Jika Usiamu 20-an dan Temanmu Tidak Bahas Hitler Mati di Garut

Segera cari teman baru demi hidup yang lebih baik

Gigip AndreasGigip Andreas / Esai · 13 menit dibaca

Sebulan terakhir ini jagad internet Indonesia sedang ramai membahas kasus kebocoran data. Pemicunya, pertama, Teguh Aprianto menemukan pelanggaran privasi di aplikasi PeduliLindungi (5/8). Lalu peretas dengan nama Bjorka membobol dan menjual browsing history pelanggan IndiHome (21/8). Dan terakhir, ini yang bikin heboh, sepanjang awal September Bjorka melanjutkan aksinya dengan membobol berbagai data dan dokumen negara.

Kabar panas terakhir saat saya menulis ini adalah bocornya data Menkopolhukam Republik Indonesia, Mahfud MD. Bjorka membagikan data pribadi Pak Mahfud ke publik. Dan apa tanggapan Pak Mahfud?

Bnyk yg japri sy bhw data pribadi sy dibocorkan oleh bjorka hacker. Sy tak ambil pusing dan tak ingin tahu. Sebab data pribadi sy bkn rahasia. bs diambil dan dilihat di Wikipedia (Google), di sampul belakang buku2 saya, di LHKPN KPK. Data pribadi sy terbuka, tak perlu dibocorkan.

Begini, Pak Mahfud, okelah jika data pribadi Bapak bukan rahasia. Tapi bukan itu masalahnya. Yang jadi soal jika Bapak menganggap kebocoran data sebagai isu yang tidak penting, bagaimana kami bisa memercayakan keamanan data kami pada Bapak dan kolega-kolega Bapak, hei halo?

Saya kesal, jelas, tapi setelah saya pikir-pikir lagi, jawaban Pak Mahfud sepertinya merupakan pernyataan tipikal yang juga akan dikatakan oleh kita seandainya kita ada di posisi beliau. Berlaku adil adalah salah satu hal tersulit bagi manusia, bukan?

Misalnya, meski saya bukan ahli keamanan siber, saya cukup tahu bahwa Google punya rekam jejak yang suram dalam mengelola privasi. Itu alasan kenapa saya selalu mengaktifkan Do Not Track dan memasang AdBlock di peramban. Tapi pada saat yang sama, bertahun-tahun yang lalu, saya tetap menggunakan Google Analytics di web saya. Tidak ingin dilacak Google tapi diri sendiri melacak orang lain dengan Google. Apa namanya kalau bukan lucu?

Saya baru beralih ke alat lain yang lebih ramah privasi seperti Splitbee pada tahun 2020 setelah mempelajari ruang gema. Dan sejak itu saya mulai mengadopsi pendekatan “bangun solusimu sendiri” dengan alat-alat open source karena saya jadi punya kontrol yang lebih leluasa dan tahu apa yang mereka lakukan di belakang layar. Memang kadang-kadang merepotkan dan kurva belajarnya bisa curam, tapi hasilnya sepadan. Lebih baik bayar dengan waktu dan tenaga jika kamu punya, atau bayar dengan uang jika nilainya masuk akal.

Nah, pertanyaannya, kenapa saat itu saya tetap menggunakan Google Analytics? Jawabannya sama seperti Pak Mahfud (dan mungkin seperti banyak orang lain juga), karena saya tidak merasa rugi. Ya, sekilas, dari sudut pandang pemilik web, kita tidak rugi karena data yang diambil Google adalah milik pengunjung web kita. Tapi jika kita pikir ulang, ketika kita menyerahkan data pengunjung web kita pada Google yang kemudian akan dijual pada entah siapa untuk keperluan entah apa, kita sebenarnya (secara tidak langsung) telah turut menjebak pengunjung web kita dalam ruang gema mereka. Dan dampaknya tidak sesederhana yang kita kira.

Sekarang bayangkan seberapa sering kamu membuka Google Search dan terjebak di web yang memakai Google Analytics. Jika kamu merasa kesulitan menerima perbedaan pandangan atau jadi ingin marah-marah ketika ada yang bilang Adolf Hitler tidak mati di Garut, mungkin salah satu penyebabnya karena kamu terlalu banyak menghabiskan waktu di berbagai layanan yang banyak mengoleksi datamu.


Jadi kini kita tahu bahwa kita hidup di tengah-tengah kecemasan privasi. Data kita rentan disalahgunakan oleh pihak-pihak yang tidak bertanggung jawab. Pemerintah tidak mau ambil pusing, para raksasa yang model bisnisnya bergantung pada iklan juga tidak peduli, dan banyak pemilik web tidak mau repot. Lalu apa yang bisa kita lakukan untuk menolong diri sendiri? Solusi terbaik pertama, tentu saja, dengan tidak punya akun di layanan atau media sosial apa pun.

Tapi kedengarannya itu omong kosong, jadi solusi terbaik kedua adalah:

Rumitkan Kata Sandi

Jangan gunakan tanggal lahir atau tanggal jadian atau tanggal yang menurut Shio-mu bagus. Jangan juga menggunakan kata sandi selucu 123456789 karena, ayolah, ini 2022.

Disarankan untuk memakai campuran antara huruf kecil dan huruf kapital dan simbol, dan kalau memungkinkan, dengan spasi. Beberapa layanan populer seperti Twitter dan Google menerima spasi sebagai karakter kata sandi, beberapa layanan lain tidak. Kapan pun itu diizinkan, gunakan.

// Contoh bagus:
My_Sup3rCO0L [email protected] >_<
 
// Contoh lumayan:
Aqswdefrgthyjukilop99
 
// Contoh lucu:
123456789

Kalau mau lebih ekstrem tapi instan, kamu bisa gunakan layanan pengelola kata sandi. Layanan ini membantu kamu memiliki kata sandi unik untuk setiap layanan daring yang kamu gunakan. Mempunyai kata sandi unik memastikan ketika satu layanan yang kamu gunakan diretas, layanan yang lain aman (karena kata sandinya berbeda).

Apakah harus unik untuk setiap layanan? Ya, bagusnya begitu, tapi kalau merasa terlalu repot, gunakan saja untuk layanan bernilai tinggi seperti Google, Apple, surel, dan hal-hal yang berkaitan dengan rekening.

Gunakan OAuth

Seberapa sering kamu melihat kotak ini?

OAuth

Ketika kamu hendak membuat akun di suatu layanan, biasanya ada pilihan untuk masuk dengan Google, Facebook, Twitter, dan seterusnya. Bentuknya berupa tombol yang bisa kamu klik untuk masuk tanpa harus mengatur kata sandi. Ini namanya OAuth, atau dalam bahasa kita disebut otorisasi.

Berbeda dengan autentikasi (yang kamu harus mengetik kata sandi), yang mana memiliki akses penuh ke akun, otorisasi biasanya hanya memiliki akses untuk tugas-tugas tertentu. Misalnya, kamu memasang plugin Contact Form di blog untuk menerima surel, dan layanan yang kamu gunakan menyediakan opsi “Masuk dengan Google”. Ketika kamu klik tombolnya, layanan itu hanya punya izin untuk mengirim surel ke kotak masuk dan tidak ada yang lainnya.

Itu artinya jika sewaktu-waktu layanan Contact Form yang kamu gunakan entah bagaimana bocor, dan sialnya akunmu termasuk akun yang kena retas, si peretas hanya bisa menggunakan akunmu untuk mengirim surel ke kotak masukmu. Dia tidak bisa membaca, mengirim, atau menghapus, pesan yang ada di surelmu. Dia bahkan tidak bisa masuk ke surelmu. Tapi jika kamu memakai autentikasi yang berarti kata sandimu tersimpan di basis data layanan Contact Form, akun surelmu terancam.

Autentikasi Dua Faktor (2FA)

Ada masanya ketika kita tidak bisa memakai OAuth karena tuntutan verifikasi dari layanan yang kita gunakan, seperti misalnya ketika membuat akun di Twitter dan Google. Untuk mengatasi ini, kamu bisa mengandalkan autentikasi dua faktor. Ini pada dasarnya menambahkan lapisan keamanan di atas kata sandi.

Autentikasi dua faktor bekerja dengan cara meminta informasi tambahan ketika kamu hendak sign in. Informasi itu bisa pertanyaan atau kode unik—umumnya kode unik yang dikirim ke nomor seluler. Dan jika kamu kebagian yang kode unik, kalau bisa, jangan gunakan nomor telepon yang kamu pakai untuk berkomunikasi dengan publik. Orang lain idealnya tidak boleh tahu nomor seluler yang kamu gunakan untuk verifikasi 2FA.

Masalahnya adalah, meskipun autentikasi dua faktor via kode unik ini canggih, jika peretas tahu nomor selulermu, dia juga bisa mencuri kode yang dikirim ke nomormu. Pertimbangkan ini sebelum memilih layanan 2FA yang akan kamu gunakan, dan pastikan kamu mencadangkan semua kode pemulihan yang diberikan selama proses penyiapan.

Gunakan 1.1.1.1 untuk DNS

Oke, namanya mungkin aneh, tapi 1.1.1.1 adalah salah satu layanan DNS (Domain Name System) terbaik yang saya tahu. DNS adalah apa yang di dunia internet setara dengan buku telepon. Mereka membaca nama seperti gipsterya.com sebagai deretan angka yang disebut alamat IP. Secara bawaan, DNS relatif tidak aman. Dalam arti banyak penyedia layanan internet (ISP) melacak dan mencatat data yang mengalir melalui DNS, dan dalam beberapa kasus, mereka menjual data ini ke pengiklan.

Cloudflare merilis layanan DNS yang fokus pada privasi dan kinerja untuk melindungi kita dari ISP dan orang-orang nakal yang mengintip lalu lintas aktivitas kita di WiFi publik. Jadi secara singkat, jika berselancar di internet diibaratkan masuk ke sebuah pesta, dan ISP adalah vendor yang memberi kita tiket, 1.1.1.1 adalah satu set topeng dan jubah hitam yang bisa kita gunakan agar tidak dikenali oleh ISP. Dengan begini, kamu bisa bebas mengambil anggur dan berdansa dan mencium orang yang kamu suka, tanpa khawatir dikenali oleh pemberi tiket.

Penting untuk diingat, 1.1.1.1 bukan VPN. Sementara VPN bekerja dengan cara mengenkripsi data kita dan mengirim data itu ke server yang dikendalikan oleh perusahaan VPN, 1.1.1.1 hanya menangani DNS. Umumnya, ISP yang akan menangani DNS ini, jadi mereka bisa memantau aktivitas kita sebagai gantinya. Tapi ketika kita memakai 1.1.1.1, proses ini ditangani oleh Cloudflare, yang dengan demikian memotong ISP dari rantai.

Alternatif untuk 1.1.1.1 adalah Quad9.

Gunakan VPN

Seperti yang dijelaskan di bagian sebelumnya, VPN, atau jaringan pribadi virtual, berguna untuk mengamankan koneksi internet. Ini bertugas mengenkripsi aktivitas kita sehingga tidak bisa disadap oleh ISP.

Ada banyak layanan VPN di luar sana, dan itulah masalahnya. Beberapa VPN tidak benar-benar aman karena mereka juga menggunakan model bisnis menjual data pengguna, dan beberapa sisanya tidak mampu mengenkripsi dengan baik. Aturan praktisnya, layanan yang baik biasanya menerapkan harga, dan itu bagus karena berarti model bisnis mereka tidak ditopang oleh menjual data pengguna.

Saya sebenarnya bukan pengguna VPN, tapi ini tiga nama yang punya reputasi.

Peramban Ramah Privasi

Terutama jika kamu memakai Chrome. Jadi, pertama-tama, hal yang harus kamu tahu adalah Google mengoleksi data lebih banyak daripada siapa pun. Mereka melakukannya lewat Google Search, Gmail, YouTube, Maps, dan—kejutan—Chrome. Pernah berdoa ingin beli sepatu baru di Twitter lalu melihat-lihat beberapa gambar di Google dan besoknya, ketika menonton YouTube, secara ajaib kamu melihat banyak iklan sepatu? Brutal.

Kamu harus menggunakan peramban yang melindungimu dari pelacakan, sidik jari, dan iklan yang tidak kamu inginkan. Saat ini saya memakai Brave di Android dan Firefox di komputer. Salah satu fitur favorit saya dari kedua peramban ini: mereka bisa memblokir iklan Google AdSense.

Untuk meningkatkan keamanan, kamu juga harus selalu mengaktifkan Do Not Track (untuk mencegah skrip pelacakan seperti Google Analytics), menggunakan koneksi HTTPS, berselancar di mode Incognito ketika hanya menjelajah tanpa perlu sign in, dan memakai mesin telusur yang aman seperti DuckDuckGo (sebagian besar peramban modern punya dukungan konfigurasi untuk ini).

Surel Ramah Privasi

Intinya di sini, kamu harus memakai penyedia surel yang tidak membaca isi pesanmu atau mengumpulkan data percakapanmu supaya mereka tidak bisa menargetkan kamu dengan iklan yang dipersonalisasi.

Itu pertama. Kedua, meski agak repot, ada baiknya minimal kamu punya dua surel. Satu untuk publik dan satu untuk privat. Yang publik digunakan untuk bersosial dan terhubung ke berbagai layanan. Yang privat, sesuai namanya, digunakan untuk kebutuhan sensitif seperti membuka rekening atau mendaftar domain, dan sebagai alamat surel pemulihan autentikasi dua faktor, dan orang lain tidak boleh tahu alamatnya.

Ada banyak ide untuk mengatur kedua surel itu, saya sendiri memilih ini:

  • Domain pribadi hanya untuk surel publik.
  • Surel privat tidak memakai username yang sering saya pakai.
  • Surel publik dan privat berjalan di penyedia yang berbeda.

Dalam hal memilih penyedia, cerita paling horor tentang surel bukanlah ketika mereka membaca isi pesanmu. Bagian terburuknya adalah skenario ketika kamu hanya punya satu surel, lalu suatu hari surelmu terkunci untuk alasan yang tidak kamu pahami. Dan ya, itu bahkan terjadi dengan akun Google dan Apple. Jangan gantungkan semua layanan digitalmu pada satu penyedia.

Selain itu, cari tahu juga lokasi data yang digunakan oleh penyedia. Negara-negara di Eropa (seperti Swiss, Belanda, dan Jerman) terkenal sebagai tempat penyimpanan paling aman, sedangkan negara-negara di Amerika punya beberapa kebijakan privasi yang rawan.

Enkripsi Semuanya

Apa itu enkripsi?

// normal:
Ini adalah teks biasa, non-enkripsi.
 
// terenkripsi:
aj7162gsg71637hsvsjbxms827ba816h

Enkripsi adalah mengubah hal-hal yang tadinya telanjang menjadi deretan huruf dan angka acak. Menariknya, itu bekerja untuk banyak hal, tidak cuma teks. Kamu bisa mengenkripsi pesan, foto, video, audio, dokumen—hampir apa pun.

Jika kamu menggunakan WhatsApp, coba buka obrolan dengan satu orang dan lihat papan teks di bagian paling atas. Di sana ada tulisan “Messages and calls are end-to-end encrypted.” Itu dia. Itu artinya semua pesan dan panggilan yang kamu lakukan di WhatsApp terenkripsi dari ujung ke ujung, yang berarti hanya kamu dan orang yang kamu ajak bicara yang bisa melihat obrolan kalian, sementara pihak WhatsApp tidak bisa, katanya.

Ya, katanya, karena saya tidak yakin. Saya tidak yakin karena WhatsApp milik Meta, dan kita tahu rekam jejak Meta dalam mengelola privasi juga parah. Lebih-lebih, ada banyak cerita tentang akun WhatsApp yang dibajak. Jika kamu punya obrolan yang sensitif, saran saya jangan mengobrol di WhatsApp. Lebih baik di surel yang mengutamakan privasi (dan aktifkan enkripsi).

Sementara untuk data dan dokumen, kamu bisa enkripsi secara manual menggunakan Pretty Good Privacy atau lebih dikenal sebagai OpenPGP. Cara termudah mengatur OpenPGP di Android yang saya tahu (dan masih saya gunakan) adalah OpenKeychain, untuk iOS bisa memakai PGP Everywhere, sedangkan untuk komputer ada segudang cara.

Tinjau Privasi di Media Sosial

Di belakang layar, demi alasan optimasi pengguna dan pengembangan perangkat lunak, media sosial sering mengumpulkan sejumlah besar data tentang kita. Data itu termasuk minat kamu, dengan siapa kamu sering komunikasi, ke mana kamu pergi, apa yang kamu beli, dan masih banyak lagi.

Kalau kamu belum siap meninggalkan media sosial, paling tidak kamu harus meluangkan waktu untuk meninjau keamanan dan privasi akunmu. Mengetahui apa-apa yang mereka koleksi tentangmu mungkin cukup untuk mengurangi kecanduan media sosial, minimal membuatmu lebih berhati-hati dalam memilah apa yang akan kamu bagi.

Orang sering berpikir membuat status di akun yang digembok adalah solusi ampuh untuk mengamankan privasi. Iya, benar, tapi perangkat adalah perangkap. Tahukah kamu apa yang lebih aman daripada bikin status di akun yang digembok? Tidak bikin status sama sekali. Lagi pula jika statusmu tidak ditujukan untuk publik, kenapa tidak curhat di notes saja? Privasi adalah kekuatan.

Belajar tentang Serangan Daring

Phising adalah upaya untuk mendapatkan informasi sensitif kita, seperti kata sandi, dengan cara menyamar sebagai orang atau perusahaan yang dapat dipercaya. Salah satu metode klasik tapi ampuh dalam phising adalah berpura-pura melalui surel dan SMS, yang mana seorang peretas akan memberi tautan ke halaman yang berbahaya, misalnya laman login palsu. Ketika korban mengklik tautan itu dan mengetikkan kata sandi, laman login palsu akan mengirim apa pun yang diketik oleh korban ke peretas.

Dalam beberapa tahun terakhir, phising menjadi lebih canggih dan peretas mulai membuat serangan yang lebih tak terlihat. Kamu harus belajar dasar-dasar phising dan cara mengenali upaya phising. Bukan supaya kamu bisa mengerjai peretas, melainkan agar kamu bisa menyelamatkan diri sendiri.

Orang pintar tidak kebal terhadap phising. Tapi orang waspada bisa menghindarinya.

Perbarui Perangkat Lunak

Kamu tidak harus membeli ponsel pintar terbaru setiap setahun sekali. Rata-rata ponsel pintar bisa bertahan hingga 5 tahun. Apa yang harus selalu kamu perbarui adalah daftar perangkat lunak yang kamu pasang. Karena ketika perangkat lunak mendapat pembaruan, itu juga biasanya meningkatkan keamanan karena para pengembang telah mengatasi bug di versi sebelumnya.

Dan tentu saja, itu juga berlaku untuk hal lain, seperti misalnya web. Jika kamu pengguna WordPress yang dihos mandiri, selalu memperbarui versi WordPress, PHP, tema, dan plugin yang kamu gunakan bisa mengurangi risiko peretasan. Idealnya, terapkan pembaruan segera setelah versi terkini tersedia. Jika kamu punya layanan yang sudah cukup lama tidak memberi pembaruan, sesekali pantau mereka.


Fiuh, ini sudah cukup panjang dan ya, daftar ini tidak lengkap. Masih ada banyak hal yang bisa kamu lakukan untuk meningkatkan keamanan data di internet. Daftar ini cuma dasar, selebihnya bisa kamu pelajari sambil berjalan.

Untuk yang bertanya apakah saya membenci Google, jawabannya tidak. Saya pengguna Android, masih sering buka YouTube, dan punya beberapa mainan di Google Cloud Platform. Saya tidak benci Google, hanya saja saya cenderung menghindarinya. Saya baru memakainya ketika tidak menemukan alternatif yang lebih mudah atau saya cukup yakin bisa mengelola data saya. Di luar itu saya akan menggunakan layanan lain karena Google bukan segalanya.