Tentang Kebocoran Keamanan ZOOM

Kali ini sedikit agak special karena saya akan membahas Tentang Kebocoran Keamanan ZOOM. Zoom sendiri adalah software video conference yang sangat banyak dipakai pada saat pandemi Covid-19 ini berlangsung. Jujur aja saya sendiri adalah pemakai Zoom sejak lama sebelum pandemi, pertama kali saya memakai Zoom adalah pada tahun 2016 silam. jadi bisa dibilang saya bukan pengguna baru dan sudah tahu benar performa software vidcon ini dibanding dengan produk lainnya ( skype, hangouts dll ). Saya bukan sales / endorse Zoom, jadi saya tidak dapat keuntungan finansial apapun, tetapi saya merasa perlu klarifikasi dari sisi netral karena tidak adil dan sayang sekali software yang bagus seperti ini terkena diskredit karena human-error.

Beberapa bulan lalu banyak desas desus mengenai kurang amannya zoom karena ada beberapa meeting yang penting terkena zoombombing. Zoombombing sendiri adalah sebuah kejadian dimana ada orang asing masuk ke dalam ruangan meeting zoom dan mengganggu dengan cara berteriak-teriak, screen share pornografi dll. Sebelum kita ngejudge sebuah software itu jelek, sebaiknya kita lihat dulu proses masuknya orang gak dikenal tersebut :

  1. Zoombomber masuk dengan cara search meeting ID. Meeting id pribadi banyak tersebar di website secara sengaja maupun tidak disengaja. Ada beberapa institusi yang sengaja menyebarkan zoom meeting id mereka supaya semua orang bisa masuk dan melihat proses meeting mereka. Ada juga beberapa pengguna yang menyebarkan meeting id nya di facebook atau medsos tanpa memikirkan konsekuensi.

  2. Zoombomber masuk dengan cara melihat meeting ID di screenshot. Saya pernah melihat beberapa meeting yang di screenshot menampilkan meeting id diatas window nya. Karena meeting id personal tidak berubah, orang iseng dapat masuk ke ruang meeting pada saat mereka melakukan meeting selanjutnya. Untuk ini Zoom sendiri telah mengambil action dengan menghapus zoom id yang tertera pada window meeting.

Dua entry point diatas diperburuk dengan pengguna Zoom melakukan meeting dengan ruangan “Tanpa Password” dan “Tanpa Ruang Tunggu”. Padahal fitur password dan ruang tunggu memang sengaja diciptakan untuk menghindari hal-hal yang tidak diinginkan seperti ini. Tetapi karena Zoom memberikan fleksibilitas yang tinggi dengan cara memberikan opsi untuk menonaktifkan fitur tersebut, terjadilah peristiwa zoombombing yang notabene di sebabkan oleh pengguna tersebut (makanya saya bilang ini human error), bukan karena software tidak aman seperti yang digembar gemborkan. Toh saya selama bertahun-tahun pakai Zoom tidak pernah kena zoombombing.

Selain dari zoombombing masih ada beberapa security flaw seperti pencurian password windows dan aktivasi webcam mac yang sebenarnya tidak mudah untuk di eksploitasi tetapi sudah diperbaiki oleh Zoom. Ada juga yang menyoal Video meeting zoom yang tersebar, tetapi hal tersebut dikarenakan lagi-lagi human error yang mengupload recording zoom meeting ke server public tanpa password, sehingga dengan mudah di temukan oleh search engine. Pelarangan zoom untuk meeting hal-hal sensitif kenegaraan saya juga setuju, karena sebenarnya zoom sendiri ada versi government, yang berarti lisensi biasa lebih cocok digunakan oleh casual user / company. Sedangkan google sudah pasti melarang karena dia memiliki platform vidcall sendiri, tetapi jika anda adalah company skala besar dengan dana IT yang gemuk, masih lebih baik jika anda membangun infrastruktur video call sekelas cisco sendiri, konsep zoom ini adalah memberikan akses video conference untuk semua pengguna dengan harga yang semurah mungkin dan perangkat yang seminimal mungkin ( bandingkan dengan harga webex yang mencapai ratusan juta setahun ).

Peristiwa kedua ini yang memicu saya menulis artikel ini, karena menurut saya janganlah kita memupuk “KEBODOHAN”, belajar, cari tahu dan jangan sembarangan ngomong. Sebagai seorang praktisi bidang IT, saya berkewajiban menyampaikan apa yang saya ketahui ke publik. Jadi begini ceritanya: ada sebuah video beredar dimana seseorang ini complain bahwa dengan menggunakan zoom, kursor komputernya tiba-tiba gerak sendiri masuk ke m-banking dan mengetik sendiri. Orang ini menyarankan agar kita hapus zoom dan hapus semua akses ke zoom termasuk account yg connected ke google ( saya gk ngerti hubungan kursor windows gerak2, google account dengan zoom itu apa ).

screenshot video orang tsb

Yang pertama saya aware dari video tersebut adalah Windows 7, bukankah microsoft sudah pull support dari windows 7 dan tidak bisa menjamin segala implikasi keamanan yang akan terjadi pada user? bukankah Microsoft sendiri sudah sejak lama meminta kepada semua orang untuk pindah ke Windows 10, malah jika anda pemakai windows 7 ASLI, dengan menggunakan key windows 7 anda, anda masih bisa melakukan install ke Windows 10 dan mendapatkan windows 10 secara GRATIS. Sampai bulan Januari 2020 saya masih bisa menggunakan key windows 7 lama saya untuk mendapatkan key windows 10.

Yang kedua adalah kata-kata yang sangat belepotan, saya bisa mengerti mungkin dia panik atau gimana, tetapi kursor bergerak ke m-banking agak rancu, seperti yang anda ketahui, jika anda pengguna mobile banking, akan selalu ada sistem OTP yang melindungi anda dari transaksi, jika saya mau hack mending saya pakai komp dia untuk melakukan kejahatan spt kirim email kaleng, kirim email penipuan, curi foto pribadi, curi data-data atau curi nomor kartu kredit, malah lebih mudah lagi jika saya diam-diam pasang software botnet ke komputer dia supaya saya bs mencari duit menawarkan jasa ddos. Internet banking adalah yang paling jarang ditarget karena security berlapis dan sulit dibobol, belum lagi bank sendiri bisa menarik dan ngetrace kemana duit ditransfer dan bisa sepihak membekukan rekening yang dituju dan mengembalikan saldo ke pemilik awal. Too much hassle and not worth the effort, sangat tidak sejalan dengan pikiran hacker. We do our work as silent and as undetected as possible, kursor bergerak saja sudah gak sejalan, seorang hacker tidak perlu menggerakkan kursor dan memperlihatkan apapun yang di layar untuk bisa mencuri data pribadi, mereka melakukan segalanya di belakang layar dan bahkan anda tidak akan tahu ketika mereka sedang mengakses komputer anda. Itulah yang namanya hacking.

Point terakhir, menurut saya seseorang yang bahkan tidak mengerti IT dan privacy tidak berhak untuk mendiagnosis apakah sebuah software tersebut aman atau tidak, apakah si ibu ini kualifikasi nya cukup untuk mengetahui zoom yang menyebabkan kursor dia bergerak sendiri? seperti jika anda terkena Covid, apakah anda yang mendiagnosa atau dokter? Jika anda sembarangan mendiagnosa, bisa jadi orang yang tidak berdosa kehilangan nyawa gara-gara anda menuduh dia terkena Covid padahal sebenarnya engga.

Spreading her email address and real name everywhere is cool?

Semoga yang saya sampaikan ini bisa mencerdaskan bangsa, jangan sembarangan mikir dan suudzon, hidup sudah cukup sulit dengan wabah Covid-19 seperti ini, jangan membodohi masyarakat. Ikuti selalu privacy dan security setting dari vendor, jika tidak dipakai dengan benar, apapun itu bisa merusak, bahkan kompor di dapur aja bisa meledak jika kita gak ngerti cara pakainya.