Aplikasi (Contact) Tracing vs. Privasi

Belakangan ini mungkin Anda sudah mendengar bahwa perusahaan Apple dan Google bekerjasama untuk meluncurkan sebuah aplikasi yang melakukan tracking (pemantauan) keberadaan orang dan kaitannya dengan risiko terpapar virus corona (penyakit covid-19). Di Indonesia juga ternyata ada beberapa instansi akan (sudah?) meluncurkan aplikasi sejenis. Katanya aplikasi ini memantau keberadaan kita dan orang-orang di sekitar kita.

Ada banyak permasalahan dengan aplikasi sejenis ini. Masalah tersebut terkait dengan keamanan (security), termasuk masalah privasi. Kita mulai satu persatu dahulu.

Pertama, adanya ketidakjelasan cara aplikasi tersebut bekerja. Ada sih memang penjelasan umumnya, tetapi penjelasan umum tidak cukup. Misalnya, data apa saja yang dibaca oleh aplikasi? Diapakan saja data tersebut? (Dikirimkan kemana kah? Diproses apa kah?) Misal, apakah data kontak kita juga dibaca? Bagaimana dengan orang-orang yang berada di dalam kontak kita tetapi tidak ingin diketahui oleh orang lain nomor teleponnya (credentials-nya)? (Ada banyak orang yang seperti ini. Saya tidak bersedia membocorkan nomor telepon kawan-kawan saya kepada siapapun.) Apakah data orang-orang tersebut dibaca secara plain ataukah di-obfuscate atau diubah? Dengan cara apa? Apakah data tersebut digunakan? Dikirim? Diproses? Atau apa?

Kemudian ketika Anda berdekatan dengan seseorang, data apa saja yang dipertukarkan? Ada yang menggunakan Bluetooth dan saling bertukar data. Ketika kita mendapatkan data dari Bluetooth, bagaimana kita memastikan bahwa kita tidak kesusupan malware, trojan horse, virus, dll. Ada satu panduan yang umum digunakan, yaitu ketika tidak dibutuhkan, matikan Bluetooth. Jangan membiarkan Bluetooth hidup terus menerus. Ada banyak program penyerang Bluetooth. Belum lagi kalau kita bicarakan batre yang kesedot karena Bluetooth (atau networking lain) yang hidup terus.

Semua data ini kemudian diolah oleh “siapa”? Lokal di handphone kita? Menghabiskan batrekah? Atau dikirim ke tempat lain? Apa hak-nya “siapa” (instansi) yang mengelola data kita tersebut? Kalau data kita bocor, apakah “siapa” ini dapat kita tuntut ke pengadilan?

Bayangkan ini seperti aplikasi google maps / waze yang melakukan tracking kemana saja Anda pergi, ketemu siapa saja, atau dekat dengan siapa saja. Kemudian dia bakalan tahu juga kontaknya kontak Anda.

Cara-cara (protokol, mekanisme) yang digunakan harus terdokumentasi dan terbuka untuk publik. Jika ini dirahasiakan, maka itu sebuah tanda bahwa sistem ini tidak aman. Kita ambil contoh di dunia kriptografi. Sebuah algoritma kriptografi dinyatakan aman apabila algoritma tersebut dibuka ke publik. Keamanannya bukan terletak kepada kerahasiaan algoritmanya, tetapi kepada kerahasiaan kuncinya.

Setelah desain dari aplikasi tersebut kita nyatakan aman – atau setidaknya belum ditemukan masalah – maka kita beranjak kepada implementasinya. Bagaimana ide tersebut diimplementasikan. Banyak aplikasi / sistem yang idenya bagus tetapi implementasinya buruk. Jebol di sana-sini. Yang ini harus dibuktikan melalui evaluasi atau audit.

Setelah itu ada juga masalah di operasionalnya. Apakah orang mudah menggunakannya atau cenderung mengabaikan keamanannya. Misalnya ada sebuah sistem yang didesain teramat sulit ditembus, tetapi gemboknya (password-nya) misalnya 40 karakter. Karena sulit dihafal, maka password tersebut dituliskan di layar (menggunakan post-it-note). Hal yang sama, kadang karena sulit dihafal makas sandi tersebut kita simpan di handphone. Bubar jalan.

Masih ada hal-hal lain yang bisa kita bahas. Pada intinya, selama aplikasi tersebut tidak terdokumentasi dengan terbuka dan belum dievaluasi maka jangan gunakan aplikasi tersebut. Tujuan yang baik dapat berdampak buruk jika implementasinya ngawur.

Oh ya, versi video dari penjelasan ini dapat dilihat pada channel YouTube saya.

Semoga penjelasan ini dapat memberikan cara pandang lain.

Bacaan terkait.

Data Entry

Mari kita bahas (lagi) tentag dota entry, eh data entry. Supaya lebih jelas, saya akan ambilkan sebuah contoh kasus pemilihan umum di sebuah negara antah berantah.

Seorang operator data entry menemukan form (borang) dengan data seperti berikut:

calon #1 = 20
calon #2 = 20
calon #3 = 20
total suara = 80

Jika kita perhatikan, maka jumlah total suara tidak sama dengan jumlah yang seharunya. Jumlah seharusnya adalah 20+20+20 = 60. Jika Anda operator data entry tersebut, apa yang Anda lakukan?
(a) perbaiki data;
(b) masukkan (entry) data persis seperti itu.

Misalnya Anda berniat untuk memperbaiki data tersebut. Apa yang akan Anda perbaiki? Misal Anda ambil inisiatif mengubah jumlah total suara. Oleh Anda total suara diganti menjadi 60. Jreng! Anda masukkan data dan ternyata keputusan Anda itu salah! Maka Anda (dan institusi tempat Anda bekerja) langsung mendapat tuduhan menghilangkan suara! Ribut.

Kenapa keputusan Anda salah? Karena ternyata ada beberapa kemungkinan kesalahan. Kemungkinan pertama, yang salah adalah data untuk calon #3. Seharusnya data yang benar adalah “calon #3 = 40“. Maka jumlah total suara sudah benar, 80. Nah lho.

Kemungkinan tersebut bukan satu-satunya kemungkinan. Bisa jadi yang salah adalah data di calon #1 atau calon #2 atau keduanya atau ketiganya. Misalnya, bisa jadi datanya harusnya “calon #2 = 30” dan “calon #3 = 30“. Dan seterusnya. Paham maksud saya kan?

Ok. Cara yang paling aman adalah data dimasukkan APA ADANYA. As is. Pilihan (b). Sebagai seorang operator, Anda memasukkan data apa adanya. Seperti mesin scanner saja. Namun form ini diberi tanda (flag, warning) bahwa ada masalah di dalamnya. Tolong seseorang (manusia) melakukan verifikasi ulang.

Nah, inilah yang terjadi pada sistem perhitungan suara di Pilpres 2019. Itulah sebabnya terlihat bahwa sistem seperti tidak melakukan perhitungan, padahal dia melakukan perhitungan tetapi untuk jumlah yang salah ini maka aplikasi akan meminta perhatian seorang pemeriksa.

Ada yang berkomentar juga, kalau begitu seharusnya aplikasi tidak mau menerima data yang salah tersebut. Data yang jumlahnya totalnya salah, misalnya, jangan dimasukkan. Lah, jika demikian maka data itu mau diapakan dibuang? Ini malah bermasalah. Seolah-olah operator melakukan kecurangan dengan membuang data. Malah akan lebih bermasalah lagi. Tuduhannya malah lebih berat lagi. Jadi sudah benar bahwa data tetap dimasukkan tetapi diberi tanda (flag, warning).

Sudah kepanjangan ah.

Desain Sistem Informasi

Mumpung sedang ramai dibahas tentang web KPU, ini adalah sedikit corat-coret dari saya. Disclaimer dulu. Saya tidak terkait / terlibat dengan KPU saat ini, sehingga apa yang saya tuliskan saat ini tidak terkait dengan KPU.

Jika saya diminta untuk mendesain sebuah sistem informasi yang dapat diakses dari internet, maka desain saya kemungkinan seperti gambar di bawah ini. Namun, sebelumnya harus ada asumsi-asumsi dahulu. Sistem yang saya maksudkan bukan sistem yang real-time, dalam artian kita memasukkan sesuatu langsung tampil responnya. Sistem internet banking itu saya masukkan ke kategori “real-time”. Soalnya ketika kita melakukan transaksi, kita kan ingin melihat hasilnya segera bukan 10 menit lagi. Sementara itu sistem tabulasi hasil pemilu, misalnya, tidak harus demikian. Data dimasukkan dan hasil tabulasi boleh 5 menit lagi dikeluarkan (secara berkala).

Kita mulai dari agak kanan bawah, ke bagian aplikasi data entry. Aplikasi ini terhubung dengan sebuah database (db). Aplikasi ini diletakkan di belakang sebuah firewall dan tidak dapat diakses langsung oleh operator (user / pengguna).

Operator mengakses aplikasi melalui internet dengan menggunakan VPN. Operator terhubung ke sebuah “application gateway” yang merupakan proxy untuk aplikasi sesungguhnya. Data yang dimasukkan (entry) oleh operator akan diterima oleh aplikasi proxy dan diteruskan ke aplikasi sesungguhnya. Pada proxy ini dapat dilakukan proses perlindungan, verifikasi (terhadap kemungkinan serangan pada tingkat aplikas), sanitasi input, dan seterusnya. Data yang sudah disanitasi ini kemudian diteruskan ke aplikasi data entry sesungguhnya yang kemudian memasukkan data tersebut ke dalam database (db).

Database (db) ini kemudian dipindahkan ke database satunya lagi yang berada di bagian paling kanan bawah (ah, seharusnya pada gambar tersebut saya beri nomor ya). Dimungkinkan proses koreksi, verifikasi, dan proses-proses lainnya terhadap data. Data dalam database inilah yang kemudian dipakai untuk perhitungan atau ditambilkan. Data dalam bentuk report dapat dihasilkan oleh proses perhitungan. (Biasanya hasilnya dibuat dalam bentuk static agar nanti mudah disajikan dan menghindari penyerangan di tingkat aplikasi).

Hasil tabulasi ini (halaman web statik) dilemparkan ke application gateway (sebelah kiri, harusnya pakai nomor juga). Application gateway inilah yang mendistribusikan hasil ke web (server) publik, ke SMS gateway, ke fax, ke TV, dan seterusnya. Update distribusi ini dapat dilakukan berkala. Misal untuk web dapat dilakukan setiap 5 menit sekali.

Publik mengakses hasil di web (server) publik yang berisi data statik yang diupdate setiap 5 menit sekali. Jika web ini diretas (hacked) – amit-amit – maka dalam waktu 5 menit, hasilnya akan diperbaiki lagi. Otomatis. ha ha ha.

Demikianlah corat-coret singkat saya.

[Catatan: diagram saya sederhanakan. Ada banyak hal yang tidak saya tampilkan, misalnya IDS, NTP, log server, SIEM, monitoring, redundansi, dll.]

Untuk aplikasi. Nanti ya. Saya mau ngajar dulu.

Update: versi video dari tulisan ini sudah tersedia di YouTube.

Sistem informasi (berbasis) Internet


Pentingnya Web KPU Bagi Kita Semua

Belakangan ini ada banyak opini, ajakan, tulisan yang salah. Ajakannya adalah untuk merusak web KPU. Wah ini salah sekali. Lebih salah dari salah.

Begini …

Pertama – dan yang paling utama – adalah hasil pemilihan umum yang resmi adalah hasil perhitungan secara manual. Titik. Itu dulu yang kita pegang. Hasil lain – apapun – tidak ada dasar hukumnya. Dahulu saya ingin agar data elektronik hasil pemilu dapat dianggap sah, tetapi landasan hukumnya tidak ada. Kami meneliti e-Voting. Sudah ada banyak mahasiswa S2 dan S3 saya yang meneliti di bidang ini. Namun secara hukum, untuk pemilu, ya sah adalah perhitungan manual.

Lantas apa hubungannya dengan web KPU? Kalau web KPU dirusak, ya tidak ada pengaruhnya. Lah yang dihitung adalah perhitungan manual. Iya, kertas yang kita coblos itu. Itu yang sahnya. Lha mbok data di web KPU mau diubah seperti apapun ya bakalan tidak pengaruh.

Kedua, justru web KPU itu kita butuhkan untuk memastikan bahwa KPU kerjanya benar. Kita dapat menguji apakah data yang ada di KPU sama dengan data yang ada di TPS kita. Kesalahan memasukkan data dapat terjadi. Perhatikan bahwa para petugas-petugas di lapangan bekerja keras, berjibaku menunaikan tugasnya. Bahkan ada yang bertugas lebih dari 24 jam. Kelelahan. Tentu saja ada kemungkinan salah menghitung atau salah melakukan data entry. Maka keberadaan web KPU dan kejelian mata kita untuk mendeteksi kesalahan dan melaporkannya kepada mereka. Itu akan menjadi umpan balik (feedback) bagi mereka untuk melakukan check & recheck.

Kalau web KPU dirusak, maka kita tidak punya kesempatan untuk ikut mengawasi. Upaya merusak web KPU itu menurut saya merupakan kejahatan kriminal yang harus dipidana. Maka menjaga web KPU merupakan tugas kita semua. Tugas seluruh warga Indonesia. Bagi yang melakukan pengrusakan, cabut saja kewarganegaraannya! Jika Anda melihat orang yang melakukan pengrusakan web KPU, tegur dan/atau laporkan ke Polisi. Sanggupkah kita melakukan tugas ini? Bersama-sama, kita pasti bisa! Mosok tidak bisa sih? Malu-maluin. Sini …

Khusus untuk Pemilu 2019, link kepada hasil perhitungan (sementara) ada link berikut ini. (Gunakan untuk memantau hasilnya ya. Jangan dirusak.)

https://pemilu2019.kpu.go.id/#/ppwp/hitung-suara/

sumber gambar


Aturan Lokasi Data

Salah satu yang didobrak oleh pemanfaatan teknologi informasi adalah batasan ruang dan waktu. Sekarang sulit untuk mendefinisikan ruang dan waktu untuk hal-hal yang terkait dengan aplikasi atau layanan yang menggunakan teknologi informasi. Sebagai contoh, sebuah perusahaan di Indonesia menggunakan layanan dari perusahaan Singapura yang memiliki pusat data (data center) di Amerika. Klien (nasabah) dari perusahaan itu warga negara Perancis yang sedang berada di Inggris. Ketika terjadi transaksi, hukum (aturan) mana yang mau dipakai? Indonesia? Singapura? Amerika? Perancis? Inggris?

Sekarang tambah lebih rumit lagi dengan keberadaan layanan “cloud”, yang pada prinsipnya kita tidak perlu tahu lagi lokasi fisik keberadaan data (atau server) kita. Contoh sederhananya adalah kalau kita membuka email kita di Gmail, sebetulnya secara fisik itu data kita berada dimana ya? (Ini belum membicarakan soal backup dan disaster recovery center / DRC.)

Secara bisnis, keberadaan layanan seperti cloud itu memudahkan (dan bahkan lebih murah). Namun secara hukum agak sulit. Sebagai contoh, kalau kita memiliki data transaksi yang bersifat rahasia dan data tersebut secara fisik berada di negara lain, maka akan sulit ketika terjadi masalah atau sengketa. Pengadilan, misalnya, meminta data transaksi tetapi negara dimana data tersebut secara fisik berada tidak memperkenankan datanya diberikan ke pihak lain (aturan privasi di negara tersebut, misalnya). Maka data tidak tersedia. Inilah sebabnya peraturan di berbagai negara (termasuk Indonesia) mewajibkan letak data secara fisik di negaranya.

Di satu sisi, ini dapat “merugikan” secara bisnis. Layanan penyimpanan data di luar negeri boleh jadi lebih murah. Namun, dilihat dari kacamata keamanan (sebagaimana diuraikan di atas), ini bermasalah. Jika kita memilih keamanan (dan sovereignty) dari data kita lebih penting, maka peraturan yang mengharuskan letak data secara fisik harus di Indonesia.

Tambahan lagi adalah pendekatan ini juga menghidupkan bisnis terkait di Indonesia. Keberpihakan ini sangat penting di era persaingan yang kurang seimbang ini. Negara lainpun melakukannya.

Pendapat saya, untuk saat ini lebih baik letak data secara fisik harus berada di Indonesia.

Mengajarkan Cyber Security

Minggu lalu saya diminta untuk memberikan presentasi tentang cyber crime (yang akhirnya saya buat lebih umum menjadi cyber security) kepada siswa SMP, SMA, guru-guru dan orang tua di Al Izhar Jakarta. Baiklah. Ini merupakan tantangan tersendiri karena biasanya pendengar presentasi saya adalah mahasiswa.

Beberapa hal utama yang saya sampaikan adalah tentang privasi dan hoax. Bagaimana kita harus menjaga privasi kita dan berbagai kemungkinan serangan terhadap pencurian data pribadi kita. Sementara tentang hoax adalah kita harus MAU mencari informasi dan banyak membaca. (Kata MAU memang sengaja saya tebalkan karena masalahnya bukan bisa atau tidak bisa melainkan mau atau tidak mau.)

Secara umum acaranya berjalan lancar. Sayangnya saya tidak banyak mengambil foto. Maklum, susah kan menjadi pembicara dan mengambil foto.

IMG_20180928_094643 kids
kids are always kids

Foto di atas adalah foto siswa SMP. Bagaimana kalau guru-gurunya berfoto? Sama saja. ha ha ha.

guru-al-izhar_0001

Semoga apa yang saya presentasikan dapat bermanfaat bagi semuanya.

Source Code Versioning & Security

Dalam kuliah “Software Security” yang saya ajarkan minggu lalu, kami berdiskusi mengenai topik “source code versioning” dan “security“. Apa kaitannya keduanya? Adakah kaitannya?

Source code versioning adalah sebuah kegiatan dalam pengembangan perangkat lunak. Pada awalnya pengembangan perangkat lunak dilakukan secara serampangan. Tidak ada metodologi. Pokoknya asal jadi saja. Salah satu masalah yang muncul adalah ketidakjelasan versi yang digunakan. Misal, di sistem produksi ada masalah dengan perangkat lunaknya. Dia menggunakan versi 1.1. Sementara itu di bagian pengembangan, perangkat lunaknya sudah sampai ke versi 1.7. Agak sulit menentukan masalah karena ada perbedaan versi. Masalah lain juga dapat terjadi ketika terjadi upgrade. Misal, perangkat lunak dari versi 1.1 diperbaharui menjadi versi 1.3 kemudian diperbaharui lagi ke versi 1.7. Ternyata ada masalah di versi 1.7, maka perangkat lunak harus dikembalikan ke versi sebelumnya. Tanpa menggunakan versioning, ini akan sulit dilakukan.

Saat ini ada banyak sistem source code versioning ini. Yang paling terkenal saat ini adalah Git.

Mari kita sekarang membahas topik utamanya; hubungan antara code versioning ini dengan security. Dalam diskusi yang kami lakukan, kami belum menemukan hubungan atau alasan yang dapat diterima dengan mudah bahwa code versioning itu mendukung security. Yang kami temukan adalah alur seperti ini:

Pengembangan perangkat lunak sangat disarankan (harus?) menggunakan code versioning. Karena code versioning ini digunakan, maka hal-hal yang terkait dengan itu harus aman (secure). Kendali-kendali keamanan apa saja yang sudah diterapkan?

Itu yang baru dapat kami utarakan.