Risiko perangkat lunak:Mengamankan sumber terbuka di IoT
Sekarang ada 7 miliar perangkat IoT yang digunakan di seluruh dunia. Jumlah ini diperkirakan akan meningkat tiga kali lipat pada tahun 2025, mencapai 21,5 miliar perangkat yang belum pernah terjadi sebelumnya, kata Lev Lesokhin dari CAST . Pasar perangkat Internet of Things (IoT) telah meledak — sekarang, pembuat perangkat IoT yang ingin memanfaatkan perlombaan untuk mengimplementasikan IoT sangat ingin memasarkan produk mereka. Dalam perlombaan yang sangat ketat untuk menjual produk, tidak semua perangkat lunak untuk perangkat IoT dibuat dengan standar tertinggi.
Untuk menghadirkan produk dan fitur baru ke pasar dengan cepat, hanya ada sedikit waktu untuk menulis kode khusus, terutama ketika paket dan kerangka kerja yang telah dirancang sebelumnya dapat diunduh secara gratis dari komunitas sumber terbuka seperti GitHub dan Apache . Namun, dengan kode IoT seperti semua hal dalam hidup, Anda mendapatkan kembali apa yang Anda masukkan ke dalamnya. Laporan Intelijen Perangkat Lunak 2018 dari CAST menemukan bahwa banyak proyek sumber terbuka tidak sesuai dengan aturan keamanan.
Kode sumber terbuka gratis tidak dilengkapi dengan keamanan kedap air bawaan. Dalam perlombaan ke pasar, banyak perusahaan mengorbankan keamanan untuk kecepatan, tanpa pemeriksaan keamanan yang ketat yang mempertimbangkan struktur dan cara kerja kode tersebut. Setiap perangkat IoT, semuanya berjumlah tujuh miliar, juga harus dijalankan dengan perangkat lunak aman yang cukup kuat untuk menangkal aktivitas peretas.
Open source dapat ditulis oleh siapa saja. Sebagian besar kode dalam perangkat lunak yang ditulis untuk perangkat IoT juga ditulis oleh para insinyur dari dunia perangkat lunak tertanam perangkat mandiri. Ini sangat kontras dengan perangkat lunak yang dibuat untuk menangani data transaksi perusahaan besar yang menjadi bagian dari perangkat IoT. Melindungi data dalam konteks terakhir ini membutuhkan jenis keahlian dan keterampilan berbeda yang jauh dari semua pengembang.
Dengan kenyataan bahwa siapa pun, terlepas dari latar belakang pengembangan, dapat berkontribusi pada Perangkat Lunak Sumber Terbuka, jauh lebih sulit untuk memastikan bahwa standar keamanan dan kualitas ditegakkan. Kode yang tidak efisien, ceroboh, atau bahkan berbahaya dapat berpotensi menyelinap masuk tanpa diketahui.
Begitu banyak kekurangan, namun pembeli tidak mungkin menyadarinya. Banyak yang melihat perangkat IoT melalui lensa bisnis – sarana untuk mencapai tujuan strategis seperti peningkatan efisiensi produksi. Ironisnya, meskipun perangkat IoT cukup canggih untuk melawan pemiliknya, perangkat tersebut sering kali dianggap tidak cukup canggih untuk dilindungi dari serangan.
Mata dunia tertuju pada kode Anda
Cacat dalam kepemilikan, kode internal memang terjadi, tetapi hanya pengembang yang dikontrak untuk menulis kode yang dapat mengetahuinya. Kode sumber akan bersifat pribadi dan tidak dapat diakses dari mata yang mengintip. Namun, sama seperti open source yang mudah diakses oleh bisnis, itu juga sama untuk semua orang. Kode mungkin telah dilihat oleh banyak pengembang dan mungkin peretas sebelum dimasukkan ke dalam basis kode tempat perangkat IoT bergantung.
Jaringan ritel Amerika Target menjadi korban dalam jumlah US$220 juta (€194 juta) melalui pencurian detail kartu kredit sepanjang tahun 2013 ketika penyerang menemukan kelemahan dalam sistem kontrol iklim yang digunakan rantai tersebut.
Kredensial dicuri dari pemasok sistem kontrol iklim dan tidak berubah saat diterapkan di Target, membuat setiap sistem yang terpasang benar-benar rentan.
Periksa diri Anda sebelum merusak diri sendiri
Meskipun kerentanan tidak pernah dapat ditiadakan sepenuhnya, kemungkinannya dapat dikurangi melalui tiga langkah utama:
Langkah pertama yang penting adalah produsen memahami apa yang ada dalam perangkat lunak IoT yang mereka kirimkan. Open source, bila digunakan dengan hati-hati, bisa sangat bermanfaat. Namun, untuk melindungi semua orang yang terlibat, mulai dari pembuat hingga pengguna akhir, asal kode yang digunakan harus ditelusuri sampai ke akarnya dan dirujuk silang dengan kerentanan yang diketahui.
Perhatian nyata dan waktu sebanyak mungkin harus diambil. Setelah diproduksi, kecil kemungkinan masalah yang ditemukan setelah fakta akan diperbaiki, seperti yang terjadi dalam kasus Target di mana sistem relatif mudah diakses. Meskipun produsen perangkat IoT mungkin ingin sekali mendahului pesaing, mereka harus menyadari bahwa masalah apa pun dapat muncul untuk waktu yang sangat lama.
Perangkat lunak perlu dianalisis secara menyeluruh, karena kode pada perangkat tidak lagi berdiri sendiri. Setelah dipindai, perusahaan harus segera mulai bekerja. Atasi setiap dan semua kerentanan yang disorot dan perkuat transaksi dengan ketahanan rendah. Menyelesaikan sebanyak mungkin utang teknis kode harus menjadi tujuannya, menciptakan sistem yang kuat yang akan bertahan dalam ujian waktu dan melindungi pemiliknya di masa depan.
Pada akhirnya, ingatlah bahwa kantor vendor sistem kontrol iklim Target akhirnya dikunjungi oleh Dinas Rahasia AS dan perusahaan tersebut masih menjadi bagian dari penyelidikan yang sedang berlangsung dengan biaya $18,5 juta (€16,3 juta). Itu tidak harus terjadi pada orang lain dan dapat dihindari.
Penulis blog ini adalah Lev Lesokhin, EVP Strategi &Analisis di CAST.
