Mengapa Badan Keamanan AS Bisa Sadap E-mail?

Warna-warni server milik Google (foto ilustrasi)
Sumber :
  • Google

VIVAnews - Program penyadapan komunikasi, termasuk komunikasi e-mail atau surat elektronik (surel), yang dilakukan Badan Keamanan Nasional AS (NSA), PRISM, telah terkuak setelah mantan karyawan CIA dan NSA, Edward Snowden membeberkan rahasia itu.

Perusahaan teknologi mengaku telah menerapkan sistem keamanan. Lantas bagaimana bisa penyedia layanan surel itu membuka akses kepada penyadapan NSA? Begini caranya.

Lebih dari satu dekade terakhir, penyedia surel mulai mengaktifkan enkripsi untuk melindungi koneksi antara komputer pengguna dengan Gmail, Yahoo Mail, Hotmail, dan layanan lainnya, seperti dilansir Cnet, 25 Juni 2013.

Enkripsi itu merupakan wujud perlindungan penyedia terhadap pengawasan yang biasanya berupa koneksi 'http' disertai gambar gembok. Google Mail telah menggunakan enkripsi itu sejak tahun 2004 dan kemudian diikuti Yahoo Mail.

Namun, pada langkah selanjutnya, saat pesan surel yang ditransfer dari server salah satu perusahaan ke server perusahaan lain, pesan surel itu jarang dienkripsi.

Misalnya, pesan surel pengguna Facebook menuju pengguna Yahoo Mail, akan dikirim dalam bentuk tak terenkripsi melalui koneksi server ke server, tanpa perlindungan pengawasan.

"Perusahaan bernar-benar tidak mencoba menerapkannya," jelas Ashkan Soltani, konsultan keamanan independen yang menyoroti kelemahan keamanan di Twitter.

Hanya Google

Sebuah riset penyedia e-mail populer menunjukkan Google menggunakan enkripsi super, yang dikenal SMTP-TLS (Simple Mail Transfer Protocol Transport Layer Security).

TLS sendiri sudah dipublikasikan sebagai kesepakatan protokol Internet 1999. Enkripsi itu sepenuhnya melindungi koneksi pengguna asalkan server perusahaan lain bersedia mengenkripsi juga.

SMTP-TLS juga digunakan melindungi e-mail karyawan di perusahaan yang sadar tentang keamanan, seperti kantor pengacara, Gedung Putih, Departemen Dalam Negeri, bahkan juga NSA.

Ironisnya, hanya Google yang menggunakan enkripsi ini. Nah, Facebook, Hotmail, Yahoo Mail, dan AOL Mail tidak menerima e-mail masuk dalam bentuk enkripsi SMTP-TLS. Dengan demikian ratusan juta komunikasi pribadi pengguna rentan terhadap penyadapan.

"Saya rasa Google merupakan salah satu perusahaan besar yang menunjukkan peduli dengan kerahasiaan," kata Dan Auerbach, staf teknologi pada Electronic Frontier Foundation di San Francisco. "Kami pikir enkripsi seharusnya didukung semua server e-mail," tambahnya.

Perusahaan yang tidak mengenkripsi link server ke server mail yang menggunakan SMTP-TLS, beralasan enkripsi itu tidak seperti enkripsi browser, keamanan yang mencegah tidak terlihat kepada pengguna.

Seorang insinyur peranti lunak Google, Adam Langley, menyatakan mendukung TLS untuk pertukaran pesan masuk dan ke luar antarserver e-mail. Tapi, secara diplomatis ia menolak berkomentar mengapa perusahaan lain tidak memakai enkripsi seperti Google.

Sementara juru bicara Facebook menjelaskan soal enkripsi. "Facebook saat ini mendukung enkripsi user ke user. Saat ini kami tidak mendukung enkripsi server ke server karena kami belum melihat adopsi luas protokol itu," kilah Facebook.

Yahoo juga turut angkat bicara. "Di Yahoo, kami melakukan investasi besar dalam keamanan pengguna, dan kami terus mencari peningkatan kapasitas keamanan produk kami," terang jurubicara Yahoo.

Seorang wakil Microsoft mengatakan perusahaan tidak mendukung server-ke-server SMTP-TLS untuk produk konsumen termasuk Outlook.com dan Hotmail.com. AOL sementara menolak berkomentar.

Praktik Penyadapan NSA

Dalam bocoran program NSA, institusi itu diketahui memanfaatkan link backbone Internet yang dioperasikan perusahaan seperti AT&T, CenturyLInk, XO Communications, Verizon, Level 3 Communications.

NSA terbukti menggunakan akses pasif dalam menyedot enkripsi komunikasi. Bahkan, pembahasan prosedur pengawasan ditandatangani Jaksa Agung Eric Holder.

Praktik penyadapan itu juga terungkap pada dokumen gugatan Electronic Frontier Foundation tahun 2006. Pada dokumen ini, teknisi AT&T menyaksikan trafik Internet dan suara ponsel domestik diam-diam dialihkan ke ruangan khusus yang hanya bisa diakses teknisi NSA.

Sementara itu, New York Times mengungkapkan, pada tahun 2009, basis data rahasia NSA berkode nama PINWALE, yang mengarsip pesan e-mail domestik maupun asing yang membuat analis dapat melacak tanpa surat perintah sepanjang korespondensi AS tidak berjumlah lebih dari 30 persen setiap database pencarian.

Untuk metadata disimpan terpisah pada MAUI, penyortiran awal dilakukan oleh program yang disebut XKEYCORE. (umi)