Tulisan ini mungkin bukan untuk Anda. Tapi, Snowden memperlihatkan bahwa spionase negara-negara maju telah sampai kepada tingkat memprihatinkan. Penyadapan negara terhadap warga negaranya sendiri mempertanyakan sebuah masalah serius: dapatkah demokrasi tetap ada?

Kendati banyak yang berpendapat bahwa saat ini hanyalah pseudo-demokrasi, namun tetaplah demokrasi masih ada dan dipraktikkan. Penyadapan dan interfensi informasi, sayangya, dapat mengancam demokrasi yang secuil itu. Hak-hak manusia untuk memilih jalan hidupnya semakin dipertanyakan. Semua ditentukan oleh penguasa (pemerintah dan korporasi).

Jangan-jangan, akan timbul generasi yang tidak mengenal lagi arti kebebasan karena segala sesuatunya telah ditentukan oleh pemerintah dan korporasi. Ini bisa jadi awal mula titik kepunahan manusia. Pemikiran yang seragam membuat jalan keluar sebuah masalah pun seragam.

Pluralitas manusia menjamin akan ada selalu jawaban alternatif yang siap untuk menjawab. Jawaban-jawaban ini saling menajamkan satu sama lain sehingga menghasilkan jawaban yang semakin sempurna. Itu sebabnya, alternatif akan selalu diperlukan untuk melihat sebuah masalah dari sisi lain.

Mungkin berita ini lebih banyak mengenai Amerika Serikat. Namun, negara-negara lain pun melakukan hal yang sama. Hanya saja, operasi-operasi ini lebih banyak terbuka di Amerika Serikat, terutama semenjak Snowden.

Berikut catatan keamanan yang berhasil saya kompilasi.

Pintu Belakang IPSEC OpenBSD

Berita paling tua tentang keberadaan campur tangan pemerintahan untuk sengaja melemahkan sebuah sistem operasi berada pada tahun 2010 sebelum Snowden. Kala itu sebuah audit kode yang dilakukan menemukan adanya kelemahan dalam kernel IPSEC pada OpenBSD. OpenBSD adalah sebuah varian BSD yang bertujuan untuk keamanan.

Dari hasil penelusuran, diduga kode diinjeksi oleh sebuah perusahaan. Perusahaan ini terletak di Washington DC. Dari hasil investigasi, diduga kode tersebut diinjeksi oleh FBI.

Update on the OpenBSD IPSEC backdoor allegationwithout a ‘hint’ (true or fake), Well, the allegations came without any facts pointing at specific code. At the moment my beliefs are somewhat along these lines: (a) NETSEC, as a company, was in that peculiar near-DC business of accepting contracts to do security and anti-security work from parts of the government.
via Lwn

RSA Sengaja Melemahkan Kriptografinya

Siapa RSA? RSA adalah pemegang paten dari kriptografi RSA, sebuah formula kunci publik-kunci pribadi. Algoritmanya banyak dipakai perusahaan-perusahaan untuk membuat kriptografi keamanan yang diperlukan untuk melindungi data-datanya. Algoritma/formula tersebut juga digunakan pada produk-produk pihak ketiga.

NSA Paid a Huge Security Firm $10 Million to Keep Encryption WeakReuters reports that the NSA paid massive computer security firm RSA $10 million to promote a flawed encryption system so that the surveillance organization could wiggle its way around security. In other words, the NSA bribed the firm to leave the back door to computers all over the world open.

Yahoo!, Google, Microsoft, dan Facebook beritahu Publik tentang data yang diberikan kepada NSA

Perusahaan-perusahaan yang beroperasi di Amerika Serikat terikat Undang-Undang Pengintaian Mata-mata Asing (Foreign Intelligence Surveillance Act). Intinya, UU ini memperbolehkan pemerintah AS untuk meminta data-data pribadi pada perusahaan-perusahaan tersebut. Hal ini dapat dilakukan dengan dalih nasionalisme perlindungan terhadap niat-niat jahat asing termasuk terorisme.

Microsoft, Facebook, Google and Yahoo release US surveillance requestsTens of thousands of accounts associated with customers of Microsoft, Google, Facebook and Yahoo have their data turned over to US government authorities every six months as the result of secret court orders, the tech giants disclosed for the first time on Monday.

Kriptografi lemah SSL pada Apple

Auditor menemukan kelemahan pada implementasi SSL Apple sehingga orang dapat melewati satu bagian dari enkripsinya. SSL dipakai untuk mengenkripsi sandi dan data-data penting sebelum dikirim melalui jaringan. Hal ini dapat mengakibatkan pihak tak berkepentingan dapat mengeksploitasi sistem untuk mencuri data.

Apple’s #gotofail weekendIn case you spent your weekend watching closing ceremonies and not reading tech news, there was a lot of buzz around a security problem in Apple products. On Friday, Apple released an emergency update for iOS7 that fixed a severe vulnerability in their SSL/TLS implementation on the iPhone.

Kode Verifikasi GnuTLS Rusak

Redhat menemukan pada GnuTLS versi apa pun bahwa fungsi validasi sertifikat telah terkompromi sehingga dapat membuat verifikasi sertifikat dilewati. Hal ini membuat sebuah aplikasi menjadi tak aman.

Critical crypto bug leaves Linux, hundreds of apps open to eavesdroppingHundreds of open source packages, including the Red Hat, Ubuntu, and Debian distributions of Linux, are susceptible to attacks that circumvent the most widely used technology to prevent eavesdropping on the Internet, thanks to an extremely critical vulnerability in a widely used cryptographic code library.

 

Kebobrokan GnuTLS sudah diduga sejak lama. Sayangnya, tidak banyak orang yang tahu. Karena kode sumber yang terbuka, akhirnya banyak orang yang melihat dan sudah mendengar.

Untungnya, audit terbuka Redhat menghasilkan sebuah keputusan yang luar biasa. Produk tersebut diperbaiki. Sambil malu, pengembang GnuTLS menyarankan untuk pengguna memperbaharui versi GnuTLS mereka ke versi 3.2.12 atau 3.1.22.

GnuTLSCVE-2014-0092 Certificate verification issue A vulnerability was discovered that affects the certificate verification functions of all gnutls versions. A specially crafted certificate could bypass certificate validation checks. The vulnerability was discovered during an audit of GnuTLS for Red Hat. Who is affected by this attack? Anyone using certificate authentication in any version of GnuTLS.
via Gnutls

Kata Terakhir

Menjual keamanan seperti menjual keledai mati. Semua orang membayar mahal untuk itu hanya demi rasa aman. Rasa aman yang semu ini sering kali menjadi justifikasi orang untuk lengah. Ya, kalau pun teknologi memang kuat, belum tentu social engineering tidak dapat dilakukan. Keamanan tetaplah sesuatu yang dapat dikompromikan bila dengan pihak ketiga.

Kebanyakan dari apa yang saya ceritakan ini sudah diperbaiki. Hal ini karena kode-kode sumber yang terbuka membuat banyak orang tahu. Keterbukaan ini membuat produk-produk tersebut diperbaiki. Entah bagaimana dengan perangkat lunak yang tidak menyertakan kode sumber.

Salah satu motivasi saya dalam menggunakan FOSS adalah audit kode. Banyak orang ditakut-takuti dengan bilang bahwa kode yang terbuka membuat orang banyak tahu. Namun, justru kode yang terbuka menjamin integritas implementasi. Alternatif yang berbeda menyebabkan setiap orang dapat menggunakan implementasi yang berbeda.