.webp)
Iklan online secara de facto sudah menjadi bagian yang tidak terpisahkan dari kehidupan kita sehari-hari. Iklan internet berlari kencang mengejar iklan TV untuk menjadi iklan media dan hiburan terbesar. Menurut laporan PWC PricewaterhouseCoopers, keuntungan iklan interaktif di tahun 2013 di Amerika Serikat mencapai USD 42,8 milIar, mengalahkan iklan televisi broadcast sebesar USD 40,1 milIar.
Iklan online pertama kali muncul pada tahun 1994. Pada tahun 1995, DoubleClick perusahaan pertama yang bergerak dalam bidang teknologi penayangan iklan didirikan kemudian diakuisisi oleh Google dan sampai saat ini meraksasa bersama Google.
Berbeda dengan iklan tradisional, iklan online bisa disesuaikan dengan sasaran iklannya sehingga efektivitas iklan bisa jauh lebih terukur dibandingkan iklan konvensional. Hal ini rupanya tidak luput dari pengamatan para pembuat malware yang berusaha mengeksploitasi untuk keuntungan mereka. Dan kabar buruknya, yang diserang adalah fasilitas iklan internet Google, Adsense.
SCROLL TO CONTINUE WITH CONTENT
Malvertising adalah singkatan dari Malware Advertising. Bagaimana serangan ini terjadi? Area iklan pada situs yang bekerjasama dengan Google direservasi oleh Google AdSense dan banner iklan yang akan dimuat ditentukan oleh server AdSense. Caranya adalah dengan menggunakan Java Script pada lokasi iklan. Java Script akan mengunduh konten iklan dari perusahaan koordinator pemasang iklan untuk ditampilkan.
Dalam kasus ini adalah engagelab.com. Ini merupakan praktek yang sudah berjalan cukup lama dan sejauh ini tidak ada masalah berarti. Namun dalam kasus malvertising ini, perusahaan koordinator pemasang iklan berhasil disusupi dan kode iklan yang digunakan mengandung Iframe yang mengarahkan akses ke server lain, yang mengandung konten berbahaya.
Iframe berbahaya ini bisa muncul pada iklan yang ditampilkan pada situs manapun yang bekerjasama menyediakan iklan banner Google dan dalam kasus ini si pemilik situs tidak bisa mengontrol tampilan iklan ini karena diatur oleh server AdSense. Adapun Iframe jahat yang akan ditampilkan ini bertujuan untuk menjalankan exploit kit, program khusus yang dibuat dan bertujuan untuk mengeksploitasi celah keamanan yang terkandung pada piranti lunak di komputer tersebut guna menguasai komputer tersebut.
Cara Kerja Exploit Kit
Piranti lunak seperti peramban, aplikasi dan sistem operasi adalah buatan manusia yang membawa sifat manusia, yaitu tidak sempurna. Karena itu selalu ditemukan celah keamanan pada semua piranti lunak. Sebenarnya ada solusi untuk terhindar dari eksploitasi, yaitu patch atau menambal celah keamanan atau menggunakan Patch Management jika Anda mengadministrasi jaringan komputer dalam jumlah besar.
Untuk pengguna biasa tanpa patch management, hal ini membutuhkan kedisiplinan dan konsistensi pemilik komputer untuk selalu meng-update semua piranti lunak yang digunakannya supaya terhindar dari eksploitasi.
Jika piranti lunak yang mengandung celah keamanan tidak ditambal/patch, maka akan rentan terhadap ancaman eksploitasi. Eksploitasi akan mengincar peramban, sistem operasi dan piranti lunak populer seperti Firefox, Chrome, piranti lunak populer Microsoft dan Adobe.
Sebagai catatan, meskipun sistem komputer sudah diproteksi dengan program antivirus dan dengan sistem operasi original dan ter-update, namun ada salah satu piranti lunak lain yang lupa di-update seperti Adobe Flash Player, maka sistem tersebut tetap bisa diserang dan diinfeksi oleh malware.
Antivirus paling update sekalipun dalam banyak kasus tidak berdaya mencegah eksploitasi ini, kecuali antivirus tersebut memiliki kemampuan perlindungan anti exploit. Jika korban mengunjungi situs yang mengandung exploit kit, maka exploit kit ini akan melakukan pengecekan atas konfigurasi komputer tersebut, apakah ada aplikasi yang bisa diserang, baik itu peramban, piranti lunak atau sistem operasi.
Jika konfigurasi tersebut mengadung salah satu atau lebih celah keamanan, eksploitasi yang sesuai akan dikirimkan untuk menyerang sistem tersebut. Setelah itu, tambahan kode malware akan diunduhkan secara diam-diam pada komputer yang diserang (drive by infection). Tidak tertutup kemungkinan malware yang dikirimkan akan melakukan aksi jahat yang sedang marak seperti melakukan pencurian data, enkripsi data komputer korbannya guna meminta tebusan (ransomware) sampai dengan melakukan aksi mencuri uang dari akun internet banking korbannya yang sudah dilindungi dengan perlindungan T-FA (Two Factor Authentication) sekalipun.
Serangan Nuklir bagi Pengguna Internet
Salah satu exploit kit yang paling banyak digunakan adalah 'nuclear' (nuklir) exploit kit. Exploit kit ini bisa dibeli di situs underground secara online sharga USD 1.500. Selain mengeksploitasi celah keamanan Adobe Flash, nuclear juga mengeksploitasi Microsoft Silverlight dan Oracle Java. Sejak pertengahan Maret 2015, nuclear terdeteksi mengeksploitasi celah keamanan Adobe Flash yang dikenal dengan nama CVE20150336.
Analis G Data Security Labs mengamati bahwa tingkat keberhasilan eksploitasi meningkat seiring dengan penggunaan eksploit kit nuclear. Dan tingkat serangan mencapai puncaknya pada bulan April sejak memanfaatkan Google Ads untuk menyebarkan dirinya. (lihat gambar 2)
Gambar 2: Serangan Nuclear Exploit Kit yang dihentikan oleh G Data Exploit Protection.
Jika ingin terhindar dari eksploitasi celah keamanan Adobe Flash CVE20150336, Anda perlu mengecek versi Adobe Flash yang terinstal pada peramban. Adapun versi Adobe Flash Player yang rentan terhadap eksploitasi nuklir adalah:
β’ Windows dan Macintosh: Adobe Flash Player 16.0.0.305 dan sebelumnya.
β’ Adobe Player Extended Support: Adobe Flash Player 13.0.0.269 dan sebelumnya.
β’ Linux : Adobe Flash Player 11.2.202.442 dan sebelumnya.
β’ AIR Desktop runtime 17.0.0.124 dan sebelumnya.
β’ SDK 17.0.0.124, SDK & Compiler 17.0.0.124, AIR Android 17.0.0.124 dan versi sebelumnya.
Guna mengetahui versi Adobe Flash Player yang Anda gunakan, arahkan peramban untuk mengunjungi situs http://www.adobe.com/software/flash/about/ dan Anda akan mendapatkan informasi versi Adobe Flash Player yang digunakan (lihat gambar 3)
Gambar 3: Situs yang telah dipersiapkan Adobe untuk menginformasikan versi Adobe Flash Player yang terinstal.
Jika versi Adobe Flash Player yang digunakan termasuk dalam daftar yang rentan, Anda perlu meng-update Adobe Flash Player dengan mengunjungi situs https://get.adobe.com/flashplayer/ dan ikuti petunjuk yang secara otomatis akan memandu Anda menginstal versi Adobe Flash terbaru.
G Data Anti Exploit
Contoh di atas adalah salah satu eksploitasi yang dilakukan oleh exploit kit dan Adobe Flash hanya salah satu dari sekian banyak piranti lunak yang berpotensi mengandung celah keamanan. Tentunya akan memakan waktu dan tenaga yang banyak jika kita harus melindungi perangkat keras yang kita miliki dari semua eksploitasi celah keamanan.
Kabar buruknya, program antivirus banyak yang tidak berdaya menghadapi eksploitasi celah keamanan dan dalam banyak kasus antivirus yang terupdate sekalipun tidak akan mampu mencegah eksploitasi celah keamanan yang dilakukan oleh exploit kit. Kecuali program antivirus tersebut memiliki perlindungan Active Exploit Protection.(lihat gambar 4)
Gambar 4: Cara kerja Active Exploit Protection mencegah eksploitasi celah keamanan.
Adapun cara kerja Active Exploit Protection adalah sebagai berikut:
1. Exploit kit yang menemukan celah keamanan akan menyuntikkan kode jahat melalui celah keamanan piranti lunak.
2. Kode jahat yang disuntikkan akan mencari sistem antarmuka seperti file sistem.
3. G Data Exploit Protection, tanpa perlu update definisi akan mendeteksi aktivitas mencarian sistem antarmuka tersebut.
4. Kode jahat akan langsung dihentikan dan akses ke dalam sistem yang mengandung celah keamanan akan dicegah.
*) Penulis, Alfons Tanujaya adalah seorang praktisi antivirus dan keamanan internet. Ia bisa dihubungi melalui email info@vaksin.com.
(ash/ash)
