Sekian Jurus Menohok Komputer

SEANDAINYA dua petugas BNI 1946 di Jakarta tak jeli memantau perangkat komputer mereka, 2 Januari lalu, mungkin dana bank tersebut, sekitar Rp 30 milyar, amblas. Sebab, melalui sebuah perintah komputer gelap, uang itu sempat ditransfer dari cabang BNI 1946 di New York ke beberapa negara lain. Inilah, barangkali, kejahatan berkomputer (compter crime) yang paling besar yang menimpa sebuah bank di Indonesia. Sedangkan gemanya kemudian cepat pula beredar di kalangan perbankan. Dan sebelum bobol, tindakan segera dilakukan. "Program komputerisasi bank-bank pemerintah sekarang sedang direvisi," kata seorang pemasok komputer. Padahal, proyek yang nilainya sekitar Rp 100 milyar ini mulanya berjalan giat demi "peningkatan efisiensi". Bagi yang berniat jahat terhadap bank, cukup mengetuk beberapa perintah pada tuts komputer pribadi di sebuah kamar hotel, di New York, melalui saluran telepon ke komputer bank tempat uang disimpan. Sebagai saluran melalui telepon, digunakan perangkat tambahan yang disebut modem. Paling tidak, begitulah skenarionya seperti digambarkan dalam Berita Acara Pemeriksaan (BAP) polisi. Sebenarnya, teknik seperti disebut dalam BAP itu sederhana saja untuk ukuran kejahatan berkomputer -- padahal skalanya "internasional". Si tersangka memang sudah memiliki kode rahasia untuk memerintahkan komputer Citibank -- tempat BNI 1946 membuka rekening koran -- mentransfer dana ke tempat yang diinginkan tersangka. Ini sama saja dengan pencuri yang yang memiliki kunci-kunci rumah sasarannya. Tingkat yang lebih canggih biasanya dilakukan si pelaku bila ia tak memiliki kode rahasia atau password untuk membuka sistem komputer sasarannya. Password, kata sandi, itu biasanya berupa sederetan huruf atau angka, dan seharusnya hanya sang pemilik yang tahu. Semakin banyak kombinasi huruf atau angka yang digunakan, semakin sulit password ini dipecahkan oleh yang tak berhak. Sebuah password, yang hanya satu karakter (huruf atau angka), cuma memiliki 36 kombinasi. Sedangkan password yang panjangnya 10 karakter mempunyai kemungkinan kombinasi sebanyak 3.700.000.000.000.000 (lihat gambar). Celakanya: si pemilik malah bisa teler menghafalnya. "Selalu terjadi pertentangan antara upaya pengamanan dan kemudahan mengoperasikan komputer," kata Mayford L. Roark, System Manager Ford Motor Co., AS. Ambil contoh: kata sandi yang digunakan oleh BNI 1946 cabang New York, yaitu RUDEMS dan SRIRED. Yang pertama itu singkatan nama Rudy Demsey. Yang kedua singkatan nama istri J. Satoto -- Kepala Bagian Umum BNI 1946 cabang New York. Password, seperti dalam contoh itu, susunan 6 karakter sebenarnya 2 milyar kombinasi. Namun, bila si penohok mencoba kombinasi nama, ia cukup memilih sekitar 2.000 kombinasi saja. Percobaan memecahkan kombinasi password ini tak perlu dilakukan secara manual. Dengan memasang program sederhana pada komputer pribadi (PC), kerja itu sudah dapat dilakukan. Untuk 2 milyar kombinasi, misalnya, waktu yang diperlukan komputer rata-rata 630 tahun guna mendapatkan kombinasi yang tepat. Untuk 2.000 kombinasi, hanya diperlukan sekitar 5 jam. Apalagi jika si pelaku mengetahui nama pemilik dan istri atau pacarnya, tentu lebih cepat. Sistem komputer bank biasanya memiliki lebih dari satu pintu pengaman -- karena diperlukan lebih dari satu jenis password untuk dikuasai. Untuk sistem BNI 1946, misalnya, diperlukan tiga password berbeda, sebelum perintah mentransfer uang dapat dilaksanakan. Yang pertama adalah RUDEMS, lalu SRIRED, dan yang terakhir adalah Standard Test Key (STK). STK adalah sistem pengodean yang dilakukan bank dalam melakukan transfer dana. Biasanya STK diubah-ubah secara periodik dalam jangka waktu tertentu. Maksud utama penggunaan STK sebenarnya bukan untuk pertahanan terhadap penohok dari dalam, melainkan menjaga kemungkinan perubahan data akibat perjalanan dari suatu bank ke bank lainnya. Misalnya, bank A akan mengirimkan uang US$ 191.975. Maka, yang dikirim bukanlah angka ini, melainkan STK-nya. Dalam hal ini bilangan tadi dipecah menjadi tiga karakter, dan diubah berdasarkan daftar STK yang berlaku. Umpamanya, kode STK untuk 191 adalah 5580 dan kode untuk 975 adalah 5359. Lantas, kedua kode itu dijumlahkan dan hasilnya turut dikirim (yaitu, 10939). Dan jika ada perubahan di salah satu angka, sengaja maupun tidak, akan segera diketahui -- bila ketiga kode tadi memang bukan kombinasi penjumlahan. Penggunaan STK ini dianggap penting, karena jalur telekomunikasi antarbank memang masih rawan. Maklum, jika menggunakan jalur telepon biasa, ini mudah disadap dari kabel telepon, atau via gelombang pancaran sateclit (lihat gambar). Seorang ahli komputer Inggris -- dengan perangkat yang diambil dari radio CB tahun lalu, komputernya berhasil menyadap kerja komputer orang lain. Yakni dengan menangkap gelombang elektromagnetik yang dipancarkan komputer yang sedang digunakan . Bila operator komputer yang disadap itu mengetik huruf A, maka huruf yang sama akan terpampang di layar komputer penyadap. Itulah sebabnya untuk komputer yang digunakan instansi vital AS, seperti markas departemen pertahanan (Pentagon), komputernya dilengkapi dengan penahan gelombang elektromagnetik. Namun alat pelindung ini bisa sama mahalnya dengan komputernya. Karena itu tak populer di kalangan pemakai komputer awam, bahkan di banyak bank -- termasuk di BNI 1946. "Kami memang belum sempat mengubah password sejak dibukanya cabang BNI 1946 lebih dari tiga tahun lalu," kata Nur Alwi bekas kepala cabang BNI 1946 di sana. Tetapi tersangka Rudy Demsey, ketika diwawancarai TEMPO di tahanan, bersikeras menyatakan tak tahu-menahu. Ia bahkan mengungkapkan, password RUDEMS itu diketahui oleh tujuh karyawan bank tersebut. Artinya, mereka juga bukan mustahil melakukan transfer dimaksud. "Sebenarnya jarang sekali kami menemukan kasus kejahatan berkomputer yang menggunakan cara canggih," kata Donn Parker, ahli keamanan komputer dari SRI International, yang mengadakan penyelidikan tentang computer crime di AS. Bila pada 1978, Stanley Rifkin, misalnya, menggondol hampir 17 milyar rupiah dari sebuah bank di Los Angeles, itu karena ia berlagak sebagai konsultan yang ditugasi menyempurnakan sistem telekomunikasi di bank tersebut. Password dan cara kerja komputer bank itu didapatnya dengan mewawancarai petugas di sana. Dan kenapa Rifki tertangkap, hanya gara-gara dia menceritakan kehebatannya itu pada pengacaranya -- yang kemudian malah melapor pada IBI. Untuk melindungi komputer dan rahasianya dan orang macam Rifkin, tersedia berbagai cara. Yang dianggap memberikan harapan adalah penggantian password oleh identitas diri si pemakai, misalnya, suara atau sidik jarinya. Dengan demikian, tak mungkin "password" ini dapat digunakan orang lain dan si pemilik justru tak perlu menghafal kode yang rumit. Maklum, banyak orang sangat ceroboh dalam menjaga kerahasiaan password mereka (lihat gambar tempat populer menyimpan password). Salah satu alat pengganti password yang sedang dikembangkan adalah pengenal sidik tangan. Perangkat yang diciptakan oleh Stuart Katzke dari kantor standar AS ini diharapkan dapat menghapuskan terjadinya penggunaan "password" oleh pihak yang tak berwenang. Perangkat seperti ini diharapkan akan mampu menutupi kelemahan manusiawi pada sistem keamanan komputer: lupa mengganti password, tapi masih tak terhindar dari kemungkinan kejahatan berkomputer yang dilakukan oleh pembuat program komputer. Dan ini, sebenarnya, yang paling berbahaya. Sebab, si pembuat program berkemampuan menanamkan bom logika atau kuda troya pada sistem komputer. Si bom adalah program yang diselipkan pada program normal komputer dan disetel untuk aktif pada saat yang ditentukan pembuatnya. Program bisa berupa perintah untuk memindahkan uang ke rekeningnya. Bisa juga dirancang untuk menghancurkan keseluruhan program isi komputer. Yang terakhir ini dikenal sebagai program virus. Si pembuat program selalu dapat melakukan apa saja pada komputer itu. Terutama bila sistem komputernya tersambung ke dunia luar, melalui saluran telepon. Penyalahgunaan oleh programer profesional, sementara ini, memang rendah. Menurut Robert Courtney, konsultan keamanan komputer, yang juga veteran IBM, "Dari 1.000 kasus kejahatan berkomputer yang saya selidiki selama empat tahun terakhir ini, hanya tujuh yang melibat programer profesional." Dari yang tujuh itu, hanya dua yang melakukannya dengan menyisipkan program khusus "Lainnya dilakukan dengan memanfaatkan program yang ada," tutur Courtney. Tempat Populer Menyimpan Password PASSWORD adalah cara sederhana untuk menghindarkan pemakaian komputer oleh orang yang tak berhak. Namun, sistem kata sandi ini hanya berdaya guna jika kerahasiaannya dijaga. Celakanya, banyak pemilik kata sandi ceroboh dalam menyimpan password mereka. Salah satu kecerobohan itu adalah kecenderungan menyimpan catatan kata sandi di dekat terminal komputer. Ini, menurut para ahli, sama saja dengan meninggalkan kunci kontak di mobil Anda. Gambar di samping adalah tempat yang sering digunakan untuk menyimpan kata sandi: diselipkan di buku dompet, dilekatkan ke terminal atau dekat keyboard, ditulis pada kartu nama atau dibuang ke tempat sampah. Perjalanan data antara dua komputer memang penuh dengan titik rawan. Apalagi jika menggunakan saluran telepon umum. Sebab, untuk menempuh jarak antara Bandung dan Jakarta, yang sebenarnya tak sampai 200 km, mungkin ribuan kilometer harus dilalui. Yakni melalui satelit telekomunikasi yang berada pada ketinggian sekitar 36 ribu km. Di dalam perjalanan panjang inilah data komputer dapat disadap, bahkan diubah isinya. Pancaran gelombang elektromagnetik yang dikeluarkan komputer, yang mengalir pada kabel ataupun yang dipancarkan satelit, selalu bisa disadap. Maka, pengodean data selalu harus dilakukan dan kuncinya selalu harus berganti. Bambang Harymurti