NSA, Microsoft, dan Israel

NSA, Microsoft, dan Israel. :: Terimakasih kepada Edward Snowden, kita jadi tahu bahwa NSA tidak hanya memata-matai Amerika, namun juga seluruh dunia.

Dengan berbagai teknik & cara, NSA bisa melakukan ini. Seperti langsung menyadap di server perusahaan (Project Prism), menyadap di ISP / pusat jaringan data (Project Fairview, Tempora, Blarney), dan, yang paling spektakuler, sukses menjebol enkripsi data di tahun 2010 (Project Bullrun, dana 10x lebih besar dari Prism)

Dan, hasilnya ternyata turut dibagi ke Israel 🙁

Fakta ini musti menjadi perhatian institusi pemerintah terkait, karena tersangkut langsung dengan keamanan negara.

Bagi perusahaan komersial pun ini patut menjadi perhatian, karena potensi corporate espionage : 
http://www.motherjones.com/politics/1994/05/company-spies

Salah satu cara NSA menjebol enkripsi adalah dengan bekerja sama dengan berbagai perusahaan IT 🙁 dengan menanam trojan / malware di berbagai produk, backdoor, dan/atau memberikan "kunci" security produknya kepada NSA.

Dikutip :

The files show that the National Security Agency and its UK counterpart GCHQ have broadly compromised the guarantees that internet companies have given consumers to reassure them that their communications, online banking and medical records would be indecipherable to criminals

The NSA spends $250m a year on a program which, among other goals, works with technology companies to "covertly influence" their product designs.

NSA "to leverage sensitive, co-operative relationships with specific industry partners" to insert vulnerabilities into security products.

A more general NSA classification guide reveals more detail on the agency's deep partnerships with industry, and its ability to modify products.

It cautions (NSA) analysts that two facts must remain top secret: that NSA makes modifications to commercial encryption software and devices "to make them exploitable", and that NSA "obtains cryptographic details of commercial cryptographic information security systems.."

Dan salah satu perusahaan IT yang bekerjasama dengan NSA adalah Microsoft : http://www.reddit.com/r/technology/comments/1m773a/how_the_feds_asked_microsoft_to_backdoor/cc6iozq

Solusi : gunakan produk Open Source. 

Kita bisa audit & pastikan bahwa produk tsb aman, bebas dari berbagai "titipan" / jebakan dari badan mata-mata asing.

Bacaan lebih lanjut :

http://www.theguardian.com/world/2013/sep/11/nsa-americans-personal-data-israel-documents

http://www.theguardian.com/world/2013/jun/08/nsa-prism-server-collection-facebook-google

http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security

NSA shares raw intelligence including Americans’ data with Israel
• Secret deal places no legal limits on use of data by Israelis • Only official US government communications protected • Agency insists it complies with rules governing privacy • Read the NSA and Israel’s ‘memorandum of understanding’

Post imported by Google+Blog for WordPress.

39 thoughts on “NSA, Microsoft, dan Israel

  1. Wahh…wah.. ga bisa dibiarin donk, soalnya bisa banyak merugikan negara lain nih NSA… 3:-(

  2. Mas Harry, saya rasanya permasalahannya jauh lebih besar dan lebih kompleks dibandingkan closed vs. open source applications. Contohnya saja bisa dilihat dari artikel yang saya baca pagi ini: http://blogs.computerworld.com/android/22806/google-knows-nearly-every-wi-fi-password-world

    Pada akhirnya trade antara rasa nyaman dan aman akan selalu menjadi materi perdebatan. Terlebih lagi ketika kita berbicara dalam konteks organisasi atau korporasi yang core businessnya bukanlah teknis IT yang setiap staf mereka dapat mengevaluasi source code aplikasi yang digunakan. Artikel tersebut juga menunjukkan bahwasannya software open source pun tidak dapat menjamin bahwa seluruh data dan informasi yang kita miliki akan aman.

  3. Kalau dalam konteks corporate, contoh yang Anda berikan jadi tidak relevan 🙂

    Boro-boro Android, me manage desktop saja masih pada kelabakan. Bukan sekali dua kali saya menemukan corporate standards masih mendiktekan Internet Explorer 6 atau 7 : http://gs.statcounter.com/press/ie9-bucks-trend-of-older-microsoft-browsers-at-weekends

    Untuk corporate, saya kira Blackberry memang masih menang telak, karena management tools nya sudah mature sekali.

    Anyway, posting saya diatas sangat ringkas, banyak detail yang dilewatkan for the sake of simplicity. 

    Contoh: pada kasus Android yang Anda angkat diatas, saya bisa berargumentasi bahwa ini adalah masalah dengan layanan Cloud (baca: data Anda ditangani oleh pihak ketiga), bukan masalah pada Android.

    Tepatnya, contoh yang Anda berikan adalah NON-issue, cukup matikan setting "Backup my settings" + jadi default untuk semua device Android baru = selesai.
    Jika sysadmin di perusahaan cukup kompeten, maka ini akan menjadi kewajiban.

  4. "Artikel tersebut juga menunjukkan bahwasannya software open source pun tidak dapat menjamin bahwa seluruh data dan informasi yang kita miliki akan aman."

    1. Contoh kasus yang Anda berikan adalah masalah pada #setting. Bukan pada software Open Source nya sendiri.

    2. Adalah naif jika beranggapan bahwa menggunakan F/OSS = pasti aman. #Implementasi  nya juga musti diperhatikan.

    Contoh : menjalankan software F/OSS di server di Amerika = bisa dianeksasi oleh pemerintah Amerika secara legal (FISA, DMCA, dst)

    3. Ada banyak cara lebih mudah untuk meng "audit" software F/OSS. 

    Satu contoh :

    # Download dari sumber yang bisa dipercaya
    # Cek hash MD5 nya

    Ini, pada mayoritas kasus, sudah cukup untuk memberikan assurance. 
    Karena berasumsi bahwa komunitas software tsb selalu menjaga agar softwarenya tidak disusupi; maka kita tinggal memastikan bahwa kita memang mendapatkan software versi komunitas tsb / bukan hasil download dari tempat yang tidak jelas (**)

    (**) Sudah kejadian dengan http://AhadPOS.com, software saya ini sudah muncul di beberapa situs "warez" 😀 ha ha ha, lucu juga, software gratis kok di "warez" kan 😀

  5. "ha ha ha, lucu juga, software gratis kok di "warez" kan :D"

    Tentu saja, saya tidak bisa menjamin bahwa tidak ada sisipan kode tambahan, jika Anda download AhadPOS dari situs-situs "warez" tersebut…. 😉 😉

  6. Nampaknya kita membahas artikel pertama dari dua sudut pandang yang berlainan. Yang ingin saya tekankan dengan komentar saya sebelumnya (meskipun mungkin contoh yang saya berikan dianggap kurang relevan) adalah bahwasannya urusan keamanan data dan informasi baik personal maupun korporasi tidaklah hanya sebatas apakah aplikasi yang digunakan berbasis open source atau closed source. 

    Kemudian diskusi semacam ini juga saya rasa lebih cocok dilihat pula dari sudut pandang end-user yang pada umumnya bukanlah tech savvy (yang lambat laun akan digantikan oleh generasi yang tech savvy seiring perkembangan jaman).

    Dengan melihat dari berbagai sudut pandang dan kepentingan, maka sekali lagi diskusi mengenai keamanan data dan informasi seyogyanya akan lebih kompleks dan memiliki cakupan yang luas dibandingkan perdebatan open vs. closed source applications.

  7. "urusan keamanan data dan informasi baik personal maupun korporasi tidaklah hanya sebatas apakah aplikasi yang digunakan berbasis open source atau closed source"

    Fokus dari posting ini adalah :

    1. Asumsikan bahwa SEMUA software proprietary bisa #dan  sudah disusupi backdoor NSA. 

    Terutama produk software dari perusahaan IT di Amerika.

    Sejak *pertama* kali saya "berdakwah" soal open source, saya #sudah   mengangkat soal ini : http://harry.sufehmi.com/wp-content/uploads/2007/05/Sekilas%20Open%20Source.pdf

    Bisa lihat halaman 6, ini slide yang saya buat sekitar tahun 2007.

    Menurut saya, ini adalah masalah yang #sangat  serius & sudah jelas sekali (keberadaannya). Namun, entah kenapa, mayoritas praktisi IT tidak peduli.

    "Tidak peduli" ini lebih berbahaya daripada "do nothing", karena, keputusan "do nothing" / "tidak melakukan apapun" mungkin dipilih setelah melakukan assessment.
    Dimana sikap "tidak peduli" menunjukkan bahwa sekedar assessment pun belum dilakukan.

    Solusi dari situasi ini ada beberapa, tergantung dari kondisi masing-masing institusi (karena situasi setiap institusi berbeda / tidak bisa di sama ratakan) :

    1. Do Nothing : jika setelah Anda, praktisi IT, melakukan assessment, dan menurut Anda soal ini bukan masalah (misal: seluruh jaringan Anda offline / tidak ada akses keluar).

    Maka, "Do Nothing" bisa menjadi opsi yang cocok bagi institusi Anda.

    Contoh kasus lainnya adalah ketika #security bukanlah prioritas bagi Anda. 
    Misal; bisnis UKM / fokus ke pasar lokal.

    Maka, opsi "Do Nothing" juga bisa Anda pilihkan.

    2. Mulai migrasi ke software open source / vendor software proprietary yang bisa dipercaya.

  8. "Kemudian diskusi semacam ini juga saya rasa lebih cocok dilihat pula dari sudut pandang end-user yang pada umumnya bukanlah tech savvy"

    Saya kira mustinya kita selalu fokus kepada audiens awam. Karena mereka adalah mayoritas, dan mayoritas dari pengguna / end user.

    Dan saat ini Open Source juga sudah mainstream. 

    Misal: di berbagai seminar, icebreaker favorit saya adalah sbb :

    Saya : siapa yang sudah pakai software open source ?

    Audiens : (hening)

    Saya : Oke, siapa disini yang pakai browser Firefox ?

    Audiens : (cukup banyak yang angkat tangan, sambil tersenyum)

    Saya : Nah, kan Firefox itu open source… ? 🙂

    Audiens : (yang tadinya ngantuk / raut mukanya malas mendadak langsung tertarik) 

    Kini Firefox juga sudah bisa kita gantikan dengan Android, Zimbra (bahas bahwa ini yang digunakan di Yahoo Mail),  dst, dst.

  9. Membahas poin ke 2, jika melirik kembali asumsi di poin 1 bahwasannya "…SEMUA software proprietary bisa #dan  sudah disusupi backdoor NSA.", lalu bagaimana kita memilih vendor software proprietary yang bisa dipercaya? Asumsikan bahwa setelah assessment banyak faktor, open source bukanlah pilihan utama solusi bagi institusi tersebut.

  10. "Dengan melihat dari berbagai sudut pandang dan kepentingan, maka sekali lagi diskusi mengenai keamanan data dan informasi seyogyanya akan lebih kompleks dan memiliki cakupan yang luas"

    Ini sangat betul sekali, dan saya sangat setuju.

    Namun, karena saya #bukan  pakar di bidang security, maka saya hanya membahas dari satu sisi saja yang cukup saya kuasai; yaitu keterkaitan dengan software F/OSS.

    Semoga bisa dimaklumi.

  11. waduh.. gimana ini, bisa bahaya kalo dibiarkan. waspada kawan kawan terhadap negara yg terlalu canggih

  12. Data di enkripsi terus dibagi ke Israel? Ih ngeri juga ya klo ada ‘titipan’ di produk software yg kita pake.. Terus gimana cara mencegahnya masbro?

  13. sepertinya memank barat sudah menguasai dari berbagi segi secara perlahan-lahan. sebagai bangsa Indonesia, kita harus tetap berhati-hati dengan kebijakan-kebijakan yang dikeluarkan oleh orang-orang barat agar bangsa kita tidak kebarat-baratan.
    mending jadi orang Indonesia yang baik.

  14. Pretty section of content. I just stumbled upon your weblog and in accession capital to assert that I get in fact enjoyed account your blog posts. Any way I’ll be subscribing to your feeds and even I achievement you access consistently fast.

Leave a Reply

Your email address will not be published. Required fields are marked *