Dengan Spectre Masih Mengintai, Google Tampak Melindungi Web


Sudah lebih lebih dari tiga tahun sejak para peneliti mengungkap sepasang kerentanan keamanan, yang dikenal sebagai Specter and Meltdown, yang mengungkapkan kelemahan mendasar dalam cara sebagian besar prosesor komputer modern menangani data untuk memaksimalkan efisiensi. Sementara mereka mempengaruhi sejumlah besar perangkat komputasi, apa yang disebut bug eksekusi spekulatif relatif sulit untuk dieksploitasi dalam praktiknya. Tapi sekarang para peneliti dari Google telah mengembangkan bukti konsep yang menunjukkan bahaya serangan Spectre ke browser — dengan harapan memotivasi generasi baru pertahanan.

Peneliti tidak pernah meragukan Spectre bisa dieksploitasi untuk peretasan berbasis browser. Setiap program yang berjalan di komputer menjalankan instruksinya dan mengolah datanya melalui prosesor dan memori komputer, membuat semua informasi itu berpotensi rentan terhadap serangan eksekusi spekulatif. Itu termasuk browser, yang memuat data dari server web dan kemudian menampilkan konten pada perangkat pengguna individu melalui fitur lokal yang disebut mesin rendering. Peretasan browser Spectre pada dasarnya akan meluncurkan serangan dari satu halaman web yang dikunjungi korban untuk mengambil data dari halaman lain yang telah mereka buka. Peretasan semacam itu bahkan dapat digunakan untuk menyamar sebagai target untuk menarik lebih banyak datanya dari aplikasi web tempat mereka masuk.

Pada tahun-tahun sejak pengungkapan Spectre and Meltdown awal, jenis serangan spesifik itu tidak pernah terlihat di alam liar, dan tidak jelas seberapa praktis metode tersebut. Bukti konsep Google terhadap peramban Chrome-nya sendiri tidak hanya menggambarkan kelayakan, tetapi juga mengisyaratkan strategi bagi peramban dan pengembang web untuk menjaga lebih komprehensif dari serangan semacam itu.

“Saat saya membagikan eksploitasi dengan tim keamanan Chrome dan tim keamanan produk, pada saat itu semua orang seperti, ‘Oke, wow, sangat jelas inilah dampaknya,’” kata Stephen Röttger, teknisi keamanan di Google. “Berdasarkan ini kami membuat banyak keputusan untuk menempatkan lebih banyak sumber daya untuk meluncurkan pertahanan Spectre di seluruh kerangka kerja web kami.”

Selama beberapa tahun terakhir, Chrome dan browser utama lainnya telah menerapkan praktik yang disebut “isolasi situs” untuk merender halaman web secara terpisah dan memisahkan datanya satu sama lain. Karena serangan momok adalah tentang mendorong prosesor untuk membocorkan data pada saat yang tepat, isolasi situs mempersulit peretas untuk mengambil informasi sensitif yang mereka inginkan, karena data tidak semuanya mengalir melalui prosesor di tempat yang sama. pada waktu bersamaan. Peramban juga menambahkan pertahanan terkait untuk memuat komponen dari satu situs web secara terpisah (seperti logo perusahaan sendiri versus iklan pihak ketiga) dan untuk memblokir data agar tidak mengalir di kedua arah antara dua laman ketika timbal balik tidak penting.

Jenis pertahanan ini tidak dapat menghentikan serangan momok sama sekali. Mereka malah mengurangi kemungkinan aktor jahat dapat mengambil informasi berguna atau pribadi dari prosesor jika mereka meluncurkan peretasan semacam itu. Bukti konsep dari Röttger dan rekannya mengungkapkan cara yang lebih berbeda sehingga browser, termasuk browser berbasis Chromium seperti Microsoft Edge, dapat menerapkan jenis pertahanan ini. Tapi itu juga menyoroti cara pengembang web dapat merancang platform dan aplikasi mereka secara berbeda untuk menjaga fungsionalitas sambil mengunci informasi pengguna dengan lebih strategis.

“Kami pikir kami telah mempertimbangkan apa yang perlu dilakukan pengembang untuk melindungi diri mereka sendiri dan serangkaian hal yang perlu mereka lakukan tidak terlalu besar,” kata Mike West, kepala keamanan platform Chrome dan ketua bersama web Konsorsium World Wide Web kelompok kerja keamanan aplikasi. “Pekerjaan sebenarnya, dan alasan browser tidak dapat melakukannya atas nama pengembang, adalah karena keputusan yang perlu dibuat bersifat khusus untuk aplikasi. Mereka akan melibatkan analisis tentang hal-hal yang ditawarkan server Anda ke internet dan cara hal-hal itu seharusnya ditawarkan. ”

Google bekerja melalui W3C, badan standar internasional, untuk mengusulkan pedoman dan praktik terbaik untuk browser dan pengembang web. Strategi ini telah berhasil untuk Google sebelumnya, seperti dalam upayanya untuk membantu menggerakkan jarum pada inisiatif besar-besaran seperti mempromosikan enkripsi web HTTPS. Tapi West mengakui bahwa butuh waktu untuk melibatkan seluruh komunitas web dengan jenis perubahan struktural ini.

Diposting oleh : SGP Prize