Adu Aman Pesan Instan

KERAP berhubungan dengan sejumlah klien yang sangat mengutamakan kerahasiaan informasi mendorong Gildas Deograt Lumy membuat saluran komunikasi yang keamanannya tak perlu diragukan. Berbekal latar belakang dan pengalaman di bidang pertahanan cyber dan keamanan informasi, ia dan perusahaannya, XecureIT, mengembangkan PeSankita Indonesia, aplikasi pesan instan lokal.

"Informasi di industri perbankan atau lembaga pemerintah, seperti Kementerian Pertahanan dan TNI, itu kan sensitif. Harus ada solusi untuk bertukar informasi yang aman," ujar Gildas di sela Rapat Koordinasi Nasional Informasi dan Pengolahan Data Tentara Nasional Indonesia Angkatan Udara di kawasan Bandar Udara Halim Perdanakusuma, Jakarta, Kamis pekan lalu.

Gildas mengaku mengembangkan PeSankita Indonesia- disingkat PS- berdasarkan mesin Signal. Aplikasi pesan instan Signal rancangan Open Whisper Systems, organisasi nirlaba yang mengembangkan peranti lunak gratis dan berkode-sumber terbuka (open source), itu diklaim sebagai yang teraman. Bekas karyawan subkontraktor untuk National Security Agency Amerika Serikat, Edward Snowden, pun memakai Signal.

"Saya menggunakan Signal setiap hari. #notesforFBI (Catatan: mereka sudah tahu) twitter.com/whispersystems…," begitu cuitan Snowden di akun Twitternya pada 3 November 2015.

Menurut Gildas, pilihan terhadap Signal memang disandarkan pada keamanan yang menjadi prioritasnya. Protokol Signal, yang menerapkan penyandian pesan dari pengirim ke penerima (end-to-end encryption), juga diterapkan oleh PeSankita. Ada pula pengamanan ekstra dalam PeSankita, seperti pesan di perangkat pengguna dienkripsi, layar yang tak bisa ditangkap (screenshot), dan pesan terhapus sendiri dalam batas waktu tertentu setelah dibaca penerima.

Keamanan berlapis juga ditawarkan oleh aplikasi pesan instan yang populer di Amerika Serikat, Confide. Aplikasi itu diciptakan Howard Lerman dan Jon Brod, yang membuat perusahaan rintisan (startup) Confide. Sesuai dengan namanya, aplikasi ini diciptakan sebagai solusi bagi percakapan yang sangat rahasia.

Saking ketatnya pengamanan pesan di Confide, kenyamanan pengguna pun didiskon. Misalnya, semua pesan terlihat hanya sebagai blok-blok merah yang menutupi tiap kata. Telunjuk pengguna harus menyentuh blok merah itu untuk membaca kata. Kata yang terbaca akan berubah menjadi blok abu-abu. Setelah semua baris pesan terbaca, pesan hancur seketika.

Lantaran mempercayai klaim paling aman, Gedung Putih menginstruksikan semua pejabat dan anggota staf menggunakan Confide, yang diluncurkan pada 2013. Namun, pada Februari lalu, firma keamanan IOActive di Seattle, Amerika Serikat, menemukan celah keamanan Confide yang bisa diterobos peretas. Dalam dua hari saja, peneliti IOActive bisa mengakses lebih dari 7.000 akun pengguna Confide, termasuk nomor telepon seluler dan alamat e-mail-nya.

Menurut pakar keamanan cyber Pratama Persadha, Confide kurang memperhatikan penerapan keamanan yang baik dalam proses perancangannya. Pratama mengatakan peneliti IOActive melakukan audit keamanan Confide menggunakan metode rekayasa terbalik. "Confide rentan terhadap brute force attack akibat mengizinkan pengguna menerapkan password yang lemah dan mudah ditebak," kata pendiri dan pemimpin Communication & Information System Security Research Center itu.

Pratama mengatakan kelemahan juga terdapat pada teknologi pesan pendek (SMS). Karakteristik SMS yang berupa teks murni dan ditransmisikan tanpa enkripsi dapat meningkatkan kerentanan keamanan sistem. Sayangnya, menurut dia, banyak layanan yang memanfaatkan SMS untuk mengirimkan kode verifikasi, aktivasi, atau notifikasi yang sebenarnya merupakan informasi rahasia.

Gildas sependapat dengan Pratama. Ia mengatakan saat ini banyak institusi perbankan yang mengirimkan informasi rahasia via SMS sehingga akun nasabah relatif mudah dibajak. Menurut Undang-Undang Perbankan, kata dia, token Internet banking atau notifikasi transaksi adalah informasi rahasia. "Informasi rahasia harus dilindungi menurut Undang-Undang Informasi dan Transaksi Elektronik," ujar Gildas.

Menurut Gildas, kondisi ini terjadi karena tidak ada solusi pengganti SMS untuk mengirimkan informasi sensitif itu. Itulah sebabnya PeSankita pada triwulan pertama tahun depan akan meluncurkan layanan PeSankita sebagai aplikasi platform untuk aplikasi lain, termasuk aplikasi pusat kontak bagi bank atau aplikasi pendaftaran mahasiswa baru di universitas.

Soal klaim aplikasi sebagai yang paling aman tidak dipercayai praktisi teknologi informasi Josua M. Sinambela. Pendiri sekaligus pelatih dan konsultan Rootbrain IT Training & Consulting di Yogyakarta ini mengatakan tidak ada keamanan yang 100 persen aman. "Semua teknologi yang diciptakan manusia dipastikan selalu memiliki kelemahan," ucapnya.

Josua memberi contoh Signal, yang disebut Snowden sebagai pesan instan yang aman. "Mungkin saat itu belum ada pihak yang mampu membongkar komunikasi pesan yang memanfaatkan protokol Signal," ujarnya. Tapi, Josua menegaskan, konteks aman di sini adalah pesan atau suara atau video tidak dapat dibaca dengan cara disadap, bahkan Signal pun tidak bisa membuka atau membaca pesan tersebut.

Membandingkan antara Signal dan Telegram, Pratama meyakini protokol Signal yang dipakai aplikasi Signal dan WhatsApp lebih tangguh ketimbang protokol Telegram: MTProto. Menurut dia, aplikasi Telegram memang kaya fitur yang berpotensi digunakan oleh teroris untuk melancarkan aksinya, seperti secret chat, berbagi berkas hingga 1,5 gigabita, kemudahan akses antar-perangkat, super grup hingga 10 ribu anggota, dan Telegram Bot.

Aplikasi pesan instan yang aman belum tentu populer. Josua menyebut WhatsApp yang populer karena menjadi pionir aplikasi pesan instan pada 2009. WhatsApp, kata dia, mulai berfokus pada keamanan pribadi pengguna pada April 2016 saat bekerja sama dengan Open Whisper Systems memanfaatkan protokol Signal. "WhatsApp menjadi sangat populer bukan karena paling aman, lantaran beberapa aplikasi lain juga menggunakan protokol keamanan yang sama," kata Josua.

Protokol keamanan yang sama juga digunakan aplikasi pesan instan lokal, seperti PeSankita Indonesia. Menurut Pratama, banyak aplikasi pesan instan lokal yang bagus. Ia sendiri menggunakan Chat Guard buatan PT Indoguardika Cipta Kreasi karena membutuhkan komunikasi yang sangat aman. "Aplikasi ini membutuhkan otentikasi dan persetujuan dari orang yang akan kita ajak berkomunikasi. Jadi lebih aman dan lebih bisa bebas dari rekayasa pesan palsu," ujarnya.

Selain menyebut Chat Guard, Pratama menyebut PeSankita Indonesia, liteBIG, dan Catfiz mempunyai keunggulan masing-masing. Ada yang berfokus pada sisi keamanan, kemudahan penggunaan, atau tampilan antarmuka yang memukau. "Memang pemerintah harus mau turun langsung mendukung, karena ini termasuk industri yang akan survive dan dibutuhkan di masa depan," katanya.

Aplikasi dengan keamanan berteknologi tinggi sekalipun tidak banyak berguna jika pengguna tidak memiliki kesadaran terhadap keamanan. Pratama menyebutkan penyebab dominan terjadinya kejahatan cyber adalah lemahnya kesadaran keamanan pengguna. "Cukup mencengangkan, hanya 33 persen dari masyarakat kota besar yang mengikuti imbauan Kementerian Komunikasi dan Informatika saat terjadi serangan ransomware WannaCry pada Mei 2017," ujar Pratama.

Dody Hidayat