Apa itu Serangan Rantai Pasokan?


Kebenaran keamanan siber memiliki telah lama dijelaskan dalam istilah kepercayaan yang sederhana: Waspadalah terhadap lampiran email dari sumber yang tidak dikenal, dan jangan menyerahkan kredensial ke situs web palsu. Tetapi semakin, peretas canggih merusak rasa kepercayaan dasar itu dan menimbulkan pertanyaan yang memicu paranoia: Bagaimana jika perangkat keras dan perangkat lunak yang sah yang membentuk jaringan Anda telah dikompromikan pada sumbernya?

Bentuk peretasan yang berbahaya dan semakin umum itu dikenal sebagai “serangan rantai pasokan”, sebuah teknik di mana musuh menyelipkan kode berbahaya atau bahkan komponen berbahaya ke dalam perangkat lunak atau perangkat keras tepercaya. Dengan mengkompromikan satu pemasok, mata-mata atau penyabot dapat membajak sistem distribusinya untuk mengubah aplikasi apa pun yang mereka jual, pembaruan perangkat lunak apa pun yang mereka dorong, bahkan peralatan fisik yang mereka kirimkan ke pelanggan, menjadi kuda Troya. Dengan satu intrusi yang ditempatkan dengan baik, mereka dapat membuat batu loncatan ke jaringan pelanggan pemasok—kadang-kadang berjumlah ratusan atau bahkan ribuan korban.

“Serangan rantai pasokan menakutkan karena sangat sulit untuk ditangani, dan karena membuat jelas bahwa Anda memercayai keseluruhan ekologi,” kata Nick Weaver, peneliti keamanan di Institut Ilmu Komputer Internasional UC Berkeley. “Anda memercayai setiap vendor yang kodenya ada di mesin Anda, dan Anda memercayai setiap vendor vendor.”

Tingkat keparahan ancaman rantai pasokan ditunjukkan dalam skala besar Desember lalu, ketika terungkap bahwa peretas Rusia — yang kemudian diidentifikasi bekerja untuk dinas intelijen asing negara itu, yang dikenal sebagai SVR — telah meretas perusahaan perangkat lunak SolarWinds dan menanam kode berbahaya. dalam alat manajemen TI Orion, memungkinkan akses ke sebanyak 18.000 jaringan yang menggunakan aplikasi itu di seluruh dunia. SVR menggunakan pijakan itu untuk menggali jauh ke dalam jaringan setidaknya sembilan agen federal AS, termasuk NASA, Departemen Luar Negeri, Departemen Pertahanan, dan Departemen Kehakiman.

Tapi sama mengejutkannya dengan operasi mata-mata itu, SolarWinds tidak unik. Serangan rantai pasokan yang serius telah menghantam perusahaan di seluruh dunia selama bertahun-tahun, baik sebelum dan sejak kampanye berani Rusia. Bulan lalu, terungkap bahwa peretas telah mengkompromikan alat pengembangan perangkat lunak yang dijual oleh perusahaan bernama CodeCov yang memberi peretas akses ke ratusan jaringan korban. Kelompok peretas China yang dikenal sebagai Barium melakukan setidaknya enam serangan rantai pasokan selama lima tahun terakhir, menyembunyikan kode berbahaya dalam perangkat lunak pembuat komputer Asus dan dalam aplikasi pembersihan hard drive CCleaner. Pada tahun 2017, para peretas Rusia yang dikenal sebagai Sandworm, bagian dari dinas intelijen militer GRU negara itu, membajak pembaruan perangkat lunak dari perangkat lunak akuntansi Ukraina MEDoc dan menggunakannya untuk mengeluarkan kode perusak yang menyebar sendiri yang dikenal sebagai NotPetya, yang pada akhirnya menimbulkan kerugian sebesar $10 miliar. kerusakan di seluruh dunia—serangan siber paling mahal dalam sejarah.

Faktanya, serangan rantai pasokan pertama kali ditunjukkan sekitar empat dekade lalu, ketika Ken Thompson, salah satu pencipta sistem operasi Unix, ingin melihat apakah dia dapat menyembunyikan pintu belakang dalam fungsi login Unix. Thompson tidak hanya menanam sepotong kode berbahaya yang memberinya kemampuan untuk masuk ke sistem apa pun. Dia membangun kompiler—alat untuk mengubah kode sumber yang dapat dibaca menjadi program yang dapat dibaca mesin dan dapat dieksekusi—yang secara diam-diam menempatkan pintu belakang dalam fungsi saat dikompilasi. Kemudian dia melangkah lebih jauh dan merusak kompiler yang dikompilasi kompiler, sehingga bahkan kode sumber kompiler pengguna tidak akan memiliki tanda-tanda gangguan yang jelas. “Moralnya jelas,” tulis Thompson dalam sebuah kuliah yang menjelaskan demonstrasinya pada tahun 1984. “Anda tidak dapat mempercayai kode yang tidak Anda buat sendiri sepenuhnya. (Terutama kode dari perusahaan yang mempekerjakan orang seperti saya.)”

Diposting oleh : SGP Prize