3 bulan yang lalu
Telset.id – Penelitian terbaru mengungkap kebenaran mengejutkan bahwa sekitar separuh sinyal satelit geostasioner nan membawa komunikasi sensitif konsumen, korporasi, dan pemerintah rupanya tidak terenkripsi dan dapat disadap dengan peralatan sederhana. Tim peneliti dari UC San Diego dan University of Maryland sukses mengumpulkan beragam info rahasia termasuk percakapan telepon, pesan teks, komunikasi militer, dan info prasarana kritis hanya menggunakan sistem penerima satelit seharga $800.
Selama tiga tahun, para peneliti mengembangkan dan menggunakan sistem penerima satelit komersial nan dipasang di genting gedung universitas di La Jolla, San Diego. Dengan hanya mengarahkan piringan satelit mereka ke beragam satelit dan menghabiskan bulanan untuk menginterpretasi sinyal nan tidak terlindungi, mereka sukses mengumpulkan kumpulan info pribadi nan mengkhawatirkan.
“Ini betul-betul mengejutkan kami. Ada beberapa bagian krusial prasarana kami nan mengandalkan ekosistem satelit ini, dan kecurigaan kami adalah semuanya bakal terenkripsi,” kata Aaron Schulman, guru besar UCSD nan memimpin penelitian. “Tapi berulang kali, setiap kali kami menemukan sesuatu nan baru, rupanya tidak terenkripsi.”
Kelompok peneliti ini mempresentasikan makalah mereka nan berjudul “Don’t Look Up” di konvensi Association for Computing Machinery di Taiwan. Judul tersebut merupakan referensi dari movie tahun 2021 dengan nama nan sama, tetapi juga frasa nan menggambarkan strategi keamanan siber nan tampaknya diadopsi oleh sistem komunikasi satelit global.
“Mereka berasumsi bahwa tidak bakal ada nan pernah memeriksa dan memindai semua satelit ini untuk memandang apa nan ada di luar sana. Itu adalah metode keamanan mereka,” jelas Schulman. “Mereka betul-betul tidak berpikir ada nan bakal memandang ke atas.”
Percakapan Telepon dan Data Penerbangan Terbuka
Para peneliti mengatakan mereka telah menghabiskan nyaris setahun terakhir memperingatkan perusahaan dan agensi nan info sensitifnya mereka temukan terbuka dalam komunikasi satelit. Sebagian besar, termasuk T-Mobile, dengan sigap mengenkripsi komunikasi tersebut dan melindungi data. Namun beberapa pemilik prasarana kritis AS nan rentan tetap belum menambahkan enkripsi ke sistem berbasis satelit mereka.
Panggilan telepon dan pesan teks nan diperoleh para peneliti khususnya terbuka lantaran penggunaan komunikasi satelit oleh operator telekomunikasi nan sering diabaikan untuk menawarkan cakupan seluler kepada pengguna telepon biasa nan terhubung ke menara sel di letak terpencil.
Siapa pun nan menyiapkan penerima satelit mereka sendiri di wilayah nan sama dengan salah satu menara sel terpencil tersebut – seringkali berjarak ribuan mil – dapat mengambil sinyal nan sama nan dimaksudkan untuk menara tersebut. Hal ini memungkinkan tim peneliti untuk memperoleh setidaknya sejumlah info backhaul tidak terenkripsi dari operator T-Mobile, AT&T Mexico, dan Telmex.
Data T-Mobile sangat signifikan: Dalam hanya sembilan jam perekaman komunikasi satelit backhaul T-Mobile dari piringan tunggal mereka, para peneliti mengumpulkan nomor telepon lebih dari 2.700 pengguna serta semua panggilan telepon dan pesan teks nan mereka terima selama waktu itu.
“Ketika kami memandang semua ini, pertanyaan pertama saya adalah, apakah kami baru saja melakukan kejahatan? Apakah kami baru saja melakukan penyadapan?” kata Dave Levin, guru besar pengetahuan komputer University of Maryland nan ikut memimpin penelitian. Faktanya, tim tidak secara aktif mencegat komunikasi apa pun, hanya mendengarkan secara pasif apa nan dikirim ke piringan penerima mereka.
Peneliti juga menemukan bahwa Telmex Meksiko mentransmisikan panggilan bunyi tidak terenkripsi. Mereka lebih lanjut menemukan bahwa AT&T Mexico mentransmisikan info mentah melalui satelit nan mencakup lampau lintas internet pengguna – sebagian besar dienkripsi dengan HTTPS oleh aplikasi alias browser nan mereka gunakan – tetapi juga beberapa metadata panggilan dan pesan teks.
Komunikasi Militer dan Infrastruktur Kritis Terbuka
Piringan satelit para peneliti juga sukses menarik kumpulan signifikan komunikasi militer dan penegak norma nan tidak terlindungi. Mereka memperoleh, misalnya, komunikasi internet tidak terenkripsi dari kapal laut militer AS, serta nama-nama kapal tersebut.
Untuk militer dan penegak norma Meksiko, paparannya jauh lebih buruk: Para peneliti mengatakan mereka menemukan apa nan tampaknya merupakan komunikasi tidak terenkripsi dengan pusat komando jarak jauh, akomodasi pengawasan, dan unit militer dan penegak norma Meksiko. Dalam beberapa kasus, mereka memandang transmisi tidak terlindungi dari info intelijen sensitif tentang aktivitas seperti perdagangan narkoba.
“Ketika kami mulai memandang helikopter militer, bukan volume info nan mengkhawatirkan, tetapi sensitivitas ekstrem dari info itu nan membikin kami prihatin,” kata Schulman.
Sama sensitifnya, mungkin, adalah komunikasi sistem industri dari prasarana kritis seperti jaringan listrik dan platform minyak dan gas lepas pantai. Dalam satu kasus, mereka menemukan bahwa Comisión Federal de Electricidad (CFE), utilitas listrik milik negara Meksiko dengan nyaris 50 juta pelanggan, mentransmisikan komunikasi internalnya secara terbuka – mulai dari perintah kerja nan mencakup nama dan alamat pengguna hingga komunikasi tentang kegagalan peralatan dan ancaman keselamatan.
Dalam kasus lain nan belum mereka rinci secara publik, para peneliti mengatakan mereka juga memperingatkan pemilik prasarana AS tentang komunikasi satelit tidak terenkripsi untuk perangkat lunak sistem kontrol industri. Dalam panggilan telepon mereka dengan pemilik prasarana tersebut, beberapa pemilik apalagi mengungkapkan kekhawatiran bahwa tokoh jahat mungkin mempunyai keahlian tidak hanya untuk memantau sistem kontrol akomodasi mereka, tetapi juga, dengan kecanggihan nan cukup, berpotensi menonaktifkan alias memalsukannya untuk mengutak-atik operasi fasilitas.
Para peneliti memperoleh beragam macam info korporasi dan konsumen lainnya: Mereka menarik info Wi-Fi dalam penerbangan untuk sistem Intelsat dan Panasonic nan digunakan oleh 10 maskapai penerbangan berbeda. Dalam info tersebut, mereka menemukan metadata tidak terenkripsi tentang aktivitas penelusuran pengguna dan apalagi audio tidak terenkripsi dari program buletin dan pertandingan olahraga nan disiarkan kepada mereka.
Mereka juga memperoleh email korporat dan catatan inventaris anak perusahaan Walmart di Meksiko, komunikasi satelit ke ATM nan dikelola oleh Santander Mexico, serta bank Meksiko Banjercito dan Banorte. Seperti nan terjadi dengan insiden hilangnya pesawat NASA di Mars, teknologi canggih rupanya tetap mempunyai celah keamanan nan serius.
Jumlah info mengenai Meksiko dalam temuan para peneliti tentu saja bukan kebetulan. Meskipun piringan satelit mereka secara teknis bisa mengambil transmisi dari sekitar seperempat langit, sebagian besar wilayah itu termasuk Samudra Pasifik, nan mempunyai relatif sedikit satelit di atasnya, dan hanya sebagian mini transponder pada satelit nan dilihatnya nan mentransmisikan info ke arah piringannya.
Hasilnya, para peneliti memperkirakan, mereka hanya memeriksa 15 persen komunikasi transponder satelit global, sebagian besar di AS barat dan Meksiko. Itu menunjukkan siapa pun dapat menyiapkan perangkat keras serupa di tempat lain di bumi dan kemungkinan bakal memperoleh kumpulan info sensitif mereka sendiri.
Bagaimanapun, para peneliti membatasi penelitian mereka hanya pada perangkat keras satelit komersial: piringan satelit $185, mount genting $140 dengan motor $195, dan kartu tuner $230, total kurang dari $800. “Ini bukan sumber daya tingkat NSA. Ini adalah sumber daya tingkat pengguna DirecTV. Hambatan masuk untuk serangan semacam ini sangat rendah,” kata Matt Blaze, intelektual komputer dan kriptografer di Georgetown University.
Para peneliti mengakui bahwa pekerjaan mereka mungkin memungkinkan orang lain dengan niat kurang baik untuk menarik info nan sangat sensitif nan sama dari luar angkasa. Namun mereka berdasar itu juga bakal mendorong lebih banyak pemilik info komunikasi satelit tersebut untuk mengenkripsi info itu, untuk melindungi diri mereka sendiri dan pengguna mereka.
