Microsoft tuai kritik usai ancam peneliti keamanan

Microsoft

Microsoft kembali menjadi sorotan di dunia keamanan siber setelah perusahaan teknologi raksasa tersebut mengancam akan mengambil langkah hukum terhadap seorang peneliti keamanan yang mengungkap sejumlah celah keamanan pada produk-produknya. Langkah tersebut memicu kritik luas dari komunitas keamanan siber yang menilai respons Microsoft berpotensi merusak hubungan antara perusahaan dan para peneliti independen.

Kontroversi ini bermula ketika seorang peneliti keamanan yang menggunakan nama samaran Nightmare Eclipse mempublikasikan serangkaian kerentanan yang belum mendapatkan perbaikan dari Microsoft. Tidak hanya mengungkap detail celah keamanan, peneliti tersebut juga merilis kode eksploitasi yang memungkinkan pihak lain memanfaatkan kelemahan tersebut.

Akibat tindakan itu, Microsoft merespons dengan keras. Dalam sebuah unggahan blog yang dipublikasikan pada akhir Mei, perusahaan menyebut bahwa Nightmare Eclipse tidak mengikuti praktik pengungkapan kerentanan yang dianggap bertanggung jawab atau responsible disclosure.

Advertisement

Menurut Microsoft, seharusnya setiap peneliti keamanan melaporkan terlebih dahulu kerentanan yang ditemukan kepada perusahaan agar perbaikan dapat dilakukan sebelum informasi tersebut dipublikasikan ke publik. Dengan demikian, risiko penyalahgunaan oleh pelaku kejahatan siber dapat diminimalkan.

Kerentanan Menyerang Defender dan BitLocker

Kerentanan yang diungkap Nightmare Eclipse bukanlah masalah kecil. Beberapa di antaranya diberi nama BlueHammer, RedSun, UnDefend, dan YellowKey.

Celah-celah tersebut disebut memengaruhi sejumlah produk penting Microsoft, termasuk Windows Defender yang merupakan sistem antivirus bawaan Windows, serta BitLocker yang digunakan untuk mengenkripsi data pada perangkat pengguna.

Advertisement

Microsoft berpendapat bahwa publikasi detail teknis dan metode eksploitasi sebelum tersedia tambalan keamanan dapat membantu pelaku kejahatan siber menemukan cara baru untuk menyerang pengguna.

Bahkan, Microsoft dan badan keamanan siber Amerika Serikat, yaitu Cybersecurity and Infrastructure Security Agency, menyebut beberapa kerentanan yang diungkap telah dimanfaatkan dalam serangan nyata oleh peretas.

Dalam pernyataannya, Microsoft menegaskan bahwa unit khusus mereka, yakni Digital Crimes Unit, akan terus mengambil tindakan terhadap pihak-pihak yang dianggap mendukung aktivitas kriminal siber.

Advertisement

Perusahaan juga menyatakan siap bekerja sama dengan aparat penegak hukum di berbagai negara jika diperlukan.

Nightmare Eclipse Klaim Diperlakukan Tidak Adil

Di sisi lain, Nightmare Eclipse memberikan versi cerita yang berbeda.

Dalam sejumlah tulisan yang dipublikasikan beberapa minggu terakhir, peneliti tersebut mengaku telah mencoba berkomunikasi dengan Microsoft terkait kerentanan yang ditemukan. Namun, menurutnya, perusahaan tidak memberikan respons yang memadai.

Advertisement

Salah satu hal yang menjadi sorotan adalah pencabutan akses akun miliknya di Microsoft Security Response Center, yaitu portal resmi yang digunakan para peneliti untuk melaporkan kerentanan keamanan kepada Microsoft.

Kondisi tersebut membuat Nightmare Eclipse mengisyaratkan bahwa mereka merasa tidak memiliki pilihan lain selain mengungkap seluruh detail kerentanan ke publik.

Langkah itu kemudian mengubah status kerentanan menjadi zero-day, yakni celah keamanan yang dapat dimanfaatkan sebelum pengembang perangkat lunak menyediakan perbaikan resmi.

Advertisement

Tidak lama setelah publikasi dilakukan, akun Nightmare Eclipse di platform pengembangan perangkat lunak GitHub dan GitLab dilaporkan diblokir. Menariknya, GitHub sendiri merupakan platform yang dimiliki oleh Microsoft.

Baik Microsoft maupun Nightmare Eclipse hingga kini belum memberikan komentar lebih lanjut terkait perselisihan tersebut.

Perdebatan Lama Kembali Muncul

Kasus ini kembali memunculkan perdebatan yang telah berlangsung selama bertahun-tahun di kalangan keamanan siber.

Advertisement

Pertanyaan utamanya adalah apakah seorang peneliti keamanan memiliki kewajiban moral atau profesional untuk memastikan perusahaan benar-benar memperbaiki kerentanan yang ditemukan sebelum informasi tersebut dipublikasikan.

Sebagian pihak berpendapat bahwa pengungkapan secara privat merupakan cara terbaik untuk melindungi pengguna. Namun, kelompok lainnya menilai publikasi terbuka kadang menjadi satu-satunya cara untuk mendorong perusahaan bertindak lebih cepat.

Perdebatan ini sebenarnya sudah berkembang sejak awal era modern keamanan siber. Bahkan pada tahun 2009 muncul kampanye bernama No More Free Bugs yang menuntut agar perusahaan memberikan kompensasi kepada peneliti yang menemukan kerentanan.

Advertisement

Kini, sebagian besar perusahaan teknologi besar telah menjalankan program bug bounty, yaitu program pemberian hadiah kepada peneliti yang melaporkan celah keamanan secara bertanggung jawab.

Nilai hadiahnya pun tidak main-main. Dalam beberapa kasus, seorang peneliti dapat memperoleh ratusan ribu dolar jika berhasil menemukan kerentanan kritis dan mengikuti prosedur pelaporan yang disepakati.

Pakar Keamanan Siber Kritik Microsoft

Respons Microsoft ternyata tidak mendapat dukungan luas dari komunitas keamanan siber. Sebaliknya, banyak peneliti yang justru membagikan pengalaman negatif mereka saat berinteraksi dengan perusahaan tersebut.

Advertisement

Salah satu kritik paling keras datang dari Katie Moussouris, pendiri Luta Security yang juga dikenal sebagai pelopor program bug bounty ketika masih bekerja di Microsoft.

Menurut Moussouris, penggunaan istilah responsible disclosure sudah menjadi masalah tersendiri karena sering kali dianggap membebankan seluruh tanggung jawab kepada peneliti.

Ia juga menilai penyebutan Digital Crimes Unit dalam konteks ini merupakan langkah yang berlebihan.

Advertisement

Moussouris memperingatkan bahwa ancaman hukum semacam itu dapat membuat para peneliti kehilangan kepercayaan terhadap Microsoft. Jika kepercayaan tersebut hilang, semakin sedikit peneliti yang bersedia melaporkan kerentanan yang mereka temukan.

Pada akhirnya, kondisi tersebut justru berpotensi membuat ekosistem digital menjadi lebih rentan terhadap serangan siber.

Kritik serupa juga disampaikan oleh Kevin Beaumont. Dalam unggahan blog pribadinya, ia menyebut situasi ini sebagai masalah yang diciptakan sendiri oleh Microsoft.

Advertisement

Menurut Beaumont, pembuatan bukti konsep atau proof-of-concept exploit selama ini merupakan praktik yang lazim dalam dunia penelitian keamanan siber.

Karena itu, ia mempertanyakan alasan Microsoft mengaitkan aktivitas tersebut dengan tindakan kriminal. Beaumont bahkan menyebut langkah perusahaan sebagai titik terendah baru dalam hubungan antara vendor teknologi dan komunitas peneliti keamanan.

Dampak bagi Masa Depan Keamanan Siber

Terlepas dari siapa yang benar dalam perselisihan ini, banyak pihak sepakat bahwa hubungan antara perusahaan teknologi dan komunitas peneliti keamanan merupakan elemen penting dalam menjaga keamanan digital.

Advertisement

Peneliti independen sering kali menjadi pihak pertama yang menemukan kerentanan berbahaya sebelum dimanfaatkan oleh peretas. Sementara itu, perusahaan memiliki tanggung jawab untuk merespons laporan tersebut secara profesional dan transparan.

Kasus antara Microsoft dan Nightmare Eclipse menunjukkan bahwa keseimbangan antara transparansi, perlindungan pengguna, dan tanggung jawab perusahaan masih menjadi tantangan besar di industri teknologi modern. Jika konflik seperti ini terus berulang, bukan tidak mungkin kepercayaan antara kedua pihak akan semakin menurun, yang pada akhirnya dapat berdampak pada keamanan pengguna di seluruh dunia.

Advertisement

Cek berita teknologi, review gadget dan video Gadgetdiva.id di Google News. Baca berita otomotif untuk perempuan di Otodiva.id, kalau butuh in-depth review gadget terkini kunjungi Gizmologi.id. Bagi yang suka jalan-jalan, wajib baca Traveldiva.id.