Berapa waktu
yang
dibutuhkan
oleh komputer
dengan
prosesor 2,2
GHZ AMD
Opteron dengan
RAM 2 GB
menggunakan
metode NFS
(Number field
Sieve) yang
lebih efektif
dari
Bruteforce
untuk
memecahkan
enkripsi
sertifikat RSA
2048 bit yang
akan segera di
implementasikan
oleh Google
pada akhir
tahun 2013 dan
Yahoo pada
kuartal
pertama 2014
untuk
melindungi
data pada
layanan mereka
? 1 tahun, 10
tahun ?
Jawabannya
mungkin akan
mencengangkan
anda. Waktu
yang
dibutuhkan
oleh komputer
tersebut untuk
memecahkan
enkripsi RSA
1024 bit yang
sekarang
digunakan
Google adalah
1,5 juta
tahun. Untuk
memecahkan
enkripsi 2048
bit dibutuhkan
waktu 4,3
milyar kali
lebih lama
daripada waktu
yang
dibutuhkan
untuk
memecahkan
enkripsi 1024
bit. Jadi
secara teknis
agak mustahil
bagi siapapun
(termasuk NSA)
untuk
mendekripsi
data email,
search dan
lainnya yang
dikirimkan
antara
pengguna
layanan Google
yang
dilindungi
dengan
enkripsi 1024
bit.
Prose enkripsi di internet (kredit http://www.cohn-family.com/encryption.htm)
Namun
nyatanya
NSA berhasil
mendapatkan
data dari
pengguna
Google. Kalau
Yahoo mungkin
tidak heran
karena mereka
tidak
melakukan
enkripsi dan
data pengguna
Yahoo yang
berseliweran
saat ini
ibaratnya
tidak pakai
baju dan bisa
didapatkan
lebih mudah
dibandingkan
data Google.
Namun
bagaimana
dengan Google
yang melakukan
enkripsi 1024
bit, apakah
NSA memiliki
komputer super
yang bisa
melakukan
proses
sedemikian
cepat dan
menyelesaikan
perhitungan
yang harusnya
dilakukan 1,5
juta tahun ?
Jawabannya
bukan,
ibaratnya
strategi
perang.
Meskipun
memiliki dana
dan sumberdaya
'hampir' tidak
terbatas, NSA
juga tidak
bodoh
menggunakan
sumberdayanya.
Data yang
didapatkan
dari Google
ternyata
disadap dari
kabel optik
antar data
center Google
yang tidak di
enkripsi.
Karena itu,
Google juga
mulai
melakukan
enkripsi
termasuk pada
data yang
ditransmisikan
antar data
centernya.
Jadi secara
teknis
sebenarnya
enkripsi 1024
sampai saat
ini masih aman
dan hacker
bisa
memecahkan
perlindungan
enkripsi
dengan mencari
kelemahan
dalam
implementasinya,
atau dengan
mencari celah
keamanan pada
otoritas
sertifikas
keamanan untuk
dieksploitasi.
Kalau Google
sudah
melakukan
enkripsi sejak
tahun 2010
untuk Gmail
sejak diserang
oleh hacker
China, lain
halnya dengan
Yahoo yang
sampai saat
ini masih
belum
melakukan
enkripsi atas
Yahoomail.
Namun kabar
baiknya, Yahoo
akan mulai
mengimplementasikan
eknripsi pada
layanannya
termasuk
Yahoomail pada
kuartal
pertama 2014.
apakah hal ini
akan
berpengaruh
pada turunnya
spam yang
selama ini
sering
dikirimkan
dari akun
Yahoomail yang
dibajak. Kita
tunggu saja.
Selain
melakukan
enkripsi untuk
Gmail, Google
juga
mengimplementasikan
enkripsi pada
aktivitas
search guna
melindungi
privasi
penggunanya.
Sepak
Terjang
NSA
Aktivitas
mata-mata
sebenarnya
bukan
dilakukan oleh
NSA saja, pada
era internet
ini
pemerintahan
mana yang
tidak tergiur
untuk
mendapatkan
akses atas
data internet
yang dilakukan
baik oleh
warganegaranya
maupun negara
lain. Lihat
contoh kasus
India dan
beberapa
negara teluk
yang pernah
memaksa RIM
untuk membuka
kode enkripsi
komunikasi
pengguna BBM
dengan ancaman
memblokir
Blackberry di
negara
tersebut.
Salah satu hal
yang mungkin
luput dari
pengamatan
kita adalah
gagalnya
transaksi
pembelian
Blackberry
yang diminati
oleh Lenovo
dimana salah
satu sebabnya
adalah
kekhawatiran
pemerintah
Kanada atas
penguasaan
pihak asing
atas jaringan
Blackberry
yang juga
memberikan
layanan
komunikasi
data yang
digunakan oleh
pemerintah
Kanada dimana
hal ini
mengancam
keamanan
nasional.
Secara tidak
langsung, para
pengguna
internet dunia
dan
negara-negara
yang
dimata-matai
oleh NSA
harusnya
berterimakasih
kepada Edward
Snowden yang
memberikan
informasi ini.
Bagi negaranya
Edward Snowden
adalah
pengkhianat
karena
membocorkan
rahasia
negara, tetapi
sebaliknya
bagi warga
dunia Edward
Snowden
membuka mata
bahwa
sebenarnya
jaringan
internet yang
digunakan dan
mayoritas data
mengalir
melalui
penyedia
layanan
internet di
Amerika
kemungkinan
besar dipantau
oleh NSA.
Mungkin ada
sedikit negara
yang mencoba
melepaskan
diri dari
ketergantungan
kepada
infrastruktur
di Amerika
seperti China
yang memiliki
banyak layanan
alternatif
lokal dengan
pengguna yang
tidak kalah
banyak dari
penguasa
internet
seperti
Facebook,
Twitter, Yahoo
dan Google
dengan layanan
yang sangat
populer dan
berhasil
menguasai
pasar lokal
seperti Qzone,
Tencent Weibo
yang merupakan
pengganti
blogspot, Sina
Weibo,
Pengyou,
RenRen yang
merupakan
pengganti
Twitter dan
Facebook di
China. Namun
tidak dapat
disangkal
bahwa
ketergantungan
infrastruktur
layanan
internet dunia
mayoritas
masih dikuasai
oleh Amerika
Serikat.
Bagi
masyarakat
awam
sebenarnya
tidak ada hal
yang terlalu
mengkhawatirkan
karena NSA
tentunya tidak
tertarik untuk
memata-matai
semua orang
dan hanya
tertarik pada
orang penting
atau
organisasi
yang memiliki
informasi yang
diminatinya.
Contohnya
adalah
departemen
pertahanan,
kontraktor
pertahanan,
kepala negara
dan badan
pembuat
kebijakan
penting dan
kriminal
seperti
teroris atau
bandar narkoba
kelas dunia.
Namun ada satu
sepak terjang
NSA yang
sangat
memprihatinkan
dan
mendapatkan
kritikan dari
banyak
pengamat
sekuriti
dimana dalam
aksinya
mengakses data
yang beredar
di internet
yang notabene
di enkripsi
dengan baik,
NSA melakukan
aksi
melemahkan
enkripsi yang
sebenarnya
sudah kuat.
Jika NSA cukup
sportif dan
menggunakan
kemampuannya
mendekripsi
data yang di
dapatnya
dengan
kemampuan dan
sumber
dayanya, hal
ini masih
cukup fair.
Tetapi karena
enkripsi
pengamanan
internet sudah
sangat baik,
NSA mencari
jalan lain
dengan
menggunakan
pengaruhnya
untuk menekan
penyedia
enkripsi
komersial
melemahkan
enkripsi
mereka. Salah
satu caranya
adalah dengan
diam-diam
meminta
penyedia jasa
enkripsi
komersial
memasukkan
celah keamanan
pada enkripsi
secara
diam-diam
dengan tujuan
jika
mendapatkan
data yang
dienkripsi
menggunakan
penyedia
layanan
enkripsi
tersebut NSA
dapat
melakukan
dekripsi
memanfaatkan
celah keamanan
yang sengaja
ditanamnya.
Hal
ini
bertentangan
dengan prinsip
pengembang
aplikasi yang
jika menemukan
celah keamanan
yang rentan di
serang dan
dimanfaatkan
oleh kriminal
akan langsung
menutup celah
keamanan
tersebut
dengan update
atau patch.
Dalam kasus
ini NSA malah
sengaja
menciptakan
celah keamanan
ini untuk
mendapatkan
akses terhadap
data yang
dienkripsi
secara ilegal.
Bayangkan jika
ada kriminal
yang
mendapatkan
informasi atas
celah keamanan
yang sengaja
diciptakan
ini, kerugian
yang bisa
ditimbulkan
akan luar
biasa.
Sebenarnya
bukan
hanya NSA yang
ternyata
memata-matai
pengguna
internet, GCHQ
Government
Communications
Headquarters,
NSA nya
Inggris juga
ditengarai
bekerja secara
diam-diam
memata-matai
kegiatan para
warga
internet.
Bahkan
ditengarai
GCHQ sedang
mengembangkan
cara untuk
mendekripsi
trafik 4
penyedia
layanan
internet
terbesar
dunia,
Hotmail,
Google, Yahoo
dan Facebook.
Sebenarnya
sudah
merupakan
rahasia umum
bahwa
aktivitas
mata-mata
dilakukan oleh
setiap negara
di dunia
seperti yang
dilakukan oleh
NSA dan GCHQ.
Namun dalam
kasus
memata-matai
pengguna
internet
dunia, NSA
memiliki
keunggulan
komparatif
yang luar
biasa
dibandingkan
negara manapun
di dunia.
Alasannya
adalah karena
mayoritas
trafik
internet dunia
berpusat di
Amerika
Serikat dan
penyedia
layanan
internet
terbesar di
dunia terpusat
di Amerika
Serikat.
Salah
satu
'hasil' dari
kerja keras
NSA yang
mendapatkan
dana 250 juta
dolar per
tahun ini
adalah
ditengarai
mereka
berhasil
menyusupkan
celah keamanan
ke dalam
standar
enkripsi
internet
seperti https,
SSL (Secure
Socket Layer)
dan VOIP
(Voice Over
IP) yang
digunakan
secara luas
dalam
pengamanan
situs internet
dan pengamanan
transaksi
keuangan dan
online
shopping
sehingga
secara teknis
NSA dapat
mengetahui
semua
aktivitas yang
anda lakukan
melalui 3
metode
enkripsi
internet yang
paling banyak
digunakan
untuk
melindungi
para pengguna
internet saat
ini.
NSA
memiliki
kekuatan utama
akses dan
kemampuan
menyadap,
selain itu NSA
memiliki
banyak sekali
program yang
mengumpulkan
dan
menganalisa
data trafik
internet
secara
otomatis.
Kegiatan untuk
menyerang satu
target
individu pada
umumnya
dihindari
karena
beresiko dan
membutuhkan
biaya tinggi
dan hanya
dilakukan jika
benar-benar
diperlukan.
Dalam
melakukan
aksinya, NSA
juga cerdik
mengincar
kelemahan
target
serangannya,
NSA lebih
memfokuskan
pada serangan
pada perangkat
jaringan
secara
langsung,
seperti
router, switch
dan firewal.
Alasan
menyerang
peralatan ini
adalah karena
pada
perangkat-perangkat
ini sudah
terpasang
fasilitas
untuk
memata-matai
pemiliknya,
banyak
memiliki celah
keamanan dan
jarang
diupdate
dibandingkan
sistem operasi
atau piranti
lunak di
komputer,
tidak memiliki
piranti lunak
sekuriti untuk
melindunginya
dan pada
umumnya
diabaikan
sebagai sumber
celah
keamanan.
Jika
sangat
diperlukan,
NSA juga
memiliki
kemampuan
menyusupi
komputer yang
dilakukan
melalui TAO
Tailored
Access
Operations.
TAO memiliki
koleksi
eksploit yang
akan mampu
mengalahkan
pengamanan
komputer anda,
apakah anda
menggunakan
Windows, Mac
OS, Linux, iOS
atau lainnya.
Program
antivirus anda
tidak akan
mampu
mendeteksi hal
ini dan anda
akan sulit
menemukan hal
ini, sekalipun
anda cukup
berpengalaman.
Tools ini di
desain khusus
oleh badan
yang memiliki
budget tidak
terbatas.
Dalam
menghadapi
data yang di
enkripsi, NSA
lebih
mengandalkan
teknik
menghancurkan
enkripsi
memanfaatkan
kelemahan
kriptografi
dan bukan
menggunakan
terobosan atau
teknologi baru
untuk
mengalahkan
enkripsi.
Alasannya
tentu karena
teknik ini
jauh lebih
mudah karena
banyak sekali
kriptografi
yang
mengandung
kelemahan.
Sebagai
contoh, jika
mereka
menemukan
koneksi
internet yang
dilindungi
oleh MS-CHAP,
mereka akan
menembusnya
dengan cara
mencari user
password yang
lemah dengan
teknik
sederhana,
dictionary
attack. Guna
menyempurnakan
hal ini, NSA
memanfaatkan
posisinya
untuk memaksa
penyedia
produk
enkripsi
komersial
membocorkan
rahasianya
kepada NSA.
Logikanya
memang
penyedia
solusi
enkripsi
inilah yang
paling
mengetahui
kelemahan
produknya
sendiri. Dua
kasus yang
pernah terjadi
adalah Crypto
AG dan Lotus
Notes
membuktikan
hal ini. Dan
ada kecurigaan
hal ini juga
terjadi pada
Windows. Pada
dasarnya NSA
akan meminta
perusahaan
untuk
memperlemah
pengamanan
guna membuka
jalan masuk
bagi NSA
memata-matai
konsumen
pengguna
aplikasi ini.
Kalau anda
bertanya,
apakah yang
dapat
dilakukan oleh
pengguna
internet agar
terhindar dari
aktivitas
mata-mata ini.
Jujur saja,
jawabannya
tidak ada yang
dapat
dilakukan
untuk menjamin
100 % aman
dari aktivitas
mata-mata.
Beberapa hal
yang mungkin
dapat
dilakukan
adalah
'mempersulit'
aktivitas
mata-mata
terhadap kita
dan membuat
hal ini tidak
layak secara
ekonomis
(kecuali anda
memang
memiliki data
yang sangat
diminati badan
intelijen).
Beberapa hal
yang dapat
anda lakukan
adalah
perhatikan
perangkat
keras jaringan
anda seperti
router atau
switch yang
sering luput
dari
perlindungan
sekuriti.
Beberapa saran
dari Bruce
Scheneider
adalah;
Sembunyikan
diri anda,
gunakan TOR
untuk
menganonimasi
diri anda di
internet.
Gunakan
enkripsi pada
komunikasi
anda seperti
TLS, Ipsec.
Jangan mudah
percaya dengan
penyedia
layanan
enkripsi
komersial,
semakin besar
penyedia
layanan
enkripsi ini
semakin besar
kemungkinannya
berada di
bawah tekanan
NSA.
:a
:b
:c
:d
:e
:f
:g
:h
:i
:j
:k
:l
:m
:n
:o
:p
:q
:r
:s
:t
Tidak ada komentar:
Posting Komentar