Keamanan SMS

Beberapa orang menanyakan kepada saya tentang keamanan SMS. SMS mulai digunakan untuk keperluan transaksi, misalnya SMS banking. Jadi keamanan dari SMS ini sangat penting. Untuk itu saya mencoba mengumpulkan data mengenai SMS ini. Jika Anda memiliki data atau informasi mengenai hal ini, mohon dibagi di sini.

Pertama soal kerahasiaan isi dari SMS. Pemahaman saya adalah umumnya pesan SMS tidak diamankan dengan menggunakan enkripsi. Data yang dikirim berupa plain text, yaitu teks yang terbuka. Artinya, kalau data ini bisa disadap, maka pesannya akan terbaca dengan mudah.

Ada upaya untuk mengamankan pesan SMS, misalnya dengan menggunakan Simtoolkit (yang berada di dalam SIM card). Namun pendekatan ini belum lazim.

Apakah SMS bisa disadap? Secara teori ya. Namun sebelum kita berbicara penyadapan secara teknis, saya diberitahu bahwa sebetulnya operator di penyedia layanan seluler bisa membaca pesan tersebut. Saya pernah membaca di sebuah blog tentang seorang operator yang membaca pesan SMS karena diminta oleh kawannya. Sayangnya saya tidak menyimpan alamat blog tersebut. Ada yang tahu atau masih ingat?

Apakah SMS bisa dipalsukan? Nah yang ini saya hanya bisa berteori. Karena dia tidak menggunakan pengamanan secara teknis, maka semestinya SMS bisa dipalsukan. Hanya masalahnya, seberapa sukar melakukannya?

Berikutnya lagi adalah masalah pembuktian data atau pesan SMS. Apakah operator menyimpan duplikat SMS? Bagaimana jika pengadilan membutuhkan pesan sebagai bukti? (Ceritanya ada seorang pengacara yang sedang menangani kasus antara suami istri. Mungkin kasus selingkuh? Nah, salah satu buktinya adalah ada pada SMS. Dia menanyakan apakah SMS dapat dimintakan kepada operator? Yang ini saya tidak tahu.)

Untuk sementara ini, jangan kirim pesan yang aneh-aneh atau rahasia melalui SMS.

Apa lagi ya? Segini dulu. Nanti saya sambung.

25 pemikiran pada “Keamanan SMS

  1. waks bahaya nih…..smsku bisa dibaca operatr… ga bule sms2 rahasia lagi hhehe. btw saya tertarik dnegan operator yg membaca sms atas permintaan kawannya. apa itu tidak melanggar kode etik dalam bekerja?

  2. #1
    Memang betul bisa dibaca, tapi tentunya hanya divisi tertentu saja.

    Bicara work ethics, ini agak sedikit melenceng dari topik pak Budi, saya jadi inget seorang “teman” yang bekerja di operator. Dia ini orangnya agak “show-off”. Suatu hari tiba-tiba dia msg via IM dan mem-paste biodata pribadi saya yang rupanya diambil dari database operator tersebut.
    Terus terang saya tersinggung karena ulahnya ini. Mungkin maksudnya bercanda, tapi ini jelas-jelas membocorkan rahasia perusahaan. Gimana kalau dia memberikan info seperti ini ke pihak-pihak yang tidak bertanggung jawab? Dia juga bilang bisa baca semua SMS saya.
    Wah …

    Mudah-mudahan pihak operator ponsel lebih selektif dalam merekrut karyawannya, tidak seperti “teman” saya ini πŸ™‚

  3. mgkn bisa baca standardnya langsung pak .. GSM 03.40 . Ada penjelasan fitur-fitur plus alur proses pengiriman smsnya.

    dipalsukan ? mgkn yang dimaksud pengirim smsnya ? hmm aga sulit secara yg memformat no pengirim adalah HP itu sendiri .

    operator menyimpan sms ? hmm tergantung policy operatornya . karna log sms itu gede sekalee . namanya jg republik sms :p

  4. memalsukan, kayanya bisa, soalnya pernah dapet sms hadiah 50 juta dari INDOSAT hihi ;P

    dan setelah penipuan secanggih ini kok masih ada aja sms hadiah pura2 dari 0815xxxxx yang terakhirnya ditulis “Pengirim: 555”

  5. Kebetulan pernah ngutek2 SMS dari level buat SMSC (walau belom jadi 100%), sampe bikin aplikasi di SIM Card (pake card gemalto – was gemplus). So far

    1. Salah satu solusi pengamanan END to END SMS jika mengimplementasikan GSM 03.48, dimana TP-UD dienkripsi. Enkripsinya juga canggih lho, 3DES juga bisa :).

    Mostly aplikasi yang mengimplementasikan ini adalah aplikasi di SIM Card, seperti anda lihat di mobile banking yang nempel di SIM card πŸ˜€

    2. END to END SMS juga bisa custom encrypted, intinya TP-UD dienkripsi yang penting kedua aplikasi END to END saling tahu. Anda bisa develop pake J2ME, Python, Symbian S60/S80, Brew, or any mobile application.

    3. Common END to END SMS, seperti model plain SMS mobile banking mandiri, memang paling banyak digunakan :D, apakah aman? Menurut saya tidak aman, karena TP-UD ditransmisikan AS-IS tanpa enkripsi. Studi kasus bank mandiri dengan mobile banking SMS plainnya, saya pikir setidaknya Bank Mandiri punya kambing hitam jika ada masalah penyadapan :), yakni operator, jadi resiko ini diambil untuk mengcapture market yang sedemikian besarnya. Menunggu deployment aplikasi di SIMCard mungkin dianggap kurang menguntungkan dari sisi waktu (kejar target pelanggan mas!)

    Disadap.. bisa saja, penyadapan itu tak terelakkan tapi yang penting:
    1. content yang disadap sudah disandikan
    2. kalau TP-UD tidak disandikan, harus ada SLA antara pengguna dan operator supaya tidak terjadi penyalahgunaan wewenang (melihat SMS, gak sopan banget, kayak ngintip orang mandi !)

    4. Fake sender SMS hanya dimungkinkan jika:
    4.a dia memiliki interkoneksi SS7 dengan operator :), karena RP-OA
    (address pengirim SMS) itu dikirim pada sesi SS7 saat SMS-SUBMIT.
    Jadi kalau orang SUBMIT dari ponsel gak akan bisa ngutek2
    alamatnya
    4.b punya SMSC atau akses SMSC yang punya interkoneksi dengan operator tujuan dan memungkinkan untuk memalsukan sender (wah mending operator ngeblok SMSC ginian)
    4.c punya akses di SIMCard…. buat ganti file-file EF_IMSI dan sejenisnya, tp lebih ruwet πŸ˜€

    Intinya… fake sender itu susah tp mungkin dilakukan (apalagi punya uang)

    Saya gak kerja di operator, tp secara teori SMSC itu mostly bermodelkan store-forward, jadi kalau udah selesai diproses ya dibuang. Apakah mungkin diarchieve… mungkin saja :D, tp secara profesional ada kekuatan hukum untuk hal ini apa ndak? etis apa ndak

    CMIIW
    Oh ya: TP-UD ~ User Data: elemen PDU SMS yang nyimpen data

  6. Pak Budi, Carrier atau Operator memiliki 100% access atas semua SMS message. Malah, ada Carrier yang log/archive semua SMS (nb. disk is cheap). Jadi, SMS absolutely insecure πŸ™‚ Tidak ada non-repudiation dan tidak ada confidentiality. Lebih baik pakai SSL atau TLS over GPRS menggunakan handset.

    Orang2 gila juga berani banking dengan SMS πŸ™‚ Kalau duit hilang, bank nggak mau tau…(pura2 nggak tau).

  7. Saya pernah daftar layanan pengiriman sms via web (sudah lupa namanya). Di situ ada layanan untuk kustomisasi nomor pengirim, bahkan tidak terbatas hanya pada nomor, tapi juga bisa dengan huruf. Misal : sender : 007, atau sender : yuan.
    Jadi maksudnya sms dipalsukan itu yang bagaimana pak ?
    Apakah dipalsukan isinya, atau dipalsukan pengirimnya, atau malah kedua-duanya? πŸ˜€

  8. ya itulah.. teroris2 khawarij… masih aja ngelakuin kirim2 pesan2 (walopun sudah diacak kata2 dan huruf-nya) melalui sms.. dudulz bgt ya… padahal… di tiap2 Control Center Operator.. ditempatkan 1 atau beberapa orang Densus 88 atau pihak intelijen maupun tontaipur kostrad. wew… so’ jgn sekali2 deh.. kirim2 msg rahasia via sms (kalo isinya cuma tulisan “rahasia” aja si boleh) wkwkwkwkwk

  9. Dari info seorang teman yang kerja di sebuah operator selular bahwa, jangankan sms, percakapan telepon-pun juga selalu di simpan dalam data operator.

    Biasanya lama penyimpanan beragam, ada yang sebulan, enam bulan hingga setahun tergantung kebijakan. Data itu disimpan memakai program khusus yang hanya dimiliki operator.

    Data2 percakapan atau sms hanya boleh dibuka atas permintaan resmi dan prosedur yang panjang dari pihak berwenang.

    Pihak operator benar2 menjaga kerahasiaan pelanggannya.
    Hal ini mulai dilakukan rutin setelah gonjang-ganjing isu keamanan

  10. To Yuan, Sender Alphanumeric memang ada, jadi jangan terkejut, jika anda punya akses ke SMSC anda tinggal set TON (Type Of Number) menjadi alfanumeric maka anda bisa set sender dengan sembarang teks alfanumerik sekitar max. 11 bytes.

  11. “…Berikutnya lagi adalah masalah pembuktian data atau pesan SMS. Apakah operator menyimpan duplikat SMS? Bagaimana jika pengadilan membutuhkan pesan sebagai bukti? (Ceritanya ada seorang pengacara yang sedang menangani kasus antara suami istri. Mungkin kasus selingkuh? Nah, salah satu buktinya adalah ada pada SMS. Dia menanyakan apakah SMS dapat dimintakan kepada operator? Yang ini saya tidak tahu.)…”

    Boleh jadi sangat bisa: operator menyimpan duplikat SMS. Saya tadi baca harian berita olah raga TopSkor. Salah satu beritanya menyebutkan pihak kejaksaan Napoli akan menindaklanjuti kasus Luciano Moggi karena memiliki beberapa simcard milik operator Swis yang dibagikan kepada para wasit untuk tindakan ilegalnya dalam sepak bola Italia. Ya salah satu komunikasinya, mungkin, melalui SMS…

    Logikanya, suara saja bisa disimpan, apalagi text tulisan…..

  12. Assalamualaikum.wr.wb

    Perkenalkan nama saya marendy andhika,saya mahasiswa teknik informatika semester 4 di BINUS!!! Saya terkesan dengan blog bapak sampai saya merasa harus mem-bookmark blog bapak di dalam browser saya,hehhe jangan GR yawhh pak,,tapi memang benar ulasan-ulasan bapak tentang dunia teknologi informasi di indonesia sangat bagus n pintar ^^!!

    Saya ingin meminta saran dari bapak saja,,,kebetulan saya ingin mengambil peminatan database dalam perkuliahan saya,,kira2 dalam dunia kerja untuk dua atau tiga tahun kedepan bagaimana prospeknya,,soalnya saya juga bingung karena saya terkesan dalam mempelajarai bahasa pemrograman tuhh masih istilahnya “setengah” saja begitupun tentang pembuatan web & design like photoshop or flash,,,tutor n e-book sudah banyak di komputer saya tapi terkadang sangat susah menimbulkan etos belajar saya ^^,,kasih saran dong pak

    oiya pak,,saya hanya ingin menambahkan saja mengenai artikel sms dari bapak,,,beberapa kali saya menemukan situs ilegal penyedia sms gratis ke berbagai provider yang saya dapat dari milis dan forum-forum,,,dan “it works”,,,tapi apakah tidak ada istilahnya “cyberpolice” di indonesia yang menciduk situs itu yang bisa jalan hampir sebulanan lebihh,,,tapi berguna juga sihh buat mahasiswa seperti saya yang berkantong tipis,,hehhehe,,mohon jawabanya

    terimakasih

  13. #2

    mbah budi,sekarang sering-banget euy, nge-blog.hihihi apakah entar jangan-jangan alih profesi jadi full-time-blogger kah ?.Meniru bapak-wartawan-sebelah itu?.eheum !! πŸ˜› hihihihi.

  14. Wah asyik juga bisa nyadap sms….klo gitu smsnya para pejabat tinggi bisa donk di dilihat isinya, kali aja mereka lagi lobi temen – temennya buat koropsi uang kita heeeeee……….he….., oh ya bagi yang yang bikin artkel ini tolong donk implementasinya. thanks

  15. Benar dengan ilmu semuanya menjadi mudah. Dengan open source, semuanya menjadi lebih super mudah, dan bisa dipastikan karena open source.

    Masalah sekuriti SMS sebenarnya sudah bisa diatasi dengan software buatan anak bangsa. Namanya SMESS yang berlisensi … (belum didefinisikan) yang jelas open source. Silakan kunjungi http://possnetwork.ugm.ac.id/projects/smess/

    Software ini dikembangkan oleh M Taufik Yusuf dengan asistensi saya sendiri (mode pamer on) yang waktu itu bekerja dalam Grup RISKI (Riset Keamanan Informasi).

    Software ini menggunakan algoritma enkripsi IDEA yang diklaim sebagai algoritma enkripsi terkuat yang dikenal oleh Bruce Schneier (silakan baca Applied Cryptography). Sayang, software ini terhenti development-nya. Sedih juga. Mungkin akan dilanjutkan jika ada kebutuhan mendesak.

  16. klo misal da software yang fungsinya untuk enkripsi sms..apakah tujuannya cuma sms yg kita kirim tidak bisa dibaca operator???

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Foto Google

You are commenting using your Google account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s