Metode Peretas Terbaru: Manipulasi USB
7 Agustus 2014Tarik dokumen dari komputer ke stik USB, hubungkan cakram keras atau kamera web untuk melakukan panggilan video melalui internet. Itulah yang umum dilakukan banyak orang sehari-hari - dan mengambil risiko yang lebih besar dari selama ini diperkirakan. Hingga kini stik USB hanya dikaitkan dengan penyebaran virus berbahaya.
Namun periset di perusahaan keamanan data Berlin, Security Research Labs, telah menunjukkan bagaimana peranti lunak pelacak dapat disembunyikan dalam cip kecil pada alat USB. Alat pelacak kemudian dapat dikontrol dari jarak jauh, tanpa ketahuan, dan tidak ada yang dapat dilakukan oleh sang pengguna komputer. Ini jenis serangan peretas terbaru.
Menurut jurnalis teknologi Robin Cumpl, malware atau perangkat perusak tersembunyi dalam firmware atau perangkat tegar alat USB - areal yang bertanggung jawab mengontrol alat. Ini mengandung semua informasi mengenai fungsi alat sehingga sebuah komputer dapat segera mengenali apakah alat itu sebuah stik memori, kamera ramatraya atau papan ketik yang dihubungkan melalui USB. "Perangkat tegar kemudian dimanipulasi sesuai kepentingan eksploitasi peretas," ungkap Cumpl.
Kata sandi tak lagi cukup
Skenario serangan yang mungkin terjadi seperti ini: Seorang pengguna mencolokkan stik USB ke komputer. Perangkat lunak anti-virus memberi OK. Kenyataannya stik telah dimanipulasi dan berperilaku layaknya kartu jaringan.
"Komputer lalu berpikir: Kini saya harus mengirim semua data saya melalui kartu jaringan ini," kata Cumpl. Ini memungkinkan peretas untuk mengopi seluruh lalulintas data. Bahkan lebih parah lagi, kalau sang peretas yang menyiapkan stik USB, mereka dapat mengakses data yang dicolong secara langsung tanpa harus memperoleh kontrol fisik atas stik. Koneksi internet saja cukup.
Pencurian data juga dapat menggunakan perekam ketikan, yang merekam setiap kali tombol ditekan. Semua yang diketik pengguna kemudian disimpan. "Contohnya Anda memasukkan kata sandi yang sangat aman yang tercatat perekam ketikan, dan kemudian dikirim sebagai paket data sekali sehari ke peretas," jelas Cumpl. Stik USB juga dapat mengambil cuplikan layar - misalnya sebuah dokumen dengan data rahasia. Paten rahasia dari sebuah kantor dapat dengan mudah dimata-matai dengan metode peretas ini.
Kamuflase nyaris sempurna
Samarannya hampir sempurna dan sulit terdeteksi. Alat USB dapat berpura-pura menjadi papan ketik, kamera web atau kartu jaringan. Dan tidak akan ada yang sadar, karena pemindai virus tidak dapat mengungkap perangkat tegar yang termanipulasi.
Juga tidak tertutup kemungkinan bahwa perangkat tegar yang dimanipulasi dapat memasukkan perangkat perusak ke dalam komputer. "Bahayanya tidak ada program anti-virus yang dapat memindai areal kecil ini," ucap Cumpl.
Ketua tim ilmuwan SR Labs, Karsten Nohl, berkata kepada kantor berita Reuters, "Tidak bisa terdeteksi dari mana datangnya virus. Hampir seperti trik sulap."
Cumpl bahkan menimpalkan: "Siapa bilang alat cas smartphone belum digunakan untuk mencolong informasi?" Perantara USB memberi banyak kemungkinan untuk manipulasi. Pada akhirnya semua alat akan terkena dampaknya. "Begitu sebuah alat terkompromi dan mengandung kode berbahaya, Anda bermasalah."
Saat ini belum ada metode yang mampu melindungi seseorang dari jenis pencurian data semacam ini. Itulah mengapa para pakar menyerukan kepada industri IT untuk segera meningkatkan standar USB. Menurut Cumpl hanya ada satu cara perlindungan efektif: "Jangan gunakan stik USB sama sekali."