Jakarta, Cyberthreat.id – Ketua Lembaga Riset Keamanan Siber dan Komunikasi (CISSReC), Pratama Dahlian Persadha mengatakan, saat ini alat penyadapan yang paling berbahaya di dunia bernama Pegasus.

Pegasus dibuat oleh NSO Group perusahaan keamanan siber berkantor pusat di Tel Aviv, Israel.

Pratama mengatakan, Pegasus dapat digunakan untuk memantau seseorang dari jarak jauh, hanya dengan memanfaatkan nomor telepon.

Pratama menjelaskan, dengan senjata Pegasus, aktor penyadap dapat memiliki akses ke perangkat targetnya, dengan kata lain perangkat targetnya telah dikloning. Bahkan, operator dapat memanfaatkan semua fungsi di perangkat korban, seperti kamera dan mikrofon.

"Ini gila Pegasus karena hanya bermodal satu nomor telepon, kita bisa memiliki akses terhadap perangkat seseorang. Apalagi kita bisa menggunakan hardware di perangkat target, contohnya mikrofon. Dengan Pegasus, kita bisa merekam pembicaraan di sekitar target menggunakan mikrofotn," kata Pratama saat berbincang dengan Cyberthreat.id, Selasa (5 Mei 2020).

Pratama mengutarakan Pegasus ini mengeksploitasi zero day exploit, yaitu kerentanan yang ketika dieksploitasi tidak dapat terdeteksi oleh antivirus atau anti-malware sekalipun. Jadi, walaupun telah memperbarui segala software, seperti sistem operasi, antivirus dan lainnya, pembaruan itu tetap tidak berpengaruh pada serangan Pegasus.

Indonesia punya Pegasus?

Pratama mengatakan, hal itu perlu diselidiki lebih lagi. Sebab itu, Pegasus ini harganya sangat mahal, untuk yang versi biasanya itu bisa mencapai Rp 600 miliar. Sedangkan, untuk full yang bisa di-costumize tergantung permintaan pengguna, harganya bisa mencapai lebih dari Rp 1 triliun.

"Yang punya alat sadap saja kita masih meraba-meraba. Walaupun sebenarnya ada beberapa forum international [yang mengatakan], salah satu konsumen dari Pegasus adalah Indonesia,” ujar dia.

“Tetapi, di Indonesia banyak institusi [yang menyadap]. Nah, institusi yang mana, kita tidak tahu, karena tak pernah terbuka institusi-institusi kita," tutur dia.

NSO Group saat ini tengah menghadapi gugatan hukum oleh WhatsApp lantaran penyadapan yang memanfaatkan kerentanan di layanan olah pesan milik Facebook itu pada Mei 2019.

Kerentanan itu terletak pada buffer overflow VoIP WhatsApp. Saat itu Facebook menyatakan bahwa peretas adalah “aktor yang canggih” dan tak menyebutkan nama perusahaan. Namun, baru pada Oktober tahun lalu, mereka dengan tegas melakukan gugatan kepada NSO Group.

Dalam dokumen gugatan WhatsApp terhadap NSO, nama Indonesia juga disebut-sebut sebagai salah satu negara yang telah menginstal aplikasi itu. (Baca: Ada Indonesia dalam Gugatan Peretasan WhatsApp Memakai Pegasus Buatan NSO Israel).

Berdiri pada 2009, NSO Group digawangi oleh Shalev Hulio, Omri Lavie, dan Niv Carmi. Di situs web perusahaan, perusahaan menyebut dirinya sebagai pengembang teknologi mutakhir untuk mencegah terorisme dan kejahatan siber. Mereka mengembangkan alat intelijen siber khusus untuk pemerintah.

Pendiri sekaligus CEO NSO Group, Omri Lavi, juga mendirikan Kaymera, sebuah perusahaan yang dirancang untuk memecahkan masalah yang dibuat NSO seperti telepon genggam super aman bagi pejabat pemerintah.

NSO juga memiliki hubungan yang erat dengan sejumlah firma pengawas Israel, untuk menyebarkan perangkat mata-mata mereka ke seluruh dunia seperti Ability Inc yang mengembangkan teknologi Unlimited Interception System (ULIN).

Dua teknik penyadapan

Di luar senjata Pegasus, secara umum, kata Pratama, terdapat dua metode penyadapan, yaitu lawful interception dan tactical interception.

Menurut Pratama, lawful interception adalah penyadapan melalui operator seluler yang dilakukan secara sah, di mana si penyadap memasang server tersendiri di operator seluler. Sementara, tactical interception merupakan penyadapan dengan menggunakan alat khusus dengan mendekati lokasi calon target.

Kedua metode tersebut, menurut Pratama, memiliki tingkat keberhasilan yang besar.

Khusus untuk metode lawful interception, pengguna tidak dapat menghindar dari penyadapan karena, "semua pembicaraan yang dilakukan via telepon maupun SMS bisa dipantau," ujar dia.

Lawful interception, kata Pratama, biasanya digunakan oleh penegak hukum untuk memata-matai calon targetnya. Sementara, tactical interception, si penyadap harus mendekat ke lokasi calon target sehingga terdapat potensi diketahui oleh calon target.

"Tactical intercept itu kita harus bawa alatnya ke lokasi, karena prinsip handphone itu akan mencari sinyal yang paling kuat di sekitarnya. Jadi, kalau kita mau menyadap, ya kita harus mendekat ke target, sehingga ada kemungkinan bisa ketahuan, dicurigai dan lain-lain," jelas Pratama.

Dari tactical interception yang pasif, aktor penyadap juga bisa tahu nomor IMEI, nomor IMSI (International Mobile Subscriber Identity) dan lain-lain, ujar Pratama.[]

Redaktur: Andi Nugroho