Ibarat membangun rumah, si pengembang tidak sadar kalau ternyata design jendelanya sangat mudah untuk dicongkel. Pengembang dan pemilik rumah itu baru sadar kalau ada yang menyongkel jendela tersebut dan barang-barang berharga didalam rumah sudah hilang. Nah begitu pula dengan zero-day pada aplikasi. Si developer sudah menulis berjilid-jilid source-code tapi tidak sadar kalau ternyata ada satu baris kode yang membiarkan koneksi terbuka, menjadi pintu masuk serangan siber.
Zero-day ini sangat diinginkan oleh pengembang aplikasi dan juga hacker. Apabila jatuh duluan ke tangan pengembang aplikasi, kerentanan itu berhasil dibereskan hingga tidak timbul bahaya terkena hack dan nama baik perusahaan terjaga. Tapi kalau hacker yang lebih dulu berhasil mendapatkan kerentanan itu, entah berapa lama mereka bisa menggunakan untuk kejahatan sampai akhirnya disadari oleh pengembang aplikasi.
Di kehidupan yang ideal, apabila kerentanan ini ditemukan, seharusnya dilaporkan kepada pengembang dari aplikasi tersebut hingga bisa segera dibenahi dan tidak timbul korban kejahatan siber. Tapi sayangnya kapitalisme di dunia ini sudah merambah kemana-mana hingga Zero-day pun bisa diperjual-belikan.
Memang bisa kaya dari jualan zero-day?
Banyak pihak yang ingin memiliki zero-day ini, entah untuk kebaikan atau kejahatan. Mereka mau mengeluarkan uang jutaan dollar untuk bisa mendapatkan zero-day, terutama untuk aplikasi mobile phone yang populer seperti WhatsApp dan Telegram. Minggu lalu sebuah perusahaan Rusia menawarkan $20 juta untuk membeli Zero-day pada WhatsApp. Walaupun harga itu termasuk premium karena tidak banyak orang yang mau berbisnis dengan Rusia, harga di pasaran negara lain pun juga telah naik.
Yang menarik, sudah banyak broker yang spesialisasi dalam jual-beli zero day. Buat pembeli, jasa broker ini lebih aman, produknya pasti dan tidak harus berurusan dengan banyak pihak. Salah satu broker yang cukup terkenal adalah Zerodium, platform jual-beli berbasis di Washington DC. Zerodium memasang price-list pada website mereka untuk setiap jenis zero-day. Ada proses yang harus dijalani selama proses jual beli tersebut. Setelah menyelesaikan transaksi, mereka akan menawarkan kepada pembeli mereka atau bahkan sebenarnya mereka sudah memiliki pesanan.
Siapa Pembelinya?
Banyak pembeli dari Zerodium adalah pemerintah yang seharusnya digunakan untuk kepentingan keamanan nasional seperti mengakses komunikasi terduga teroris atau pelaku kejahatan. Walaupun Zerodium selalu menyatakan betapa ketatnya proses mereka dalam bernegosiasi dengan pembeli, tapi tidak ada jaminan zero-day yang terjual itu tidak jatuh ke tangan penjahat siber dan digunakan untuk menghindari penegak hukum.
Lalu siapa suplier nya? Kebanyakan yang menemukan zero-day ini adalah periset yang memang bergelut di dunia keamanan siber dan juga pemrograman. Bukanlah hal yang mudah untuk menemukan zero-day. Bahkan life cycle dari zero-day sebenarnya tidaklah panjang. Begitu ada yang memanfaatkan, kemungkinan besar akan cepat terdeteksi oleh periset lain hingga akhirnya sampai ke developer aplikasi untuk melakukan update dan menutup pintu kerentanan tersebut. Tapi buat pengguna zero-day, seringnya mereka akan selalu mencari zero-day yang lain karena tugas mereka, khususnya pemerintah untuk menjaga keamanan nasional, tidak pernah berhenti. Itu sebabnya market dari zero-day ini tidak pernah mati, bahkan kalau melihat dari angka yang ditawarkan broker, market ini bukan lah kecil. Berhubung jual-beli zero-day ini masih pada area abu-abu, belum ada hukum pidananya, tinggal diserahkan ke penemu masing-masing. Menginformasikan ke developer aplikasi, yang mungkin dibayar sejumlah $X atau menjual ke para broker dengan harga yang bisa jadi $2X atau lebih.