Skip to content

Social Engineering: Sebuah Metode Peretasan Psikologis

Awal tahun 2016, Office of Inspectorate-General (OIG) US Homeland Security Department (DHS), melakukan kontrak dengan firma audit independen, KPMG, untuk menyelenggarakan reviu keamanan atas DHS. Termasuk di dalamnya adalah pelaksanaan pengujian (pen-test) social engineering, beserta tur ke dalam fasilitas DHS setelah jam kerja untuk melakukan reviu pengamanan fisik atas informasi yang sensitif. Tujuannya adalah untuk mengidentifikasi pelanggaran kebijakan lembaga oleh pegawai DHS dalam hal perlindungan atas informasi sensitif.

Hasilnya, pegawai DHS terbukti semakin memahami dasar-dasar dari cybersecurity. Meskipun, beberapa pegawai masih meninggalkan dokumen-dokumen sensitif di atas meja. Hal ini sebagaimana diungkapkan melalui laporan hasil pemeriksaan OIG DHS yang terbit pada tanggal 6 Mei 2016 mengenai praktik keamanan DHS. Laporan tersebut dirilis secara publik di situs FTC.

Sebagai bagian dari pengujian social-engineering, auditor menyamar sebagai technical support dan melakukan panggilan telepon kepada pegawai DHS dan meminta mereka memberikan login credentials. Auditor mencoba menghubungi 28 orang pegawai dan kontraktor, dan berhasil terhubung kepada 8 orang di antara mereka. Hasilnya, tidak satupun dari mereka yang bersedia memberikan password.

Menyimak Seluk Beluk Mimpi Besar Government Integrated Data Center (GIDC)

Pusat data (data center) pemerintah Indonesia menjadi isu yang cukup sensitif di masyarakat. Pada akhir 2014 silam, publik dibuat gaduh oleh simpang siur kabar bahwa peladen (server) data KTP elektronik berada di luar negeri. Hal ini menyusul pernyataan Menteri Dalam Negeri, Tjahjo Kumolo, yang membeberkan beberapa kejanggalan berkenaan dengan proyek KTP elektronik, yang salah satunya adalah peladen yang berada di luar negeri. Pernyataan Menteri Dalam Negeri tersebut lantas dibantah oleh Kepala Pusat TIK BPPT, Hary Budiarto, yang mengungkapkan bahwa secara fisik peladen data KTP elektronik berada di dalam negeri.

Hanya saja, terdapat pengguna dengan hak akses superuser yang memungkinkan akses atas peladen tersebut dari jarak jauh (remote), termasuk dari luar negeri. Akses ini diberikan kepada pengguna yang berasal dari penyedia infrastruktur untuk keperluan perawatan dan perbaikan (maintenance). Meski risiko pencurian data tentu tidak dapat dinihilkan.

Berita simpang siur bernada serupa kembali mengemuka pada pertengahan tahun 2015 silam. Pada saat itu, PT Telkom Tbk melalui anak perusahaannya, Telekomunikasi Indonesia International Pte. Ltd. Singapore (Telin Singapore), baru saja melakukan groundbreaking pusat data ketiga di Jurong SIngapura, melengkapi dua pusat data yang telah dibangun sebelumnya di Changi dan Tai Seng. Pusat data ini, ditargetkan beroperasi pada kuartal ketiga tahu 2016. Lantas muncul beragam tuduhan di masyarakat, salah satunya adalah anggapan bahwa pusat data tersebut akan dimanfaatkan sebagai pusat data pemerintah, yang tentu saja tidak hanya menyimpan informasi yang bersifat umum, namun juga informasi yang bersifat rahasia.

Meskipun sebetulnya, pelanggan dari pusat data yang dikelola oleh Telin Singapore ini adalah korporasi di Singapura (74%) dan sisanya perusahaan-perusahaan multinasional dari kawasan regional maupun global. Dan pelanggan yang berasal dari pemerintah Indonesia dilayani oleh anak perusahaan Telkom lainnya, yakni Telkomsigma. Dengan pusat data dan pusat pemulihan bencana yang dikelola dan dioperasikan di Indonesia.

Lantas, bagaimana sebetulnya kondisi pusat data pemerintah Indonesia?

Panama Papers: Dilema Buah dari Pohon Beracun

Pada tahun 2015 Süddeutsche Zeitung (SZ), media massa yang berpusat di Jerman, mendapatkan sebuah kontak dari sebuah sumber anonim dengan nama samaran John Doe[1]. John Doe, memberikan kepada SZ dokumen internal yang terenkripsi milik Mossack Fonseca. Mossack Fonseca adalah firma hukum di panama yang menjual perusahaan offshore anonim ke seluruh dunia. Perusahaan offshore ini diistilahkan sebagai perusahaan cangkang (shell companies). Perusahaan cangkang ini memungkinkan pemiliknya untuk menutupi business dealings mereka, seberapapun abu-abunya.

SZ kemudian memutuskan untuk melakukan analisis data tersebut bekerjasama dengan International Consortium of Investigatve Journalist (ICIJ). ICIJ sebelumnya juga terlibat dalam riset atas dokumen-dokumen semisal, seperti Offshore Leaks, Lux Leaks maupun Swiss Leaks.

Beberapa kasus sementara diungkap oleh aliansi awak media. Tidak melulu soal pelarian harta kekayaan untuk meringankan beban pajak, ataupun pencucian uang oleh kartel-kartel narkoba. Kasus yang diungkap melalui dokumen-dokumen panama papers juga merembet ke masalah politik dan kemanusiaan.

Analisis Strategi Implementasi Qlue Pemda DKI

Sampah yang menggunung, jalanan berlubang, banjir dan kemacetan adalah pemandangan yang umum di sebagian wilayah Jakarta. Dan warga kota acapkali menumpahkan uneg-uneg mereka di sosial media. Berdasarkan data dari eMarketer, 77,4% atau sekitar 72,3 juta pengguna internet di Indonesia mengunjungi media sosial setidaknya sekali sebulan pada 2015, menjadikan Indonesia mempunyai penetration rate tertinggi di Asia Tenggara. Menangkap efek demokratis dari sosial media ini, PT Terralogiq membangun Qlue, sebuah platform pelayanan publik. Bukan hanya sebagai bentuk pelayanan masyarakat, namun utamanya sebagai wake-up call bagi birokrat di Jakarta, sebagaimana diungkapkan CEO Qlue, Rama Raditya.

Mempercayakan Data Negara kepada Pihak Ketiga: Analisis Kesepakatan Layanan (Terms of Service)

Laudon & Laudon (2016:92) mengungkapkan bahwa budaya kolaboratif yang berorientasi pada tim tidak akan menghasilkan manfaat tanpa hadirnya sistem informasi yang menjadi perantara bagi kolaborasi dan bisnis sosial (collaboration and social business). Oleh sebab itulah, penggunaan teknologi layanan kolaborasi dan bisnis sosial jamak digunakan. Tidak hanya di sektor komersial, tren ini juga merambah sektor publik.

Hanya saja, satu hal yang teramat perlu menjadi perhatian utama sebelum diambilnya keputusan mengenai penggunaan platform perangkat lunak untuk keperluan kolaborasi bisnis. Yakni berkaitan dengan hak apa yang dimiliki oleh pihak ketiga atas lalu lintas data, juga data yang disimpan.

Hal ini biasanya termuat dalam klausul perjanjian yang disetujui oleh pengguna ketika hendak menggunakan sebuah layanan. Perjanjian ini jamak disebut sebagai terms and condition serta privacy policy. Artinya, meskipun tidak ada biaya yang dibebankan oleh penyedia layanan pihak ketiga kepada para pengguna layanan, hubungan transaksional antara kedua pihak bukannya absen. Namun, pengguna layanan acapkali abai pada klausul-klausul dalam perjanjian yang, untuk menyatakan kesediaan atasnya pengguna hanya perlu memberikan centang dan klik tombol setuju.

Sistem Informasi Pengawasan Itjen Kementerian Keuangan

Inspektorat Jenderal Kementerian Keuangan terus berbenah. Sebagai Aparat Pengawas Internal Pemerintah (APIP) pada Kementerian Keuangan, Itjen Kemenkeu terus meningkatkan kapasitasnya terutama yang dirumuskan melalui prasyarat-prasyarat dalam Internal Audit Capability Model (IACM). Saat ini Itjen Kemenkeu berada dalam level 3: Integrated dalam penilaian IACM, yang berarti bahwa manajemen atas audit internal yang dilaksanakan oleh Inspektorat Jenderal Kementerian Keuangan beserta praktik profesional telah diterapkan secara menyeluruh. Salah satu usaha dalam manajemen atas praktik audit internal di lingkungan Itjen Kemenkeu adalah pengembangan sistem informasi berbasis ICT.