Telset.id, Jakarta – Dalam dunia digital saat ini, kita “dikelilingi” oleh perangkat pintar atau perangkat IoT (Internet of Things). Produsen barang sehari-hari seperti mainan, furnitur, kulkas, AC, mobil, dan perangkat medis semakin banyak yang menambahkan fitur “pintar” agar menjadi lebih menarik.
Membuat perangkat pintar memang tengah menjadi tren, tapi terkadang sering melewatkan masalah keamanan. Para produsen dibiarkan membuat standar perusahaannya sendiri yang tidak selalu menjadikan keamanan sebagai prioritas utama. Perangkat pintar yang “tidak aman” ini kemudian dikirimkan ke seluruh dunia.
Michal Salat, Director of Threat Intelligence Avast, mengatakan, bahwa perangkat pintar tidak memiliki pengamanan yang cukup, karena dapat mudah diretas menggunakan sejumlah metode.
Modus peretasan kini semakin beragam, mulai dari yang mudah seperti pembobolan kredensial login, hingga yang lebih canggih seperti beragam teknik eksploitasi atau rekayasa balik firmware atau sistem operasi serta mendeteksi kerentanan hari ke 0.
Layanan dan exploit yang dapat digunakan untuk meretas perangkat IoT dijual di darknet, dan sebagai akibatnya, ada semakin banyak orang yang dapat menggunakannya. Peretas juga terus mencoba menyusup ke jenis jaringan dan bentuk komunikasi baru yang dipakai di perangkat IoT agar dapat meretasnya.
Cara termudah meretas perangkat pintar adalah dengan membobol kata sandi atau mencoba mendapatkan akses ke perangkat menggunakan kredensial login default perangkat tersebut. Botnet, yang dapat disewa di darknet, membuat metode peretas amatir (script kiddie) ini mudah dipakai untuk menginfeksi ribuan perangkat secara bersamaan.
Sebagian besar produsen memakai kredensial login default yang sama untuk seluruh perangkat buatannya. Alih-alih membuat kata sandi yang unik untuk setiap perangkat, guna memangkas biaya produksi.
Salah satu ancaman terbesar terhadap IoT tahun lalu adalah botnet Mirai yang menginfeksi ribuan perangkat pintar, melalui kredensial login default, untuk melancarkan serangan DDOS berskala besar.
Karena kode sumber (source code) Mirai tersebar luas, hampir semua orang dapat menjalankan botnet IoT-nya sendiri atau menulis ulang kodenya. Akibatnya, banyak bermunculan mutasi Mirai.
Cara lainnya untuk menginfeksi perangkat IoT jauh lebih rumit dan membutuhkan biaya dan oleh karena itu tidak umum dilakukan. Sebagai contoh, rekayasa balik firmware atau sistem operasi memerlukan pengetahuan teknik yang mendalam dan waktu yang lebih banyak. 0-day exploit yang memanfaatkan kerentanan memerlukan biaya ribuan dolar.
Sedangkan yang harus dilakukan untuk mengamankan perangkat IoT secara drastis adalah dengan memudahkan konsumen mengubah kredensial login perangkat pintarnya. Untuk mendorong konsumen mengubah kredensial login perangkat IoT-nya, produsen dapat mewajibkan konsumen membuat kata sandi yang unik dan kokoh saat mengatur perangkat untuk pertama kali.
Hal tersebut jelas tidak dapat diterapkan pada segala kondisi, tetapi perubahan kredensial login default sudah cukup untuk mengurangi jumlah perangkat yang “tidak aman” secara drastis dan mempersulit peretas amatir, peretas “abal-abal”, serta bot pencarian sederhana yang mencoba mengakses perangkat IoT.
Di samping itu, produsen perangkat IoT dapat memberi perangkat buatannya kata sandi yang acak dan unik untuk disertakan bersama perangkat saat pengiriman ke pelanggan.
Mengamankan perangkat pintar tidak hanya akan melindungi privasi seseorang dan membantu pencegahan serangan DDoS, tetapi juga mencegah terjadinya hal yang lebih buruk.
Sudah ada uji serangan terhadap keamanan (proof-of-concept) yang menunjukkan bahwa jaringan IoT dapat terinfeksi secara keseluruhan melalui serangan terhadap satu perangkat saja, seperti lampu bohlam atau sensor lalu lintas.
Uji serangan ini menunjukkan besarnya masalah yang disebabkan kerentanan perangkat pintar dan luasnya kerusakan yang disebabkan ketika perangkat tersebut dikendalikan orang yang tidak bertanggung jawab. Bayangkan apa yang terjadi ketika peretas mengendalikan alur lalu lintas atau mematikan lampu di seluruh kota.
Produsen perangkat pintar harus menjalin kerja sama dengan ahli keamanan untuk memastikan disertakannya lapisan keamanan di perangkat dan menjalankan tes penetrasi atas produknya secara berkala, ujar Salat.
Salat juga menambahkan, sisi gelap Perangkat Internet of Things (IoT) bisa berwujud banyak, mulai dari mesin pembuat kopi hingga jam kebugaran dan termostat yang diciptakan untuk membuat hidup kita lebih nyaman, tetapi bagaimana jika barang-barang tersebut menjadi jahat?
Memang sulit dibayangkan, tetapi perangkat tak berdosa yang kita sambut dengan hangat dalam hidup kita tersebut dapat terinfeksi atau diretas dan menunjukkan sisi gelapnya.
Perangkat IoT dapat dipaksa untuk menjadi bot yang dengan membabi buta mengikuti perintah melakukan tindak kejahatan sebagai bagian dari botnet. Botnet adalah jaringan perangkat terinfeksi yang disalahgunakan oleh penyerang untuk menjalankan aktivitas seperti melakukan penyerangan DDoS, penambangan Bitcoin, dan penyebaran email spam.
Hampir semua perangkat yang tersambung ke internet dapat diinfeksi dan menjadi bagian dari botnet. Perangkat IoT seringkali direkrut menjadi bot karena perangkat tersebut lemah dari sisi keamanan dan mudah menjadi target infeksi.
Saat ini, sebagian besar botnet dimanfaatkan untuk melancarkan serangan DDoS dan menambang mata uang digital (cryptocurrency), yang bahkan pernah kita saksikan berjalan di DVR. Tetapi botnet tersebut mampu membuat ratusan ribu perangkat IoT menjalankan hal yang jauh lebih parah.
Botnet dapat mengirimkan pesan spam, mulai dari email phishing berisi malware yang bisa berujung pada pencurian uang atau kata sandi hingga skema pump and dump yang mencoba meyakinkan orang untuk membeli saham dari perusahaan tertentu.
Botnet dapat juga menjalankan kampanye click-jacking, menyebarkan iklan palsu, dan, yang lebih parah, menginfeksi perangkat IoT lain.
Uji coba serangan ini sekilas terkesan biasa saja, tetapi kesan itu akan segera berubah ketika kita memikirkan adanya fakta bahwa kota pintar akan dikembangkan dalam beberapa tahun ke depan, kota-kota di seluruh dunia akan sepenuhnya tersambung.
Apabila perangkat dan sistem IoT ini tidak mendapatkan pengamanan yang mencukupi, peretas dan bahkan teroris dapat mengambil alih kendali atas kota-kota tersebut dan menimbulkan kekacauan secara menyeluruh. Misalnya, mengendalikan semua lampu atau alur lalu lintas. [MS/HBS]