Keamanan Digital

Panduan Lengkap Agar Komputer dan Gawai Kita Tak Gampang Diretas (Bagian 3)

Ingin akun Gmail dan Facebook-mu bebas dari peretas? Merasa ada yang memata-matai ponselmu? Berikut tips redaksi Motherboard supaya kalian bisa melindungi diri.

oleh Motherboard Staff
20 November 2017, 9:25am

Ilustrasi oleh Koji Yamamoto & Seth Laupus.

Artikel ini sebelumnya tayang di Motherboard.

Catatan Redaksi: Artikel ini adalah bagian terakhir (dari tiga seri artikel) mengulas tuntas panduan keamanan digital bagi khalayak umum. Sangat mungkin di masa mendatang konten di dalamnya bakal diperbarui, terutama saat muncul perkembangan teknologi baru yang mempengaruhi risiko peretasan. Klik tautan untuk membaca artikel seri pertama dan kedua. Artikel ini secara utuh bisa kalian unduh dalam format PDF.

Salah satu pertanyaan yang paling sering kami dapat dari pembaca Motherboard adalah ini: “Apa yang bisa saya lakukan untuk menghindari kemungkinan diretas?”

Mengingat kehidupan masyarakat modern memaksa kita menaruh banyak kepercayaan terhadap pihak ketiga—misalnya produsen OS, aplikasi, dan gawai—jawaban pertanyaan di atas adalah “maaf, tidak banyak yang bisa kita lakukan buat melindungi privasi dan keamanan diri maupun keluarga.” Coba lihat contoh kasus peretasan besar-besaran Equifax yang mempengaruhi hampir separuh populasi Amerika Serikat. Malaysia baru saja mengalami pembobolan data pelanggan seluler besar-besaran. Tak ada jaminan Indonesia terus aman dari ancaman kejahatan siber.

Setelah sebelumnya membahas prinsip dasar perlindungan privasi dan keamanan digital, bagian ketiga ini akan fokus pada metode agar privasi kalian terlindung dari upaya negara memata-matai warganya.

Sejak serangan teror 11 September 2001, Amerika Serikat sebagai negara adi daya mengembangkan sistem pengawasan dan penggalian data privat, yang melanggar hak-hak warga sipil di seluruh dunia. Semua orang, di manapun dia berada, bisa diawasi oleh mata-mata negara selama terhubung ke Internet. Sekalinya datamu diintip oleh pemerintah, sangat kecil peluangmu bisa menang lewat jalur hukum.

Privasi adalah barang mahal di era informasi seperti sekarang. Siapa bisa menjamin cuma AS yang memata-matai warga? Itu baru lembaga negara. Bagaimana dengan aparat hukum? Legalkah bila email, media sosialmu, dan metadata ponselmu diakses oleh aparat keamanan tanpa sepengetahuan dan tanpa surat perintah pengadilan?

Karena itulah, kami akan memberi beberapa tips. Semua ini hanya langkah-langkah pengamanan, bukan obat paling manjur. Ingat, jangan kira surveillance dari aparat pemerintah merugikan penjahat saja. Aktivis, pegiat demokrasi, orang yang kritis kepada negara, semua bisa kena. Atau, saat ini kalian mungkin cuma karyawan swasta, yang merasa tak punya data menarik minat mata-mata. Oke, tak mengapa, tapi ada baiknya kamu mulai memahami pentingnya menjaga privasi. Teknologi sekarang sudah sangat canggih mengumpulkan, atau malah menyusup, ke dalam komputer dan gawai seseorang untuk mengekstrak semua data hingga percakapan telepon. Rumitnya lagi, secanggih-canggihnya perlindungan diri, kamu bisa dimata-matai ketika tak sengaja membahas satu isu sensitif bersama orang lain (jadi yang dipantau adalah orang lain itu, andai dia tak menerapkan sistem perlindungan diri yang oke).

Perlindungan diri ini sangat penting kita latih sejak dini, apalagi bila kalian sebelumnya tak menerapkannya. Kuncinya satu: jangan merasa gentar sama teknologi. Proses melindungi privasi ini adalah belajar yang tak pernah selesai. Ancaman maupun alat yang bisa kita pakai untuk melindungi diri tentu akan senantiasa berubah. Setidaknya, tips-tips di bawah ini adalah prinsip dasar yang bisa kalian terapkan sesegera mungkin.

MODEL ANCAMAN DARI AKTIVITAS MATA-MATA NEGARA

Seperti di dua artikel sebelumnya, beda model ancaman maka membutuhkan tool berbeda pula. Kami akan memberikan saran tool tertentu, dengan risiko privasi yang mungkin kalian alami. Kami tidak ingin cuma memberi saran, "hei pakai Signal, pakai Tor," tapi tidak menjelaskan bila dua alat tersebut hanya bisa menanggulangi sebagian risiko saja.

Ada dua jenis aktor yang mengancam privasi kalian dalam konteks yang dibicarakan artikel ini. Negara, lewat bermacam instansinya, serta aparat hukum (yang juga perpanjangan negara tapi bergerak dengan jalur berbeda). Di Indonesia kalian tahu kan ada banyak sekali lembaga intelijen, namanya saja sampai kalian tidak hafal. Mungkin kalian cuma tahu BIN dan BAIS, padahal ada bejibun satuan lain dengan fungsi serupa. Polisi dan TNI masing-masing punya divisi intel juga.

Lalu, apa sih yang sebenarnya dicari oleh aktor-aktor negara ketika memata-matai privasi kalian? Dua jenis informasi: metadata (kamu siapa, pernah bicara sama siapa saja, kapan obrolan itu terjadi) dan konten (apa substansi pembicaraan atau informasi yang kamu miliki).

Surveillance negara ini rumit. Tapi intinya, hampir di semua negara, lebih mudah bagi aparat hukum dan intelijen untuk mendapatkan metadata seseorang tanpa sepengetahuannya. Sementara untuk konten, belum secanggih itu teknologi yang ada. Begini skenarionya: katakanlah ada kebijakan Presiden RI yang menurutmu bertentangan dengan demokrasi. Kamu menghubungi teman-temanmu yang punya jaringan aktivis untuk menggelar aksi di kawasan Medan Merdeka. Aktivitasmu menelepon beberapa orang itu akan terekam. Isi percakapan mungkin tak langsung bisa dilihat. Tapi semua metadatanya sangat mudah diakses orang lain (apalagi kalau cuma intelijen negara). Dengan memetakan siapa saja yang kamu hubungi, intel itu langsung bisa menyimpulkan (dugaan sih, tapi lumayan akurat) kira-kira kamu membahas apa.

Saluran komunikasi adalah poin pertama yang harus kamu lindungi, jika ingin menjaga privasimu dari jangkauan tangan-tangan negara.

SIGNAL

Signal adalah layanan pengirim pesan instan yang terenkripsi total. Aplikasi ini dapat digunakan untuk ponsel maupun komputer. Sejauh ini, Signal adalah aplikasi terbaik bagi siapapun—tidak semua tentunya—untuk meminimalisir kebocoran percakapan. Sistem end-to-end encryption di Signal dilaporkan jauh lebih baik ketimbang Whatsapp ataupun Telegram.

Cara memakainya mudah. Kalian cukup mengunduh Signal tanpa biaya lewat app store, baik di iOS maupun Android, buatan Open Whisper Systems. Setelah di-install, maka kalian tinggal membukanya. Nomor kontak di ponsel kalian yang sama-sama memiliki Signal akan langsung bisa dihubungi/ditelepon. Seluruh percakapan kalian otomatis dienkripsi, sehingga mustahil disadap atau diintersep oleh pihak lain.

Keunggulan lain Signal adalah kalian bisa mengatur agar pesan yang dikirim ke pihak lain terhapus setelah jangka tertentu. Data percakapan terhapus sepenuhnya dari semua sistem, baik itu ponsel maupun versi desktop. Karena itulah Signal menjadi andalan jurnalis di berbagai negara untuk menghubungi sekaligus melindungi identitas whistleblower maupun narasumber kasus-kasus penting.

WhatsApp sebetulnya sudah menerapkan sistem serupa Signal. Namun kami tidak menyarankan kalian mengandalkan aplikasi ini, sebab WhatsApp dimiliki oleh Facebook. Ada beberapa bukti menunjukkan WhatsApp bertukar data dengan perusahaan induknya tersebut. Besar peluang metadata percakapan masih bisa bocor karena ada penyeragaman bank data antar anak usaha Facebook.

iMassage, aplikasi bawaan Apple untuk setiap iPhone, juga bisa menjadi alternatif. Namun masalah terbesar iMassage adalah adanya sistem backup pesan langsung ke iCloud. Apple dalam beberapa kasus pernah menyerahkan data konsumen kepada pemerintah AS. Artinya, privasi kalian tidak sepenuhnya aman.

Signal sudah teruji saat dipaksa FBI membuka data percakapan pengguna tahun lalu. Mereka benar-benar hanya menyimpan nomor telepon, tanggal terciptanya akun, serta kapan terakhir kali pengguna memakai Signal. Itu memang masih terhitung data, tapi sama sekali tidak menyentuh privasi kalian.

Keunggulan lain Signal adalah produk organisasi nonprofit. Berbeda dari Telegram misalnya, yang aman sekali, tapi dihasilkan oleh perusahaan yang tujuannya mencari laba. Kita masih belum tahu apa rencana Telegram ke depan untuk memonetisasi bisnisnya. Kekurangan terbesar Signal adalah user interface-nya tidak terlalu nyaman, dibandingkan iMessage dan WhatsApp misalnya, serta mereka masih kekurangan tim pengamanan data pengguna karena minim dana. Jika kalian peduli pada privasi dan merasa nyaman memakai Signal, kami sarankan kalian memberi donasi pada Open Whisper lewat tautan ini.

Satu lagi yang harus kami ingatkan. Enkripsi total tidak akan sepenuhnya menghalangi upaya pemerintah atau intelijen mengakses percakapan tersebut dari sisi penerima atau pengirim pesan. Caranya semisal melalui penyitaan ponsel. Atau ada screencap yang tersebar dari percakapan tersebut. Kalau dua skenario itu terjadi, sama saja game over. Artinya, memakai Signal butuh kepercayaan besar dari kalian dengan pihak yang dihubungi.

AMANKAN MEDIA SOSIAL

Kalian mungkin rutin mengunggah postingan dengan sistem 'public', artinya bisa dibaca siapapun, bahkan yang tidak masuk daftar pertemanan. Kurang-kurangi kebiasaan itu (atau kalau memang kamu adalah aktivis, hentikan sepenuhnya). Di AS, medsos sudah bekerja sama dengan kepolisian memantau siapa saja aktivis yang sering memprotes kekerasan aparat terhadap minoritas kulit hitam. Caranya cuma melihat jenis postingan public seseorang di Facebook, Instagram, dan Twitter.

Sebaliknya, ketika kamu sudah batasi informasi (katakanlah sensitif) hanya untuk daftar pertemanan atau followers, maka perusahaan media sosial harus mendapat surat perintah pengadilan lebih dulu jika aparat hendak mengakses semua postinganmu. Masalahnya, perusahaan medsos itu jenis yang biasa mengkhianati penggunanya. Mereka enteng saja menyerahkan semua data pribadi kita kepada pihak lain, terutama aparat hukum. Akan lebih baik bila kiat mengasumsikan mem-private akun sebetulnya enggak ngefek saat melawan negara. Duh gimana dong? Tidak perlu berhenti mainan sosmed juga kali. Yang penting berhati-hati saja.

Lebih-lebih kalau kamu aktivis. Mulai sekarang, pakai pseudonym saja. Bila informasimu itu tentang korupsi, pelanggaran HAM, atau diskriminasi aparat negara, cara klasik seperti yang dulu dilakukan @triomacan2000 sebetulnya lumayan melindungi. Sayang, pada jadi pemeras sih, malah merugikan aktivis beneran yang ingin menegakkan hak-hak sipil.

Sebagai aktivis (beneran), saran kami jangan suka riya'. Ingat-ingat, kamu nge-tag siapa saja ketika mengunggah foto demonstrasi atau rapat persiapan aksi? Kamu menambahkan informasi lokasi? Tanpa kecerobohan itu saja software yang ada sekarang sudah sangat canggih lho memindai wajah dan melacak siapa nama dan pekerjaan sosok dalam foto tersebut. Buktinya? Lihat saja sugesti tag foto yang diberikan Facebook.

Makanya, cara klasik masih efektif. Kalau kalian mengambil foto orang atau mau melaporkan jalannya demonstrasi kenaikan upah yang digarap organisasimu, pastikan orang-orang tahu sudah difoto. Minta izin sama mereka bila hendak diunggah ke media sosial, jadi risiko dan implikasi foto tersebut sudah dipahami bareng-bareng.

KAMERA GAWAI DAN MIKROFON

Di tempat tinggalmu ada banyak CCTV? Atau di rumah kamu punya beberapa laptop dan gawai yang punya kamera? Webcam adalah salah satu teknologi paling mudah diretas. Jadi, pakai cara klasik ini: tutupi webcam kalau memang sedang tidak dipakai. Untuk ponsel, arahkan kamera ke tempat yang tak bisa melihat informasi penting.

Terutama, kami kasih tahu ya, tutupi kamera depan laptop dan ponselmu. Kamu kan tidak setiap saat selfie (kalau kamu aktivis atau jurnalis, bahkan sebetulnya jarang toh kamu mengambil foto diri sendiri?).

Masalah lain adalah mikrofon. Laptop dan ponsel (tentu saja) zaman sekarang punya alat perekam canggih terpasang di dalamnya, yang membuat percakapan saat kopi darat bisa didengar pihak lain. Kalau khawatir disadap, langkah paling standar adalah jangan bicarakan topik sensitif dengan ponsel sedang ada di saku atau kamu pegang. Percakapan itu bisa disadap dari jauh.

Satu lagi. Bila kamu aktivis, jurnalis, atau orang dengan informasi sensitif, berhati-hatilah bila kamu aktif secara seksual. Apalagi kalau kamu berhubungan seksual bukan dengan pasangan resmi. Matikan semua ponsel, atau letakkan gawai dan komputer di ruangan lain.

Kalian mungkin sekarang tertawa mendengar saran ini. Tapi jurnalis Khadija Ismayilova sudah mengalami sendiri masalah itu pada 2012. Dia sedang menulis laporan kritis terhadap pemerintah Azerbaijan. Tak berapa lama, seseorang memerasnya dengan ancaman video seksnya disebarluaskan. Khadija ngotot mempublikasikan artikel itu, dan videonya senggama disebar lewat Internet. Pada 2015, Khadija dihukum tujuh tahun penjara dengan alasan dibuat-buat. Makanya, selalu lindungi privasi kalian.

BIASAKAN KUNCI LAYAR

Jangan malas. Pasang password (minimal), atau passcode (ini lebih baik) untuk kunci layar ponsel pintar maupun komputermu. Jangan terlena sama sidik jari atau software pengenal wajah hanya karena kamu punya iPhone terbaru. Oh iya, kalian punya hak menolak menyerahkan atau mengatakan password gawai kepada penegak hukum bila memang tidak melakukan pelanggaran pidana.

CHATTING PAKAI OTR SAJA

Bagi kami, pilihan terbaik chatting di laptop atau komputer membicarakan isu sensitif sebagiknya pakai Signal versi desktop. Tapi, ada pilihan lain untuk para aktivis dan jurnalis. Yakni Off The Record (OTR) chat. Sistem ini seperti Signal, hanya bisa diakses jika lawan bicara kalian juga menggunakan OTR. Pengguna Mac bisa install Adium, sementara untuk PC (dan Linux) pilihan yang tersedia adalah install Pidgin lengkap dengan OTR plugin-nya.

Sistem OTR itu sebaiknya digunakan setelah kalian menutup gmail atau layanan email kalian. OTR diakses memakai email, tapi email tak perlu aktif. Di setting, kalian bisa atur agar tidak ada logs yang tercatat selama percakapan terenkripsi kalian berlangsung.

BROWSING INTERNET DENGAN TOR

Tor, yang namanya berasal dari akronim "The Onion Router", akan mengacak traffic Internet ke beberapa lapisan. Dengan demikian, ketika kamu mengakses suatu situs, pihak lain—bahkan hosting situs itu sendiri—tidak bisa memetakan dari mana asalmu. Tor adalah browser, sama seperti Safari, Mozilla, atau Google Chrome. Untuk memakainya, cukup install Tor Browser. Karena ada upaya mengacak traffic dan melindungi privasimu, Tor lebih lambat daripada nama-nama peramban yang disebut sebelumnya.

Tentu saja, pakai Tor tidak menjamin privasimu aman. Jangan lakukan kesalahan sembrono seperti nonton Netflix pakai Tor, karena data pribadimu tetap terekam di sana.

Yang kamu lindungi dengan memakai Tor adalah IP address (menggambarkan di mana posisimu dan siapa dirimu). Ini alasan-alasan lain untuk kamu pertimbangkan, apakah butuh Tor atau tidak:

  • Kamu ingin melindungi identitasmu, misalnya kamu punya bocoran korupsi
  • Kamu sering Internetan memakai WiFi gratis di ruang publik
  • Kamu sedang menghindari sensor pemerintah (biasanya jurnalis mengalaminya)
  • Kamu hendak melindungi narasumber atau saksi penting suatu kasus

Faktor utama kamu perlu Tor adalah jika banyak aktivitas digitalmu berkaitan dengan topik-topik sensitif di atas, tapi koneksimu ke Internet seringkali terhubung lewat WiFi publik (misalnya di kafe, bandara, hotel, atau taman kota). Kalau kamu jenis yang seperti itu, jangan lagi menunda keputusan pakai Tor. Browser ini memberi manfaat seperti VPN, tanpa kekurangan yang menyelimuti VPN. Kamu tahu kan, VPN premium butuh kartu kredit. Nah, dari data pembayaran kartu kredit itu kamu masih bisa dilacak. Tor tidak butuh apa-apa, tinggal kalian pakai.

Sedikit saran: Tor sebetulnya tidak sepenuhnya bebas peretasan. Pemerintah AS rupanya pernah berhasil meretas kelompok yang menggunakan Tor. Gambarannya begini, Tor membuat pihak lain sangat sulit masuk ke dalam traffic dari komputermu. Sangat sulit bukan berarti mustahil dimasuki ya. Untuk orang awam dan bebas dari masalah-masalah di atas, minimal Tor membuatmu terbebas dari ulah hacker iseng yang mungkin ingin mencuri password emailmu. Tapi, ingat, jangan terus gembar-gembor identitas, sambil buka Twitter atau Facebook lewat Tor. Sama aja bohong mah kalau gitu.

Tapi Tor tetap penting karena yang kita bicarakan adalah perlindungan dasar. Tor lebih baik dari VPN, sementara punya VPN lebih baik daripada tak punya sama sekali.

APA ANCAMAN DI MASA DEPAN (?)

Setelah semua penjelasan ini, kalian tentu bertanya, kira-kira seperti apa lagi metode negara dan intelijen memata-matai warganya? Jujur, kami dari redaksi Motherboard juga belum tahu persis. Panduan ini kami rancang berdasarkan pengalaman selama tiga tahun terakhir, didasarkan pada kasus-kasus pelanggaran privasi yang sudah terjadi di beberapa negara, terutama Amerika Serikat. Belum ada jaminan panduan kami akan selalu efektif. Sangat mungkin di masa mendatang, pemerintah AS akhirnya melarang sistem percakapan yang sepenuhnya terenkripsi. Atau, negara kalian meniru langkah Cina menyensor semua jenis komunikasi via Internet. Ada juga spekulasi, beberapa pemerintah bakal mewajibkan registrasi KTP (seperti aturan pengguna ponsel di Indonesia), sehingga menjadi anonim di Internet semakin sulit saja.

Beberapa spekulasi tersebut sangat mungkin mendapat penolakan dari masyarakat sipil, jadi tidak perlu khawatir. Peluang kemunculannya tetap ada, tapi mustahil diimplementasikan negara dalam waktu dekat.

Ada kemungkinan juga, aplikasi seperti Signal akan sepenuhnya dilarang. Ketika perkembangan itu benar-benar terjadi, kami akan segera memutakhirkan data dalam panduan ini mengikuti perubahan situasi.

JANGAN TERLALU PARNO, YANG PENTING HATI-HATI

Begitu dulu panduan yang kami berikan, agar pembaca sekalian bisa melindungi privasi dari peretas maupun intelijen negara. Sekali lagi, kami perlu ingatkan, panduan ini disusun mempertimbangkan pengguna komputer dan gawai awam teknologi. Tidak semua panduan kami bisa dipakai begitu saja oleh orang tertentu. Misalnya, jika kamu pegiat HAM di wilayah konflik atau di negara yang tidak demokratis, sebaiknya kamu berkonsultasi dengan peretas yang bisa jadi sekutu, mencari pola komunikasi lebih maksimal dibanding yang telah kami jabarkan dalam seri artikel ini. Aktivis, jurnalis, dan whistleblower korupsi juga sebaiknya lebih waspada tiap membuka gawai atau komputer utama yang memiliki data sensitif. Minimal, panduan kami bisa memberitahu hal-hal mendasar yang harus diketahui orang untuk melindungi keamanan digitalnya.

Barangkali ada dari sebagian pembaca yang melihat kelemahan dari panduan kami, atau menganggap data kami tidak akurat, silakan kirim kritik dan saran. Kami sadar sekali, keamanan digital adalah isu yang bisa berubah hanya dalam hitungan hari, mengingat teknologi berkembang begitu gegas. Tapi, kami ingin menegaskan, tak perlu paranoid. Menjaga privasi perlu perjuangan ekstra, tapi jangan sampai kalian ketakutan.

Ingatlah satu pesan ini: senantiasa waspada dan ingatlah selalu ada jalan keluar untuk menjaga privasi kalian!


*Semua paparan dalam artikel kali ini fokus perlindungan diri dari intelijen dan pengumpuan data oleh negara. Sebelumnya, kami menjelaskan apa yang harus dilakukan untuk melindungi password email, medsos, dan ponsel secara umum. Kalau belum baca, klik tautan ini dan ini.