Peneliti keamanan memperingatkan bahwa ancaman ke internet adalah sesuatu yang nyata - tetapi masih ada solusi.
Peneliti keamanan Dan Kaminsky adalah adalah sosok yang mempunyai misi. Tujuannya adalah: untuk memperingatkan dunia tentang bahaya yang masih ada di Domain Name System atau DNS.
Berbicara di konferensi keamanan Black Hat hari ini, Kaminsky mengatakan bahwa tidak hanya kelemahan dalam DNS yang ia ungkap, tetapi juga sistem yang menterjemahkan nama domain menjadi alamat IP masih banyak yang blm di-patch, dan kini sedang dieksploitasi.
"Karena DNS tidak aman, maka ketidakamanan itu akan berakibat pada semuanya yang menggunakannya," kata Kaminsky kepada kalayak Black Hat. "Apa ada orang diluar sana yang menyerang DNS? Ternyata jawabannya adalah ya."
Kaminsky menemukan vulnerability dalam DNS tersebut tahun lalu. Jika tidak dipatch, lubang keamanan tersebut akan berimplikasi luas: dengan menggunakan kelemahan cache-poisoning dalam sistem, penyerang bisa mengelabui server DNS dengan menforward para pengguna Internet ke alamat yang acak.
"Ketika DNS gagal, semuanya mati," kata Kaminsky. "DNS memberitahu cara ke suatu tempat, tetapi tidak memberitahukan apa yang akan anda lihat ketika Anda tiba."
Kaminsky bekerja sama dengan vendor jaringan besar untuk menghasilkan patch untuk memperbaiki masalah ini, dan kemudian dan menyampaikan temuannya di pertunjukan Black Hat di Las Vegas pada 2008.
Namun masih ada kekhawatiran. Kaminsky mengatakan bahwa para peneliti di Georgia Tech telah memantau tingkat infeksi pada server DNS selama enam bulan. Walaupun tidak menyajikan data tertentu, ia menyatakan bahwa ada peningkatan jumlah server yang terinfeksi sejak Januari.
Kaminsky mengatakan bahwa sekarang DNSSEC (DNS Security Extensions) sebagai pendekatan yang tepat untuk mwngamankan DNS. DNSSEC menambahkan enkripsi, untuk memastikan bahwa informasi domain sudah aman dan divalidasi.
Tetapi penggunaan DNSSEC bukanlah tanpa halangan, tambahnya.
"DNSSEC protokol itu baik, tetapi implementasinya sulit," katanya.
Salah satu tantangan adalah belum ada nya pengelolaan terhadap DNSSEC (signing dan updating) oleh Verisign, perusahaan yang mengelola Root zona DNS, meskipun sedang melakukan pekerjaan terhadap masalah ini.
Pengelolaan DNSSEC juga harus lebih jauh lagi yaitu membuat proses yang otomatis untuk mengurangi banyak pekerjaan manual untuk signing dan updating.
Berapa lama waktu yang diperlukan untuk menyederhanakan proses deployment terhadap DNSSEC masih belum jelas jelas. Namun bagi Kaminsky maksud itu sudah memberi manfaat.
"Sekali kita membuat DNS yang aman, seluruh kelas masalah keamanan mungkin dapat dipecahkan secara efisien," katanya.
internetnews.com, beritati
No comments:
Post a Comment