Menuju konten utama

Betulkah Aplikasi Signal Lebih Aman dari WhatsApp?

Signal kini dianggap sebagai aplikasi pesan instan teraman. Tapi sejauh mana dan sampai kapan ia akan aman?

Betulkah Aplikasi Signal Lebih Aman dari WhatsApp?
Aplikasi Signal. foto/signal.org

tirto.id - Tak lama usai George Floyd tewas atas kesewenang-wenangan aparat di Amerika Serikat pada 25 Mei 2020 lalu, protes bergejolak. Demi melindungi privasi dan menghindari sadapan aparat, para pemrotes ramai-ramai menggunakan Signal, untuk menggantikan WhatsApp (milik Facebook) dan iMessage (milik Apple) guna menggalang kekuatan. Amelia Nierenberg, dalam laporannya untuk The New York Times, menyebut Signal memperoleh 78.000 pengguna baru seminggu setelah Floyd tewas. Minggu berikutnya, aplikasi tersebut kedatangan 183.000 pengguna. Padahal, rata-rata jumlah pengguna baru Signal sebelum Floyd tewas hanya di angka 50.000.

Lonjakan pengguna baru Signal memang terkait dengan isu-isu keamanan. Pada 2016 silam, misalnya, tatkala Donald Trump naik tahta menjadi Presiden AS dan Women's March digalakkan, sebut Nierenberg, jumlah pengguna baru Signal melonjak. Manakala kabar Cambridge Analityca ketahuan mendulang data-data pengguna Facebook tanpa izin tersiar ke publik pada 2018, Signal kebanjiran pengguna baru. Kini, di awal 2021, tak lama usai Facebook mengungumkan bahwa mereka hendak mengintegrasikan data-data pengguna WhatsApp ke Facebook, Signal naik pamor. Pada Senin (11/1) saja, Signal memperoleh 1,3 juta pengguna baru, yang membuat aplikasi ini memperoleh predikat "paling banyak diunduh" di Google Play dan App Store, hampir di seluruh dunia.

Mengapa jumlah pengguna Signal umumnya melonjak ketika dunia menghadapi isu-isu keamanan? Jawaban sederhana, sebagaimana diutarakan Edward Snowden--kontraktor Central Intelligence Agency (CIA) yang mengungkap kebusukan National Security Agency (NSA) yang memata-matai masyarakat umum--Signal adalah "aplikasi pesan instan paling aman."

Terlepas dari pernyataan Snowden, masalahnya, Signal tak ubahnya aplikasi lain, entah WhatsApp, Instagram, Gmail, atau TikTok, yang butuh uang untuk hidup. Meski hari ini Signal hidup sebagai yayasan, yang menerima sumbangan dana untuk hidup, bukan tidak mungkin Signal akan berprilaku sebagaimana aplikasi lain, yakni menjual data penggunanya untuk keuntungan. Juga, salah satu pemimpin Signal adalah Brian Acton, co-founder WhatsApp, yang menjadi "Orang Kaya Baru" usai merelakan Mark Zuckerberg membeli WhatsApp senilai USD 22 miliar.

Pertanyaannya, benarkah Signal aman?

Signal: Ketika Aktivis Privasi Menciptakan Aplikasi

Pada suatu hari di bulan Desember 2015, Syed Rizwan Farook dan Tashfeen Malik melakukan aksi teror di San Bernardino, California, Amerika Serikat. Dalam aksi terorisme tersebut, 14 warga sipil tewas dan 22 lainnya terluka parah. Kedua teroris sukses dilumpuhkan petugas. Farook dan Malik tewas oleh timah panas polisi Paman Sam.

Guna mendalami aksi terorisme ini lebih dalam, Federal Bureau of Investigation (FBI) melakukan investigasi. Ponsel--perangkat yang sangat melekat dengan umat manusia saat ini--milik kedua pelaku jadi incaran FBI.

Sialnya, satu ponsel milik si teroris hancur akibat gempuran peluru petugas. Kesialan kedua: ponsel yang ditemukan dalam kondisi baik-baik saja adalah iPhone, tepatnya iPhone 5C, yang terkunci dengan empat digit PIN. Berbeda dengan ponsel-ponsel Android, iPhone punya keamanan yang lebih ketat. FBI, singkat cerita, kesulitan membongkar iPhone 5C tersebut dan memilih meminta bantuan Apple, dengan menciptakan pintu belakang (backdoor), untuk mengakses iPhone si teroris. Apple menolak. Perusahaan yang dipimpin Tim Cook tersebut beralasan bahwa backdoor untuk FBI sangat berbahaya bagi privasi pengguna. Awalnya, FBI marah dan menyeret Apple ke pengadilan. Namun, upaya tersebut dibatalkan karena FBI akhirnya menemukan perusahaan pihak ketiga yang dapat membantu mereka mengakses iPhone 5C milik si pelaku teror.

Permintaan FBI pada Apple untuk menciptakan backdoor dan penolakan Apple jadi buah bibir berbulan-bulan. Bahkan, dalam RSA Conference 2016, konferensi para ahli keamanan IT dunia, sengketa FBI-Apple dibahas sebagai tema utama. Dalam konferensi tersebut, seorang pria berusia 30-an tahun bernama Moxie Marlinspike jadi salah satu pembicara. FBI, ungkap Marlinspike, sebetulnya tidak butuh backdoor ciptaan Apple untuk mengakses iPhone si teroris, karena "mereka (FBI) telah memiliki sangat banyak informasi (tentang si teroris)." Bagi Marlinspike, keinginan FBI agar Apple menciptakan backdoor untuk iPhone hanya bertujuan "mencari informasi yang mungkin terlewat."

Menurut Marlinspike, teknologi dengan tingkat keamanan yang tinggi dan menjunjung privasi penggunanya yang sukar dibobol aparat penegak hukum memang sangat mungkin digunakan para penjahat. Namun, Marlinspike juga menambahkan: "Saya sungguh-sungguh selalu berpikir bahwa menegakkan hukum memang harus berat [...] dan saya juga berpikir bahwa kita seharusnya memang bisa melanggar aturan."

Mantan pengacara NSA sekaligus akademisi Brookings Institution Susan Hannessey, menyebut bahwa "pencipta hukum (di AS) dapat menciptakan hukum yang menolak pengawasan (dari aparat), tetapi mereka tidak mau melakukannya." Bagi Hannessey, keengganan ini bertujuan untuk melindungi masyarakat dari kejahatan, seperti pornografi anak, terorisme, atau perdagangan manusia. Keamanan yang tinggi dan perlindungan privasi pada suatu perangkat memang penting, tapi perlu ada pengecualian. Tegas, ketika dimintai tanggapannya kemudian, Marlinspike menjawab: "Semenjak kecil, saya selalu berpikir bahwa polisi dapat melakukan apa yang ingin mereka lakukan, dan sialnya mereka tidak berada satu tim dengan kita [...] Polisi merupakan kelompok rasis bersenjata."

Apa yang diungkapkan Marlinspike tentu sangat mengejutkan, khususnya bagi para penegak hukum. Namun, karya ciptanya yang bernama Signal jelas jauh lebih mengejutkan.

Andy Greenberg, dalam laporannya untuk Wired, menyebut bahwa Marlinspike memiliki jiwa pemberontak sejak kecil. Usai bertemu pujaan hatinya--Apple II--di perpustakaan sekolah bernama dan kemudian mendapat hadiah dari ibunya berupa komputer murahan lengkap dengan modem internet, Marlinspike kecanduan internet dan komputer. Saban hari, ia menjelajah forum online, menolong teman-temannya me-root komputer mereka. Berbeda dengan Bill Gates atau Elon Musk yang sukses menciptakan software komputer di usia belia, Marlinspike memilih jalan sebaliknya: membongkar celah-celah keamanan dari software yang ditemukannya di dunia maya.

Kecemerlangan Marlinspike membongkar software kian menjadi-jadi manakala ia bekerja untuk perusahaan pencipta Software di Jerman di usia belia. Pada 1999, Marlinspike hijrah ke Silicon Valley. Lagi-lagi, bukannya menjadi programmer pada umumnya, alias bekerja di startup yang menggaji besar karyawannya untuk hidup berkecukupan, Marlinspike memilih jalan berbeda: jobless dan homeless. Di tanah Amerika, Marlinspike menjadi seorang gelandangan yang hanya didampingi komputer desktop miliknya. Marlinspike memang kemudian memperoleh pekerjaan sebagai programmer di WebLogic, tetapi langsung keluar karena ia tidak ingin menghabiskan hidupnya di depan layar komputer.

Bosan menggelandang, Marlinspike memilih tinggal di sebuah kantor pos yang terbengkalai di Silicon Valley. Di sanalah ia menjelma aktivis. Salah satu kerjaan sehari-harinya adalah mengunggah buku-buku anarkis ke internet. Masih merujuk Greenberg, perubahan Marlinspike dari seorang pembrontak kacangan menjadi sosok yang benar-benar ingin melakukan perubahan terjadi pada 2007. Kala itu, Paman Sam baru saja meloloskan Patriot Act, sebuah undang-undang yang memungkinkan aparat keamanan melakukan aksi pengawasan--termasuk di dunia maya--terhadap warganegara dengan alasan keamanan nasional.

"Ketika saya masih muda, ada sesuatu yang menyenangkan tentang ketidakamanan internet. Sekarang, ketidakamanan internet digunakan oleh orang-orang yang saya tidak suka terhadap orang-orang yang saya sukai: pemerintah melawan rakyat," ujarnya.

Infografik Moxie Marlinspike

Infografik Moxie Marlinspike. tirto.id/Quita

Pada 2007, Marlinspike menciptakan SSLstrip, program komputer yang dapat membeberkan kelemahan enkripsi suatu website. Tak lama kemudian, Marlinspike merilis GoogleSharing, plugin Firefox yang memungkinkan siapa saja menggunakan layanan Google secara anonim. Dan dibantu oleh temannya yang memperoleh gelar Ph.D di bidang robotik pada Carniegie Mellon, Marlinspike meluncurkan Whisper System, lengkap dengan aplikasi bernama TextSecure--aplikasi untuk mengenkripsi SMS--dan RedPhone--aplikasi untuk mengenkripsi panggilan telepon.

Pada 2011, Twitter membeli Whisper System dan Marlinspike didaulat mengurusi sistem keamanan microblogging tersebut. Namun, setahun kemudian ia memilih mengundurkan diri, meninggalkan saham senilai USD 1 juta miliknya. Dan di tahun Marlinspike keluar dari Twitter itu, Departemen Luar Negeri AS tengah gencar-gencarnya mengamati berbagai teknologi yang digunakan kelompok-kelompo pro-demokrasi di berbagai negara. Seorang aktivis bernama Ia Schuler, khawatir dengan aksi Deplu AS ini, dan lantas menghubungi Marlinspike memintanya menciptakan teknologi enkripsi bagi aplikasi pesan instan. Maka, di sekitaran tahun 2013, terciptalah firma keamanan bernama Open Whisper System, dengan modal USD 1,3 juta hasil sumbangan Radio Free Asia yang digawangi Schuler. Belakangan, Open Whisper System menciptakan Signal, aplikasi pesan instan terenkripsi yang disebarkan secara open source. Open source yang dimaksud, setiap orang, jika memiliki kemampuan pemrograman, dapat menengok kode di balik Signal, entah untuk melihat cara kerjanya atau menguji keamanannya.

Matthew Green, Profesor Ilmu Komputer pada Johns Hopkins University, yang telah memeriksa kode milik Signal, menyatakan "saya ngiler melihat betapa amannya aplikasi ini". Melalui Signal, teknologi enkripsi tatkala mengirimkan pesan--yang sebelumnya hanya dilakukan melalui Pretty Good Privacy (PGP) yang sangat sukar digunakan dan membingungkan bagi kalangan awam--mudah digunakan semua kalangan masyarakat.

Danny Yadron, dalam laporannya untuk Wall Street Journal, menulis bahwa Morgan Marquis-Boire, peneliti keamanan digital pada Google, memuji cara Marlinspike menulis kode Signal. "Hanya ada sedikit orang yang menciptakan perangkat keamanan yang saya percayai, Marlinspike salah satunya," ujarnya. Edward Snowden pun menganjurkan masyarakat "menggunakan teknologi apapun yang dibuat Marlinspike."

Marlinspike sesungguhnya hanya memodifikasi PGP. Ia memaksa setiap pengguna Signal menciptakan dua kunci yakni private key, yang hanya disimpan oleh si pengguna untuk kebutuhan otentikasi, dan public key, yang diberikan pada lawan berbincang guna memverifikasi bahwa memang si A atau si B yang diajak bicara. Baik private key dan public key digunakan untuk mengenkripsi dan mendekripsi. Pada PGP, private dan public key dibuat secara manual, membutuhkan salin tempel (copy-paste) agar pesan benar-benar terenkripsi. Signal, berkat tangan dingin Marlinspike, melakukannya secara otomatis, secara default. Belakangan, Brian Acton, salah satu pendiri WhatsApp bergabung dengan Marlinspike dan mengucurkan dana senilai USD 50 juta untuk pendanaan Signal Technology Foundation. Di bawah pengaruh Acton inilah Signal dikelola yayasan--bukan perusahaan--yang bertujuan "menghadirkan enkripsi kelas dunia bagi masyarakat umum".

Kehadiran Signal membuat banyak pemerintah murka. Yadron melaporkan bahwa mantan Perdana Menteri Inggris David Cameron pernah menyebut Signal sebagai "tempat terbaik bagi teroris". Tak ketinggalan, mantan Presiden AS Barack Obama menyatakan Signal adalah "sebuah masalah."

Meskipun memperoleh pujian dari kalangan pemerhati keamanan digital dan cercaan dari negara, Signal tak ubahnya aplikasi lain seperti WhatsApp, Instagram, Gmail, ataupun TikTok. Untuk tetap bisa hidup, Signal butuh uang. Katakanlah, Signal ingin menggantikan WhatsApp sebagai "aplikasi sejuta umat", maka Signal sudah seharusnya memiliki dana sebesar WhatsApp (Facebook).

Dalam laporan keuangan tahunannya, Facebook tidak pernah menyebut berapa dana yang mereka bayarkan untuk membiayai WhatsApp. Namun, dalam laporan keuangan tahun 2019, Facebook menyebut telah mengeluarkan uang senilai USD 46,7 miliar untuk membiayai seluruh layanan. Sementara itu, laporan Cade Metz untuk Wired menggambarkan WhatsApp sebagai entitas milik Facebook yang memiliki jumlah pekerja paling sedikit.

Pada 2015, WhatsApp memiliki 900 juta pengguna dan didukung oleh 50 teknisi. Hari ini, WhatsApp memiliki lebih dari 2 miliar pengguna. Jika jumlah teknisi WhatsApp meningkat dua kali lipat pun, jumlahnya terbilang kecil daripada sekitar 50.000 karyawan Facebook. Dengan asumsi bahwa WhatsApp hanya mengambil porsi 5 persen dari total biaya yang dikeluarkan House of Zuckerberg untuk mengongkosi seluruh platform miliknya, WhatsApp butuh USD 2,3 miliar untuk hidup.

Uang USD 50 juta milik Acton jelas tidak cukup. Terlebih, dengan rekam jejak Marlinspike dan Acton yang pernah menjual karya mereka ke Twitter dan Facebook, selalu ada kemungkinan Signal bernasib serupa.

Namun, harapan tentu selalu ada. Sebelum dijual pada Facebook, WhatsApp mewajibkan penggunanya membayar USD 1 per tahun. Andai saja WhatsApp tetap mempertahankan model bisnis ini, WhatsApp memiliki potensi pendapatan senilai USD 2 miliar dari 2 miliar pengguna. Angka ini cukup untuk menghidupi mereka. Wikipedia, salah satu layanan paling populer di dunia maya, telah menunjukkan bahwa hidup dengan pondasi sebagai yayasan bisa dilakukan. Pada 2018-2019, Wikipedia mengucurkan uang senilai USD 91,4 juta untuk ongkos operasional, meningkat 12,3 persen dari periode sebelumnya yang senilai USD 81,4 juta. Jumlah tersebut terbayar karena Wikipedia memperoleh sumbangan dari masyarakat hingga mencapai angka USD 100 juta, di dua periode tersebut.

Kini, tugas Signal nampaknya hanya ada satu: membuat sebanyak-banyaknya orang mau menggunakan Signal, menggantikan aplikasi pesan instan yang diragukan keamanannya. Ruba Abu-Salma, doktor Ilmu Komputer pada University Collage London, menyebut bahwa yang paling penting dalam aplikasi pesan adalah komunikasi, bukan keamanan. "Jika lingkaran perteman dan kolegamu menggunakan suatu aplikasi pesan instan, kamu akan ikut menggunakan aplikasi itu juga, meskipun kamu was-was soal keamanannya."

Percuma, misalnya, jika saya menggunakan Signal tetapi teman-teman dan keluarga saya menggunakan WhatsApp. Mau ngobrol sama siapa jika tetap memaksa menggunakan Signal?

Baca juga artikel terkait SIGNAL atau tulisan lainnya dari Ahmad Zaenudin

tirto.id - Teknologi
Penulis: Ahmad Zaenudin
Editor: Windu Jusuf