Antivirus is Dead! Again?

21 Mei 2014
Antivirus sudah mati ... LAGI?
Virus hanyalah mitos urban, seperti mengharapkan aligator di selokan New York. Pernyataan ini pernah diungkapkan oleh Peter Norton di tahun 1988. Ironisnya, Norton Antivirus kemudian menjadi salah satu produk antivirus paling populer untuk menghadapi mitos urban :p. Demikian pula dengan Alan Solomon pembuat Solomon Antivirus yang diakuisisi oleh Mc Afee mengeluarkan pernyataan yang sama 15 tahun yang lalu, antivirus sudah mati dan tidak diperlukan. Lalu, seperti tidak mau belajar dari sejarah, petinggi Symantec pada awal Mei 2014 juga ikut-kutan mengeluarkan klaim Antivirus is Dead dalam wawancara dengan Wallstreet dan kontan menggemparkan pada penggiat sekuriti. Jika yang dimaksudkan adalah software antivirus yang berbasiskan pengenalan sidik jari (signature) untuk mendeteksi virus, hal ini sudah terjadi sejak lama dan tidak perlu diberitahu para vendor antivirus juga sudah tahu. Seperti kita ketahui, jika mengandalkan sidik jari malware, vendor antivirus harus mendapatkan contoh malware terlebih dahulu untuk mengenali satu malware untuk kemudian menyebarkan pengenalan signature ini ke server update antivirus dimana seluruh program antivirus yang terinstal di seluruh dunia dalam waktu singkat akan dapat mengenali malware yang baru di deteksi dengan cara mengupdate definisi ke server antivirus tersebut. Namun karena malware memiliki banyak cara untuk mengelabui antivirus seperti teknik polymorphic dan sejenisnya dimana satu malware yang sudah terdeteksi antivirus bisa mereplikasi dirinya menjadi ribuan file baru dengan sidik jari (MD5) yang berbeda, tentunya akan mustahil bagi antivirus untuk mengandalkan pengenalan sidik jari dan harus menggunakan teknologi lain. Hal ini yang membuat vendor antivirus berlomba-lomba meningkatkan teknologi pendeteksian malware dengan tidak hanya mengandalkan sidik jari malware saja. Beberapa teknologi yang digunakan adalah teknologi heuristic, sandbox, behaviour checking atau bank guard yang mampu mendeteksi hampir 100 % trojan malware yang mengeksploitasi pengguna internet banking dan e-commerce dengan cara menginjeksi proses dll peramban.

Jadi pernyataan di atas mungkin benar kalau program antivirus “hanya” mengandalkan 100 % pada deteksi sidik jari malware, namun dengan kemunculan 8.000 varian malware baru setiap hari seperti yang dikemukakan oleh laboratorium virus Gdata, justru kecepatan untuk memberikan respon terhadap ancaman dan teknologi deteksi yang digunakan menjadi faktor krusial dalam menghadapi malware. Apakah karena saking banyaknya malware yang harus kita hadapi setiap hari lalu kita harus melemparkan handuk dan menyerah ? Justru karena tingginya ancaman malware inilah solusi reaktif dan proaktif digunakan oleh program antivirus modern sehingga mereka dapat memberikan perlindungan, bahkan terhadap malware baru yang belum pernah didapatkan sampelnya sebelumnya. Industri sekuriti adalah suatu pertarungan abadi antara penyerang dengan yang diserang dan perlombaan ini ibarat perlombaan maraton seumur hidup dan tidak akan pernah berakhir selama manusia menggunakan komputer.

Faktanya hari ini adalah produsen antivirus yang belasan tahun lalu bisa di hitung jari, hari ini bukannya mati atau berkurang sebaliknya malah bertambah menjadi 108 merek (menurut data Virus bulletin) https://www.virusbtn.com/vb100/archive/vendors per akhir Mei 2014. (lihat gambar 1 di bawah). 
20140521I_antivirusdead01
Gambar 1, Produsen antivirus bukannya mati tetapi berkembang menjadi 108 merek sampai akhir Mei 2014
Bahkan perkembangan terakhir dimana OS Windows yang perkembangannya cenderung stagnan dibandingkan dengan OS Android yang melesat membuat pernyataan ini lebih tidak tepat lagi. Sekalipun Windows mengalami penurunan pangsa pasar dibandingkan Android, logikanya pangsa pasar antivirus juga akan stagnan atau nanti pelan-pelan mati. Namun rupanya ancaman malware bergeser ke Android dan saat ini vendor antivirus malah berlomba-lomba memberikan solusi antivirus untuk Android. Jadi, bukannya mati malah vendor antivirus makin pusing memberikan solusi antivirus pada platform lain seperti Android dan Mac yang mulai diminati malware.


Sumber Malware

Untuk mengetahui tingkat ancaman dan sejauh mana kemampuan program antivirus melindungi penggunanya dari ancaman-ancaman tersebut, secara umum malware bisa digolongkan ke dalam 3 sumber :

  1. Ancaman newbie atau script kiddie: Ancaman dari newbie atau script kiddie merupakan jenis ancaman yang datang dari programmer pemula dengan kemampuan dan pengetahuan pemrograman yang rendah dan sedang namun bisa eksis karena adanya tools atau software bantuan yang sangat memudahkan membuat malware baru. Ancaman ini selalu akan ada karena newbie di komputer akan selalu bermunculan seiring dengan berjalannya waktu, salah satu contohnya adalah virus-virus lokal yang banyak berkeliaran di Indonesia. Untuk ancaman seperti ini pada umumnya program antivirus yang terupdate dapat menangani dengan baik.
  2. Ancaman dari organisasi pembuat malware terorganisir: Lebih tinggi dari newbie adalah pembuat malware terorganisir yang mendapatkan keuntungan finansial dari aktivitas malwarenya. Sebagai contoh pembuat DNSChanger, spyware, adware atau foistware yang mendapatkan keuntungan finansial dari aksi jahatnya. Menghadapi pembuat malware terorganisir ini perusahaan antivirus sebenarnya sudah mendapatkan lawan yang sepadan. Mengapa ? Karena pembuat malware terorganisir ini seperti perusahaan antivirus juga memiliki sumber pendanaan rutin dari aktivitas jahatnya sehingga mampu selalu mengupdate malware yang mereka ciptakan ke tingkat yang lebih sulit dideteksi setiap kali bisa berhasil dideteksi oleh antivirus. Bahkan beberapa foistware berhasil memanfaatkan celah hukum untuk menginstalkan dirinya pada komputer korbannya dan meskipun mereka sudah terang-terangan menjalankan aksinya namun tidak terjangkau oleh hukum karena memanfaatkan celah hukum (EULA) dimana secara tidak sadar, pemilik komputer menyetujui menginstal aplikasi foistware atau spyware ketika menginstal program freeware lainnya.
  3. Ancaman dari organisasi dengan sumber daya tidak terbatas: Jujur saja, kalau membucarakan organisasi dengan sumber daya tidak terbatas, ibaratnya pemain antivirus adalah petinju kelas bulu dan jika harus menghadapi organisasi dengan sumber daya dan dana tidak terbatas harus mengalahkan petinju kelas berat. Jangankan perusahaan antivirus, penulis berkeyakinan perusahaan seperti FireEye yang digadang-gadang setingkat di atas perusahaan antivirus dan memiliki kemampuan mendeteksi ancaman di tingkat jaringan lebih baik dari mayoritas perusahaan antivirus tetap bukan merupakan lawan yang sepadan dari organisasi dengan sumber daya tidak terbatas ini. Meskipun kelihatannya petinju kelas bantam lebih kuat dari petinju kelas bulu, namun kalau lawannya petinju kelas berat. Tetap saja sekali ditinju bisa-bisa langsung KO.
Contohnya adalah kasus seperti Uroburos, Stuxnet, Duqu dan Flame yang lolos dari deteksi antivirus pada awal kemunculannya dan kemudian di deteksi oleh antivirus setelah menjalankan aksinya bertahun-tahun. Malware yang disebutkan di atas adalah malware yang dibuat oleh organisasi yang memiliki sumber daya tidak terbatas (seperti dinas rahasia negara) dan memiliki sasaran spesifik seperti departemen pertahanan, divisi riset dari korporasi besar dan penting seperti perusahaan obat raksasa, dinas rahasia atau departemen negara yang mengandung informasi penting yang seharusnya memang sudah mengetahui kalau mereka menjadi sasaran dan melakukan tindakan pencegahan yang diperlukan dalam mengamankan data penting yang bersifat krusial atau strategis. Lihat malware Uroburos yang berhasil menginfeksi komputer Departemen Luar Negeri Belgia dan disinyalir dikendalikan oleh pihak Rusia guna mendapatkan dokumen informasi penting milik negara-negara Uni Eropa dalam krisis Ukraina http://vaksin.com/2014/0514/uroburos%20attack%20ukraina/uroburos%20for%20ukraina.html. Uroburos di deteksi oleh Gdata pada Februari 2014, lalu dorman (berdiam diri) dan tidak terdeteksi oleh program antivirus lain sampai ia menjalankan aksinya pada bulan Mei 2014 mencuri dokumen berisi krisis Ukraina yang dimiliki oleh negara-negara Eropa Barat yang berseberangan dengan Rusia dalam krisis Ukraina.
Namun jika anda bukan termasuk dalam golongan pengguna komputer yang menjadi sasaran dari state sponsored malware, rasanya anda tidak perlu terlalu khawatir karena tidak banyak negara yang tertarik pada data yang sifatnya pribadi dan tidak mengandung nilai strategis.

Evolusi Antivirus

Antivirus memang tidak seharusnya mengandalkan definisi semata. Sebagai contoh kasus malware Happy Images http://vaksin.com/2014/0514/FBChat_happy_images/awas%20JPG%20berbahaya%20di%20FBChat.html yang menginfeksi komputer dan mengeksploitasi akun Facebook korbannya dengan mengirimkan FBChat tanpa sepengetahuan pemilik akun dan tidak terdeteksi oleh mayoritas program antivirus, namun masih ada beberapa program antivirus yang mampu mendeteksi malware ini tanpa tergantung pada update definisi (lihat gambar 2) . Perhatikan pada gambar di bawah pada tanggal 7 Mei 2014, hanya 10 merek antivirus yang mampu mendeteksi malware tersebut dan sisanya 47 program antivirus tidak memiliki teknologi yang memadai untuk mendeteksi malware ini.
20140521I_antivirusdead02
Gambar 2, Happy Images yang tidak terdeteksi oleh mayoritas antivirus
Vendor antivirus diwajibkan untuk selalu menyesuaikan diri dengan trik dan teknik ancaman malware terkini, salah satu yang sangat krusial adalah perlindungan terhadap malware yang melakukan eksploitasi terhadap celah keamanan piranti lunak. Seperti kita ketahui, meskipun sudah dilindungi dengan update definisi antivirus terbaru, komputer yang mengandung celah keamanan tetap akan takluk dan antivirus tidak akan berdaya melindungi jika malware mengeksploitasi celah keamanan piranti lunak yang belum ditambal (patch) yang terkandung pada sistem komputer tersebut. Adapun celah keamanan pada piranti lunak sangat luas dan selalu ditemukan setiap hari dan menjadi incaran khususnya pada piranti lunak yang banyak digunakan seperti OS windows, MS Office, Acrobat Reader, Macromedia Flash, peramban Firefox, Chrome, Internet Explorer sampai Java. Kabar buruknya, khusus untuk piranti lunak cross platform, eksploitasi celah keamanan bukan monopoli OS Windows yang merupakan favorit pembuat malware namun juga OS lain yang menggunakan piranti lunak yang mengandung celah keamanan tersebut juga rentan terhadap eksploitasi. Ambil contoh kasus celah keamanan Heartbleed yang terkandung pada OpenSSL dan digunakan pada mayoritas OS Linux seperti Debian, Ubuntu, FreeBSD dan Centos sehingga mengakibatkan OS tersebut juga rentan terhadap eksploitasi celah keamanan ini.

Terhadap ancaman terhadap eksploitasi celah keamanan yang selama ini menjadi kelemahan utama program antivirus, beberapa vendor sekuriti terkemuka seperti G Data mengembangkan teknologi untuk melindungi proses piranti lunak yang berjalan sehingga mampu mencegah eksploitasi terhadap celah keamanan pada sistem yang belum di tambal (patch) atau belum sempat melakukan patch. Hal yang selama ini merupakan impian dan dianggap tidak mungkin menjadi mungkin. Jadi dengan teknologi Exploit Protection kini memungkinkan beberapa program antivirus terkemuka melindungi sistem komputer yang mengandung celah keamanan dari eksploitasi, sekalipun celah keamanan tersebut belum di tambal / patch. Inovasi ini membawa perlindungan terhadap sistem komputer ke tingkat yang lebih tinggi dan pengguna komputer bisa lebih tenang menjalankan aktivitasnya.
Salam,


Alfons Tanujaya
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: