Rabu, 13 Sep 2017 19:55 WIB

Kolom Telematika

Amankah Perangkat IoT Smart Home Anda?

Penulis: Satriyo Wibowo dan Agus Supriyadi - detikInet
Foto: Shutterstock Foto: Shutterstock
Jakarta - Industri IoT--Internet of Things--tengah menggeliat. Tak hanya di mancanegara, namun juga mulai mewabah ke Indonesia.

Dengan diluncurkannya berbagai event hackathon, forum, dan mulainya pembahasan Tingkat Kandungan Dalam Negeri alias TKDN IoT di Kementerian Perindustrian, tak ada salahnya kita mengingat kembali artikel detikINET pada 2014 yang menyoroti bahaya IoT ini.

Kekhawatiran tersebut terbukti ketika malware botnet Mirai menginfeksi ratusan ribu perangkat IoT untuk melakukan serangan DDoS.

IoT itu sendiri adalah sebuah konsep untuk mengkoneksikan semua perangkat digital tidak hanya smartphone, televisi, kulkas, lampu, smartwatch, serta berbagai peralatan rumah tangga, namun juga sensor dan perangkat lain yang memungkinkan untuk terkoneksi ke Internet satu sama lain.

Untuk lebih dramatisnya, bayangkan bahwa semua perangkat dapat tekoneksi ke Internet, Internet of Things.

Industri IoT

Indonesia IoT Forum memprediksi, pangsa pasar IoT di Indonesia akan mencapai Rp444 triliun pada tahun 2022.

Pasar itu terdiri dari konten dan aplikasi sebesar Rp192,1 triliun, disusul platform sebesar Rp156,8 triliun, perangkat IoT sebesar Rp56 triliun, serta network dan gateway sebesar Rp39,1 triliun.

Hal tersebut dicapai dengan 400 juta perangkat sensor yang terpasang, di berbagai industri dari manufaktur, healthcare, perbankan dan securities, transportasi, utilitas, sampai ke industri perumahan dan pertanian.

Hal ini memacu industri maupun peneliti dan pakar IT untuk mengembangkan IoT dan memacu kemampuan teknologi IoT guna memenuhi berbagai macam kebutuhan.

Mulailah muncul kepedulian baik dari keamanan alat-alat itu sendiri, sistem operasi, jalur serta cara koneksi, serta pengolahan datanya. Modul komunikasi IoT yang mendukung IPv6 juga sudah banyak bermunculan seperti Thread, Bluetooth 5, dan Zigbee IP untuk Smart Home Smart Building serta WiSUN untuk Smart City.

Perlu diketahui untuk sebuah perangkat dapat melakukan fungsinya diperlukan sebuah sistem operasi, yang sudah pasti dalam ukuran kecil dan sederhana mungkin untuk dapat melakukan fungsi-fungsi yang diinginkan. Dikarenakan keterbatasan memory dan power, banyak fungsi standar yang dipangkas, salah satunya fungsi keamanan.

Salah satu contoh penerapan IoT di Smart Home. Foto: detikINET/Adi Fida Rahman


Ada beberapa sistem operasi untuk perangkat IoT, diantaranya adalah; Contiki (RAM < 2kB dan ROM < 30kB), Tiny Os (RAM < 1kB dan ROM < 4kB), Linux (RAM dan ROM < 1MB), lalu RIOT (ROM < 1.5kB dan ROM < 5kB).

Berkembang juga sistem operasi lain seperti Android Thing, Tock, dan Windows for IoT. Beberapa pilihan tersebut disesuaikan dengan kebutuhan dan kapasitas perangkat IoT yang akan dipergunakan, tentunya dengan kemampuan dan keamanan yang berbeda-beda, sehingga cenderung rentan akan serangan.

Dengan level keamanan minimal tersebut, sebuah perangkat melakukan koneksi ke host untuk mengirim data. Sekali lagi hal ini sangat rentan dengan serangan, karena biasanya data dikirim berupa plain teks untuk menghemat kebutuhan bandwidth dan kebutuhan resource dari perangkat IoT tersebut.

Berbeda dengan model IoT LPWAN pada Smart City di artikel sebelumnya yang dikelola operasional dan keamanannya oleh IoT service provider, pengguna perangkat IoT rumahan biasanya tidak peduli akan keamanan.

Seringkali perangkatnya masih menggunakan konfigurasi standar, bahkan login username password pun jarang dirubah.

Foto: ilustrasi smart home

Serangan DDoS dan Mirai Botnet

Pada September 2016, terjadi serangan DDoS dengan skala terbesar dalam sejarahnya.

Serangan ini dilakukan dengan memanfaatkan kelemahan login username password standar ratusan ribu DVR, IP kamera, router, dan printer dari lebih dari 10 negara. Brazil, Kolombia, dan Vietnam tercatat sebagai tiga negara terbanyak yang perangkat IoT-nya terinfeksi oleh Mirai.

Mirai menyerang perangkat IoT yang masih menggunakan login ke seting perangkatnya menggunakan username password standar, menjadikannya sebuah netbots yang dapat dikontrol secara remote untuk melakukan serangan DDoS ke sebuah network.

Salah satu korbannya adalah Dyn yang menjalankan layanan DNS sampai mengakibatkan terganggunya proses resolve ke berbagai domain laman/website penting sehingga tidak bisa diakses.

Makin banyak perangkat IoT yang terinfeksi, makin banyak pula paket DDoS yang dihasilkan. Perlu diketahui untuk membuat down layanan DNS service provider sebesar Dyn, dibutuhkan banyak resource dan bandwidth.

Tercatat dari 620 Gbit/s hingga 1 Tbit/s serangan yang dihasilkan dengan memanfaatkan perangkat IoT yang terinfeksi. Serangan lain yang teridentifikasi adalah kepada laman Krebs on Security dan Lonestar Telecom.

Perangkat IoT sangat berguna dengan berbagai macam fungsinya, untuk mempermudah pekerjaan, melakukan pengecekan banyak hal, pengendalian perangkat, pengolahan informasi dan sebagainya.

Namun demikian, keamanan terhadap perangkat, komunikasi antar perangkat, framework, dan pengolahan data sangatlah penting yang tidak dapat dipisahkan satu sama lain.

Belajar dari kasus serangan Mirai, menurut tim peneliti dari USENIX, ada beberapa standar keamanan yang harus dipenuhi oleh suatu perangkat IoT sebagai berikut:

1. Perbaikan manajemen default password melalui metode random dan kebijakan penutupan akses jarak jauh ke perangkat

2. Adanya fitur update otomatis untuk memperbaiki bug atau menambah fitur, fitur notifikasi dan log apabila ditemukan anomali pada perangkat dan fitur identifikasi terhadap perangkat sehingga mudah ditemukan dan dilakukan perbaikan

3. Adanya enkripsi dan hashing pada proses pengiriman data serta protokol koneksi yang secure terutama ketika melalui gerbang ke internet.

4. Adanya kebijakan dukungan end-of-life ketika suatu saat nanti jutaan perangkat IoT yang telah kuno tidak didukung lagi oleh pabrikannya. Hal ini bisa menjadi bom waktu seperti yang terjadi pada serangan ransomware WannaCry yang menyerang Windows XP.

Semakin pintar perangkat IoT tentu semakin banyak hal positif yang dapat dilakukan, begitu juga hal yang bersifat negatif. Dengan perkembangannya yang sangat pesat, industri IoT haruslah diamankan sejak awal untuk tidak menjadi masalah di kemudian harinya.


Tulisan ini merupakan tulisan kedua dari dua tulisan berseri karya Satriyo Wibowo, (@sBowo), pegiat IPv6 dan Cyber-Jurisdiction, dan Agus Supriyadi (@bosen), Kabid Keamanan APJII. Keduanya aktif di Indonesia Cyber Security Forum terutama dalam riset-riset yang berkaitan dengan Blockchain. Tulisan pertama mereka bisa dibaca di sini:

(rou/rou)
-
Load Komentar ...

Redaksi: redaksi[at]detikinet.com
Informasi pemasangan iklan
Hubungi: sales[at]detik.com
News Feed