VIRUS SMS

JANGAN ANGGAP ENTENG VIRUS SMS

Setiap kali saya menerima SMS melalui handphone, selalu terbersit pada pikiran saya suatu pertanyaan : Apakah bahaya yang dapat ditimbulkan media komunikasi ini ? Sebab pada dasarnya semakin lama kita memiliki koneksi ke jaringan, berarti kita makin besar memiliki kemungkinan menerima resiko serangan keamanan dari jaringan komputer. Bukannya saya terlalu paranoid, tetapi sedia payung sebelum hujan dan mencoba berfikir resiko suatu penerapan teknologi adalah hal yang wajar. Apalagi terhadap teknologi informasi yang memberikan dampak luas pada masyarakat.

Serangan pada suatu sistem jaringan komputer sendiri pada dasarnya memiliki 3 gelombang trend utama yaitu (Schneier, Bruce. Semantic Network Attacks. Communications of the ACM vol 43(12), Desember 2000) :

Gelombang pertama adalah serangan fisik.

Serangan ini ditujukan kepada fasilitas jaringan, perangkat elektronis dan komputer. Sebagai pertahanan terhadap serangan jenis ini biasanya digunakan sistem backup ataupun sistem komputer yang terdistribusi, sehingga mencegah kesalahan di satu titik mengakibatkan seluruh sistem menjadi tak bekerja. Cara pemecahan terhadap serangan ini telah diketahui dengan baik. Jaringan Internet sendiri didisain untuk mengatasi permasalahan seperti ini.

Gelombang kedua adalah serangan sintatik.

Serangan ini ditujukan terhadap keringkihan (vulnerability) pada perangkat lunak, celah yang ada pada algoritma kriptografi atau protokol. Serangan Denial of Services (DoS) juga tergolong pada serangan jenis ini. Serangan jenis inilah yang saat ini paling populer. Tetapi relatif cara penanganannya telah diketahui dan biasanya pihak administrator atau pengguna yang lalai menerapkannya.

Gelombang ketiga adalah serangan semantik.

Serangan jenis ini memanfaatkan arti dari isi pesan yang dikirim. Dengan kata lain adalah menyebarkan disinformasi melalui jaringan, atau menyebarkan informasi tertentu yang mengakibatkan timbulnya suatu kejadian. Pada dasarnya banyak pengguna cenderung percaya apa yang mereka baca. Seringkali keluguan mempercayai berita ini disalah-gunakan pihak tertentu untuk menyebarkan issue-issue yang menyesatkan.

Masih banyak orang yang menyepelekan serangan gelombang ke tiga ini. Serangan bentuk ini dapat dilakukan, misal dengan memposting informasi yang salah ke suatu forum diskusi, mengirimkan email berantai dan sebagainya. Maraknya broker saham menggunakan media Internet untuk mencari informasi, menjadikan serangan semantik ini memberikan dampak yang besar. Pada tanggal 6 September 2000, Security and Exchange Commision USA telah menyatakan 33 perusahaan dan perorangan yang bersalah melakukan penipuan Internet. Penipuan ini banyak dilakukan dengan menggunakan serangan semantik misal dengan memberikan informasi yang salah pada forum diskusi. Sebagai contoh pada tanggal 25 Agustus 2000, Internet Wire menerima berita melalui e-mail bahwa CEO Emulex Corp telah mengundurkan diri. Tanpa memverifikasi isi dan pengirim, Internet Wire memposting berita ini, dan beberapa situs web mendistribusikan berita ini. Hal ini menyebabkan harga sahamnya turun menjadi 61%.

Jelas dampak dari serangan semantik ini sudah tidak main-main lagi.
Akan lebih rawan lagi bila seseorang dengan melakukan serangan gelombang kedua (sintatik) dapat masuk ke database suatu media online (seperti yang terjadi pada suatu media online di Indonesia sekitar 1 bulan yang lalu). Lalu melakukan serangan semantik dengan mengubah berita yang ditayangkan pada media online tersebut. Karena relatif masyarakat dan pembaca mempercayai isi berita yang ditayangkan, maka serangan semantik seperti ini akan menimbulkan dampak yang lebih parah lagi. Jangankan mengubah berita baru yang sedang ditampilkan, bahkan mengubah berita lamapun sebetulnya membahayakan juga. Karena akan berakibat berkurangnya kredibilitas media online tersebut dan ini akan berdampak pada tingkat kepercayaan pembaca.

Serangan semantik ini sebetulnya sudah merupakan salah satu senjata lumrah dalam kegiatan dinas intelijen. Model serangan ini lazim digolongkan dalam kegiatan active measure (Womack, Helen. Under Cover lives : Soviet spies in the cities of the world, Weidenfeld Nicholson : London, 1998, hlm. 69). Active measure sering digunakan dalam kegiatan untuk mempengaruhi individu untuk melakukan suatu hal, juga untuk mengatur agar sekelompok masyarakat berubah ke arah tertentu yang dikehendaki.

Hal ini dilakukan misal dengan memberikan informasi ke media massa sehingga menjadi suatu pemberitaan ramai. Kebenaran informasi itu sendiri adalah hal ke dua, tapi dampak kesimpang-siuran akibat pemberitaan yang lebih diutamakan. Juga dilakukan dengan memberikan suatu informasi (benar ataupun salah) kepada anggota parlemen sehingga menimbulkan suatu pertanyaan provokatif yang menjadikan sidang parlemen menjadi ramai. Tujuannya adalah agar masyarakat atau pemerintah melakukan keputusan yang sesuai dengan arah yang diinginkan, dan semua berjalan seolah-olah tanpa ada paksaan atau campur-tangan dari luar. Issue yang dilemparkan bisa saja merupakan kebalikan dari arah yang diinginkan.

Pada dunia bisnis, penyerangan semantik ini lebih dikenal dengan istilah penyebaran berita FUD (Fear, Uncertainty, and Doubt). Hal ini sering dilakukan suatu perusahaan untuk menyebarkan keragu-raguan konsumen terhadap suatu produk baru yang jadi saingannya. Dengan menyebarkan suatu berita (entah berita benar atau setengah benar), maka konsumen akan ragu dan bingung ketika ingin mencoba produk baru tersebut. Diharapkan dengan cara ini maka perusahaan tersebut dapat mempertahankan konsumen lama tidak lari ke vendor saingannya. Beberapa perusahaan di bidang komputer terkenal dalam memanfaatkan strategi FUD ini dengan jitu, baik menggunakan berita, jurnalis ataupun melalui benchmarking (yang sering diplesetkan sebagai benchmarketing),

Kembali ke soal SMS, pengiriman pesan SMS relatif dilakukan dengan pengujian otentikasi yang minim. Apalagi saat ini orang masih tanpa rasa khawatir membiarkan orang lain mengetahui nomor handphonenya, baik ketika dia menuliskan nomor HPnya dalam diskusi di suatu mailing list yang dapat dibaca secara terbuka. Bahkan nomor HP ini secara tidak sengaja sering dituliskan pada homepage pribadi seseorang, atau dapat diperoleh juga dengan melakukan penggalian melalui mesin pencari. Atau tak jarang tanpa sadar seseorang selalu menyertakan nomor HP-nya di signature dari emailnya.

Ketika kita mengetahui nomor handphone (HP), seseorang maka dengan mudah kita mengirimkan pesan SMS ke nomor tersebut dari mana saja (misal melalui jasa beberapa situs di Internet). Dengan demikian mengirimkan berita palsu dari pengirim palsu dapat sangat mudah dilakukan. Walaupun jasa pengirim pesan SMS itu mencatat alamat pengirim, tapi hal ini dapat dikaburkan dengan teknis spoofing. Sehingga jejak pengirim pesan yang sebenarnya tak dapat diketahui. Dengan kata lain, SMS sebetulnya sangat rawan terhadap serangan semantik, sehingga pengguna harus lebih berhati-hati dalam menginterpretasi pesan yang diterimanya.
Resiko lainnya adalah fakta bahwa orang lain dengan memanfaatkan suatu program sederhana maka dapat dengan mudah mengirimkan pesan SMS secara beruntun dan terus menerus. Lama kelamaan si penerima akan menjadi jengkel, dan mematikan fungsi SMS, artinya secara tidak langsung DoS telah dilakukan pada layanan SMS handphone milik orang tersebut. Saat ini relatif masih sedikit penyedia jasa telfon selular juga menyediakan jasa untuk memfilter pesan SMS yang diterima pelanggannya. Sehingga relatif pilihan yang ada hanyalah, menerima atau tidak sama sekali. Mungkin sudah saatnya penyedia jasa telfon selular yang memungkinkan pelanggannya menerima pesan SMS, juga menyediakan jasa penyaringan ini. Misal berdasarkan nomor telfon pengirim pesan, atau kata kunci yang harus dicantumkan dalam pesan SMS.

Sebetulnya memang telah dikenal virus SMS, yaitu suatu pesan SMS yang mengandung kode SMS tertentu. Bila pesan SMS ini dikirimkan maka dapat mengakibatkan HP penerima terblokir (misal virus yang diberitakan oleh Heise online ) mengakibatkan HP merk NOKIA keyboardnya terblokir, atau baterai langsung dikosongkan. Virus SMS ini ditulis seorang Jerman bernama HSE. Virus SMS di atas relatif melakukan serangan sintatik, dan efeknya tidak terlalu berbahaya. Sehingga orang sering mengabaikan kemungkinan resikonya SMS. Pada SMS serangan semantiklah sebetulnya yang perlu diwaspadai.

Dengan makin terhubungkan pengguna ke jaringan secara terus menerus dan dengan bandwidth yang makin besar maka resiko pun akan makin besar pula. Saat ini peralatan HP cenderung memiliki bandwidth yang makin besar, di Eropa teknologi telfon selular sudah mulai menggunakan jenis GPRS, dan sekitar 2 tahun lagi model UMTS. Model-model ini memiliki bandwidth yang jauh lebih besar dan makin membuat pengguna makin lama terkoneksi dengan jaringan. Sehingga akan makin ringkihlah pengguna terhadap berbagai serangan sekuriti, baik serangan fisik, sintatik maupun semantik.

Di samping itu, dampak lain akibat tingginya bandwidth dan lamanya koneksi, pengguna memiliki kemungkinan mengalami dampak information obesity (Shenk, David. Data Smog : Surviving the information glut, Abacus, 1997). Hal ini diakibatkannya lajunya informasi yang datang dan harus diserap dan diolah oleh otak pengguna. Akibat kecepatan yang mekanisme produksi dan distribusi yang hyper cepat ini dan sering lebih tinggi dari kecepatan proses pikiran orang, maka sering menimbulkan dampak yang disebut dengan information discrepancy yang diungkapkan oleh sosiolog Finlandia, Jaako Lehtonen. Efek-efek inilah yang dikenal oleh umum dalam istilah information overload yaitu dampak negatif yang timbul akibat jumlah dan laju informasi yang diterima dan harus diolah. Tak jarang mengakibatkan terbuangnya waktu, menurunnya produktifitas dan bahkan terganggunya kesehatan.

Jaringan komputer memudahkan dilakukannya serangan dan makin cepatnya penyebaran berita salah. Masyarakat sudah lama menjadi korban data statistik yang disalahkan, legenda palsu, berita bohong dan beberapa isue-isue lainnya yang sering menimbulkan kekacauan. Langkah sensor atau blokade informasi ke masyarakat relatif sudah tak dapat dilakukan lagi, maka filter yang paling efektif adalah diri sendiri.

Salah satu cara untuk mencegah dampak buruk dari ini adalah dengan pengguna memahami bagaimana kerja teknologi baru tersebut. Sekedar membawa komputer atau memberikan akses Internet ke dalam ruang kelas, tidak selalu merupakan pemecahan. Bila tidak disertai dengan persiapan kandungan informasi yang tepat, maka akan komputer di kelas akan menjadi semacam junk-food. Disantap, mengenyangkan, menghabiskan waktu dan dana, tapi kurang berisi dan terkadang dapat menimbulkan gangguan kesehatan. Banyak informasi yang diserap, tapi sedikit yang dimanfaaatkan dan menghasilkan buah pikiran. Hal ini telah diperingatkan oleh Alan Kay dalam komentarnya di Kongress USA pada tahun 1997 berkaitan dengan penggunaan komputer di sekolah.

Untuk itu proses pemahaman teknologi informasi ini haruslah perlu dipertimbangkan matang-matang mekanisme maupun pendekatan yang dilakukannya. Seperti yang diungkapkan oleh Neil Postman dalam bukunya Technopoly, setiap teknologi selalu memiliki ideologi yang menyertainya. Cara pandang, berfikir dan cara kerja pengguna akan secara perlahan dipengaruhi oleh teknologi ini. Sekali teknologi tersebut digunakan secara luas di masyarakat, maka akan bekerja sesuai dengan dasar disainnya dan akan bekerja sesuai dengan agenda sosialnya sendiri. Justru itu, memahami latar belakang dan dasar disain dari suatu produk teknologi sangat dibutuhkan. Karena pemahaman ini dapat membantu mengurangi dampak buruk dari pemanfaatan teknologi itu secara luas. Memahami dalam arti sekedar menguasai penggunaan dan teknik operasional suatu produk TI saja tidak cukup untuk mengendalikannya. Perlu pemahaman lebih dalam dan mendasar lagi, tentunya ini terutama bagi para praktisi TI.
Bila kita tidak berhati-hati dalam mempersiapkan pengadaptasian teknologi informasi ini, mungkin kita akan menerima konskuensi lain dari teknologi informasi ini yaitu :

masyarakat yang memilki kekuatan yang lebih besar, tetapi memiliki rasa pengertian yang lebih rendah. Polusi informasi sering berakibat fatal.