Anatomi Hack – Susunan Bentuk Peretasan
“Mengenal lebih dekat langkah demi langkah terjadinya peretasan akun. Tidak peduli seberapa ketat keamanan digital yang anda gunakan, selalu ada jalan belakang untuk mengeksploitasinya. Dan jalan belakang tidak hanya berasal dari luar, tapi bisa jadi disediakan oleh sistem keamanan itu sendiri”
– catatan editor –
Artikel asli dalam Bahasa Inggris oleh: Russell Brandom
Ditranslasikan ke dalam Bahasa Indonesia oleh: Edy Kesuma
Dicek dan ditinjau ulang oleh: Reopan editor
Di suatu hari saat waktu masih menunjukkan dini hari pada tanggal 21 Oktober 2014, Partav Davis kehilangan uang sekitar 3000 Dolar. Dia pergi tidur pada jam 2AM di Albuquerque, New Mexico, di rumahnya setelah begadang bermain game online, World of Tanks. Ketika dia tertidur, seorang penyusup menjebol setiap proteksi online keamanan yang telah dia buat. Saat dia terbangun, hampir semua kehidupan online-nya telah dijebol. Dua akun email, layanan voice call-nya, akun twitter, verifikasi dua tahapnya, dan yang paling penting akun bitcoin wallet.
Davis merupakan orang yang selalu berhati-hati ketika berhubungan dengan keamanan digital. Dia menggunakan password yang sulit dan menghindari meng-klik link yang tidak jelas. Dia menggunakan verifikasi dua tahap pada Gmail, jadi ketika dia masuk dari komputer yang berbeda, dia harus memasukkan enam digit angka yang dikirimkan ke ponselnya untuk memastikan bahwa itu benar-benar dia. Dia berhasil memperoleh uang dari perkembangan bitcoin dan memproteksinya melalui layanan tiga dompet digital yang masing-masing dikelola oleh Coinbase, Bitstamp, dan BTC-E. Dia juga menggunakan verifikasi dua tahap pada akun Coinbase dan BTC-E. Setiap dia ingin mengakses akun tersebut, dia harus melalui verifikasi login Authy, sebuah aplikasi yang menyediakan fitur verifikasi dua tahap pada ponselnya.
Selain bitcoin, Davis tidaklah berbeda dengan pengguna internet pada umumnya. Dia hidup dari mengerjakan coding, membagi waktu diantara mengerjakan software video edukasi dan pekerjaan campur aduk lainnya. Di saat liburan, dia pergi bermain snowboard, menjelajahi setiap lereng di Los Alamos. Di tahun ini berarti dia sudah sepuluh tahun berada di Albuquerque. Tahun kemarin dia sudah berumur 40 tahun.
Setelah kasus hack atau peretasan tersebut, Davis menghabiskan seminggu waktunya untuk menelusuri bagaimana tepatnya hal itu bisa terjadi, merangkai potongan gambar dari rekaman akses data log dan rekaman kejadian yang enggan diungkapkan oleh pegawai costumer service. Selama dalam proses tersebut, dia sampai ke media online The Verge, dan kami memperoleh sedikit potongan puzzle. Kami belum berhasil mengetahui semuanya (secara khusus kami tidak tahu siapa yang melakukannya), namun kami cukup mengetahui bagaimana mereka melakukannya, dan beberapa kelemahan sistem men-sketsakan sebuah peta paling rentan dalam kehidupan digital kita.
MAIL.COM
Ini dimulai dari email miliki Davis. Ketika pertama kali membuat akun email, Davis menemukan bahwa [email protected] telah digunakan orang lain, jadi dia memutuskan menggunakan layanan Mail.com, menjadi [email protected], yang memudahkan dia untuk mengingat nama email yang kurang lebih hampir sama dengan email Gmail.
Beberapa saat setelah lewat jam dua pagi dini hari, tanggal 21 Oktober, link tersebut rusak. Seseorang telah menjebol akun mail.com Davis dan membuatnya berhenti bekerja mengirimkan email. Tiba-tiba terdapat nomor ponsel baru yang terpasang di email akun (terpasang pada perangkat Android yang teregistrasi di Florida). Terdapat juga sebuah email backup baru dengan nama [email protected], yang kuat dugaan sebagai nama penyerang yang paling kami yakini.
Untuk memudahkan, kami menyebutnya dengan nama Eve.
Bagaimana Eve dapat masuk? Kami belum dapat mengatakannya dengan pasti, namun sepertinya dia menggunakan sebuah script yang menargetkan kelemahan halaman reset password Mail.com. Kami mengetahui script tersebut memang ada. Selama berbulan-bulan, para pengunjung di situs Hackforum menjual script yang dapat digunakan untuk mengakses akun password pada Mail.com. Script ini merupakan jenis exploit lama dan Davis sebagai salah satu targetnya, dimana harga rata-ratanya berkisar 5 Dolar per akun. Masih belum jelas bagaimana exploit tersebut bekerja dan meskipun telah ditutup sejak bulan lalu, Eve mendapatkan apa yang dia perlukan. Tanpa suatu verifikasi, dia bisa mereset password Davis menjadi deretan karakter yang hanya dia saja yang mengetahuinya.
AT&T
Langkah selanjutnya yang dilakukan oleh Eve adalah mengambil alih nomor ponsel Partap. Dia tidak memiliki password AT&T-nya, namun dia berpura-pura mengatakan bahwa dia lupa passwordnya. ATT.com kemudian mengirim link ke [email protected] untuk meresetnya. Saat dia masuk ke akun, dia berbicara dengan seorang pegawai customer service melalui panggilan telepon dari nomor yang berkode area Long Beach, California. Dengan keras saya menekankan, seharusnya ada lebih banyak keamanan prosedur saat menerima panggilan telepon, dan seharusnya tidak hanya dengan alamat email saja untuk menembusnya. Namun berhadapan dengan seorang pengguna yang sedang marah, pegawai customer service seringkali mengacuhkannya, menempatkan kepuasan pengguna pada tingkat keamanan tanpa rasa bersalah.
Setelah pengambilalihan selesai, semua layanan voice call dimiliki oleh Eve. Davis masih bisa mendapatkam SMS dan email, namun semua rute panggilan telepon langsung dialihkan ke penyerang tersebut. Davis tidak menyadari apa yang terjadi sampai dua hari kemudian, ketika bosnya mengkomplain karena Davis tidak pernah mengangkat teleponnya.
GOOGLE dan AUTHY
Kemudian, Eve mengincar akun Google Davis. Para ahli akan memberi tahu anda bahwa dua tahap verifikasi adalah pengamanan terbaik melawan para penyerang/pencuri akun. Seorang hacker mungkin bisa mendapatkan password anda atau seseorang mungkin berhasil mencuri ponsel anda, namun akan sangat sulit melakukan kedua hal ini bersamaan. Selama ponsel merupakan objek fisik/nyata, sistem keamanan ini akan bekerja baik. Namun orang-orang seringkali mengganti ponselnya, dan mereka juga berharap untuk mengganti layanannya juga. Satu akun harus bisa direset dalam jangka waktu satu hari 24 jam, dan layanan dua tahap verifikasi akhirnya hanya membuatnya terlihat menjadi layanan yang hanya membutuhkan satu akun untuk dijebol.
David belum mengaktifkan aplikasi Google Authenticator, opsi untuk keamanan yang lebih baik, namun dia telah menggunakan dua faktor verifikasi dimana Google akan mengirimkan pesan kepadanya untuk mengkonfirmasi kode setiap kali dia log-in dari komputer yang berbeda. Panggilan telepon masuk tidak memiliki perlindungan verifikasi pesan, namun Eve memiliki sebuah pintu belakang. Terima kasih kepada fungsi Google aksesbilitas, yang membuatnya bisa menanyakan kode konfirmasi yang bisa diucapkan dengan keras hanya melalui telepon.
Authy seharusnya sangat sulit untuk ditembus. Ini merupakan sebuah aplikasi, seperti Authenticator, dan sudah tertanam dalam ponsel Davis. Namun Eve dengan mudah mereset aplikasi tersebut melalui ponselnya menggunakan email mail.com dan sebuah kode konfirmasi dikirim melalui panggilan telepon. Beberapa menit setelah lewat jam 3AM, akun Authy telah dalam kendali Eve.
Ini merupakan trik yang sama yang mengecoh Google: selama dia memiliki email Davis dan layanan teleponnya, dua tahap verifikasi tidak dapat membedakannya. Pada poin ini, Eve memiliki lebih banyak kendali kehidupan online Davis daripada Davis sendiri. Disamping pesan teks, semua akses digital yang dimiliki Davis sekarang dipegang oleh Eve.
COINBASE
Pada jam 3:19AM, Eve mereset akun Coinbase Davis, dengan menggunakan Authy dan email mail.com miliknya. Pada pukul 3.55AM, dia mentransfer seluruh saldonya (kasarnya bernilai kurang lebih 3600 Dolar pada saat itu) ke akun buatan yang sepenuhnya dia kontrol. Dari sana, dia melakukan tiga kali penarikan, pertama 30 menit setelah akun dibuka, kemudian 20 menit setelahnya, dan terakhir 5 menit berikutnya. Setelah itu, semua uangnya hilang dan berubah menjadi akun kosong, didesain untuk menyembunyikan pelacakan. Kurang dari 90 menit setelah akun mail.com pertama kali dijebol, Davis kehilangan uangnya untuk selamanya.
Authy mungkin mengetahui sesuatu yang tidak biasa telah terjadi. Layanan tersebut selalu mengawasi tingkah laku yang mencurigakan, dan saat dengan teliti memonitor apa yang mereka awasi, terlihat seperti sebuah akun direset dari nomor yang berasal dari luar negeri pada tengah malam yang setidaknya akan ditandai sebagai proses yang mencurigakan. Namun ternyata nomor yang digunakan bukan berasal dari daerah rawan seperti Rusia atau Ukraina, walaupun bisa jadi Eve memang ada disana. Tampak semakin mencurigakan ketika Eve log-in ke Coinbase dari alamat IP Kanada. Mungkinkah mereka berhasil menghentikan dia kemudian? Sistem keamanan modern seperti Google ReCAPTCHA seringkali bekerja dengan cara ini, menambahkan sedikit petunjuk sampai memiliki cukup bukti untuk membekukan sebuah akun (namun Coinbase dan Authy hanya memiliki sebagian gambaran, dan keduanya tidak memiliki cukup kebenaran untuk membekukan akun Partap).
BTC-E dan BITSTAMP
Ketika Davis bangun, hal pertama yang dia sadari adalah saat akun Gmailnya secara misterius ter-logout. Passwordnya sudah dirubah dan dia tidak bisa login kembali. Saat dia berhasil masuk ke dalam akun, dia melihat betapa dalam kerugian yang dia alami. Terdapat email pemberitahuan untuk mereset masing-masing akun, memberi sketsa gambaran kerusakan apa saja yang dia alami. Ketika akhirnya dia berhasil mendapatkan akun Coinbase-nya kembali, dia menemukan jumlah saldonya sudah kosong. Eve telah mendapatkan 10 bitcoin, yang jika dinilaikan sekitar 3.000 dolar pada saat itu. Diperlukan waktu berjam-jam berbicara dengan pegawai costumer service dan mengirimkannya copian fax dari SIM-nya untuk menyakinkannya bahwa memang dialah Partap Davis.
Bagaimana dengan dua dompet digital lainnya? Terdapat bitcoin yang bernilai sekitar 2.500 Dolar dengan sistem perlindungan berbeda dari yang dimiliki oleh Coinbase. Namun ketika Davis mengeceknya, kedua akun masih dalam keadaan utuh. BTC-E memerlukan waktu 48 jam setelah penggantian password, memberinya waktu untuk membuktikan identitasnya dan mengambil kembali akunnya. Bitstamp menggunakan perlindungan yang lebih sederhana: ketika Eve mengemail untuk mereset kode token autentifikasi, sistem menanyakan foto dari SIM-nya. Meskipun Eve telah memiliki semua akses, hanya kali ini saja yang tidak berhasil dia miliki. Bitcoin terakhir Davis senilai 2.500 Dolar masih tetap aman.
Hampir dua bulan sejak kasus hack atau peretasan terjadi, dan Davis telah berhasil mengembalikan kehidupan digitalnya. Jejak terakhir dari penyusupan yang terjadi adalah akun Twitter Davis yang masih di-hack selama beberapa minggu terlepas dari kenyataan bahwa akun @partap mudah untuk ditangani, yang membuatnya menjadi berharga. Jadi Eve tetap menahannya, menempatkan gambar-gambar baru dan menghapus setiap jejak Davis. Beberapa hari setelah penyerangan, dia memposting screenshot akun Xfinity yang telah di-hack. Akun tersebut tidak dimiliki oleh Davis, namun dimiliki oleh orang lain. Dia telah mengincar target baru lagi dan menggunakan @partap sebagai aksesori tambahan untuk melakukan aksinya kembali, sama seperti mobil curian yang digunakan untuk mencuri.
Siapa sebenarnya pelaku dibalik penyerangan ini? Davis telah menghabiskan waktu selama seminggu untuk mencarinya (setengah harian ini terbuang percuma setelah tanpa hasil berbicara melalui telepon dengan pegawai costumer service), namun belum ada kemajuan yang dia dapatkan. Sesuai dengan rekaman login akun, komputer Eve terkoneksi dari suatu alamat IP yang ada di Kanada, namun bisa saja dia menggunakan browser TOR atau layanan vpn lain untuk menyembunyikan jejaknya. Nomor telepon yang dia gunakan terdaftar pada perangkat Android di Long Beach, California, namun nomor telepon tersebut kemungkinan besar adalah tipuan. Hanya ada sedikit jejak untuk menelusurinya dan semakin lama semakin cepat menghilang. Dimanapun dia berada, Eve berhasil meloloskan diri.
Mengapa dia mengincar Partap Davis? Dia mengetahui tentang dompet digital yang dimilikinya, itu yang dapat kami asumsikan. Mengapa juga dia menghabiskan banyak waktu untuk menggali informasi dalam akunnya? Dia memulainya dari akun mail.com, jadi kami bisa menduga Eve melihat daftar user login bitcoin bersama dengan alamat email Davis. Sejumlah daftar pelanggan Coinbase bocor dan tersebar di internet, walaupun saya sendiri tidak menemukan nama Davis dalam daftar tersebut. Atau bisa saja diperoleh dari jasa penyediaan atau retailer bitcoin. Kebocoran informasi adalah hal yang umum saat ini dan sebagian besar tidak dilaporkan.
Davis mulai lebih berhati-hati menggunakan bitcoin saat ini, dan dia telah angkat tangan pada alamat emailnya di mail.com (dan ternyata kehidupannya tidak banyak berubah). Coinbase sebelumnya memberikan refund, namun saat itu mereka menolak, dengan alasan bukan kesalahan dari sistem keamanan yang mereka gunakan. Dia melaporkan kejadian ini kepada FBI, namun badan ini tampak tidak tertarik dengan pencurian beberapa keping bitcoin. Apa yang bisa dilakukannya lagi? Dia tidak dapat berhenti menggunakan ponsel atau menyerah pada kemampuan untuk mereset suatu akun. Ada terlalu banyak akun, sehingga ada banyak cara untuk memasukinya. Di dunia keamanan, mereka menyebutnya sebagai “attack surface.” Semakin besar areanya, semakin sulit untuk mempertahankannya.
Dan yang paling penting, mereset sebuah password masih merupakan hal yang mudah, sebagaimana yang dilakukan oleh Eve, lagi dan lagi. Saat sebuah layanan menghentikannya, itu bukanlah algoritma yang rumit atau suatu sistem biometrik yang canggih. Malahan, hanya dengan sebuah layanan dengan waktu tunggu 48 jam sebelum verifikasi password baru diberikan. Pada level teknis, ini merupakan perbaikan yang mudah, namun mengorbankan banyak biaya. Perusahaan-perusahaan secara berlanjut menyeimbangkan antara tingkat resiko dengan seberapa besar tingkat kenyamanan yang diperoleh. Beberapa orang mungkin kehilangan kontrol akan akun digital mereka, namun jutaan orang lainnya tetap bisa menggunakan layanannya tanpa gangguan. Dalam pertarungan antara keamanan dan kenyamanan, keamanan hanyalah perlengkapan persenjataan.
