Jalan Tak Aman Biometrik
- Viva.co.id/Amal Nur Ngazis
VIVA.co.id – Di era digital saat ini, fitur keamanan berbasis identitas tubuh manusia sudah banyak bermunculan. Bahkan fitur biometrik itu hadir pada sejumlah smartphone atau perangkat mobile kelas atas sampai kelas menengah.Â
Kehadiran fitur keamanan ini bertujuan memberikan proses autentifikasi yang benar-benar aman dan khas untuk setiap orang.Â
Fitur keamanan biometrik diyakini susah ditembus atau diretas, sebab tidak seperti kode akses password, atau kata sandi, fitur biometrik memanfaatkan kekhasan bagian tubuh manusia yang berbeda. Bisa dilihat, misalnya, sidik jari antar satu orang dengan orang lain pasti berbeda.
Masing-masing sidik jari orang punya kekhasan yang tidak dimiliki orang lain, termasuk dalam kasus anak kembar. Itu baru sidik jari, biometrik yang lebih rumit untuk kode akses keamanan, misalnya, selaput pelangi atau iris mata, pemindaian kuping, pengenalan wajah, sensor denyut jantung sampai sensor denyut nadi seseorang.Â
Demam fitur biometrik makin terasa sejak Apple mengenalkan tombol sensor sidik jari pada 2013 melalui iPhone. Sejak itu, deretan vendor smartphone sampai perusahaan perbankan mengeluarkan sensor biometrik.Â
Tercatat perusahaan layanan finansial, MasterCard, bekerja sama dengan perusahaan biometrik, Nymi menguji autentifikasi detak jantung untuk memverifikasi pembayaran kartu kredit. MasterCard juga mengenalkan fitur sensor swafoto atau selfie untuk verifikasi pembayaran. Perusahaan biometrik, EyeVerify merilis pemindaian pola pembuluh darah di area putih mata melalui swafoto untuk autentifikasi.Â
Sementara Google melalui Abicus Project berencana memantau pola bicara, cara dan jenis berjalan pengguna, untuk mengautentifikasi akses seseorang pada sebuah smartphone.
Biometrik memang menawarkan keamanan yang kuat. Namun nyatanya fakta punya temuan yang berbeda. Fitur keamanan itu justru punya celah rawan yang mengintai.Â
Peneliti National Institute of Informatics (NII) Jepang mengingatkan bahaya dari fitur biometrik. Peneliti lembaga Jepang itu mengatakan, bahaya foto dengan dua jari dengan pose ‘peace’. Hal ini bukan tanpa alasan, sebab dengan maraknya kamera smartphone beresolusi tinggi, maka sidik jari pengguna yang berfoto dua jari bisa dicuri, informasi biometrik pengguna bocor.Â
"Hanya dengan gaya kasual tanda ‘peace’ di depan kamera, sidik jari akan bisa dibaca secara luas," jelas Isao Echizen, profesor keamanan dan media digital NII dalam koran lokal Sankei Shimbun yang dikutip The Telegraph.Â
Peringatan yang disampaikan pakar keamanan itu bukan main-main. Sebab, kasus pembobolan identitas biometrik sudah pernah terjadi dan korbannya adalah petinggi sebuah negara.Â
Pada 2015, peretas bernama Jan Krissler mengolah kembali selaput pelangi mata dari Kanselir Jerman, Angela Merkel, dari sebuah foto. Dan akhirnya peretas itu bisa membuka akses dalam sebuah pengujian.Â
Kemudian peneliti keamanan mobile Vkansee, pada bulan lalu, mampu membobol sistem autentifikasi sidik jari Touch ID pada perangkat Apple hanya dengan secuil lilin mainan. Peneliti keamanan Tsutomu Matsumoto Universitas Nasional Yokohama, Jelang bisa membobol sensor sidik jari dengan media yang sederhana.
Kasus pembobolan informasi biometrik lainnya melanda badan independen AS yang melayani urusan sipil, Office for Personal Management. Pada tahun lalu, data 5,6 juta sidik jari warga badan AS tersebut dibobol peretas. Kemudian sudah berderet kasus data biometrik beberapa universitas, catatan medis, perbankan, website kencan yang diretas. Beberapa kasus itu membuktikan data biometrik tidak sepenuhnya aman, tak kebal dari serangan peretas.Â
Rawan
Memang debat keampuhan biometrik untuk keamanan cukup seru. Beberapa pakar menegaskan biometrik secara intrinsik aman. Namun ada pakar yang menegaskan sebaliknya.Â
Dikutip dari laman Wired, profesor hukum Georgetown University, Alvaro Bedoya memaparkan analisisnya perbedaan karakteristik antara keamanan kata sandi dan biometrik.Â
Bedoya mengatakan, kata sandi berkaitan erat dengan hal yang privat, tidak diumbar kepada orang lain maupun publik, sementara biometrik di sisi lain, berkaitan erat dengan ruang publik. Dia mencontohkan saat orang menggunakan kata sandi di kartu kredit atau akun lain, umumnya hanya dia yang mengetahuinya, tak ada orang lain yang tahu. Tapi dalam kasus biometrik, identitas pada tubuh manusia mau tak mau terpapar publik.Â
"Saya tahu seperti apa bentuk telinga Anda jika saya bertemu dengan Anda dan mengambil foto resolusi tinggi bentuk telinga dari jauh. Atau saya tahu sidik jari Anda jika kita ngopi bersama dan Anda meninggalkan jejak sidik jari di gelas," jelas Bedoya.Â
Dengan gambaran tersebut, dapat dipahami biometrik punya risiko sebab terpapar publik dan datanya bisa diambil oleh kamera pengintai atau perangkat pengambil foto lainnya.Â
Apalagi dalam ruang publik, tidak ada aturan yang mengharuskan izin terlebih dahulu untuk mengambil foto atau gambar seseorang. Di negara kandang teknologi seperti AS pun, tidak ada aturan yang dimaksud.Â
Pakar keamanan perusahaan biometrik NuData, Robert Capps senada dengan Bedoya.Â
Capps mengatakan, biometrik meski menawarkan keunikan khusus pada tiap orang, namun karakter khas itu malah memiliki kelemahan. Tak seperti kata sandi, biometrik sebetulnya tak bisa diubah, karenanya begitu dibobol maka akan berakhir sudah selamanya. Dengan begitu, biometrik meningkatkan kekhawatiran atas keamanan data pribadi seseorang.Â
"Kita menumpahkan data biometrik fisik di mana pun kita pergi, meninggalkan sidik jari pada apa pun yang kita sentuh, memosting selfie pada media sosial, video dengan teman dan keluarga. Banyaknya informasi ini bisa diambil oleh penipu," tutur pakar keamanan dari perusahaan biometrik NuData, Robert Capps.Â
Dia mengatakan, begitu data biometrik dicuri dan dijual kembali secara gelap, maka risiko akses tak berwenang sampai akses ke akun pengguna akan berlangsung terus sepanjang hidup korbannya.Â
Pendapat itu dikuatkan oleh profesor hukum University Stamford, Woodrow Hartzog. Dia mengatakan, memang biometrik mengusung keamanan yang benar-benar aman, dan susah untuk dipalsukan, misalnya, bentuk telinga, gaya berjalan dan lainnya. Namun begitu data biometrik diretas, maka data akun pengguna akan terancam.Â
Dalam kasus tersebut, maka korban akan diretas selamanya. Data di rumah sakit sampai perbankan akan menjadi incaran peretas.Â
Menariknya meski fakta insiden menunjukkan biometrik punya kerawanan, namun fitur keamanan ini tetap menyedot perhatian para investor, khususnya biometrik mobile. Laman Wired menuliskan, sebuah laporan menunjukkan saham perusahaan biometrik Swedia, Fingerprint Card AB, melonjak 1.600 persen pada tahun lalu. Kenaikan itu menempatkan perusahaan itu menjadi salah satu perusahaan dengan performa saham terbaik di Eropa pada 2015.Â
Kode Etik Biometrik
Salah satu hal penting disoroti dalam pemanfaatan fitur biometrik yaitu sejauh ini tidak ada aturan pengelolaan fitur tersebut.Â
Perusahaan dan badan teknologi informasi dunia bukan tak peduli. National Telecomunications and Information Administration pada pertengahan tahun lalu mengadakan workshop untuk membahas kode etik pengoperasian teknologi pengenalan wajah. Pertemuan ini melibatkan Google, Microsoft, pakar keamanan dan pendukung keamanan teknologi. Tapi niat baik itu pupus. Sebelum pertemuan selesai, satu per satu peserta memilih keluar dari forum.Â
Akhirnya peserta menyadari memang tidak mudah untuk mengatur penggunaan fitur pengenalan wajah. Sebagai pengguna teknologi pengenalan wajah, Google mengaku kapok dan memutuskan tak memanfaatkan lagi fitur biometrik tersebut.Â
"Satu-satunya teknologi yang dibuat Google adalah pengenalan wajah. dan setelah melihat fitur tersebut, kami memutuskan untuk menyudahinya," ujar Kepala Eksekutif Google, Eric Schmidht dalam sebuah artikelnya dikutip Wired.Â
Microsoft dan Apple mengaku masih mempertimbangkan penggunaan fitur pengenalan wajah untuk mendukung produk dan layanan mereka. Sementara Facebook menunggu peluang pemanfaatan fitur pengenalan wajah. Situs jejaring sosial itu telah menjadi perusahaan yang punya data wajah pengguna terbesar saat ini. Sebab setidaknya, Facebook telah mengantongi lebih dari 350 juta foto yang diunggah tiap harinya.Â
Dengan menggunakan sistem pengenalan wajahnya, DeepFace, menurut Bedoya, Facebook bisa mengolah datanya menjadi sangat canggih.Â
Dengan data pengenalan wajah itu, ujar Bedoya, bukan tak mungkin nanti ke depannya perusahaan bisa membaca identitas seseorang hanya dengan mudah. Misalnya saat seseorang berjalan ke diler mobil, maka dengan sensor pengenalan wajah, diler tersebut dengan cepat bisa mengetahui siapa orang tersebut, tempat tinggalnya, pendapatannya, kartu kreditnya.Â
Tapi untungnya, Facebook sudah sepakat dengan Komisi Perdagangan Federal AS, untuk sebelumnya mendapatkan 'persetujuan' pengguna sebelum memanfaatkan fitur privasi tersebut.
Pembobol Biometrik
Menurut penyelidikan Kaspersky Lab, terhadap kejahatan siber underground, setidaknya sudah ada dua belas penjual menawarkan skimmer yang mampu mencuri sidik jari korban. Dan setidaknya tiga penjual underground sudah meneliti perangkat yang mampu secara ilegal memperoleh data dari urat nadi telapak tangan dan sistem identifikasi iris mata.
Â
Gelombang pertama dari skimmer biometrik diamati melalui ‘presale testing’ pada September 2015. Bukti yang dikumpulkan oleh peneliti Kaspersky Lab mengungkapkan, selama pengujian awal pengembang menemukan beberapa bug.
Â
Namun, masalah utama adalah penggunaan modul GSM untuk transfer data biometrik. Modul tersebut terlalu lambat untuk mentransfer besarnya volume dari data yang diperoleh. Akibatnya, versi terbaru dari skimmer akan menggunakan teknologi transfer data lainnya yang lebih cepat.
Â
Ada juga pembicaraan dalam diskusi yang sedang berlangsung di komunitas underground mengenai pengembangan aplikasi mobile untuk membuat cetakan dari wajah manusia. Dengan aplikasi tersebut, penyerang dapat mengambil foto seseorang yang diposting di media sosial dan menggunakannya untuk mengelabui sistem identifikasi wajah.
Melihat kenyataan dan tantangan biometrik tersebut, profesor hukum University Stamford, Woodrow Hartzog berpandangan publik saat ini belum yakin untuk menyerahkan sepenuhnya identitas tubuhnya ke sistem biometrik.
"Kita mungkin tidak siap menyerahkannya ke seluruh kerajaan biometrik, saat kita tak yakin bagaimana sistem ini bekerja," ujarnya.Â
Pada akhirnya, pengguna teknologi akan bersedia menukarkan identitas privasinya saat mereka merasa ada jaminan kenyamanan dan keamanan dalam sistem biometrik. (umi)