Jakarta, Cyberthreat.id – Pada April lalu, aktivis kebijakan publik Ravio Patra Asri mengklaim bahwa akun WhatsApp-nya telah diretas seseorang.

Akibatnya, melalui nomor ponselnya, ada yang mengirim pesan ke sejumlah orang yang berisi ajakan untuk penjarahan pada 30 April 2020.

Lantaran pesan itu, Ravio sempat “mendekam” selama 33 jam di Polda Metro Jaya karena dianggap menyebarkan ancaman. Namun, pada 24 April pagi, ia dibebaskan oleh kepolisian dan berstatus sebagai saksi.

Ada sejumlah skenario bagaimana akun WhatsApp Ravio diretas.

Dalam pernyataan pers saat penangkapan Ravio, SAFEnet mengklaim Ravio telah menerapkan fitur keamanan autentikasi dua langkah (2FA) dan sidik jari.

Namun, Pendiri Ethical Hacker Indonesia Teguh Aprianto dalam analisisnya di Remotivi.or.id mengatakan, dirinya mendapatkan informasi bahwa Ravio ternyata tak mengaktifkan fitur 2FA. “Artinya, si peretas membobol akun Ravio dengan memasukkan kode OTP yang didapat melalui SMS. Dengan kata lain, si peretas punya akses ke SMS Ravio,” tulis Teguh.

Untuk memahami secara umum kasus penyadapan atau spionase, Cyberthreat.id mengontak Ketua Pusat Penelitian Keamanan Sistem Informasi dan Komunikasi (CISSReC), Dr. Pratama Dahlian Persadha.

Menurut Pratama, penyadapan itu dibagi menjadi dua besar, yaitu lawful interception  dan tactical interception.

Lawful interception adalah penyadapan melalui operator seluler yang dilakukan secara sah. “Ini biasanya dilakukan oleh aparat penegak hukum yang menargetkan seseorang,” ujar mantan Ketua Tim Lemsaneg Cyber Defence Kementerian Pertahanan Republik Indonesia.

Dalam Lawful interception , penyadapan terkoneksi ke operator dan si penyadap memasang server tersendiri di operator seluler. “Untuk taktik lawful interception itu targetnya tak bisa menghindar, semua pembicaraan yang dilakukan baik via telepon maupun SMS bisa dipantau,” ujar dia.

Sementara, tactical interception adalah penyadapan dengan menggunakan alat khusus dengan mendeketi lokasi target. Taktik ini bersifat mobile sehingga bisa dibawa dalam tas dan lain-lain. “Semisal, saya ingin memantau seseorang di DPR, maka saya membawa alat intercept-nya di mobil guna memantau atau memonitoring,” ujar Pratama.

Berikut petikan wawancara secara daring pada Selasa (5 Mei 2020):

Sebetulnya apa tujuan penyadapan itu?

Beragam. Sekarang ini kan [banyak peretas] yang men-takeover akun WhatsApp. Ini tindakan yang mudah, kalau dia [calon target] tidak mengaktifkan two factor authentication (2FA). Begitu tahu nomor telepon yang ingin di-takeover, hanya tinggal memasukkan nomor itu ke device lain.

Misal, nomor si target sudah masuk ke dalam basis data di sistem itu. Begitu ada kode One-time Password (OTP) yang masuk ke nomor target, maka operator yang mengintersepsi target juga mendapatkan kode OTP, sehingga itu memungkinkan seseorang mengambil alih akun WhatsApp.

Ketika alat-alat itu digunakan, melanggar aturankah?

Iya jelas melanggar. Pertama Undang-Undang Nomor 36 Tahun 1999 tentang Telekomunikasi. Pasal 40, bunyinya: Setiap orang dilarang melakukan kegiatan penyadapan atas informasi yang disalurkan melalui jaringan telekomunikasi dalam bentuk apa pun.

Kemudian, UU Informasi dan Transaksi Elektronik pada Pasal 31 Ayat 1 dan Ayat 2. Hukumannya itu 10 tahun penjara dan denda 800 juta.

Lantas, apa dalih penegak hukum untuk menyadap target?

Untuk penegak hukum di UU ITE itu ada [aturannya], tapi sebenarnya di UU ITE adalah UU yang sifatnya general. Namun, UU khusus terkait penyadapan, kita belum ada yang mengatur.

Dengan begitu, sekarang jadinya liar. Polisi melakukan penyadapan, Komisi Pemberantasan Korupsi, Badan Intelijen Negara, Imigrasi, Kejaksaan, Badan Narkotika Nasional juga melakukan penyadapan. Maka dari itu, harusnya ada pengawasan dan ada pengaturan yang berlaku.

Alat-alat penyadapan ini siapa yang memproduksi?

Banyak, tetapi biasanya principal-nya itu dari Israel yang paling populer. [Sejumlah perusahaan] Jerman juga mempunyai alat-alat untuk melakukan penyadapan.

Dari teknologi penyadapan, apa yang paling efektif dan berbahaya?

Untuk yang lawful interception itu banyak perusahaan resmi yang memang menjual untuk pemerintah. Sekarang, untuk tactical interception yang paling top adalah “Pegasus”—(diproduksi oleh NSO Group asal Israel). (Baca: Begini Wujud Pegasus, Alat Peretas Buatan Perusahaan Israel NSO Group).

Karena, operator Pegasus hanya perlu memiliki nomor telepon target saja, tanpa perlu ribet. Ketika operator mengetahui nomor telepon target, ia dapat mengambil seluruh informasi di perangkat kita, seperti informasi WhatsApp, file gambar, video, data, dokumen, hasil download, riwayat browser dan seterusnya.

Bahkan, mereka dapat memanfaatkan semua perangkat keras yang ada di perangkat tersebut, misalnya, kamera bisa dikontrol dari jarak jauh atau mikrofonnya bisa dinyalain dari jarak jauh. Jadi mereka bisa merekam pembicaraan di sekitar target itu. Bahaya sekali.

Dengan Pegasus, operator tidak perlu mengetahui jenis handphone-nya apa, tipenya apa, versi berapa dan sebagainya. Antivirus maupun anti-malware juga tidak menjadi kendala.

Bagaimana bisa?

Pegasus ini mengeksploitasi zero day exploit, yaitu kerentanan yang ketika dieksploitasi tidak dapat terdeteksi oleh antivirus atau anti-malware sekalipun. Jadi, walaupun telah memperbarui segala software, seperti sistem operasi, antivirus dan lainnya, itu tetap tidak berpengaruh. Karena, virus yang dibuat ini belum bisa terdeteksi oleh antivirus atau patching (menambal celah keamanan) dari sistem informasi.

Sebab itu, Pegasus ini harganya sangat mahal, untuk yang versi biasanya itu bisa mencapai Rp 600 miliar. Sedangkan, untuk full yang bisa di-costumize tergantung permintaan pengguna, harganya bisa mencapai lebih dari Rp 1 triliun.

Bagaimana seharusnya langkah yang diambil pemerintah?

Kita sempat bikin konsep Pusat Intersepsi Nasional. Jadi, ada satu lembaga atau badan, isinya gabungan dari beberapa institusi yang berhak melakukan penyadapan, di luar itu tentunya akan melanggar. Tapi, dengan adanya Pusat Intersepsi Nasional dapat diawasi dan dapat dipertanggungjawabkan.

Misalnya, KPK memiliki hak dan mendapat izin untuk menyadap 10 nomor telepon, tetapi dalam kenyataanya dia menyadap 100 nomor atau 1.000 nomor telepon. Jika ada Pusat Intersepsi Nasional, itu ketahuan log (catatan)-nya. Jadi, dapat dipertanggungjawabkan.

Selain itu, terkait dengan penyadapan penting untuk diatur, sehingga masyarakat memiliki ketenangan bahwa dirinya dilindungi oleh hukum dan UU. Memang ini adalah daerah abu-abu, tapi harus diatur secara tegas.[]

Redaktur: Andi Nugroho