REPUBLIKA.CO.ID, JAKARTA -- Dalam dunia digital saat ini, kita dikelilingi secara harfiah oleh perangkat pintar atau perangkat Internet of Things (IoT). Produsen barang sehari-hari seperti mainan, furnitur, mobil, dan perangkat medis semakin meningkat, produknya dengan menambahkan fitur 'pintar' agar menjadi lebih menarik. Bahkan kini produsen botol air mulai membuat botol yang tersambung ke internet.
Perangkat pintar menjadi tren di mana pun. Namun ada satu hal yang sering menjadi terlewatkan: keamanan. Terlebih lagi, tidak ada persyaratan industri yang harus dipatuhi terkait keamanan perangkat pintar. Para produsen dibiarkan membuat standar perusahaannya sendiri untuk komunikasi, yang tidak selalu menjadikan keamanan sebagai prioritas utama. Perangkat pintar yang tidak memiliki prinsip dasar keamanan modern ini kemudian dikirimkan ke seluruh dunia.
Director of Threat Intelligence Avast, Michal Salat, mengatakan, karena perangkat pintar tidak memiliki pengamanan yang cukup, perangkat tersebut dapat diretas menggunakan sejumlah metode, mulai dari yang mudah seperti pembobolan kredensial login, hingga yang lebih canggih seperti beragam teknik eksploitasi, atau rekayasa balik firmware atau sistem operasi serta mendeteksi kerentanan hari ke 0.
Layanan dan exksploit yang dapat digunakan untuk meretas perangkat IoT dijual di darknet, dan sebagai akibatnya, ada semakin banyak orang yang dapat menggunakannya. Peretas juga terus mencoba menyusup ke jenis jaringan dan bentuk komunikasi baru yang dipakai di perangkat IoT agar dapat meretasnya.
Cara termudah meretas perangkat pintar adalah dengan membobol kata sandi atau mencoba mendapatkan akses ke perangkat menggunakan kredensial login default perangkat tersebut. Botnet, yang dapat disewa di darknet, membuat metode peretas amatir (script kiddie) ini mudah dipakai untuk menginfeksi ribuan perangkat secara bersamaan. Sebagian besar produsen memakai kredensial login default yang sama untuk seluruh perangkat buatannya, alih-alih membuat kata sandi yang unik untuk setiap perangkat, guna memangkas biaya produksi.
Salah satu ancaman terbesar terhadap IoT tahun lalu adalah botnet Mirai yang menginfeksi ribuan perangkat pintar, melalui kredensial login default, untuk melancarkan serangan DDOS berskala besar. Karena kode sumber (source code) Mirai tersebar luas, hampir semua orang dapat menjalankan botnet IoT-nya sendiri atau menulis ulang kodenya. Akibatnya, banyak bermunculan mutasi Mirai. Cara lainnya untuk menginfeksi perangkat IoT jauh lebih rumit dan membutuhkan biaya dan oleh karena itu tidak umum dilakukan. Sebagai contoh, rekayasa balik firmware atau sistem operasi memerlukan pengetahuan teknik yang mendalam dan waktu yang lebih banyak. 0-day exploit yang memanfaatkan kerentanan memerlukan biaya ribuan dolar.
Sedangkan yang harus dilakukan untuk mengamankan perangkat IoT, cara yang memungkinkan dan efektif untuk meningkatkan keamanan IoT secara drastis adalah dengan memudahkan konsumen mengubah kredensial login perangkat pintarnya. Untuk mendorong konsumen mengubah kredensial login perangkat IoT-nya, produsen dapat mewajibkan konsumen membuat kata sandi yang unik dan kokoh saat mengatur perangkat untuk pertama kali. Hal tersebut jelas tidak dapat diterapkan pada segala kondisi, tetapi perubahan kredensial login default sudah cukup untuk mengurangi jumlah perangkat yang “tidak aman” secara drastis dan mempersulit peretas amatir, peretas 'abal-abal', serta bot pencarian sederhana yang mencoba mengakses perangkat IoT. Di samping itu, produsen perangkat IoT dapat memberi perangkat buatannya kata sandi yang acak dan unik untuk disertakan bersama perangkat saat pengiriman ke pelanggan.
Mengamankan perangkat pintar tidak hanya akan melindungi privasi seseorang dan membantu pencegahan serangan DDoS, tetapi juga mencegah terjadinya hal yang lebih buruk. Sudah ada uji serangan terhadap keamanan (proof-of-concept) yang menunjukkan bahwa jaringan IoT dapat terinfeksi secara keseluruhan melalui serangan terhadap satu perangkat saja, seperti lampu bohlam atau sensor lalu lintas. Uji serangan ini menunjukkan besarnya masalah yang disebabkan kerentanan perangkat pintar dan luasnya kerusakan yang disebabkan ketika perangkat tersebut dikendalikan orang yang tidak bertanggung jawab. Bayangkan apa yang terjadi ketika peretas mengendalikan alur lalu lintas atau mematikan lampu di seluruh kota. Produsen perangkat pintar harus menjalin kerja sama dengan ahli keamanan untuk memastikan disertakannya lapisan keamanan di perangkat dan menjalankan tes penetrasi atas produknya secara berkala, ujar Salat.
Salat juga menambahkan, sisi gelap Perangkat Internet of Things (IoT) bisa berwujud banyak, mulai dari mesin pembuat kopi hingga jam kebugaran dan termostat yang diciptakan untuk membuat hidup kita lebih nyaman, tetapi bagaimana jika barang-barang tersebut menjadi jahat? Memang sulit dibayangkan, tetapi perangkat tak berdosa yang kita sambut dengan hangat dalam hidup kita tersebut dapat terinfeksi atau diretas dan menunjukkan sisi gelapnya.
Perangkat IoT dapat dipaksa untuk menjadi bot yang dengan membabi buta mengikuti perintah melakukan tindak kejahatan sebagai bagian dari botnet. Botnet adalah jaringan perangkat terinfeksi yang disalahgunakan oleh penyerang untuk menjalankan aktivitas seperti melakukan penyerangan DDoS, penambangan Bitcoin, dan penyebaran email spam. Hampir semua perangkat yang tersambung ke internet dapat diinfeksi dan menjadi bagian dari botnet. Perangkat IoT seringkali direkrut menjadi bot karena perangkat tersebut lemah dari sisi keamanan dan mudah menjadi target infeksi.
Saat ini, sebagian besar botnet dimanfaatkan untuk melancarkan serangan DDoS dan menambang mata uang digital (cryptocurrency) (yang bahkan pernah kita saksikan berjalan di DVR), tetapi botnet tersebut mampu membuat ratusan ribu perangkat IoT menjalankan hal yang jauh lebih parah. Botnet dapat mengirimkan pesan spam, mulai dari email phishing berisi malware yang bisa berujung pada pencurian uang atau kata sandi hingga skema pump and dump yang mencoba meyakinkan orang untuk membeli saham dari perusahaan tertentu. Botnet dapat juga menjalankan kampanye click-jacking, menyebarkan iklan palsu, dan, yang lebih parah, menginfeksi perangkat IoT lain.
Uji coba serangan ini sekilas terkesan biasa saja, tetapi kesan itu akan segera berubah ketika kita memikirkan adanya fakta bahwa kota pintar akan dikembangkan dalam beberapa tahun ke depan, kota-kota di seluruh dunia akan sepenuhnya tersambung. Apabila perangkat dan sistem IoT ini tidak mendapatkan pengamanan yang mencukupi, peretas, negara kebangsaan, dan bahkan teroris dapat mengambil alih kendali atas kota-kota tersebut dan menimbulkan kekacauan secara menyeluruh dengan, misalnya, mengendalikan semua lampu atau alur lalu lintas.
Selain diretasnya perangkat IoT untuk melancarkan serangan terhadap kota, ada pula kemungkinan perangkat IoT dijadikan target selanjutnya dari serangan ransomware. Ketika sistem komputer sebuah hotel terinfeksi ransomware pada bulan Februari lalu, para tamu terkunci di dalam kamarnya karena sistem yang terinfeksi adalah sistem yang dipakai untuk memprogram kartu kunci elektronik. Kini bayangkan jika termostat pintar Anda terinfeksi ransomware, apakah Anda akan membayar uang tebusannya agar dapat kembali mengatur suhu rumah Anda?. Penjahat siber tidak hanya membidik perangkat rumah pintar menggunakan ransomware, mereka juga membidik tokoh publik atau fasilitas industri dan pabrik.
Satu risiko yang hampir selalu diabaikan dalam hubungannya dengan perangkat IoT adalah kemungkinan terjadinya kebocoran data pribadi dan juga pelacakan pergerakan perangkat. Pikirkan berapa banyak informasi yang dapat diambil sebuah perangkat IoT: webcam dapat melihat apa pun yang ada di depannya, TV pribadi atau asisten pribadi pintar dapat merekam suara, dan mobil pintar dapat memberi tahu apakah pemiliknya berada rumah atau tidak.
Semakin banyak perangkat IoT yang ada di sekeliling kita, semakin besar pula dorongan penjahat siber untuk menjadikannya target. Kini kita memiliki bayangan bagaimana perangkat IoT dapat disalahgunakan dan menjadi penyebab masalah besar jika produsennya tidak segera memberikan perhatian lebih pada keamanan produknya. Sektor IoT adalah sektor yang terhitung masih baru, dan kita semua berharap bahwa, seiring dengan berjalannya waktu, kita akan sampai pada titik ketika keamanan perangkat yang tersambung meningkat secara drastis.