9 PEMIKIRAN UNTUK INDONESIA SEBELUM PENERAPAN E-VOTING (part-1)

“ If you think technology can solve our voting problems, then you don’t understand the problems and you don’t understand the technology” (from Rebecca Mercuri)

Ketergesaan dalam mengeluarkan kebijakan yang mempengaruhi hajat hidup orang banyak, atau lebih tepatnya 252.370.792 rakyat Indonesia, adalah praktik pengambilan keputusan yang sembrono. Termasuk pula kertergesaan dalam menentukan apakah bangsa ini akan menggunakan sistem electronic voting (e-voting) dalam Pemilu Presiden. Untuk sebuah safety-critical system dengan tingkat resiko yang sangat tinggi seperti e-voting, ketergesaan adalah niscaya kehancuran. Berikut adalah sembilan pemikiran, terbagi dalam tiga tulisan, yang harus dilakukan Indonesia sebelum memutuskan untuk menggunakan e-voting [1].

REQUIREMENT MAPPING – adalah langkah pemetaan kebutuhan Pemilu Presiden Indonesia terhadap potensi perbaikan yang ditawarkan oleh e-voting. Ini adalah inisiasi pemahaman atas masalah-masalah yang menggelayuti Pemilu Presiden Indonesia, argumen rasional munculnya wacana perubahan sistem pemilihan. Kegagalan identifikasi masalah Pemilu Presiden Indonesia memungkinkan kesalahan pengambilan keputusan yang dapat berakibat pada kegagalan solusi, inefisiensi, kekacauan administratif, hingga tidak terakomodirnya landasan Pemiluluber jurdil. Harus disadari dan disepakati sejak awal bahwa e-voting bukanlah tongkat sihir yang dapat memperbaiki sistem pemilihan di Indonesia dalam satu helaan napas; bahkan e-voting bisa jadi bukanlah solusi yang selama ini kita cari. Masalah-masalah Pemilu Presiden mungkin saja dapat terselesaikan dengan perbaikan sistem administrasi, pengetatan pengawasan, atau penguatan landasan hukum dan regulasi; tanpa harus melibatkan teknologi dan paradigma demokrasi baru seperti e-voting. Untuk itu, pemetaan kebutuhan Pemilu Presiden terhadap potensi e-voting  adalah keharusan.

INFRASTRUCTURE READINESS INDEXING – merujuk pada proses kajian dan pengukuran kesiapan infrastruktur yang diperlukan untuk menerapkan e-voting. Kesiapan infrastruktur termasuk, namun tidak boleh dipersempit menjadi hanya, bahasan mengenai ketersediaan jaringan informasi dan komunikasi, kesiapan infrastruktur teknologi, dan efektifitas organisasi penyelenggara e-voting. Hal lain yang sering terabaikan adalah kesiapan industri nasional terkait pengadaan, penyediaan dan pengembangan sistem e-voting yang akan digunakan dalam Pemilu Presiden Indonesia. Sistem pemilu elektronik Indonesia tidak boleh diserahkan kepada pihak pengembang swasta (konsultan teknologi) untuk alasan-alasan antara lain:

(1)menjaga kedaulatan demokrasi – memberikan mandat kepada (ed. terlebih lagi) pengembang swasta near-monopolist, seperti yang telah banyak terjadi, berarti mengebiri azas luber jurdil demi alasan kenyamanan dan efisiensi yang belum terbukti;

(2)memastikan independensi pemerintah dan lembaga penyelenggara pemilu (KPU) – harus disadari bahwa tidak banyak pihak, if any, dalam jajaran pemerintah yang memiliki adequate understanding tentang teknologi untuk pemilu. Situasi ini dapat berdampak pada kesalahan pengambilan keputusan saat pengembangan sistem oleh pihak swasta, terutama berkaitan dengan translasi proses demokrasi menjadi spesifikasi teknis. Lebih jauh, hal ini juga berakibat pada ketergantungan para penyelenggara pemilu pada apapun solusi teknis yang ditawarkan pihak konsultan; artinya, kemudi demokrasi tidak lagi berada di tangan pemerintah, tapi di pihak swasta;

(3)memastikan keberlanjutan teknologi yang digunakan – banyak orang belum belajar dari kegagalan penerapan e-voting di Irlandia, Belanda dan Jerman, bahwa memberikan mandat pengembangan sistem e-voting kepada pihak swasta berarti komersialisasi sistem publik, i.e. menisbikan transparansi dan ketersediaan informasi publik (through embracing commercial law and regulations), memasung keterlibatan publik dalam proses pengembangan sistem, mengebiri mekanismepublic assessment and review yang pada akhirnya dapat menghancurkan kepercayaan masyarakat terhadap sistem, penyelenggara, dan hasil pemilu.

SOCIOTECH GAP EVALUATION AND E-VOTING READINESS INDEXING –adalah langkah evaluasi dan pengukuran kesiapan masyarakat dalam mengadopsi paradigma dan teknologi demokrasi baru. Jika anda masih berpikir bahwa menerapkan e-voting hanya berarti mengganti surat-suara kertas menjadi surat-suara elektronik, anda harus berpikir ulang dengan lebih cermat. Mengubah paradigma demokrasi berarti mengubah pola, kultur, tradisi, struktur, dan proses demokrasi. Kampanye tradisional tidak akan lagi efektif dan akan diganti dengan kampanye elektronik, contohnya. Sudahkah tersedia infrastruktur yang memadai untuk: mencegah dan menangani black campaigns, memastikan bahwa informasi pemilu yang tersebar adalah valid, meyakinkan bahwa disputes tentang transaksi elektronik atas proses dan/atau hasil pemilu dapat terselesaikan melalui ketersediaan perangkat aturan dan kebijakan yang efektif, menghindari kesalahan prosedural akibat tingkat literasi dijital masyarakat yang masih rendah, dan ratusan aspek terkait lainnya?

Pertanyaan yang lebih mendasar adalah: “Sudahkah kita siap untuk e-voting?“.

Bersambung.

[1] M. Hapsara, “E-Voting Indonesia: A safety-critical-systems model towards standard and framework for Indonesia’s presidential election,” in International Conference on Information Technology, 2013, pp. 81-86.

Advertisements

E-VOTING INDONESIA: Transparansi, Yes! Komersialisasi, No!

Dalam artikel sebelumnya, kami mengusulkan penggunaan pendekatan security by design untuk penerapan e-voting di Indonesia. Hal ini tentu saja bukan tanpa tantangan, terutama dalam mengedepankan aspek transparansi. Dibutuhkan lebih dari sekedar ketersediaan teknologi untuk memastikan pendekatan tersebut terlaksana. Kesiapan payung hukum, ketersediaan infrastuktur, kesiapan masyarakat, efektivitas mekanisme kontrol dan evaluasi, hingga peningkatan kesadaran publik adalah beberapa dari banyak hal lain yang dibutuhkan. Berikut adalah beberapa hal yang menurut kami (Hapsara, 2011) patut dipertimbangkan dalam menggunakan pendekatan Security by Design.

Protokol dari sistem e-voting yang diajukan harus dipublikasi.

Protokol menentukan cara sebuah sistem berkomunikasi dan bertukar data dalam format dijital dengan sistem lain. Dalam kerangka e-voting, protokol disandarkan pada sekumpulan aturan pemilihan, yang didefinisikan oleh sekumpulan pasal hukum tentang pemilihan, mengenai bagaimana sebuah proses pemilihan seharusnya dilaksanakan, i.e. bagaimana pemilih seharusnya memilih, bagaimana suara pemilih dipindahkan ke ballot, bagaimana data suara seharusnya dihitung dan ditampilkan, dan lain-lain. Protokol dibangun pada fase perancangan sistem. Penekanan transparansi melalui Security by Design dalam hal ini berarti bahwa protokol dari sistem e-voting yang diajukan harus dipublikasi untuk diobservasi dan dinilai oleh publik.

Salah satu cara untuk mencegah ambiguity dan menghasilkan penilaian publik yang objektif adalah dengan menghadirkan protokol tersebut dalam model formal matematis. Para peneliti di seluruh dunia telah menggunakan pendekatan ini untuk memodelkan dan memverifikasi barbagai macam skenario e-voting dengan memperhatikan requirements sistem-nya (Cansell, Gibson, & Mery, 2007; Meng, 2008, 2009; Villafiorita, Weldemariam, & Tiella, 2009; Weldemariam, Kemmerer, & Villafiorita, 2009). Disadari bahwa agar dapat dikatakan telah terverifikasi secara menyeluruh, sistem e-voting yang diajukan harus diuji dalam kerangka, sedikitnya,fairness, eligibility, privacy, receipt-freeness, coercion-resistance, dan verifiability. Ini adalah pekerjaan yang relatif banyak dan memakan waktu. Namun harus diyakini bahwa untuk sebuah Safety Critical System seperti e-voting, hal ini adalah keniscayaan dan tidak akan sia-sia.

Sistem e-voting yang diajukan haruslah berbasis open-source dan open-architecture.

Memperlakukan sistem e-voting seperti sebuah piranti lunak komersial, atau memperlakukannya selayaknya sebuah proyek rahasia tentunya tidak akan membantu tercapainya tingkat kepercayaan masyarakat yang tinggi. Piranti lunak komersial cenderung berusaha menghindari penilaian publik dan eksposur terhadap kelemahan sistem mereka untuk alasan-alasan, seperti: popularitas, reputasi perusahaan pembuatnya, pencitraan merek, dan sebagainya. Sebagai hasil, source code disembunyikan, arsitektur sistem dirahasiakan, uji dan penilaian dilakukan secara sembunyi-sembunyi, dan tersedia sangat sedikit dokumentasi tentang piranti tersebut. Sebagai contoh, tercatat bahwa alasan utama dari kegagalan penerapane-voting di Irlandia adalah karena Pemerintah Irlandia memberikan proyek pembangunan sistem e-voting mereka kepada perusahaan swasta yang memperlakukan e-voting sebagaimana sebuah proyek komersial dan rahasia. Perusahaan tersebut gagal pula dalam menyediakan dokumentasi yang memadai, bahkan source code dari piranti mereka tidak boleh disebarluaskan pada saat evaluasi (McGaley & Gibson, 2003).

Dengan demikian, transparansi disini seharusnya dapat dicapai dengan pemanfaatan piranti berbasis open-source dan open-architecture. Sistem open-source memastikan bahwa uji dan penilaian dapat dilakukan secara publik dan independen. Selain itu, sistem ini juga dapat memastikan bahwa suara yang telah diberikan oleh pemilih akan selalu berada dibawah pengawasan publik, karena sistem yang transparan; dan bahwa potensi penyelewengan dan penyalahgunaan data dapat segera diketahui.

Sistem e-voting yang diajukan harus menghindari over-complexity, dan fungsi-fungsi enkripsi keamanan harus diketahui publik.

Sebuah sistem e-voting harus dibuat sesederhana mungkin. Para perancang harus menghindari penggunaan algoritma yang terlalu rumit dan harus mendasarkan rancangan mereka atas arsitektur sistem yang sederhana. Semakin rumit sebuah sistem, semakin sulit untuk diuji dan dinilai, yang pada akhirnya akan mengurangi tingkat kepercayaan masyarakat. Hal ini berlaku pula untuk fungsi-fungsi enkripsi. Bahkan, jika memang penggunaan algoritma enkripsi yang rumit tidak dapat dielakkan, fungsi-fungsi tersebut harus tetap dipublikasi agar masyarakat mengetahui.

DAFTAR PUSTAKA

Cansell, D., Gibson, J. P., & Mery, D. (2007). Formal Verification of Tamper-Evident Storage for E-Voting.

Hapsara, M. (2011). Imposing Transparency in Indonesia’s E-Voting System through Security by Design. Paper presented at the E-Indonesia Initiative, Bandung, Indonesia.

McGaley, M., & Gibson, J. P. (2003). Electronic Voting: A Safety Critical System.

Meng, B. (2008). Formal Analysis of Key Properties in the Internet Voting Protocol using Applied Pi Calculus. Information Technology Journal, 1-8.

Meng, B. (2009). A Formal Logic Framework for Receipt-Freeness in Internet Voting Protocol. Journal of Computers, 4(3), 184-192.

Villafiorita, A., Weldemariam, K., & Tiella, R. (2009). Development, Formal Verification, and Evaluation of an E-Voting System with VVPAT. IEEE Transactions on Information Forensics and Security, 4(4), 651-661.

Weldemariam, K., Kemmerer, R. A., & Villafiorita, A. (2009). Formal Analysis of Attacks for E-Voting System.

E-VOTING INDONESIA: Security by Obscurity versus Security by Design

Ada banyak kriteria yang harus menjadi bahan pertimbangan saat merancang–bangun sebuah sistem e-voting: otentikasi pemilih (authentication), keunikan pemilih (uniqueness), akurasi suara (accuracy), integritas data (integrity), keabsahan suara (verifiability), auditabilitas (auditability), keandalan data (reliability), kerahasiaan suara (secrecy), tidak adanya unsur paksaan (non-coercibility), fleksibilitas bagi pemilih (flexibility), kenyamanan (convenience), certifiability, transparansi (transparency), kemudahan akses (accessibility), kemudahan penggunaan (simplicity), dan efektifitas biaya (cost-effectiveness). Dalam artikel ini dua kriteria,certifiability dan transparansi, akan dibahas secara singkat untuk melatarbelakangi diskusi. Kriterium pertama, certifiability, merujuk pada kondisi dimana sebuah sistem pemilihan harus secara resmi dan independen diuji terhadap parameter dan tetapan dalam rancangannya. Idenya disini adalah memberitahukan kepada publik bahwa sebuah sistem akan bekerja sesuai parameter dan tetapan rancangannya, dengan demikian tingkat kepercayaan publik terhadap sistem akan meningkat.

Kriterium kedua, transparansi, merujuk pada kondisi dimana sebuah sistem pemilihan harus bersifat transparan kepada seluruh pemangku kepentingannya, termasuk didalamnya: pemilih, kandidat, Pemerintah, dan Pelaksana Pemilihan. Mereka harus diberikan akses ke seluruh sumber daya, informasi tentang cara kerja sistem, informasi tentang rancang-bangun sistem, kelemahan sistem, dan lain-lain. Mereka harus mampu meyakinkan diri mereka sendiri, dengan cara melakukan telaah dan verifikasi atas sistem, bahwa sistem pemilihan akan bekerja sebagai mana mereka inginkan. Salah satu cara untuk mencapai ini adalah dengan menggunakan sistem berbasis open-source dan open-architecture. Hal ini akan membuka akses publik untuk melakukan telaah dan verifikasi dari rancangan sistem pemilihan yang diajukan, dan membantu Pelaksana Pemilihan menemukan kelemahan sistem.

Adalah kesalahpahaman yang umum terjadi dimana seseorang beranggapan bahwa untuk menjaga keamanan sebuah sistem, maka sistem tersebut harus dijaga ketat kerahasiaannya. Pendekatan ini disebut sebagai Security by Obscurity. Pendekatan ini berpegang pada asumsi bahwa sebuah sistem, walaupun telah diketahui memiliki kelemahan baik secara teoritis maupun aktual, harus selalu menyembunyikan kelemahannya sehingga terhindar dari incaran para penyerang. Asumsi demikian tentu saja tidak dapat diharapkan bertahan lama di dunia nyata. Oleh karena itu, sejak awal, Security by Obscurity tidak pernah dimaksudkan sebagai satu-satunya pemecahan untuk masalah-masalah keamanan sistem; melainkan sebagai bagian dari sebuah taktik pertahanan sistem yang lebih dalam dan luas yang didefinisikan pada saat proses rekayasa sistem tersebut. Security by Obscurity hanya diharapkan untuk mampu menyediakan halangan sementara bagi penyerang pada saat solusi sesungguhnya untuk masalah keamanan sistem tersebut diterapkan. Dengan demikian, menggunakan dan bergantung pada pendekatan Security by Obscurity secara terus menerus untuk sebuah system yang kelemahannya telah diketahui oleh umum, contohnya Internet, sesungguhnya adalah sebuah kesalahan proses rancang (Hapsara, 2011).

E-voting tidak dapat diterapkan dengan pendekatan Security by Obscurity semata karena terdapat banyak kepentingan politis dan sosial yang terkait dengannya. Sejak awal proses perancangan haruslah menekankan pada asumsi bahwa seluruh aspek keamanan sistem telah diketahui oleh para penyerang, kemudian sistem dirancang berdasarkan asumsi tersebut. Para perancang sistem e-voting tidak dapat menggunakan pendekatan yang biasa dilakukan untuk piranti lunak komersil, dimana untuk menarik minat pembeli mereka bergantung pada pendekatan Securityby Obscurity dan menyembunyikan kelemahan-kelemahan sistem mereka. Para perancang sitem e-voting harus mengoptimasi aspek observasi dan penilaian publik untuk memastikan bahwa kesamaan pendapat umum tentang dan kepercayaan masyarakat atas keandalan sistem yang mereka rancang dapat tercapai. Pendekatan ini dinamakan sebagai Security by Design (Hapsara, 2011).

Security by Design berarti bahwa aspek keamanan dari sistem e-voting haruslah dirancang bottom-up dan bahwa publik harus diikutsertakan dalam prosesnya. Pendekatan ini sangat menguntungkan karena akan ada banyak pihak yang berkontribusi melihat kedalam sistem, menguji dan mengevaluasi; dimana pada akhirnya akan mempercepat proses ditemukannya titik-titik kelemahan sistem. Pendapat ini didasarkan pada hukum Linus (Raymond), mengikuti nama Linus Torvalds, yang menyatakan bahwa given enough eyeballs, all bugs are shallow. Artinya, dengan memanfaatkan banyak beta-tester dan co-developer, diharapkan hampir semua kelemahan keamanan dan potensi ancaman terhadap sistem dapat diidentifikasi dalam waktu yang relatif jauh lebih singkat.

Pendekatan diatas telah diadopsi oleh banyak peneliti e-voting dan banyak Pelaksana Pemilihan di Eropa dan U.K. The council of Europe dalam (Caarls, 2010) menyatakan bahwa “before deciding to pilot or introduce e-voting, there should be sufficient public debate on the subject. Mereka juga berargumen bahwa langkah ini patut diambil karena dapat membantu para perancang sistem untuk menggali dan mengumpulkan lebih jauh requirements dari para calon pengguna sistem. Diskusi dan debat publik tentang rancangan mereka harus diyakini akan membangkitkan rasa percaya masyarakat dan menghadirkan transparansi. Proses ini juga akan memberikan gambaran apakah calon pemilih mau mengadaptasi sistem e-votingdan apakah mereka dapat melihat keunggulan dan kelemahan sistem tersebut. Dan yang paling penting adalah bahwa hal ini membuat Pemerintah dan Pelaksana Pemilihan tahu apakah e-voting telah benar-benar mendapat kepercayaan masyarakat sebelum mereka memutuskan bahwa sebuah negara siap untuk menerapkan e-voting.

Lebih lanjut, Department for Communities and Local Government di U.K. menerbitkan sebuah laporan di Mei 2006. Laporan ini (–, 2006) dimaksudkan sebagai acuan yang melandasi penerapan e-voting dan dapat digunakan sebagai rujukan tata cara pelaksanaan e-voting untuk Pemilihan anggota Parlemen dan Pemerintah lokal. Dalam salah satu bagiannya, laporan ini menyebutkan dengan sangat tegas tentang pentingnya aspek kesadaran dan kepercayaan publik. Disebutkan, sehubungan dengan langkah-langkah telaah dan sosialisasi dalam penerapan e-voting, bahwa “the issue of public opinion around secrecy needs to be opened to a full and frank public debate in which all interests are encouraged to voice their opinions. Laporan ini juga menekankan urgensi peningkatan kesadaran publik melalui transparansi dan mengharuskan dilakukannya demonstrasi (simulasi) yang memberikan gambaran terpenuhinya aspek-aspek keamanan, kerahasiaan, dan privasi calon pemilih.

Singkatnya pendekatan yang menyembunyikan kelemahan rancangan, menutup lubang kerentanan dengan kamuflase pencitraan, mengunci catatan-catatan kesalahan dalam lemari besi komersil, membelenggu mekanisme evaluasi publik, dan menafikkan urgensi kesadaran publik bukanlah pilihan dalam penerapan e-voting di Indonesia. Jadi pertanyaannya belum lagi sampai pada ‘apakah kita akan mampu menerapkan e-voting’. Untuk Indonesia saat ini, ‘apa yang kita tahu tentange-voting’ adalah pertanyaan yang lebih tepat.

DAFTAR PUSTAKA

–. (2006). Implementing Electronic Voting in the UK. London: Department for Communities and Local Government.

Caarls, S. (2010). E-Voting Handbook: Key steps in the implementation of e-enabled elections. Strasbourg: Council of European Publishing.

Hapsara, M. (2011). Imposing Transparency in Indonesia’s E-Voting System through Security by Design. Paper presented at the E-Indonesia Initiative, Bandung, Indonesia.

Raymond, E. The Cathedral and the Bazaar. Retrieved from www.catb.org

E-Voting Pemilu Rentan Masalah?

eVoting Pemilu Rentan Masalah?

Jumat, 26 April 2013, 21:53 WIB 
 
  Partai peserta pemilu 2009 (ilustrasi).
Partai peserta pemilu 2009 (ilustrasi).
 
REPUBLIKA.CO.ID,YOGYAKARTA–Penerapan “e-voting” atau pemilihan elektronik pada Pemilihan Umum 2014 rentan menimbulkan berbagai masalah, kata dosen Teknik Informatika Fakultas Teknologi Industri Universitas Islam Indonesia Yogyakarta Manik Hapsara.

“Performa ‘e-voting’ dinilai tidak aman, dan berpotensi memberi dampak negatif yang sangat besar. Kelemahan ‘e-voting’ memungkinkan masuknya kepentingan pihak-pihak yang ingin mengacaukan proses dan hasil pemilihan,” katanya di Yogyakarta, Jumat.

Menurut dia, kegagalan pada penerapan “e-voting” dapat mengurangi kepercayaan masyarakat pada hasil Pemilihan Umum (Pemilu) 2014. Jika terjadi, kemungkinan harus mengulang proses pemilihan, yang artinya akan ada pembengkakan biaya demokrasi, dan jika berlarut dapat membahayakan kehidupan negara.

“Di Indonesia, Komisi Pemilihan Umum (KPU) dinilai berhasil menerapkan ‘e-voting’ pada pemilihan kepala daerah (pilkada) di Pandeglang, Banten, dan Jembrana, Bali. Namun, koneksi internet yang digunakan untuk mengirimkan data suara ke pusat tabulasi memiliki banyak lubang keamanan yang dapat mengancam kelancaran dan kredibilitas ‘e-voting’,” katanya.

Ia mengatakan beberapa serangan sangat mungkin dilancarkan kepada internet seperti “spoofing”, virus, dan “denial of service”. Dalam “e-voting”, internet berfungsi mulai dari menampilkan “electronic ballot” hingga mengirimkan data suara ke pusat tabulasi.

“Beberapa pengalaman penerapan ‘e-voting’ di beberapa negara seperti Amerika Serikat, Venezuela, Filipina, dan India menimbulkan masalah masing-masing mulai dari ‘hardware’ tidak bekerja, sistem tidak mendukung, dan suara yang hilang,” katanya.

Menurut dia, permasalahan itu bisa terjadi karena terdapat “bug” pada sistem atau berhasil diretas oleh “hacker” dengan menanamkan program yang dirancang untuk mengganggu kerja sistem.

“Saya menilai Indonesia belum siap menerapkan ‘e-voting’ pada Pemilu 2014. Jika tetap dilakukan akan timbul pertanyaan, apakah kita mau mempercayakan keselamatan dan kehidupan sosial, politik, ekonomi, dan hukum kita pada sistem yang tidak terpercaya?,” katanya.

Redaktur : Taufik Rachman

Skenario Hacking Sistem E-Voting – part 02: Attacks of the Trojan

Dalam tulisan sebelumnya, telah didiskusikan kemungkinan serangan atas sistem e-voting menggunakan skenario Denial-of-Service (DoS) (Hapsara, 2011d). Sebuah serangan bergenre DoS yang terdistribusi di ribuan mesin dan yang dikoordinasi untuk menyerang sebuah target primer secara simultan dapat digunakan untuk melumpuhkan bahkan sebuah sistem yang sangat rigid. Jika dalam tataran bisnis virtual, baik e-banking maupun e-commerce, skenario ini menjadi salah satu concern yang menyedot banyak perhatian, maka untuk sebuah sistem yang safety-critical layaknya e-voting (Hapsara, 2011a, 2011b, 2011c), hal tersebut seharusnya menjadi parameter yang menentukan laik-tidak-nya sistem tersebut.

Lebih lanjut, skenario serangan terhadap sistem e-voting dapat pula dilakukan dengan memanfaatkan Trojan. Dalam dunia komputer, istilah Trojan merujuk pada kode program perusak yang disembunyikan dalam data atau program umum. Tidak seperti pada DoS, serangan dengan menggunakan Trojan bertujuan untuk mengambil alih kontrol atas sebuah mesin atau sistem. Setelah itu, Trojan akan mampu melakukan bentuk serangan lain yang lebih merusak, seperti: mencuri password, mengubah data, menjalankan program tertentu, dan lain-lain.

Beberapa skenario penggunaan Trojan telah dilaporkan oleh para peneliti di bidang e-voting. Weldemariam (Weldemariam, Kemmerer, & Villafiorita, 2009), antara lain, menjelaskan 4 (empat) skenario yang dapat digunakan untuk meng-ekspos sistem e-voting buatan ES&S, salah satu pabrikan sistem e-voting yang popular. Perlu diketahui bahwa ES&S menghadirkan fungsi verifikasi VVPAT (Voter-Verified Paper Audit Trail) dimana untuk setiap suara yang diberikan melalui sistem, akan dikeluarkan rekaman suara berupa kertas tercetak. Fungsi ini memberikan kesempatan kepada pemilih untuk memastikan suara yang tercatat dalam sistem adalah yang suara yang diberikan.

  • Changing the vote for an inattentive voter. Adakalanya pemilih tidak menyadari pentingnya fungsi verifikasi. Pemilih dengan karakteristik demikian biasanya melakukan proses pemberian suara secara normal dan setelah selesai tidak memeriksa apakah suara yang ia berikan telah terekam dengan baik dalam sistem. Trojan biasanya disimpan dalam sistem dan diaktivasi untuk: (1)memotong proses penyimpanan suara sesaat sebelum review suara ditampilkan dalam electronic ballot; (2)mengubah nilai suara yang telah diberikan menjadi nilai untuk kandidat lain. Skenario ini mengandalkan kecenderungan inattentive voters mengabaikan nilai suara akhir yang ditampilkan dalam electronic ballot, dan ketidaksesuaian suara pemilih dengan kertas rekaman suara tercetak. Skenario ini akan gagal jika pemilih menyadari ketidaksesuaian tersebut dan memutuskan untuk melakukan pemberian suara ulang. Jika hal ini terjadi, Trojan akan mendeteksi identitas pemilih dan menghentikan proses pengubahan nilai suara untuk sementara. Jika sebaliknya, maka nilai suara yang akan direkam adalah nilai yang telah diubah oleh Trojan. Yang demikian akan sulit untuk dideteksi apabila telah sampai pada proses perhitungan suara hingga akan sangat merugikan sebagaian kandidat. Algoritma serangan dengan skenario demikian lebih jelas digambarkan di bawah.

 Algoritma serangan menggunakan skenario changing the vote for an inattentive voter (Weldemariam, et al., 2009)

Legend: DRE (Direct Recording Electronic), RTAL (Real-Time Audit Log)

  • Changing the vote for a careful voter. Dalam skenario ini, pemilih diasumsikan melakukan proses pemberian suara normal dan mereka cukup berhati-hati dengan juga memperhatikan review yang ditampilkan dalam electronic ballot. Kelemahan yang diserang disini adalah kekurangmengertian pemilih tentang informasi yang disampaikan dalam kertas rekaman suara tercetak. Untuk itu, pengubahan nilai suara tidak dilakukan sebelum review nilai suara dalam electronic ballot melainkan sesudahnya. Ketidaksesuaian terjadi antara nilai suara yang di-review dengan kertas rekaman suara tercetak. Sama dengan yang terjadi dalam skenario sebelumnya, jika tidak perubahan nilai suara tidak terdeteksi sejak dini, maka suara tersebutlah yang akan ditabulasikan.
  • Canceling/completing the vote for a fleeing voter. Harus diakui bahwa penggunaan electronic ballot dalam proses pemungutan suara dapat menyebabkan ketidaknyamanan bagi sebagian pemilih. Hal ini dapat terjadi salah satunya akibat dipengaruhi kebiasaan dalam menggunakan paper ballot. Proses pemberian suara menggunakan electronic ballot yang berbelit-belit, keharusan untuk menunggu review nilai suara yang diberikan; menyebabkan sebagian pemilih memilih untuk tidak menyelesaikan proses pemberian suara. Pemilih yang demikian disebut sebagai fleeing voters, dan skenario ini memanfaat tipe pemilih ini. Perlu diketahui bahwa ES&S memiliki fitur alarm untuk memberitahu petugas di TPS bila seorang pemilih tidak menyelesaikan proses pemberian suaranya. Trojan dapat melakukan 2 (dua) hal disini: (1)jika pemilih memilih kandidat yang tidak diinginkan, membiarkan alarm berbunyi agar petugas TPS mengetahui proses pemberiaan suara belum selesai dan membuang suara yang belum dikonfirmasi; atau (2)jika pemilih memilih kandidat yang diinginkan, menghentikan alarm dan menyelesaikan proses pemberian suara hingga suara terekam.
  • Faking a fleeing voter to cancel a vote. Jika di skenario sebelumnya, serangan dilakukan dengan memanfaatkan fleeing voters, dalam skenario ini Trojan “memalsukan” fleeing voters. Pemilih yang memilih kandidat yang tidak diinginkan dan  telah melakukan pemberian suara normal akan disodorkan tampilan dalam electronic ballot yang menunjukkan bahwa seolah-olah suara mereka telah terekam. Sesungguhnya Trojan menahan suara pemilih tersebut hingga setelah pemilih meninggalkan TPS, Trojan akan mengaktivasi alarm. Petugas TPS akan menyangka bahwa pemilih tersebut adalah fleeing voter dan membuang suara yang belum dikonfirmasi tersebut. Algoritma untuk skenario ini digambarkan di bawah.

Algoritma serangan menggunakan skenario faking a fleeing voter to cancel a vote (Weldemariam, et al., 2009)

Empat buah skenario tersebut hanyalah sedikit dari puluhan skenario serangan terhadap sistem e-voting dengan memanfaatkan Trojan. Belum lagi bentuk-bentuk serangan yang berbasiskan perangkat keras yang telah banyak disenarai oleh para ahli e-voting sedunia. Pertanyaannya adalah, “Apakah kita masih berpikir bahwa penerapan e-voting akan sama mudahnya dengan penerapan e-banking ataupun e-commerce? Ataukah kita akan melakukan assessment yang hati-hati dan menyeluruh sebelum memutuskan untuk mendukung penerapan e-voting?”.

Jawabannya ada pada diri kita masing-masing. Terbungkus rapi bersama resikonya.

Referensi

Hapsara, M. (2011a). E-Voting bukanlah E-Banking ataupun E-Commerce. E-Voting Indonesia, 2011, from https://evotingindonesia.wordpress.com/2011/03/25/e-voting-bukanlah-e-banking-commerce/

Hapsara, M. (2011b). Imposing Transparency in Indonesia’s E-Voting System through Security by Design. Paper presented at the E-Indonesia Initiative, Bandung, Indonesia.

Hapsara, M. (2011c). Should We put Our Live in the Hand of Internet Voting? E-Voting Indonesia, from https://evotingindonesia.wordpress.com/2011/04/01/should-we-put-our-live-in-the-hand-of-internet-voting/

Hapsara, M. (2011d). Skenario Hacking Sistem E-voting – part 01: Denial of Service Attack. E-Voting Indonesia, from https://evotingindonesia.wordpress.com/2011/06/03/denial-of-service-e-voting/

Weldemariam, K., Kemmerer, R. A., & Villafiorita, A. (2009). Formal Analysis of Attacks for E-Voting System.

=====================================================

Disclaimer:

Anda diijinkan untuk mengunduh, menyalin, mengutip, medistribusikan artikel ini secara cuma-cuma dengan syarat mencantumkan e-voting indonesia sebagai sumber rujukan. Untuk korespondensi hubungi:

evotingindonesia@gmail.com

Author profile:

Manik Hapsara, Ph.D. – E-Voting Indonesia (kompasianamultiply)

=====================================================

Skenario Hacking Sistem E-Voting: Denial-of-Service Attack – part 01

E-voting sebagai sebuah sistem pemilihan umum memiliki implikasi yang kuat dalam kehidupan negara yang menerapkannya (Hapsara, 2011a2011b) sehingga digolongkan dalam Safety Critical System(McGaley & Gibson, 2003). Kelemahan dalam sebuah sistem e-voting sangat mungkin diekspos untuk menciptakan ketidak-percayaan masyarakat terhadap proses dan hasil pemilihan, yang dapat berujung pada pemilihan ulang. Ketidak-percayaan masyarakat yang berkelanjutan pada akhirnya dapat mempengaruhi stabilitas politik, ekonomi, dan sosial bangsa, dan membahayakan jalannya negara dan keselamatan rakyat.

Harus disadari bahwa kelemahan sistem e-voting berasal dari teknologi yang mendasarinya, internet. Internet adalah sebuah sistem yang sangat rentan terhadap serangan keamanan. Kerentanan ini besifat fundamental dan merupakan karakteristik yang datang bersama desain dari internet itu sendiri. Lebih penting lagi, lubang-lubang keamanan tersebut telah menjadi rahasia umum yang diketahui seluruh dunia. Hingga tidak berlebihan jika para ahli dan peneliti keamanan jaringan masih mempertanyakan reliabilitas e-voting, terlebih mengingat pentingnya sistem tersebut sebagaimana dijelaskan di atas.

“A secure internet voting system is theoretically possible, but it would be the firs secure networked application ever created in the history of computers.”

Bruce Schneier, founder of Counterpane Internet Security Inc.

[dikutip dari (Mercuri, 2002)]

Sedemikian rentan internet, hingga teknik dan prosedur ekploitasi kelemahannya tersebar di dalam jaringannya sendiri, adalah sebuah ironi yang menyedihkan. Denial-of-Service (DoS) attack, misalnya, informasi dan tutorial tentang jenis serangan ini tersedia lengkap di www.hackerstorm.com hinggawww.binushacker.net. Siapapun dapat mengakses informasi tersebut dan mempelajarinya secara cuma-cuma, dan lebih jauh lagi mempraktekkannya. Padahal DoS adalah salah satu jenis serangan atas jaringan yang terhubung dengan internet yang paling mematikan. Serangan DoS yang terkoordinir dengan baik dapat melumpuhkan bahkan sistem keamanan yang sangat rigid.

Denial-of-Service attacks pada dasarnya adalah serangan atas suatu sistem dengan tujuan memperlambat secara signifikan performa sistem tersebut, atau lebih buruk lagi berusaha untuk membuat sistem tersebut tidak berfungsi dengan cara memberi beban kerja yang terlalu besar. Peretas yang menggunakan teknik ini biasanya tidak berniat untuk memperoleh akses kedalam maupun kontrol atas sistem yang diserang, melainkan untuk mencegah (para) pengguna yang lain (legitimate user(s)) menggunakan sistem tersebut. Mereka melakukan ini dengan: (1)membanjiri (flood) sebuah jaringan sedemikian sehingga legitimate network traffic-nya terganggu; atau (2)merusak koneksi antar mesin sedemikian sehingga layanan yang diberikan oleh satu mesin tidak dapat diakses oleh mesin yang lain, atau sebuah mesin tidak dapat mengakses layanan yang diberikan oleh mesin manapun.

Bila DoS dilakukan oleh, bukan hanya 1 (satu) atau beberapa, mesin dalam jumlah yang sangat banyak yang dikoordinir sedemikian rupa, maka serangan DoS akan menjadi sangat mematikan. Dalam skenario Distributed DoS tersebut, terdapat 2 (dua) jenis korban: Primer, dan Sekunder. Korban Primer adalah target utama serangan, sedangkan korban Sekunder adalah sistem-sistem atau mesin-mesin yang ‘dikompromikan’ sedemikian sehingga peretas dapat menggunakan mereka untuk melancarkan serangan kepada korban Primer secara tidak langsung. Skenario demikian mempersulit proses deteksi serangan karena berasal dari banyak alamat IP.

Serangan DDoS diawali dengan menemukan dan secara sistematis memanfaatkan kerentanan ribuan sistem yang terhubung internet. Sekali DDoS dilancarkan maka akan sangat sulit menghentikan serangannya karena besarnya volume serangan. Penggunaan firewall mungkin dapat membantu menahan masuknya paket serangan kedalam sistem yang diserang, namun hal ini akan tetap mempengaruhi network traffic terutama di sisi penerima, sehingga legitimate users tidak dapat mengakses layanan yang seharusnya diberikan oleh sistem yang diserang. Usaha untuk melacak peretas juga akan sangat sulit, terlebih bila peretas melakukan spoofing atas paket serangan yang dikirim yang berarti alamat IP sumber serangan telah dirubah.

the internet is not safe for elections, due to its vast potential for disruption by viruses, denial-of-service flooding, spoofing, and other commonplace malicious intervention”

Peter Neumann, SRI International’s Computer Science Laboratory

[dikutip dari (Mercuri, 2002)]

Berikutnya, bayangkan jika scenario DDoS ini berhasil meretas usulan sistem e-voting untuk pemilihan presiden Indonesia 2014 nanti. Serangan dapat diinisiasi oleh siapapun: mulai dari kandidat presiden hingga teroris; mulai dari negara super power hingga komunitas peretas amatir. Pihak-pihak dengan dukungan finansial dan teknologi yang kuat, misalnya, dapat ‘membeli’ jasa beberapa peretas untuk mengganggu sistem e-voting Indonesia. Dari 3000 TPS di seluruh Indonesia, pihak tersebut dapat meminta para peretas untuk melakukan DDoS atas beberapa server yang menangani data pemilihan dari 50 TPS. Dengan bantuan media masa, 50 TPS tersebut dapat ‘terlihat’ sebagai 500 TPS. Hal demikian dapat memicu hilangnya kepercayaan masyarakat (loss of public confidence) atas sistem pemilihan dan hasilnya. Artinya, sangat mungkin muncul aspirasi untuk dilakukannya pemilihan ulang, yang berujung pada pembengkakan biaya dan perpanjangan waktu pemilu. Bila hal ini terjadi berulang-ulang, maka sangat mungkin terjadi political, economic and social unrest yang dapat membahayakan negara dan keselamatan rakyat. Pada akhirnya, teroris dengan tujuan menciptakan ketidakstabilan politik dan ekonomi; negara lain dengan tujuan menguasai Indonesia melalui pemerintah boneka; atau komunitas peretas amatir yang berpikir naïf bahwa nama mereka akan dikenang bila melakukan hal tersebut; siapapun itu, Indonesia selalu berada dalam pihak yang kalah. (Manik Hapsara)

Referensi

Hapsara, M. (2011a). E-Voting bukanlah E-Banking ataupun E-Commerce. E-Voting Indonesia, 2011, from https://evotingindonesia.wordpress.com/2011/03/25/e-voting-bukanlah-e-banking-commerce/

Hapsara, M. (2011b). Should We put Our Live in the Hand of Internet Voting? E-Voting Indonesia, fromhttps://evotingindonesia.wordpress.com/2011/04/01/should-we-put-our-live-in-the-hand-of-internet-voting/

McGaley, M., & Gibson, J. P. (2003). Electronic Voting: A Safety Critical System.

Mercuri, R. (2002). A Better Ballot Box? In S. M. Cherry (Ed.), IEEE Spectrum (pp. 46-50).

=====================================================

Disclaimer:

Anda diijinkan untuk mengunduh, menyalin, mengutip, medistribusikan artikel ini secara cuma-cuma dengan syarat mencantumkan e-voting indonesia sebagai sumber rujukan. Untuk korespondensi hubungi:

evotingindonesia@gmail.com

Author profile:

Manik Hapsara, Ph.D. – E-Voting Indonesia (kompasianamultiply)

=====================================================