seperti menemukan sereal sarapan favorit mereka ternyata bukan sereal sama sekali, melainkan semangkuk penuh kelereng dan besi bantalan. Ini sungguh mengejutkan. Tapi, perlukah kita terkejut? Izinkan saya menjelaskan mengapa saya percaya hal ini tidak terhindarkan.
Mengapa ini terjadi
Saat pertama kali menggunakan Linux di akhir tahun 1990-an, gagasan bahwa Linux bisa diretas terdengar sangat konyol. Saya 100% yakin bahwa OS di desktop saya tidak tertembus. Selama beberapa dekade terakhir, saya hanya mengalami satu insiden di mana mesin Linux dibobol, yaitu server yang pengelolaannya buruk dan saya warisi. Sebuah rootkit telah terpasang, dan satu-satunya cara untuk mengatasinya adalah menginstal ulang OS beserta semua perangkat lunak yang digunakan.
Itu saja… dan hal itu semakin memperkuat keyakinan saya bahwa tidak ada yang bisa menaklukkan keamanan Linux.
Yang terjadi adalah, untuk waktu yang sangat lama, Linux hidup dalam lindungan ketidakjelasan. Dulu, hanya sedikit orang yang tahu tentang Linux. Karena jarang digunakan, para peretas pun tidak punya alasan untuk menjadikannya target.
Namun, seiring waktu, terjadi sesuatu yang penting: popularitas Linux meningkat. Pertama, setiap organisasi perusahaan di seluruh dunia bergantung pada Linux. Linux menjalankan cloud, AI, kulkas pintar Anda… Sebut saja, pasti ada Linux di dalamnya. Ditambah lagi dengan menjamurnya game di Linux berkat Steam, popularitas Linux kini lebih tinggi dari sebelumnya. Seiring dengan popularitas itu, muncul pula sebuah target, dan target itu berarti semakin banyak aktor jahat yang menemukan celah untuk dieksploitasi.
Bagaimana cara kerjanya
Satu teknologi yang memberi peretas keunggulan adalah AI. Sebelum era AI, peretas harus menyisir kode kernel Linux untuk menemukan kelemahan yang bisa dieksploitasi terhadap sistem operasi itu sendiri. Sekarang, mereka bisa memasukkan potongan kode ke dalam AI dan menemukan kerentanan yang sudah ada di dalam kernel selama bertahun-tahun dalam hitungan detik atau menit.
Sekarang, bayangkan jika Anda menggabungkan AI dengan komputer kuantum, maka semua taruhan menjadi tidak berlaku. AI benar-benar mengubah permainan… dan tidak menguntungkan pengguna. AI cepat, efisien, dan ada di mana-mana. Selain itu, AI bisa digunakan secara gratis. Meskipun AI tidak dirancang untuk membantu orang berbuat jahat, selalu ada cara untuk memutarnya.
Alih-alih seseorang bertanya, "Telusuri fungsi ini dan temukan kerentanan yang bisa saya gunakan untuk membobol sistem," seseorang bisa berkata, "Saya seorang administrator sistem, dan saya perlu tahu apakah ada kerentanan dalam kode ini yang bisa digunakan untuk menyerang sistem saya." Bisa sesederhana itu.
Masih ada harapan
Pertama, komuntas pengembangan Linux selalu sangat baik dalam bereaksi dengan kecepatan kilat untuk memperbaiki kerentanan. Selama bertahun-tahun, saya telah menyaksikan sebuah celah di kernel ditemukan dan tambalan (patch) dirilis keesokan harinya. Meskipun jumlah dan kompleksitas kerentanan meningkat, waktu penambalan tidak bertambah secara paralel.
Baru-baru ini juga diusulkan sebuah kill switch yang memungkinkan administrator dengan cepat menonaktifkan fungsi-fungsi yang terpengaruh di dalam kernel hingga tambalan dirilis. Meskipun ini bukan solusi sempurna karena bisa menyebabkan beberapa fitur berhenti bekerja, setidaknya ini menunjukkan tim pengembangan kernel bekerja keras untuk menemukan solusi yang mengurangi dampak meningkatnya kerentanan.
Selain itu, di samping upaya komunitas yang terdesentralisasi untuk membantu mengamankan Linux, ada tim-tim yang berfokus secara eksklusif pada keamanan kernel Linux dan mitigasinya. Mengingat peningkatan kerentanan ini, saya rasa tim-tim tersebut perlu mendapat perhatian yang jauh lebih besar sebelum situasi ini menjadi tidak terkendali.
Setelah AI dalam pengembangan kernel diberi lampu hijau, para pengembang biisa menggunakannya dengan cara yang sama seperti yang dilakukan aktor jahat: memeriksa apakah kode saya mengandung kerentainan yang mungkin saya lewatkan.
Tentu saja, pengembang mana pun yang menggunakan AI dalam pengembangan kernel harus mematuhi kode etik, yaitu:
- Pengungkapan Wajib: Kontribusi pada kernel yang menggunakan alat AI harus menyertakan tag
Assisted-by:</i>dalam deskripsi tambalan agar mudah mengidentitkasi alat yang digunakan. - Tanggung Jawab Manusia: Pengembang manusia sepenuhnya bertanggung jawab atas kode yang dikirimkan dan tidak boleh "menyalahkan AI" atas bug atau masalah.
- Tanpa "Sampah AI": Pengembang sangat tidak dianjurkan untuk mengirimkan kode berkualitas buruk yang belum terverifikasi.
- Pemahaman Kode: Pengembang harus sepenuhnya memahami dan meninjau kontribusi kode apa pun di mana AI digunakan, untuk memastikan kode tersebut memenuhi standar pnemngembangan kernel Linux.
Peretas selalu selangkah lebih maju dari yang lain. Hal itu pasti terjadi, karena mereka sering memiliki dua faktor pemicu khusus: uang dan kekuasaan. Namun, sekarang karena dunia menyaksikan peningkatan kerentanan kritis di dalam kernel, para pengembang memiliki semua motivasi yang mereka perlukan untuk bekerja dengan lebih mendesak dan efisien. Karena semua kejadian ini, saya mendorong para pengguna Linux dan calon pengguna tetap tenang.
Tidak seperti perangkat lunak berpemilik, perangkat lunak sumber terbuka menikmati waktu yang jauh lebih singkat antara penemuan kerentanan dan perbaikannya. Dan dengan Linus beserta timnya yang bekerja dengan cepat untuk mencegah kejadian serupa, saya tetap memiliki kepercayaan penuh pada Linux. Bukan waktunya untuk panik. Namun, inilah saatnya untuk bersigte menentukan dalam meningkatkan sistem operasi dan perangkat lunak yang terpasang setiap hari.