VPN Benarkah Bisa Melindungi Privasi? Kepala Keamanan Siber IBM Analisis Risiko Kepercayaan di Baliknya

Seiring dengan menjadi “alat privasi” yang banyak dipromosikan di dunia maya, (VPN) sebagai jaringan pribadi virtual, promosi terkait dapat ditemukan di berbagai situs web, aplikasi, hingga iklan YouTube, dengan fokus pada anonimitas online dan perlindungan data pribadi. Menanggapi hal ini, Jeff Crume, Kepala Teknologi Keamanan IBM, dalam analisis video menjelaskan secara bertahap dari situasi transmisi jaringan nyata, cara kerja teknologi VPN, model kepercayaan, dan batasan privasi, menunjukkan bahwa VPN bukanlah solusi ajaib, melainkan alat “redistribusi kepercayaan”.

Data sensitif yang dikirim ke jaringan publik, Wi-Fi berbahaya menjadi metode serangan umum

Crume menunjukkan bahwa ketika pengguna mengirimkan nomor kartu kredit, informasi identitas, atau data bernilai bisnis melalui jaringan, konten tersebut sebenarnya dikirim melalui “jaringan publik”, seperti berbicara keras di tempat umum, yang berpotensi disadap oleh pihak tidak tertentu.

Dia menyoroti salah satu metode serangan umum, seperti di kedai kopi atau hotel, di mana penyerang dapat membuat hotspot dengan nama yang hampir sama dengan Wi-Fi resmi, untuk menipu pengguna agar tersambung. Setelah tersambung, data bahkan sebelum masuk ke internet sebenarnya sudah disadap dan diperiksa oleh penyerang secara lengkap.

Prinsip dasar VPN: membangun saluran terenkripsi

Menanggapi risiko di atas, Crume menjelaskan bahwa fungsi inti VPN adalah membangun saluran transmisi terenkripsi antara perangkat pengguna dan penyedia layanan VPN.

Dalam arsitektur ini, semua data yang dikirim keluar akan dienkripsi terlebih dahulu, kemudian dikirim ke penyedia VPN, yang kemudian mendekripsi data tersebut, menentukan tujuan, dan mengenkripsi ulang sebelum mengirim ke situs web yang sebenarnya. Data kembali juga mengikuti proses yang sama.

Oleh karena itu, penyadap eksternal, penyerang Wi-Fi publik, bahkan penyedia layanan internet (ISP) pengguna, hanya dapat melihat bahwa ada koneksi antara pengguna dan penyedia VPN, tanpa mengetahui isi sebenarnya atau tujuan akhir.

Esensi VPN: bukan menghilangkan kepercayaan, tetapi memindahkannya

Crume menegaskan bahwa, terlepas dari apakah menggunakan VPN atau tidak, “kepercayaan” tidak dapat dihilangkan, melainkan hanya dipindahkan. Ia membedakan objek kepercayaan dalam berbagai situasi sebagai berikut:

Tanpa VPN: pengguna harus mempercayai ISP dan semua pihak yang mungkin mengakses paket selama transmisi jaringan.

VPN perusahaan: karyawan yang terhubung jarak jauh ke jaringan internal perusahaan, sebenarnya menyerahkan kepercayaan kepada pemberi kerja, fokusnya pada keamanan perusahaan, bukan privasi pribadi.

VPN pihak ketiga: pengguna mengonsolidasikan kepercayaan yang sebelumnya tersebar di jaringan dan ISP, kepada penyedia layanan VPN.

Dia secara langsung menyatakan bahwa fungsi utama VPN adalah mengubah “kamu harus mempercayai banyak orang” menjadi “kamu harus benar-benar mempercayai satu orang atau organisasi”.

Risiko nyata dari VPN pihak ketiga

Jeff Crume menunjukkan bahwa karena penyedia VPN harus mendekripsi lalu lintas di tengah jalan, mereka dapat melihat tujuan koneksi pengguna, alamat IP, frekuensi penggunaan, bahkan isi data sebenarnya. Ini menimbulkan beberapa risiko yang tidak boleh diabaikan:

Model monetisasi data VPN gratis: jika pengguna tidak membayar, penyedia mungkin memperoleh keuntungan melalui pengumpulan dan penjualan data.

Risiko insiden keamanan: meskipun penyedia tidak berniat jahat, jika diretas, data pengguna tetap berisiko bocor.

Permintaan hukum dan peraturan: di beberapa negara, penyedia VPN mungkin diwajibkan secara hukum untuk menyerahkan catatan pengguna.

Dia mengingatkan bahwa kunci menggunakan VPN pihak ketiga bukanlah “apakah digunakan atau tidak”, tetapi “apakah benar-benar memahami siapa yang dipercaya”.

Membangun VPN sendiri juga tidak sepenuhnya menghindari masalah kepercayaan

Bagi pengguna yang sangat memperhatikan privasi, Crume juga menyebutkan metode “membangun VPN sendiri”, sehingga semua infrastruktur dikuasai sendiri. Namun, dia juga menunjukkan bahwa meskipun demikian, pengguna tetap harus mempercayai perangkat lunak VPN itu sendiri, baik open-source maupun solusi komersial, yang melibatkan kepercayaan terhadap kode dan mekanisme pembaruan, dan bukan tanpa risiko.

(Berita Teknologi: Duta Perdamaian Cross-Strait menyatakan bahwa China sama sekali tidak memblokir VPN, selama menggunakan VPN, semuanya bisa dilihat)

Artikel ini, Apakah VPN benar-benar melindungi privasi? Penjelasan dari Kepala Keamanan IBM tentang risiko kepercayaan, pertama kali muncul di Chain News ABMedia.