60 CVE Seminggu? Tenang, Ini Rahasianya!

pibitek.biz -Setiap minggu, tim keamanan Linux mengeluarkan sekitar 60 buletin keamanan Common Vulnerabilities and Exposures (CVE). Jumlah ini mungkin terdengar menakutkan, tapi jangan panik! Ini adalah hal biasa di dunia Linux, sebuah sistem operasi yang terus berkembang dan beradaptasi dengan perubahan teknologi yang cepat. Linux sudah menjadi sistem operasi yang mendominasi dunia, menjalankan beragam perangkat mulai dari smartphone Android hingga unit pendingin ruangan. Sistem operasi ini juga menjadi tulang punggung internet, superkomputer, cloud computing, dan mungkin juga komputer pribadimu.

Bahkan iPhone, yang terkenal dengan iOS-nya, tetap menggunakan Linux untuk jaringan 4G dan 5G-nya. Jadi, bisa dibilang, Linux merupakan sistem operasi yang sangat penting dan berpengaruh di dunia saat ini. CVE berfungsi sebagai daftar masalah keamanan software di seluruh dunia. Untuk Linux, CVE menandakan masalah serius yang bisa menyebabkan kerusakan besar. Misalnya, kehilangan data akibat bug tidak masuk dalam kategori CVE. Begitu pula dengan update terbaru yang memperlambat kinerja komputer. Namun, jika sebuah bug menyebabkan server mati mendadak, itu sudah masuk kategori CVE.

CVE sangat penting karena memberikan informasi tentang kerentanan yang ada pada software, memungkinkan para pengembang untuk memperbaiki masalah dan mencegah eksploitasi yang berbahaya. Pada Februari 2024, tim pengembang kernel Linux mengambil alih tugas memberikan label CVE untuk kernel Linux. Ini terjadi karena peraturan pemerintah baru, seperti dari Uni Eropa, mengharuskan proyek open-source untuk bertanggung jawab atas kerentanan yang diketahui. Langkah ini merupakan upaya untuk meningkatkan transparansi dan keamanan di dunia open-source, memastikan bahwa proyek-proyek open-source tidak hanya bertanggung jawab untuk menciptakan software yang inovatif tetapi juga untuk memastikan software tersebut aman untuk digunakan.

Alasan lain di balik pengambilan alih ini adalah untuk memastikan proses pemberian CVE berjalan dengan lebih baik. Mereka ingin memastikan bahwa tidak ada kelompok lain yang dapat memberikan label CVE untuk Linux tanpa persetujuan dari para pengembang. Hal ini memastikan bahwa proses pemberian CVE untuk kernel Linux dilakukan dengan benar dan adil, memberikan hasil yang akurat dan dapat diandalkan. Jadi, bagaimana dengan 60 CVE per minggu? Apakah itu sesuatu yang perlu dikhawatirkan? Ya, sebenarnya ada potensi bahaya di situ, tapi tidak perlu khawatir berlebihan.

Kernel Linux sendiri terdiri dari 38 juta baris kode. Namun, setiap perangkat hanya menggunakan sebagian kecil dari kode tersebut. Laptop, misalnya, hanya menggunakan sekitar 1,5 juta baris kode, sedangkan smartphone, yang merupakan perangkat paling kompleks, menggunakan sekitar 4 juta baris kode. Ini menunjukkan bahwa jumlah kode yang digunakan oleh setiap perangkat sangat bervariasi, tergantung pada fungsi dan kompleksitas perangkat tersebut. Tim pengembang kernel Linux tidak memiliki informasi tentang bagian mana dari kode yang digunakan oleh setiap perangkat.

Tugas mereka adalah membuat kode inti yang digunakan oleh semua orang, memastikan bahwa kode tersebut stabil, efisien, dan aman untuk digunakan oleh berbagai perangkat. Ben Hawkes, seorang ahli keamanan komputer, white hat hacker, dan mantan manajer Project Zero di Google, menjelaskan situasi ini dengan tepat. Ia mengatakan bahwa CVE tidak efektif dalam menangkap nuansa ekosistem kernel Linux. CVE tidak dapat menggambarkan bahwa sebuah bug dapat sangat serius di satu jenis penerapan, agak penting di penerapan lain, atau tidak menjadi masalah sama sekali.

Sebuah bug bahkan bisa menjadi ketiganya secara bersamaan. Ini menunjukkan bahwa dampak sebuah bug bisa sangat berbeda tergantung pada konteksnya. Bug yang mungkin tidak berdampak besar pada satu perangkat bisa menjadi sangat berbahaya pada perangkat lain. Perbaikan kerentanan memang sulit, memerlukan pemahaman yang mendalam tentang berbagai aspek sistem dan konsekuensi dari setiap perubahan yang dilakukan. Banyaknya CVE yang keluar dengan sangat cepat disebabkan oleh banyaknya sistem dan kasus penggunaan yang berbeda.

Setiap bug berpotensi menjadi bug keamanan. Seperti kata Linus Torvalds, pencipta Linux, "Masalah keamanan hanyalah bug". Pernyataan Torvalds menunjukkan bahwa masalah keamanan pada dasarnya adalah masalah teknis, dan bahwa solusi yang efektif adalah pengembangan software yang bebas dari bug. Pengembangan software yang aman membutuhkan proses yang ketat, pengujian yang cermat, dan kerja sama yang erat antara pengembang, tim keamanan, dan pengguna. Tim keamanan kernel Linux bekerja secara reaktif.

Mereka menanggapi bug dan kerentanan yang dilaporkan. Mereka mengkategorikan laporan bug yang masuk, menentukan apakah ada masalah keamanan, dan bekerja sama dengan pengelola yang relevan untuk memperbaiki bug. Mereka tidak mencari bug secara aktif. Pendekatan reaktif ini memungkinkan tim keamanan untuk fokus pada masalah yang paling mendesak, memberikan respons yang cepat dan efisien. Namun, mereka juga secara proaktif melakukan audit keamanan dan meningkatkan proses pengembangan untuk mencegah bug keamanan di masa depan.

Setelah perbaikan tersedia, perbaikan tersebut akan digabungkan ke dalam rilis kernel stabil mingguan dan didistribusikan ke pengguna sesegera mungkin. Pengguna kemudian dapat menguji dan menentukan apakah masalah tertentu memengaruhi kasus penggunaan spesifik mereka. Rilis kernel stabil mingguan memungkinkan pengguna untuk mendapatkan update keamanan terbaru dengan cepat dan mudah, mengurangi risiko serangan yang berbahaya. Tim keamanan kernel Linux tidak menggunakan embargo atau pengumuman sebelumnya.

Mereka percaya bahwa pendekatan ini justru akan menyebabkan kebocoran informasi. Sebagai gantinya, mereka berusaha untuk memberikan perbaikan kepada pengguna secepat mungkin. Biasanya, ini dilakukan dalam waktu seminggu setelah patch tersedia. Pendekatan ini memastikan bahwa pengguna segera diberitahu tentang masalah keamanan dan dapat memperbarui sistem mereka dengan tepat. Pendekatan ini memungkinkan untuk menanggapi ancaman dengan cepat dan efektif, meminimalkan waktu yang dibutuhkan untuk memperbaiki kerentanan dan melindungi pengguna dari serangan.

Rilis stabil ini mencakup perbaikan bug dan masalah keamanan yang di-backport dari kernel utama. Tim ini bergantung pada komunitas penguji yang besar, termasuk perusahaan dan individu, untuk memastikan stabilitas dan keamanan rilis mereka. Kerja sama antara pengembang, tim keamanan, dan komunitas pengguna sangat penting untuk menjaga keamanan kernel Linux. Mereka secara kolektif bertanggung jawab untuk mendeteksi, melaporkan, dan memperbaiki bug keamanan. Untuk menjaga keamanan sistem, baik itu sebuah mobil atau 10.000 server di pusat data, aturan sederhana yang perlu diingat adalah: "Jika kamu tidak menggunakan sistem kernel stabil/jangka panjang terbaru, sistem kamu tidak aman".

Artinya, kamu harus memperbarui kernel hampir setiap minggu. Meskipun ini mungkin terdengar menakutkan, beberapa platform besar, seperti Debian dan Android, telah membuktikan bahwa proses ini dapat dilakukan dan tidak menyebabkan masalah besar. Debian, yang menjalankan lebih dari 80% server di dunia, menggunakan update kernel stabil. Android, yang digunakan oleh miliaran perangkat, memperbarui kernel stabil dengan keterlambatan beberapa bulan.Contoh ini menunjukkan bahwa update kernel stabil mingguan dapat dilakukan pada skala yang besar tanpa menyebabkan gangguan yang signifikan.

Ini juga menunjukkan bahwa update kernel stabil merupakan praktik terbaik yang harus diadopsi oleh semua pengguna Linux. Tim pengembang berharap bahwa semua orang akan mulai menggunakan kernel Linux stabil yang diperbarui dengan cepat dan lebih aman. Perlu diingat bahwa stabilitas tidak hanya diukur dengan ketiadaan perubahan. Sistem harus dapat beradaptasi dengan perubahan dunia di sekitarnya. Peristiwa Spectre dan Meltdown membuktikan bahwa hardware yang tidak diperbarui dapat menjadi rentan terhadap serangan meskipun hardware itu sendiri tidak berubah.

Peristiwa Spectre dan Meltdown menunjukkan pentingnya update keamanan yang cepat dan efektif, bahkan untuk hardware yang sudah ada. Hardware yang tidak diperbarui dapat menjadi sasaran serangan yang memanfaatkan kerentanan yang telah diidentifikasi dan diperbaiki melalui update. Singkatnya, jangan terlalu khawatir dengan banyaknya CVE. Cukup pastikan bahwa tidak ada CVE di buletin terbaru yang memengaruhi pengaturan kamu. Kebanyakan CVE tidak akan memengaruhi kamu. Namun, untuk memastikan keamanan yang optimal, mulailah memperbarui kernel Linux kamu lebih sering daripada biasanya.