MAJALAH ICT – Jakarta. Seorang hacker telah datang dengan perangkat USB kecil yang bisa meretas ke komputer manapun, bahkan pada salah satu komputer yang dilindungi password, dengan sedikit usaha atau tidak. Disebut PoisonTap, USB stick seharga Rp.50 ribuan ini mampu untuk menerobos bahkan ke PC terkunci hanya dalam satu menit.
Dibuat oleh Samy Kamkar, yang sepenuhnya otomatis, konsep perangkat ini bekerja dengan membuka backdoor berbasis web ke PC korban, yang memungkinkan hacker untuk memperoleh akses ke akun online dan router mereka. PoisonTap dibangun pada superkomputer Raspberry Pi dan sekali terhubung ke PC, meniru perangkat jaringan, menyerang semua koneksi outbound dan menipu komputer dalam mengirim semua lalu lintas ke perangkat.
"Ini sepenuhnya otomatis. Anda pasang, Anda meninggalkannya di sana selama satu menit, maka Anda menariknya keluar dan Anda bisa pergi," kata Kamkar Motherboard. "Anda bahkan tidak perlu tahu bagaimana cara untuk melakukan apapun."
"Dalam banyak kantor perusahaan, itu sangat mudah. Anda berjalan-jalan, menemukan sebuah komputer, pasang PoisonTap selama satu menit, lalu cabut," kata Kamkar Wired. Terlepas dari apakah komputer terkunci, PoisonTap "masih mampu mengambil alih lalu lintas jaringan dan menanam backdoor," katanya.
"Ini akan menjadi sangat sulit untuk mendeteksi," kata Jeremiah Grossman, seorang peneliti keamanan web dan kepala strategi keamanan di SentinelOne. "Asalkan Anda memiliki akses fisik, saya pikir itu sebenarnya alat yang dirancang paling cerdik dan efektif dari semua alat backdoor yang pernah saya lihat."
PoisonTap sebagai media, mencuri cookie otentikasi HTTP korban, yang digunakan untuk log on ke rekening pribadi. Cukup mengkhawatirkan, serangan itu dirancang sedemikian rupa sehingga otentikasi dua faktor mungkin tidak banyak berguna dalam menangkal penyerang dari mendapatkan akses ke akun pengguna. PoisonTap ini juga mampu membajak akun menggunakan otentikasi dua faktor.
Menurut Kamkar, tidak ada 100% fix untuk menghindari peretas dari PoisonTap. Dia bercanda namun mengklaim bahwa solusi terbaik adalah dengan "mengisi port USB Anda dengan semen". Namun, dia memberikan solusi alternatif, menambahkan bahwa pelaksanaan pengguna akses izin ketika mencolokkan perangkat baru kemungkinan bisa melindungi pengguna dari serangan tersebut.
"Jika saya Apple atau Microsoft, saya akan memiliki perangkat jaringan (sebenarnya, mungkin perangkat USB kecuali mouse atau keyboard) meminta pengguna jika mereka ingin memungkinkan untuk beroperasi setidaknya pertama kalinya itu terpasang," Kamkar kepada TechCrunch. "Orang-orang merasa aman meninggalkan laptop mereka di meja mereka saat makan siang atau ketika mereka meninggalkan kantor dengan password pada screensaver," tambah Kamkar. "Itu jelas tidak aman."
