Salah Faham Sumber Terbuka: Bekas ‘Penggodam’ 1 Sen Menyebar Fakta Atau Falasi?
Terdapat coretan akhbar baru-baru ini mengaitkan penggunaan Perisian Sumber Terbuka atau OpenSource Software (OSS) mengakibatkan sistem keselamatan perbankan kita tidak selamat.
Apa perbezaan sama ada sistem sumber terbuka dan sistem sumber tertutup? Adakah bahasa pengaturcaraan yang berbeza? Secara dasarnya, ia merupakan asas DNA yang sama menggunakan tafsiran (interpreter) 0 dan 1. Perbezaan ini boleh dilihat sekiranya syarikat membantu dari segi Lesen, Integrasi dan Khidmat sokongan.
Ketua Keselamatan Siber, Persatuan Pengguna Siber Malaysia (MCCA), Mohamad Zulfahmy Roslan bersama Komuniti Sumber Terbuka Malaysia, Ketua Biro Teknologi Harisfazillah Jamel akan berkongsi dan menjawab beberapa soalan berdasarkan fakta.
Persoalan 1
Benarkah sistem sumber terbuka tidak selamat dan tidak boleh dipercayai?
Fakta
Permasalahan keselamatan siber ini sering dikaitkan dengan kepercayaan penggunaan perisian sumber tertutup lebih selamat daripada sumber terbuka. Kenyataan ini silap sama sekali.
Faktor pertama, punca sesebuah sistem boleh digodam disebabkan patches/update yang tidak dijalankan oleh pengendali sistem mengakibatkan loophole.
Faktor kedua, kesilapan pengaturcara atau aliran sistem (system flow) dalam sesebuah organisasi.
Faktor ketiga, penggunaan konfigurasi lalai (default configuration) atau penggunaan kata laluan mudah.
Faktor keempat, integriti sistem dan integriti pemilik sistem juga memainkan peranan penting bagi menjaga keselamatan sesebuah sistem.
Faktor kelima, ujian pemeriksaan kualiti yang tidak lengkap apabila sesebuah sistem siap dibina. Sebagai contoh, banyak syarikat atau agensi tidak melakukan ujian keselamatan dan tidak meletakkan ujian keselamatan dalam kitaran hidup pembangunan perisian (SDLC).
Persoalan 2
Syarikat mana lagi yang ada menggunakan sistem sumber terbuka?
Fakta
Syarikat gergasi seperti Facebook dan Google juga menggunakan sumber terbuka sebagai contoh, Facebook menggunakan perisian PHP sebagai kod utama dalam pemprosesan teras mereka. Manakala Google juga menggunakan Linux yang merupakan juga sumber terbuka sebagai kod teras sistem Android mereka.
Berdasarkan fakta, sistem pengoperasian IOS yang diterbitkan oleh Apple yang merupakan sistem tertutup mempunyai lebih banyak kerentanan berbanding sistem pengoperasian Android. Ini juga diikuti oleh syarikat gergasi lain seperti Automattic yang menjalankan perisian sumber terbuka WordPress dimana menguasai 28% laman web di internet.
Selain daripada itu, penggunaan teknologi blockchain juga menggunakan konsep sumber terbuka di mana model daripada perisian tersebut tidak dapat digodam sehingga ke hari ini malah diadaptasi dan diterima di kebanyakan negara luar. Jika blockchain atau bitcoin boleh digodam, maka harganya tidak berada paras tertinggi harini, iaitu $23000 US Dolar.
Hyperledger adalah satu projek sumber terbuka untuk blockchain yang disertai oleh pelbagai pihak bank antarabangsa dan syarikat-syarikat IT. Ianya didokong oleh Linux Foundation yang merupakan satu badan bebas bukan kerajaan yang dihormati diseluruh dunia. Dengan dokongan ini ia dapat memastikan projek
Hyperledger adalah berkualiti, selamat dan
diterima oleh ramai pihak.
Persoalan 3
Adakah benar sumber terbuka dapat menjimatkan kos, dan kos apakah yang dijimatkan? Adakah penjimatan ini bererti ‘kurang selamat’?
Fakta
Benar, sumber terbuka dapat menjimatkan kos kerana pangkalan kod (codebase) telah disediakan dan pengaturcara hanya perlu mengubah kod mengikut kesesuaian sesebuah organisasi.
Kos membina sesebuah sistem dapat dijimatkan kerana memudahkan pengaturcara mencipta fungsi asas.
Kos ini dapat dijimatkan dari segi :-
1. Lesen – Pengguna tidak perlu membayar langganan setiap tahun.
2. Khidmat sokongan – Kos lebih murah kerana sokongan daripada komuniti sendiri.
3. Integrasi sistem – Kos dijimatkan kerana integrasi tidak bergantung dengan syarikat
pembangun aplikasi.
4. Kebebasan – Pengguna bebas untuk menambahbaikan aplikasi sendiri dan tidak perlu bergantung kepada pihak ketiga.
Akan tetapi kos adalah subjektif kerana penggunaan sumber terbuka kadang kala terhad kepada sesebuah organisasi kerana ketiadaan pakar sumber terbuka didalam organisasi terbabit. Kebanyakannya akan bergantung kepada pihak ketiga untuk membina infrastruktur sumber terbuka dan hal ini pengguna boleh memantau dari segi keperluan “Pembangunan
Bersama” bukan hanya melepaskan tanggungjawab semata mata kepada vendor.
Jumlah pengguna dan komuniti yang ramai tidak bermaksud ia meningkatkan peluang dalam memperbaiki pepijat secara proaktif malahan dengan cara ini kita menemui pepijat dan konfigurasi yang salah dengan lebih cepat dan pencaturcara sistem dengan mudah untuk memperbaiki kelemahan tersebut. Dalam sistem terbuka, anda boleh mengubah suai fungsi tertentu kerana anda telah diberikan kod.
Dengan sistem sumber tertutup, pepijat yang dijumpai perlu diperbaiki oleh syarikat terlebih dahulu dan mengeluarkan patches/updates yang mungkin mengambil masa yang lama sebelum diterima oleh pengguna.
Oleh itu, sistem sumber tertutup, anda perlu mempercayai sepenuhnya kepada pembangun sistem/aplikasi semasa anda mengintegrasikannya ke
dalam sistem anda. Ia seperti menaruh harapan kepada seorang pembangun daripada menaruh harapan kepada sepuluh orang pembangun yang pelbagai kemahiran dan kreativiti.
Walaubagaimanapun Sumber Terbuka Enteprise adalah sokongan dari pihak pengeluar yang beterusan dan senantiasa melakukan update, patch, maintenance dan support kepada pengguna yang inginkan sokongan berterusan dan ingin mendapatkan khidmat sokongan pantas dari pihak pengeluar.
Persoalan 4
Benarkah bank menggunakan sistem lama?
Fakta
Pada era globalisasi ini, terdapat beberapa sistem baharu yang telah diperkenalkan salah satunya ialah sistem secure verification menggantikan sistem legasi TAC dimana aplikasi perbankan meminta kebenaran pengguna melalui pemberitahuan atau ‘push notification’ ke telefon mereka.
Namun, adakah ini merupakan sistem lama dan tidak selamat? Sesebuah sistem di bank adalah bergantung kepada bank itu sendiri bagi mengemaskini atau update perisian mereka kepada pengguna bagi mengatasi kebimbangan mengenai keselamatan dan kestabilan institusi kewangan, sektor kewangan secara keseluruhan dan sistem pembayaran.
Sistem teras perbankan masih lagi menggunakan sistem lama tapi masih mendapat sokongan dari pengeluar sistem sehingga sekarang dan sistem ini hanya boleh diakses melalui sistem tertutup dan melalui beberapa prosedur ketat sebelum dapat diakses.
Persoalan 5
Adakah negara-negara lain mengadaptasi sumber terbuka seperti Linux sebagai teras sistem perbankan mereka?
Fakta
Salah satu negara yang mengadaptasi sumber terbuka seperti Linux adalah negara India. India menggunakan Linux kerana sebilangan besar ATM bank di seluruh dunia kini menggunakan Windows XP, tetapi jika mereka terus mematuhinya setelah tarikh akhir penggunaan, mereka akan terdedah kepada semua jenis ancaman keselamatan, kerana
Microsoft tidak akan memberikan jaminan keselamatan lagi selepas itu.
Negara India membuka langkah yang proaktif berbanding negara lain dengan menggunakan
Linux sebagai sistem perbankan mereka kerana kebarangkalian serangan terhadap sistem tersebut kurang berbanding Windows. Hal ini disebabkan penggunaan Windows meluas di serata dunia berbanding Linux dan Windows menjadi target kepada kumpulan penggodam elit untuk menggodam sistem tersebut.
Bank tempatan juga telah pun mengadaptasi penggunaan sumber terbuka seperti sistem operasi Linux untuk menjadikan sebagai sistem operasi utama dan juga beberapa programme language dalam sistem aplikasi bank. Banyak bank tempatan sudah pun melakukan technology update didalam sistem infrastruktur mereka.
Persoalan 6
Adakah sumber terbuka sesiapa sahaja boleh membaca kod terbuka dan penambahbaikan
pepijat (bugs fixing)?
Fakta
Untuk perisian sumber terbuka, sesiapa sahaja yang boleh membaca kod sebenarnya dan meningkatkan peluang untuk mencari dan memperbaiki pepijat secara berkumpulan atau individu. Projek sumber terbuka mempunyai komuniti yang kuat yang terus menerus menyokongnya dan memeriksa kekurangannya dari masa ke semasa.
Persoalan 7
Adakah bank tidak membuat audit keselamatan setiap tahun?
Fakta
Berdasarkan garis panduan yang diterbitkan oleh Bank Negara Malaysia, iaitu Risk
Management in Technology (RMiT), pihak bank diwajibkan untuk mengendalikan ujian keselamatan secara berkala dan selain itu, pihak bank juga membuat ujian keselamatan secara dalaman setiap bulan bagi memastikan setiap aplikasi mereka kekal selamat.
BNM secara dasarnya telah mewujudkan persekitaran keselamatan yang tersusun dan pihak bank yang akan melaksanakan mengikut panduan yang telah diberikan.
Konklusi
Walau secanggih manapun sistem tersebut yang menjadi punca utama kelemahan sesebuah sistem adalah berpunca dari manusia itu sendiri. Manusia akan berusaha untuk mencari dan mengenal pasti kelemahan dan pasti akan juga cara untuk memanipulasi sistem untuk mendapatkan akses dan menggunakan kedudukan untuk melakukan pecah amanah untuk melakukan jenayah. Pihak pengurusan perbankan perlu membuat kajian didalam organisasi setiap masa untuk mencari dan mengenal pasti dalam pengurusan sistem aplikasi supaya tidak disalah guna dan di manipulasi oleh kakitangan sendiri dan juga
dari pihak ketiga iaitu vendor.
Berdasarkan beberapa soalan dan fakta yang telah dihujahkan di atas, kami ingin menjemput bekas ‘penggodam’ yang dikenali ‘Hacker 1 sen’ untuk mengadakan satu sesi wawancara atau forum bersama MCCA untuk menerangkan secara terbuka tentang keselamatan perbankan negara Malaysia yang lemah bagi meningkatkan kesedaran
keselamatan siber kepada pengguna bank.
