Gaya fiksi ilmiah menyabot ketakutan dalam peretasan baru

SAN JOSE, CA – Ketika sebuah serangan komputer melumpuhkan pembangkit listrik tenaga nuklir Iran yang belum selesai dibangun tahun lalu, serangan tersebut dianggap sebagai serangan tingkat militer, yang merupakan hasil karya para profesional peretas elit yang mendapat dukungan dari negara tersebut.

Namun terlepas dari semua kecanggihan fiksi ilmiahnya, elemen-elemen kunci kini telah direplikasi di lingkungan laboratorium oleh para pakar keamanan yang memiliki sedikit waktu, uang, atau keterampilan khusus. Perkembangan ini mengkhawatirkan dan menunjukkan bagaimana kemajuan teknis mengikis penghalang yang telah lama mencegah serangan komputer berpindah dari dunia digital ke dunia fisik.

Teknik-teknik yang ditunjukkan dalam beberapa bulan terakhir ini menyoroti bahayanya bagi operator pembangkit listrik, sistem pengairan, dan infrastruktur penting lainnya di seluruh dunia.

“Hal-hal yang terdengar sangat tidak mungkin terjadi beberapa tahun lalu kini terjadi,” kata Scott Borg, direktur Unit Konsekuensi Siber AS, sebuah organisasi nirlaba yang membantu pemerintah AS mempersiapkan diri menghadapi serangan di masa depan.

Walaupun percobaan dilakukan di laboratorium, dan temuannya dipresentasikan pada konferensi keamanan atau makalah teknis, bahaya serangan nyata lainnya seperti yang terjadi di Iran sangatlah tinggi.

Tim di balik worm Stuxnet yang digunakan untuk menyerang fasilitas nuklir Iran mungkin masih aktif. Malware baru dengan beberapa kode dan perilaku asli Stuxnet telah muncul, menunjukkan pengintaian yang sedang berlangsung terhadap sistem kontrol industri.

Dan serangan terhadap infrastruktur penting semakin meningkat. Laboratorium Nasional Idaho, yang merupakan rumah bagi laboratorium pertahanan rahasia yang dimaksudkan untuk melindungi jaringan listrik, sistem air, dan infrastruktur penting lainnya, merespons serangan komputer pelanggan sebanyak tiga kali lipat pada tahun ini dibandingkan tahun lalu, ungkap Departemen Keamanan Dalam Negeri AS.

Selama bertahun-tahun, tanpa disadari para peretas telah bermimpi untuk mengganggu infrastruktur dunia dengan sabotase yang diperuntukkan bagi Hollywood. Mereka ragu akan menimbulkan kekacauan di lingkungan industri dengan membakar pembangkit listrik, menghancurkan jaringan pipa minyak dan gas, atau menutup pabrik.

Namun ada hambatan utama yang menghalangi mereka untuk menyebabkan kerusakan yang luas: mereka tidak memiliki cara untuk mengambil kendali jarak jauh dari kotak “pengendali” elektronik yang berfungsi sebagai pusat saraf untuk alat-alat berat.

Serangan terhadap Iran mengubah semua itu. Kini pakar keamanan — dan mungkin peretas jahat — berlomba mencari kelemahan. Mereka menemukan banyak kerentanan.

Bayangkan temuan baru ini sebagai peretasan yang setara dengan Hukum Moore, aturan terkenal tentang daya komputasi yang meningkat dua kali lipat setiap beberapa tahun. Sama seperti chip komputer yang lebih baik yang telah mempercepat penyebaran komputer dan barang elektronik konsumen selama 40 tahun terakhir, teknik peretasan baru juga membuat semua jenis infrastruktur penting—bahkan penjara—lebih rentan terhadap serangan.

Satu kesamaan yang dimiliki oleh semua temuan ini adalah bahwa untuk memitigasi ancaman, organisasi harus menjembatani kesenjangan budaya yang ada di banyak fasilitas. Antara lain, tim terpisah yang bertanggung jawab atas keamanan komputer dan fisik harus mulai berbicara satu sama lain dan mengoordinasikan upaya.

Banyak ancaman terhadap fasilitas ini melibatkan peralatan elektronik yang dikenal sebagai pengontrol. Perangkat ini menerima perintah komputer dan mengirimkan instruksi ke mesin fisik, seperti mengatur seberapa cepat ban berjalan bergerak.

Mereka berfungsi sebagai jembatan antara komputer dan dunia fisik. Peretas dapat mengeksploitasinya untuk mengambil alih infrastruktur fisik. Misalnya, Stuxnet dirancang untuk merusak mesin sentrifugal di pembangkit listrik tenaga nuklir yang sedang dibangun di Iran dengan mempengaruhi seberapa cepat pengontrol memerintahkan mesin sentrifugal tersebut berputar. Iran menyalahkan AS dan Israel karena mencoba menyabotase program yang dikatakannya sebagai program damai.

Peneliti keamanan Dillon Beresford mengatakan hanya membutuhkan waktu dua bulan dan peralatan senilai $20.000 untuk menemukan lebih dari selusin kerentanan pada jenis pengontrol elektronik yang sama yang digunakan di Iran. Kerentanannya, termasuk perlindungan kata sandi yang lemah, memungkinkan dia mengambil kendali jarak jauh atas perangkat dan memprogram ulang perangkat tersebut.

“Semua ini menunjukkan bahwa Anda tidak harus menjadi sebuah negara untuk melakukan hal ini. Ini sangat menakutkan,” kata Joe Weiss, pakar sistem kendali industri. “Ada hambatan persepsi, dan menurut saya Dillon berhasil mengatasi hambatan itu.”

Salah satu produsen pengontrol industri terbesar adalah Siemens AG, yang membuat pengontrol tersebut. Perusahaan tersebut mengatakan telah memperingatkan pelanggan, memperbaiki beberapa masalah dan sekarang bekerja sama dengan CERT, cabang keamanan siber dari Departemen Keamanan Dalam Negeri AS.

Siemens mengatakan masalah ini sebagian besar berdampak pada pengontrol model lama. Bahkan dengan hal tersebut, kata perusahaan, seorang peretas harus melewati kata sandi dan tindakan keamanan lainnya yang harus diterapkan oleh operator. Siemens mengatakan pihaknya tidak mengetahui adanya pelanggaran yang sebenarnya menggunakan teknik yang diidentifikasi oleh Beresford, yang bekerja untuk NSS Labs Inc di Austin, Texas.

Namun karena perangkat dirancang untuk bertahan selama beberapa dekade, tidak selalu mudah untuk mengganti atau memperbaruinya. Dan semakin banyak penelitian yang dilakukan, semakin besar kemungkinan terjadinya serangan.

Salah satu pakar Stuxnet terkemuka, Ralph Langner, seorang konsultan keamanan di Hamburg, Jerman, menemukan apa yang disebutnya “bom waktu” yang hanya terdiri dari empat baris kode pemrograman. Dia menyebutnya sebagai serangan peniru paling mendasar yang bisa dilakukan oleh orang iseng, kriminal, atau teroris yang terinspirasi dari Stuxnet.

“Sekecil apa pun hasil yang diperoleh, hal ini akan menyebar ke seluruh komunitas dunia maya dan akan menarik orang lain untuk terus menggali,” kata Langer melalui email.

Ancaman tidak hanya terbatas pada pembangkit listrik saja. Bahkan penjara dan penjara pun rentan.

Tim peneliti lain, yang berbasis di Virginia, diizinkan untuk memeriksa lembaga pemasyarakatan – tidak disebutkan lembaga pemasyarakatan yang mana – dan menemukan kerentanan yang memungkinkan lembaga pemasyarakatan tersebut membuka dan menutup pintu lembaga pemasyarakatan, mematikan alarm, dan merusak rekaman video pengawasan.

Selama tur di fasilitas tersebut, para peneliti memperhatikan pengontrol seperti yang ada di Iran. Mereka menggunakan pengetahuan tentang jaringan fasilitas dan pengontrol tersebut untuk menunjukkan kelemahannya.

Mereka mengatakan penting untuk mengisolasi sistem kendali penting dari Internet untuk mencegah serangan semacam itu.

“Masyarakat perlu mempertimbangkan infrastruktur penting apa saja yang ada di fasilitas mereka dan siapa yang dapat melakukan kontak dengannya,” Teague Newman, salah satu dari tiga orang di belakang penelitian ini.

Contoh lain melibatkan perusahaan listrik di California Selatan yang ingin menguji pengontrol yang digunakan oleh gardu induknya. Mereka menyewa Mocana Corp., sebuah perusahaan keamanan yang berbasis di San Francisco, untuk melakukan evaluasi.

Kurt Stammberger, wakil presiden di Mocana, mengatakan kepada The Associated Press bahwa perusahaannya menemukan beberapa kerentanan yang memungkinkan peretas mengendalikan peralatan apa pun yang terhubung ke pengontrol.

“Kami belum pernah melihat perangkat seperti ini sebelumnya, dan kami dapat menemukannya pada hari pertama,” kata Stammberger. “Ini adalah masalah yang sangat besar, dan masalah yang sejujurnya telah diketahui setidaknya selama satu setengah tahun, namun perusahaan utilitas tidak tahu apa-apa.”

Dia tidak mau menyebutkan nama perusahaan utilitas atau produsen perangkat tersebut. Namun dia mengatakan itu bukan perangkat Siemens, yang mengindikasikan masalah industri secara luas, dan tidak terbatas pada satu pabrikan saja.

Mocana sedang bekerja sama dengan pembuat perangkat untuk mencari solusinya, kata Stammberger. Perusahaannya mempresentasikan temuannya pada Konferensi Keamanan Siber ICS pada bulan September.

Sekalipun produsen memperbaiki masalah pada perangkat baru, tidak ada cara mudah untuk memperbaikinya pada unit lama selain memasang peralatan baru. Fasilitas industri enggan melakukan hal tersebut karena harus menanggung biaya bahkan jika menghentikan operasinya untuk sementara.

“Situasinya tidak seburuk lima hingga enam tahun lalu, namun masih banyak yang perlu dilakukan,” kata Ulf Lindqvist, pakar sistem kendali industri di SRI International. “Kita harus inovatif dan terorganisir dalam menghadapi pihak yang baik, sama seperti pihak yang jahat.”