Jakarta, Aktual.com – Pakar keamanan siber dari CISSReC Dr Pratama Persadha menyatakan aksi penyusupan di tengah telekonferensi via Zoom (zoombombing) dalam web seminar (webinar) di UIN Maliki Malang menunjukkan aplikasi ini punya kerawanan karena penggunanya belum memprioritaskan keamanan.
Hal itu dikemukakan Pratama Persadha kepada ANTARA di Semarang, Jumat (5/6), terkait dengan tayangan video Wakil Presiden Ma’ruf Amin yang diganggu saat menjadi pembicara dalam Webinar Nasional tentang Ekonomi Syariah di Indonesia: Kebijakan Strategis Pemerintah menuju New Normal Life yang diselenggarakan Universitas Islam Negeri (UIN) Maulana Malik Ibrahim (Maliki) Malang, Kamis (4/6).
Pratama menjelaskan bahwa zoombombing adalah bentuk ancaman terhadap para pengguna zoom. Para peretas masuk lewat link (tautan) yang disebarkan maupun celah keamanan yang ada.
“Sekali masuk, para peretas bisa mengirimkan berbagai file dalam meeting tersebut sekaligus mengganggu proses rapat online. Hal inilah yang kemungkinan terjadi dalam webiner yang diikuti Wapres RI K.H. Ma’ruf Amin di UIN Malang,” katanya.
Sebelumnya, kata Pratama, lebih dari 500.000 akun Zoom, termasuk yang berbayar, diperjualbelikan di dark web (web gelap). Bahkan, banyak di antaranya adalah akun yang dimiliki pemerintahan dan perusahaan besar.
Ia mengemukakan bahwa Zoom sendiri sudah mendapatkan berbagai kritikan atas keamanan sejak awal 2020. Oleh karena itu, sebaiknya jajaran pemerintahan, terutama “Ring 1 Presiden”, menggunakan aplikasi video conference yang lebih aman.
“Sebaiknya membuat aplikasi sendiri. Badan Siber dan Sandi Negara (BSSN) bisa memberi solusi terkait dengan hal ini,” kata Pratama yang pernah sebagai pejabat Lembaga Sandi Negara yang kini menjadi BSSN.
Para peretas dan pembeli akun Zoom, lanjut dia, sering menggunakannya untuk zoombombing, sebuah aksi yang secara tiba-tiba masuk ke meeting dan membuat kekacauan, baik mengirimkan gambar, file berbahaya, maupun mengacaukan dengan cara lainnya.
Pratama yang juga Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC (Communication and Informatian System Security Research Center) ini menekankan bahwa faktor keamanan menjadi pekerjaan rumah besar bagi Zoom.
“Harus diakui kemudahan pemakaian Zoom membuatnya lebih cepat tenan dibandingkan Google Meet maupun CISCO Webex, atau bahkan Microsoft Team,” kata pria kelahiran Cepu, Kabupaten Blora, Jawa Tengah ini.
Aplikasi ini tanpa perlu bayar dan tanpa perlu melakukan login maupun registrasi, setiap orang sudah bisa melakukan meeting secara daring (online). Namun, kata Pratama, di sini jugalah letak ketidakamannya.
Selain itu, Zoom tidak secara dalam mengaplikasikan keamanan berbasis enkripsi AES-256. Mereka tidak menggunakannya untuk model teknologi end to end encryption (E2E), atau hanya menggunakan TLS (transport layer security) yang merupakan update (memperbarui) teknologi dari SSL fitur enkripsi yang sering digunakan pada website.
“Padahal zoom adalah aplikasi untuk berkomunikasi, perlindungan dengan model E2E lebih diperlukan,” kata dosen etnografi dunia maya pada Program Studi S-2 Antropologi Universitas Gadjah Mada Yogyakarta ini.
Zoom sendiri meski sempat menyangkal, kata Pratama, sang CEO akhirnya mulai mengakui kelemahan mereka di sektor keamanan. Mereka juga terlihat kaget karena tiba-tiba dipakai ratusan juta orang pada masa pandemi Covid-19.
Prinsipnya sekarang bagi pemilik Zoom ganti password setiap pekan karena sampai sekarang sistem Zoom masih menjadi bulan-bulanan para peretas, terutama fitur chat-nya yang menjadi pintu masuk para peretas. Hal ini, menurut Pratama, karena proses developing yang belum sempurna.
Menurut Pratama, ada beberapa hal yang harus dilakukan agar hal semacam ini tidak terjadi lagi. Hal ini mengingat sudah beberapa kali rapat di lingkaran Istana terganggu karena pihak ketiga masuk dan mengganggu rapat.
“Pertama, kita harus develop sistem video conference yang private. Servernya kita buat sendiri, kita kelola sendiri. Banyak penyedia layanan ini meski memakan biaya agak besar,” katanya.
Kedua, jangka panjangnya Indonesia harus mampu membuat pijakan vcon ini secara lokal oleh anak bangsa ini. Bukan hanya pijakan vcon, melainkan juga media sosial (medsos) dan chat. Dalam hal ini, Indonesia perlu mandiri.
Ketiga, lanjut Pratama, solusi jangka pendeknya dengan menggunakan pijakan yang belum ada isu celah keamanannya yang cukup krusial, misalnya Google Meeting, Microsoft Team, atau Cisco Webex.
Antara
Artikel ini ditulis oleh:
As'ad Syamsul Abidin