Tuesday, January 7, 2014

Ancaman yang Mengintai Komputasi Awan

wihartoyo wihartoyo     Tuesday, January 07, 2014     No comments

Komputasi awan alias cloud computing yang bisa dimaknai secara bebas oleh mesin pencari google (http://www.google.com) sebagai “the practice of using a network of remote servers hosted on the Internet to store, manage, and process data, rather than a local server or a personal computer” atau menurut bahasa simbah adalah “praktek penggunaan jaringan untuk mengakses remote server untuk menyimpan, mengatur, dan memproses data, bukan sekedar ke local server atau ke komputer personal”. Secara logis, ini adalah implementasi wide area baik public maupun private, dan, akses data dilakukan secara centralized.  Bahkan penggunaan tempat penyimpanan data juga dilakukan secara berbagi.  Secara umum, saya kok jadi inget masa lalu. Dimana proses komputasi dilakukan secara centralized dan pada local area, penggunaan tempat penyimpanan data juga dilakukan secara berbagi.  Cuma bedanya, dulu dilakukan dengan kecepatan yang imut-imut dan dari device yang layarnya hijau kotak-kotak. Hmmm.... Sepertinya trend teknologi pun berputar meskipun dalam setiap putaran tampil dengan bentuk yang berbeda.
Oleh karena adanya aktifitas berbagi resource yang terjadi pada komputasi awan (Cloud Computing) ini, maka wajar bila beberapa ancaman berikut selalu mengintai pada setiap penerapan komputasi awan.

1.   Kebocoran Data (Data Breach)
Pelanggaran terhadap data di sini adalah terjadinya pelanggaran aturan terhadap kerahasiaan data. Ancaman ini muncul oleh adanya kemungkinan kebocoran private key dari satu mesin virtual yang disebabkan oleh mesin virtual lain dalam satu mesin dengan memanfaatkan side channel timing information attack (sebagaimana dilaporkan oleh peneliti dari University of North Carolina, University of Wisconsin, dan RSA pada November 2012). Berdasarkan laporan ini, maka resiko yang mungkin dihadapi berdasarkan CIANA (Confidentiality Integrity Availability Non-repudiation Authentication) adalah pada Data Confidentiality yang menyebabkan Information Disclosure oleh pihak yang tidak berwenang.
Kebocoran data oleh karena bocornya private key tentunya akan berimplikasi kepada muculnya resiko-resiko lain. Kehilangan data adalah ancaman yang paling besar yang akan muncul kemudian mengikuti kejadian kebocoran data.  Untuk memitigasi kemungkinan itu. kita harus bisa melakukan enkripsi terhadap data yang tersimpan pada mesin virtual kita. Dan, tentunya, kita harus rajin melakukan offline backup terhadap data kita itu.

2.  Kehilangan Data
Kehilangan data adalah sebuah ancaman yang sangat mengerikan yang mungkin muncul oleh karena penggunaan cloud.  Pada point sebelumnya kita telah sampaikan tentang kemungkinan kebocoran private key yang kemungkinan menyebabkan kehilangan data.  Namun sebenarnya, penyebab kehilangan data tidak melulu oleh kejadian malicious tadi. Beberapa kejadian seperti penghapusan file tanpa sengaja yang dilakukan oleh service provider, bencana katastropik seperti kebakaran, bajir/tsunami, maupun gempa juga menjadi penyebab kejadian kehilangan data. Kehilangan data pun bisa muncul bukan hanya dari service provider.  Kita pun bisa menjadi penyebab kehilangan data.  Misal, data dienkrip sebelum diupload ke cloud namun kita lupa encryptions key nya.  Misal file kita password untuk membukanya.
Risiko berdasar CIANA yang muncul oleh karena kehilangan data ini adalah Non Repudiation dimana orang yang tidak berhak menggunakan data kita akan menggunakan data kita dan bertindak seakan-akan adalah kita.  Kemudian, risiko lainnya adalah risiko availability.

3.  Pembajakan Akun
Pembajakan akun adalah hal yang paling sering terjadi.  Sering kali kita membaca berita tentang akun facebook tokoh ini dibajak.  Akun facebook tokoh itu dibajak.  Berita yang paling mutakhir adalah tentang pembajakan akun facebook wakil ketua MPR.
Hal yang paling berbahaya bila akun media sosial semacam facebook bisa dibajak adalah bahwa si pembajak bisa berlaku seolah-olah kita. Seperti kasus pembobolan akun facebook Harjanto Thohari (wakil ketua MPR), si pembajak menggunakan akun yang telah ditaklukkannya itu untuk melakukan penipuan atas nama korban,
Umumnya akun media sosial maupun akun public cloud menggunakan alamat e-mail untuk melakukan verifikasi dan media komunikasi dalam rangka pengamanan akun media sosial maupun public cloud.  Yang jadi masalah adalah bila akun e-mail kita telah dibobol.  Akun-akun media sosial maupun cloud yang terkait akan dengan mudah dibobol. Tebak-tebakan bukan satu-satunya cara yang dilakukan oleh hijacker. Disamping menggunakan proses tebak berhadiah, proses jadul sql injection, sniffing dan cross site scripting juga sering digunakan oleh para hijackers.  Oleh karena itu, pengamanan maksimal harus diterapkan terhadap akun email kita. Contoh yang baik adalah penerapan 2-step authentication pada Gmail dimana Gmail menawarkan opsi verifikasi lanjutan melalui SMS untuk setiap akses yang dilakukan ke setiap device baru atau device yang tidak biasanya kita pergunakan untuk mengakses Gmail.
Dari penjelasan di atas, sudah seharusnya organisasi atau perseorangan semakin aware terhadap pengamanan informasi dengan mengerti teknik hijacking ini dengan sebaik-baiknya.
Risiko yang mungkin muncul berdasar CIANA adalah Authenticity, Integrity, Confidentiality, Non-Repudiation, Availability.

4.  Interface dan API yang Tidak Aman
Penyedia jasa komputasi awan (cloud computing providers) biasanya menyediakan sederat perangkat API (application programming interfaces) yang memungkinkan client untuk membangun sendiri perangkat yang memudahkan mereka berinteraksi dengan layanan cloud yang mereka gunakan.  Kemanan dan ketersediaan adalah layanan umum cloud yang bergantung kepada API yang dipergunakan. Dari proses autentikasi, akses kontrol sampai dengan enkripsi dan monitoring aktifitas menjadi hal yang wajib untuk diperhatikan dalam hal perancangan API dalam rangka melindungi dari percobaan pelanggaran yang disengaja maupun yang tidak disengaja terhadap kebijakan pengamanan yang berlaku.
Dalam beberapa hal penggunaan API yang aman juga belum bisa dikatkan aman bila kemudian pengembangan aplikasi yang memanfaatkannya tidak dilakukan dengan memperhatikan prinsip-prinsip pengamanan informasi.
Risiko berdasar CIANA yang mungkin muncul adalah: Authenticity, Integrity, Confidentiality.

5.  Denial of Service
Denial of Service merupakan suatu bentuk serangan yang mengakibatkan terhambatnya akses para pengguna terhadap suatu server/service tertentu.  Serangan ini sering digunakan oleh para hacker untuk melumpuhkan server lawan.  Seperti kejadian yang mewarnai memanasnya hubungan diplomatik Indonesia - Australia,  banyak hacker Indonesia yang menggunakan serangan jenis ini untuk melumpuhkan server-server Australia.  Hal yang patut digarisbawahi adalah bahwa kenyataan bahwa etika serangan hampir tidak terkontrol, sehingga serangan yang seharusnya diarahkan kepada institusi pemerintah justeru ada yang melenceng menyasar institusi swasta. Ini dilakukan baik oleh hacker Indonesia terhadap server-server Australia maupun sebaliknya. Banyak server dari kedua belah pihak dibuat tidak berdaya selama bebeapa saat.  Ini tentunya akan membuat frustasi pengguna yang memanfaatkan layanan server-server tersebut.
Dalam membuat suatu server tidak berdaya, seringkali hacker sekaligus akan memanfaatkan celah pengamanan yang kemudian muncul/terbaca untuk melakukan aktifitas ilegal lainnya.
Risiko berdasar CIANA yang mungkin muncul adalah: Availability

6.  Penjahat dari Dalam (Malicious Insiders)
Malicious insiders sampai saat ini masih merupakan hal yang diperdebatkan oleh dalam industri pengamanan. Namun sementara debat berjalan, memang ancaman ini nyata adanya.  Apalagi bila kita melihat pada kasus Snowden.  Bagi banyak pihak di dunia mungkin Snowden adalah pahlawan baru yang mengingatkan akan adanya ancaman kebocoran rahasia oleh adanya aktifitas mata-mata Amerika.  Namun, bagi Amerika, khususnya NSA, Snowden pasti merupakan Malicious Insiders. Snowden yang punya akses terhadap informasi sensistif semasa dia bekerja di NSA, kemudian justeru membuka informasi tersebut ke publik. Dalam kasus layanan Cloud, seorang system administrator bisa jadi mempunyai privilege terluas sehingga bisa mengakses data/informasi yang tersimpan di cloud.
Resiko yang mungkin muncul adalah Confidentiality dimana information disclosure yang dilakukan oleh system administrator bisa saja terjadi.  Oleh karena itu, dalam merencanakan cloud service harus dipastikan bahwa hanya pihak internal client yang mempunyai akses terhadap data/informasi yang tersimpan di cloud sehingga client bisa memaksimalkan pelaksanaan pengaman informasi mereka.

7.  Penyalahgunaan Layanan Cloud
Penyalahgunaan layanan cloud sangat mungkin bisa terjadi bila tidak ada monitoring dan enforcement dari kebijakan yang berlaku dalam rangka penggunaan layanan cloud.  Penyalahgunaan layanan cloud juga bisa terjadi secara politis oleh karena adanya standar ganda dari penerapan kebijakan tersebut.  Misal satu penyedia layanan cloud public, membiarkan terjadinya pelecehan nilai budaya dari sutu kalangan yang dilakukan oleh kalangan lain tidak lengsung mendapatkan tanggapan yang semestinya oleh pihak penyelenggara cloud.  Contoh lain dilakukan oleh pengguna cloud, dimana pengguna cloud menggunakan hak nya atas cloud tersebut untuk meyebarluaskan permusuhan, distribusi software illegal, ataupun penyebarluasan maicious software.

8. Due Diligence Yang Tidak Mencukupi
Due Diligence itu ibarat proses khitbah, dimana seorang pria harus betul-betul mengenali perempuan yang dilamarnya.  Salah-salah dalam mengenai perempuan akan menyebabkan munculnya masalah-masalah lain di kemudian hari.  Dalam hal pemilihan cloud service provider pun harus demikian pula.  Semua sisi terutama pada sisi pengamanan harus diamati dengan jelas dan harus inline dengan kebutuhan bisnis.  Ini yang penting. Jangan sampai hanya gara-gara menggunakan layanan cloud justeru proses bisnis jadi terhambat.
Dalam beberapa kasus seringkali karena kesalahan pemahaman antara penyedia jasa cloud dan calon pelanggan sering kali justeru merugikan pelanggan. Misal, untuk mencapai suatu level pengamanan tertentu a
da beberapa hal yang harus dilakukan oleh client dan beberapa hal yang lain dilakukan oleh penyedia jasa. Namun, umumnya, karena mungkin client kurang aware atau cloud memang masih menjadi barang baru, client gagal memahami hal-hal tersebut.  Ini yang berbahaya, karena dari pemahaman yang client terima bisa jadi client kemudian tanpa mereka sadari menginstall system yang seharusnya lebih baik dijalankan secara internal pada lingkungan private dedicated. Dan bila dijalankan di cloud maka client justeru harus mengeluarkan biaya ekstra untuk menjaga pengamanannya, atau total merubah operasional prosedur yang bukannya mempercepat proses justeru memperlambat proses.

9.  Celah Pengamanan Teknologi Yang Digunakan Secara Berbagi
Secara gampang, bila suatu teknologi digunakan secara berbagi, maka ancaman yang muncul juga akan terjadi secara berbagi pula.  Pada SaaS, kompromi terhadap serangan yang terjadi pada pada salah satu customer tidak hanya akan berakibat pada customer tersebut, lebih jauh, seluruh customer akan pula merasakan akibatnya. Pada multi tenant, IaaS, bahkan, bila salah satu tenant lengah, maka serangan tidak hanya akan menyasar dirinya sendiri, namun tenant lain juga bisa merasakan akibatnya.  Bahkan bisa mengancam cloud secara keseluruhan.

Sumber :  Notorious Nine Cloud Computing Top Threat 2013 dan berbagai sumber

,

0 komentar :

Berita PostgreSQL

Recommended