Jika memang akan menggunakan internet untuk kepentingan yang benar-benar privasi, sebaiknya hindari menggunakan fasilitas wifi di tempat umum. Artikel dibawah ini adalah salah satu contoh gambaran mengenai seberapa mudahnya para hacker mengambil data pribadi anda. Anda tidak akan tahu seberapa besar dampak kerugiannya sampai anda benar-benar mengalaminya”

– catatan editor –

Artikel asli dalam Bahasa Belanda oleh: Maurits Martijn 

Ditranslasikan ke dalam Bahasa Inggris oleh: Jona Meijers

Ditranslasikan ke dalam Bahasa Indonesia oleh: Taufik Al

Dicek dan ditinjau ulang oleh: Reopan editor


Potensi bahaya wifi

Potensi kemanan wifi

Mungkin lebih baik jika anda tidak membaca tulisan ini dimana anda sendiri sedang menggunakan fasilitas WiFi Umum atau Publik saat ini.

Kami mengajak seorang hacker ke sebuah kafe dan, dalam 20 menit, dia bisa mengetahui tempat kelahiran orang-orang yang ada disana, sekolah yang mereka masuki, dan 5 hal terakhir yang mereka cari di google.

Di dalam ranselnya, Wouter Slotboom, 34 tahun, membawa sebuah perangkat hitam kecil, sedikit lebih besar dibanding bungkus rokok, dengan antena diatasnya. Saya bertemu dengan Wouter secara kebetulan di sebuah kafe di pusat kota Amsterdam. Hari itu cukup cerah dan hampir seluruh meja terisi. Sebagian orang berbincang, yang lainnya bekerja dengan laptop mereka atau bermain dengan smartphone mereka.

Wouter mengeluarkan laptopnya dari ransel, meletakkan perangkat berwarna hitam diatas meja, dan menyembunyikannya dibawah daftar menu. Seorang pelayan menghampiri kami kemudian kami meminta dua kopi dan password WiFi. Sementara itu, Wouter menyalakan laptop dan perangkatnya, membuka beberapa program, dan tidak lama kemudian layar laptopnya mulai dipenuhi dengan teks berwarna hijau. Semakin jelas bahwa perangkat milik Wouter tersambung ke laptop, smartphone, dan tablet milik para pengunjung kafe.

Di layarnya, mulai muncul kata-kata seperti “iPhone Joris” dan “MacBook Simon”. Antena dari perangkat tersebut sedang menyadap sinyal yang dikirim dari laptop, smartphone, dan tablet yang ada disekitar kami.

Semakin banyak text yang muncul dilayar. Kami dapat mengetahui jaringan WiFi yang sebelumnya tersambung ke perangkat-perangkat tersebut. Kadang nama jaringannya terdiri dari banyak nomor dan huruf-huruf acak, sehingga sulit untuk melacak lokasi yang pasti, namun seringkali, jaringan-jaringan WiFi ini memberitahu kami dari mana asalnya.

Kami mengetahui bahwa Joris sudah pernah pergi ke McDonald’s sebelumnya, mungkin ia menghabiskan liburannya di Spanyol (banyak nama jaringan berbahasa Spanyol), dan pernah ikut balapan gokart (dia pernah tersambung dengan sebuah jaringan milik pusat balapan gokart lokal yang terkenal). Martin, seorang pengunjung kafe lainnya, pernah terhubung ke jaringan di bandara Heathrow dan bandara Southwest American. Di Amsterdam, dia mungkin menginap di pondok White Tulip. Dia juga pernah mengunjungi sebuah kedai kafe bernama The Bulldog.

BAGIAN PERTAMA …

Membiarkan Semua Orang Terhubung Ke Jaringan Wifi Umum Palsu Kami

Pelayan menyajikan kopi kami dan memberikan kami password WiFi. Setelah Slotboom terhubung, dia dapat menyediakan sebuah koneksi internet kepada seluruh pengunjung dan mengalihkan semua lalu lintas internet melalui perangkat kecilnya.

Kebanyakan dari smartphone, laptop, dan tablet secara otomatis mencari dan terhubung ke jaringan WiFi. Perangkat-perangkat tersebut biasanya lebih memilih jaringan stabil yang pernah tersambung sebelumnya. Jika anda sebelumnya pernah terhubung ke jaringan T-Mobile di kereta misalnya, perangkat anda akan mencari jaringan T-Mobile di area tersebut.

Perangkat Slotboom mampu mendaftar ke pencarian tersebut dan muncul seperti jaringan WiFi yang terpercaya. Saya tiba-tiba melihat nama jaringan rumah saya muncul di daftar jaringan yang tersedia di iPhone saya, begitupula dengan tempat kerja saya, kafe-kafe, lobi hotel, kereta, dan tempat-tempat umum lain yang pernah saya kunjungi. Ponsel saya secara otomatis tersambung ke salah satu jaringan ini, yang semuanya berasal dari perangkat hitam tersebut.

Slotboom juga mampu memancarkan nama jaringan fiktif, sehingga pengguna percaya bahwa mereka benar-benar terhubung dengan jaringan di tempat yang sedang mereka kunjungi. Sebagai contoh, jika sebuah tempat memiliki jaringan WiFi yang terdiri dari huruf dan nomor acak (Fritzbox xyz123), Slotboom dapat membuat nama jaringan (Starbucks). Ia mengatakan bahwa orang-orang lebih memilih untuk terhubung ke jaringan tersebut.

Kami melihat semakin banyak pengunjung yang masuk ke jaringan fiktif kami. Nyanyian dari perangkat kecil berwarna hitam ini nampaknya sangat menggoda. Sudah 20 smartphone dan laptop disini. Jika dia mau, saat ini Slotboom bisa saja menghancurkan kehidupan orang-orang yang sudah terhubung: dia dapat mengambil password mereka, mencuri identitas mereka, dan menjarah rekening bank mereka. Di penghujung hari ini, dia akan menunjukkan kepada saya bagaimana caranya. Saya telah mengizinkan dia untuk meretas saya dan menunjukkan kemampuannya, meskipun hal tersebut bisa dilakukan kepada semua orang dengan smartphone yang sedang mencari jaringan, atau laptop yang sedang terhubung ke jaringan WiFi.

Semuanya, dengan beberapa pengecualian, bisa dibobol.

Pendapat bahwa jaringan WiFi umum tidak aman bukanlah berita baru. Hal ini, bagaimanapun, adalah berita yang tidak dapat diulang-ulang. Saat ini ada lebih dari 1.43 milyar pengguna smartphone di seluruh dunia dan lebih dari 150 juta pengguna smartphone di Amerika Serikat. Lebih dari 92 juta orang dewasa di Amerika memiliki tablet dan lebih dari 155 juta memiliki laptop. Setiap tahunnya permintaan akan laptop dan tablet terus meningkat di seluruh dunia. Pada tahun 2013, diperkirakan 206 juta tablet dan 180 juta laptop terjual di seluruh dunia. Mungkin setiap orang yang memiliki sebuah perangkat portabel pernah terhubung dengan jaringan WiFi umum: ketika minum kopi, di kereta, atau di hotel.

Kabar baiknya adalah sebagian jaringan lebih aman dibanding yang lain; sebagian layanan email dan sosial media menggunakan metode enkripsi yang lebih aman dibanding kompetitor mereka. Namun menghabiskan satu hari berjalan-jalan di kota bersama Wouter Slotboom, maka anda akan mendapati bahwa hampir segala sesuatu dan setiap orang yang terhubung ke jaringan WiFi dapat diretas. Sebuah penelitian dari konsultan keamanan intelijen ancaman berbasis resiko memperkirakan bahwa lebih dari 822 juta dokumen di seluruh dunia terbongkar pada tahun 2013, termasuk nomor kartu kredit, tanggal lahir, dokumen kesehatan, nomor telepon, nomor jaminan sosial, alamat, nama pengguna, email, nama, dan password. Menurut Kaspersky Lab, 65 persen dari dokumen tersebut berasal dari AS, pada tahun 2013 sekitar 37.3 juta pengguna diseluruh dunia dan 4.5 juta orang Amerika menjadi korban atas percobaan pencurian data, yaitu pencurian detail-detail pembayaran dari komputer, smartphone atau pengguna website yang dibobol.

Berbagai laporan menunjukkan bahwa penipuan identitas digital merupakan masalah umum yang terus meningkat. Para hacker dan penjahat cyber saat ini mempunyai banyak trik yang berbeda. Namun jaringan WiFi umum yang terbuka dan tidak terlindungi membuat ini menjadi sangat mudah bagi mereka. Netherlands National Cyber Security Center, sebuah divisi dari Kementrian keamanan dan keadilan, memberi himbauan sebagai berikut: “tidak disarankan menggunakan jaringan WiFi terbuka di tempat-tempat umum. Jika menggunakan jaringan-jaringan tersebut, harap menghindari aktivitas terkait pekerjaan dan keuangan.

Slotboom menyebut dirinya seorang “hacker bermoral” atau termasuk golongan orang baik; seorang ahli teknologi yang ingin mengungkap potensi bahaya dari internet dan teknologi. Dia menyarankan kepada individu dan perusahaan bagaimana melindungi diri dan informasi mereka dengan lebih baik. Dia melakukan ini, seperti yang telah ia lakukan hari ini, biasanya dengan menunjukkan betapa mudahnya menimbulkan kerusakan. Karena ini benar-benar seperti mainan anak-anak: perangkat yang murah, dan aplikasi yang digunakan untuk menyadap lalu lintas jaringan sangat mudah digunakan dan sudah tersedia untuk didownload. Dia mengatakan “Yang anda butuhkan hanyalah 70 Euro, IQ standar, dan sedikit kesabaran.” Saya menahan diri untuk tidak membeberkan lebih banyak aspek teknis, seperti perlengkapan, perangkat lunak, dan aplikasi yang dibutuhkan untuk meretas orang-orang.

BAGIAN KEDUA …

Mencari Nama, Password, Dan Orientasi Seksual

Dipersenjatai dengan ransel milik Slotboom, kami pindah ke sebuah kedai kopi yang dikenal dengan bunga-bunga indah yang dibentuk dengan busa latte, dan menjadi tempat populer bagi pekerja lepas yang bekerja menggunakan laptop. Sekarang tempat ini dipenuhi dengan orang-orang yang berkonsentrasi ke laptop mereka.

Slotboom menyalakan perlengkapannya. Dia membawa kami melalui tahap-tahap yang sama, dan dalam beberapa menit, sekitar 20 perangkat telah terhubung ke kami. Lagi-lagi kami melihat Mac-address dan riwayat login mereka, dan beberapa nama pemilik. Atas permintaan saya, kami sekarang menuju ke tahap selanjutnya.

Slotboom meluncurkan program lainnya (juga tersedia untuk didownload), yang memungkinkan dia untuk mengambil lebih banyak informasi dari smartphone dan laptop yang terhubung. Kami dapat melihat spesifikasi model ponsel (Samsung Galaxy S4), pengaturan bahasa untuk perangkat yang berbeda, dan sistem operasi yang digunakan (iOS 7.0.5). Misalnya, jika suatu perangkat memiliki sistem operasi yang sudah ketinggalan jaman, selalu ada “bug” atau celah dalam sistem keamanan yang dapat dengan mudah dieksploitasi. Dengan semua informasi ini, anda sudah mendapatkan apa yang anda butuhkan untuk masuk ke sistem operasi dan mengambil alih perangkat tersebut. Sebuah contoh dari pelanggan kedai kopi diatas menunjukkan bahwa tidak satupun dari perangkat yang terhubung memiliki sistem operasi terbaru. Untuk semua sistem jadul ini, bug yang terdeteksi sudah terdaftar di internet.

Saat ini kami dapat melihat lalu lintas internet aktual dari orang-orang disekeliling kami. Kami melihat seseorang dengan MacBook sedang mengunjungi situs Nu.nl. kami bisa melihat bahwa banyak perangkat mengirim dokumen menggunakan WeTransfer, sebagian terhubung ke Dropbox, dan beberapa menunjukkan aktivitas di Tumblr. Kami melihat seseorang baru saja masuk ke FourSquare. Nama dari orang tersebut juga terlihat, dan, setelah mencari namanya di google, kami mengenalinya sebagai orang yang duduk hanya beberapa meter dari kami.

Informasi datang membanjiri, bahkan dari para pengunjung yang sedang tidak aktif bekerja atau internetan. Banyak program dan aplikasi email secara terus menerus terhubung dengan servernya – untuk mendapat email baru. Untuk sebagian perangkat dan program, kami dapat melihat informasi yang sedang dikirim dan ke server mana informasi tersebut dikirim.

Dan sekarang mulai masuk ke ranah pribadi. Kami melihat ada satu pengunjung menginstal aplikasi kencan Grindr di smartphonenya. Kami juga melihat nama dan tipe smartphone yang digunakan (iPhone 5s). Kami berhenti disini, namun akan sangat mudah untuk mengetahui pemilik ponsel ini. Kami juga melihat ponsel seseorang sedang mencoba untuk terhubung ke server di Rusia, disaat yang bersamaan juga mengirim password, yang dapat kami sadap.

BAGIAN KETIGA …

Memperoleh Informasi Pekerjaan, Hobi Dan Masalah Relasi

Banyak program, aplikasi, website, dan berbagai perangkat lunak menawarkan teknologi enkripsi. Ini tidak lain untuk memastikan bahwa informasi yang dikirim dan diterima dari sebuah perangkat tidak dapat diakses oleh mereka yang tidak berwenang. Namun sekali pengguna terhubung ke jaringan WiFi milik Slotboom, keamanan tersebut relatif mudah untuk ditembus, dengan bantuan aplikasi dekripsi.

Kami terkejut, kami melihat sebuah aplikasi mengirim informasi pribadi ke perusahaan yang menjual iklan online. Antara lain, kami melihat data lokasi, informasi teknis ponsel, dan informasi mengenai jaringan WiFi. Kami juga dapat melihat nama (nama depan dan belakang) dari seorang wanita yang menggunakan website bookmarking sosial Delicious. Delicious memungkinkan penggunanya untuk berbagi website – bookmark – yang menarik bagi mereka. Pada prinsipnya, halaman yang dibagikan oleh para pengguna Delicious tersedia secara publik, namun kami merasa seperti tukang intip ketika menyadari berapa banyak yang dapat kami ketahui tentang wanita ini berdasarkan informasi tersebut.

Pertama-tama kami mencari namanya di google, seketika kami mengetahui seperti apa rupanya dan dimana tempat duduknya. Kami mengetahui bahwa ia dilahirkan di sebuah Negara Eropa yang berbeda dan baru saja pindah ke Belanda. Melalui Delicious kami mengetahui bahwa dia sedang mengunjungi website kursus bahasa Belanda dan dia menandai sebuah website dengan informasi mengenai kursus integrasi bahasa Belanda.

Dalam waktu kurang dari 20 menit, inilah yang dapat kami ketahui tentang wanita yang duduk 10 meter dari kami: tempat kelahiran, pendidikan, dia tertarik dengan yoga, dia menandai sebuah penawaran online untuk kasur anti ngorok, baru saja berkunjung ke Thailand dan Laos, dan nampak sangat tertarik pada situs-situs yang memberi tips untuk menyelamatkan hubungan.

Slotboom menunjukkan trik hacker lainnya. Menggunakan aplikasi di ponselnya, ia mampu mengganti kata-kata di website manapun. Sebagai contoh, dimanapun ada kata “Opstelten” (nama seorang politisi Belanda) disebut, orang-orang akan melihat kata “Dutroux” (nama seorang narapidana pembunuh berantai) yang malah muncul dihalaman. Kami telah mencobanya dan berhasil. Kami mencoba trik lain: siapapun yang membuka website yang berisi gambar akan melihat sebuah gambar yang sudah dipilih oleh Slotboom. Mungkin lucu jika anda ingin menjahili orang, namun bisa saja foto pornografi anak yang dimasukkan ke smartphone seseorang, suatu kepemilikan yang merupakan tindak kriminal.

Password Berhasil Didapat …

Kami mengunjungi kafe dengan fasilitas wifi umum lainnya. Permintaan terakhir saya kepada Slotboom adalah menunjukkan apa yang akan ia lakukan jika ingin benar-benar membahayakan saya. Dia meminta saya untuk mengunjungi Live.com (situs email Microsoft) dan memasukkan nama pengguna dan password acak. Beberapa detik kemudian, informasi yang saya ketikkan muncul di layar miliknya. “sekarang saya punya detail login dari akunmu,” kata Slotboom. “hal pertama yang akan saya lakukan adalah mengganti password anda dan menunjukkan kepada layanan lain yang anda gunakan bahwa saya lupa password saya. Kebanyakan orang menggunakan akun email yang sama untuk semua layanan. Password baru tersebut kemudian akan dikirim ke kotak masuk anda, yang berarti saya juga memilikinya.” Kami melakukan hal serupa untuk Facebook: Slotboom mampu mendapat nama login dan password yang saya masukkan dengan relatif mudah.

Trik lain yang digunakan Slotboom adalah mengalihkan lalu lintas internet saya. Misalnya, setiap kali saya mencoba mengakses situs bank saya, dia telah mengatur programnya agar mengalihkan saya ke halaman miliknya: situs kloningan yang sama persis dengan situs terpercaya tersebut, tetapi sepenuhnya dikontrol oleh Slotboom. Para hacker menyebut ini sebagai tipuan DNS. Informasi yang saya masukkan ke situs tersebut disimpan dalam server milik Slotboom. Dalam waktu 20 menit dia mampu mendapatkan detail login, termasuk password Live.com, SNS Bank, Facebook, dan akun DigiD saya.

Setelah saya melihat secara langsung potensi bahaya WiFi, saya tidak akan pernah lagi terhubung ke jaringan WiFi umum atau publik yang tidak aman tanpa memperhitungkan keamanannya.

***
Artikel ini berasal dari platform jurnalisme online Belanda, De Correspondent. Seluruh nama yang ada di artikel ini hanyalah fiktif belaka, kecuali Wouter Slotboom. Kami menggunakan data dengan penuh kehati-hatian dan menghapusnya segera setelah pertemuan terakhir kami.