Dari sebuah hotel Cosmopolitan 16 lantai di atas konferensi keamanan siber Def Con, tim hacker yang sangat terlatih mencoba menyabotase sistem penerbangan vital untuk jet tempur militer Amerika. Dan mereka berhasil.
Itu adalah pertama kalinya para peneliti luar diizinkan mengakses fisik hingga sistem jet tempur F-15 untuk mencari kelemahan. Dan setelah dua hari yang melelahkan, ketujuh peretas itu menemukan induk dari kerentanan yang jika dieksploitasi dalam kehidupan nyata bisa sepenuhnya membongkar Trusted Aircraft Information Download Station, yang mengumpulkan rim data dari kamera video dan sensor saat jet berada di penerbangan.
Mereka bahkan menemukan bug yang Angkatan Udara telah coba memperbaikinya tetapi gagal setelah kelompok peretas yang sama melakukan tes serupa pada bulan November tanpa benar-benar menyentuh perangkat.
“Mereka bisa masuk melalui pintu belakang yang sudah mereka tahu terbuka,” kata Will Roper, pejabat tinggi akuisisi Angkatan Udara Amerika sebagaimana dilaporkan Stars and Stripes Rabu 14 Agustus 2019.
Para peretas melakukan berbagai serangan – termasuk menyuntikkan sistem dengan malware dan bahkan melakukannya dengan tang dan obeng. “Ketika saya melihatnya, kotak logam yang biasanya aman di pesawat memiliki kabel yang menggantung di depan.”
Para peretas memberi pengarahan kepada Roper tentang temuan itu dan dia tidak menduga hasilnya akan seburuk ini. Menurutnya kelemahan ini akibat dekade pengabaian cybersecurity dalam mengembangkan produknya, karena Angkatan Udara memprioritaskan waktu, biaya dan efisiensi.
Ini adalah perubahan drastis dari tahun-tahun sebelumnya, ketika militer Amerika tidak akan membiarkan peretas mencoba mencari kerentanan pada peralatan yang sangat sensitif. Tetapi Angkatan Udara Amerika akhirnya yakin hanya dengan memungkinkan peretas terbaik Amerika mencari semua kerentanan digital dalam pesawat dan sistem senjatanya, maka peretas terbaik dari musuh seperti Rusia, Iran dan Korea Utara akan menemukan dan mengeksploitasi kerentanan itu terlebih dahulu.
“Ada jutaan baris kode yang ada di semua pesawat kami dan jika ada salah satu dari mereka yang cacat, maka negara yang tidak dapat membangun pesawat tempur untuk menembak jatuh pesawat itu mungkin dapat mengalahkannya hanya dengan beberapa kali penekanan tombol,” kata Roper.
Selama konferensi Def Con tahun depan, ia ingin membawa peretas yang dipilih ke pangkalan Angkatan Udara Nellis atau Creech di dekat Las Vegas di mana mereka dapat menyelidiki bug pada setiap sistem digital di pesawat militer, termasuk cara bug di satu sistem dapat memungkinkan peretas untuk mengeksploitasi sistem lain sampai mereka memperoleh kontrol efektif dari seluruh pesawat.
Dia juga ingin membuka sistem kendali darat untuk satelit militer operasional untuk pengujian hacker.
“Kami ingin membawa komunitas ini untuk menguji sistem senjata nyata dan pesawat terbang nyata,” kata Roper. “Dan jika mereka memiliki kerentanan, akan lebih baik menemukannya sebelum kita terlibat konflik.”
Ketujuh peretas yang menyelidiki perangkat TADS semuanya dibawa ke Vegas oleh perusahaan cybersecurity Synack, yang menjual layanan pengujian kerentanan pihak ketiga Pentagon, di bawah kontrak dengan Defense Digital Service.
Defense Digital Service dimulai dengan menyelenggarakan kompetisi peretasan skala besar pada tahun 2016 yang terbuka untuk hampir semua orang – tetapi hanya mencakup target peretasan yang dihadapi publik seperti situs web dan aplikasi layanan militer.
Tak lama kemudian, mereka juga mulai membuka sistem yang lebih sensitif untuk sejumlah kecil peretas yang diseleksi ketat dan menandatangani perjanjian rahasia.
DDS telah menjalankan sekitar selusin kompetisi peretasan yang lebih sensitif sejauh ini, tetapi ini adalah pertama kalinya ia menawarkan sistem yang sama untuk peretasan dua kali, kata Brett Goldstein, direktur DDS, yang mendapatkan reputasi dalam teknologi sebagai direktur IT Open Table dan kepala petugas data untuk kota Chicago.
“Itu penting karena keamanan adalah proses yang berkelanjutan,” katanya. “Kamu tidak bisa melakukan latihan dan berkata, ‘Oh, kami menemukan segalanya’ dan centang kotaknya. Kamu harus terus-menerus kembali dan mengevaluasi kembali.”
