Saya bertemu Len pada tahun 1999, dia masih anak-anak. Anak yang sombong yang merasa sudah tahu segalanya, dan saya tidak terkesan. Saya pikir saat itu kami sedang berdebat tentang K of N keysplitting. Rodney Thayer berkata, “Ya, dia seperti kita dulu di usia itu.” Rodney bersikap ramah dan sabar, menerima dan menyayangi Len, dan saya merasa berkewajiban untuk mengikuti sikapnya. Ini adalah deskripsi yang sangat tidak mungkin tentang Rodney, tapi itu kenyataannya.
Saya menjadi teman Len, dan kami menjadi cypherpunk yang bersekongkol bersama di masa ketika dunia ini masih seperti wilayah liar tak bertuan. Kami membayangkan kembali dunia kami, dipenuhi sistem kriptografi yang secara matematis akan menegakkan kebebasan yang kami hargai. Anonymous remailers untuk menjaga kebebasan berbicara tanpa takut pembalasan; onion routers untuk memastikan tak ada yang bisa menyensor internet; digital cash untuk memungkinkan ekonomi yang radikal dan bebas. Kami punya banyak skema untuk mendesentralisasi dan mendistribusikan segalanya. Kami membayangkan ancaman yang rumit dan esoterik terhadap masalah-masalah yang mungkin akan muncul suatu hari nanti – dan kami merancang protokol futuristik untuk melindungi dari ancaman-ancaman itu.
Semua ini adalah latihan utopis akademik ala para geek. Saya cenderung membiarkannya tetap seperti itu, tapi Len ingin turun langsung dan “kotor-kotoran”. Pernah ada masa ketika Len didatangi oleh berbagai badan federal karena penyalahgunaan remailer. Awalnya, Len akan ketakutan dan saya akan membawanya keluar dari rumah – yang ia anggap telah disadap – lalu kami akan menyetir keliling untuk beberapa waktu. Terutama di tahun-tahun awal, Len masih mencoba membuat kami terkesan. Kami mengundangnya untuk bergabung dengan The Shmoo Group, tempat saya adalah radikal pinggiran, dan Len menjadi bagian yang benar-benar ekstrem. Saya yakin kami membantu meredam kecenderungan apokaliptiknya, dan kadang-kadang dia bahkan bisa tampak diplomatis.
Tapi memang bukan sifat kami untuk secara langsung mengakui kehebatan seseorang. Kamu hanya tahu seorang hacker menghargaimu jika dia mau meluangkan waktunya untuk mencari-cari celah pada idemu. Saya punya ribuan pesan dari dan kepada Len selama satu dekade terakhir, dan saya ragu satu pun di antaranya memuat pujian secara langsung.
Len benar-benar turun tangan. Dia mendedikasikan dirinya untuk membangun apa yang sebelumnya hanya kami bayangkan. Saya bermain aman dan tetap tanpa cela, tapi saya bisa tetap seimbang karena orang-orang pemberani seperti Len menjalani sisi ekstrimnya.
Len, kamu sebenarnya adalah inspirasi bagi kami yang dulu menginspirasimu. Kamu menjadikan hidupmu sesuatu yang luar biasa. Kamu meninggalkan begitu banyak untuk kami. Terima kasih telah mengizinkan saya menjadi bagian dari semuanya.
Cypherpunks menulis kode.
Len Sassaman, Katholieke Universiteit Leuven
Meredith L. Patterson, Peneliti Independen
Kamis, 17 Februari 2011
Abstrak:
Menemukan kelemahan dalam program dan sistem komputer sering dianggap sebagai “bakat khusus” atau “seni hitam” oleh para praktisi industri maupun akademisi. Keahlian dalam analisis kerentanan ini umumnya diajarkan melalui contoh, yakni dengan mempelajari studi kasus tentang kerentanan-kerentanan (yang terkenal atau bersejarah), dan metode-metode yang sangat khas dari penemunya. Selain itu, meskipun kita memiliki sejumlah teori tentang bagaimana membangun sistem yang benar-benar aman dari awal, teori-teori tersebut tidak mudah digunakan untuk menemukan ketidakamanan dalam sistem yang sudah ada dan modern.
Ketika kita mengajarkan mahasiswa tentang jebakan-jebakan dalam pemrograman yang tidak aman, kita tidak menggunakan teori yang menjelaskan asal-usul mendasar dari ketidakamanan ini. Kita juga tidak menggunakan teori semacam itu saat mencari kerentanan dalam perangkat lunak. Ini sangat berbeda dengan bidang lain dalam ilmu komputer, di mana teori kompleksitas, teori komputasi, hasil-hasil analisis algoritma, dan lainnya digunakan secara luas.
Para penulis menunjukkan perjalanan mereka dari mempertanyakan hal ini hingga menemukan konstruksi teoritis yang sesuai, dan menggunakannya untuk mengungkap sejumlah kerentanan berbahaya tipe "0-day" dalam salah satu protokol keamanan paling sering digunakan saat ini: Secure Sockets Layer (SSL) dan sertifikat keamanan X.509 yang digunakan di seluruh dunia untuk melindungi transaksi e-commerce, data rahasia, bahkan data yang bersifat rahasia negara.
Para penulis juga akan menunjukkan bagaimana banyak studi kasus klasik mengenai kerentanan perangkat lunak dapat direduksi menjadi prinsip-prinsip yang dikenal dalam teori bahasa formal dan teori komputasi, serta mendiskusikan implikasi dari reduksi ini terhadap masa depan protokol Internet saat ini dan perancangan protokol aman yang baru.
Akhirnya, para penulis akan membahas bagaimana teknik pemrograman modern seperti monadic programming dan parser combinators—yang biasanya dianggap rumit atau tidak umum—dapat berperan langsung dalam pengajaran pemrograman yang aman, bahkan dalam tugas sehari-hari seperti pengembangan aplikasi web.
Biografi:
Len Sassaman, Katholieke Universiteit Leuven
Len Sassaman adalah anggota dari The Shmoo Group, serta peneliti di COSIC, yaitu laboratorium Computer Security and Industrial Cryptography di Katholieke Universiteit Leuven. Ia tengah menempuh program PhD dalam bidang teknik elektro, dibimbing oleh Bart Preneel dan David Chaum. Penelitian Len selama ini berfokus pada teknologi pelindung privasi, seperti sistem anonimitas dan kerahasiaan, yang mengutamakan usability sebagai parameter keamanan dalam solusi privasi yang tunduk pada batasan sistem komunikasi masa kini.
Len memiliki pengalaman lebih dari lima belas tahun dalam merancang dan menerapkan teknologi peningkat privasi serta mengevaluasi keamanan protokol. Ia adalah pemelihara perangkat lunak anonymous remailer Mixmaster, pernah menjadi operator server Tor dan Mixmaster, dan telah menulis banyak makalah tentang desain sistem anonim. Ia juga telah memberikan konsultasi mengenai kebijakan privasi Internet di masyarakat saat ini.
Len Sassaman turut menciptakan bidang riset language-theoretic security, yang menjadi topik utama dalam presentasinya. Sebelum menjadi peneliti akademik, ia adalah seorang cypherpunk aktif dan pernah menjabat sebagai Chief Architect di Anonymizer, Inc., Senior Security Architect di Known Safe, Inc., serta Lead Software Engineer di PGP Security, Inc. Pada konferensi Black Hat tahun sebelumnya, Len mempresentasikan (bersama Dan Kaminsky) sejumlah kelemahan fatal dalam sistem Certificate Authority, yang ditemukan menggunakan metode analisis keamanan berbasis teori bahasa.
Len telah menjadi pembicara di banyak konferensi keamanan, serta ikut mendirikan konferensi CodeCon, Biohack!, dan lokakarya HotPETS.
Meredith L. Patterson adalah peneliti independen dengan keahlian yang luas mulai dari bidang ilmu komputer seperti desain basis data, algoritma data-mining, teori kompleksitas, linguistik komputasional, keamanan informasi, dan teknologi peningkat privasi; hingga ke biologi sintetis, rekayasa organisme transgenik menggunakan peralatan laboratorium murah dan rakitan sendiri, serta kajian tentang sistem metabolisme manusia; juga sebagai penulis fiksi spekulatif dengan beberapa cerita pendek bergenre fiksi ilmiah yang telah diterbitkan.
Meredith memiliki gelar BA dalam Linguistik dari University of Houston dan MA dalam Linguistik dari University of Iowa. Ia sangat aktif dalam gerakan DIYBio dan mengerjakan proyek bakteri asam laktat transgenik. Ia turut menciptakan bidang language-theoretic security dan menggunakan pendekatan tersebut untuk mengalahkan serangan seperti SQL injection melalui pustaka "Dejector" miliknya. Terakhir, ia mempresentasikan Biopunk Manifesto di konferensi biologi sintetis UCLA, serta mempresentasikan hasil kerjanya bersama Dan Kaminsky dan Len Sassaman mengenai kerusakan pada sistem otoritas sertifikat Internet (dengan menciptakan sertifikat palsu yang dapat digunakan dengan memanfaatkan ambiguitas dalam implementasi parser X.509) di konferensi Financial Cryptography 2010.
Meredith tinggal di Leuven, Belgia. Di waktu luangnya, ia suka merajut, memperbaiki mobil, dan mengembangkan perangkat lunak sumber terbuka.
Komentar
Posting Komentar