Apa Itu Meltdown dan Spectre, Serta Cara Mengatasinya

5 min


Pada Januari 2018 ini, mungkin kamu cukup sering mendengar tentang celah keamanan baru bernama Meltdown dan Spectre yang menjangkiti sebagian besar perangkat komputer.

Apa sebetulnya Meltdown dan Spectre?

Keduanya adalah metode peretasan yang memanfaatkan celah keamanan pada prosesor komputer modern. Baik Meltdown ataupun Spectre memiliki tingkat bahaya yang tinggi karena mampu membocorkan informasi sensitif (seperti nomor kartu kredit, password akun online banking, dan lain-lain) milik pengguna perangkat pintar (smart device) yang selanjutnya di kirimkan kepada pihak tidak berkepentingan.

Celah keamanan ini muncul berkat desain prosesor yang terdapat dalam komputer modern, bukan karena bug pada software.

Secara singkat, Spectre memungkinkan sebuah malware merubah sistem kerja suatu aplikasi. Aplikasi tersebut diminta menarik suatu informasi sensitif, dan menampilkannya pada aplikasi lain yang dijalankan pada prosesor yang sama.

Cara kerja Meltdown sedikit berbeda dengan Spectre.

Meltdown memanfaatkan celah keamanan yang terdapat antara aplikasi dengan prosesor yang menjalankannya.

Telah diketahui keberadaannya sejak 2017

Sumber gambar: Pexels

Walaupun baru di awal 2018 topik ini diangkat ke permukaan, Meltdown dan Spectre sebetulnya sudah diketahui oleh sekelompok peneliti sejak pertengahan 2017. Namun atas sejumlah pertimbangan, informasi tersebut baru dirilis ke publik pada Januari 2018.

Meltdown dan Spectre ditemukan oleh Jann Horn, seorang pemuda berusia 22 tahun yang menjadi salah satu karyawan Google dalam Project Zero. Divisi tersebut berisi sekumpulan security analyst, tugas mereka menemukan celah keamanan tak terdeteksi pada software komputer.

Jann sedang membaca panduan manual prosesor setebal ribuan halaman milik Intel pada April 2017. Saat itu, ia hanya ingin memastikan bahwa hardware tersebut mampu memproses sebuah kode yang ia buat untuk melakukan perhitungan sangat kompleks.

Pada salah satu penjelasan, Horn menemukan celah pada cip memori yang berpeluang disusupi oleh peretas. Ia menyadari bahwa celah tersebut berpotensi membocorkan data pribadi pengguna komputer yang seharusnya tidak boleh diakses oleh pihak lain selain pengguna.

Bermain puzzle dari “sampah” data

Sumber gambar: Pexels

Ironisnya, Meltdown dan Spectre muncul dari niat baik pencipta komputer untuk memberikan performa prosesor yang lebih cepat. Mereka menerapkan sebuah teknik yang disebut dengan speculative execution. Untuk mengetahui cara kerja speculative execution, kita gunakan warung nasi padang sebagai ilustrasi.


Yayuk selalu makan siang di warung nasi padang setiap Senin sampai Jumat, pada pukul 12 siang. Menu yang ia pesan selalu sama: nasi, ayam pop, dan es teh manis.

Karena koki warung nasi padang langganan Yayuk sudah hafal polanya, ia kemudian menyiapkan makan siang pelanggannya itu untuk seminggu ke depan. Jadi, pelayan tinggal menyajikannya saja dan Yayuk tidak perlu menunggu lama.

Pada suatu hari, Yayuk kembali datang seperti biasa, namun kali ini ia memutuskan untuk makan nasi, rendang, dan es teh manis. Koki kemudian harus mengganti ayam pop yang sudah disiapkan dengan rendang, sesuai pesanan Yayuk. Anggaplah, sang koki terpaksa membuang porsi yang ia siapkan sebelumnya.


Sumber gambar: Pixabay

Kurang lebih begitulah proses speculative execution. Prosesor adalah “koki” yang membaca urutan aktivitas yang sering dilakukan oleh pengguna, kemudian menebak proses apa yang akan dieksekusi berdasarkan kebiasaan mereka. Jika pengguna melakukan aktivitas di luar kebiasaan, proses atau “makanan” yang sudah disiapkan terpaksa dibuang dan diganti dengan yang baru.

Potongan data atau proses yang tidak terpakai tersebut kemudian terkumpul di dalam memori cip dalam keadaan tidak terproteksi. Di sinilah Horn menemukan celah yang rentan ditembus peretas.

Peretas bisa mengakali speculative execution pada prosesor, kemudian memasukkan kode tertentu ke dalam memori untuk mengakses informasi di dalamnya. Setelah itu, mereka bisa “bermain puzzle” dengan potongan-potongan data, kemudian mencuri informasi penting milik pengguna.

Menyerang sebagian besar perangkat dan sistem operasi

Sumber gambar: Pexels

Desktop, laptop, hingga cloud computer, hampir semuanya rentan terhadap Meltdown. Situs Meltdownattack menyebutkan, semua prosesor keluaran Intel yang diproduksi mulai tahun 1995 rentan terhadap celah keamanan ini. Kecuali Intel Itanium dan Intel Atom yang diproduksi sebelum tahun 2013.

Belum ada konfirmasi apakah prosesor pabrikan AMD mengalami hal yang sama. Sementara itu, Arm menyatakan bahwa pada sebagian prosesor yang mereka produksi memang rentan Meltdown.

Lain lagi dengan Spectre, yang rupanya dapat menyerang hampir semua sistem, baik desktop, laptop, server cloud, bahkan smartphone. Semua prosesor modern yang dapat melakukan multitasking bisa dibilang berpotensi rentan terhadap serangan Spectre.

Prosesor keluaran Intel, AMD, dan Arm sudah diuji dan terbukti rentan terhadap Spectre. Begitu pula dengan prosesor keluaran Qualcomm.

Beberapa layanan cloud milik Google dan Amazon juga rentan terhadap celah keamanan tersebut. Google mengklaim bahwa mereka telah memperbarui G Suite dan layanan cloud mereka. Menurut Amazon, sebagian kecil sistem Amazon Web Services EC2 telah terlindungi. Namun kedua perusahaan tersebut tetap memperingatkan pengguna untuk tetap mengawasi sistem operasi mereka dan memasang patch untuk keamanan ekstra.

Melihat sebagian besar perangkat dan layanan yang cukup rentan terhadap kedua celah keamanan tersebut, mungkin pertanyaan yang tepat bukan apakah saya aman dari Meltdown dan Spectre? Tapi bagaimana melindungi perangkat saya dari Meltdown dan Spectre?

Mengerikan, tapi tidak mengkhawatirkan (untuk saat ini)

Sumber gambar: Pexels

Meskipun terdengar cukup serius, sebetulnya kamu tidak perlu khawatir. Selain sudah ada patch untuk mengatasi Meltdown, dari segi teknis sebetulnya para peretas akan cukup kerepotan jika hanya mengandalkan Meltdown dan Spectre.

Dalam jurnal penelitian tentang Meltdown, disebutkan bahwa kecepatan maksimum Meltdown dalam membaca data sejauh ini berada di 500 kbps. Jadi, kalau kamu memiliki memori sebesar 8 GB, maka dibutuhkan waktu sekitar 4,4 jam bagi Meltdown hanya untuk membaca memorinya saja.

Itu hanya untuk membaca, belum lagi waktu yang dibutuhkan para peretas untuk mencari potongan puzzle yang dibutuhkan, menyortir informasi, dan menggunakan tool lain yang diperlukan.

Memanfaatkan Meltdown apalagi Spectre nyatanya sangat sulit.

Walaupun tidak menutup kemungkinan bisa digunakan oleh peretas yang betul-betul niat dan punya sumber daya berlebih, namun memanfaatkan Meltdown apalagi Spectre nyatanya sangat sulit. Dalam beberapa kasus, bahkan diperlukan akses secara fisik.

Anggaplah Meltdown dan Spectre seperti sekop. Kamu bisa menggali lubang dengan sebuah sekop. Namun, jika kamu ingin mengangkut harta karun, sebatang sekop saja tidak cukup untuk membuat pekerjaan lebih cepat dan efisien, bukan?

Patch sebagai pertolongan darurat pertama

Sumber gambar: Pixabay & Natascha Eibl

Kabar baiknya, para peneliti, ahli cyber security, dan ilmuwan di bidang komputer sudah berhasil menciptakan patch untuk menangani Meltdown. Walaupun bersifat sementara, setidaknya cukup untuk mengamankan data-data pengguna.

Produsen komputer tidak perlu menarik prosesor mereka secara besar-besaran. Para ahli bisa memiliki waktu sedikit lebih banyak untuk menemukan solusi keamanan yang lebih permanen tanpa mempengaruhi performa prosesor.

Hampir tidak mungkin untuk melindungi sistem dari Spectre tanpa adanya pembaruan pada hardware atau prosesor yang kita gunakan saat ini.

Akan tetapi, belum ditemukan patch atau solusi lain untuk Spectre. Celah keamanan ini sebetulnya sulit untuk dimanfaatkan peretas, tapi juga jauh lebih sulit untuk diperbaiki. Faktanya, hampir tidak mungkin untuk melindungi sistem dari Spectre tanpa adanya pembaruan pada hardware atau prosesor yang kita gunakan saat ini.

Sejumlah browser seperti Chrome, Firefox, dan Edge/Internet Explorer menyatakan sudah memiliki patch tahap awal untuk Spectre. Bahkan Apple menyebut jika mereka tengah mengerjakan patch untuk Spectre dan berharap dapat merilisnya dalam waktu dekat.

Tip mengamankan komputer dari Meltdown dan Spectre

Sumber gambar: Pixabay

Patch untuk Meltdown saat ini sudah ada untuk sebagian besar sistem operasi. Untuk memastikan bahwa komputer kamu sudah cukup aman dari gangguan Meltdown, pastikan kamu melakukan daftar keamanan ini:

  1. Perbarui sistem operasi.
  2. Periksa apakah ada firmware update.
  3. Pastikan browser kamu sudah update ke versi terbaru.
  4. Update juga software kamu.
  5. Pastikan antivirus selalu aktif.

Atau, kamu juga bisa mencoba aplikasi InSpectre milik Gibson Research Corporation. Walaupun tampilannya agak vintage, namun cukup bisa menggambarkan kondisi keamanan komputer kamu terhadap Meltdown dan Spectre. Ukurannya pun terbilang sangat kecil.

Ada sejumlah pihak yang mengeluhkan komputer mereka melambat setelah patch terpasang. Namun, jika kamu menggunakan komputer secara normal dan tidak melakukan aktivitas berat seperti pemrograman kompleks, proses data dalam jumlah sangat besar, mengedit video, atau lainnya, sebetulnya tidak ada perubahan performa yang signifikan.


Artikel ini pertama kali diterbitkan oleh Tech In Asia Indonesia di https://id.techinasia.com/apa-itu-meltdown-dan-spectre.

Isi tulisan belum di sunting oleh editorial dari Yuniza.

0/50 ratings

What's Your Reaction?

Sebel Sebel
0
Sebel
Pusing Pusing
0
Pusing
Sedih Sedih
0
Sedih
Kocak Kocak
0
Kocak
Terkesan! Terkesan!
0
Terkesan!
Kecewa Kecewa
0
Kecewa
Tech In Asia

Pemula

Tech in Asia adalah komunitas online pelaku startup di Asia yang menyajikan konten yang berkaitan dengan investor, founder, dan berita menarik seputar Asia.

Berikan Komentar

avatar
  Subscribe  
Notify of
Choose A Format
Story
Formatted Text with Embeds and Visuals