DBSC & Project Zero: Strategi Baru Google Lawan Serangan Siber

Google kembali melangkah maju dalam upaya memperkuat keamanan pengguna dengan meluncurkan Device Bound Session Credentials (DBSC) dalam versi open beta di Chrome. Fitur baru ini dirancang untuk mencegah pencurian cookie sesi, salah satu metode yang sering digunakan pelaku kejahatan siber untuk membajak akun.

Selain DBSC, Google juga memperkenalkan langkah baru melalui Project Zero untuk meningkatkan transparansi pelaporan kerentanan, dengan tujuan mempercepat proses distribusi patch keamanan ke pengguna akhir.

 
DBSC: Mengikat Sesi Login ke Perangkat

DBSC pertama kali diperkenalkan Google dalam bentuk prototipe pada April 2024. Kini, fitur ini tersedia di Chrome untuk Windows dan berfungsi mengikat sesi autentikasi ke perangkat yang digunakan saat login.

Menurut Andy Wen, Senior Director of Product Management di Google Workspace, mekanisme ini membuat cookie sesi — file kecil yang menyimpan informasi login — hanya dapat digunakan pada perangkat tempat autentikasi dilakukan. Artinya, meskipun cookie sesi dicuri, pelaku kejahatan tidak bisa menggunakannya di perangkat lain.

“DBSC memperkuat keamanan setelah Anda login dengan mengikat cookie sesi ke perangkat yang digunakan saat autentikasi,” jelas Wen. “Hal ini mempersulit pelaku untuk menggunakan kembali cookie yang dicuri.”

Dengan metode ini, risiko session hijacking atau pembajakan sesi berkurang drastis, sehingga integritas sesi pengguna tetap terjaga.

 
Dukungan Passkey untuk 11 Juta Pelanggan Workspace

Bersamaan dengan peluncuran DBSC, Google juga mengumumkan bahwa dukungan passkey kini tersedia untuk lebih dari 11 juta pelanggan Google Workspace.

Passkey adalah metode autentikasi modern yang memungkinkan login tanpa kata sandi, menggunakan biometrik atau PIN perangkat. Google menambahkan kontrol admin baru yang memungkinkan pengawasan pendaftaran passkey serta pembatasan penggunaannya hanya pada kunci keamanan fisik.

Langkah ini diharapkan dapat memperkuat perlindungan terhadap phishing dan serangan kredensial lainnya.

 
Shared Signals Framework: Pertukaran Sinyal Keamanan Real-Time

Google juga berencana merilis Shared Signals Framework (SSF) dalam versi closed beta untuk pelanggan terpilih. SSF memungkinkan pertukaran informasi keamanan secara hampir real-time antar penyedia layanan, menggunakan standar OpenID.

“Kerangka kerja ini memfasilitasi pihak ‘pengirim’ untuk memberi tahu pihak ‘penerima’ tentang peristiwa keamanan penting secara cepat,” kata Wen. “Dengan begitu, respons terhadap ancaman dapat dilakukan secara lebih terkoordinasi.”

Selain deteksi dan respons ancaman, SSF juga mendukung pertukaran informasi terkait data perangkat atau pengguna, yang dapat memperkuat strategi pertahanan bersama antar organisasi.

 
Project Zero: Mengatasi Celah Upstream Patch Gap

Langkah besar lain datang dari Google Project Zero, tim internal Google yang fokus mencari dan melaporkan celah zero-day. Mereka memperkenalkan kebijakan percobaan baru bernama Reporting Transparency untuk mengatasi masalah upstream patch gap.

Istilah ini mengacu pada jeda waktu ketika pengembang utama (upstream) telah memperbaiki celah keamanan, tetapi pihak downstream belum mengintegrasikan patch tersebut dan mendistribusikannya ke pengguna akhir.

Masalah ini berisiko membuat jutaan pengguna tetap rentan meskipun perbaikan sebenarnya sudah tersedia.

 
Pengumuman Publik dalam Waktu 1 Minggu

Dalam kebijakan baru ini, Project Zero akan mengumumkan secara publik bahwa sebuah kerentanan telah ditemukan dalam waktu satu minggu setelah laporan dikirim ke vendor terkait.

Informasi yang dibagikan meliputi:

• Nama vendor atau proyek open-source yang menerima laporan
• Produk yang terdampak
• Tanggal laporan dikirim
• Tanggal batas waktu pengungkapan (90 hari)

Saat ini, daftar uji coba tersebut sudah mencakup dua bug di Microsoft Windows, satu celah di Dolby Unified Decoder, dan tiga masalah di Google BigWave.

Tim Willis dari Project Zero menjelaskan bahwa tujuan kebijakan ini adalah memberi “sinyal awal” kepada pihak downstream agar mereka dapat segera mengambil langkah pencegahan, bahkan sebelum patch resmi diterapkan.

 
Kolaborasi dengan AI Big Sleep

Google juga menegaskan bahwa prinsip transparansi ini akan diterapkan pada Big Sleep, agen AI hasil kolaborasi antara DeepMind dan Project Zero. Big Sleep dirancang untuk membantu menemukan kerentanan keamanan dengan kecerdasan buatan, sehingga proses deteksi menjadi lebih cepat dan efisien.

Meskipun Google akan mengumumkan keberadaan kerentanan lebih awal, mereka menegaskan tidak akan merilis detail teknis atau kode bukti konsep yang bisa dimanfaatkan penyerang, setidaknya hingga melewati tenggat pengungkapan.

 
Dampak bagi Ekosistem Keamanan

Pendekatan gabungan antara DBSC, dukungan passkey, SSF, dan transparansi Project Zero diharapkan dapat menciptakan rantai pertahanan berlapis. DBSC mencegah pembajakan sesi di tingkat pengguna, passkey mengurangi ketergantungan pada kata sandi, SSF memungkinkan respons keamanan lintas platform, dan Project Zero memastikan patch sampai ke pengguna dengan lebih cepat.

Langkah ini menunjukkan bahwa keamanan siber tidak hanya bergantung pada satu teknologi, tetapi juga pada koordinasi, transparansi, dan inovasi berkelanjutan.

Dengan peluncuran DBSC open beta di Chrome dan penerapan kebijakan transparansi baru di Project Zero, Google mengirim pesan jelas bahwa perlindungan pengguna adalah prioritas utama. Di tengah meningkatnya ancaman siber, pendekatan proaktif seperti ini dapat menjadi contoh bagi industri teknologi lainnya.