Bahkan, Saluran Berbagi Data di AS pun Belum Aman!
NIST
Jakarta, Cyberthreat.id - Ternyata bukan hanya instasi pemerintah di Indonesia yang masih keterbelakang dalam perkara teknologi, bahkan di negeri adikuasa Amerika Serikat pun memiliki problem yang sama. Benar, bahwa gagap teknologi instansi pemerintah AS tak separah di negeri kita, tapi setidaknya kita bisa melihat bagaimana reaksi pengambil kebijakan di sana dalam membenahi dengan cepat.
Misalnya, kita bisa melihatnya dalah kasus sepucuk surat resmi, Senator A.S. Ron Wyden yang mendesak Direktur the National Institute of Standards and Technology (NIST), Walter G. Copan, agar NIST mengembangkan dan menerbitkan standar sebagai bagian dari kerangka kerja panduan untuk berbagi dokumen sensitif melalui internet secara aman.
"Instansi pemerintah secara rutin berbagi dan menerima data sensitif melalui metode yang tidak aman - seperti mengirim email .zip file - karena karyawan tidak disediakan alat dan pelatihan untuk melakukannya dengan aman," kata senator dalam surat itu sebagaimana dikutip bleepingcomputer.com pekan lalu.
Proses berbagi data yang sensitif
Permintaan Wyden didorong oleh penyebaran luas file-file yang sangat sensitif yang dikemas sebagai file zip yang dilindungi kata sandi melalui email di sektor pemerintah, dengan banyak orang melakukan hal yang sama sehingga data dilindungi saat dalam perjalanan dan setelah mencapai kotak masuk.
Namun, seperti yang digarisbawahi oleh senator dalam suratnya, "banyak file .zip yang dilindungi kata sandi dapat dengan mudah dipecah dengan alat peretasan yang tidak tersedia. Ini karena banyak program perangkat lunak yang membuat file .zip menggunakan algoritma enkripsi dengan standar yang lemah. "
Associate Professor Johns Hopkins University Matthew D. Green mengkonfirmasi masalah ini di utas Twitter, mengatakan bahwa "Saat ini pada banyak versi Windows kuno, ketika Anda mengenkripsi (melindungi kata sandi) file ZIP menggunakan utilitas default OS, Anda mendapatkan enkripsi menggunakan skema ZIP lama, yang benar-benar rusak."
Selain itu, cipher stream PKZIP rentan terhadap serangan plaintext yang diketahui menyebabkan masalah ini adalah "algoritma enkripsi ZIP default pada Windows XP dan versi MacOS saat ini. Untuk kredit Microsoft, mereka menghapusnya pada versi terbaru dari home version of Windows."
Saluran data tak aman ancaman keamanan nasional
Wyden juga menyatakan dalam permintaan yang dikirim ke NIST bahwa alur kerja berbagi data sensitif yang rentan ini merupakan ancaman bencana yang mungkin terjadi, karena pelanggaran data tingkat tinggi dan serangan dunia maya oleh para aktor negara asing merupakan ancaman terus-menerus terhadap keamanan nasional A.S.
"Pemerintah harus memastikan bahwa pekerja federal memiliki alat dan pelatihan yang mereka butuhkan untuk berbagi data sensitif dengan aman," pendapat Senator dalam suratnya.
"Untuk mengatasi masalah ini, saya meminta NIST membuat dan menerbitkan panduan yang mudah dipahami yang menggambarkan cara terbaik bagi individu dan organisasi untuk secara aman berbagi data sensitif melalui internet."
Green menambahkan bahwa "ada peluang besar di sini jika NIST merespons dan meminta proposal komunitas" dengan "peluang besar bagi orang-orang pintar di bidang ini untuk menghasilkan sesuatu yang jauh lebih baik."
Keamanan konten email, rekomendasi NIST
Sebuah yayasan sudah ada di sana melihat bahwa NIST merilis publikasi "Email yang Dapat Dipercaya" pada 26 Februari yang memberikan rekomendasi tentang bagaimana mengurangi "risiko email palsu yang digunakan sebagai vektor serangan" dan "konten email yang diungkapkan kepada pihak yang tidak berwenang."
"Rekomendasi ini mencakup pengirim dan penerima email," sebagaimana dijelaskan oleh NIST, dengan Bagian 5 publikasi yang mencakup "otentikasi server-ke-server dan end-to-end dan kerahasiaan isi pesan. Ini termasuk email yang dikirim melalui Transport Layer Security (TLS), Secure Internet Extensions Serbaguna (S / MIME) dan OpenPGP. "
Sementara NIST menghadirkan S/MIME dan OpenPGP sebagai opsi untuk mengamankan konten email, agensi memberikan rekomendasi berikut kepada organisasi federal: "Jangan menggunakan OpenPGP untuk kerahasiaan pesan. Sebaliknya, gunakan S/MIME dengan sertifikat yang ditandatangani oleh orang yang dikenal CA." []
