EJUNK REMORISMAT

JAVA adalah salah satu bahasa pemrograman komputer yang berorientasi objek, diciptakan oleh satu tim di Sun Microsystem, perusahan workstation UNIX yang cukup terkenal. JAVA diciptakan berdasarkan bahasa C++, dengan tujuan “platform independent” (dapat dijalankan pada berbagai jenis hardware tanpa kompilasi ulang), dengan slogan “Write Once Run Anywhere” (WORA). Dibandingkan dengan bahasa C++ maka JAVA pada hakekatnya lebih sederhana, dan memakai objek secara murni.

Salah satu kemampuan dari bahasa JAVA adalah pemakaian Applet pada halaman Web untuk suatu bentuk interaksi dengan pengunjung situs Web. Java applet adalah sebuah program kecil yang ditulis dengan menggunakan bahasa pemrograman Java, yang diakses melalui halaman web dan dapat di-download ke dalam mesin klien yang kemudian menjalankannya di dalam jendela penjelajah web. Java applet dapat secara dinamis menambahkan beberapa fungsi kepada halaman-halaman Web yang bersifat statis. Akan tetapi, untuk menjalankannya sebuah komputer harus memiliki browser web yang dapat menjalankan Java, seperti Microsoft Internet Explorer 4.0 ke atas, Netscape Navigator, Mozilla Firefox, dan Opera.

Ketika sebuah Java applet dibuat, semua pernyataan Java yang terkandung di dalam kode sumbernya akan dikompilasi menjadi Java bytecode, yakni sebuah bahasa mesin semu (virtual engine/machine language) yang dibentuk oleh Java. Berkas yang berisi Java bytecode ini akan disimpan sebagai sebuah berkas kelas Java (Java class file) di dalam sebuah Web server, seperti halnya Apache HTTP Server atau Microsoft Internet Information Services (IIS). Sebuah halaman Web yang hendak menggunakan applet tersebut harus menggunakan tag … di dalam kode sumber-nya. Ketika sebuah penjelajah Web milik klien melakukan request kepada halaman Web tersebut dan menemukan bahwa di dalamnya terdapat tag …, bytecode di dalam Java class file akan dieksekusi oleh mesin semu di dalam web browser, yang dapat berupa Microsoft Java Virtual Machine atau Java Runtime Engine dari Sun Microsystems.

Satu dari tujuan utama environment di Java adalah membuat browser pengguna merasa aman untuk menjalankan program applet apapun. Java adalah bahasa yang secure karena secara otomatis Java menerapkan pengamanan terhadap aplikasi sehingga mengurangi kemungkinan adanya serangan dari pengguna jaringan. Untuk itu, maka Java membuat sebuah security restriction untuk efek yang dapat menyerang desain applet dan untuk mendapatkan ability yang lebih banyak.
Untuk setiap applet viewer memiliki sebuah objek SecurityManager untuk keamanan applet. Ketika SecurityManager menemukan sebuah violation, maka akan create dan throw sebuah objek SecurityException. Secara general, SecurityException menampilkan warning message untuk standart output. Sebuah Applet dapat meng-catch SecurityException dan bereaksi dengan wajar, seperti dengan reassuring pengguna dan dengan resorting untuk cara yang lebih aman untuk menyelesaikan sebuah pekerjaan.

Pada situs Beritanet.com, dikatakan bahwa Apple serius untuk mengirimkan patch atas kelemahan Java yang pernah diumumkan Sun di bulan Desember 2008. Perusahaan IT terbesar, Apple, telah mengirimkan patch untuk update Java di Mac OS X guna memperbaiki kelemahan tersebut. Apple telah merilis update patch kelemahan Java di Mac OS X di bulan ini di website Apple (http://support.apple.com/downloads/Java_for_Mac_OS _X_10_5_Update_4), yang dapat di-download gratis dengan kapasitas 158MB baik dari website Apple dan Software Update, juga meminta update Mac OS X 10.5.7.

Menurut pihak Apple, update tersebut akan menambah kehandalan, keamanan, dan kompatibilitas untuk Java SE 6, J2SE 5.0 dan J2SE 1.4.2. Perbaikan tersebut sekaligus untuk kelemahan Java yang berkaitan dengan de-serializing object di Java, yang dapat menghasilkan kode yang dapat berjalan di JVM sandbox dengan privilege yang sama seperti user. Kelemahan Java ini dilaporkan oleh Sun di bulan Agustus 2008, dan di bulan Desember 2008, Sun telah merilis detail kelemahan tersebut, namun Apple belum memperbaiki kelemahan di Mac OS X.

Alasan Sun menganggap kelemahan Java tersebut sebagai ancaman karena eksploiasi tersebut dapat ditulis dalam Java murni dan akan bekerja di semua platform dan browser. Jika user mengunjungi website dengan applet Java yang memiliki kelemahan, maka komputer user dapat dengan mudah dieksploitasi, tidak peduli software apa yang digunakan user untuk mencegahnya.

Masih di situs yang sama, dari berita tentang rencana konferensi Black Hat Computer Security yang diadakan di Las Vegas bulan Agustus 2008, mengatakan serangan yang mengandalkan sebuah tipe file baru yaitu file hybrid, dapat menipu sistem keamanan dan mendapatkan account dari pengguna tersebut. Caranya dengan menaruh file ini di website yang memungkinkan penggunanya meng-upload gambar. John Heasman, Wakil Presiden Bagian Penelitian di NGS Software mengatakan, para pakar menggunakan Java applet yang dibuat dengan tujuan tertentu dan membuatnya seolah-olah sebagai sebuah gambar. Mereka menyebut tipe file ini sebagai GIFAR, singkatan dari GIF dan JAR.

Di sisi web server, file tersebut terlihat seperti GIF, namun Java Virtual Machine yang terdapat di browser akan membukanya sebagai dokumen file Java dan menjalankannya sebagai applet di mana browser menganggap applet tersebut ditulis oleh pengembang situs. Hal tersebutlah yang memungkinkan attacker menjalankan kode Java di dalam browser.

Bagaimana sebuah serangan dapat dilakukan? attacker akan membuat sebuah profile, Facebook contohnya, dan mengupload GIFAR ke dalam situs tersebut. Kemudian mereka masuk ke halaman situs tertentu (profil orang lain), dan meminta mereka untuk membuka GIFAR. Di saat yang bersamaan, applet akan berjalan, memberikan kesempatan bagi attacker untuk dapat mengakses account Facebook milik korbannya. Serangan dapat bekerja di berbagai situs yang memungkinkan penggunanya untuk meng-upload file.

Selain itu, GIFAR dibuka menggunakan Java Virtual Machine di mana terdapat di hampir semua browser yang ada sekarang ini. Namun, korban harus log in terlebih dahulu ke situs agar serangan ini dapat dilakukan. “Serangan ini dapat bekerja jika anda log in ke situs tersebut dalam jangka waktu yang lama,” ungkap Heasman.
Ada dua cara untuk dapat menanggulangi serangan ini. Website harus meningkatkan tool filtering-nya agar dapat mengenali file ini. Alternatif yang lain, Sun dapat memperkuat Java Runtime Environment untuk mencegah kejadian ini.
(YM)