Panduan Lengkap Agar Komputer dan Gawai Kita Tak Gampang Diretas (Bagian 1)

Artikel ini pertama kali tayang di Motherboard.

Catatan Redaksi: Artikel ini adalah bagian pertama (dari rencananya tiga seri artikel) mengulas tuntas panduan keamanan digital bagi khalayak umum. Sangat mungkin di masa mendatang konten di dalamnya bakal diperbarui, terutama saat muncul perkembangan teknologi baru yang mempengaruhi risiko peretasan. Artikel ini secara utuh bisa kalian unduh dalam format PDF. Bagian kedua yang fokus soal pengamanan ponsel bisa dibaca di sini. Sedangkan bagian ketiga membantu kita menghindari upaya surveillance intelijen.

Videos by VICE

Salah satu pertanyaan yang paling sering kami dapat dari pembaca Motherboard adalah ini: “Apa yang bisa saya lakukan untuk menghindari kemungkinan diretas?”

Mengingat kehidupan masyarakat modern memaksa kita menaruh banyak kepercayaan terhadap pihak ketiga—misalnya produsen OS, aplikasi, dan gawai—jawaban pertanyaan di atas adalah “maaf, tidak banyak yang bisa kita lakukan buat melindungi privasi dan keamanan diri maupun keluarga.” Coba lihat contoh kasus peretasan besar-besaran Equifax yang mempengaruhi hampir separuh populasi Amerika Serikat. Malaysia baru saja mengalami pembobolan data pelanggan seluler besar-besaran. Tak ada jaminan Indonesia terus aman dari ancaman kejahatan siber.

Peretas masa sekarang mampu mencuri jutaan kata sandi sekali beraksi. Tindakan mereka sudah pernah menyebabkan kelumpuhan sistem besar-besaran. Masa depan bertambah suram mengingat tingginya ancaman bencana di dunia nyata akibat internet. Teknologi makin terkoneksi satu sama lain melalui Internet. Tanpa perlindungan diri, robot rumahan bisa membunuhmu, ada laptop drone peretas yang bisa terbang, bahkan sekarang muncul ancaman peretas bisa mendapatkan data genetikmu. Sementara itu, meningkatnya pengawasan yang dilakukan pemerintah dan polisi juga merupakan ancaman terhadap privasi digital kita.

Tentu ini bukan berarti tidak ada harapan. Ada banyak hal yang kamu bisa lakukan untuk membuat peretas atau surveilans kesulitan mengakses gawai dan akun onlinemu. Panduan kami bertujuan memberikanmu langkah-langkah yang mudah diikuti untuk meningkatkan keamanan digitalmu. Secara garis besar, ada dua jenis peretasan: jenis yang tidak bisa dicegah oleh pengguna, dan jenis yang masih bisa dicegah. Kami akan membantumu mengurangi kerusakan akibat peretasan jenis pertama dan mencegah peretasan jenis kedua terjadi.

Kamu, sebagai pengguna individual, tidak bisa melakukan apa pun untuk mencegah provider email, atau perusahaan yang memegang informasi finansialmu diretas. Tapi kamu bisa menghindari serangan phishing yang dapat memberikan seorang peretas akses ke dalam akun email pribadimu, dan kamu bisa mencegah kata sandimu yang telah diretas untuk digunakan dalam akun lain yang juga kamu miliki.

Panduan ini tidak komprehensif dan juga hanya bersifat umum. Tidak ada yang namanya “keamanan sempurna” dan tidak ada solusi yang sama bagi setiap kasus. Kami berharap artikel ini akan menjadi titik awal bagi orang untuk menutup lubang-lubang berbahaya dalam kehidupan digital mereka.

Itulah sebabnya kami berusaha membuat panduan seaksesibel mungkin. Tapi apabila kamu menemukan istilah yang tidak kamu mengerti, ada glosarium di akhir panduan untuk membantumu memahami lebih lanjut istilah-istilah teknis.

Panduan ini merupakan hasil kerja keras staf Motherboard masa lalu dan sekarang , dan telah dicek ulang oleh beberapa sumber kami.

Berikut Panduan Motherboard Untuk Menghindari Peretasan:

Prinsip Dasar Keamanan Digital

MODEL ANCAMAN

Semua info panduan ini dimulai dengan deskripsi “Model Ancaman,” yang merupakan istilah peretas menaksir seberapa besar kemungkinan kamu akan diretas atau diawasi. Ketika memikirkan bagaimana caranya melindungi komunikasi digital, sangat penting untuk menyadari apa yang kamu lindungi, dan dari siapa. “Tergantung dari model ancaman” adalah frasa yang biasa diucapkan seorang infosec profesional ketika ditanya soal masalah ini. Intinya, jawaban dari pertanyaan seputar keamanan “terbaik” adalah “ya tergantung.”

Setiap skema keamanan berbeda-beda. Jenis perlindungan yang kamu butuhkan tergantung dari siapa yang mungkin berusaha meretas akunmu, atau membaca pesan-pesan pribadi. Kabar buruknya adalah tidak ada senjata yang bisa melawan semua jenis serangan. Kabar baiknya? Kebanyakan orang memiliki model ancaman yang bisa digunakan agar tidak perlu parno soal keselamatan identitas online.

Jadi sebelum melakukan apapun, kamu perlu memikirkan model ancamanmu.

Electronic Frontier Foundation menyarankanmu menanyakan lima pertanyaan ini ke diri sendiri ketika berencana mengulik model ancaman:

  • Apa sedang kamu lindungi?
  • Kamu berusaha melindungi privasi akunmu dari siapa?
  • Seberapa besar kemungkinan kamu butuh perlindungan?
  • Seburuk apa konsekuensinya apabila kamu gagal melindungi privasi?
  • Sebesar apa pengorbanan dan kerepotan yang siap kamu ambil demi melindungi akun di dunia digital?

Apakah ancamanmu mungkin mantan pacar yang berusaha meretas akun Facebookmu? Kalau begitu, pastikan mereka tidak tahu kata sandi akun FB-mu. (Jangan pernah membagi kata sandi penting dengan orang lain, tidak peduli siapapun). Apakah kamu berusaha menghindari doxer (seseorang yang membeberkan informasi pribadi orang lain atau perusahaan ke publik) mendapatkan informasi pribadimu—seperti tanggal ulang tahun—yang bisa digunakan untuk menemukan detil lainnya? Kalau begitu, berhati-hati dengan informasi pribadi yang kamu unggah ke media sosial adalah ide yang baik.

Otentikasi dua tahap (dijelaskan lebih lengkap nanti) adalah cara yang baik untuk menangkal bentuk kejahatan yang lebih serius. Apabila kamu seorang aktivis, jurnalis, atau punya alasan untuk takut terhadap pemerintah dan hukum yang mungkin ingin meretas atau mengawasimu, langkah-langkah yang kamu harus ambil untuk melindungi diri akan jauh berbeda dengan orang lain.

Mengkhawatirkan ancaman yang berlebihan juga bisa menjadi masalah: apabila kamu menggunakan sistem operasi khusus, mesin virtual khusus dan tetek bengek teknis lainnya biarpun sebetulnya tidak perlu (atau kamu tidak tahu cara menggunakannya), kamu kemungkinan besar hanya membuang-buang waktu dan justru membuat diri rentan. Dalam skenario terbaik pun, melakukan pekerjaan-pekerjaan yang sederhana akan memakan lebih banyak waktu. Dalam skenario terburuk, kamu akan terbuai dengan ilusi rasa aman menggunakan jasa dan perangkat keras yang sebetulnya tidak perlu, dan justru mengabaikan ancaman nyata yang sebetulnya kamu hadapi.

Di beberapa bagian, panduan ini akan memberikan langkah-langkah spesifik apabila kamu memiliki model ancaman yang lebih canggih. Tapi secara umum, panduan ini didesain bagi orang-orang yang ingin mengetahui prinsip dasar cara memperkuat keamanan digital mereka. Apabila model ancamanmu mencakup peretas NSA atau grup-grup elit macam Fancy Bear, sebaiknya kamu meminta nasihat dari sosok profesional.

PASTIKAN SEMUA APLIKASI SELALU DIPERBARUI

Mungkin salah satu hal paling mendasar dan penting yang kamu bisa lakukan untuk melindungi diri adalah terus memperbaharui versi perangkat lunak. Artinya, teruslah gunakan versi terbaru dari sistem operasional apapun yang kamu gunakan. Jangan lupa juga memperbaharui firmware di router, alat-alat tersambung lainnya, dan gawai apapun yang tersambung ke internet.

Perlu diingat bahwa komputermu sendiri tidak harus menggunakan sistem operasional terbaru. Dalam kasus tertentu, bahkan versi lama sistem operasional masih tetap mendapat update keamanan. (Sayangnya, ini tidak berlaku bagi Windows XP—jadi berhentilah pakai Windows XP!) Yang paling penting adalah OS-mu tetap mendapat update keamanan.

Jadi itu pelajaran pertamamu: update, update, update, atau patch, patch, patch.

Banyak serangan cyber memanfaatkan kecacatan dalam perangkat lunak yang tertinggal versinya seperti browser lama, PDF reader, atau spreadsheet dan word-processing tool. Dengan cara memperbaharui semua software, kamu menurunkan resiko menjadi korbal malware, karena tim manufaktur dan pengembang software yang bertanggung jawab selalu memperbaharui produk mereka setelah jenis peretasan baru muncul.

Kadang, peretasan terjadi karena tidak banyak penghalangnya: para peretas mengincar target yang mudah. Misalnya, para peretas yang bertanggung jawab atas menjangkitnya ransomware berbahaya yang dikenal sebagai WannaCry menghantam korban yang selama beberapa minggu tidak memperbaharui software keamanan mereka. Dengan kata lain, mereka tahu mereka bisa masuk karena korban tidak mengganti kunci pintu biarpun kuncinya sudah dimiliki semua orang.

KATA SANDI (PASSWORD)

Kita semua tidak suka punya banyak kata sandi. Kecenderungannya kita mau yang mudah diingat. Inilah alasan beberapa orang menggunakan password yang sama berulang-ulang. Menggunakan kata sandi yang sama itu berbahaya karena apabila misalnya seorang peretas berhasil menemukan kata sandi akun Netflix atau Spotify-mu, mereka bisa menggunakannya untuk masuk ke dalam akun bank dan menghabiskan kartu kreditmu. Biarpun otak manusia sebetulnya gak buruk-buruk amat perihal mengingat kata sandi, hampir tidak mungkin mengingat puluhan password yang unik dan berbeda-beda.

Kabar baiknya adalah solusi bagi masalah ini sudah ada di luar sana: password manager. Ini adalah app atau perpanjangan browser yang bertugas mengingat semua kata sandi untukmu, secara otomatis membantumu menciptakan password yang baik, dan mempermudah kehidupan online. Dengan app ini, kamu hanya perlu mengingat satu kata sandi guna membuka ruang besi berisikan semua passwordmu yang lain.


Baca juga artikel ini supaya kalian tak sembrono mengumbar data pribadi:

Password tunggal tersebut harus bagus lho tapi. Gak usah pake huruf besar, simbol, atau angka. Cara termudah untuk membuat master password yang aman alah dengan cara memparafrasa beberapa kata acak tapi mudah diucapkan—dan maka dari itu mudah diingat. Misalnya: floodlit siesta kirk barrel amputee dice (jangan pake yang ini ya).

Selama kamu sudah memiliki satu password master, kamu bisa menciptakan kata sandi dengan berbagai karakter untuk hal yang lain, selama kamu membuatnya dengan password manager dan tidak menggunakannya untuk hal lain.

Mungkin kamu berpendapat tidak bijak menyimpan semua kata sandi dalam komputer menggunakan password manager pihak ketiga. Kalau ada peretas masuk gimana? Bukannya mendingan menyimpan password di dalam kepala? Resiko ada seorang penjahat menggunakan password curian jauh lebih besar daripada seorang peretas canggih secara independen menargetkan database passwordmu. Misalnya, apabila kamu menggunakan kata sandi yang sama untuk beberapa situs, dan password tersebut dicuri ketika Yahoo! Sedang diretas secara masal, password tersebut bisa dengan mudah digunakan untuk membuka akun Gmail, Uber, Facebook dan banyak situs lainnya. Beberapa password manager menyimpan kata sandimu terinkripsi dalam cloud, jadi kalaupun perusahaan teretas, passwordmu akan tetap aman. Contoh: password manager LastPass sudah pernah diretas dua kali, tapi tidak ada password yang berhasil dicuri karena perusahaan menyimpan mereka dengan aman. Ini semua masalah mengerti model ancamanmu aja sih.

Jadi, tolong, mulai gunakan password manager. Banyak kok pilihannya: 1Password, LastPass, atau KeePass. Tidak ada alasan untuk tidak melakukan ini. Ini akan membuatmu—dan orang lain—lebih aman, dan hidup lebih tenang.

Dan apabila bosmu meminta kamu mengganti password secara berkala demi keamanan, bilang itu ide yang buruk. Apabila kamu menggunakan password manager, otentifikasi dua tahap (liat di bawah), dan memiliki kata sandi unik yang kuat untuk setiap akun, tidak perlu tuh mengganti mereka setiap saat—kecuali ada pelanggaran dalam server atau entah bagaimana kata sandimu dicuri.

OTENTIFIKASI DUA TAHAP

Memiliki password yang unik dan kuat adalah tahap pertama, tapi mereka tetap bisa dicuri. Jadi untuk akun-akun yang penting (email, Facebook, Twitter, akun finansial atau perbankan) kamu sebaiknya menambahkan lapisan pengamanan yang disebut otentifikasi dua tahap. Sekarang sudah banyak kok jasa yang menawarkan dua tahap ini, jadi semakin banyak akun yang kamu lindungi menggunakan ini, semakin baik. Kamu bisa lihat semua daftar jasa yang menawarkan otentifikasi dua tahap di twofactorauth.org.

Dengan mengaktifkan otentifikasi dua tahap, kamu tidak bisa masuk ke dalam akun hanya menggunakan password semata. Biasanya sebuah kode numerikal dikirim ke ponselmu via SMS, atau bisa juga kode yang dibuat oleh applikasi khusus (yang lumayan berguna apabila kamu sedang tidak dapet sinyal), atau token kecil (seperti token BCA).

Tahun lalu, banyak diskusi dilakukan mengenai apabila pesan SMS bisa dianggap sebagai “bentuk verifikasi kedua” yang aman. Nomor ponsel aktivis Deray McKesson sempat diretas, yang artinya peretas bisa menerima kode keamanan. Baru-baru ini, National Institute of Standards and Technology (NIST), bagian dari pemerintah AS yang menulis panduan tentang keamanan menyarankan agar kita tidak menggunakan otentifikasi lapis dua dengan SMS.

Kasus serangan terhadap Deray juga terjadi akibat “rekayasa sosial.” Dalam kasus ini, seorang staf customer service ditipu oleh seorang kriminal dan membuat Deray rentan diserang. Penyerang meminta perusahaan provider jasa telepon Deray untuk menerbitkan kartu SIM baru ke penyerang. Sehingga ketika mereka menggunakan faktor keamanan pertama (password) untuk masuk ke akun, kode faktor keamanan kedua juga langsung dikirim ke mereka via sms. Ini adalah bentuk peretasan yang semakin umum.

Sulit untuk bertahan melawan serangan seperti ini, dan sedihnya, tidak ada bentuk pertahanan yang sempurna. Tapi berikut adalah langkah-langkah yang kamu bisa ambil untuk membuat penyerangan macam ini semakin sulit dilakukan.

Menggunakan otentifikasi lapis dua dengan SMS merupakan sebuah perjudian. Sangat mungkin penyerang menggunakan IMSI-catcher, biasa dikenal sebagai Stingray, untuk menyadap semua komunikasi ponselmu, termasuk teks verifikasi. Kami tidak berusaha menakutimu, tapi berusaha menyarankanmu untuk menggunakan applikasi otentifikasi atau token fisik sekalian.

Kalau bisa, gunakan opsi otentifikasi dua lapis yang bukan berbasis SMS, misalnya applikasi macam Google Authenticator, DUO Mobile, Authy, atau token fisik.

Jangan gunakan Flash:
Flash adalah salah satu perangkat lunak yang paling tidak aman dalam sejarah komputer. Peretas menyukai Flash karena lubangnya lebih banyak daripada keju Swiss. Kabar baiknya adalah banyak situs sudah menghindari Flash jadi kamu tidak memerlukan software ini lagi untuk bisa menikmati pengalaman browsing yang maksimal. Kalau masih ada di komputer, hapus deh, atau paling tidak ganti settingannya sehingga kamu harus ngeklik setiap kali untuk menggunakan Flash.

Install antivirus:
Iya iya, yang ini basi, tapi emang berguna kok. Ironisnya, Antivirus itu banyak cacatnya, tapi kalau kamu bukan target peretas tingkat nasional, memiliki antivirus adalah ide yang baik. Tapi tetap saja antivirus bukanlah solusi yang maksimal, dan di 2017 ini, kamu akan membutuhkan lebih dari antivirus untuk bisa aman. Sadari juga bahwa antivirus itu adalah software yang sangat invasif: ia perlu masuk ke dalam komputermu untuk bisa melakukan scan dan menyetop malware. Invasi ini kadang disalahgunakan. Misalnya, pemerintah AS pernah menuduh Kaspersky Lab, salah satu software antivirus paling terkenal di dunia, membagikan dokumen sensitif negara kepada pemerintah Rusia.

Gunakan plugin security:
Kadang, untuk bisa meretasmu, seorang peretas hanya perlu agar kamu masuk ke situs yang tepat—penuh dengan malware. Maka dari itulah, penting untuk menginstall plugin sederhana macam adblocker, yang melindungimu dari malware bersembunyi dalam iklan yang muncul dari situs-situs mencurigakan.


Baca juga artikel ini, bukti ancaman serangan siber dalam kehidupan sehari-hari:

Plugin lainnya yang berguna adalah HTTPS Everywhere, yang memaksa koneksimu dienkripsi (apabila situs mengizinkan). Tindakan ini tidak akan menyelamatkanmu apabila situsnya memiliki malware, tapi dalam kasus tertentu, ini membantu menghalangi peretas dari mengarahkanmu ke versi palsu dari situs tersebut, dan secara umum melindungimu dari peretas yang berusaha mengganggu koneksimu ke situs yang sesungguhnya.

Install VPN:
Virtual Private Networks adalah saluran aman yang menghubungkan komputermu dengan internet. Dengan menggunakan VPN, kamu menambah satu lapisan keamanan dan privacy. Ketika kamu menggunakan internet di ruang publik, misalnya Starbucks, bandara, atau bahkan apartemen Airbnb, kamu berbagi jaringan dengan orang-orang yang tidak dikenal. Dan apabila dalam jaringanmu ada seorang peretas, mereka bisa mengganggu koneksi dan bahkan mungkin komputermu. Tentu kamu perlu melakukan riset sebelum menginstall VPN, karena gak semuanya bagus (yang gratis tidak memberi pengamanan yang baik). Kami merekomendasikan Freedome, Private Internet Access, atau bagi pengguna teknis, Algo.

Matikan macros:
Peretas bisa menggunakan macros Microsoft Office di dalam dokumen untuk menyebarkan malware ke dalam komputer. Ini adalah trik lama, tapi baru-baru ini kembali populer. Matikan macros!

Selalu backup data:
Ini mah semua orang udah tau, tapi apabila kamu khawatir peretas menghancurkan atau mengunci filemu (dengan ransomware misalnya), maka memiliki versi cadangan adalah ide yang baik. Idealnya, lakukan ini ketika kamu tidak terhubung dengan jaringan ke dalam hard drive eksternal, jadi apabila kamu terinfeksi dengan ransomware, file cadangan akan tetap bersih.

Jangan mengumbar data pribadi berlebihan:
Orang suka berbagi apapun tentang kehidupan pribadi lewat media sosial. Tapi tolong deh, jangan ngetweet foto kartu kredit atau boarding pass, misalnya. Secara umum, penting untuk disadari bahwa setiap postingan di sosmed bisa dilihat oleh siapapun di internet.

Informasi pribadi seperti alamat rumah atau SMA bisa digunakan untuk mencari lebih banyak informasi via skema rekayasa sosial. Semakin banyak informasi pribadi yang penyerang miliki, semakin mungkin mereka mudah mengakses salah satu akun media sosialmu. Coba deh paling enggak, tingkatkan setting privacy di akun-akunmu.

Jangan buka attachment secara sembrono:
Selama beberapa dekade, kriminal cyber menyembukan malware di dalam attachment seperti dokumen Word atau PDF. Antivirus kadang bisa menghentikan ancaman ini, tapi tetap lebih baik menggunakan akal sehat: jangan membuka attachment (atau mengklik tautan) dari orang-orang yang tidak dikenal. Dan apabila kamu harus nekat, lakukanlah secara pintar, seperti membuka attachment dalam Chrome (tanpa mengunduh filenya). Lebih baik lagi, simpan file ke Google Drive, kemudian buka dalam Drive. Ini lebih aman karena filenya dibuka oleh Google, dan bukan komputermu.

Kita kini tinggal di sebuah dunia yang mana smartphone menjadi gawai utama aktivitas sehari-hari. Tidak hanya lebih sering menggunakan ponsel dibanding komputer desktop, kita juga membawa ponsel kemana-mana. Jadi tidak heran apabila peretas semakin gencar menargetkan ponsel sebagai sasaran mereka.

*Artikel selanjutnya membahas cara melindungi keamanan digital ponsel kalian, klik di sini untuk membacanya. Sedangkan cara menghindari dimata-matai negara, baca di sini.