Komputer dan Internet akan identik dengan centralisasi informasi pada sebuah perangkat, yang umumnya di sebut dengan server. Lokasi penyimpanan data yang terpusat ini rupanya semakin menyita waktu dan biaya sebagai akibat upaya untuk melindunginya dari gangguan peretas. Tahun 2017 dan 2018 yang sarat akan ancaman ransomware dan jenis malware lainnya menurunkan tingkat kepercayaan pengguna terhadap konsep data yang ter-sentralisasi.

Artikel terkait: Dinamika Security tahun 2019

Hal ini kemudian mendorong pemikiran terhadap konsep desentralisasi yang di percaya dapat menurunkan ancaman terhadap confidentiality dan availability. Tentunya penerapan decentralisasi ini juga menyisakan pertanyaan lain. Bagaimana menjamin integrity terhadap data ataupun informasi yang penyimpanannya tersebar di berbagai lokasi? Bagaimana bisa menentukan mana sumber data yang valid dari berbagai lokasi penyimpanan data jika di temukan adanya perbedaan? Inilah yang kemudian menjadikan BlockChain sebagai salah satu solusi jawaban atas keraguan penerapan konsep Decentralisasi Information.

Ginni Rometty, CEO IBM Corp, pada acara IBM Security Summit 2015 di New York City, ketika ia berbicara kepada CISO (Chief Information Security Officer), CIO, dan CEO 123 perusahaan dari 24 industri. – “We believe that data is the phenomenon of our time. It is the world’s new natural resource. It is the new basis of competitive advantage, and it is transforming every profession and industry. If all of this is true – even inevitable – then cyber crime, by definition, is the greatest threat to every profession, every industry, every company in the world.” Dapat kita artikan disini bahwa karena peranan digitalisasi yang kemudian menghasilkan jumlah data semakin meningkat dan juga terjadi kepada sebagian besar industri. Pada akhirnya peningkatan yang hampir di pastikan eksponensial ini menjadikan CyberCrime sebagai ancaman paling besar kepada seluruh industri. Dengan pemikiran bahwa: data is the new oil, maka tidak salah bilamana fokus peretas kini bukan lagi menciptakan gangguan layanan sebagai akibat dari serangannya. Melainkan lebih memfokuskan kepada bagaimana mendapatkan keuntungan finansial melalui data-data yang dapat di kuasai sebagai hasil keberhasilan peretasan yang di lakukan. Jika serangan yang mentargetkan kepada lokasi dimana data tersimpan berhasil menguasai sasaran, di samping data bisa di kuasai maka bisa saja menjadikan validitas data tersebut menjadi tercemar. Dalam hal ini, kelemahan proses centralisasi data menjadi perhatian terlebih setelah semakin banyak data yang tersimpan. Dari titik inilah, fungsi peranan dari desentralisasi di anggap menjadi sebuah alternatif yang potensial dalam mengisi kelemahan yang di akibatkan oleh proses sentralisasi ini.

BlockChain

Kita umumnya mengenal konsep blockchain dimulai dengan penggunaan uang elektronik. Akan tetapi BlockChain adalah bukan uang elektronik atau yang biasa di sebut juga dengan istilah CryptoCurrency. Ketika Satoshi Nakamoto menerbitkan sebuah artikel yang memperkenalkan dunia pada Bitcoin pada tahun 2008, penulis juga membahas teknologi blockchain sebagai penopang dari cryptocurrency. Sementara Nakamoto berfokus pada blockchain sebagai media untuk Bitcoin, banyak inovator kemudian mengembangkan konsep blockchain ini untuk memberikannya kegunaan baru dari aspek sudut pandang lainnya. Sementara itu National Institute of Standard and Technology (NIST) menyebutkan bahwa core ide atas technology blockchain sendiri sudah di mulai tumbuh sejak pada akhir dekade 1980an hingga awal 1990an. Meski di akui bahwa pengembangan dengan teknologi lainnya oleh software developer baru di mulai pada tahun 2008. NIST dalam salah satu publikasinya yang memiliki nomor NISTR 8202, memberikan definisi mengenai BlockChain pada bagian Executive Summary nya yang dalam bahasa aslinya menyebutkan bahwa BlockChain adalah:

  • Groups cryptographically signed transactions into blocks to form a ledger.
  • Makes the ledger tamper-resistant and tamper-evident by cryptographically linking each block to the previous entry after validation.
  • Resolves conflicts automatically using established rules. Replicates copies of the ledger across a network of independent nodes.

BlockChain secara sederhana adalah merupakan kumpulan block yang berisi data-data yang tersimpan dan terhubung berurutan sehingga membentuk rangkaian. Masing-masing satuan blok terdiri dari dua unsur, yaitu: data dan signature hash. Data berisi data transaksi atau informasi lainnya. Sementara signature hash, adalah hasil proses hashing yang di kalkulasikan berdasarkan isi data pada blok sebelumnya. Hash yang biasa di gunakan dalam BlockChain adalah SHA-256. Block ini akan membentuk chain atau rangkaian yang terurut berdasarkan signature hash yang tersimpan. Jumlah block yang ada pada suatu rangkaian blockchain adalah sangat tidak terbatas. Selain itu, perubahan data pada suatu block akan menyebabkan perbedaan pada signature hash pada block selanjutnya. Ini otomatis akan memutus rangkaian dan menjadikan blockchain tersebut tercemar. Hal ini sekaligus menjadi cara BlockChain menangkal perubahan data sehingga bisa di jaminkan integritas data yang berada pada blockchain tersebut. Hal inilah yang menjadikan BlockChain sebagai solusi yang cocok untuk menjawab kebutuhan akan desentralisasi data maupun informasi. 
Meski sebagian besar kita mengenal BlockChain melalui varian CryptoCurrency, namun sebenarnya penggunaannya tidaklah sebatas pada CryptoCurrency saja. Beberapa industri menerapkan teknologi ini untuk meningkatkan efisiensi, streamline proses bisnis, hingga meningkatkan kepercayaan antar pihak yang bekerja sama serta saling mempergunakan data. Contoh penerapannya dalam industri adalah: smartcontract, identity management systems, supply chain, dan contoh penerapan lainnya yang membutuhkan verifikasi integrity data yang tersimpan di berbagai lokasi.

Teknologi Karakteristik

BlockChain memiliki tiga teknologi karakteristik, yaitu:

  1. Distribusi Ledger, yaitu: sebaran distribusi / desentralisasi terhadap data atau transaksi yang realtime dan auditable meski tersimpan di beberapa lokasi yang di sebut dengan nodes. Setiap nodes akan menerima update bilamana ada pertambahan chain. Untuk kemudian melakukan verifikasi atas penambahan tersebut dengan mekanisme konsensus.  
  2. Spesifikasi langkah keamanan, yaitu: metode enkripsi public dan private key atas setiap akses dari nodes participant. Termasuk proteksi integriti sebagai akibat penggunaan signature hash. Hal ini dengan maksud untuk mencegah upaya perubahan atas block yang sudah ada. Dan juga menjamin immutability dari isi blockchain tersebut.
  3. Mekanisme konsensus, yaitu: mengatur mekanisme validasi data sebelum kemudian di buat sebagai penambahan dari rangkaian blockchain. Langkah ini di mulai dengan menginformasikan kepada nodes lainnya atas penambahan sekaligus melakukan verifikasi atas informasi yang tersimpan di nodes lain secara konsensus. Artinya, block yang baru di tambahkan akan di anggap valid jika secara konsensus di akui oleh minimal 51% dari total seluruh node yang berpartisipasi.

Kasus Penggunaan BlockChain pada CyberSecurity

Meski dapat di pergunakan dalam berbagai aspek kebutuhan, namun pada intinya peranan serta manfaat yang dapat di peroleh melalui penerapan BlockChain adalah integritas data tersebar atau desentralisasi. Manfaat Integritas data inilah yang kemudia di rasakan lebih kental terkait unsur CyberSecurity. Hal inilah yang membuat dalam episode ke 17 ini kita akan membahas empat kasus penerapan dan analisa manfaat BlockChain dalam sudut pandang CyberSecurity. 

Kasus 1: Decentralisasi Storage

Konsep peretasan yang lebih banyak memanfaatkan kelemahan centralisasi data membuat kebutuhan atas pendekatan yang berbeda. Di samping alasan keamanan, pertimbangan kecepatan akses data juga menjadi alasan lain. Data yang di butuhkan oleh satu perangkat, dengan penerapan BlockChain kini bisa secara aman di simpan pada perangkat tersebut. Tanpa perlu di khawatirkan integritas datanya. Yang tersimpan pun bisa saja bervariasi tipe data nya. Mulai dari file biasa, dokumen, hingga informasi biometrik. Semua ini tersimpan setelah melalui proses encryption dan hashing sehingga aman. Jika di butuhkan proses pertukaran data ataupun informasi, maka yang di pertukarkan hanya key untuk membukan encryption. Data atau informasi tersebut tidak akan di kirimkan keluar, untuk menjaga kemungkinan data di rubah pada saat pengiriman berlangsung. Solusi ini cocok di terapkan pada perangkat yang mengumpulkan data seiring dengan aktifitas yang di lakukan. Contoh penggunaannya: drones, kendaraan self-driving, dan medical informasi. Pada bulan Maret 2017 yang lalu IBM mempaten-kan penggunaan BlockChain pada drones. Dengan penggunaan teknologi ini di harapkan data yang memiliki tingkat kerahasiaan yang tinggi dan tersimpan pada drone dapat mempergunakan konsep BlockChain. Informasi lain seperti detil manufacture dan larangan terbang pada area tertentu juga dapat kemudian di simpan secara aman pada perangkat drone. Selain IBM, General Motors juga mempertimbangkan penggunaan BlockChain dalam kendaraan autonomous yang akan mulai di produksi pada tahun 2019. General Motors rupanya tidak sendiri, perusahaan lain seperti BMW juga turun aktif dalam teknologi ini. Bahkan membentuk Mobility Open BlockChain Initiative (MOBI) sebagai upaya meningkatkan penerapan teknologi ini. 

Kasus 2: IoT Security

Di samping penyerangan kepada pusat data, peretas seringkali mentargetkan perangkat yang berada di sisi pengguna. Salah satunya adalah Internet of Things (IoT). Perangkat ini mengumpulkan data melalui sensor yang tersedia. Data yang terkumpul ada yang kemudian di proses pada perangkat untuk pada akhirnya di kirimkan ke server penerima. Jumlah data yang di terima akan jauh lebih banyak dari data yang di kirimkan, karena sebelumnya telah melalui proses. Perangkat IoT ini tidak memiliki computing power yang tinggi, sehingga hampir bisa di pastikan tidak akan memiliki fitur keamanan yang cukup, apalagi memiliki Firewall yang terinstall di dalamnya. Karena peranan dan juga kelemahannya inilah, perangkat ini seringkali menjadi sasaran peretas. Meski banyak upaya sudah di lakukan untuk meningkatkan keamanan pada perangkat IoT, namun tetap saja membutuhkan solusi atas integritas data yang di simpan atau di proses. Perangkat IoT yang tersebar akan sangat tidak efisien untuk mengandalkan konsep sentralisasi control dan command untuk pengambilan keputusan. Joseph Pindar, CTO Gemalto dan co-founder Trusted IoT Alliance, mengungkapkan bahwa: BlockChain memungkinkan perangkat IoT untuk mengambil keputusan tanpa bergantung pada central authority. Secara konsensus, perangkat yang saling terhubung bisa mengetahui bilamana terjadi anomali atau upaya peretasan dengan saling bertukar informasi antar perangkat. Termasuk menon-aktifkan perangkat IoT lain yang telah di kuasai. Di samping dapat mempercepat respon hal ini juga bisa lebih menjamin integritas data pada perangkat. 

Kasus 3: Integritas atas Result Query DNS 

Seperti yang kita ketahui bahwa aktifitas Internet sangat tergantung dari availabilitas Domain Name Server (DNS). DNS menyimpan seluruh IP address atas domain name. Jika DNS server di serang oleh peretas dan di rubah alamat IP aslinya, bisa menyebabkan trafik Internet di belokkan ke situs scam (atau situs yang tidak resmi) tanpa di ketahui oleh pengunjung. Selanjutnya penyerangan seperti peretasan username dan password bisa saja dimungkinkan. Baik penyedia situs resmi maupun pengunjung, akan sulit menyadari hal ini. Lagi-lagi kita berhadapan dengan isu sentralisasi data. Kembali lagi, peranan BlockChain dengan pendekatan decentralisasi-nya menjadi sebuah jawaban. Jika kita mengetik nama situs pada browser, maka selanjutnya akan di kirimkan query ke Top Level Domain (TLD) untuk akhirnya mendapatkan IP Address. TLD untuk domain dot-com, misalnya, di koordinasikan oleh organisasi central authority yang bernama Internet Corporation for Assigned Names and Numbers (ICANN), Nominet atau Denic. Ini artinya semuanya tersentralisasi. Untuk menerapkan BlockChain-based DNS, maka query DNS tidak boleh terpusat. BlockChain DNS Top Level Domain seperti: [dot]bit, [dot]bazar, dan [dot]coin tersebar pada peer-to-peer network yang membangun ecosystem BlockChain DNS. Untuk memudahkan pengguna mengakses TLD BlockChain-based DNS juga sudah tersedia plugin pada Mozilla Firefox dan Chrome sejak April 2018. Penyebaran DNS data ini tentunya akan menjadikan penyerang kesulitan untuk mengubah data di karenakan penyimpanannya yang tersebar.

Kasus 4: Private Messaging Security

Private Messaging hampir seluruhnya mempergunakan end-to-end encryption. Artinya: pesan yang dipertukarkan tidak dalam di sadap oleh pihak ketiga. Namun ternyata ada masalah lain yang jarang terpikirkan. Kita ambil sebuah contoh, ada dua orang yang ingin saling mengirimkan pesan. Katakanlah namanya Budi dan Amir. Setiap Budi akan mengirimkan pesan text ke Amir, maka isi pesannya akan di encrypt dengan Private key. Setelah pesan sampai pada perangkat Amir, maka akan di decrypt dengan Public key. Informasi yang di kirimkan selalu dalam keadaan ter-enkripsi hingga di terima pada perangkat. Masalahnya kini adalah bukan kepada integritas informasi pada saat transit. Untuk Budi bisa mengirimkan pesan text ke Amir, dia perlu mengetahui public address Amir. Lokasi penyimpanan public address ini tersentralisasi. Katakanlah lokasi ini di simpan oleh Ari, seperti Kasus ke 3 tentang DNS. Ari dalam kasus ini akan menerima request atas alamat public, baik Budi atau Amir. Ari mungkin saja jujur dan bisa di percaya. Namun pasti ada kalanya Ari di retas dan datanya di rubah. Sehingga jika Amir membutuhkan alamat public Budi untuk mengirimkan pesan, Ari bisa saja memberikan alamat lain sehingga text di kirimkan ke alamat yang salah. Dan dalam hal ini encryption yang di terapkan menjadi sia-sia, karena pesan di terima oleh pihak ketiga yang tidak berwenang. Alamat public dan informasi pengguna lainnya di sebut sebagai metadata. Dalam kasus Private Messaging, bukan pesan yang dipertukarkan yang menjadi concern utama. Melainkan validitas metadata yang turut di pertukarkan satu sama lain. Di sinilah peranan BlockChain dapat meningkatkan keamanan metadata sehingga di samping encryption, alamat public dan informasi lainnya akan lebih aman dan terjamin integritasnya.

Tantangan Penerapan BlockChain pada CyberSecurityEmpat hal yang menjadi keuntungan penggunaan BlockChain pada CyberSecurity, yaitu: Decentralization, Cryptographic Encryption, Immutability, dan Consensus-based Control. Baik Private, Public, atau Hybrid BlockChain, semuanya berpengaruh positif bahkan tetap menjamin secara maksimal integritas data yang tersimpan meski ter-desentralisasi pada lokasi yang lain. Tetapi tentunya tidak serta merta dapat langsung di terapkan tanpa memperhatikan faktor lain. Salah satu kendalanya adalah Data Sovereignity. Karena lokasi penyimpanan BlockChain yang tersebar dan sulit sekali di tentukan lokasi fisiknya, maka perlu di perhatikan ketentuan dan regulasi pemerintah setempat. Hal ini bukan boleh atau tidaknya, melainkan komponen lainnya dalam compliance, misalnya: standar enkripsi. Konsep consensus pada BlockChain akan semakin efektif bilamana jumlah node semakin banyak, namun perlu pengawasan lokasi dan compliance yang berlaku. Apalagi jika di kaitkan dengan GDPR. Ini yang membuat di butuhkan perencanaan yang matang dalam perencanaan sebelum masuk dalam penerapan.

Sobat Bincang Cyber, inovasi teknologi akan selalu memberikan celah kelemahan. Hal ini juga terjadi pada inovasi CyberSecurity. Ini bukanlah berarti cacat atas teknologi tersebut melainkan memberikan ruang untuk improvemen pada cycle berikutnya. BlockChain dipercaya merupakan jawaban atas Integritas data yang ter-desentralisasi. Penggunaannya memang lebih banyak di terapkan pada cryptocurrency, namun bukanlah tidak cocok pada lainnya. Empat kasus yang di berikan disini adalah hanya sebagian kecil contoh penerapan dan bahkan akan jauh berkembang di masa datang. Kehati-hatian dalam perencanaan akan sangat di perlukan agar tidak berdampak pada compliance atau bahkan bertentangan dengan regulasi negara tempat lokasi fisik node BlockChain berada. 

Cyber Security Strategist with 20+ years experience in CyberSecurity
About the Author
Faisal has two decades of progressive leadership experience in Cyber Security and Enterprise Architecture. Playing an integral role in spearheading all Integration of IS/IT, IT Infosec Strategy, Security Technology Roadmaps, CyberSecurity Architecture, Incident Response Team, and Red/Blue Teaming (cross functional team leadership – Purple teaming). Proven role model, Virtual CISO, and an engineering mentor, including university post-graduate lecturer. Engaged with the Asian IT communities, actively researching, speaking and advocating for better Cybersecurity. Apart from coaching the next generation leaders, Faisal actively engages with the IT communities within the region, giving time on researching, speaking at public conferences and advocating on better Cybersecurity practices and defining improvements in the Information Security space.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.