Ketika Swiss Menyuruh Bug Hunter Menyerang Sistem E-Voting Pemilu

Ilustrasi | Foto: freepik.com

Cyberthreat.id – Lebih baik mencegah daripada mengobati. Peribahasa ini kelihatannya usang sekarang, tapi sebetulnya sangat tepat untuk diterapkan, terutama di dunia teknologi informasi.

Di era serbadigital, investasi di bagian pencegahan atau pertahanan adalah utama. Memang kita tidak berharap ada insiden siber, tapi tak ada sistem elektronik yang 100 persen selalu aman. Celah keamanan atau kerentanan pasti selalu muncul setiap saat.

Sistem pertahanan pun harus mengikuti logika penyerang. Sebab, sekalinya insiden siber terjadi, padahal bisa dicegah sebelumnya, kerugian yang didapat bisa jadi lebih besar.

Dan, itulah yang dilakukan oleh pemerintah Swiss.

Mereka mengundang para pemburu kerentanan alias bug hunter untuk menyerang sistem elektronik sebelum dipakai di masyarakat.

Para hacker-hacker putih itu disuruh untuk menemukan kerentanan pada sistem e-voting yang dipakai untuk pemilihan umum.

Swiss memang telah hampir dua dekade mengenalkan sistem e-voting. Namun, layanan pos nasional negara itu, Swiss Post, yang bertanggung jawa atas e-voting baru mengerjakan sistem baru.

“Sebelum sistem baru dapat diterapkan secara luas, Swiss Post ingin memastikan bahwa sistem tersebut diuji dan aman,” tulis Security Week, diakses Senin (31 Januari 2022).

Tak tanggung-tanggung, mereka menyediakan puluhan ribu euro sebagai hadiah untuk para hacker yang berhasil menemukan kerentanan. Program ini biasa dikenal dengan sebutan bug bounty.

Swiss Post pertama kali merilis program bug bounty untuk sistem e-voting pada 2019. Namun, itu hanya berjalan selama sebulan dan temuan yang dihasilkan sekitar belasan kerentanan dengan tingkat keparahan rendah.

Di sisi lain, tim peneliti di waktu yang bersamaan, tapi di luar program itu, sedang menganalisis kode sumber sistem dan mereka menemukan kerentanan serius terkait protokol kriptografi, termasuk kelemahan yang bisa menyebab manipulasu suara yang tidak terdeteksi.

Apa yang terjadi saat itu? Temuan kritis itu diremehkan oleh perusahaan yang mengembangkan sistem pemungutan suara.

Tampaknya hal itu tak mau terulang. Tahun lalu Swiss Post membuka program bug bounty melalui platform YesWeHack. Dan saat ini masih berlangsung. Hadiahnya mencapai kurang lebh US$260.000 (sekitar Rp 3,69 miliar).

Per 20 Januari lalu, Swiss Post telah menerima 122 laporan kerentanan, termasuk empat masalah dengan skor keparahan tinggi. Untuk semua kerentanan yang dinilai valid, perusahan pos telah mengeluarkan uang sebesar US$88.000 (Rp1,27 miliar).

Dari jumlah uang yang dikeluarkan tersebut, Ruben Santamarta, peneliti keamanan siber yang ikut program itu, telah mendapatkan hadiah US$30.000 (sekitar Rp400 juta). Dia memang terkenal dengan penemuan sejumlah kerentanan di berbagai sektor seperti sistem industri, IoT, satelit, avionik, dan kemaritiman.

Dalam “serangan” ke sistem e-voting Swiss tersebut, Ruben berhasil mengidentifikasi 13 kerentanan. Hingga penulisan ini berlangsung, Ruben juga masih menyelesaikan temuan dan berharap mendapatkan tambahan hadiah lagi.

Sebanyak 19 bug hunter terdaftar di hall of fame program bug bounty yang diadakan Swiss Post di YesWeHack. Ruben menjadi peringkat pertama dengan jumlah temuannya.

Dalam sebuah unggahan blog yang diterbitkan awal bulan ini, Ruben mengungkapkan rincian tujuh kerentanan, termasuk masalah tingkat tinggi yang membuatnya mendapatkan US$16.700 (Rp240 juta). Cacat tingkat keparahan yang tinggi terkait dengan penggunaan USB drive.

Dia menjelaskan, “Jika aktor jahat — kemungkinan negara-bangsa dengan mempertimbangkan skenario ancaman — dapat secara diam-diam memasok kunci USB berbahaya ke administrator (atau bahkan hanya administrator jahat, yang diasumsikan dalam ancaman Swiss Post), dimungkinkan untuk menjalankan kode arbitrer di SDM, komputer yang merupakan aset utama dalam sistem e-voting, sehingga mengarah pada potensi peretasan dari seluruh proses pemilihan,”ujarnya.

Ruben mengatakan juga menemukan beberapa kerentanan terkait dengan kelemahan kriptografi yang yang mendasari sistem e-voting Swiss Post.[]