Awas, Pemerintah Memata-matai

JERMAN tentu bukan Oceania, negeri imajiner dalam novel klasik George Orwell, Nineteen Eighty-Four. Kanselir Angela Merkel juga tak menyerupai Big Brother, diktator Oceania yang terobsesi mengintip segala tindak-tanduk rakyatnya.

Apa yang ditemukan sekelompok peretas di Chaos Computer Club beberapa pekan lalu menunjukkan yang menimpa warga Oceania juga bisa terjadi pada warga Jerman. Diam-diam pemerintah Jerman menanam troyan—dinamai seperti kuda troya dalam mitologi Yunani—di komputer warganya. Lewat file yang disusupkan ini, penanamnya bisa menguping setiap percakapan lewat Internet teleponi Skype, MSN Messenger, Yahoo Messenger, dan X-Lite.

Troyan R2D2 alias Bundestrojaner ini tidak hanya menyadap pembicaraan, tapi juga membuka celah lebar-lebar bagi siapa pun untuk mengambil alih kontrol komputer atau menyelundupkan file atau aplikasi. "Rendahnya keamanan troyan ini layaknya membuat kata kunci 1234," kata Constanze Kurz, juru bicara Chaos Computer. Siapa pun dapat dengan gampang menebaknya.

Untuk mengujinya, peretas Chaos membuat aplikasi yang diselundupkan lewat celah yang telah dibuka Bundestrojaner. Lewat aplikasi kendali itu, peretas Chaos bisa mengintip apa pun yang tampil di layar komputer: dokumen, foto, video, ataupun gambar. Peretas juga bisa menanamkan dokumen palsu atau, sebaliknya, menghapus semua file dalam komputer. "Benar-benar troyan amatiran," kata Kurz.

Peraturan di Jerman mengizinkan polisi menyadap warga yang diduga kuat melakukan kejahatan. Tapi syarat penyadapan ini sedemikian banyak dan ketat. Apa yang dilakukan troyan R2D2, menurut Kurz, terang kegiatan ilegal.

Skandal pengupingan ini terkuak setelah seorang pengacara, Patrick Schladt, menyerahkan komputer kliennya ke Chaos Computer. Kliennya curiga komputernya disusupi aplikasi "asing" ketika melewati pemeriksaan bea-cukai di bandar udara Muenchen, Jerman. "Terang buat saya, petugas bea-cukai terlibat," kata Schladt. Kliennya, menurut dia, dituduh terlibat dalam penyelundupan bahan farmasi.

Begitu aplikasi asing itu disusupkan, setiap kali terhubung dengan Internet, per 30 detik, troyan itu akan mengirimkan salinan tampilan layar ke sebuah server di Kota Dusseldorf dan Neuss. Keduanya berada di Jerman. Pemerintah Jerman menyanggah terlibat dalam penyadapan itu. Tapi Constanze Kurz yakin lembaga pemerintahlah pelakunya. "Kalau tak yakin, kami tak akan membukanya ke publik," katanya.

Memang "tangan" pemerintah tak langsung terlihat dalam kasus ini. Tapi ada satu sinyal kuat. Dokumen WikiLeaks memuat transaksi penjualan aplikasi penyadap Skype buatan DigiTask ke Badan Jaringan Federal Jerman senilai US$ 897 ribu atau Rp 8,02 miliar pada 2007. "Aplikasi itu mungkin milik kami," kata Seibert, juru bicara DigiTask. Mereka juga menjual aplikasi serupa ke pemerintah Austria, Belanda, dan Swiss. "Tapi apa yang dilakukan pemerintah, berapa sering mereka memakainya, dan di mana, itu bukan urusan kami."

Kalau berbicara teknologi, troyan R2D2 sebenarnya sama sekali tak istimewa dan dapat dengan gampang diblokade aplikasi anti-malware. "Kalau tak mengetahui itu troyan pemerintah, kami tak akan memikirkannya dua kali," kata Mikko Hypponen, Kepala Riset F-Secure, konsultan keamanan asal Finlandia.

Beberapa pemerintah negara bagian di Jerman, seperti Baden-Württemberg, Brandenburg, Schleswig-Holstein, dan Lower Saxony, mengaku kantor kepolisian di wilayahnya menyusupkan troyan ke komputer para tersangka kriminal. Legal atau ilegal, beberapa negara, seperti Mesir dan Prancis, juga memata-matai warganya dengan mengirim aplikasi "kuda troya".

Awal September lalu, server perusahaan penyedia sertifikat digital di Belanda, DigiNotar, dibobol penyusup. Maling digital ini memboyong 531 sertifikat digital. Penyusup yang sama juga menembus pengamanan GlobalSign dan StartCom, penerbit sertifikat digital di Amerika Serikat.

Di Internet, sertifikat ini ibarat kartu identitas diri yang berfungsi sebagai jaminan keamanan. Berbekal sertifikat digital curian ini, peretas tersebut memata-matai ratusan ribu pengguna Internet di Iran. "Kami yakin maling digital ini disponsori negara (Iran)," kata Melih Abdulhayoglu, Presiden Comodo, penerbit sertifikat lainnya.

Di Indonesia, menurut Gatot S. Dewa Broto, juru bicara Kementerian Komunikasi dan Informatika, penyadapan dengan cara apa pun hanya diizinkan atas permintaan kepolisian, kejaksaan, atau penegak hukum lain.

MEDAN perang mata-mematai di dunia maya terbentang dari ujung ke ujung dunia. "Misil balistik" antarbenuanya berupa troyan, worm, atau virus, yang bisa ditembakkan dari mana pun. Tujuannya bisa semata memata-matai seseorang, mencuri data perusahaan, bahkan menghancurkan sebuah proyek.

Pada Agustus lalu, kantor Mitsubishi Heavy Industries disusupi maling digital. Aplikasi asing ini menginfeksi 80 komputer di kantor pusat perusahaan kontraktor pertahanan terbesar di Jepang itu. Semula pejabat Mitsubishi membantah kabar kebocoran data persenjataan militer. Mereka pun telat mengirim laporan ke Kementerian Pertahanan Jepang. Namun belakangan mereka mengakui bisa jadi data itu sudah beredar di luar.

Inilah yang membuat Kementerian Pertahanan Jepang marah besar. "Wewenang Kementerian Pertahananlah menentukan informasi itu penting atau tidak, bukan Mitsubishi," kata pejabat kementerian kepada Asahi Shimbun. Pelakunya, seperti biasa, tak gampang ditunjuk, apalagi dibekuk, walaupun maling-maling digital itu terang-terang terhubung dengan server kendali yang ada di Cina.

Hari-hari ini, perusahaan-perusahaan konsultan keamanan Internet tengah disibukkan oleh Duqu. Malware ini pertama kali terdeteksi di Hungaria pada awal September lalu dengan nama file cmi4432.sys. Laboratorium Kriptografi dan Sistem Keamanan di Budapest University of Technology and Economics kemudian mengirimkannya ke VirusTotal.com, penyedia jasa pemindaian troyan, worm, dan virus.

Semula, sebagian analis keamanan menyebut Duqu sebagai "anak" Stuxnet. Worm Stuxnet menyerang sistem kendali reaktor nuklir Iran tahun lalu. Serangan ini merusak reaktor pemisahan isotop uranium. Sejumlah analis yakin Amerika Serikat dan Israel ada di belakang Stuxnet.

Modul utama Duqu mirip sekali dengan Stuxnet. Ada belasan varian Duqu dengan driver dari perusahaan berbeda-beda. Ibarat misil, modul utama ini hanyalah roket pengangkut. Tapi seperti apa "hulu ledak" yang hendak dipasang di Duqu sampai sekarang belum terang benar.

Duqu terhubung dengan pelbagai server kendali yang terserak di beberapa negara. Pada varian pertama, server kendalinya berada di WebWerks, perusahaan jasa teknologi informasi di Mumbai, India. Di lain kesempatan, server kendali itu beralamat di Belgia.

Berdasarkan analisis Symantec dan Kaspersky, keduanya perusahaan konsultan keamanan, penyebaran Duqu masih sangat terbatas. Mereka baru mendeteksi Duqu di Hungaria, Austria, Indonesia, Inggris, Iran, dan Sudan. Tapi tempat penyebaran ini tak menggambarkan apa pun. "Sampai sekarang belum jelas apa dan siapa yang akan menjadi target serangan Duqu," kata Yudhi Kukuh, konsultan keamanan ESET Indonesia.

Melihat betapa canggihnya Duqu, Sergey Golovanov, Kepala Analis Kaspersky, percaya worm ini merupakan karya tangan agen-agen pemerintah. "Dan inilah salah satu karya terbaiknya," Golovanov memuji.

Sapto Pradityo (InformationWeek, PCWorld, ComputerWorld, DerSpiegel)