HACKER YANG TERKENAL KEVIN MITNICK MENUNJUKKAN CARA MASUK SECARA TIDAK TERLIHAT ONLINE
Jika Anda seperti saya, salah satu hal pertama yang Anda lakukan di pagi hari adalah memeriksa email Anda. Dan, jika Anda seperti saya, Anda juga bertanya-tanya siapa lagi yang telah membaca email Anda. Itu bukan kekhawatiran paranoid. Jika Anda menggunakan layanan email berbasis web seperti Gmail atau Outlook 365, jawabannya agak jelas dan menakutkan.
Bahkan jika Anda menghapus email saat Anda membacanya di komputer atau ponsel Anda, itu tidak lantas menghapus kontennya. Masih ada salinannya di suatu tempat. Email web berbasis cloud, jadi agar bisa mengaksesnya dari perangkat mana pun, kapan saja, harus ada salinan yang berlebihan. Jika Anda menggunakan Gmail, misalnya, salinan setiap email yang dikirim dan diterima melalui akun Gmail Anda disimpan di berbagai server di seluruh dunia di Google. Ini juga berlaku jika Anda menggunakan sistem email yang disediakan oleh Yahoo, Apple, AT & T, Comcast, Microsoft, atau bahkan tempat kerja Anda. Setiap email yang Anda kirim juga dapat diperiksa, kapan saja, oleh perusahaan hosting. Diduga ini adalah untuk menyaring malware, namun kenyataannya adalah pihak ketiga dapat dan melakukan akses email kita untuk alasan lain yang lebih jahat dan melayani sendiri.
Meskipun sebagian besar dari kita mungkin mentolerir email kami yang dipindai karena perangkat lunak perusak, dan mungkin sebagian dari kami mentolerir pemindaian tujuan periklanan, gagasan pihak ketiga yang membaca korespondensi kami dan bertindak berdasarkan konten spesifik yang ditemukan dalam email tertentu benar-benar mengganggu.
Paling tidak yang bisa Anda lakukan adalah membuat lebih sulit bagi mereka untuk melakukannya.
Mulai Dengan EnkripsiSebagian besar layanan email berbasis web menggunakan enkripsi saat email sedang dalam perjalanan. Namun, ketika beberapa layanan mengirimkan surat antara Mail Transfer Agents (MTA), mereka mungkin tidak menggunakan enkripsi, sehingga pesan Anda terbuka. Untuk menjadi tidak terlihat Anda perlu mengenkripsi pesan Anda.
Sebagian besar enkripsi email menggunakan enkripsi asimetris. Itu berarti saya menghasilkan dua kunci: kunci pribadi yang tetap ada di perangkat saya, yang tidak pernah saya bagikan, dan kunci publik yang saya poskan dengan bebas di internet. Dua kunci itu berbeda namun berhubungan secara matematis.
Sebagai contoh: Bob ingin mengirim Alice sebuah email yang aman. Dia menemukan kunci publik Alice di internet atau mendapatkannya langsung dari Alice, dan saat mengirim pesan kepadanya mengenkripsi pesan dengan kuncinya. Pesan ini akan tetap dienkripsi sampai Alice - dan hanya Alice - menggunakan frasa sandi untuk membuka kunci pribadinya dan membuka kunci pesan terenkripsi.
Jadi bagaimana cara mengenkripsi isi karya email anda?
Metode enkripsi email yang paling populer adalah PGP, yang merupakan singkatan dari "Pretty Good Privacy." Ini tidak gratis. Ini adalah produk dari Symantec Corporation. Tapi penciptanya, Phil Zimmermann, juga menulis versi open-source, OpenPGP, yang gratis. Dan pilihan ketiga, GPG (GNU Privacy Guard), dibuat oleh Werner Koch, juga gratis. Kabar baiknya adalah ketiganya adalah interoperasional. Itu berarti tidak peduli versi PGP yang Anda gunakan, fungsi dasarnya sama.
Ketika Edward Snowden pertama kali memutuskan untuk mengungkapkan data sensitif yang dia salin dari NSA, dia membutuhkan bantuan dari orang-orang yang berpikiran sama yang tersebar di seluruh dunia. Advokat dan pembuat film Laura Poitras baru saja menyelesaikan sebuah film dokumenter tentang kehidupan para peluit. Snowden ingin membuat pertukaran terenkripsi dengan Poitras, kecuali beberapa orang yang tahu kunci publiknya.
Snowden mengulurkan tangan ke Micah Lee dari Electronic Frontier Foundation. Kunci publik Lee tersedia secara online dan, menurut laporan yang dipublikasikan di Intercept , dia memiliki kunci publik Poitras. Lee memeriksa apakah Poitras mengizinkannya untuk membagikannya. Dia akan.Mengingat pentingnya rahasia yang akan mereka bagi, Snowden dan Poitras tidak dapat menggunakan alamat e-mail reguler mereka. Kenapa tidak? Akun email pribadi mereka berisi asosiasi unik-seperti minat khusus, daftar kontak-yang bisa mengidentifikasi masing-masing dari mereka. Sebagai gantinya Snowden dan Poitras memutuskan untuk membuat alamat email baru.
Bagaimana mereka bisa tahu alamat email baru masing-masing?
Dengan kata lain, jika kedua belah pihak sama sekali tidak dikenal, bagaimana mereka bisa tahu siapa dan siapa yang dapat mereka percayai? Bagaimana mungkin Snowden, misalnya, menyingkirkan kemungkinan bahwa NSA atau orang lain tidak bersikap seperti akun email baru Poitras? Kunci publik panjang, jadi Anda tidak bisa hanya mengambil telepon yang aman dan membacakan karakter untuk orang lain. Anda memerlukan pertukaran email yang aman.
Dengan mendaftar Lee sekali lagi, Snowden dan Poitras bisa memberi kepercayaan pada seseorang saat membuat akun email baru dan anonim mereka. Poitras pertama kali membagikan kunci publik barunya dengan Lee. Lee tidak menggunakan kunci sebenarnya melainkan singkatan 40 karakter (atau sidik jari) kunci publik Poitras. Ini dia sampaikan ke situs publik-Twitter.
Terkadang agar menjadi tak terlihat Anda harus menggunakan yang terlihat.
Sekarang Snowden secara anonim bisa melihat tweet Lee dan membandingkan kunci yang dipersingkat dengan pesan yang dia terima. Jika keduanya tidak cocok, Snowden akan tahu untuk tidak mempercayai email tersebut. Pesan itu mungkin telah disusupi. Atau dia mungkin malah berbicara dengan NSA. Dalam kasus ini, keduanya cocok.
Snowden akhirnya mengirim Poitras sebuah e-mail terenkripsi yang mengidentifikasi dirinya hanya sebagai "Citizenfour." Tanda tangan ini menjadi judul dokumenter pemenang Academy Award tentang kampanye hak suaranya.
Itu sepertinya akhir - sekarang mereka bisa berkomunikasi dengan aman melalui e-mail terenkripsi - tapi ternyata tidak. Itu baru permulaan.
Memilih Layanan EnkripsiBaik kekuatan operasi matematika maupun panjang kunci enkripsi menentukan seberapa mudahnya seseorang tanpa kunci untuk memecahkan kode Anda.
Algoritma enkripsi yang digunakan saat ini bersifat publik. Kamu menginginkan itu Algoritma publik telah diperiksa untuk kelemahan - yang berarti orang sengaja mencoba memecahkannya. Setiap kali salah satu algoritma publik menjadi lemah atau retak, sudah pensiun, dan yang lebih baru, algoritma yang lebih kuat digunakan sebagai gantinya.Kuncinya adalah (kurang lebih) di bawah kendali Anda, dan karena itu, seperti dugaan Anda, manajemen mereka sangat penting. Jika Anda membuat kunci enkripsi, Anda-dan tidak ada orang lain-akan menyimpan kunci yang tersimpan pada perangkat Anda. Jika Anda membiarkan perusahaan melakukan enkripsi, katakanlah, di awan, maka perusahaan itu mungkin juga menyimpan kuncinya setelah dia membagikannya kepada Anda dan mungkin juga dipaksa oleh pengadilan untuk membagikan kunci tersebut dengan penegak hukum atau badan pemerintah , dengan atau tanpa surat perintah.
Saat Anda mengenkripsi pesan - e-mail, teks, atau telepon-menggunakan enkripsi end-to-end. Itu berarti pesan Anda tetap tidak terbaca sampai mencapai penerima yang dituju. Dengan enkripsi end-to-end, hanya Anda dan penerima yang memiliki kunci untuk memecahkan kode pesan. Bukan pembawa telekomunikasi, pemilik situs web, atau pengembang aplikasi - pihak-pihak yang penegakan hukum atau pemerintah akan meminta untuk menyerahkan informasi tentang Anda. Lakukan pencarian Google untuk "panggilan suara enkripsi end-to-end." Jika aplikasi atau layanan tidak menggunakan enkripsi end-to-end, pilih yang lain.
Jika semua ini terdengar rumit, itu karena memang begitu. Tapi ada plug-in PGP untuk peramban Chrome dan Firefox Internet yang mempermudah enkripsi. Salah satunya adalah Mailvelope, yang dengan rapi menangani kunci enkripsi publik dan swasta PGP. Cukup ketik passphrase, yang akan digunakan untuk menghasilkan kunci publik dan pribadi. Kemudian setiap kali Anda menulis email berbasis web, pilih penerima, dan jika penerima memiliki kunci publik yang ada, Anda kemudian akan memiliki opsi untuk mengirim orang tersebut pesan terenkripsi.
Di luar Enkripsi: MetadataBahkan jika Anda mengenkripsi pesan e-mail Anda dengan PGP, sebagian kecil namun kaya informasi dari pesan Anda masih dapat dibaca oleh siapa saja. Dalam mempertahankan diri dari wahyu Snowden, pemerintah AS berulang kali menyatakan bahwa mereka tidak menangkap isi sebenarnya dari email kami, yang dalam hal ini tidak dapat terbaca dengan enkripsi PGP. Sebaliknya, pemerintah mengatakan hanya mengumpulkan metadata email.Apa itu metadata email? Ini adalah informasi di bidang Ke dan Dari serta alamat IP dari berbagai server yang menangani email dari asal ke penerima. Ini juga mencakup baris subjek, yang kadang-kadang bisa sangat mengungkapkan isi pesan yang dienkripsi. Metadata, warisan sejak awal internet, masih disertakan pada setiap email yang dikirim dan diterima, namun pembaca email modern menyembunyikan informasi ini dari tampilan.
Itu mungkin terdengar oke, karena pihak ketiga tidak benar-benar membaca kontennya, dan Anda mungkin tidak peduli dengan mekanisme bagaimana email-email itu berjalan-berbagai alamat server dan perangko waktu-tapi Anda akan terkejut dengan seberapa banyak Bisa dipelajari dari jalur email dan frekuensi email saja.
Menurut Snowden, metadata email, teks, dan telepon kami dikumpulkan oleh NSA dan agensi lainnya. Tapi pemerintah tidak bisa mengumpulkan metadata dari semua orang - atau bisa? Secara teknis, tidak. Namun, ada peningkatan tajam dalam koleksi "legal" sejak 2001.
Untuk menjadi benar-benar tak terlihat di dunia digital Anda perlu melakukan lebih dari mengenkripsi pesan Anda. Kamu akan membutuhkan:
Hapus alamat IP sebenarnya: Inilah titik koneksi Anda ke Internet, sidik jari Anda. Ini bisa menunjukkan di mana Anda berada (sampai ke alamat fisik Anda) dan penyedia apa yang Anda gunakan. Hapus perangkat keras dan perangkat lunak Anda: Bila Anda terhubung ke situs web secara online, cuplikan perangkat keras dan perangkat lunak yang Anda gunakan mungkin dikumpulkan oleh situs. Pertahankan anonimitas Anda: Atribusi online itu sulit. Membuktikan bahwa Anda berada di keyboard saat sebuah peristiwa terjadi adalah sulit. Namun, jika Anda berjalan di depan kamera sebelum online di Starbucks, atau jika Anda baru saja membeli latte di Starbucks dengan kartu kredit Anda, tindakan ini dapat dikaitkan dengan kehadiran online Anda beberapa saat kemudian.
Untuk memulai, alamat IP Anda menunjukkan lokasi Anda di dunia, penyedia layanan yang Anda gunakan, dan identitas orang yang membayar layanan internet (yang mungkin atau mungkin bukan Anda). Semua informasi ini disertakan dalam metadata email dan nantinya dapat digunakan untuk mengidentifikasi Anda secara unik. Setiap komunikasi, baik itu email atau tidak, dapat digunakan untuk mengidentifikasi Anda berdasarkan alamat Protokol Internal (IP) yang ditugaskan ke router yang Anda gunakan saat berada di rumah, kantor, atau di tempat teman.Alamat IP dalam email tentu saja bisa dipalsukan. Seseorang mungkin menggunakan alamat proxy-bukan alamat IP sebenarnya tapi milik orang lain-bahwa sebuah email tampaknya berasal dari lokasi lain. Proksi itu seperti penerjemah bahasa asing-Anda berbicara dengan penerjemah, dan penerjemah tersebut berbicara kepada pembicara bahasa asing-hanya pesannya yang tetap sama. Intinya di sini adalah seseorang bisa menggunakan proxy dari China atau bahkan Jerman untuk menghindari deteksi pada email yang benar-benar berasal dari Korea Utara.
Alih-alih menjadi tuan rumah proxy Anda sendiri, Anda dapat menggunakan layanan yang dikenal sebagai remailer anonim, yang akan menutupi alamat IP email Anda untuk Anda. Remailer anonim hanya mengubah alamat email pengirim sebelum mengirim pesan ke penerima yang dituju. Penerima bisa merespon via remailer. Itu versi yang paling sederhana.
Salah satu cara untuk menutupi alamat IP Anda adalah dengan menggunakan router onion ( Tor ), itulah yang dilakukan Snowden dan Poitras. Tor dirancang untuk digunakan oleh orang-orang yang hidup dalam rezim yang keras sebagai cara untuk menghindari penyensoran media dan layanan populer dan untuk mencegah orang melacak apa istilah pencarian yang mereka gunakan. Tor tetap bebas dan bisa dipakai oleh siapa saja, dimanapun-bahkan kamu.
Bagaimana Tor bekerja? Ini meningkatkan model biasa untuk mengakses situs web. Bila Anda menggunakan Tor, baris langsung antara Anda dan situs target Anda dikaburkan oleh node tambahan, dan setiap sepuluh detik rantai node menghubungkan Anda ke situs apa pun yang Anda lihat pada perubahan tanpa gangguan pada Anda. Berbagai node yang menghubungkan Anda ke situs seperti lapisan dalam bawang merah. Dengan kata lain, jika seseorang mengundurkan diri dari situs tujuan dan mencoba menemukan Anda, mereka tidak dapat melakukannya karena jalannya akan terus berubah. Kecuali titik masuk Anda dan titik keluar Anda diasosiasikan, koneksi Anda dianggap anonim.
Untuk menggunakan Tor Anda memerlukan browser Firefox yang dimodifikasi dari situs Tor ( torproject.org ). Selalu cari browser Tor yang sah untuk sistem operasi Anda dari situs web proyek Tor. Jangan gunakan situs pihak ketiga. Untuk sistem operasi Android, Orbot adalah aplikasi Tor gratis yang sah dari Google Play yang mengenkripsi lalu lintas Anda dan mengaburkan alamat IP Anda. Pada perangkat iOS (iPad, iPhone), pasang Onion Browser , aplikasi yang sah dari toko aplikasi iTunes.
Selain memungkinkan Anda menjelajahi Internet yang dapat dicari, Tor memberi Anda akses ke dunia situs yang biasanya tidak dapat dicari-apa yang disebut Web Kegelapan. Ini adalah situs yang tidak sesuai dengan nama umum seperti Google.com dan sebaliknya diakhiri dengan ekstensi .onion. Beberapa situs tersembunyi ini menawarkan, menjual, atau menyediakan barang dan layanan yang mungkin ilegal. Beberapa di antaranya adalah situs yang sah yang dikelola oleh orang-orang di daerah tertindas di dunia.
Perlu dicatat, bagaimanapun, bahwa ada beberapa kelemahan dengan Tor: Anda tidak memiliki kendali atas simpul keluar, yang mungkin berada di bawah kendali pemerintah atau penegakan hukum; Anda masih bisa diprofilkan dan mungkin dikenali; dan Tor sangat lamban.
Yang sedang berkata, jika Anda masih memutuskan untuk menggunakan Tor Anda seharusnya tidak menjalankannya dalam perangkat fisik yang sama yang Anda gunakan untuk browsing. Dengan kata lain, mintalah laptop untuk browsing web dan perangkat terpisah untuk Tor (misalnya, komputer mini Raspberry Pi yang menjalankan perangkat lunak Tor). Idenya di sini adalah bahwa jika seseorang dapat mengkompromikan laptop Anda, mereka tetap tidak dapat melepaskan lapisan transport Tor Anda saat berjalan di kotak fisik terpisah.Buat akun baru (tak terlihat)Akun email lawas mungkin terhubung dalam berbagai cara ke bagian lain kehidupan Anda-teman, hobi, pekerjaan. Untuk berkomunikasi dalam kerahasiaan, Anda perlu membuat akun email baru menggunakan Tor sehingga alamat IP yang mengatur akun tidak dikaitkan dengan identitas sebenarnya Anda dengan cara apa pun.
Membuat alamat email anonim sangat menantang tapi mungkin.
Karena Anda akan meninggalkan jejak jika Anda membayar untuk layanan email pribadi, sebenarnya Anda lebih baik menggunakan layanan web gratis. Kerumitan kecil: Gmail, Microsoft, Yahoo, dan lainnya mengharuskan Anda menyediakan nomor telepon untuk memverifikasi identitas Anda. Jelas Anda tidak dapat menggunakan nomor ponsel asli Anda, karena mungkin terhubung dengan nama asli dan alamat sebenarnya Anda. Anda mungkin bisa mengatur nomor telepon Skype jika mendukung otentikasi suara alih-alih otentikasi SMS; Namun, Anda masih memerlukan akun email yang ada dan kartu hadiah prabayar untuk menyiapkannya.
Beberapa orang menganggap ponsel pembakar sebagai perangkat yang hanya digunakan oleh teroris, mucikari, dan pengedar narkoba, namun ada banyak kegunaan yang sangat sesuai untuk mereka. Ponsel Burner kebanyakan menyediakan layanan suara, teks, dan e-mail, dan itu semua diperlukan oleh semua orang.
Namun, membeli ponsel burner secara anonim akan menjadi rumit. Tentu, aku bisa berjalan ke Walmart dan membayar uang tunai untuk telepon pembakar dan seratus menit airtime. Siapa yang tahu? Nah, banyak orang akan.
Pertama, bagaimana saya bisa sampai ke Walmart? Apakah saya menggunakan mobil Uber? Apakah saya naik taksi? Catatan-catatan ini semua bisa ditelepon. Saya bisa mengemudikan mobil sendiri, namun penegak hukum menggunakan teknologi pengenalan plat otomatis (ALPR) di tempat parkir umum yang luas untuk mencari kendaraan yang hilang dan dicuri serta orang-orang yang memiliki waran yang beredar. Catatan ALPR bisa di panggil.Bahkan jika saya berjalan ke Walmart, begitu saya memasuki toko, wajah saya akan terlihat di beberapa kamera keamanan di dalam toko itu sendiri, dan video itu bisa ditelepon.
Baiklah, jadi katakanlah saya mengirim orang asing ke toko itu-mungkin orang tunawisma yang saya rekrut di tempat. Orang itu masuk dan membeli telepon dan beberapa kartu isi ulang data dengan uang tunai. Mungkin Anda mengatur untuk bertemu orang ini kemudian jauh dari toko. Ini akan membantu menjauhkan diri dari transaksi sebenarnya.
Pengaktifan telepon prabayar memerlukan panggilan ke departemen layanan pelanggan operator seluler atau mengaktifkannya di situs web penyedia layanan. Agar tidak tercatat "jaminan kualitas", lebih aman untuk mengaktifkan melalui web. Menggunakan Tor melalui jaringan nirkabel terbuka setelah Anda mengubah alamat MAC Anda harus menjadi pengaman minimum. Anda harus membuat semua informasi pelanggan yang Anda masukkan di situs web. Untuk alamat anda, hanya Google alamat sebuah hotel besar dan gunakan itu. Buat tanggal lahir dan PIN yang akan Anda ingat jika Anda perlu menghubungi layanan pelanggan di masa mendatang.
Setelah menggunakan Tor untuk mengacak alamat IP Anda, dan setelah membuat akun Gmail yang tidak ada hubungannya dengan nomor telepon asli Anda, Google akan mengirimkan kode verifikasi atau panggilan suara ke ponsel Anda. Sekarang Anda memiliki akun Gmail yang hampir tidak dapat dilacak. Kami dapat menghasilkan email yang cukup aman yang alamat IP-terima kasih kepada Tor-anonim (walaupun Anda tidak memiliki kendali atas node keluar) dan isinya, berkat PGP, tidak dapat dibaca kecuali oleh penerima yang dituju.
Untuk menjaga anonim akun ini, Anda hanya dapat mengakses akun dari dalam Tor sehingga alamat IP Anda tidak akan dikaitkan dengannya. Selanjutnya, Anda tidak boleh melakukan pencarian di internet saat masuk ke akun Gmail anonim tersebut; Anda mungkin secara tidak sengaja mencari sesuatu yang berhubungan dengan identitas sejati Anda. Bahkan mencari informasi cuaca bisa mengungkapkan lokasi Anda.
Seperti yang bisa Anda lihat, menjadi tidak kasat mata dan menjaga diri Anda tak terlihat membutuhkan disiplin dan ketekunan yang luar biasa. Tapi itu sangat berharga. Takeaway terpenting adalah: Pertama, waspadalah terhadap semua cara agar seseorang bisa mengenali Anda bahkan jika Anda melakukan beberapa tapi tidak semua tindakan pencegahan yang telah saya jelaskan. Dan jika Anda melakukan semua tindakan pencegahan ini, ketahuilah bahwa Anda perlu melakukan due diligence setiap kali Anda menggunakan akun anonim Anda. Tidak ada pengecualian.
Dikutip dari The Art of Invisibility: Hacker Paling Terkenal di Dunia Mengajarkan Anda Bagaimana Menjadi Aman di Era Big Brother dan Big Data , Copyright © 2017 oleh Kevin D. Mitnick bersama Robert Vamosi. Digunakan atas izin Little, Brown and Company, New York. Seluruh hak cipta.