Penulis: Kyle Gaede (Principal Manager Data Center Segment Group Microchip)
Pada zaman digital sekarang ini, data menjadi raja. Perusahaan dapat memperoleh keunggulan kompetitif yang signifikan dengan menerapkan analisis data untuk produk atau layanan baru. Selain itu, teknologi seperti 5G dan IoT makin mempermudah penyambungan perangkat ke internet untuk berbagi data. Hal ini telah menimbulkan tsunami data baru secara virtual.
Firma analis riset Statista memperkirakan bahwa pembuatan data global akan mencapai 180 zettabyte pada tahun 2025. Banyaknya informasi yang diperoleh dalam data ini seperti nomor kartu kredit, nomor jaminan sosial, dan IP kepemilikan menjadikannya target yang menarik bagi peretas. Seiring dengan bertambahnya jumlah data yang dikumpulkan dan disimpan di pusat data, kreativitas dan kecanggihan serangan siber (cyber attack) terhadap data tersebut juga meningkat.
Firmware pada CPU, GPU, dan NIC merupakan target yang menarik karena sebagai elemen fundamental dalam sistem elektronik: jika rusak maka akan lebih sulit untuk dideteksi. Perlindungan untuk perangkat ini dari pihak yang ingin mencuri data menjadi hal yang krusial. Bahkan, di pusat data terbesar, perangkat seperti ini sekarang cenderung terlindungi dengan baik; CPU, GPU, dan NIC di berbagai pusat data besar memiliki keamanan siber (cyber security) yang baik.
Dengan mencari potensi kerentanan lainnya, peretas berbahaya makin menargetkan komponen server ketika mencoba menyusupi pusat data. Banyak komponen semikonduktor umum di server; seperti kontroler tertanam yang mengatur urutan boot, kontrol kipas, dan manajemen baterai; dapat disusupi firmware-nya atau diganti dengan yang palsu untuk mendapatkan akses yang tidak sah ke data pada server atau mengganggu operasi server normal.
Serangan firmware sangat berbahaya karena firmware komponen server dimuat sebelum sistem operasi (operating sistem — OS) server berjalan dan peranti lunak antimalware berfungsi. Hal ini membuat serangan firmware sulit ditemukan dan sulit dihilangkan setelah ditemukan.
Namun, banyak perusahaan tidak memberikan perhatian yang layak pada keamanan firmware. Dalam sebuah survei yang dilakukan terhadap pengambil keputusan TI dan keamanan yang dilakukan oleh Microsoft, responden menilai pelanggaran firmware hampir sama mengganggunya dengan pelanggaran peranti lunak atau peranti keras. Namun, perusahaan hanya menghabiskan kurang dari sepertiga anggaran keamanannya untuk melindungi firmware.
| Pelanggaran yang mengganggu | Porsi dari anggaran keamanan | Dinilai paling rentan terhadap ancaman siber | |
| Peranti lunak | 78% | 39% | 63% |
| Peranti keras | 75% | 32% | 20% |
| Firmware | 73% | 29% | 17% |
Sumber: Microsoft Security Signals, March 2021
Perusahaan harus memperhatikan keamanan firmware di pusat data mereka dengan serius. Jika tidak, mereka akan menanggung akibatnya. Untuk itu, tim TI dan keamanan siber harus fokus pada tiga faktor terkait keamanan firmware: menetapkan keaslian perangkat, menetapkan keaslian kode, dan mengamankan data.
Menetapkan Keaslian Perangkat
Mainboard server, akselerator beban kerja, dan board tambahan perusahaan yang dipasang setelah pembelian dirancang oleh vendor yang berbeda dan diproduksi di seluruh dunia. Rantai pasokan untuk perangkat ini rentan, dan firmware atau peranti lunak yang tidak sah dapat diinstal pada board di berbagai titik selama produksi dan pengujian. Hanya masalah waktu hingga pelanggan yang tidak menaruh curiga menginstal perangkat yang disusupi pada server. Tim TI harus memastikan bahwa setiap peranti keras yang ditambahkan ke server dapat diverifikasi bahwa peranti keras baru tersebut berfungsi sesuai spesifikasi.
Menetapkan Keaslian Kode
Pencurian data bukan satu-satunya masalah yang disebabkan oleh firmware yang disusupi. Pencurian kekayaan intelektual bahkan dapat berdampak pada profitabilitas dan reputasi produsen komponen. Sebagaimana telah disinggung di atas, semikonduktor seringkali diproduksi oleh satu negara dan dikemas di negara lain sebelum akhirnya diintegrasikan ke dalam sistem di negara ketiga.
Dengan begitu banyak titik kontak dalam rantai pasokan, kontraktor yang tidak bermoral akan mudah menyalin firmware vendor, memasangnya pada silikon yang tidak sah, dan kemudian menjual komponen palsu di pasar abu-abu. Hal ini tidak hanya berdampak pada keuntungan vendor asli, tetapi juga dapat merusak reputasinya jika kinerja perangkat palsu tersebut buruk.
Mengamankan Data
Enkripsi adalah metode yang sudah mapan untuk mengamankan data dari akses yang tidak sah, tetapi ancaman baru terhadap enkripsi menambah kekhawatiran di kalangan pelaku keamanan siber. Jika diterapkan dengan benar, komputer kuantum dapat memecahkan teknologi enkripsi paling canggih sekalipun.
Sebagian besar perusahaan saat ini menggunakan enkripsi 128 bit dan 256 bit — lebih dari cukup untuk mengamankan data bahkan dari penyerang paling gigih sekalipun yang menggunakan teknologi komputasi tradisional. Namun, komputasi kuantum dapat memproses data dengan kecepatan yang jauh lebih tinggi dan algoritma enkripsi yang membutuhkan waktu puluhan tahun untuk dipecahkan menggunakan metode komputasi lama, dapat dipecahkan oleh komputasi kuantum dalam hitungan hari.
Lindungi Firmware Anda dengan HRoT dan Enkripsi yang Kuat
Untungnya, pada tahun 2018 National Institute of Standards and Technology (NIST) menerbitkan pedoman SP 800-193 untuk Ketahanan Firmware Platform (Platform Firmware Resiliency). Menurut NIST, pedoman ini memberikan “mekanisme keamanan untuk melindungi platform terhadap perubahan (firmware) yang ilegal, mendeteksi perubahan tidak sah yang terjadi, dan memulihkan dari serangan dengan cepat dan aman.”
Para pelaksana, termasuk produsen peralatan asli (original equipment manufacturer – OEM) dan pemasok komponen/perangkat, dapat menggunakan pedoman SP 800-193 untuk membangun mekanisme keamanan yang lebih kuat ke dalam platform. Administrator sistem, profesional keamanan, dan pengguna dapat menggunakan dokumen ini untuk memandu strategi dan prioritas pengadaan untuk sistem masa depan.
'Hardware Root of Trust.'
Standar NIST SP 800-193 mempromosikan penggunaan “Hardware Root of Trust” atau HRoT untuk memastikan firmware yang dimuat ke dalam komponen server selama proses boot disahkan keasliannya sebelum diaktifkan. Komponen HRoT adalah komponen pertama yang menyala ketika server melakukan boot dan berisi elemen kriptografi yang diperlukan untuk memverifikasi firmware-nya sendiri dan firmware dari setiap komponen yang menyala setelah HRoT diaktifkan. Dengan menambahkan kemampuan HRoT ke dalam kontroler tertanam server, perusahaan dapat melindungi server selama seluruh proses boot, bahkan sebelum OS dan peranti antimalware dimuat dan beroperasi.
NIST juga mendorong perusahaan untuk mengadopsi algoritma enkripsi yang lebih canggih. Pada tahun 2016, NIST meluncurkan kontes di antara para cryptographer terkemuka untuk mengembangkan algoritma yang dapat bertahan dari serangan berbasis komputasi kuantum. Tahun lalu, kontes ini diakhiri dengan pengumuman empat algoritma enkripsi baru yang akan disertakan NIST dalam proyek standardisasi kriptografi pascakuantum yang akan datang.
Keamanan siber mirip dengan perlombaan senjata antara yang bekerja untuk melindungi sistem komputer dan yang berniat untuk membahayakan sistem tersebut, termasuk peretas kriminal dan peretas yang disponsori negara. Masing-masing pihak tidak pernah berhenti berupaya melawan kemajuan pihak lainnya. Firmware telah menjadi medan pertempuran terbaru dalam perjuangan yang terus berlanjut ini. Perusahaan yang lalai memasukkan firmware dalam penilaian ancaman dan rencana keamanan mereka pada masa mendatang akan menanggung risikonya sendiri.