Panduan Lengkap Agar Komputer dan Gawai Kita Tak Gampang Diretas (Bagian 2)

Artikel ini pertama kali tayang di Motherboard.

Catatan Redaksi: Artikel ini adalah bagian kedua (dari rencananya tiga seri artikel) mengulas tuntas panduan keamanan digital bagi khalayak umum. Sangat mungkin di masa mendatang konten di dalamnya bakal diperbarui, terutama saat muncul perkembangan teknologi baru yang mempengaruhi risiko peretasan. Artikel ini secara utuh bisa kalian unduh dalam format PDF. Artikel seri pertama bisa dibaca di sini, lalu lanjut baca panduan seri ketiga.

Salah satu pertanyaan yang paling sering kami dapat dari pembaca Motherboard adalah ini: “Apa yang bisa saya lakukan untuk menghindari kemungkinan diretas?”

Mengingat kehidupan masyarakat modern memaksa kita menaruh banyak kepercayaan terhadap pihak ketiga—misalnya produsen OS, aplikasi, dan gawai—jawaban pertanyaan di atas adalah “maaf, tidak banyak yang bisa kita lakukan buat melindungi privasi dan keamanan diri maupun keluarga.” Coba lihat contoh kasus peretasan besar-besaran Equifax yang mempengaruhi hampir separuh populasi Amerika Serikat. Malaysia baru saja mengalami pembobolan data pelanggan seluler besar-besaran. Tak ada jaminan Indonesia terus aman dari ancaman kejahatan siber.

Setelah sebelumnya membahas prinsip dasar perlindungan privasi dan keamanan digital, bagian kedua ini akan fokus pada cara-cara supaya kalian bisa melindungi ponsel iPhone ataupun Android dari serangan peretas.

Kebanyakan orang menggunakan passcore, password, atau pola untuk “mengunci” ponsel. Kalau kamu belum melakukan ini, segeralah lakukan! (Pola lebih mudah dibongkar dibanding pin atau passcode, menurut sebuah penelitian terbaru.) Salah satu ancaman terbesar bagi ponsel adalah seseorang yang memiliki akses fisik ke ponsel tersebut dan bisa membuka kuncinya. Ini artinya tingkat keamananmu hanya sekuat passcodenya: apabila memungkinkan, hindari menyebarkan kode atau kata kunci, dan hindari menggunakan kode yang mudah ditebak seperti tanggal ulang tahun atau alamat rumah. Passcode dan password sederhana sekalipun bisa membantu menghambat pencopet atau penjambret, namun tidak terlalu berguna apabila kamu mengkhawatirkan partner abusif yang tahu nomor PIN ponselmu, misalnya. Berikut, beberapa hal mendasar yang bisa kamu lakukan untuk mencegah ancaman terhadap ponsel:

Hampir semua orang dalam dunia cybersecurity—kecuali mungkin insinyur yang kerja buat Android—meyakini bahwa iPhone adalah ponsel yang paling aman. Ada beberapa alasan di balik ini, namun yang paling utama adalah iOS, sistem operasional ponsel Apple, sangat rapat terkunci. Semua aplikasi di ekosistem iPhone harus melalui berbagai pemeriksaan intensif sebelum masuk ke Apple store, dan ada banyak tindakan pengamanan yang dilakukan, misalnya semua app harus mendapat kode persetujuan dan ditanda-tangani secara digital oleh Apple (disebut code-signing) dan bahwa applikasi dibatasi masuk ke dalam applikasi lain (dijuluki sandboxing).

Fitur-fitur ini membuat peretas kesulitan menyerang titik sensitif sistem operasional ponsel. Karena Apple mengendalikan infrastruktur iOS, iPhone mendapat update dan patch keamanan reguler dan cepat dari Apple. Bandingkan sama update keamanan berbagai ponsel Android yang bisa memakan berminggu-minggu, atau malah berbulan-bulan. Seri lama iPhone 5 yang dirilis 2013 aja masih dapat update.

Jadi kalau kamu orangnya parnoan, iPhone bisa dibilang ponsel paling aman. Kecuali kamu memiliki alasan yang kuat, JANGAN pernah jailbreak iPhone milikmu. Biarpun gerakan jailbreaking dan para peretas dibelakangnya telah berkontribusi membuat iPhone lebih aman, jailbreaking iPhone di titik ini tidak memberikanmu fitur ekstra yang setara dengan resiko yang kamu terima. Dulu, peretas sempat melakukan penyerangan besar-besaran terhadap iPhone yang telah di-jailbreak. Tentu saja, tidak ada produk teknologi yang tidak bisa diretas. Kita semua tahu pemerintah AS memiliki teknologi bernilai jutaan dollar yang sanggup meretas iPhone, dan mungkin beberapa penjahat yang canggih juga memiliki alat semacam ini. Tapi ya selama kamu menggunakan iPhone, rajin install update, dan gak pernah jailbreak, kayaknya kamu akan aman-aman aja.

Android telah menjadi sistem operasional paling populer di dunia berkat sifatnya yang terdesentralisasi dan open-source. Selain itu harga ponselnya jauh lebih murah dibanding iPhone. Sebetulnya dalam berbagai sisi, sifat open-source ini adalah kekurangan besar Android: Google menukar kendali, dan tentunya keamanan, demi meningkatnya tiap lembar saham mereka karena untung gede dari lisensi Android. Karena itulah update keamanan yang penting semuanya dikendalikan oleh perusahaan manufaktur gawai yang terkenal lesu soal mengirimkan update. Kabar baiknya, dalam dua tahun terakhir, banyak perkembangan di ranah ini. Google telah mendorong banyak perusahaan partner untuk mengirimkan update bulanan ke pengguna ponsel, dan gawai Android sudah memiliki fasilitas dukungan serupa dengan yang Apple berikan ke iPhone. Jadi pilihan terbaik jatuh ke ponsel Pixels atau Nexus, yang hanya mengandalkan Google untuk penjagaan keamanan. Tapi kalau kamu tidak suka ponsel Google, ponsel berikut juga memiliki track record yang baik dalam hal update keamanan, menurut Google sendiri. Apapun ponsel Android yang kamu miliki, berhati-hatilah tentang app apa yang kamu install. Peretas sering berhasil memasukkan app penuh virus ke Play Store, jadi berpikirlah dua kali sebelum menginstall aplikasi yang tidak dikenal, atau paling tidak cek dan ricek app tersebut terlebih dahulu. Belum lama ini, versi palsu WhatsApp sampai diinstall lebih dari sejuta pengguna Android. Ingat juga untuk selalu mengunggah app dari Play Store, dan hindari menginstall app dari store pihak ketiga yang bisa jadi berbahaya. Untuk melindungi data di ponsel Android, pastikan fitur enkripsi full disk diaktifkan. Buka “Setting”, pergi ke “Security” dan klik “Encrypt Phone” apabila fitur ini belum diaktifkan. (Apabila instruksi ini tidak bekerja di ponselmu, Google instruksi spesifik untuk jenis gawaimu). Dan yang terakhir, biarpun tidak harus, mungkin ada baiknya kamu menginstall app mobile antivirus seperti Lookout atau Zips. Biarpun mereka tidak bisa menghentikan peretas level pemerintah, mereka masih bisa efektif melawan malware penjahat.

Baru-baru ini, redaksi Motherboard sempat menulis tentang peretas yang mengeksploitasi bug berbahaya di situs T-Mobile untuk menarik data pribadi pelanggan yang kemudian bisa digunakan untuk mencuri identitas korban dan memanipulasi teknisi pendukung T-Mobile untuk mengeluarkan kartu SIM baru. Serangan macam ini, disebut sebagai “penukaran SIM” atau “pembajakan SIM" sehingga peretas dapat mengambil alih nomor ponselmu, dan semua yang berhubungan dengannya. Pembajakan SIM-lah yang membuat otentifikasi dua tahap via SMS sangat berbahaya. Baru kejadian di AS dan beberapa negara Eropa sih, namun pastinya jaminan negara-negara lain sangat mungkin mengalami persoalan serupa. Bisa saja belum ketahuan doang.

Nomer ponselmu saat ini adalah pintu masuk utama bagi peretras ke berbagai bagian sensitif lain dari kehidupan digital: email, akun bank, sampai data backup iCloud. Sebagai seorang konsumen, kamu tidak bisa mengendalikan bug yang ditinggalkan perusahaan manufaktur gawai. Tapi kamu bisa membuat peretas kesulitan mencuri identitasmu. Solusinya mudah, biarpun tidak banyak orang yang tahu: aktifkan password atau passcode sekunder yang harus kamu berikan ketika menghubungi penyedia layanan seluler.

Kabar baiknya: proses melakukan ini sudah tidak sesulit dulu! Enkripsi full-disk artinya begitu dawaimu terkunci (ketika sedang mati, atau nyala tapi menunjukkan lock screen), konten dari hard drivemu tidak akan bisa diakses tanpa kata sandi atau kunci. Banyak smartphone dilengkapi dengan enkripsi full-disk di dalamnya. Kalau kamu memiliki iPhone dengan sistem operasional yang ter-update (ya dalam tiga tahun terakhirlah), tinggal aktifkan passcode. Voila, kamu sudah cukup aman. Kalau kamu memiliki ponsel Android, kemungkinan besar ponselmu sudah dienkripsi dari sananya, tapi bisa juga tidak. Hingga sekarang belum ada panduan terbaru tentang cara mengaktifkan enkripsi untuk dawai Android, jadi kamu harus mencari info sendiri, tanya-tanya teman. Kalau kamu cuma punya ponsel Windows, ya wassalam. Maaf ya, kami tidak bisa bantu banyak.

*Semua paparan dalam artikel kali ini fokus pada pengamanan ponsel. Sebelumnya, kami menjelaskan apa yang harus dilakukan untuk melindungi password email, medsos, dan komputer secara umum. Kalau belum baca, klik tautan ini menuju bagian pertama atau seri ketiga dari panduan Motherboard.