Kamis, 06 April 2017

Linux Foundation tidak percaya ada celah keamanan di Tizen


Beberapa hari yang lalu seorang peneliti asal Israel mengatakan kepada media bahwa dia telah menemukan 40 kerentanan keamanan yang akan memungkinkan seseorang untuk meretas perangkat Tizen dari jarak jauh tanpa perlu akses langsung secara fisik, atau yang lebih dikenal dengan kerentanan Zero-Day atau Zero-Day vulnerability. Menanggapi hal ini, Linux Foundation selaku pemilik dari proyek open source Tizen mengaku belum menemukan celah keamanan seperti yang dimaksud oleh peneliti yang bernama Amihai Neiderman ini.

"Dalam hal ini, peneliti tidak menghubungi siapa pun di komunitas open source Tizen atau siapa saja yang bekerja pada platform Tizen, jadi kita masih berusaha untuk mendapatkan rinciannya. Tidak ada laporan yang telah dibagikan. Kami tidak yakin apakah ini merupakan masalah dengan open source code Tizen atau apakah itu software lain yang ditambahkan oleh Samsung untuk produk Tizen. Jika yang terakhir ini terjadi, itu tidak akan ada hubungannya dengan proyek open source. Samsung yang harus mengomentari itu," kata Nicko van Someren, Chief Technology Officer (CTO) di Linux Foundation kepada Infoworld hari ini.

Amihai Neiderman yang juga bekerja pada sebuah perusahaan penyedia solusi keamanan mobile ini sebelumnya mengatakan bahwa ia telah melakukan kontak dengan Samsung dalam beberapa hari terakhir terkait masalah kerentanan yang ia temukan ini. Dan berdasarkan jawaban dari Samsung seperti pengakuan dari Neiderman, dia disarankan mengikuti program Smart TV Bug Bounty, yaitu sebuah inisiatif untuk mengidentifikasi bug keamanan dalam model Samsung Smart TV dengan hadiah minimal 1000 USD (sekitar 13 juta rupiah) bila itu terbukti.

Sama seperti Samsung, Linux Foundation juga telah menyediakan saluran khusus buat pelaporan bug dan kerentanan keamanan lainnya. Namun sepertinya peneliti Israel ini lebih memilih berbicara kepada media lebih dulu, serta di forum Kaspersky Security Analyst Summit 2017 pada hari Senin kemarin untuk memaparkan penemuannya dihadapan banyak orang.

"Seperti semua proyek Linux Foundation lainnya, tempat yang tepat bagi para peneliti untuk melaporkan kerentanan adalah secara langsung dengan proyek yang bersangkutan. Setiap proyek beroperasi secara independen dan Linux Foundation menyediakan dukungan dan bantuan ketika ditanya. Seperti kebanyakan proyek open source, Tizen juga mengoperasikan baik sistem pelacak bug dan mailing list untuk membahas isu-isu tersebut," jelas CTO Nicko van Someren.

Menurut Nicko van Someren, organisasi nirlaba yang dipimpinnya telah membentuk Core Infrastructure Initiative (CII) tiga tahun lalu untuk memastikan bahwa open source code yang mendukung bisnis saat ini tetap aman dan tangguh. CII telah bekerja sama dengan beberapa proyek Linux Foundation untuk mendorong perbaikan dalam proses keamanan serta kualitas kode secara keseluruhan.

"Dengan bug keamanan tertentu yang ditemukan mereka biasanya akan cepat diperbaiki dan kami akan melacak semua bug yang ditemukan dalam kasus ini. Saya berpikir bahwa isu yang lebih penting di sini adalah untuk bekerja sama dengan tim Tizen untuk memastikan bahwa mereka memiliki proses keamanan yang lebih menyeluruh untuk bisa memastikan bug lebih mudah untuk dilaporkan dengan cara ini mereka dapat menindaklanjuti secara tepat waktu, dan bahwa kode lebih mudah untuk dijaga agar tetap bebas bug," kata CTO Nicko van Someren.

Casey Schaufler saat menjadi pembicara utama di Linux Security Summit 2016

Sementara menurut Casey Schaufler, peneliti keamanan di Intel yang juga bekerja di tim Tizen Technical Steering Group (TSG) mengaku hanya mengetahui adanya bug keamanan di Tizen hanya lewat media yang dia baca.

"Saya telah membaca artikelnya. Penulis tampaknya mendasarkan klaimnya atas penemuan 40 contoh strcpy() dalam kode. Ini hampir tidak memenuhi syarat sebagai analisis canggih," kata Casey Schaufler yang sebelumnya juga pernah bekerja sebagai peneliti keamanan di Nokia lewat Tizen Mailing list kemarin.


Tidak ada komentar:

Posting Komentar