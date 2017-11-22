ontroversi Pokemon Go masih Kberlanjut. Pro-kontranya banyak menghiasi pemberitaan dan media sosial beberapa pekan terakhi...
Game populer Pokemon Go bisa-bisa saja diblokir pemerintah jika terbukti melanggar aturan dan membahayakan keamanan cyber....
Pakar Keamanan Sistem Informasi Pratama D Persadha mengatakan bocoran nama-nama calon menteri dan posisinya yang sudah ber...
Hari ini menjadi momen berharga anak- anak di Indonesia. Mereka diantar orangtuanya menuju sekolah bahkan sebagian besar d...
Newsletter CISSReC Agustus 2016

Buletin bulanan lembaga keamanan siber CISSReC

  1. 1. ontroversi Pokemon Go masih Kberlanjut. Pro-kontranya banyak menghiasi pemberitaan dan media sosial beberapa pekan terakhir. Ada pihak yang menuduh Pokemon Go adalah hasil rekayasa intelijen asing yang mengumpulkan data untuk spionase. Sebenarnya, apa yang membuat gim besutan John Hanke ini begitu menyihir publik? Pokemon Go adalah gim anyar besutan Nintendo dan Niantic yang memanfaatkan teknologi augmented reality (AR). Teknologi AR ini menggabungkan benda dua atau tiga dimensi dalam lingkungan nyata lewat alat tertentu. Dalam gim Pokemon Go, AR ini memanfaatkan kamera. Pokemon yang semasa tayang mengundang kontroversi karena dituduh menggunakan beberapa simbol setan ini punya brand kuat, tak hanya di Indonesia, tapi juga dunia. Tak ayal saat Nintendo yang sedang berjuang bertahan di industri gim ini menggarap gim Pokemon Go bersama Niantic, banyak pihak yang mulai berpikir positif terhadap perusahaan gim asal Jepang ini. Niantic, perusahaan yang dibesut John Hanke ini, bukan pemain baru. Sebelumnya. mereka sukses dengan gim Ingress yang juga mengakomodasi teknologi AR dalam permainannya. Bahkan, database Pokemon Go bisa dibilang mengambil dari gim Ingress. John Hanke dikenal sebagai salah satu penggarap Google Maps. Itu jugalah yang membuat Pokemon Go ini menggunakan Google Maps untuk mapping pemainnya. Ide baru berburu pokemon ini membuat para pemain harus bergerak. Bahkan, untuk menetaskan telur pokemon, para pemain harus berjalan beberapa kilometer sehingga banyak pihak melihat gim ini revolusioner. Namun, tak sedikit kekhawatiran muncul, terutama dari pemerintah. Mulai muncul imbauan memblokir dan melarang Pokemon Go, dengan berbagai alasan. Bila keinginan memblokir Pokemon Go itu didasarkan pada UU Informasi dan Transaksi Elektronik (ITE) dan Peraturan Menteri No 19 Tahun 2014, gim Pokemon Go ini jelas bebas. Karena di dalamnya tak terkandung pornograﬁ, SARA, terorisme, ataupun ajakan tindakan kriminal. Ketimbang Pokemon Go, masih banyak gim bernuansa kekerasaan beredar di Indonesia, contoh Grand Theft Auto. Di gim ini ada praktik pembunuhan dan pencurian untuk menambah poin. Ini berbeda dengan Pokemon Go yang hanya berlomba menangkap pokemon dan memburu pokemon langka. Pokemon Go ini basisnya Google Maps. Dan di Indonesia, Google mendapat lampu hijau pemerintah. Kekhawatiran beberapa pihak terutama karena Pokemon Go menandai titik lokasi strategis sebagai Pokestop dan Gym. Muncul anggapan Pokemon Go bisa memetakan lokasi strategis, yang bisa membahayakan negara. Data gim dikirim ke server pengembangnya, bukan pihak mencurigakan. Edisi Agustus 2016 Mengambil Berkah Pokemon Go Oleh Pratama Persadha Pegiat Keamanan Siber dan Kriptograﬁ, Chairman CISSReC Menurut hasil riset tim Communication and Information System Security Research Center (CISSReC) - lembaga riset nonproﬁt di bidang keamanan siber dan komunikasi - pertama kali memainkan Pokemon Go, aplikasi akan diarahkan ke https://stats.unity3d.com yang merupakan mesin gim pokemon, posisi server berada di California. Lalu dilanjutkan ke https://appload. ingest.crittercism.com, juga di California. Crittercism adalah mobile application performance management (APM) yang dipakai Pokemon Go. Saat gim dimainkan, data akan dikirimkan ke https://pgorelease.nianticlabs.com. Bila dilihat dari permission, aplikasi Pokemon Go tak meminta run at startup, tempat kebanyakan malware pasti berusaha untuk run at startup. Untuk pokemon trainer club otentikasi dikirimkan ke https://sso.pokemon.com/sso/. Ketakutan di masyarakat, salah satunya adalah foto lokasi kita menangkap pokemon dikirimkan juga ke server Pokemon Go. Hal ini jelas berlebihan. Dari riset CISSReC, besar data yang dikirimkan ke server Niantic tidak lebih dari 50 kb. File data sebesar ini tidak cukup untuk ﬁle foto dengan kualitas bagus. Masyarakat bisa membuktikan menggunakan aplikasi monitoring bandwidth, seperti My Data Manager. Kita capture foto di suatu tempat, lalu dikirimkan via e-mail ke salah satu kontak yang ada. Dibandingkan data saat
  2. 2. Game populer Pokemon Go bisa-bisa saja diblokir pemerintah jika terbukti melanggar aturan dan membahayakan keamanan cyber. Apa benar game augmented reality ini berbahaya? Jika pertanyaan itu disampaikan kepada pengamat keamanan cyber, Pratama Persadha, jawabannya adalah tidak. Karena menurutnya, tidak ada hal yang membuat Pokemon Go harus diblokir. Baik di UU ITE maupun Peraturan Menteri. Jadi tidak ada regulasi yang dilanggar. "Soal blokir memblokir ini sebenarnya ada payung hukum, Permen 19 tahun 2014. Namun aturan tersebut hanya mengatur tentang situs bermasalah dengan konten radikalisme, pornograﬁ dan SARA. Jadi perlu dilihat juga mana yang dilanggar Pokemon Go di sini," jelasnya lewat email kepada detikINET, Sabtu (16/7/2016). UU ITE sendiri bahkan tidak mengatur sama sekali tentang wewenang pemblokiran. Karena itu lahirnya Permen 19 tahun 2014 tentang pemblokiran situs negatif ini menjadi payung. Namun ditambahkan Pratama, pemerintah tidak bisa dengan mudahnya memblokir aplikasi-aplikasi tanpa melihat secara teknis. "Memang sempat muncul kekhawatiran karena adanya celah keamanan di Pokemon Go versi iOS, namun itupun sudah ditutup oleh pengembangnya. Inipun juga tidak bisa menjadi alasan bagi pemerintah untuk memblokir Pokemon Go di tanah air," terang Chairman lembaga riset keamanan cyber CISSReC ini. Kabar tentang pemblokiran Pokemon Go sendiri sempat terlontar dari Kepala Pusat Informasi dan Humas Kementerian Kominfo Ismail Cawidu. Dalam pernyataannya, ia sempat mengatakan bahwa pemerintah tidak akan segan-segan memblokir situs Pokemon Go jika terindikasi adanya potensi berbahaya. "Kalau memang konten aplikasi Pokemon Go melanggar aturan, pasti kita akan proses untuk diblokir melalui panel penanganan konten ilegal," ujarnya belum lama ini di Jakarta. Pokemon Go sendiri sebenarnya baru dirilis secara resmi di tiga negara, Amerika Serikat, Australia dan Selandia Baru. Di luar negara tersebut ternyata Pokemon Go sudah banyak dipakai, terutama lewat android dengan menginstal APK (Android Package Kit) diluar Google Play Store. File APK sendiri adalah ﬁle yang digunakan untuk mengintal aplikasi maupun game di 2 Edisi Agustus 2016www.cissrec.org kita menangkap pokemon dengan latar belakang foto di tempat sama. Perbandingan besar data yang dikirimkan sangat jauh sekali, walau pakai kompresi sekalipun. Sebagai perbandingan sekali mengcapture foto di layar Full HD, ﬁle foto yang dihasilkan bisa berkisar 3 mb. Jauh dibandingkan data yang terkirim setiap kali kita menangkap pokemon, tidak lebih dari 50 kb. Pokemon Go awalnya dirilis resmi di tiga negara, yaitu AS, Australia, dan Selandia Baru. Baru saja 27 negara Eropa dan Jepang mendapatkan rilis resminya. Di luar negara itu, Pokemon Go sudah banyak dipakai termasuk Indonesia, terutama lewat android dengan menginstal APK (Android Package Kit) di luar Google Play Store. File APK untuk menginstal aplikasi ataupun gim di android. Patut diwaspadai juga kemungkinan pihak tidak bertanggung jawab menempelkan malware dan virus pada ﬁle APK Pokemon Go di luar Play Store. Korban hal ini cukup banyak. Terutama karena banyak orang tidak sabar menunggu versi resminya. Karena belum resmi dirilis di Tanah Air, pengguna harus hati-hati. Pertama, pilih APK dari laman terpercaya. Kalau masih ragu, bergabung di komunitas Pokemon Go, biasanya ada ﬁle APK yang aman untuk diinstal. Namun, jika benar-benar ragu dan tidak tahu mana ﬁle aman, lebih baik menunggu rilis resmi Pokemon Go. Jangan sampai karena salah pilih ﬁle APK, malah jadi korban malware. Bagi institusi atau pihak yang merasa khawatir gim pokemon bisa melanggar privasi atau wilayah keamanan sensitif, bisa membuat aturan khusus tersendiri. Misalnya, imbauan tertulis di depan area lokasi untuk tidak bermain Pokemon Go di dalam area tersebut, misal wilayah militer tertutup. Perhatian pemerintah dalam bentuk imbauan dan larangan patut kita apresiasi. Namun, yang perlu dicatat adalah bukan karena faktor keamanan. Sejauh penelitian CISSReC, tidak ditemui usaha mengarahkan dan mengambil data tertentu yang penting. Kita mengapresiasi imbauan dan larangan yang membatasi permainan Pokemon Go di lokasi dan jam kerja pegawai negeri sipil. Lebih jauh pemerintah perlu mengambil android. Patut diwaspadai juga adanya kemungkinan pihak yang tidak bertanggung jawab menempelkan malware dan virus pada ﬁle APK Pokemon Go di luar Play Store. Korban yang mengalami ini cukup banyak. Terutama karena banyak orang tidak sabar menunggu versi resmi di negaranya masing-masing. "Memang ada risiko menginstal Pokemon Go lewat APK di luar Play Store. Paling aman kita bersabar menunggu memasang aplikasi sampai rilis resminya ada di Tanah Air, atau kalau yakin bahwa APK yang diinstal bebas malware atau virus. Juga yang paling penting, buat akun Gmail baru khusus untuk bermain Pokemon Go," terangnya. Untuk diketahui, hanya dalam kurun waktu satu minggu dirilis di tiga negara, Pokemon Go sudah didownload lebih dari 10 juta kali di Google Play Store. Belum lagi yang menginstal lewat APK langsung maupun iOS. Fenomena ini turut mengangkat saham Nintendo, yang sejak perdagangan 9 Juli lalu sudah naik lebih dari 56%. (detik.com) Terancam Diblokir, Apa Salah Pokemon Go? momentum ini. Pertama, untuk membangkitkan gairah start up di Tanah Air, terutama lewat teknologi AR. Nantinya, bisa lahir aplikasi dan gim berbasis AR yang ramah pemakai lokal. Kedua, pemerintah bisa mendorong tempat wisata untuk ditandai sebagai Poke Stop ataupun Gym. Hal ini akan mendorong orang untuk meramaikan objek wisata. Misalnya, museum yang jarang dikunjungi orang tentu akan berubah drastis dengan adanya Poke Stop dan Gym yang menarik pa-ra pengunjung. Ketiga, dengan antusias yang begitu besar di Tanah Air walau belum ada rilis resmi, pemerintah nantinya bisa meminta Nintendo ataupun Niantic untuk membangun server gim di Indonesia. Jelas ini akan menjadi pe- masukan baru bagi negara. Selanjutnya, kita tunggu aksi pemerintah mengubah resah menjadi berkah. * Tulisan di atas dimuat pada kolom opini koran Republika, Sabtu 23 Juli 2016.
  3. 3. Pakar Keamanan Sistem Informasi Pratama D Persadha mengatakan bocoran nama-nama calon menteri dan posisinya yang sudah beredar di ruang publik menyusul rencana reshufﬂe kabinet, dapat menimbulkan kontroversi. "Reshufﬂe menteri kabinet adalah hak prerogatif Presiden. Informasinya yang muncul ke ruang publik sebaiknya sesuai waktunya," kata Pratama D Persadha kepada Antara di Jakarta, Ahad (17/7). Menurut Pratama, reshufﬂe kabinet baru rencana, tapi nama-nama calon menteri dan posisinya atau menteri kabinet yang akan bergeser posisinya sudah beredar di media sosial dan ada yang menyebut, bocoran dari istana. Pratama mengkhawatirkan, jika nama- nama calon menteri dan posisinya terus beredar di media sosial dapat memunculkan banyak persepsi dan menjadi kontroversial. Pendiri dan Ketua Lembaga Riset Keamanan Sistem Informasi Communication and Information System Security Research Center (CISSReC) itu menegaskan, informasi dari Presiden dan Istana harus aman. "Kalau sampai bocor sebelum waktunya, dapat menimbulkan keresahan," katanya. Menurut dia, peralatan pengamanan sistem informasi di lembaga-lembaga negara di Indonesia, termasuk di Istana, 90 persen produk asing, seperti telepon seluler dan handy talky, sedangkan software-nya seperti email, drop box, dan cloude. Pratama mengusulkan agar keamanan sistem informasi di Istana diasasmen dan diaudit. Penanggungjawab sistem 3 Pengamat: Bocoran Nama-Nama Calon Menteri Timbulkan Kontroversi informasi atau IT Kepresidenen, kata dia, agar berkoordinasi dengan pemangku kepentingan informasi di Istana. "Pengelolaan keamanan sistem informasi di Istana harus dirawat dan ditingkatkan. Harus ada evaluasi secara rutin," katanya. Pratama menambahkan persoalan bocornya informasi dari Istana kadang- kadang bukan dari teknologinya, tapi mungkin saja masih ada pejabat yang kepedulian terhadap keamanan sistem informasi, masih rendah, dengan beranggapan saat ini sudah era transparan. Padahal, kata dia, ada data-data negara yang tidak perlu dipublikasi serta ada data yang belum saatnya dipublikasikan. (Republika) Edisi Agustus 2016www.cissrec.org Setelah pada awal 2016 dihantam masalah lubang keamanan, layanan aplikasi Go-Jek kembali diguncang banyaknya jual beli akun Go-Jek di media sosial. Ini tak lepas dari kabar diretasnya sistem Go-Jek yang mengakibatkan data pelanggan Go-Jek dan akun Go-Pay pelanggan bisa langsung digunakan pihak tidak bertanggung jawab. Hal ini cukup meresahkan mengingat Go-Jek memiliki pelanggan yang tak sedikit. Go-Jek sendiri berinisiatif melakukan reset password ke akun yang telah diambil peretas. Dikabarkan lebih dari 100.000 akun Go-Jek yang diperjualbelikan di media sosial Facebook dan Kaskus. Pakar keamanan cyber Pratama Persadha mengungkapkan, jika peretas telah berhasil masuk dan mengambil data pelanggan Go-Jek yang plain bisa dipakai siapa saja yang memegangnya. “Data pelanggan Go-Jek ini ternyata belum diamankan dengan enkripsi. Sehingga saat sistem Go-Jek berhasil diretas pihak luar data base pelanggan praktis bisa langsung dimanfaatkan dan dijual oleh peretas,” ujarnya, dalam keterangan tertulisnya, Senin (25/7/2016) . Dia menerangkan, enkripsi atau penyandian secara luas dikenal sebagai pengamanan terakhir informasi, terutama di dunia digital. Melalui enkripsi, peretas walau berhasil masuk dan mengambil data pelanggan, mereka tidak bisa melihat informasi yang dibutuhkan. Karena informasi pelanggan dikunci dengan metode tertentu. Pratama mengatakan, seharusnya sejak ada warning lubang keamanan pada sistem Go-Jek pada akhir 2015, developer aplikasi ojek instan ini sudah mengamankan atau menambah enkripsi pada data pelanggan. Namun dalam pengecekan yang dilakukan tim riset CISSReC, diketahui data pelanggan dan ordernya tidak dengan pengamanan enkripsi. Akibatnya siapapun bisa melakukan intersepsi dan mengubah data pesanan saat pengguna Go-Jek melakukan order. “Data pelanggan ini penting, ada nama, nomor telepon, alamat email, alamat rumah dan ini semua wajib dilindungi oleh penyedia layanan. Jadi ada kepastian keamanan untuk informasi pelanggan,” papar Chairman lembaga riset keamanan cyber CISSReC (Communication and Information System Security Research Center) ini. Menurut Pratama, di Indonesia sendiri belum ada peraturan perundang- undangan yang secara khusus dibuat untuk melindungi informasi konsumen yang dipegang penyedia layanan jasa. Tidak hanya dari perlindungan peretasan, tapi juga jual-beli informasi konsumen oleh penyedia layanan jasa. “Pemerintah perlu menerbitkan UU yang memaksa penyedia layanan jasa, seperti bank dan Go-Jek untuk melindungi data pelanggan. Jangan sampai setiap ada peretasan dan fraud, pelanggan serta nasabah yang selalu disalahkan,” jelas pria asal Cepu, Jawa Tengah ini. Pratama sendiri menyarankan untuk masyarakat jangan lantas meninggalkan Go-Jek. Menurutnya aplikasi besutan Nadiem Makarim ini berhasil menjadi pionir dan menggairahkan industri teknologi di Indonesia. “Kita juga harus mengapresiasi Go-Jek yang langsung cepat mereset password akun yang diperjual-belikan. Masyarakat tetap bisa memakai Go-Jek, namun bila masih ragu dan takut, cukup dengan membayar cash bila masih takut akun Go-Paynya jadi sasaran peretas,” tandas mantan pejabat Lembaga Sandi Negara ini. (Sindo News) Go-Jek Harus Amankan Data Pelanggan dengan Enkripsi
  4. 4. Hari ini menjadi momen berharga anak- anak di Indonesia. Mereka diantar orangtuanya menuju sekolah bahkan sebagian besar ditunggu hingga pulang sekolah. Ada hal yang perlu diperhatikan yakni menghindari kasus penculikan. Iya kasus ini cukup membuat khawatir para orangtua yang membiarkan anaknya bebas pulang ke rumah. Pratama Persadha, pengamat dunia siber, menilai, salah satu pemicu kasus penculikan karena bebasnya penggunaan dunia maya. "Ada beberapa hal yang sepertinya sepele, namun sangat perlu untuk diperhatikan, kaitannya dengan media sosial yang dimiliki,' kata Pratama di Jakarta, Senin (18/7/2016). Langkah awal yakni tidak membagikan foto bersama anak secara sembarangan di akun media sosial maupun di sekolah. Apalagi sampai menyebutkan lokasi dan waktu. Karena ini bisa menjadi pintu 4 masuk bagi para pelaku kejahatan yang menjadikan anak sebagai sasaran. Kedua, batasi akses media sosial kita hanya untuk orang-orang yang kita benar-benar kenal saja. Hampir semua media sosial besar memberikan ﬁtur ini. (Ilustrasi) “Facebook misalnya, memberikan ﬁtur bagi pengguna media sosial untuk mengatur privasi, jadi baik postingan maupun foto hanya bisa dilihat oleh orang-orang yang menjadi kawan kita," tulisnya. Langkah selanjutnya, orangtua juga harus membatasi akses anak ke gadget. Edisi Agustus 2016www.cissrec.org Cegah Penculikan Anak di Hari Pertama Sekolah Membatasi ini maksudnya orangtua mempunyai akses langsung dan juga mengontrol penggunaannya. Karena tanpa edukasi dan kontrol, anak bisa leluasa bermain di media sosial. "Ini membuka pintu bagi para pelaku kejahatan, bila penggunaan tanpa privasi," tuturnya. Langkah preventif dengan mengenakan alat bantu tracking pada anak-anak. Cukup banyak alat “Child Tracker” yang dijual di pasaran. Bentuknya bisa gelang, kalung, jam dan banyaklagi, yang terkoneksi ke smartphone orangtua. “Kelima, berikanlah kode khusus pada anak untuk mengenali orang-orang yang menjadi saudara maupun asisten rumah tangga. Misalnya orangtua memberikan kode “Zuma”, artinya setiap orang yang menjemput harus menyebutkan kode tersebut.” (Okezone) Sekilas CISSReC CISSReC berdiri pada 14 Oktober 2014, didirikan oleh anak bangsa yang peduli dengan kondisi keamanan digital di Indonesia. Sejak didirikan, CISSReC telah mendapatkan tempat di masyarakat. Tulisan, gagasan dan pendapat CISSReC telah mendapat apresiasi luas. Ini menjadikan kami lebih optimis, karena keamanan digital saat ini menjadi hal yang sangat penting. Segala sesuatu hampir seluruhnya mendapatkan sentuhan digital. Lebih jauh kami berusaha untuk lebih kontributif dalam memberikan eduksi kepada masyarakat. Kami berharap masukan dan kritikan yang menjadikan kami lebih bisa diterima oleh semua kalangan. (Red) info@cissrec.org CISSReC: Tidak Ada Yang Dikhawatirkan Dari Pokemon Go Kepopuleran permainan ‘Pokemon Go’ di Indonesia mulai disoroti dari segi keselamatan dan keamanannya. Hal itu tampak dari beberapa imbauan maupun larangan bermain game berbasis geo- lokasi ini dari beberapa kalangan, baik tokoh agama maupun badan keamanan. Dengan pemanfaatan teknologi berbasis augmented reality dan GPS, ‘Pokemon Go’ dikhawatirkan menjadi alat mata- mata badan intelijen asing untuk mencari informasi mengenai keamanan suatu negara, khususnya Indonesia. Pokemon Go Selain itu, penggunaan kamera yang menjadi salah satu ﬁturnya, dicurigai sebagai alat untuk memonitoring tempat-tempat vital di Indonesia seperti markas komando militer, istana negara, dan gedung pemerintahan lainnya. Namun hal itu dibantah oleh Pratama Persadha, Chairman Communication and Information System Security Research Center (CISSReC), yang mengatakan bahwa tidak ada data berupa gambar yang dikirimkan ‘Pokemon Go’ ke server pusat, melainkan hanya data berupa teks kode. "Kita sendiri telah melakukan riset selama dua minggu lebih dengan meneliti mulai dari source code hingga lokasi, tidak ada gambar sama sekali yang dikirimkan. Data yang dikirim pun hanya puluhan kilobyte," tutur pratama kepada Okezone, Kamis (21/7/2016). Menurutnya, alasan kekhawatiran itu tidak beralasan kecuali memang jika seseorang berpura-pura memainkan ‘Pokemon Go’ ke suatu tempat vital untuk memata-matai. Hal itu menjadi perhatian pemerintah dan pemain untuk tetap mengutamakan kesadarannya akan keamanan dan keselamatan. (Okezone)

