Dari sebuah foto (local copy) pada artikel di Washington Post, diketahui NSA ternyata melakukan monitoring terhadap attack tools (yang kebanyakan adalah free dan open source) dan signature terbaru dari produk IDS populer.

Tools yang dipantau antara lain NeSSuS Client, Ethereal, NeSSuS, Nmap, Cain & Abel, Metasploit, Snort, dan Kismet. Sedangkan produk IDS yang dipantai signature-nya antara lain Cisco IDS, ISS Proventia, Symantec IPS, dan McAfee Intrushield. Dan nampak jelas pada gambar, DShield Geographic Distribution of attack sources.

Sekarang… bayangkan jika internet monitoring yang berbasis web tersebut terkena serangan spyware/adware? Kira-kira seperti ini (local copy) mungkin.

Melanjutkan bahasan soal ID-SIRTII dan teknologi yang (akan) mereka gunakan. Saya membandingkan metode pengumpulan logfile yang dilakukan ID-SIRTII dengan metode eavesdropping U.S. National Security Agency (NSA).

Setelah melihat diagram NSA Surveillance Octpus, saya berpikir bahwa metode yang sama mungkin dapat dilakukan di Indonesia.

Sehingga dapat diperkirakan bahwa pada jaringan Internet Exchange Point akan ditempatkan sistem interceptor. Tidak hanya pada jaringan IXP, sistem interceptor mungkin akan dipasangkan pada DNS server utama (server ns1.id, ns2.id, F dan I Root Server), mesin proxy milik ISP besar, dan yang paling dikuatirkan adalah pemasangan sistem interceptor pada mailserver.

Muncul pertanyaan, apakah ada hubungan antara ID-SIRTII dan NSA?

Setelah beberapa kali membaca berita dan postingan blog seputar ID-SIRTII, saya memutuskan untuk mencari-tahu bagaimana perkembangan ID-SIRTII, saya memperoleh beberapa informasi yang menarik.

Dari workshop ID-SIRTII yang diselenggarakan Ditjen Postel pada tanggal 23 November 2005, diambil beberapa kesimpulan menyikapi kondisi potensi kejahatan internet di Indonesia dan dipahaminya kepentingan untuk melakukan pengamanan pemanfaatan jaringan telekomunikasi berbasis protokol Internet.

Undang-undang No 36 tahun 1999 tentang telekomunikasi beserta pengaturan di bawahnya pada prinsipnya digunakan sebagai payung hukum pengaturan pengamanan dan pembentukan ID-SIRTII, namun akan lebih sempurna apabila UU ITE telah diterbitkan.

Informasi berikutnya saya dapatkan dari presentasi Waro Indah Widiastuti yang diberikan pada Symposium on Network Security and SPAM, yang diadakan pada tanggal 22-24 Agustus 2005 di Jakarta, tentang Network Security di Indonesia. Pada halaman 12 dari presentasi yang dimaksud, dipaparkan lingkup kerja ID-SIRTII.

1. To monitor and early detection of internet networks incident in Indonesia.
2. To store the evidence of Internet transaction on Secure Data Center.
3. To support the availability of Digital Forensic and Digital Evident for law enforcement process.
4. To be a Contact Center based on report of security distrubance of internet infrastructure (24/7) from the public.
5. To provide services that include lab simulation, training, consultancy, and socialization.

Namun disayangkan tidak dijelaskan bagaimana prosedur teknis pelaksanaan keseharian ID-SIRTII.

Information Gathering

Sekedar berimaginasi dan sedikit berkonspirasi, sehubungan dengan lingkup yang melakukan monitoring terhadap insiden jaringan dan mengumpulkan informasi yang dibutuhkan, saya memperkirakan bahwa ID-SIRTII mungkin akan melakukan eavesdropping pada jaringan IIX, melakukan data mining dan data analysis, serta melakukan intensive surveillance pada traffic Internet.

Bicara soal data mining dan analysis, bagaimana ID-SIRTII dapat mencari tahu tentang target? Beberapa teknik yang dapat dilakukan oleh ID-SIRTII, yaitu.

• Pencarian berdasarkan keywords — ID-SIRTII akan membuat daftar panjang keywords, individu, nomor telepon, alamat, atau mungkin IP address. Keywords digunakan untuk mengambil jalur komunikasi yang relevan dengan target. Teknik artificial ignorance mungkin akan digunakan.
• Link analysis — ID-SIRTII akan memanfaatkan informasi yang didapat dan kemudian mengembangkannya lagi lebih lanjut. Andaikan ID-SIRTII berhasil mengumpulkan informasi pada seorang hacker, ID-SIRTII kemudian akan mencari tahu siapa saja dan apa saja yang berhubungan dengan hacker tersebut. Informasi lanjutan dapat berupa rekan-rekan si-hacker, room channel yang sering dikunjungi si-hacker, dan lain-lain.

Beberapa hal yang menjadi pertanyaan saya sehubungan eavesdropping yang mungkin akan dilakukan ID-SIRTII.

• Sudahkah ID-SIRTII melakukan eavesdropping?
• Jika sudah, di kanal komunikasi apa ID-SIRTII melakukannya?
• Kepada siapa ID-SIRTII bekerja sama? APJII? IIX? ISP?
• Apakah ada peraturan yang menyetujui atau melarang eavesdropping di Indonesia?
• Bagaimana soal kebijakan privasi di Indonesia?

UPDATE — Berdasarkan berita dari detikinet, ID-SIRTII didukung oleh PerMen yang mewajibkan penyelenggara jasa telekomunikasi yang memanfaatkan protokol internet untuk membuat log files. Khusus untuk penyelenggara yang terhubung ke Internet Exchange Point (IIX atau OpenIXP) dan NAP, maka penyelenggara tersebut wajib terhubung secara online ke sistem milik ID-SIRTII.

…bahasan ini masih akan terus berlanjut.

Sebuah postingan email lama dari Marcus J. Ranum tentang artificial ignorance pada log scanning.

Walau contoh yang diberikan sudah agak lawas, namun postingan tersebut sangat membantu jika kita ingin melakukan analisis log dengan menghiraukan bagian yang “tidak begitu penting” dan membuat statistik untuk memudahkan kita melihat events yang paling sering terjadi.