Karena bukan cuma kutu yang susah dibasmi

…dan karena hanya aib yang bisa personal dan rahasia

Tidak ada hubungan antara ilustrasi serangga di atas dengan artikel yang saya tulis. Biar terlihat keren saja, sih.

Baru-baru ini seorang rekan kerja, Yohanes Nugroho, yang beruntung punya banyak waktu luang dan pandai memanfaatkannya, melakukan riset personal dengan fokus pada aspek keamanan sejumlah aplikasi mobile yang dikembangkan dan populer digunakan di Indonesia. Sejak pertengahan tahun 2015, ia melakukan aktivitas tersebut dan sebagian besar temuan yang dirasa penting telah diinformasikan ke pihak pengembangnya.

Praktek tersebut sebenarnya sudah sangat umum di dunia keamanan informasi namun masih tergolong baru di Indonesia. Tanggapan dari para pengembang terhadap informasi kelemahan yang ditemukan pun beragam, beberapa diantaranya ditambah dengan sejumlah pengalaman personal saya selama hampir dari dua dekade terjerumus di bidang tersebut, sangat menarik untuk dibahas lewat tulisan ini.

Soal aspek keamanan data dan privasi, mungkin akan saya bahas lain waktu. Mungkin. PAHAM?


Celah keamanan adalah aib

Sebagian besar pengembang merasa sudah melakukan yang terbaik sejalan dengan kemampuan mereka miliki dan bayaran yang mereka terima. Sehingga jika ada yang melaporkan kekurangan terhadap hasil pekerjaan mereka, seringkali dianggap sebagai corengan di wajah yang melabeli mereka tidak kompeten melakukan tugas dan tanggung jawab yang diberikan, terlebih jika informasi tersebut dibuat publik.

Cukup bisa dimengerti mengapa hal tersebut bisa terjadi: ketidakmampuan menanggapi kritik.

Tak kenal maka tak sayang

Peribahasa tersebut ternyata berlaku pula untuk urusan ini. Apabila informasi kelemahan dilaporkan oleh seseorang yang tidak dikenal oleh para pengembang, atau seseorang yang sengaja memilih menjadi anonim, maka besar kemungkinan informasi tersebut akan dianggap angin lalu. Sedikit sekali informasi yang disampaikan secara anonim ditanggapi dengan baik, itu pun umumnya dengan nada sinis dan dipandang sebelah mata.

Beberapa pengembang ada yang memilih hanya menanggapi laporan celah keamanan yang disampaikan oleh individu atau organisasi yang sudah memiliki kredibilitas.

Ada pula yang konyol dengan mengajukan gugatan hukum terhadap individu atau organisasi yang melaporkan celah keamanan. Ini pernah terjadi di Indonesia, hanya saja tidak dipublikasikan dan masalah diselesaikan dengan musyawarah. Bukan, bukan saya, jika itu pertanyaan anda.

Tambahan pekerjaan di luar lingkup

Banyak pengembang, terutama pihak ketiga, yang ternyata tidak menyertakan aspek keamanan dalam lingkup pekerjaannya dan menganggap aspek tersebut bukanlah tanggung jawab mereka.

Setiap informasi celah keamanan yang diterima tentunya akan dianggap menambah pekerjaan pada daftar panjang pekerjaan mereka. Banyak dari para pengembang tersebut ternyata sulit menentukan prioritas, umumnya karena susah berargumen dengan atasan atau divisi lain di perusahaan.

Ada pula pengembang yang sudah pasrah dihujani banyaknya laporan celah keamanan dan memilih untuk mengambil risiko dengan mengabaikan laporan-laporan tersebut.

Sudah pernah diaudit pihak ketiga

Tanggapan sudah pernah diaudit biasanya dilontarkan oleh pengembang atau organisasi yang berskala menengah dan besar karena sejumlah regulasi pemerintah mewajibkan mereka untuk memiliki proses audit keamanan sebelum produk mereka dirilis ke publik.

Hanya saja, seperti yang pernah saya tulis, kegiatan audit keamanan seringkali dianggap hanya persyaratan di atas kertas demi mendapatkan lampu hijau dari regulator. Tidak cuma itu, kesalahan memilih pihak ketiga untuk melakukan audit pun berakibat fatal karena hanya akan memberikan ilustrasi semu postur keamanan.

Sudah pernah diaudit pun tidak sepenuhnya menjamin postur keamanan secara menyeluruh. Kegiatan audit keamanan biasanya dilakukan dengan lingkup yang relatif terbatas oleh waktu maupun batasan sistem. Hal tersebut biasanya menyesuaikan anggaran dan waktu. Dua hal tersebut tentunya tidak akan bisa ditandingi oleh individu atau organisasi yang secara “sukarela” melakukan kegiatan yang sama. Mereka punya waktu dan biaya yang tidak terbatas untuk coba-coba terhadap sistem yang sudah dirilis, dan juga tidak punya kewajiban untuk melaporkannya pada pengembang atau pemilik produk. Segala bentuk penyalahgunaan yang berakibat buruk pada perusahaan atau produk, tentunya menjadi risiko.

Kelakuan kompetitor

Ada pula anggapan bahwa informasi celah keamanan yang dilaporkan (terutama yang dilaporkan ke publik) adalah tindakan kompetitor untuk menjatuhkan nama pengembang.

Memang terdengar agak konyol, tapi itu pernah saya dengar sendiri. Parahnya, pengembang tersebut juga menganggap informasi yang dilaporkan bukanlah yang sifatnya penting, karena jika memungkinkan untuk melakukan tindakan fraud, tentunya akan disimpan sendiri.

Tidak salah juga sih, tapi saya cuma bisa tersenyum saja.


Terakhir, jika anda adalah pengembang atau pemilik produk yang baru akan dirilis ke publik. Siapkan mental anda sebaik-baiknya, shits happen everyday!

Jika anda adalah pengembang atau yang bertanggungjawab terhadap sebuah produk dan mendapatkan laporan informasi celah keamanan yang ternyata sudah terlebih dulu disampaikan ke publik, segeralah berterimakasih pada pelapor, berikan imbalan sepadan jika mampu, mengakui kelemahan dan berjanji untuk mengatasinya secepat mungkin. Tidak perlu memberikan jaminan apa pun, karena konsumen anda (dan juga publik) bukanlah Pegadaian!

Jika anda adalah peneliti keamanan informasi pemula, artikel ini bisa menjadi referensi bagaimana mencari celah keamanan dan melaporkannya.