Minggu, 15 Juni 2008 Tamu Jim Geovedi, Hacker dan Konsultan Sistem Keamanan Teknologi Informasi Indonesia Bukan Biang Kerok Lagi Dari sedikit anak muda Indonesia yang diakui dunia sebagai konsultan sistem keamanan Internet, Jim Geovedi adalah salah satunya. Pria kelahiran 28 Juni 1979 yang hanya lulus SMA ini tercatat sebagai salah satu anak muda dunia yang menembus sistem keamanan pada 2004. Atas prestasinya itu, ia kerap mendapat undangan menjadi pembicara di forum internasional, HackInTheBox Security Conference, Kuala Lumpur (2005 dan 2008), Praha (2006), dan Dubai (2008). Pada pertemuan para hacker se-Asia yang digelar di Jakarta Convention Center, 12 Juni lalu, Jim pun hadir. Kemampuannya dalam sistem keamanan teknologi informasi ini bermula dari rasa ingin tahu yang besar terhadap sesuatu. Untuk memenuhi keingintahuan tentang sistem menembus jaringan, ketika masih hidup susah beberapa tahun lalu, Jim suka mengurung diri di kamar 12 meter persegi, ditemani seperangkat komputer, dan hanya dengan menu mi goreng setiap hari. Ia bisa menginap di kamar itu tanpa keluar berhari-hari. "Tidur paling 5-10 menit," ujarnya sambil tertawa. Zaman tak enak itu sudah lewat. Kini ruang kerjanya bukan lagi kamar sempit, melainkan ruang di kantor Bellua Asia Pacific, Jalan Sudirman, Jakarta. Kepada wartawan Tempo Yophiandi dan fotografer Santirta, Jim Geovedi menuturkan pengalamannya sebagai hacker--yang kini ia tinggalkan--pendapatnya tentang sistem keamanan TI di Indonesia, dan lain-lain. Wawancara berlangsung pada Kamis lalu di Starbuck Cafe, Plaza Senayan, Jakarta. Berikut kutipannya. Bagaimana sistem keamanan Internet Indonesia sekarang? Sebetulnya sudah membaik. Banyak perusahaan, orang Indonesia, yang sudah aware (sadar) keamanan sistem itu diperlukan. Kondisi membaik atau tidak itu kan ada beberapa faktor. Teknologi, orangnya, budayanya, habit-nya, kebiasaannya. Dari sisi teknologi, sudah banyak yang mencoba memblokade "agen asing" buat keamanan sistem. Mungkin yang sekarang perlu ditingkatkan habit, kebiasaannya, karena ternyata banyak orang yang well-educated di bidang komputer masih berpikir, saya kan nggak punya data apa pun di komputer, hack saja. Banyak yang tak menyadari, random hacker itu, pertama, ada yang mencari data, atau sistemnya, jadi bot (singkatan dari robot). Membuat Trojan, virus, dan me-remote (mengontrol) lewat komputer itu, dan dari situ, ia bisa mengendalikan. Soal password, kan mudah dijebol.... Sekarang, dengan kesadaran perlunya keamanan, sudah banyak yang pakai password panjang-panjang, tak mudah. Bagaimana posisi Indonesia di dunia? Saat ini Indonesia sudah tak lagi dikenal sebagai negara yang trouble maker (biang kerok). Beberapa orang di negara-negara seperti Cina, Rusia, Eropa Timur begitu ya, misalnya, sudah menjadikan dunia mereka (kegiatan hacking dan cracking) sebagai mata pencarian mereka. Di Indonesia, dulu sudah ada yang membuat hacking software untuk hidup, cuma tak banyak diekspose. Tapi kemudian, setelah berkembang (kemampuannya), mereka malah berpikir, sudahlah, ini tak bisa berkembang menghasilkan duit. Bukannya bisnis ini bisa menguntungkan terus? Kan dia yang merusak, dia juga yang memperbaiki? Belum tentu, karena teknologi sudah semakin tinggi. Sudah banyak yang pakai alat, instan, tinggal klik, klik. Sudah tak tahu bagaimana cara masuknya (ke dalam sebuah sistem). Kalau dalam transaksi elektronik, bagaimana cara mengidentifikasi identitas kita dimasuki orang lain? Biasanya indikatornya ada komplain. Seorang konsumen akan komplain ada masalah dengan transaksinya. Biasanya, dalam media elektronik sulit untuk mengidentifikasi fraud. Berarti tak bisa dicegah? Ada yang berusaha memberikan tindakan preventif, misalnya begini, seorang teman saya, bule, traveling ke Indonesia, melakukan transaksi elektronik, tapi ditolak, karena ISP origin-nya dari Indonesia. Mereka mem-banned (mencekal) alamat dari Indonesia untuk transaksi. Sekarang, cekal sudah dibuka sedikit buat Indonesia. Kemampuan orang Indonesia menembus keamanan sudah menyamai orang Eropa Timur? Mungkin ya. Mau menghitung Indonesia paling tinggi atau rendah, dasarnya apa? Mau pakai dasar IP address, itu siapa yang melakukannya (karena bisa dikendalikan dari luar seperti robot tadi)? Kalau transaksi elektronik, mungkin mereka yang berkepentingan punya data, tapi kan sistem keamanan bukan hanya transaksi elektronik. Adanya Undang-Undang Informasi dan Transaksi Elektronik memberi hal positif? Secara konsep iya. Saya bertemu dengan Pak M. Nuh (Menteri Komunikasi dan Informasi) pribadi. Saya bilang, cukup bagus karena memberikan kepastian dan perlindungan hukum buat konsumen. Yang melakukan transaksi ekonomi dan dirugikan, dia bisa menuntut. Jadi ada perlindungan bagi konsumen. Cukup secara konsep, berarti masih ada yang kurang? Saya melihat kurangnya itu pada persiapan pemerintah mengimplementasikan undang-undang itu, contoh film Fitna dari Belanda yang ditaruh di YouTube. Perintahnya kan tolong bendung masuknya film itu ke Indonesia, termasuk lewat Internet. Yang dilakukan YouTube diblokade. Apa itu implementasi yang baik dan benar? Mau membendung suatu content, tapi mencegat jalannya. Analoginya, ingin membendung truk tertentu karena isinya terlarang, truk itu memang tak bisa lewat, tapi begitu juga yang (kendaraan) lainnya (tak bisa lewat). Buat penyusupan, memang bisa terlacak? Bisa. At least, kita bisa tahu kalau kolom buktinya tercatat, ada alamat (IP address). Bisa tercatat, bisa juga tak tercatat memang. (Menurut Jim, perkembangan berikutnya, yang sedang menjadi tren adalah penggunaan WiFi, hotspot yang sulit dilacak karena pelaku bisa "disamarkan" dengan orang lain yang menggunakan hotspot di tempat yang sama). Bisa tak tercatat? Iya, tergantung siapa yang memasuki sistemnya (tersenyum). Kalau pakai password berjenjang? Itu sudah cukup untuk meningkatkan pencegahan postur keamanan itu sendiri. Sejauh mana tingkat kesadaran perusahaan di Indonesia? Tak pernah ada alat ukur. Keamanan itu punya risiko, tapi keamanan itu bisa di-manage (diatur) seberapa besar kita bisa menerima risikonya. Contoh, kita punya sistem. Kita tahu sistem itu rawan, orang bisa masuk. Saat itu, sejauh mana kita bisa mengotakkan dan melakukan identifikasi jenis kerusakan. Ada manajemen risiko. Kita bisa terima risikonya, tapi kita harus tahu seberapa besar risikonya itu. Misalnya, kita di-back door orang (membuat jalur di belakang sistem untuk keluar-masuk), risikonya, ya, kita instal ulang. Tapi kalau datanya dicuri orang, seberapa besar kita bisa meng-handleitu. Saya tak terima datanya dicuri orang, misalnya, berarti orang itu butuh pengamanan. Jadi, untuk pekerjaan seperti ini kita mesti pintar-pintar untuk menilai banyak hal. Makanya saya nggak pernah setuju kalau orang bilang security related dengan komputer. Security itu aspeknya luas, makanya saya nggak pernah bilang saya spesialis di security system komputer. Makanya, nggak banyak yang memiliki kemampuan komputer masuk ke dalam security system. Kenapa? Cakupannya luas, istilahnya spesifik, gajinya spesifik (tertawa). Plus-minusnya begini, kami, yang tahu bagaimana sesuatu itu bekerja, mengerti big picture-nya (cetak birunya). Harus bisa tahu. Sistem manajemen informasi di perusahaan, kebijakan administrasi, pengambilan keputusan, itu semua minimal harus tahu. Tak banyak yang tahu ini, seperti kalau tak pernah 15 tahun bekerja sebelumnya. Atau, dia tak bekerja pada perusahaan, tapi dia konsultan pada sebuah perusahaan, misalnya, dia akan bisa tahu. Jadi orang-orang inilah yang bisa melihat sesuatu hal jadi lebih luas. Think out of the box. Bukannya semua yang punya kemampuan ini think out of the box? Nggak. Banyak yang karbitan. Sekarang begini, salah satu provider di Indonesia tiga tahun lalu dibobol sistemnya, ada beberapa komponen diambil, tapi kerusakannya tak menyebar. Mereka tak melihat itu (bisa merusak lebih luas). Padahal, kalau mereka lompat ke sebelah (ke sistem sebelahnya), mereka akan mendapat SMS center-nya, content-nya. Tapi orang Indonesia punya kemampuan hebat kan soal ini? Iya, jago. Saya punya office boy di Bandung. Dia bisa menginstal Windows di komputer kantor saya, padahal dia tak mengerti bahasa Inggris. Dia menginstal dengan caranya sendiri. Itulah kehebatan orang Indonesia, bisa melakukan sesuatu tanpa tahu prosedur. Nah, itulah kekurangan orang Indonesia, jarang baca. Faktornya? Umumnya karena tak mengerti bahasanya, kebanyakan kan bahasa Inggris. Di mana Anda belajar bahasa Inggris? MTV (tertawa). Saya juga baca. Otomatis, kalau bisa baca, bisa juga menulis. Bagaimana pemahaman pemerintah tentang teknologi informasi? Saya pikir (situs pemerintah) cuma pajangan. Kalau menampilkan informasi tapi tak pernah di-update, ya itu pajangan. Bisa berinteraksi dengan pengunjung lebih bagus, itu yang diharapkan. So far, satu-dua yang sudah begitu. Tapi situs negara maju pun tak terurus baik. Betul, tapi saya menantang ke arah yang betul. Jangan ikut yang tak benar, dong. Apa yang terjadi di Indonesia sekarang, Visit Indonesia 2008, misalnya, masukkan dong apa saja yang bisa didatangi, perbanyaklah local content budaya. Masalah di Indonesia soal local content? Iya, karena orang Indonesia malas menulis. Karena sistem pendidikan di Indonesia tidak mendidik orang untuk menulis, tapi membaca dan menghafal. Apa yang sedang Anda lakukan untuk lebih mengembangkan kemampuan? Saya dalam beberapa tahun sedang mengembangkan bahasa teknik ke dalam bahasa awam. Supaya orang lebih bisa memahami bahasa teknologi informasi. Inspirasinya kayak di Kitab Suci Perjanjian Baru, semua perumpamaan, tapi bisa dijelaskan ke dalam bahasa awam, dan sepanjang masa. Apa cita-cita Anda waktu kecil? Saya tak punya cita-cita. Yang penting jadi orang yang bener. Saya termasuk yang mendalami filsafat behavioral analysis. Kalau saya begini terus, saya akan menjadi orang seperti apa. Kalau saya seperti beberapa tahun lalu ketika Ibu Judith (seorang rekannya) memergoki saya (di kamar selama seminggu dengan komputernya), saya tak akan jadi apa-apa. Karena itu, saya harus membuat perubahan. Bagaimana rasanya menjadi sedikit dari orang Indonesia yang diakui dunia? Dulu saya akui wah banget, ya. Sekarang lama-lama biasa. Berbagi pengalaman dan pengetahuan saja sekarang. Saya juga sering traveling ingin mengenal perkembangan pengetahuan saat diundang bicara di Malaysia, Praha, Dubai. Komputer siapa yang pertama kali Anda tembus? Komputer sendiri paling ya (tertawa). Itu informasi yang tak bisa dibagi (tertawa). Memang dalam fase itu ada rasa puas (ketika bisa menyusup). Dulu ketika saya menembus, saya tak bikin apa-apa. Saya cuma diam saja di dalam sistem itu. Sejak kapan punya komputer? Saya tak pernah punya komputer sebelumnya. Saya biasa pakai komputer teman, gereja. Bagaimana aplikasi, teman membuat sistem, saya pelajari. Mulai kapan Anda menjadi ahli keamanan? Mengapa? Di gereja. Tahun 1998-1999, saya hidup di jalan, bikin kartu undangan, kartu ulang tahun. Kemudian ada teman saya, yang kelak jadi pacar adik saya, hahaha, mengajak saya ke gereja. Kenalan dengan Ketua GMKI (Gerakan Mahasiswa Kristen Indonesia), diajak demonstrasi pada 1998, nongkrong di kantornya. Ada masanya karyawannya meninggalkan kantor dan saya dimintai bantuan. Itu masanya saya meng-explore (kemampuan). Kemudian ada tawaran di Yogya, main di sana. Lalu bersama teman di Bandung, bekerja dan menjadi sering melihat orang-orang meng-explore sistem komputer. Berapa lama bisa nggak tidur? Sepuluh hari. Paling dalam waktu itu tidur beberapa menit. Kalau yang tak tidur sama sekali, ya, tiga hari (tertawa). Makan bagaimana? Selama di Bandung, saya tinggal tepuk tangan, kasih tangan satu, ada mi goreng dalam 10-15 menit kemudian (tertawa). Sekarang semua sudah tercapai? Saya dalam taraf tak mau tahu ngapain lagi. Semua sudah. Terbatas memang, jadi boring. Saya merasa tak ada tantangan, tapi semua ini mesti dijalani, kan. Makanya saya nge-DJ sekarang. Saya suka diundang ke Embassy, K-7. Saya tak suka clubbing, cuma suka musiknya. Alasan Anda ke Jakarta? Pure untuk bekerja di Jakarta. Cara hidup saya, banyak yang bilang, menginspirasi orang. Dari jalanan, nggak kuliah, bisa memilih pilihan hidup spesifik. Pernah merasa bersalah saat dulu menyusup (belum menjadi konsultan)? Intinya, saat orang melakukan kesalahan ada rasa bersalah. Bahkan sampai jangka waktu tak terkira saya merasa begitu. Ketimbang saya dihantui perasaan bersalah, saya berhenti. Beberapa orang aparat atau orang asing sempat mendekati Anda (menyewa kemampuan)? Sudah banyak yang mendekat dengan tujuan baik atau tidak, pihak aparat dan asing. Sempat tergoda, tapi saya pikir banyak ruginya. Bukannya asyik? Ada adrenalinnya, tapi saya tak bisa tolerir. Dari sisi materi menggiurkan, tapi saya pikir hidup apa adanya dengan keterbatasan kita bisa berkembang. Saya, selama hidup begini, jadi tahu benar apa arti menerima. Memiliki komitmen yang baik dan relasi yang baik. Banyak hal yang tak bisa saya prediksi sebelum turning point (titik balik) itu. Suatu hari saya hidup dengan komputer, saya tak pernah berpikir tentang ini (menjadi konsultan keamanan). Terjun sebagai hacker pada waktu dulu juga tak pernah terpikir oleh saya, (karena) saya tak punya komputer. BIODATA Nama: Jim Geovedi Lahir: 28 Juni 1979 Pendidikan Terakhir: SMA Pekerjaan: Konsultan Sistem Keamanan Teknologi Informasi Bellua Cyber Security Asia, Jakarta, 2005-2008 Pengembang sistem operasi FreeBSD dan OpenBSD, 2003-2006