Pekan-pekan terakhir tahun ini diwarnai oleh beberapa berita tentang persoalan keamanan yang cukup serius, yakni di lingkungan Microsoft Windows dan Linux. Diawali pada akhir November yang lalu dengan ditemukan tujuh persoalan keamanan di Microsoft IE. Berita tentang hal tersebut cukup mendapat perhatian karena penemu masalah, yakni seorang peneliti Cina, Liu Die Yu, tidak melaporkan terlebih dahulu kepada Microsoft, melainkan langsung mempublikasikan lewat mailing-list publik. Hal ini mengundang kritik dari juru bicara Microsoft.
Beberapa perangkat lunak yang terkait dengan IE semisal Yahoo! Messenger segera menyediakan perbaikan (patch) untuk pemakai di lingkungan Windows dilengkapi dengan deteksi otomatis terhadap kondisi komputer pemakai. Hasilnya berupa daftar komponen yang perlu dimutakhirkan (update) dan halaman Web dari Yahoo! tersebut akan menyediakannya. Microsoft sendiri menyediakan perbaikan yang diperlukan lewat Windows Update.
Persoalan keamanan yang lebih serius dan menyita perhatian lebih banyak lagi menimpa kernel Linux. Berawal di server Debian GNU/Linux: tim mereka menemukan bahwa beberapa akses di server telah bocor ke pihak yang tidak berwenang. Studi yang dilakukan oleh tim kernel dan keamanan dari RedHat dan SuSE segera mengungkapkan bahwa overflow integer di system call brk dapat digunakan untuk menipu kernel agar memberikan akses penuh ke ruang kerja kernel. Dengan demikian hal ini bukan persoalan Debian GNU/Linux sendiri melainkan kernel Linux secara keseluruhan.
Sejauh ini, pihak Debian telah mengeluarkan informasi berkaitan dengah hasil penyelidikan di atas dan perbaikan pada versi kernel yang dilakukan. Termasuk di dalamnya prosedur pemutakhiran yang diperlukan.
Masih berkaitan dengan persoalan pada kernel Linux ini, server yang digunakan oleh Projek Savanah GNU, juga mengalami gangguan serupa. Diduga dilakukan dengan teknik yang serupa dengan yang telah dilakukan terhadap server Debian, untuk sementara Projek Savanah ditutup. Sebagai langkah berikutnya, Projek Savanah akan dijalankan di atas perangkat keras baru dan mekanisme baru yang lebih aman akan diterapkan. Berikut salinan pernyataan Projek Savanah, satu-satunya informasi yang muncul dari situs Web mereka,
On December 1st, 2003, we discovered that the “Savannah” system, which is maintained by the Free Software Foundation and provides CVS and development services to the GNU project and other Free Software projects, was compromised at circa November 2nd, 2003.
The compromise seems to be of the same nature as the recent attacks on Debian project servers; the attacker seemed to operate identically. However, this incident was distinctly different from the modus operandi we found in the attacks on our FTP server in August 2003. We have also confirmed that an unauthorized party gained root access and installed a root-kit (“SucKIT”) on November 2nd, 2003.
In the interest of continuing cooperation and in helping to improve security for all essential Free Software infrastructure, and despite important philosophical differences, we are working closely with Debian project members to find the perpetrators and to secure essential Free Software infrastructure for the future. We hope to have future joint announcements that discuss a unified strategy for addressing these problems.
For the moment, we are installing replacement hardware for the Savannah system, and we will begin restoring the Savannah software this week. Initially, there will be some security related changes which may be inconvenient for our developers. We will try to ease these as we find secure ways to do so. We are in particular researching ways to ensure secured authentication of the source code trees stored on the system.
We will send more detailed announcements about efforts to verify the authenticity of the source code hosted on Savannah, and how the community can help in that effort once we’ve brought the system back online.
We hope to have at least minimal services back up by Friday 5 December 2003.
Akhirnya pekan ini ditutup oleh bug yang dijumpai pada server rsync, dengan korban yang sudah diekspos resmi adalah projek Gentoo. Kebetulan, Gentoo adalah salah satu distribusi Linux yang menggunakan Debian sebagai basisnya. Rsync sendiri merupakan protokol dan utilitas yang digunakan untuk transfer berkas (file transfer) dengan teknik yang efisien oleh karena itu banyak digunakan untuk keperluan pemutakhiran (update) perangkat lunak. Gentoo sendiri cukup yakin bahwa server yang dipakai sebagai acuan distribusi mereka tidak tersentuh oleh kebocoran ini dan menyarankan pemakai Gentoo untuk melakukan sinkronisasi dengan server mereka, sehingga berkas yang diperoleh up-to-date.
Bagi pemakai Linux di Indonesia, yang banyak dipakai untuk keperluan server Web dan menyediakan akoun shell, dengan adanya persoalan ini prioritas yang penting adalah melakukan pemeriksaan versi kernel dan sinkronisasi keamanan dengan server distribusi masing-masing. Sekalipun tidak semua pemakai tertarik untuk memiliki privilese root, kemungkinan yang sering terjadi adalah lewat mailing-list beredar program kecil untuk melakukan trik memanfaatkan kelemahan keamanan ini. Hal ini menjadi faktor yang potensial mengundang pemakai biasa untuk mencoba-coba.
