Semarang (ANTARA) - Zoom, perusahaan Amerika Serikat yang menyediakan aplikasi konferensi video, kemungkinan tidak menyangka penggunanya mencapai ratusan juta orang di tengah pandemik Coronavirus Disease 2019 (COVID-19).
Pengguna aplikasi Zoom kian hari kian bertambah seiring dengan kebijakan sejumlah perusahaan maupun instansi pemerintah yang membolehkan karyawan/pegawai bekerja dari rumah atau work from home (WFH) pada masa pendemik COVID-19. Ditambah lagi, sekolah dan perguruan tinggi menerapkan proses belajar mengajar secara daring, aplikasi ini pun kian familier.
Tidak hanya untuk keperluan bekerja bagi pegawai swasta, karyawan badan usaha milik negara (BUMN), maupun aparatur sipil negara (ASN), aplikasi Zoom ini sempat menjadi media untuk menggelar pertemuan secara daring, termasuk rapat online Dewan Teknologi Informasi dan Komunikasi Nasional (Wantiknas) pada tanggal 16 April 2020.
Pada saat rapat virtual itu muncul video porno. Aksi penyusupan di tengah telekonferensi via Zoom (zoombombing) itu mendapat respons dari pakar keamanan siber dari CISSReC Dr. Pratama Persadha, Kamis (16/4) malam. Dia lantas memandang perlu aplikasi lokal yang aman guna mencegah zoombombing.
Sebenarnya, situs www.telkomsel.com pada tanggal 22 Desember 2019 telah memberi tahu kepada publik bahwa PT Telekomunikasi Indonesia Tbk. (Persero) bersama anak usahanya, PT Telkomsel, meluncurkan layanan CloudX. Aplikasi ini serupa Zoom yang akan memfasilitasi para pekerja melakukan rapat secara daring.
Telkomsel mengklaim provider telekomunikasi pertama di Indonesia yang menyediakan virtual PABX melalui layanan CloudX.
Situs itu juga menyebutkan bahwa implementasi CloudX juga dapat menumbuhkan produktivitas karyawan dengan meningkatkan kolaborasi antarkaryawan karena layanan tersebut dapat diakses dari berbagai macam medium, mulai dari deskphone, perangkat mobile, hingga laptop atau komputer jinjing. Informasi lebih lanjut dapat diakses melalui tsel.me/cloudx.
Apakah aplikasi CloudX ini bakal menggeser Zoom setelah peretas melakukan zoombombing? Itu semua bergantung pada kepiawaian penyedia aplikasi tersebut dalam memberi kenyamanan kepada penggunanya dari aksi penyusupan ketika mereka tengah melakukan telekonferensi.
Kejadian berulang bakal meruntuhkan tingkat kepercayaan pengguna terhadap layanan tersebut. Apalagi kasus yang sama menimpa pada orang penting di negeri ini, seperti tayangan video Wakil Presiden RI Ma'ruf Amin ketika menjadi pembicara dalam Webinar Nasional tentang "Ekonomi Syariah di Indonesia: Kebijakan Strategis Pemerintah menuju New Normal Life".
Dalam webinar yang diselenggarakan Universitas Islam Negeri (UIN) Maulana Malik Ibrahim (Maliki) Malang, Kamis (4/6), gambar Wapres Ma'ruf Amin terdapat coretan dengan tinta merah, serta muncul kalimat yang tidak sesuai dengan materi seminar, yakni gak ada.
Asisten Deputi Komunikasi dan Informasi Publik (KIP) Sekretariat Wakil Presiden Rusmin Nuryadin menyesalkan adanya gangguan teknis pada saat video Wapres Ma'ruf ditayangkan di webinar.
Rusmin, Kamis (4/6) malam, menjelaskan bahwa taping (perekaman) video itu pada hari Rabu (3/5) karena Wapres tidak bisa mengikuti webinar secara daring pada hari Kamis. Pada hari yang sama Ma'ruf Amin menghadiri rapat terbatas (ratas) dengan Presiden.
Rusmin, yang turut menjadi peserta webinar tersebut, mengatakan bahwa kesalahan tayangan video tersebut seharusnya menjadi tanggung jawab penyelenggara karena pihak KIP Setwapres telah mengirimkan rekaman video Wapres Ma'ruf untuk keperluan webinar.
Juru Bicara Wapres Masduki Baidlowi juga angkat bicara terkait dengan zoombombing ini. Bahkan, dia meminta UIN Maliki Malang untuk menyelidiki sebab terjadinya gangguan dan kesalahan teknis pada tayangan video Wapres. Namun, hal ini dibantah Rektor UIN Maliki Malang Abd. Haris.
"Bukan (kesalahan teknis dari UIN)," kata Haris dalam pesan singkatnya kepada ANTARA di Jakarta, Kamis (4/6) malam.
Haris telah meminta stafnya untuk mengklarifikasi langsung kepada perusahaan telekomunikasi Zoom.us yang menyediakan platform untuk webinar tersebut. Hal ini agar mendapatkan kejelasan apakah betul ada yang sengaja mengganggu dan siapa yang melakukannya.
Sebelumnya, gangguan berupa interupsi dalam Zoom meeting pernah dialami Menteri Desa, Pembangunan Daerah Tertinggal, dan Transmigrasi (Mendes PDTT) Abdul Halim Iskandar, Jumat (29/5).
Ketika dia sedang melakukan konferensi pers, ada interupsi tidak dikenal atau zoombombing berupa gambar jari tengah dan tulisan fu*k.
Zoombombing yang dialami Abdul Halim itu berbeda dengan yang terjadi di Webinar Nasional UIN Maliki Malang. Saat gangguan terjadi, Wapres Ma'ruf Amin tidak sedang berpartisipasi dan berpidato secara live dalam Zoom meeting. Wapres Ma'ruf menyampaikan pidatonya melalui video yang telah direkam di rumah dinas wapres, Jakarta, Rabu (3/5).
Ma'ruf Amin memiliki akun Zoom yang biasa untuk telekonferensi dengan Presiden Joko Widodo, rapat internal, dan wawancara dengan wartawan Istana Wapres RI. Namun, pada webinar nasional, Ma'ruf Amin tidak turut bergabung karena sedang mengikuti ratas bersama Presiden Jokowi.
PR Zoom
Aksi penyusupan di tengah telekonferensi via Zoom dalam webinar di UIN Maliki Malang menunjukkan aplikasi ini punya kerawanan karena penggunanya belum memprioritaskan keamanan. Di lain pihak, kata pakar keamanan siber Pratama Persadha, faktor keamanan ini menjadi pekerjaan rumah (PR) besar bagi Zoom.
Sebelumnya, lebih dari 500.000 akun Zoom, termasuk yang berbayar, diperjualbelikan di dark web (web gelap). Bahkan, banyak di antaranya adalah akun yang dimiliki oleh kalangan pemerintahan dan korporasi besar.
Zoom sendiri sudah mendapatkan berbagai kritikan atas keamanan sejak awal 2020. Oleh karena itu, pakar keamanan siber Pratama Persadha menyarankan agar jajaran pemerintahan, terutama Ring 1 Presiden, menggunakan aplikasi video conference yang lebih aman.
"Sebaiknya membuat aplikasi sendiri. Badan Siber dan Sandi Negara (BSSN) bisa memberi solusi terkait dengan hal ini," tutur Pratama yang pernah sebagai pejabat Lembaga Sandi Negara (Lemsaneg) yang kini menjadi BSSN.
Para peretas dan pembeli akun Zoom, kata Pratama, sering menggunakannya untuk zoombombing, sebuah aksi yang secara tiba-tiba masuk ke meeting dan membuat kekacauan, baik mengirimkan gambar, file berbahaya, maupun mengacaukan dengan cara lainnya.
Pratama yang juga Ketua Lembaga Riset Keamanan Siber dan Komunikasi CISSReC (Communication and Informatian System Security Research Center) mengakui kemudahan pemakaian Zoom membuatnya lebih cepat daripada Google Meet maupun CISCO Webex atau bahkan Microsoft Team.
Apalagi, aplikasi ini tanpa perlu bayar dan tanpa perlu melakukan login maupun registrasi, setiap orang sudah bisa melakukan meeting secara daring. Namun, di sinilah letak ketidakamannya.
Selain itu, Zoom tidak secara dalam mengaplikasikan keamanan berbasis enkripsi AES-256. Mereka tidak menggunakannya untuk model teknologi end to end encryption (E2E), atau hanya menggunakan TLS (transport layer security) yang merupakan update (memperbarui) teknologi dari SSL fitur enkripsi yang sering digunakan pada website.
Padahal, kata dosen Etnografi Dunia Maya pada Program Studi S-2 Antropologi Universitas Gadjah Mada (UGM) Yogyakarta ini, Zoom adalah aplikasi untuk berkomunikasi. Oleh sebab itu, perlindungan dengan model E2E lebih diperlukan.
Zoom sendiri meski sempat menyangkal, kata Pratama, sang CEO akhirnya mulai mengakui kelemahan mereka di sektor keamanan. Mereka juga terlihat kaget karena tiba-tiba dipakai ratusan juta orang pada masa pandemik COVID-19.
Prinsipnya sekarang bagi pemilik Zoom ganti password setiap pekan karena sampai sekarang sistem Zoom masih menjadi bulan-bulanan para peretas, terutama fitur chat-nya yang menjadi pintu masuk para peretas. Hal ini karena proses developing yang belum sempurna.
Pratama lantas memberi tips agar hal semacam ini tidak terjadi lagi. Hal ini mengingat sudah beberapa kali rapat di lingkaran Istana terganggu karena pihak ketiga masuk dan mengganggu rapat.
Pertama, pengguna harus develop sistem video conference (vcon) yang private. Servernya buat dalam negeri, kemudian anak bangsa ini yang mengelola sendiri.
Kedua, jangka panjangnya Indonesia harus mampu membuat platform vcon ini secara lokal. Bukan hanya platform vcon, melainkan juga media sosial (medsos) dan chat. Dalam hal ini, Indonesia harus mandiri.
Ketiga, solusi jangka pendeknya dengan menggunakan platform yang belum ada isu celah keamanannya yang cukup krusial, misalnya, Google Meeting, Microsoft Team, atau Cisco Webex.
Alasan Zoom
Penyedia aplikasi konferensi video Zoom mengungkap alasannya tidak menyertakan fitur utamanya, end to end encryption (enkripsi ujung ke ujung) yang sudah ditingkatkan, untuk pengguna gratis atau bukan berbayar.
Dengan tidak mendapatkan fitur keamanan enkripsi ujung ke ujung (E2E), pengguna Zoom gratis masih mungkin komunikasinya tidak seaman pengguna berbayar.
"Kami tidak ingin memberikan itu kepada pengguna gratis karena kami juga ingin bekerja sama dengan FBI, dengan penegak hukum setempat jika beberapa orang menggunakan Zoom untuk tujuan yang buruk," kata CEO Zoom Eric Yuan dikutip dari Phone Arena, Kamis (4/6), seperti yang disiarkan antaranews.com.
Zoom sempat mengalami eksploitasi, salah satunya adalah zoombombing ketika orang yang tidak diundang masuk dan mengganggu rapat. Keamanan Zoom juga menjadi sorotan ketika klaim enkripsi ujung ke ujung yang ditawarkan ternyata merupakan enkripsi antarserver Zoom, bukan antarpengguna.
Enkripsi antarserver masih memungkinkan Zoom untuk mengawasi rapat. Namun, enkripsi antarpengguna atau E2E membuat Zoom tidak dapat melakukan itu lagi sehingga Zoom membatasi ketersediaan standar keamanan untuk mencegah penyalahgunaan.
Konsultan keamanan Zoom, Alex Stamos, juga mencuitkan tentang situasi tersebut. Dia menjelaskan bahwa implementasi E2E membutuhkan tindakan penyeimbang yang sulit.
"Mencoba meningkatkan jaminan privasi sekaligus mengurangi dampak dari penyalahgunaan produk," cuit @alexstamos.
Stamos dalam utas cuitan yang sama: "Jadi, kami harus merancang sistem untuk secara aman mengizinkan host untuk menggelar pertemuan E2E dan untuk secara hati-hati mengomunikasikan jaminan keamanan saat ini kepada host dan peserta. Kami mencari cara untuk meningkatkan ke E2E setelah rapat dimulai, tetapi tidak akan ada penurunan kualitas."
Membatasi enkripsi ujung ke ujung hanya untuk pengguna berbayar bakal membantu. Namun, Zoom juga telah menyatakan komitmennya untuk menyediakan solusi yang lebih komprehensif pada masa depan.
Pernyataan dari Zoom terkait dengan zoombombing ini merupakan peluang bagi Telkomsel untuk terus mengembangkan layanan CloudX sesuai dengan ekspektasi masyarakat Indonesia yang menuju tatanan kehidupan baru pascapandemik COVID-19, terutama menyangkut faktor keamanan dari peretasan.