October 27, 2020

Tentang Para ‘CAPTCHA Solver’ dan Tersingkapnya Desain Kendali

Penulis: Sander Vinberg - Threat Research Evangelist F5 Labs
Tentang Para ‘CAPTCHA Solver’ dan Tersingkapnya Desain Kendali 

Keamanan informasi sering kali berwujud seperti perlombaan senjata. Penyerang mengembangkan cara-cara baru untuk memanfaatkan atau menyalahgunakan keamanan web demi keuntungan mereka sendiri. Sedangkan mereka yang bertahan akan berusaha untuk beradaptasi dan menghalangi cara-cara baru tersebut. Tidak banyak teknologi yang merepresentasikan perlombaan senjata ini dengan baik, selain elemen web yang disebut CAPTCHA. Komponen ini dirancang untuk mengidentifikasi dan menghalangi bot yang digunakan penyerang untuk mengotomasi dan meningkatkan serangan, seperti penyalahgunaan informasi kredensial, web scraping (pengambilan data tertentu dengan cara semi-terstruktur dari halaman web), atau dalam kasus bot sneaker, dengan cepat membeli barang yang tersedia dengan jumlah terbatas seperti sepatu sneaker fashionable. CAPTCHA mencegah bot dengan menampilkan puzzle di browser, yang hanya bisa dipecahkan oleh manusia. Pada awalnya, kebanyakan puzzle ini berbentuk gambar, dan seringkali mengharuskan pengguna untuk membaca kata-kata dalam bentuk yang didistorsi dan mengetik kata tersebut. Seiring waktu, CAPCHA menyertakan berbagai macam puzzle, termasuk mengidentifikasi objek tertentu dalam gambar yang lebih rumit, mentranskripkan file audio, dan memecahkan puzzle logis seperti contohnya memutar gambar dengan bagian kanan menghadap ke atas.

Fenomena Solver/Pemecah Manusia

Namun, selama lebih dari satu dekade, para penyerang rupanya sudah mampu menipu CATCHA dalam jumlah besar dan dengan cepat. Menariknya bukan dengan memanfaatkan kecanggihan computer vision atau kecerdasan buatan, namun dengan mengidentifikasi puzzle dan menyerahkan pekerjaan selanjutnya kepada pekerja manusia (dikenal sebagai solver/pemecah) di negara berkembang. Solver kemudian memasukkan respons yang benar sehingga bot dapat meneruskan pekerjaan mereka. Para penyerang (pelanggan dari layanan ini) membayar sekitar US$1-US$3 per 1.000 solusi yang benar, tergantung dengan layanan dan jenis puzzle. Tapi jaringan solver ini hanya membayar pekerja mereka sekitar US$0,40 untuk setiap solusi yang benar. Tergantung kecepatan solver, mereka dibayar mulai dari US$2 hingga US$ 5 per hari.

Di Indonesia, pekerjaan yang dikenal sebagai CAPTCHA Solver ini sudah lama ada dengan bayaran lumayan, yakni mulai dari sekitar US$10 per hari!

Tapi untuk Anda ketahui, pada 2020, risiko yang timbul dari CAPTCHA solver ini sudah bisa dikendalikan (kalau tak mau dikatakan hilang) untuk beberapa alasan. Salah satu alasannya adalah, ini praktik lama yang sudah dikenal oleh para pekerja di bidang keamanan dan beberapa vendor keamanan sudah menciptakan cara untuk mengenali jaringan CAPTCHA solver ini. Beberapa vendor keamanan sudah mengembangkan solusi untuk memitigasi bot atau solusi anti penipuan untuk menggantikan CAPTCHA. Sementara itu, kemajuan CAPTCHA solver yang berbasis kecerdasan buatan/artificial intelligence mengancam eksistensi jaringan solver manusia.

Lalu untuk apa menyelami jaringan solver manusia ini sekarang? Walaupun risiko yang dihasilkannya kecil, praktik ini harus dipelajari mendalam karena sifatnya yang mudah dilakukan. Daripada mencoba untuk bertarung dengan tim pertahanan dalam mengembangkan kecerdasan buatan canggih, lebih murah menggunakan CAPTCHA solver yang dibayar murah dan mereka ada di seluruh bagian dunia sebagai pekerja paling depan membantu botnet. Penyelesaian masalah seperti ini menunjukkan aspek fundamental dari pertarungan antara penyerang dan pertahanan di bidang keamanan informasi. Sebagaimana CAPTCHA yang merepresentasikan perlombaan senjata, metode yang menipu kontrol keamanan ini menunjukkan bahwa praktisi keamanan sering salah mengenali natur dari keunggulan penyerang Menyingkapkan kesalahan ini bisa menghasilkan petunjuk dalam panduan umum, yang dapat digunakan untuk mendesain model kendali kita terhadap pertarungan ini dan bertahan di dalam ujian waktu di masa depan.

Menilai Kembali Perlombaan Senjata Keamanan Informasi

Hal yang membuat CAPTCHA solver begitu berguna dalam perlombaan senjata keamanan ini tak terletak pada detail teknisnya. Namun, ini adalah hal yang paling fundamental tentang mereka. Alih-alih memanfaatkan kesalahan coding atau kesalahan konfigurasi yang bisa mengakibatkan kerentanan, CAPTCHA solver memanfaatkan asumsi mengenai value waktu tenaga kerja. CAPTCHA didesain berdasarkan asumsi pemilik sistem bahwa tidak mungkin tenaga manusia digunakan untuk meningkatkan serangan yang dilancarkan pelanggan CAPTCHA solver. Di satu sisi asumsi ini benar. Biaya yang dikeluarkan untuk mendanai penyerang yang sangat ahli lalu digandakan ratusan bahkan ribuan kali dalam waktu singkat, pastilah sangat besar. Namun biaya yang dikeluarkan untuk membayar pekerja tanpa keahlian khusus untuk memecahkan CAPTCHA ternyata tidak terlalu mahal, mengingat infrastruktur yang diperlukan untuk memasok tenaga kerja yang terfragmentasi dan terdistribusi ini dalam rangka memenuhi berbagai pesanan mereka.

Hasilnya adalah, pada abad ke-21 ini, penyerang membayar pekerja dengan upah di bawah standar untuk jadi garda terdepan bot, yang nanti akan bertindak layaknya manusia untuk mengeksploitasi sistem informasi untuk tujuan yang tidak sesuai. Ini menjelaskan inti masalahnya: bagi para penyerang, hal yang terpenting bukanlah bot-nya, namun skalabilitasnya. Bot adalah alat untuk mencapai tujuan; saat tim bertahan menghalangi bot dengan menggunakan CAPTCHA, penyerang mendapati bahwa manusia bisa melakukan pekerjaan ini untuk mereka. Di permukaan ini seakan-akan terlihat seperti pertarungan kecerdasan buatan dan computer vision, namun penyerang menemukan cara untuk mengubahnya menjadi urusan upah tenaga kerja.

Apa Artinya Ini Secara Praktis

Praktisi keamanan sering kali disibukkan dengan taktik, teknik dan prosedur (TTP) sebab ini adalah cara mereka yang bekerja di pusat operasi keamanan atau analisa forensik mendiagnosa atau memitigasi serangan. Namun hadirnya CAPTCHA solver menunjukkan bahwa dalam mendesain kontrol proaktif atau program keamanan (alih-alih memitigasi serangan yang sedang dilancarkan), fokus pada TTP saja tidak cukup. Ini karena TTP bagi penyerang sering kali merepresentasikan cara sekali pakai. Pada tingkat tertentu, kita dapat meringkas seluruh sejarah ‘perlombaan senjata’ keamanan ini menjadi: komunitas penyerang telah menolak untuk berperang dengan ketentuan yang telah ditetapkan oleh komunitas keamanan dan berbalik arah mencari cara yang lain, imbal baliknya memaksa praktisi keamanan untuk beradaptasi.

Sebaliknya, berbagai kontrol yang dapat membatalkan seluruh strategi seperti skalabilitas, persistensi atau penyembunyian akan menawarkan kegunaan yang lebih besar pada waktu, ruang dan sistem yang berbeda. Dengan kata lain, TTP sangat penting pada banyak aplikasi keamanan informasi, namun ini bukanlah hal yang terakhir dan satu-satunya.

Praktisnya, kontrol yang beroperasi di level strategis ini akan menimbulkan pertanyaan mengenai arsitektur aplikasi atau bahkan model bisnis. Pemikiran untuk memasukkan keamanan informasi lebih dalam ke urusan bisnis bukan hal baru atau kontroversi, namun implikasinya di sini adalah hal ini merepresentasikan peluang untuk mengurangi biaya keamanan dengan upaya yang dilakukan lebih produktif. Saya tidak mengatakan bahwa waktu dan keahlian yang dikhususkan untuk memitigasi bot sebagai sesuatu yang sia-sia, tapi menurut saya fokus pada alasan di balik tindakan penyerang bisa sama produktifnya dengan fokus pada cara mereka melakukan serangan.

Tags: ,


COMMENTS