Sisi Gelap Industri Antivirus Software

6 Jun 2013

Virus Komputer adalah kata yang makin jamak didengar dan dipahami, tidak seperti masa awal kemunculannya, perkembangan virus komputer pun terus mengalami kemajuan seiring majunya teknologi komputer Desktop dan Komputer Notebook. Kini virus komputer punya kemampuannya masuk ke dalam memory, dan tetap berjalan di belakang layar selama komputer menyala. Hal ini mem-berikan keleluasaan bagi virus untuk mereplikasinya dirinya secara efektif.

Perkembangan virus yang penting lainnya adalah kemampuan menginfeksi boot sector pada oppy disk dan hard disk. Boot sector adalah program kecil yang merupakan bagian pertama dari operating system yang di-loading ke dalam memory, saat komputer kali pertama dinyalakan. Dengan meletakkan kode-kodenya pada boot sector, sebuah virus memastikan dirinya akan tereksekusi dan aktif di komputer.

Virus yang ada di boot sector dapat menginfeksi boot sector setiap oppy disk yang dimasukkan ke dalam komputer yang telah terinfeksi. Jamaknya penggunaan komputer bersama seperti di rental komputer, warnet, atau kampus menjadikan penyebaran virus ini semakin tak terkendali.

Ketika ukuran program komputer yang semakin besar tak lagi memungkinkan ditampung dalam sebuah oppy disk. Sebagai gantinya, program-program komputer didistribusikan di dalam CD yang tidak dapat ditulis (read-only). Tetapi Pola penyebaran virus komputer pun berubah dengan tidak lagi lewat boot sector tetapi menyebarkan diri lewat LAN, Email dan penggunaan USB ash disk.

Tetapi justru ini menjadi peluang lahirnya industri baru di Komputer yaitu Industri Antivirus, yaitu Bisnis yang menyediakan jasa software untuk mengatasi Virus Komputer tersebut. Industri AntiVirus bahkan telah melahirkan Perusahaan perusahaan Software besar dan selebritis Geek software antivirus seperti John McAfee yang hidup tak ubahnya seperti Bintang Rock

Eugene Kaspersky, Mantan Tentara Rusia yang menjadi Ahli Pembasmis Virus Terkenal di Rusia.

Data dari IDC tentang total nilai bisnis AntiVirus cukup besar. yaitu $2.7 miliar tahun 2003, $3,3 miliar tahun 2004 dan sekitar $3.8 miliar untuk tahun 2005, $4.4 tahun 2006, $5.1 miliar tahun 2007, $5.7 miliar tahun 2008, dan sekitar $6.3 miliar di tahun 2009.

Saat ini ada tiga perusahaan Antivirus besar yang masih menguasai pangsa pasar industri Antivirus, yaitu Symantec, McAfee dan TrendMicro. Belum lagi perusahaan perusahaan menengah dan kecil yang menyusul dibawahnya. di Indonesia saja nilai bisnis AntiVirus telah mencapai $35 juta, tetapi hanya $20 juta saja yang riil, selebihnya telah diambil oleh produk-produk tiruan atau bajakan.

Tetapi dibalik gemerlapnya Industri Antivirus ini ternyata ada sisi gelap masalah yang terus dihadapi oleh industri antivirus terpisah dari permasalahan pemasaran yang pada dasarnya menghantui perusahaan perangkat atau peralatan. Kita mengetahui bahwa virus itu nyata, dan juga solusi antivirus. Solusi antivirus dapat dikatakan sebagai produk mendasar bagi konsumen - satu solusi yang hampir-hampir tidak ada bedanya dengan yang lain. Pengguna memilih produk mereka berdasarkan bentuk, atau pemasaran, atau alasan-alasan non-teknis lainnya. Masalah apa yang timbul, inilah solusi antivirusnya; secara teori, bentuk ini hanyalah produk umum, seperti deterjen, pasta gigi, atau mobil.

Untungnya hal ini bukanlah suatu permasalahan. User sering memilih solusi antivirus untuk karakter yang teknis, dan setiap karakter berbeda pada setiap produk yang ada. Pengguna sering memusatkan perhatian pada apakah produk khusus ini melindungi terhadap sejenis ancaman dunia maya yang khusus, dan mencakup seluruh tingkatan proteksi yang disarankan.

Sebuah solusi antivirus seharusnya dapat melindungi terhadap SEMUA jenis program perusak. Solusi antivirus yang lebih baik dapat membuat user dan administrasi lebih senang. Orang-orang yang tidak mengerti teori ini suatu saat akan dihadapkan pada berbagai konsekwensi tanpa solusi antivirus, seorang mulai mencuri uang dari tabungan pengguna atau komputer menghubungi banyak nomor telepon sehingga pengguna kebingungan dengan tagihan yang diterima meningkat tinggi. Dengan mengetahui hal ini, pengguna harus mempunyai beberapa ide atas proteksi apa yang ditawarkan oleh solusi antivirus, sehingga dapat memilihkan produk yang tepat.

Katakan saja solusi antivirus X mendeteksi 50% dari semua macam virus yang beredar di Internet; produk Y mendeteksi hal yang sama sebanyak 90%, dan produk Z mendeteksi sebanyak 99,9%. Jumlah N serangan menyimpulkan komputer sedang diperbaiki, atau sistem yang mulai terinfeksi. Jika komputer diserang sebanyak 10 kali, maka produk X dianggap gagal mendeteksi program perusak; produk Y tidak sepenuhnya gagal; dan untuk produk Z kegagalannya sangat kecil.

Sayangnya ada beberapa produk yang tersedia di toko-toko atau di Internet yang menawarkan proteksi yang hampir mendekati 100%. Produk secara mayoritas bahkan tidak dapat memberikan jaminan proteksi sebesar 90%. Inilah permasalahan yang dihadapi oleh industri antivirus belakangan.

Masalah #1
Setiap tahunnya jumlah dan jenis virus baru selalu beragam dan meningkat. Hal ini membuat banyak perusahaan antivirus selalu kejar kejaran melakukan update pada database virus-virus baru tersebut. Pengguna yang memilih produk yang dibuat oleh perusahaan-perusahaan tersebut tersebut tidak akan diproteksi sepenuhnya terhadap semua virus komputer. Sayangnya, banyak pengguna percaya dengan antivirus yang telah diinstall di komputernya.

Sepuluh tahun yang lalu dimana penggunaan Internet belum meluas, dapat dikatakan bahwa solusi antivirus tidak perlu melindungi sistem terhadap setiap virus dan trojan baru. Lagipula, kebanyakan program yang merusak yang bermunculan saat itu tidak dapat menembus komputer pengguna. Virus virus saat itu dibuat oleh orang-orang hanya ingin menunjukkan kehebatannya atau memenuhi rasa penasarannya saja. Tetapi sekarang situasi sudah berubah, lebih dari 75% program perusak, diciptakan oleh korporasi bawah tanah dunia maya yang bertujuan untuk merusak jumlah komputer lewat Internet. Jumlah virus dan Trojan yang baru meningkat setiap hari hingga mencapai beberapa ratus. Sebagai contoh saja Kaspersky Lab menerima antara 200 dan 300 sampel virus baru setiap hari.

Sampel-sampel ini didapat dari berbagai sumber, seperti honeypots (mesin untuk mengumpulkan file perusak di Internet), user yang komputernya terinfeksi, Administrasi Jaringan Lokal, ISP dan perusahaan Antivirus lainnya. Jika ada worm atau trojan baru yang dapat dideteksi oleh satu perusahaan antivirus, para analis akan memberitahukan ke perusahaan antivirus lainnya dan mengirimkan sample dari worm tersebut. Dan Mayoritas perusahaan antivirus bertukar informasi tentang sampel virus setidaknya sekali dalam satu bulan.

Mereka juga saling bertukar informasi pada acara-acara tertutup bagi para profesional. Yang dimaksud adalah kode etik profesional, perusahaan antivirus saling bertukar informasi, kecuali bagi perusahaan yang mungkin akan merusak dunia antivirus melalui tindakan yang melanggar kode etik pekerjaan.

Katakanlah sebuah virus atau Trojan terdeteksi di Internet ataupun komputer yang terjangkit. Apakah artinya? Artinya komputer tertentu dapat terinfeksi oleh parasit dan mungkin saja lusinan, ratusan, bahkan ribuan komputer yang menggunakan Internet telah terinfeksi. Dengan begitu cepatnya Internet bekerja, jika monster yang terbaru adalah sebuah worm jaringan, maka jumlah korban bisa jadi jutaan orang. Konsekwensinya, perusahaan antivirus harus mampu melepaskan update untuk database antivirus; dan update tersebut harus termasuk perlindungan terhadap berbagai macam virus dan Trojan. Hal ini membawa kita kepada permasalahan kedua yang dihadapi oleh industri antivirus.

Masalah #2
Saat ini, program-program merusak bermunculan dengan cepat sehingga perusahaan antivirus harus meluncurkan antivirus mutakhir secepat mungkin untuk meminimalkan jumlah waktu beresiko bagi para pengguna. Sayangnya banyak perusahaan antivirus tidak mampu melakukan hal tersebut. Para pengguna seringkali menerima antivirus mutakhir saat mereka sudah diserang virus.

Anggap saja virus mencoba menembus mesin korban, dan solusi antivirus yang diinstal pada mesin korban tidak mampu mendeteksi adanya aktivitas mencurigakan (Mungkin karena kualitas solusi sendiri atau akibat kecerobohan pengguna atau telah mengunduh antivirus mutakhir pada saat yang tidak tepat). Cepat atau lambat, antivirus mutakhir canggih akan diluncurkan - artinya, virus akan dapat terdeteksi , walaupun belum bisa di musnahkan. Agar dapat membasmi virus sekaligus, file file terinfeksi harus dihapus dari mesin korban dengan hati-hati. “Hati-hati” merupakan kata-kata kunci yang membawa kita ke masalah ketiga terkait dengan program - program antivirus.

Masalah #3
Masalah ke tiga yang dihadapi oleh industri antivirus adalah menghapuskan kode perusak yang terdeteksi pada mesin korban. Seringkali virus dan Trojan ditulis sedemikian rupa agar tidak terlihat dalam sistem atau menembus sistem hingga mampu menghilangkan mereka menjadi tugas rumit. Sayangnya beberapa program antivirus tidak mampu menghapus kode perusak dan menyimpan kembali data yang telah dimodifikasi oleh virus tanpa menimbulkan masalah.

Masalah lain adalah bahwa semua perangkat lunak menggunakan sumber daya sistem, dan program-program antivirus tidak terkecuali. Untuk melindungi komputer, program antivirus harus melakukan beberapa tindakan - membuka file, membaca informasi didalamnya, membuka arsip untuk dipindai dan seterusnya. Semakin besar sebuah file diperiksa dengan teliti, semakin banyak resource komputer yang diperlukan solusi antivirus. Dengan cara seperti ini, solusi antivirus sama seperti pintu pengaman. Semakin tebal pintu, semakin aman. Namun, semakin berat pintu, semakin sulit pintu tersebut di buka dan ditutup. Ketika berbicara tentang solusi antivirus, yang menjadi masalah adalah menyeimbangkan kecepatan program terhadap tingkat perlindungan yang diberikan.

Masalah #4
Sayangnya, masalah penggunaan sumber daya menjadi tidak terpecahkan. Pengalaman menunjukkan bahwa solusi antivirus yang menawarkan pemindaian kilat akan sangat rapuh sehingga virus dan Trojan akan mudah menembus seperti air melewati rongga-rongga alat saring. Walaupun demikian, program antivirus yang bergerak lamban belum tentu memberikan perlindungan yang efektif.

Agar dapat memindai dengan cepat dan memberikan perlindungan tetap pada komputer, solusi antivirus harus menembus kernel sistem dan akan menembus tingkatan yang sama. Dalam bahasa teknis, program antivirus harus menginstal alat penerima kejadian sistem jauh di dalam sistem terlindung dan mengirimkan hasil ke mesin antivirus agar file - file intersepsi, paket jaringan dan obyek-obyek yang berbahaya mudah dipindai.

Namun demikian, terkadang tidak mungkin menginstall dua penerima di tingkat kernel yang dibutuhkan sistem pengoperasian. Hasilnya adalah ketidak kompatibel-an antara monitor antivirus, sebagai antivirus ke-dua akan tidak mampu menerima keadaan sistem, atau usaha untuk menduplikasi mekanisme penerimaan dapat menghancurkan sistem. Hal ini menjadi inti masalah industri berikutnya.

Masalah #5
Inkompatibilitas antar program antivirus sebenarnya menjadi masalah. Dalam banyak kasus, menginstall dua program antivirus dari pengusaha berbeda pada satu mesin secara teknis tidak mungkin dilakukan. Dua program akan mengganggu fungsi masing-masing.

Orang kebanyakan menganggap bahwa perusahaan bertindak seperti anak-anak kecil yang sedang saling membenturkan mainan mereka dimana masalah inkompabilitas disebabkan oleh kompetisi tidak sehat dan dirancang supaya dapat menekan perusahaan-perusahaan lain keluar dari pasar. Namun bukan itu masalahnya.

Sebelumnya, saya sudah mencoba menyimpulkan bahwa menurut saya masalah fundamental adalah menghadapi industri antivirus saat ini. Jadi, bagaimana industri tersebut menghadapi masalah ini ? Perlindungan seperti apa yang akan ditawarkan perusahaan antivirus di masa yang akan datang ?

Teknologi baru versus solusi tradisional

Selama ini Antivirus Tradisional kebanyakan menggunakan teknologi Virus Signature Database, yaitu mendeteksi berdasarkan pada tanda tangan virus, yaitu mendeteksi tanda-tanda dari keberadaan dari virus dengan menggunakan sebagian kecil dari kode virus yang telah dianalisis oleh vendor antivirus, dan telah dikatalogisasi sesuai dengan jenisnya, ukurannya, daya hancurnya dan beberapa kategori lainnya. Cara ini terbilang cepat dan dapat diandalkan untuk mendeteksi virus-virus yang telah dianalisis oleh vendor antivirus, tapi tidak dapat mendeteksi virus yang baru hingga basis data virus signature yang baru diinstalasikan ke dalam sistem. Basis data virus signature ini dapat diperoleh dari vendor antivirus dan umumnya dapat diperoleh secara gratis melalui download atau melalui berlangganan (subscription).

Karena jumlah database Virus kian lama kian besar, Cukup wajar jika dari waktu ke waktu pengembang antivirus ingin terus menemukan teknologi baru yang dapat menyelesaikan permasalahan di atas dalam satu pukulan saja, suatu keinginan universal. Perlindungan proaktif ini akan memungkinkan terdeteksinya virus dan menghapus virus yang diciptakan dan muncul di Internet - dan hal ini diharapkan dapat diberlakukan kepada semua virus yang sangat mengancam.

Karena itu muncullah teknologi antivirus baru dengan cara melihat bagaimana virus bekerja, Cara ini sering disebut juga sebagai Behavior-Blocking Detection. Cara ini menggunakan policy (kebijakan) yang harus diterapkan untuk mendeteksi keberadaan sebuah virus. Jika ada kelakuan perangkat lunak yang tidak wajar menurut policy yang diterapkan, maka antivirus akan menghentikan proses yang dilakukan oleh perangkat lunak tersebut. Antivirus juga dapat mengisolasi kode-kode yang dicurigai sebagai virus hingga administrator menentukan apa yang akan dilakukan selanjutnya.

Sayangnya, tidak sesederhana itu dilakukan. Solusi “universal” hanya akan efektif melawan ancaman-ancaman yang bertindak menurut aturan tetap dan jelas. Karena virus komputer bukan hal yang alami, tetapi penciptaan kerja intrik dari pikiran para peretas ini menjadikan virus tidak tergantung pada peraturan tetap manapun. Sebaliknya virus tidak akan tunduk pada peraturan yang akan terus berubah sesuai dengan tujuan dasar komputer.

Satu keuntungan dari Virus Signature Database adalah bahwa alat ini mendeteksi semua kode berbahaya yang belum pernah ditemui. Kekurangan lain adalah besarnya ukuran basis data dan sumber daya yang mereka habiskan. Behavior-Blocking Detection menawarkan kelebihan dimana mereka mampu mendeteksi program-program yang tidak dikenal dan membahayakan. kekurangannya, kemungkinan hasilnya tidak selalu tepat. Kebiasaan virus dan Trojan zaman sekarang beraneka ragam sehingga membagi sekumpulan peraturan yang mengubah semua kebiasaan yang mungkin menjadi tidak mungkin. Artinya, Behavior-Blocking Detection ini akan gagal mendeteksi beberapa program berbahaya dan akan menghambat fungsi aplikasi sah secara bertahap.

Behavior-Blocking Detection mewarisi kekurangan yaitu mereka tidak mampu memerangi konsep program-program baru yang berbahaya. Misalnya saja perusahaan X telah biasa mengembangkan virus AVG, yang mendeteksi program baru berbahaya 100%. Apa tindakan para peretas ? Tentu saja mereka akan berusaha menemukan program-program perusak jenis baru. Oleh karena itu, pemutakhiran aturan Behavior-Blocking Detection menjadi penting. Lalu kita harus memperbaharuinya lagi karena para peretas dan penulis antivirus tidak akan menyerah begitu saja. Perusahaan akan tetap mengupdate antivirusnya. Pada akhirnya, kita akan kembali lagi menggunakan Virus Signature Database, kecuali signature tersebut telah menjadi kebiasaan dan bukan sepotong kode lagi.

Kesimpulan ini juga berlaku bagi alat analisis heuristik, metode perlindungan antivirus proaktif. Begitu para peretas mengetahui bahwa teknologi menghambat mereka untuk mendapatkan korban, mereka akan berusaha menemukan teknologi virus baru yang akan mengalahkan pelindung proaktif. begitu produk dengan heuristik canggih dan/atau Behavior-Blocking Detection digunakan secara luas, teknologi ‘maju’ yang digunakan akan berhenti bekerja.

Artinya adalah bahwa teknologi proaktif hanya akan efektif dalam jangka waktu singkat. Para peretas junior memerlukan beberapa minggu atau beberapa bulan untuk mendapatkan perlindungan proaktif tersebut, dan para peretas profesional hanya membutuhkan satu atau dua hari saja, atau paling buruk beberapa menit atau jam. Sehingga seberapa pun efektifnya metode Behavior-Blocking Detection atau alat analisa heuristik, mereka akan terus mengembangkan dan memperbaharui virus. Perlu dicatat juga bahwa database kode virus baru yang ditambahkan merupakan masalah beberapa menit saja, sementara merode-metode penyempurnaan dan penguji-cobaan perlindungan proaktif membutuhkan waktu yang cukup lama. Hasilnya adalah dalam banyak hal melakukan update database kode virus jauh lebih baik dibandingkan solusi perlindungan proaktif.

Ada benarnya mungkin istilah dahulu “Di Balik Kesederhanaan ada Kerumitan yang luar biasa”.


TAGS kaspersky virus spam antivirus mcafee bisnis antivirus


-

Author

Follow Me