Cara Hacker Menemukan Celah Keamanan dalam Web Browser

Tidak ada kata istirahat bagi Microsoft karena tidak sampai sebulan sejak update terakhirnya muncul, celah-celah baru dalam IE sudah dapat dideteksi oleh hacker. Dalam sebuah event bernama “Bulan browser-bugs”, sebulan penuh hacker H.D. Moore mempublikasikan sebuah celah baru IE pada blognya, http://browserfunblogspot.com. Sebagian celah bahkan dilengkapi dengan panduan sangat rinci untuk hacking. Bagaimana sebenarnya hacker menemukan sekian banyak kelemahan? Kelemahan ActiveX Jika Anda melihat ke dalam daftar celah keamanan,
Anda akan mengetahui bahwa hampir semua serangan terpusat pada plugin, bukan pada browsernya sendiri. Sudah seharusnya, Microsoft berbuat lebih banyak pada keamanan browsernya. Sejak awal, para pakar keamanan telah mengkritik keberadaan ActiveX. Plugin ActiveX memiliki terlalu banyak hak. Dengan ActiveX, jika seorang hacker menemukan celah pada IE, kemungkinan besar ia akan mendapat akses penuh pada sistem operasi. Celah-celah semacam itu biasanya ditemukan secara kebetulan dengan “pelacak” yang bagus. Sebenarnya, pengguna komputer bisa melihat tanda-tanda sistemnya tersusupi hacker. Biasanya, jarang sekali hacker membongkar plugin hingga ke level terakhir (machine-code). Jadi, kejadian crash dapat memberikan petunjuk berguna kepada pengguna. Kelemahan Windows Masalah lain (terutama pada IE) adalah “Shared Libraries” (DLL). Dengan DLL ini, sebuah aktivitas yang dapat menampilkan gambar GIF contohnya, tidak perlu ditulis ulang untuk setiap program karena fungsi dipindahkan ke sebuah file DLL. Sayangnya, beberapa program juga menggunaka kode DLL ini. Jadi, apabila seorang hacker memanfaatkan kelemahan dalam sebuah DLL, IE juga akan terkena akibatnya saat menggunakan DLL tersebut. Hackerlah yang mengambil keuntungan dengan masalah ini. Sebuah file GIF dapat dimanipulasi dengan trojan untuk berbagai program dan ditempatkan pada webserver. Begitu website dibuka dengan browser, sudah jelas PC akan terinfeksi. Kelemahan pengguna Senjata terkuat hacker adalah pengguna sendiri. Selama pengguna masih tertarik dan penasaran terhadap berbagai program dan plugin yang masih dipertanyakan tingkat keamanannya, hacker akan terus berusaha untuk masuk ke dalam program tersebut. Sebagai contoh saja, sejak IE tidak mengizinkan instalasi plugin secara ortomatis pada XP dengan SP2, hacker lalu membuat plugin jahat dan kemudian menjual plugin tersebut sebagai program.