Kerentanan Perangkat Lunak Sumber Terbuka yang Mengganggu Bisnis

Pengodean sumber terbuka memberikan banyak manfaat bagi perusahaan yang membuat perangkat lunak dan bisnis yang menunggu yang perlu memanfaatkannya untuk operasi bisnis yang lancar. Perangkat lunak sumber terbuka hanyalah perangkat lunak yang dikodekan menggunakan pengkodean sumber terbuka. Ini berarti pengkodean terbuka bagi orang untuk dilihat dan dimanipulasi dengan relatif mudah. Etos utamanya adalah mendesentralisasi dan mendemokratisasi – sampai batas tertentu – yang memiliki akses ke kode tertentu.

Ini adalah pengkodean yang sangat serbaguna tetapi juga tidak stabil yang merupakan pilihan dominan untuk pengembang web, aplikasi, dan perangkat lunak. Kerentanan kode sumber terbuka yang serbaguna dan mudah dimanipulasi dapat menyebabkan waktu henti perangkat lunak dan masalah keamanan yang mengganggu bisnis. Mari kita jelajahi.

Apa itu kode sumber terbuka?

Sumber terbuka awalnya adalah istilah yang merujuk pada perangkat lunak sumber terbuka. Riasan dari perangkat lunak itu adalah pengkodean terbuka. Artinya, ini dapat diakses publik sehingga siapa pun dapat melihatnya, memodifikasi, dan mendistribusikan pengkodean sesuai keinginan. Alternatifnya adalah pengkodean sumber tertutup, yang, seperti perangkat lunak sumber terbuka, mengacu pada perangkat lunak sumber tertutup. Di belakang perangkat lunak sumber tertutup itu ada kode tertutup, yang artinya tidak dapat diakses secara bebas.

Perbedaan yang paling menonjol, tidak termasuk kemampuan untuk memodifikasi pengkodean, adalah bagaimana perangkat lunak sumber terbuka dan tertutup dikembangkan. Perangkat lunak sumber tertutup biasanya membuahkan hasil melalui kerja satu atau tim kecil pengembang perangkat lunak yang masing-masing akan memiliki akses master ke pengkodean perangkat lunak. Mereka menentukan bagaimana dan kapan mereka terus mengembangkan perangkat lunak.

Perangkat lunak sumber terbuka melihat kolaborasi massal untuk membuat perangkat lunak. Kolaborasi massal adalah alasan open-source terbuka. Itu harus mudah diakses untuk tim besar orang. Satu kelompok pengembang dapat bekerja secara kolaboratif di berbagai negara, yang menciptakan masalah tersendiri. Banyak orang yang mengerjakan proyek yang sama di ruangan yang sama memudahkan kolaborasi. Tetapi pengembang yang bekerja di berbagai negara dapat menghambat pengembangan, pembaruan, dan tambalan.

Direkomendasikan untuk Anda: Keamanan Jaringan 101: 15 Cara Terbaik untuk Mengamankan Jaringan Kantor Anda dari Ancaman Online.

Masalah apa yang dapat ditimbulkannya untuk bisnis?

Perangkat lunak sumber tertutup memiliki kerentanan tetapi tidak sebanyak perangkat lunak sumber terbuka. Kelemahan utama perangkat lunak sumber terbuka adalah pengkodeannya memungkinkan hampir semua orang untuk memanipulasinya. Inilah salah satu alasan mengapa terjadi peningkatan serangan sebesar 650% pada perangkat lunak sumber terbuka pada tahun 2021. Praktik terbaik keamanan aplikasi seperti melakukan penilaian ancaman dan mengenkripsi kode dapat menciptakan perangkat lunak yang lebih aman. Tetapi risiko bawaan dari pengkodean sumber terbuka yang begitu mudah diakses masih ada.

Masalah lain berpusat pada kegunaan. Perangkat lunak sumber terbuka biasanya sesuai dengan kebutuhan pengembang tanpa mempertimbangkan kebutuhan pengguna. Perusahaan harus terlibat dalam desain dan pengujian aplikasi untuk memastikannya memenuhi kebutuhan pengguna. Masalah lain yang terkait dengan kegunaan adalah kurangnya dukungan yang tersedia jika terjadi kesalahan. Masalah seperti kompatibilitas bisa menjadi masalah besar dengan perangkat lunak sumber terbuka. Belum tentu ada dukungan tindak lanjut dari pengembang karena banyak pengembang dari lokasi yang berbeda akan menyelesaikan pekerjaan pada perangkat lunak.

Bisnis yang mengandalkan perangkat lunak sumber terbuka dan pengkodean di belakangnya mungkin juga menghadapi praktik pengembang yang buruk dan pengawasan integrasi yang longgar. Contoh sempurnanya adalah peretasan SolarWinds tahun 2021. Itu dianggap sebagai peretasan paling merusak pada rantai pasokan dalam sejarah.

Lebih dari 250 bisnis dan organisasi pemerintah terpengaruh oleh penyusupan ke dalam sistem Orion, yang beroperasi menggunakan perangkat lunak sumber terbuka. Selama dua pembaruan perangkat lunak, peretas merilis malware di seluruh jaringan, menyebabkan ratusan bisnis mogok. Seluruh rantai pasokan hampir berhenti bekerja. Efek peretasan masih dirasakan oleh bisnis dan organisasi pemerintah. Banyak yang mengatakan butuh waktu bertahun-tahun untuk pulih.

Contoh kerentanan perangkat lunak sumber terbuka

Ada banyak contoh serangan siber pada bisnis yang menggunakan perangkat lunak sumber terbuka. Ini terkait dengan fakta bahwa begitu banyak perusahaan menggunakan perangkat lunak sumber terbuka, sehingga menjadi sasaran empuk. Di bawah ini adalah dua peristiwa yang paling menonjol dan apa yang dipelajari perusahaan dari peristiwa tersebut.

Pelanggaran data Equifax 2017

Pelanggaran data Equifax 2017 mengungkap kerentanan sebenarnya dari perangkat lunak sumber terbuka. Berbagai penyimpangan keamanan yang menyebabkan serangan dunia maya membuat banyak pengembang web dan perusahaan sama-sama memperkuat perangkat lunak mereka untuk mencegah serangan semacam itu. Mengapa perusahaan dan pengembang? Karena sama-sama bersalah. Peretas mengeksploitasi kerentanan yang dipahami secara luas dan masuk melalui portal web keluhan konsumen. Kerentanan itu seharusnya ditambal oleh Equifax, tetapi ternyata tidak.

Setelah melalui portal web, peretas dapat bergerak melintasi sistem dan berhasil mencuri jutaan data pribadi pelanggan. Beberapa hari sebelumnya, tambalan dirilis untuk kerentanan yang diketahui dalam perangkat lunak. Tapi Equifax memilih untuk tidak mengimplementasikan tambalan dalam waktu yang cukup.

Apa yang mereka pelajari dari serangan itu? Equifax menemukan bahwa jika sebuah tambalan membutuhkan implementasi, patch tersebut membutuhkan implementasi saat dirilis. Khususnya, organisasi besarlah yang paling rentan. Bisnis kecil hingga menengah tidak akan menemukan diri mereka sebagai target sebanyak organisasi dengan basis pelanggan yang besar. Itulah mengapa Equifax, perusahaan yang menyimpan jutaan data keuangan pelanggan, seharusnya bekerja untuk mengimplementasikan perubahan lebih cepat.

Layanan Web Amazon

Yang ini belum terjadi dulu. Tapi hacker diam-diam bekerja di latar belakang dalam upaya untuk menjadi serangan perangkat lunak rantai pasokan terbaru. Pengembang Python dan PHP perlahan-lahan dikompromikan oleh beberapa peretasan yang berhasil dilaporkan. Tapi hacker belum mencapai target mereka. Paket yang mereka serang adalah Python CTX dan PHP's phpass. Keduanya adalah paket perangkat lunak lama yang telah melayani bisnis selama bertahun-tahun.

Saat ini, pengembang perangkat lunak yang menggunakan paket terpengaruh, tetapi peningkatan infiltrasi yang mencolok telah mengakibatkan peringatan yang ditujukan kepada perusahaan yang juga menggunakan paket perangkat lunak.

Anda mungkin menyukai: 12 Jenis Keamanan Titik Akhir yang Harus Diketahui Setiap Bisnis.

Peningkatan luas dalam serangan dunia maya pada bisnis

Tidak hanya ada masalah dengan serangan perangkat lunak sumber terbuka. Ada peningkatan yang mencolok dan meluas dalam serangan dunia maya pada bisnis di seluruh dunia. Di Inggris, misalnya, pemerintah baru-baru ini merilis laporan yang mendesak bisnis dan badan amal untuk memperkuat praktik keamanan dunia maya mereka di tengah meningkatnya serangan yang tajam.

Banyak yang percaya ini pada pandemi, yang membuat banyak perusahaan berinvestasi dalam perangkat lunak yang memungkinkan mereka untuk terus beroperasi secara virtual. Satu studi menemukan ada peningkatan serangan sebesar 300% selama dan dalam beberapa bulan setelah pandemi. Tapi pandemi bukan satu-satunya penyebab – 5G, misalnya, juga berkontribusi terhadap peningkatan serangan. Dunia sedang terburu-buru untuk bandwidth yang lebih cepat. Namun dengan meningkatkan bandwidth, perangkat IoT akan lebih rentan terhadap serangan.

Kesenjangan keterampilan keamanan siber dalam organisasi juga tampaknya berperan dalam peningkatan serangan. Banyak karyawan tidak memahami risiko dan konsekuensi dari praktik dunia maya yang tidak aman. Selain itu, banyak perusahaan bahkan tidak memiliki tim keamanan siber khusus. Terserah manajemen untuk mengedukasi masalah seperti email phishing dan mendorong praktik dunia maya yang aman.

Apa solusinya?

Solusinya adalah jangan berhenti menggunakan perangkat lunak sumber terbuka. Pertimbangkan kerentanan dan risiko terkait dan tentukan perangkat lunak sumber terbuka mana yang mengurangi sebanyak mungkin kerentanan tersebut. Bisnis harus menggunakan perangkat lunak yang paling sesuai dengan kebutuhan mereka. Misalnya, perangkat lunak sumber terbuka mungkin lebih baik untuk merek yang mencari alternatif yang lebih murah. Perangkat lunak sumber terbuka biasanya tidak memiliki label harga yang sama dengan perangkat lunak sumber tertutup.

Perangkat lunak sumber tertutup hadir dengan stabilitas dan keamanan lebih sehingga perangkat lunak tidak akan diserang oleh peretas. Seperti disebutkan di atas, perangkat lunak sumber terbuka memiliki kelemahan keamanan utama yang menyebabkan peningkatan serangan dunia maya sebesar 650% pada tahun 2021. Bahkan jika bisnis menginginkannya, mereka bukanlah pihak yang menjalankan pemeriksaan keamanan dan mengenkripsi kode. Kolaborasi massal para pengembanglah yang perlu dilakukan.

Merek juga harus meluangkan waktu untuk berkolaborasi dengan pengembang. Mereka harus mengidentifikasi kelemahan dalam perangkat lunak dan mengimplementasikan tambalan saat dirilis. Seperti halnya peretasan Equifax, pengembang perangkat lunak merilis tambalan beberapa hari sebelum serangan. Karena mereka telah menerapkan tambalan, serangan itu tidak akan terjadi. Demikian pula, menerapkan pembaruan rutin sangat penting, tetapi ini juga melibatkan kolaborasi dengan pengembang untuk memastikan pembaruan dirilis dengan aman. Seperti contoh SolarWinds, dua pembaruan pada sistem Orion mengungkap kelemahan yang segera dieksploitasi oleh peretas.

Perangkat lunak sumber tertutup bukanlah pilihan yang layak untuk banyak merek. Alternatif yang lebih baik mungkin berinvestasi dalam tim keamanan dunia maya khusus atau meluangkan lebih banyak waktu untuk mendidik karyawan. Banyak serangan dunia maya profil tinggi dimulai dengan praktik kata sandi yang buruk, misalnya, tetapi merupakan masalah yang relatif mudah untuk diselesaikan. Serangan terhadap Ticketmaster pada tahun 2021 adalah contoh sempurna tentang apa yang dapat terjadi jika karyawan tidak memiliki kata sandi yang aman.

Anda mungkin juga menyukai: 17 Tips Keren untuk Menulis Kebijakan Keamanan Siber yang Tidak Menyebalkan.

Kata-kata terakhir

Secara teknis, bahkan perangkat lunak sumber tertutup memiliki kerentanan yang sama dengan perangkat lunak sumber terbuka; mereka tidak begitu menonjol. Bisnis dapat mengurangi risikonya sendiri dengan hati-hati memilih perangkat lunak, baik terbuka atau tertutup, yang telah dibuat oleh pengembang terkemuka.

Namun, yang terbukti adalah apa yang perlu dilakukan untuk melindungi bisnis di seluruh dunia, terutama rantai pasokan dengan menggunakan perangkat lunak sumber terbuka. Peningkatan tajam dalam serangan siber membuktikan betapa rentannya perusahaan dan konsumen terhadap serangan siber. Penjahat dunia maya sekarang memiliki akses ke perangkat lunak canggih. Pengembang dan merek perlu menjadi lebih paham keamanan dunia maya untuk mencegah serangan.