Saat saya kecil, banyak film sci-fi yang mempertontonkan suatu lab biologi besar dengan banyak peneliti untuk mempelajari virus asing dari luar. Lantas karena suatu kelalaian kecil seperti lupa menutup pintu biosafety lab, lupa membersihkan sarung tangan, atau ada suatu insiden lainnya, maka virus-virus tersebut berhasil lepas dari isolasinya dan menjangkiti peneliti dan menyebar kemana-mana. Kemudian saya membayangkan di bidang cybersecurity, apa yang dilakukan oleh para penyedia Anti-Virus dalam melakukan analisis suatu virus, worm, atau malware. Untuk mempelajari hal tersebut, saya mengirimkan dokumen berisi trip-wire kepada penyedia Anti-virus dan mereka membukanya.
Sebagai catatan: Nama, IP Address, dan seluruh informasi dari penyedia Anti-virus tidak akan diungkap pada tulisan ini.
Pada tulisan sebelumnya Trip Wiring dengan Canary Tokens : Konsep, Pemasangan, dan Pemantauan, saya telah mengulas tentang Trip Wiring, yaitu suatu teknologi berbentuk token yang jika dibuka akan mengirimkan notifikasi pada anda. Token yang dimaksud dapat disesuaikan dengan berbagai macam kebutuhan baik berbentuk URL, QRCode, file word, excel, power point, hingga kubernetes config. Pada kesempatan ini saya membuat token berbentuk microsoft word document menggunakan canarytokens.org versi gratisan sehingga notifikasi yang dikirimkan akan masuk ke dalam email.
Kebanyakan penyedia anti-virus menyediakan suatu kanal / API untuk orang dapat mengunggah file, ataupun url yang akan mereka analisis bilamana file, atau url yang diberikan berbahaya secara gratis. Kanal ini merupakan suatu kanal formal (yang seharusnya juga aman), sehingga pengiriman malware/ virus/ worm dalam kanal ini merupakan hal yang legit dan business-as-usual. Melalui kanal ini saya unggah token word document yang sudah saya buat sebelumnya. Sangat disarankan untuk menggunakan VPN dalam melakukan langkah-langkah ini untuk melindungi IP address anda.
Penyedia anti-virus menuturkan bahwa file saya bukan suatu virus (Ya memang bukan virus, cuma token saja kok). Pada saat yang sama saya berharap-harap akan masuknya email dari canarytokens yang tak kunjung datang. Berselang lima menit kemudian saya mendapatkan notifikasi suatu IP Address di Seattle, A.S membuka token saya. Berselang lima menit kemudian suatu IP Address dari Dublin, Irlandia dan disusul dari Berlin, Jerman. Hingga dua hari berikutnya saya tetap mendapatkan notifikasi-notifikasi dari canarytokens. Setidaknya saya dapatkan lebih dari 40 IP Address, dan beberapa membuka token saya lebih dari satu kali.
Mendapatkan 40 lebih IP Address dari server-server penyedia Anti-Virus merupakan hal yang mencengangkan bagi saya. Karena dengan hal ini dapat saya ketahui bahwa engine analisis-nya tidak hanya pada satu tempat, namun tersebar di berbagai belahan dunia yang terpusat di Amerika Serikat, dan Eropa Timur. Juga terdapat beberapa titik di Eropa Barat, Tiongkok, Vietnam, dan India. Namun ada hal memilukan juga yang saya sadari yakni penyedia Anti-Virus membuka file saya tidak dalam lingkungan yang terisolasi, sehingga token saya dapat mengirimkan informasi di mana file tersebut dibuka. Jika diumpamakan dengan film sci-fi masa kecil saya, terjadi suatu penyebaran virus bukan karena para peneliti lupa menutup pintu lab biosafety mereka, namun virusnya lepas melalui ventilasi yang tetap saja berakibat fatal.
