e-Paper DPR RI

Peretasan yang dialami para aktivis dan mahasiswa bisa dilakukan oleh siapa saja dan dengan tujuan apa pun. Kepolisian perlu mengusut tuntas kasus itu untuk mencegah spekulasi liar tentang pelaku dan tujuan peretasan.

JAKARTA, KOMPAS — Peretasan yang dialami para aktivis prodemokrasi dan mahasiswa, beberapa waktu belakangan, harus diusut tuntas. Para korban peretasan diharapkan mendesak aparat kepolisian untuk segera menyelidiki kasus yang mereka alami. Hal ini penting agar pelaku peretasan segera terungkap dan tidak memunculkan berbagai spekulasi liar terkait sosok di balik peretasan.

Sebelumnya diberitakan, menjelang unjuk rasa menolak wacana perpanjangan masa jabatan presiden yang digelar sejumlah elemen masyarakat dan mahasiswa di Jakarta, Kamis (21/4/2022), dugaan peretasan terhadap akun aplikasi percakapan daring dan media sosial di kalangan aktivis kembali terjadi. Peretasan salah satunya dialami Bivitri Susanti, aktivis prodemokrasi yang juga pengajar Sekolah Tinggi Hukum Indonesia Jentera. Serangan itu menambah panjang jumlah kasus peretasan serupa yang pernah terjadi sebelumnya dan belum pernah terungkap pelakunya.

Chairman Communication and Information System Security Research Center (CISSReC) Pratama Persadha saat dihubungi di Jakarta, Jumat (22/4/2022), mengatakan, peretasan yang dialami Bivitri dan 13 mahasiswa secara serempak tentu mengundang kecurigaan. Namun, yang perlu digarisbawahi, aksi peretasan semacam itu bisa dilakukan oleh siapa saja, dengan berbagai tujuan apa saja.

Terlepas dari itu, menurut Pratama, kepolisian mempunyai pekerjaan rumah untuk mengungkap pelaku peretasan tersebut. Ia pun mendorong para korban agar membuat laporan kepada kepolisian dan mendesak aparat untuk menyelidiki kasus peretasan yang mereka alami.

”Apalagi, saat ini sudah ada cybercrime Polri. Seharusnya, mereka mempunyai kapasitas untuk (menyelidiki kasus peretasan) ini. Sangat penting bagi polisi bergerak cepat agar tidak ada spekulasi liar terkait siapa sebenarnya pelaku peretasan itu,” ujar Pratama.

Jika melihat pola korbannya, lanjut Pratama, bisa jadi peretasan ini terorganisasi. Namun, hal tersebut perlu dibuktikan dan jika perlu dilakukan digital forensik pada ponsel pintar (smartphone) dan laptop korban. Pemeriksaan dilakukan untuk mengetahui apakah serangan dilakukan dengan malware dan lewat mana serangan dilakukan.

Cara itu sebelumnya dilakukan tim investigator yang membantu memeriksa iPhone milik pendiri perusahaan Amazon, Jeff Bezos. Saat itu berbagai foto pribadi Bezos di iPhone bocor ke publik. Investigator yang disewa Bezos menyimpulkan iPhone milik pendiri Amazon itu terinfeksi malware pegasus. FTI Consulting, yang melakukan investigasi, menyimpulkan bahwa malware masuk ke iPhone lewat file yang dikirim dari ponsel Putra Mahkota Arab Saudi Pangeran Mohammed bin Salman.

”Jadi, secara teknis, investigasi peretasan ini sangat memungkinkan,” ujar Pratama.

Investigasi ini perlu dilakukan dengan digital forensik ke perangkat korban. Selain itu, sebenarnya untuk mengembalikan akun, bisa juga bekerja sama dengan kantor resmi media sosial tersebut meski tidak semua mempunyai perwakilan di Indonesia, seperti Facebook yang berkantor di Singapura.

Cara mengungkap pelaku

Pratama menyebut, pelaku peretasan sangat mungkin diungkap. Namun, hal tersebut tidak mudah, apalagi jika para pelaku peretasan ini terampil dalam menjalankan aksinya.

Untuk mengungkap aktor peretasan ini, setidaknya ada dua cara. Pertama, secara teknis, peretasan bisa diidentifikasi dan ditelusuri, apalagi jika pelaku tidak terampil, akan bisa ditelusuri.

Kedua, mengungkap pelaku peretasan lewat informasi jaringan yang dimiliki, Misalnya ada informasi peretasan dilakukan oleh si A yang infonya didapat dari komunitas peretas. Dari informasi tersebut, bisa ditelusuri apakah benar si A melakukan sejumlah peretasan yang dituduhkan.

Pratama juga menjelaskan, ada berbagai pola serangan peretasan, yakni malware, serangan phishing, ataupun social engineering. Hal yang paling mutakhir, seperti menggunakan perangkat lunak spyware buatan Israel, Pegasus, hanya dengan mengirimkan Whatsapp, ponsel korban sudah terinfeksi, lalu ponsel pintar beserta isinya sudah dalam kontrol pelaku.

Biasanya, serangan ini bermula dari phishing. Artinya, sebelum menyerang, peretas mencari informasi-informasi terlebih dahulu terkait dengan target. Setelah phishing berhasil, penyerang mendapatkan akses ke akun.

Lalu, untuk mengamankannya, kata Pratama, minimal mengaktifkan two factor authentication. Beberapa sistem menggunakan autentikasi dengan pesan singkat (SMS) atau pesan elektronik (e-mail). Namun, cara ini juga mempunyai kelemahan karena SMS tidak terenkripsi sehingga SMS dapat diduga kemungkinan diambil penyerang, apalagi jika mempunyai akses ke operator.

Cara lain yang mungkin dilakukan peretas adalah dengan melakukan eksploitasi terhadap peralatan komunikasi yang digunakan, seperti ponsel pintar atau komputer. Hal ini biasanya disebabkan korban tidak rutin memperbarui, baik operating system maupun aplikasi yang digunakan. Namun, untuk mengetahui siapa pelaku di balik ini, bisa dilakukan forensik ke peralatan komunikasi yang digunakan, termasuk ke e-mail.

Prinsipnya, saat ini seluruh masyarakat harus bisa melindungi aset digitalnya, termasuk e-mail dan media sosial. Masalahnya, hal ini tidak masuk ke dalam kurikulum di pendidikan formal Tanah Air. Alhasil, masyarakat terpaksa belajar otodidak.

”Selain itu, terkait kasus peretasan semacam ini tampaknya aparat kita juga masih kekurangan sumber daya manusia yang mahir,” kata Pratama.

Pakar keamanan siber Alfons Tanujaya sependapat dengan Pratama. Pada dasarnya, peretasan itu akan selalu terjadi. Namun, yang terpenting, saat memakai perangkat digital, semua memiliki kewajiban untuk menjaga akses digitalnya.

”Semua aplikasi mudah menjadi sasaran peretasan. Yang dilupakan orang adalah akses digital utama. Itu yang harus dijaga. Apa itu? Hanya dua, yakni nomor handphone dan e-mail. Jadi, kalau e-mail dia tidak dijaga dengan baik, lalu dia tidak aktifkan autentikasi, ya, Whatsapp dan Instagram mereka gampang diretas,” ucap Alfons.

Berulang

Sementara itu, setidaknya 13 mahasiswa yang tergabung dalam Aliansi Mahasiswa Indonesia (AMI) mengaku mengalami peretasan sepanjang 17-21 April. Mereka yang berasal dari Universitas Indonesia, Universitas Esa Unggul, Universitas Pembangunan Nasional Veteran Jakarta, Universitas Trisakti, Universitas Pertamina, dan Blok Politik Pelajar (BPP) itu kehilangan akses terhadap akun Whatsapp-nya secara tiba-tiba. Pengajuan SMS verifikasi untuk memulihkan akun pun tak bisa dilakukan. Padahal, dalam kurun waktu tersebut mereka membutuhkan akun Whatsapp karena sedang berkonsolidasi untuk menginisiasi unjuk rasa.

Juru bicara BPP, Delpedro Marhaen, mengatakan, ini bukan peretasan pertama yang dialami mahasiswa. Akun Whatsapp dan Telegram beberapa dari mereka juga diambil alih pihak tertentu pada akhir Maret lalu jelang demonstrasi menolak wacana perpanjangan masa jabatan presiden di Jakarta, awal April.

”Sering sekali (terjadi), setiap mendekati kegiatan atau demonstrasi, selalu kena retas,” ujarnya.

Meski sudah mengalami peretasan berulang, hingga saat ini mahasiswa belum mengambil langkah untuk menindaklanjutinya, termasuk untuk melaporkan kejahatan siber itu ke kepolisian. Mereka masih fokus pada upaya mitigasi, yakni dengan mengganti kartu sim, mengaktifkan fitur verifikasi dua langkah di Whatsapp, dan menyaring keikutsertaan di grup-grup percakapan.

”Namun, kalau dengan begitu masih diretas juga, wacana ini akan kami diskusikan dengan teman-teman, apakah sebaiknya kami berikan saja ponsel kami ke polisi,” kata Delpedro.

Ia menambahkan, peretasan berulang juga berdampak memperlambat konsolidasi gerakan karena terputusnya akses komunikasi. ”Energi teman-teman pun habis untuk mengurus hal seperti itu,” ujar Delpedro.

Sementara itu, Kepala Divisi Humas Polri Inspektur Jenderal Dedi Prasetyo meminta agar setiap warga yang merasa dirugikan dengan adanya kejahatan siber untuk melaporkannya ke kepolisian. Setiap laporan akan ditindaklanjuti, baik oleh Direktorat Siber Polri maupun Polda.