Cyberthreat.id – Awal Januari 2021 platform pesan daring menjadi topik terpopuler di media massa dan media sosial di seluruh dunia.

Isu hangat tersebut dipicu oleh WhatsApp yang bikin gempar dengan perubahan kebijakan privasinya. Perusahaan mengatakan akan berbagi metadata penggunanya kepada Facebook Inc dan grup perusahaan lain sebagai langkah monetisasi—apalagi selama ini mereka tak mau menerima iklan.

Imbasnya, platfom serupa lain menerima rezeki nomplok. Terjadi ledakan jumlah pengguna Signal, Telegram, dan termasuk, pemain lokal Indonesia, Palapa yang dikembangkan oleh XecureIT. (Baca: Imbas Kebijakan Privasi WhatsApp, Aplikasi Lokal Palapa Alami Lonjakan Pengguna)

XecureIT sebelumnya mengeluarkan aplikasi PesanKita Indonesia, tampaknya kurang mendapatkan pasar. Mereka pun berinvestasi dengan merek anyar bernama “Palapa” yang dirilis pada September 2020.

Sejumlah orang yang berkecimpung di dunia keamanan siber Tanah Air menyarankan agar Palapa menjadi opsi lain sebagai pengganti WhatsApp. Pengamat TI terkemuka Onno W. Purbo dan Direktur BSSN Anton Setiyawan pun merekomendasikan agar masyarakat memakai Palapa.

---

Berita Terkait:

• Palapa, Aplikasi Percakapan Lokal yang Diklaim Lebih Aman dan Anti-Hijacking
• Ingin Keluar dari WhatsApp? Direktur BSSN Sarankan Masyarakat Pakai Aplikasi Palapa

---

Dukungan kepada Palapa bukan semata-mata karena faktor keamanan dan privasi, tapi juga mendukung produk dan ekosistem TI lokal supaya lebih maju.

Lalu, seberapa aman dan bagaimana Palapa melindungi data pribadi yang dikumpulkan? Wartawan Cyberthreat.id Tenri Gobel mewawancarai Pendiri XecureIT, Gildas Deograt melalui layanan Palapa, Jumat (22 Januari 2021):

Palapa dirilis September 2020, berapa jumlah penggunanya sekarang?

Total pengguna Palapa di perangkat Android dan iOS kurang lebih 50.000.

Bagaimana mengantisipasi lonjakan pengguna?

Meningkatkan kapasitas infrastruktur. Penggunaan infrastruktur storage Palapa relatif rendah karena tidak menyimpan data milik pengguna.

Apa yang membuat Palapa ini lebih aman daripada aplikasi serupa lainnya?

WhatsApp dan Palapa sama-sama berbasis pada Signal. Namun, Palapa memiliki keamanan dan privasi lebih tinggi dan dirancang sebagai secure mobile application platform untuk mendukung proses bisnis agar flexible, agile, secure, simple, dan transformative (FASST).

Apa saja fitur-fiturnya Palapa, terutama yang menjamin keamanan dan privasi?

Perbedaan utama Palapa yang tidak dimiliki aplikasi lainnya yaitu memiliki fungsi screenshot notification. Palapa Business juga dirancang untuk memastikan keamanan dan privasi tinggi bagi pemerintah, pelaku usaha, serta para pengguna layanan.

---

Baca:

• Berikut Ini Detail Perbandingan antara WhatsApp, Telegram, Signal, dan Palapa

---

Katanya ada fitur baru Palapa Room, bisa Anda jelaskan?

Palapa Room adalah fasilitas ruang rapat daring. Dari sudut pandang keamanan, rapat daring menggunakan layanan video conference ibaratnya kita menyewa ruang rapat, tapi seluruh aktivitas rapat kita direkam oleh pemilik ruangan.

Ke depan, Palapa Room akan menjadi fasilitas khusus untuk pelanggan bisnis dengan keamanan dan privasi yang tinggi setara dengan privasi ruang rapat fisik di kantor.

Sisi perlindungan data pribadi, Palapa menyimpan nomor telepon. Apakah nama dan gambar profil juga disimpan Palapa?

Server (peladen) dari Palapa hanya menyimpan nomor telepon sebagai UserID. Nama dan gambar profil ada di peladen dalam bentuk terenkripsi yang hanya bisa dibuka oleh teman dari pemilik profil tersebut.

Apakah itu dilindungi enkripsi end-to-end, artinya Palapa sendiri tidak bisa melihat konten pengguna?

Administrator dan peladen Palapa tidak bisa membaca seluruh konten pesan yang terenkripsi secara end-to-end (E2E).

Bisa dijelaskan terkait pesan yang tertunda? Apakah pesan tersebut tetap terlindungi enkripsi E2E?

Peladen Palapa dapat dianalogikan seperti layanan PO Box di kantor pos. Setiap pengguna memiliki PO Box masing-masing.

Saat pengguna mengirim pesan dengan enkripsi E2E (terenkripsi di dalam brankas), maka petugas kantor pos hanya memindahkan brankas dari satu PO Box ke PO Box lainnya.

Brankas tetap ada di PO Box pengguna hingga pengguna aktif daring dan terhubung ke peladen Palapa. Setelah itu PO Box akan kosong kembali. Jadi, selama brankas ada di PO Box, tidak ada pihak di kantor pos yang memiliki kunci brankas untuk membukanya.

---

---

Jika pesan itu tertunda, bagaimana waktu penghapusannya? Bisa  jadi si penerima tidak aktif lagi selama-lamanya: apakah pesan disimpan selama-lamanya pesannya di peladen?

Peladen Palapa menjalankan proses penghapusan berkas yang tidak terkirim dalam kurun waktu tertentu, antara 14-30 hari, tergantung dengan ketersediaan storage.

Terkait dengan daftar kontak: apakah di-hash dan disimpan di peladen?

Saat sinkronisasi kontak, Palapa client akan melakukan proses one-way encryption dengan algoritma hash SHA-256 sebelum dikirim ke peladen.

Peladen melakukan proses hash terhadap UserID dan mencocokkan nilai hash yang diterima dari client (perangkat pengguna). Jika ada yang cocok, maka akan diinformasikan ke client. Setelah proses pencocokan selesai, seluruh nilai hash dari kontak yang diterima dari client akan langsung dihapus dari peladen.

Proses one-way encryption atau hash membutuhkan sumber daya pemrosesan yang cukup besar, sehingga terkadang pengguna Palapa yang memiliki kontak ribuan akan merasakan jeda waktu. Ini nilai yang harus ditukar untuk mencapai privasi tinggi.

Soal berbagai dengan pihak ketiga: data apa yang dibagikan?

Saat ini, Palapa menggunakan layanan pihak ketiga untuk mengirimkan token pendaftaran via SMS. Otomatis, pihak ketiga akan mengetahui nomor ponsel (UserID) pengguna.

---

Baca:

• Perlukah Anda Pindah ke Signal dan Telegram? Tak Perlu Buru-buru, Ada Baiknya Pertimbangkan Tiga Hal Ini

---

Pihak ketiganya siapa?

Penyedia layanan SMS gateway yang bisa kami ganti setiap saat jika layanannya kurang baik.

Bagaimana menjamin perlindungan datanya ketika berbagi ke pihak ketiga tersebut?

Perlindungannya lemah, hanya berupa kesepakatan dengan penyedia layanan SMS gateway. Saat ini kami sedang melakukan perubahan untuk agar nomor ponsel pengguna tidak diproses oleh pihak ketiga.

Di iPhone, tampilan Palapa mirip banget dengan Signal…

Kami memang belum melakukan perubahan signifikan terhadap user interface (UI). Dalam menentukan prioritas, kami masih fokus pada peningkatan keamanan dan privasi pengguna yang menjadi tujuan utama Palapa.

Fitur di Android dan iOS berbeda ya, contohnyua fitur hapus akun. Tidak disediakan fitur hapus akun di Android, ya?

Untuk menghapus akun ada di “Pengaturan” lalu pilih “Lanjutan”. Tidak mungkin aplikasi di seluruh platform sistem operasi (OS) memiliki fitur yang sama persis karena perbedaan arsitektur dan kebijakan keamanan setiap OS berbeda-beda.

Sebenarnya perbedaannya apa antara Palapa Android dan iOS?

Antara lain emoticon Garuda Pancasila yang tidak ada di iOS karena Apple tidak mengizinkan penggunaan emoticon dari aplikasi. Kami berusaha semaksimal mungkin meminimalisasi perbedaan fitur Palapa antar platform.

Terkait hapus akun, berapa lama proses penghapusan terkait data yang disimpan oleh Palapa?

Langsung dihapus.

Ngomong-ngomong XecureIT kerja sama dengan militer indonesia, bagaimana soal keamanan data pengguna?

XecureIT memang bagian dari industri pertahanan siber yang produk-produknya sudah disertifikasi oleh Kementerian Pertahanan dan tidak terkait dengan layanan platform Palapa publik.

Sektor pertahanan menggunakan ekosistem platform Palapa yang terpisah.

Bagaimana dengan penyadapan? Apakah aman dari penegak hukum indonesia atau intel (BIN, misalnya)?

Kami selalu dan harus mendukung sepenuhnya upaya penegakan hukum sehingga kami akan memberikan akses penuh ke peladenr Palapa jika diminta sesuai dengan prosedur penegakan hukum yang berlaku.

Berbeda dengan layanan lain yang melakukan perubahan pada protokol Signal, peladen Palapa tidak bisa membuka konten terenkripsi yang hanya ada di peladen untuk sementara waktu.

Namun, dalam konsep prinsip keamanan, siapa pun bisa menyadap konten Palapa atau layanan pesan singkat lainnya selama punya sumber daya cukup besar untuk membongkar enkripsi yang digunakan. (cetak tebal oleh redaksi)

Dari segi enkripsi end-to-end itu apakah ada efek negatifnya, misal, dalam mengejar pelaku kejahatan yang memakai Palapa?

Teknologi selalu netral. Serupa dengan kendaraan, pisau, atau helm yang dirancang untuk kebaikan, tapi dapat disalahgunakan untuk kejahatan.

Rencana jangka pendek dan panjangnya apa?

XecureIT berkeyakinan bahwa saat seluruh norma baru tidak lagi disruptif, hanya ada satu hal yang akan terus mendisrupsi yaitu keamanan dan privasi.

Selain sebagai platform komunikasi dengan keamanan dan privasi tinggi, tujuan utama pengembangan Palapa untuk digunakan oleh pemerintah atau pelaku usaha sebagai secure mobile application platform yang dapat menjalankan berbagai proses bisnis di dalamnya, seperti WeChat, tapi dapat di white label (menggunakan nama dan merek yang dikehendaki).

Saat ini, Palapa Android untuk bisnis telah memiliki fitur in-chat-signing yang terintegrasi dengan Xecure Digital Certificate Ecosystem dan Xecure Data Exchange. Fitur yang sama untuk Palapa iOS masih dalam pengembangan.

---

Baca:

• Yuk, Mengenal Persamaan dan Perbedaan antara Signal dan Telegram
• Temukan Saluran dan Bot Telegram Pornografi hingga Penipuan, Begini Cara Melaporkannya

---

Jangka panjangnya, Palapa akan mengubah paradigma keamanan berbanding terbalik dengan kenyamanan dan biaya. Pengguna Palapa akan semakin mudah dan nyaman bertransaksi dengan tingkat keamanan dan privasi semakin tinggi.

Banyak pihak melakukan pengamanan siber dan informasi masih berfokus pada infrastruktur, berevolusi terikat dengan pola pikir keamanan siber 30 tahun lalu. Penjahat siber memanfaatkan enkripsi jaringan dan mengalihkan fokusnya pada content/data level attacks.

Palapa menyediakan fasilitas untuk merevolusi keamanan siber yang berfokus pada keamanan konten/data, nirsangkal, integrasi system-ke-system, dan menghilangkan otentikasi daring berbasis password dan OTP yang dikelola secara manual dan tidak aman oleh pengguna.

Ada kiat-kiat aman pakai Palapa?

Tips keamanan memakai aplikasi Palapa:

1. Pastikan fitur Anti Registration Hijacking selalu aktif, dan tidak lupa PIN-nya. Jika lupa PIN, maka pengguna harus menunggu 7 hari untuk bisa mendaftar kembali dengan nomor ponsel yang sama.
2. Pastikan koneksi sudah terputus setiap kali selesai pcall (Palapa call) voice/video.
3. Aktifkan fungsi pesan hilang otomatis di setiap percakapan sesuai dengan kebutuhan.
4. Tingkatan hak sebagai Group Owner/Creator sangat efektif untuk mencegah group hijacking dan group intrusion. Pastikan group creator adalah orang yang berintegritas tinggi.
5. Aktifkan kembali fungsi Screen Security setiap kali selesai melakukan screenshot.
6. Kirimkan hasil screenshot ke lawan bicara. Palapa secara otomatis akan mengirimkan notifikasi ke lawan bicara (grup ataupun individu) jika pengguna melakukan screenshot. Palapa aplikasi pertama dan mungkin satu-satunya di dunia yang memiliki fitur ini untuk mengembangkan budaya menghargai privasi sesama pengguna.
7. Lakukan backup data secara berkala, simpan di tempat terpisah, dan pastikan catatan kunci enkripsinya tidak hilang. Backup data otomatis terenkripsi dan tidak bisa di-restore tanpa mengetahui kuncinya.

Adakah serangan-serangan siber yang mencoba ke Palapa?

Ada.

Langkah apa yang dilakukan Palapa untuk melindungi dari ancaman siber, khususnya kebocoran data?

Kecuali, UserID (nomor ponsel), seluruh data pengguna dalam bentuk terenkripsi dan hanya bisa dibaca oleh pengguna yang dituju.

Admin/pengelola peladen Palapa dan peretas memiliki posisi yang sama terhadap data pengguna.

Apakah ada rencana Palapa memproses data untuk iklan? Atau memonetisasi data pengguna?

Model bisnis Palapa saat ini melalui layanan Palapa Business untuk transformasi digital pemerintah atau perusahaan dengan keamanan dan privasi tinggi.

Kami sedang merancang model bisnis berbasis iklan yang memang benar-benar dibutuhkan pengguna, tidak intrusive (mengganggu), dan yang terpenting tidak menurunkan keamanan dan privasi pengguna, tidak melakukan data mining.[]

Redaktur: Andi Nugroho