Sergey Ulasen. Mungkin sangat sedikit pakar industri
di dunia IT tahu atau pernah mendengar namanya, bahkan menyadari bahwa
dia lah orang yang pertama kali menemukan Stuxnet Worm yang mulai ditemukan dan seketika menjadi malware yang cukup terkenal sejak tahun 2010.
Sergey lulus pada tahun 2006 dari Belarus State
Technical University dengan gelar B.Sc. dalam program pengembangan
perangkat lunak. Ia memulai karir profesionalnya dengan menjadi vendor
anti-virus lokal bernama VirusBlokAda, sebagai seorang
programmer. Kemudian Sergey mendapat tawaran dan bergabung dengan tim
yang merekayasa mesin anti-virus perusahaan, hingga pada tahun 2008 ia
menjadi pemimpin dalam tim tersebut. Pada saat yang bersamaan, dia juga
terlibat dalam usaha-usaha mengembangkan anti-rootkit
dan sistem penyelamatan teknologi, hingga dengan kemampuannya ia bahkan
sering membantu tim untuk memecahkan insiden malware yang paling
canggih sekalipun.
Bagaimana pertama kali anda menemukan sampel Stuxnet ?
Itu semua cukup sederhana sebenarnya, jauh dari
bagaimana hal-hal tersebut mungkin akan digambarkan di film-film, dan
saya dapat memberitahu Anda!
Pada saat itu saya bekerja untuk sebuah perusahaan
keamanan yang relatif kecil, dan memiliki cukup banyak tanggung jawab
yang berbeda. Saya terlibat dalam pengembangan perangkat lunak, analisis
ancaman, konsultasi teknis, hingga berurusan dengan insiden yang
melibatkan malware yang paling canggih seperti yang dilaporkan oleh
pelanggan kami.
Semuanya berawal ketika dukungan orang-orang teknis
memberitahu saya tentang kasus yang agak tidak biasa, dimana seorang
pelanggan di Iran melaporkan BSODs secara sewenang-wenang dan me-reboot
komputer. Mereka meneruskan hal tersebut kepada saya dan memohon
bantuan, beserta dengan info tentang laporan pemindaian awal yang mereka
lakukan.
Apa kesan pertama Anda tentang kasus ini ?
Kesan pertama saya adalah bahwa anomali ditemukan
biasanya karena beberapa kesalahan konfigurasi Windows atau merupakan
hasil dari konflik (clash of software) antara aplikasi yang
terinstal. Hal ini sudah banyak dikenali, dimana sistem sering
mendapatkan semua permasalahan tersebut karena konflik perangkat lunak
yang saling berbenturan.
Jadi, berdasarkan hal tersebut, saya merekomendasikan ke Support-Tech
mereka untuk memiliki banyak info tentang aplikasi apa saja yang telah
diinstal. Saya belajar bahwa anomali yang sama telah ditemukan pada
banyak komputer lain di jaringan pelanggan. Bahkan pada komputer yang
baru saja diinstal Windows baru setelah seluruh anti-junk-application
di-cek. Inilah saat saya pertama kali menyadari bahwa hal ini adalah
sesuatu yang lebih dari sekedar kerusakan sistem pada umumnya, dimana
saya meyakini bahwa tidak ada keraguan bagi infeksi malware yang juga
ikut terlibat. Hal itu pasti telah dirancang oleh para ahli dan
dibangun, karena selain menyebabkan BSODs reguler, kemungkinan besar rootkit juga terlibat karena ternyata kita tidak bisa mendeteksi nya dengan alat deteksi biasa.
Untungnya , mitra kami di Iran yang pertama kali
melaporkan masalah ini bukan hanya ahli keamanan yang berpengalaman ,
tetapi juga seorang teman baik pada daftar kontak IM saya. Saya hanya
ingin tahu bagaimana hal-hal akan berubah jika kita tidak memiliki
koneksi semacam ini. Sobatku pertama kali mencoba untuk memecahkan
masalah ini sendiri, dan kemudian dengan bantuan dukungan teknis.
Hasilnya sia-sia. Sebagai pribadi yang gigih, seperti biasa, ia kemudian
mem-ping saya untuk meminta bantuan demi menyelesaikan masalah ini.
Driver Stuxnet telah ditandatangani dengan sertifikat digital asli dari perusahaan-perusahaan yang diakui. Semacam multipasses di The Fifth Element!
Sertifikat digital adalah hal-hal yang (setidaknya digunakan untuk)
menjamin bahwa seseorang dapat mempercayai sebuah file. Mengapa Anda
memutuskan untuk tetap menggali ke dalamnya?
Setelah kami menemukan penyebab masalah ini, maka
kita mulai analisis yang lebih mendalam dengan rekan-rekan saya di
lab-virus. Hal ini tentunya melibatkan banyak diskusi-diskusi yang
memanas dan berbagai argumen karena tidak ada pendekatan buku teks
maupun teori untuk sesuatu seperti ini dan kami sedang sama-sama belajar
mengenainya. Kami terus konsentrasi dengan hal tersebut. Melakukan
brainstorming, menyusun skema , dan mengembangkan benang ide yang
berbeda. Dan dengan setiap langkah yang kita tapaki dan susun secara
bertahap, maka hal tersebut terasa semakin membuat mual para teknisi,
seperti keinginan-keinginan yang kita mulai untuk memahami apa yang
sebenarnya kita hadapi.
Maka, kami akhirnya mengurai malware menggunakan kerentanan zero-day
yang memungkinkan Stuxnet untuk menembus bahkan sampai ke komputer
Windows tersebut. Dan pada titik ini kita semua sepakat bahwa sertifikat
digital telah dicuri. Selain itu, kompleksitas kode Stuxnet dan
teknologi rootkit yang sangat canggih membawa kita untuk
menyimpulkan bahwa malware ini adalah binatang yang menakutkan dengan
tidak ada yang lain seperti itu di dunia, dan bahwa kita perlu untuk
menginformasikan kepada industri infosec dan sejumlah masyarakat, perihal rincian tersebut sesegera mungkin.
Maka, apa respon dari industri dan masyarakat mengenai hal tersebut ?
Pada awalnya kami memutuskan untuk tidak go public
karena hal itu akan lebih baik untuk hanya diinformasikan kepada
pihak-pihak lain yang dirasa penting untuk terlibat. Kami mencoba untuk
menjangkau Microsoft dan Realtek, tetapi tidak mendapat
tanggapan yang tepat! Pada akhirnya, saya sekarang mengerti bahwa kita
tidak harus melakukan hal-hal seperti itu, karena setelah semuanya
dilakukan, apa sih kemungkinan dari peringatan sebuah perusahaan AV
kecil di Belarusia untuk mendapatkan perhatian kepada pengambil
keputusan di sana ?
Jadi saya memutuskan untuk go public dan
melaporkan masalah ini kepada masyarakat. Saya menerbitkan beberapa
rincian tentang Stuxnet pada website kami dan juga pada forum industri
populer di wilderssecurity.com. Sesaat kemudian, setelah
melakukan beberapa analisis lebih lanjut, saya meyakinkan diri saya
sendiri tentang keseriusan insiden tersebut dan bersama-sama dengan
sejumlah rekan saya, termasuk Oleg Kupreev, kami menerbitkan beberapa
deskripsi lebih mendalam dari malware tersebut bersama dengan pengumuman
tentang kerentanan zero-day dan sertifikat yang telah dicuri.
Orang pertama yang mengirim catatan tentang insiden
itu dikenal sebagai Brian Krebs. Lalu datanglah Frank Boldewin, orang
yang pertama untuk membuat sambungan yang akan mengikat Stuxnet ke
sistem kontrol industri Siemens WinCC-SCADA. Kemudian kami mulai
mendapatkan teori-teori yang menghubungkan malware ke instalasi program
nuklir Iran, dan pada saat itulah dimulainya sebuah perang cyber baru.
Sementara itu, berkat beberapa bantuan lain oleh Andreas Marx dari AV-test.org, saya mendapatkan orang-orang dari Microsoft Security Response Center, yang segera mulai bekerja pada kasus ini.
Sekali lagi, setelah melihat ke belakang, sekarang saya mengerti
dengan jelas bahwa kita membuat beberapa kesalahan dalam hal ini – yaitu
kesalahan yang mengakibatkan penundaan dalam mendapatkan akses ke root(kit!) dari masalah ini. Sayangnya pada saat itu, VirusBlokAda
sebagai tempat saya bernaung, tidak memiliki pengetahuan atau
pengalaman tentang bagaimana menangani kasus tersebut. Karena memang,
untuk menangani kasus serupa secara efektif, setidaknya anda harus
benar-benar tahu beberapa ‘orang kunci’ di dalam industri, dan harus
memiliki e-mail pribadi mereka di tangan anda sendiri. Sementara Kami
tidak.
Masalah lain adalah bahwa perusahaan tidak memiliki
sumber daya untuk melakukan analisis yang benar-benar dan secara
menyeluruh dari sejumlah ancaman tersebut. VirusBlokAda
memposisikan diri sebagai pemain-kecil lokal dan berinvestasi terutama
dalam layanan pelanggan. Jika analisis ancaman harus mengambil terlalu
banyak sumber daya untuk menanganinya, kadang-kadang kita harus
mengorbankan hal itu demi tugas melayani pelanggan sebagai jobdesc utama.
Akhirnya, kejadian ini menegaskan kepada saya bahwa sebuah perusahaan
keamanan membutuhkan keahlian analisis yang kuat terhadap sebuah
ancaman. Tim yang berdedikasi perlu berkonsentrasi pada analisis ini
untuk memastikan agar perusahaan tetap selangkah lebih maju dari para
penjahat cyber dan setidaknya tetap bertahan saat perang cyber terjadi,
serta harus siap untuk mengatasi secara cepat, tepat dan dengan hasil
yang baik ketika ancaman dan serangan itu muncul.
Bagaimana para pejabat Iran menanggapi hal ini sebagai berita yang tidak menyenangkan ?
Tidak ada tanggapan resmi sama sekali. Mungkin hal itu dikarenakan
kebijakan negara mereka untuk tidak membuat komentar publik pada hal-hal
seperti itu. Menjaga kartu agar dekat dengan dada seseorang tampaknya
menjadi cara Iran, meskipun, teman saya di Iran yang membantu mengungkap
Stuxnet meminta agar namanya tidak disebutkan dalam laporan apapun
tentang masalah ini, dan menolak untuk memberikan komentar tentang hal
itu.
Menariknya , kemudian saya bertemu dengan beberapa pejabat tinggi IT Iran, yang berdedikasi dalam Minsk, namun mereka malah membuat kondisi seperti mereka tidak tahu apa-apa tentang insiden tersebut.
Atas semua opini yang sempat menjadi hot-news di sejumlah
media bahwa Saya atau bahkan perusahaan kecil di Belarusia ini
mendapatkan sejumlah ‘Deal’ dengan pemerintah Iran serta tuduhan-tuduhan
tak mendasar lainnya, Izinkan saya menyatakan dengan jelas bahwa saya
maupun orang-orang yang bekerja dengan penyelidikan ini pernah secara
terbuka menyatakan bahwa setiap teori konspirasi mengenai asal atau
tujuan dari Stuxnet itu tidak benar. Saya tidak pernah tertarik sedikit
pun untuk menghabiskan waktu saya demi mencoba memahami setiap aspek
politik apapun. Saya seorang ahli malware yang memberikan perlindungan
kelas-pertama dalam usaha-usaha melawan ancaman cyber, dan bukan pihak
yang akan menghasilkan cerita-cerita thriller.
Akhir-akhir ini internet telah dibanjiri
dengan spekulasi tentang Duqu Trojan yang baru ditemukan, dan telah
dibaptis sebagai anak-cucu Stuxnet. Memang, mereka memiliki banyak
kesamaan. Apa pendapat Anda tentang hal ini?
Masih terlalu banyak ketidakpastian tentang Duqu.
Mengingat kurangnya informasi konkret tentang malware ini, saya akan
mengatakan apa yang terjadi saat ini cukup banyak mengulang apa yang
kita miliki dengan Stuxnet – sejumlah asumsi, dugaan, dan pop-label
dari orang-orang yang sebenarnya tidak tahu apa yang mereka bicarakan,
dengan fakta-fakta nyata dari sejumlah materi yang masih terkubur di
antara semua kerumitan sistem.
Dan sejujurnya, saya lebih memilih untuk tidak
berspekulasi tentang hal ini dan menunggu sampai debu yang mengendap itu
tersingkir, hanya untuk melihat seluruh gambaran secara utuh. Saya akan
sangat berhati-hati untuk mengikuti serial Aleks Gostev tentang posting
blog pada Securelist re Duqu, dan saya cukup yakin
kita akan segera memiliki laporan lengkap dan akurat mengenai asal,
tujuan, dan aspek teknis dari malware tersebut.
Apa yang saya yakini pada saat ini adalah bahwa ada
hubungan yang jelas antara Duqu dan Stuxnet sebagai mantan malware yang
didasarkan pada kode sumber yang terakhir, dan mempekerjakan banyak
teknik-tekniknya. Juga, cara tim tersebut di balik kedua jenis malware
yang mampu melahirkan makhluk mereka kepada dunia, juga sangat mirip.
Satu-satunya perbedaan antara mereka tampaknya hanya satu, bahwa kasus
Duqu masih diselimuti sejumlah misteri yang membingungkan dan belum
terpecahkan.
Saya yakin setiap vendor keamanan akan senang
untuk memiliki Anda sebagai karyawan mereka, untuk memperkuat keahlian
tim mereka. Mengapa Anda memilih untuk bergabung dengan KL (Kaspersky
Lab) ?
Sebenarnya Kaspersky Lab adalah satu-satunya pilihan
saya saat saya sedang berpikir dan mempertimbangkan untuk berhenti dari
pekerjaan saya sebelumnya.
Aku selalu mengagumi prestasi perusahaan dan
menghormati orang-orang yang bekerja di sini dan cara mereka melakukan
pekerjaan mereka. Saya yakin, dan keyakinan ini meningkat sejak saya
mulai bekerja di sini, bahwa KL adalah perusahaan yang paling
berteknologi maju diantara Vendor anti-malware lain di dunia. Mereka
telah berhasil mengumpulkan sebuah tim yang unik dari sebuah konsep
keamanan profesional dan melakukan hal-hal yang fantastis. Tidak
diragukan lagi, perusahaan memiliki kelebihan potensi yang besar dan
memiliki begitu banyak teknologi-pembunuh baru di bawah laboratorium
mereka, yang belum mereka perkenalkan ke publik.
Ketika saya mendengar untuk pertama kalinya bahwa KL
berencana menjadi vendor anti-malware No.1 di dunia, saya merasa untuk
mengambil niat yang serius. Saya yakin sepuluh tahun yang lalu tidak
banyak yang bisa membayangkan bahwa perusahaan akan menjadi No. 4
terbaik sebagai perusahaan anti-malware. Tapi sekarang , setelah melihat
yang terjadi, saya akan mengatakan bahwa menjadi No.1 bukanlah sebuah
mimpi.
Ada yang Anda ingin tambahkan sebelum kita sampai ke pertanyaan tentang hal-hal pribadi anda dan hal-hal out-of-office lainnya ?
Pertama-tama, saya ingin mengumumkan bahwa ini adalah pembicaraan yang terakhir yang saya lakukan tentang Stuxnet.
Terus terang, saya sudah berada di topik yang telah berputar-putar di sekitar saya ini, selama 18 bulan terakhir. Kadang-kadang saya bahkan mendapatkan kesimpulan ketika saya berpikir bahwa Stuxnet adalah halangan untuk karir profesional saya. Saya sudah memiliki banyak hal yang bisa saya banggakan selain worm ini. Memang, saya telah terlibat dalam banyak proyek penting lainnya, sehingga hasil kerja intelektual dan emosional saya telah memberikan hasil yang jauh lebih terlihat bagi perusahaan, dan untuk pengembangan pribadi saya. Jadi dengan ini saya ingin mengakhiri bab di hidup saya dengan nama “Stuxnet”, sekali ini dan untuk selamanya, untuk kemudian menuju cakrawala baru dalam memerangi cybercrime.
Terus terang, saya sudah berada di topik yang telah berputar-putar di sekitar saya ini, selama 18 bulan terakhir. Kadang-kadang saya bahkan mendapatkan kesimpulan ketika saya berpikir bahwa Stuxnet adalah halangan untuk karir profesional saya. Saya sudah memiliki banyak hal yang bisa saya banggakan selain worm ini. Memang, saya telah terlibat dalam banyak proyek penting lainnya, sehingga hasil kerja intelektual dan emosional saya telah memberikan hasil yang jauh lebih terlihat bagi perusahaan, dan untuk pengembangan pribadi saya. Jadi dengan ini saya ingin mengakhiri bab di hidup saya dengan nama “Stuxnet”, sekali ini dan untuk selamanya, untuk kemudian menuju cakrawala baru dalam memerangi cybercrime.
Lalu terakhir, bagaimana dengan kehidupan pribadi anda ?
Saya pikir setiap orang harus terus mengembangkan
diri. Dan tentu saja termasuk saya. Jadi setiap kali saya mendapatkan
waktu luang. saya selalu mencoba untuk melakukan sesuatu yang berharga
untuk memajukan diri saya. Misalnya, ketika menonton (katakanlah) sebuah
film Amerika, saya selalu beralih ke audio track asli untuk
melatih kemampuan pemahaman bahasa Inggris saya. Juga, di masa lalu
ketika pergi ke kantor dan memiliki beberapa waktu luang, saya
menggunakan waktu ini untuk mendengarkan podcast yang berisi program
pelatihan bahasa dan sastra asing.
Aku cinta orang tua saya , adik dan keponakan , dan juga teman-teman
saya – yang sayangnya saya tidak melihat banyak dari mereka akhir-akhir
ini. Namun, setiap kali kami bisa bertemu, ternyata kami menjadi heboh.
Ini benar-benar keren!
Saya menikmati waktu ketika mengunjungi nenek saya di pedesaan. Konsiliasi suasana, ketiadaan penuh dari cakupan berbagai perangkat mobile, dan kesatuan dengan alam yang dapat membawaku pergi dari tekanan sehari- hari, dan memberikan relaksasi dan penyembuhan yang paling dalam!
Saya menikmati waktu ketika mengunjungi nenek saya di pedesaan. Konsiliasi suasana, ketiadaan penuh dari cakupan berbagai perangkat mobile, dan kesatuan dengan alam yang dapat membawaku pergi dari tekanan sehari- hari, dan memberikan relaksasi dan penyembuhan yang paling dalam!
Sumber : http://exploiticha.com/wawancara-dengan-penemu-stuxnet-worm-sergey-ulasen
Wawancara dengan Penemu Stuxnet Worm ; Sergey Ulasen
![Wawancara dengan Penemu Stuxnet Worm ; Sergey Ulasen]()
Reviewed by Unknown
on
3:37 PM
Rating:
No comments:
Pembaca yang baik selalu meninggalkan komentar