MengidentifikasiAncaman & Risiko

(Digital) BagiPembela HAM 

Wahyudi Djafar (ELSAM)

Pengantar: Makin Beragamnya Ancaman• Perkembangan teknologi informasi dan komunikasi selain menghadirkan

banyak peluang dan inovasi baru, juga memberikan sejumlah tantangandan ancaman baru, termasuk bagi para pembela HAM.

• Ancaman tidak lagi semata‐mata dalam bentuk verbal, fisik, ataukriminalisasi, tetapi juga berbagai bentuk ancaman digital.

• Situasi ini juga terjadi di Indonesia, dan dialami baik secara individual, organisasi, atau juga pada situasi‐situasi tertentu, misalnya seminar publik, atau bahkan pada saat demonstrasi damai.

• Sebenarnya dalam beberapa laporan Pelapor Khusus PBB, sepertiPelapor Khusus untuk Kebebasan Berpendapat dan Berekspresi, PelaporKhusus Kebebasan Berkumpul/Berserikat, Pelapor Khusus PembelaHAM, situasi ini sudah beberapa kali direspon.

• Namun demikian praktiknya di negara‐negara berbagai bentuk ancamantersebut cenderung meningkat, dengan variasi yang kian beragam.

• Oleh karenanya, selain diperlukan dorongan perubahan kebijakan, juga diperlukan upaya‐upaya peningkatan kapasitas bagi pembela HAM, gunameningkatkan pengetahuan dan kesadaran mereka dalam menghadapiberbagai tantangan tersebut.

Keamanan sebagai sebuah Proses

Apa yang Perlu Diamankan?

Environmental office

Personal workspace

Public environmental

Menggunakan Permodelan Ancaman

Apakah Permodelan Ancaman?

• Pemodelan ancaman sebenarnyahanya menerapkan sesuatu yang sudah dilakukan setiap hari.

• Misalnya ketika mengunci pintu dan jendela, mengawasi tas, dompet, atau tas anda di tempat‐tempat umum.

• Tidak membagikan kata sandi, dan menghindari membiarkan orang lain melihatnya saat mengetik di laptop atau ponsel.

Bagaimana Melakukan Permodelan Ancaman?

• Apa yang ingin kamu lindungi? 

• Apa yang penting untuk anda?

• Siapa yang ingin dilindungi? Apa yang bisa terjadi padanya?

• Seberapa besar kemungkinan ini terjadi? Seberapa seriuskah jika itu terjadi?

• Berapa banyak masalah yang hendak dituju?

Models are based on your perception and your feelings.They’re not necessarily rational, and that’s OK!But we want our response to this model to be rational.

Mengaplikasikan Permodelan Ancaman• Apa yang perlu dilindungi? 

• Apa yang penting bagi organisasi?

• Siapa yang harus dilindungi? Apa yang bisa terjadi padanya?

• Seberapa besar kemungkinan ini terjadi? Seberapa seriuskah jika itu terjadi?

• Berapa banyak masalah yang ingin dituju?

Mengklasifikasikan Ancaman

Impact of Risk (Consquence)

Major Medium High Extreme

Moderate Medium Medium High

Minor Low Medium Medium

Seriousness of Risk = Probability x Impact

Unlikely Moderately Likely Highly Likely

Probability of Risk (Likelihood)

Mengidentifikasi Ancaman

Censorship

Surveillance

Digital attack 

Pesatnya Industri Surveillance• Gamma International perusahaan produsen alat‐alat surveilans dan monitoring, berbasis di UK. 

Teknologi mereka dikenal dengan FinFisher Suite, mampu mengirimkan Trojan untuk menginfeksiPC, ponsel, aplikasi, termasuk server. 

• Trovicor berpusat di Jerman, mengklaim sebagai pemimpin dalam industri surveilans. Mereka mengakui peralatan teknologi intersepsi dan pusat pemantauan khusus, telah dipakai tidak kurang dari 100 negara di dunia.

• Hacking Team berpusat di Milan, Italia, menawarkan kemampuan "ofensif" melalui program "DaVinci", yang difungsikan sebagai sistem pengendali jarak jauh. Mampu memecahkan enkripsi serta memantau file terenkripsi dan email, Skype, Voice over IP atau komunikasi chatting. 

• Amesys, sebuah perusahaan di Perancis, mengembangkan program EAGLE, memungkinkan untuk menganalisis lalu lintas web, menyimpan data dan memprosesnya untuk kemudian digunakan oleh polisi atau badan intelijen.

• Blue Coat yang berbasis di Sunnyvale, California, Amerika Serikat ini, paling dikenal sebagai penyedia instrumen penapisan (filtering) dan sensor untuk beberapa negara di dunia. Menawarkanteknologi Deep Packet Inspection, yang memungkinkan untuk melihat setiap Internet Protocol (IP) dan melakukan tindakan khusus berdasarkan isi atau jenis (email, VoIP atau BitTorrent Protocol).

• NSO Group Technologies (singkatan dari Niv, Shalev dan Omri), yang berbasis di Israel saat inimengembangkan teknologi spyware Pegasus yang memungkinkan pengawasan jarak jauh dari smartphone, termasuk mendekripsi komunikasi atau pesan yang berbasis end‐to‐end encryption.

Praktik Blocking/Filtering• Mekanisme Header TCP/IP Filtering

• Mekanisme Content TCP/IP Filtering

• Mekanisme DNS Tampering

• Mekanisme HTTP Proxy Filtering

• Mekansime Hybrid TCP/IP dan HTTP Proxy

• Mekanisme Denial‐of‐Service (DoS)

• Mekanisme Domain Deregistration

• Mekanisme Server Take Down

• Mekanisme Surveillance

• Mekanisme Social Techniques

Digital Attack

Passive Attack

• Computer and network surveillance

• Network• Wiretapping• Fiber tapping• Port scan• Idle scan

• Host• Keystroke logging• Data scraping• Backdoor

Active Attack

• Denial‐of‐service attack

• Spoofing• Mixed threat attack• Network• Man‐in‐the‐middle• Man‐in‐the‐browser

• ARP poisoning• Ping flood• Ping of death• Smurf attack

• Host• Buffer overflow• Heap overflow• Stack overflow• Format string attack

Syntactic & Semantic attacks

• Syntactic Attacks• Viruses• Worms• Trojan horses

• Semantic Attacks• Modifikasi dan penyebaran informasi yang benar dan salah

Praktik Serangan Pada Umumnya• Dalam pratiknya serangan digital tidak hanya diarahkan

pada perangkat seperti di atas, tetapi juga bentuk‐bentukseperti cyber   bullying atau pelecehan berulang (perundungan) dengan menampilkan kekuatan untuk mengancam dan mengintimidasi; cyber stalking dengancara menguntit target menggunakan sarana elektronik; serangan yang tidak terkait dengan konten, dismissivetrolling atau ucapan mengejek dan mempermalukan; doxing dengan pengungkapan informasi pribadi; dan slytweeting atau pelecehan tidak langsung.

• Termasuk juga kejahatan online seperti hacking, morphing, spoofing, publikasi cabul, pornografi cyber, voyeurisme internet, invasi privasi yang kuat, pelecehan e‐mail, pemerasan cyber, emotional cheat denganpeniruan identitas internet (impersonation), dan kekerasan pasangan melalui internet; juga kejahatan seperti phishing atau pencurian identitas.

Memastikan Keamanan Kantor

Melakukan Klasifikasi Informasi

Classifying Information v1

• Critical information is data your organisationneeds to be able to operate. Examples: Contracts, Financials, Insurance Policies

• Sensitive information is data that if accessed by an unauthorised person could potentially cause harm or loss to your organisation, its staff, assets, or dependent organization. Examples: Personnel Records, Sources, Login Details

Classifying Information v2• Critical information is information which, if released, could get someone kidnapped, tortured, or killed

• Sensitive information is information which, if released, could get someone arrested

• Compromising information is information which, if released, could compromise the organisation ‐cause embarrassment or tarnish its reputation

• Pseudo-public information is information which is either already public, or is soon to be ‐ there are no repercussions from its release

Memastikan Keamanan Jaringan

Memastikan Keamanan Perangkat