Trend Micro Temukan Cacat dan Celah Desain Berbahaya di Bahasa Pemrograman Lama

HONG KONG, CHINA – Media OutReach – Trend Micro, pemimpin global dalam solusi keamanan informasi jaringan, hari ini merilis laporan penelitian baru yang menunjukkan kelemahan desain bahasa pemrograman lama. Pada saat yang sama, beberapa prinsip keamanan pemrograman diajukan untuk membantu pengembang Industri 4.0 untuk sangat mengurangi permukaan serangan perangkat lunak, sehingga hal ini dapat diharapkan mengurangi gangguan lingkungan teknologi operasi (OT).

Studi ini dilakukan oleh Trend Micro dan Politecnico di Milano, beberapa hasil studi menunjukkan bagaimana kelemahan desain dari beberapa bahasa pemrograman lama dapat menyebabkan kerentanan dalam program otomatis. Kekurangan keamanan informasi ini dapat memungkinkan peretas untuk membajak robot industri dan peralatan otomatisasi, yang dapat menyebabkan gangguan pada jalur produksi atau pencurian hak atas kekayaan intelektual. Hasil studi menunjukkan bahwa bidang otomasi industri masih belum diketahui bagaimana cara mendeteksi dan mencegah kerentanan tersebut, oleh karena itu industri perlu mulai membangun dan menerapkan beberapa praktik keamanan informasi jaringan dan keamanan pemrograman.

“Setelah sistem OT terhubung ke jaringan, hampir tidak mungkin untuk menerapkan tambalan dan pembaruan. Oleh karena itu, pemrograman awal menjadi sangat penting. Tulang punggung perangkat lunak otomasi industri saat ini perlu bergantung pada beberapa yang lama Teknologi untuk beroperasi, dan teknologi ini sering menyembunyikan beberapa potensi kerentanan, seperti Urgent / 11 dan Ripple20, atau beberapa cacat arsitektur seperti bug milenium Y2K. Kita tidak hanya berharap untuk menyoroti masalah ini, tetapi juga berharap untuk memimpin tindakan pencegahan keamanan informasi Industri 4.0, memberikan pedoman yang jelas dan alat pemindaian untuk desain program, penulisan, verifikasi, dan pemeliharaan selanjutnya untuk memblokir kode berbahaya dan rentan,” jelas Bill Malik, wakil presiden strategi infrastruktur di Trend Micro, rabu (05/08/2020).

Beberapa bahasa pemrograman sistem berpemilik lama, seperti RAPID, KRL, AS, PDL2 dan PacScript, dirancang tanpa memikirkan metode serangan yang mungkin digunakan oleh peretas. Produk-produk beberapa dekade yang lalu sekarang telah menjadi fasilitas utama yang penting untuk otomatisasi pabrik saat ini.

Tetapi masalahnya adalah mereka tidak dapat dengan mudah menambal kerentanan. Program otomatis yang ditulis dalam bahasa berpemilik mungkin tidak hanya memiliki kerentanan. Peneliti juga telah membuktikan bahwa beberapa bahasa ini lebih mungkin digunakan untuk membuat jenis baru program jahat yang mereplikasi diri sendiri.

Trend Micro Research telah bekerja sama dengan The Robotic Operating System Industrial Consortium untuk membuat rekomendasi guna mengurangi eksploitasi masalah yang teridentifikasi (link).

“Sebagian besar robot industri dirancang untuk jaringan jalur produksi yang terisolasi dan menggunakan bahasa pemrograman lama. Jadi, begitu mereka menghubungkan ke jaringan informasi perusahaan kemungkinan besar akan diserang oleh peretas. Karena alasan ini, ROS-Industrial dan Trend Micro telah bekerja sama untuk mengusulkan beberapa pedoman tentang cara menyiapkan jaringan dengan benar dan aman untuk lingkungan tempat ROS digunakan untuk mengontrol robot industri,” sambung Christoph Hellmann Santos, Manajer Program, ROS-Industrial Consortium Europe.

Seperti yang ditunjukkan oleh pedoman baru ini, menggunakan bahasa pemrograman lama untuk mengontrol tindakan robot industri sebenarnya dapat ditulis dengan lebih aman, yang dapat mengurangi risiko Industry 4.0. Berikut ini adalah beberapa prinsip keselamatan untuk menulis program tugas yang aman, yaitu menganggap peralatan pabrik sebagai komputer dan program kerja sebagai kode yang kuat, mengotentikasi setiap komunikasi, menerapkan kebijakan kontrol akses, rajin melakukan validasi input, rajin membersihkan data keluar, menerapkan penanganan kesalahan yang tepat tanpa mengekspos detail, menetapkan konfigurasi dan prosedur penerapan yang tepat.

Trend Micro Research dan Politecnico di Milano juga telah bersama-sama mengembangkan seperangkat alat yang menunggu paten untuk mendeteksi kerentanan atau kode berbahaya dalam program kerja, dengan harapan dapat mencegah masalah runtime.

Hasil dari Penelitian tersebut telah menemukan beberapa fungsi yang sensitif terhadap keamanan dan 40 kerentanan open source pada 8 platform pemrograman robotik industri yang paling umum. Satu pabrikan telah menghapus program otomatis yang mengandung kerentanan dari toko aplikasi industrinya, dan dua kerentanan lainnya juga telah dikonfirmasi oleh pabrikan dan telah membawa interaksi positif. Rincian pengungkapan kerentanan juga telah dibagikan oleh ICS-CERT sebagai peringatan kepada komunitas mereka (link).

Hasil penelitian ini akan dipresentasikan di Black Hat USA pada 5 Agustus, dan pada konferensi ACM AsiaCCS pada bulan Oktober di Taipei. Hasil penelitian lengkap dapat diakses melalui link berikut: https://www.trendmicro.com/vinfo/hk/security/news/internet-of-things/unveiling-the-hidden-risks-of-industrial-automation -programming. Situs web resmi www.trendmicro.com.hk.