KISAH PEMBURU KERENTANAN (4)

AI Ancaman Bug Bounty? Hacker: Manusia Pintar Tidak Akan Pernah Gulung Tikar

Ilustrasi | Foto: freepik.com

Cyberthreat.id – Jenis kerentanan yang diburu oleh para peretas bug bounty dari tahun ke tahun telah berubah. Saat program ini pertama kali diluncurkan, cloud dan ponsel pintar tidak ada. Kini, area itu adalah tempat beberapa hadiah terbesar ditemukan.

Namun, sepertinya model itu tidak cocok untuk model bisnis bug bounty karena sebagai peretas berkonsentrasi pada keamanan web daripada area yang lebih rumit yang membutuhkan keterampilan dan pengalaman tambahan.

Hal itu terlihat dalam penelitian terbaru Bugcrowd, misalnya, 70 persen peretas mencantumkan keterampilan pengujian aplikasi web, tetapi hanya tiga persen yang mencantumkan keterampilan aplikasi Android, tulis ZDNet, 16 November 2020.

Meskipun keamanan komputer terlihat meningkat, itu tidak menunjukkan tanda-tanda bahwa bug bounty ini akan berhenti.

"Saya tidak berpikir ini akan menjadi lebih sulit ... Saya pikir ini akan menjadi berbeda," kata Kattie Paxton-Fear, perempuan yang bergelar PhD dari Cranfield University (@CranfieldDefsec) juga seorang pemburu bug bounty.


Berita Terkait:


Beberapa tahun yang lalu perburuan bug oleh para hacker putih ini tentang kesalahan dalam pemrograman, seperti cross-site scripting (XSS attack) dan injeksi JavaScript, sekarang tidak lagi seperti itu, karena pengembang tahu tentang masalah ini.

Berkat Internet of Things(IoT), jumlah perangkat dengan daya komputasi yang terhubung terus bertambah; ini menjadi tantangan baru bagi peneliti untuk menemukan kerentanan.

Daniel Veditz, insinyur keamanan staf senior di Mozilla, mengatakan, peretas menemukan bug karena mereka menemukan kode dengan pendekatan orang luar, dan itu tidak akan berubah. Itulah mengapa bug bounty penting dan tidak akan punah meski akan ada robot yang didesain untuk menulis kode yang sempurna.

"Selama ada bug dalam perangkat lunak, ada bug keamanan, dan seseorang harus menemukannya. Bug bounty adalah cara yang baik untuk mendorong tampilan luar. Bug bounty sebagai sebuah konsep akan tetap ada di masa mendatang sampai kita mendapatkannya robot sempurna yang menulis kode kami yang tidak membuat kesalahan. “ kata Veditz.

Robot yang sempurna pun tidak akan menggerus pemburu bug bounty, karena sistem komputer tidak ada yang 100 aman, kecuali komputer itu dimatikan, kata Tommy DeVoss, mantan peretas black hat yang kini beralih sebagai pemburu bug bounty

Kerentanan selalu ada, meski kode yang ada kesalahan itu telah diperbaiki dengan kode yang tampaknya aman, tapi itu tidak akan menjamin aman seterusnya. Bisa saja, aman di hari ini, tapi tidak untuk esok hari, seminggu, sebulan lagi, atau setahun kemudian. Hal ini karena, perubahan akan kode untuk membuat aman itu memungkinkan timbul masalah baru di kemudian harinya.

"Selama kita masih memiliki manusia yang menulis kode, akan ada kesalahan. Dan bahkan ketika kita sampai di tempat AI mulai menulis kode dan menemukan bug, mereka akan tetap ada. Hanya karena sesuatu tampak aman hari ini tidak berarti bahwa dalam sebulan, enam bulan, satu tahun, atau lima tahun dari sekarang, ditemukan sesuatu yang benar-benar merusak semuanya ," kata DeVoss yang telah menerima miliaran rupiah dari hasil bug bounty.

Santiago Lopez, salah satu kelompok elite peneliti berbayar jutaan dolar dari HackerOne, juga memiliki pandangan yang serupa bahwa bahwa teknologi AI tidak akan membuat manusia pintar menjadi gulung tikar.

"Akan selalu ada kebutuhan untuk peretas. Bahkan, dengan AI dan keamanan yang dibangun sejak awal, akan selalu ada orang yang ingin merusak dan siapa yang akan belajar memanipulasi AI untuk melakukannya. Peretas manusia adalah pertahanan terbaik terhadap serangan paling canggih,” kata Lopez.[]

Redaktur: Andi Nugroho