INFOsec.ID – Beberapa hari lalu, tepatnya tanggal 3 Agustus 2018, KOMINFO mengedarkan surat agar semua Internet Provider – Penyedia Jasa Internet di Indonesia melakukan aktivasi SafeSearch / Restricted Mode / Safe Mode pada berbagai search engine, yang paling lambat diterapkan tanggal 10 Agustus 2018 yang akan datang. Berikut isi surat tersebut.

Pengantar & Sekilas Pemblokiran Internet Indonesia

Sejak beberapa tahun lalu Kominfo, melalui TrustPositifnya telah menginstruksikan kepada semua ISP dan NAP melakukan pemblokiran terhadap situs pornografi. Para provider penyedia layanan internet (ISP/NAP) diwajibkan untuk melakukan pemblokiran terhadap situs-situs yang mengandung konten pornografi, kekerasan dan SARA. Pemerintah melalui kominfo secara rutin akan melakukan pemeriksaan ke ISP / NAP untuk sidak apakah sudah dilakukan pemblokiran konten pornografi atau belum. Jika dilingkungan para pengguna provider masih bisa mengakses situs-situs yang mengandung konten pornografi, maka kemungkinan mereka akan ditegur dengan surat peringatan resmi. Jika mengikuti berita dan masih ingat ceritanya, pada tahun 2000an teknis cara yang pemblokiran yang direkomendasikan oleh Kominfo saat itu adalah memanfaatkan proxy cache server (mode transparent proxy). Kominfo juga sempat memberikan tutorial konfigurasi pada situsnya trustpositif.

Dengan teknik filtering memanfaatkan server proxy ini, pemblokiran dapat dilakukan hingga layer aplikasi seperti URL Regex maupun Domain tertentu, dengan membandingkan setiap URL yang diakses setiap pengguna dengan database domain /URL yang disiapkan oleh Tim Trustpositif Kominfo, tetapi seperti diduga sebelumnya & disini, ada banyak kendala seperti mulai terjadinya penurunan kualitas kecepatan internet atau bahkan mesin proxy di NAP/ISP tidak mampu melayani request para pengguna yang super banyak dengan trafik yang sangat besar, apalagi disusul penggunaan teknologi SSL berkembang pesat pada banyak situs sehingga teknik ini mulai tidak efektif dan ditinggalkan. Kemudian untuk menggantikannya disepakati para provider untuk menggunakan teknik DNS Filtering/Tampering seperti yang juga sudah dilakukan beberapa aktivis OpenDNS atau NAWALA, hanya bedanya, para provider melakukan redirect otomatis semua query DNS dari para pelanggan/pengguna ISP ke DNS yang disediakan setiap Operator/ISP menggunakan fitur RPZ Response Policy Zone yang dikembangkan ISC (Internet Systems Consortium) atau dengan layanan sejenis PowerDNS. Dengan teknik ini otomatis setiap query DNS dari pengguna di pelanggan provider akan diredirect ke server DNS Provider, sehingga setiap Provider harus menyediakan DNS Server khusus yang tangguh untuk melayani setiap permintaan (query) penggunanya. Setiap DNS Server akan menggunakan database domain-domain situs yang sinkron dengan yang telah didistribusikan oleh Kominfo. Jika suatu saat query DNS dari pelanggan ISP sedang mengakses domain/subdomain yang terdapat pada database situs pornografi, maka akan langsung dipetakan ke alamat IP Server sudah disiapkan sebelumnya untuk menginformasikan bahwa situs tersebut diblokir, beberapa provider/ISP malah memanfaatkan informasi pemblokiran tersebut untuk menampilkan iklan-iklan komersil demi keuntungan si provider. Hal ini juga menjadikan peran DNS server tersebut menjadi kritikal, karena bisa jadi boomerang bagi provider jika ternyata DNS mereka tidak responsive atau tidak mampu melayani permintaan para penggunanya dengan baik. Inilah salah satu penyebab sering munculnya keluhan pengguna pada provider besar yang koneksi internetnya menjadi tidak lancar – seolah-olah terputus (permasalah resolving DNS), padahal jika di trace koneksi ke Internet – Internasional sebenarnya lancar saja, tetapi karena faktor DNS yang tidak terjaga performance atau layanannya, maka para pengguna menjadi korban layanan DNS provider yang kurang baik tersebut. APJII sendiri pernah memberikan usulan agar pendistribusian domain yang akan di blacklist memanfaatkan Database (MySQL) yang dapat diakses/replikasi oleh setiap NAP/ISP seperti dijelaskan disini

Sebenarnya teknik filtering internet dengan tampering DNS ini juga memiliki banyak kelemahan dan terdapat banyak cara untuk membypassnya, tetapi penulis tidak akan membahasnya pada artikel ini. Hanya sekilas saja penulis ingin menginggung bahwa resiko meredirect/forward semua request DNS dari pelanggan ke hanya sebuah mesin DNS, otomatis menimbulkan resiko adanya single point of failure akses internet dan juga beresiko jika DNS tersebut tidak maintenance atau diamankan dengan baik, yang berakibat fatal ke seluruh pelanggan si provider (Misalkan adanya DNS Corruption/Collision/Poisoning Attack terhadap DNS server Provider).

Apa itu SafeSearch ?

SafeSearch/Safe Mode/Restricted Mode adalah layanan atau fitur dari search engine web/video pada Google / Youtube / Bing / Microsoft yang berfungsi untuk melakukan filter otomatis terhadap konten konten “negatif” seperti pornografi ataupun kekerasan.

Aktivasi safesearch dapat dilakukan di level aplikasi ataupun sesi account pengguna pada layanan masing masing seperti aplikasi Google/Youtube/Bing/Microsoft. Aktivasi SafeSearch ini awalnya masih optional, tetapi karena ada kebutuhan dan desakan yang lebih kuat untuk filtering konten pornografi, membuat para provider OTT spt Google/Microsoft/Twitter dll menyediakan fitur layanan untuk mengaktifkan SafeSearch secara otomatis berdasarkan query domain (DNS) terhadap domain layanan mereka. Misalnya alamat www.google.com , google.co.id atau *.google.com dapat dipetakan ke alamat domain alias (CNAME) forcesafesearch.google.com (216.239.38.120). Bing.com (Microsoft) dapat dipetakan ke alamat alias (CNAME) strict.bing.com (204.79.197.220). Youtube.com (www.youtube.com, m.youtube.com, youtubei.googleapis.com, youtube.googleapis.com, www.youtube-nocookie.com) dapat dipetakan ke alamat alias (CNAME) restrict.youtube.com (216.239.38.120) dst.

Dengan memetakan hasil query pengguna ke alamat alamat khusus tersebut, maka secara otomatis fitur SafeSearch / Restricted Mode / Safe Mode akan aktif pada search engine web/video google/bing/youtube saat diakses oleh penggunanya. Selama masih dipetakan ke alamat khusus tersebut, maka setiap permintaan pencarian halaman akan tetap terfilter dalam mode SafeSearch / Restricted Mode/ Safe Mode.

Cara inilah yang dimaksud telah disepakati oleh Kominfo dan Penyedia Jasa Internet di Indonesia untuk diimplementasikan saat ini sesuai dengan surat KOMINFO diatas.

Pertanyaannya, Apakah cara diatas sudah cukup efektif paling tidak mengurangi akses ke konten pornografi? Apakah nanti sudah sesuai harapan regulator (Kominfo) seperti yang disampaikan secara wow pada berita “Minggu Depan, Seluruh Konten Pornografi di Internet Bakal Lenyap” . Apakah teknik atau cara tersebut akan bertahan lama?

Jika ditanyakan ke penulis, tentu saja jawabnya TIDAK. Seperti yang penulis pernah ungkapkan di status facebook penulis, bahwa cara filtering ini memanfaatkan SafeSearch/Restricted mode/Safe Mode mirip seperti sulap dan lebih cenderung mengarah ke ilusi, yang mungkin bagi sebagian pengguna berpengaruh efektif/positif khususnya untuk anak anak/siswa sekolah. Jadi jika memang yang ditargetkan kena dampak filtering adalah pengguna internet anak anak (siswa sekolah), maka mungkin ada benarnya akan berpengaruh. Pada prinsipnya, tujuan fitur SafeSearch/Restricted Mode disediakan para penyedia layanan OTT spt Google/Microsoft memang untuk melindungi anak anak dari pengaruh negatif internet seperti Pornografi dan kekerasan, makanya sejak disediakan tahun 2014, banyak sekolah-sekolah dan keluarga yang sudah memanfaatkan fitur tersebut dengan aktivasi secara manual di acccount masing masing. Tujuannya mirip dengan software parental control pada Microsoft IE sejak lama.

Meskipun sebenarnya banyak sekali kelemahan filtering dari teknik DNS tampering dan aktivasi SafeSearch/Resticted Mode khususnya. Penulis tidak akan membahas secara detail teknik teknik untuk membypassnya, tetapi perlu diketahui secara logika sederhana saja, jumlah search engine yang menyediakan fitur aktivasi SafeSearch/SafeMode/Restricted Mode melalui DNS Tampering hanya sedikit atau dapat dihitung jari. Apakah sudah pernah dikaji jika para “pengguna” yang terusik akan berpindah ke search engine lain misalnya? Contohnya ada DuckDuckGo yang lebih tertutup dan menjaga privacy penggunanya. Atau cara manual dengan mengakses search engine dengan alamat IP address atau bahkan membuatkan mapping/dns lokal sendiri untuk akses ke situs atau search engine yang diinginkan.

Cara lainnya, mulai dari yang sederhana tapi cukup ampuh yakni dengan VPN dan memanfaatkan Proxy Luar, sedangkan cara lebih elegan dengan DNS over HTTPS dan/atau DNS over TLS yang saat ini sudah ada Standard RFC-nya (RFC7858), tentu saja bakal membuat pemerintah sebagai regulator mungkin sedikit cenat cenut :). Bagaimana tidak? Selama ini Pemerintah dan Provider mengandalkan DNS Filtering/DNS Tampering dalam menerapkan filtering akses internet, karena saat ini memang pengguna internet Indonesia umumnya masih memanfaatkan protokol DNS lama yang sifatnya plain text (UDP/53), sehingga Provider mampu melakukan Tampering/Filtering terhadap query DNS tersebut. Sebagai informasi, pada network forensic dimungkinkan dari query DNS setiap pengguna/pelanggan yang terbaca di DNS Server, dapat dipelajari sifat, kronologis/history akses atau bahkan dilakukan profiling seseorang. Sejak bulan Mei 2016 sudah ada sebuah standard yang diatur pada RFC7858 tentang Specification for DNS over Transport Layer Security (DNS over TLS). Pada document tersebut diatur cara kerja DNS yang sudah memanfaatkan Protokol Security Transport Layer untuk menjamin kerahasiaan (confidentially), terhindar dari penyadapan dan jaminan privacy penggunanya. Artinya komunikasi antara pengguna dan DNS Server dengan memanfaatkan protokol DNS over TLS, tidak dengan mudah dapat disadap (eavesdropping) atau bahkan filtering/tampering seperti yang dilakukan selama ini oleh Provider atas perintah Kominfo. Saat ini sudah banyak server yang menyediakan layanan DNS over TLS, contohnya yang sedang naik daun DNS Public Cloudflare (1.1.1.1 dan 1.0.0.1) sudah menyediakan layanan tersebut untuk semua pengguna internet. Selain mendukung DNS Over TLS, Cloudflare juga mendukung DNS Over HTTPS dan DNS Over Fun lainnya (SMS/TWITTER/TELEGRAM/EMAIL) bisa dibaca disini , disini dan disini :

Kedepan banyak Sistem Operasi termasuk Android P (Pie) a.k.a 9 secara default sudah mendukung protokol DNS over TLS ini (baca: disini). OS Linux Ubuntu yang penulis gunakan secara default sudah menggunakan DNS over TLS dengan hanya menginstall sebuah paket aplikasi, dan querynya dapat di roundrobin ke berbagai DNS server yang sudah support DNS over TLS di seluruh dunia. Defaultnya menggunakan port TCP/853, tetapi secara umum banyak DNS server yang listen di port tcp/443 (port yang biasa digunakan untuk SSL/HTTPS).

Apa yang terjadi jika semua OS/Perangkat sudah menerapkan DNS Over TLS atau DNS over HTTPS?

Artinya, kemungkinan besar filtering dengan cara tampering DNS oleh Provider seperti yang digunakan saat ini, sudah tidak mungkin berfungsi/berkerja dengan baik a.k.a menjadi tidak berguna. Sehingga diharapkan Pemerintah sebagai Regulator harus segera mencari teknik dan cara lain untuk mengimplementasikan amanat UU untuk melakukan filtering kontent Internet yang mumpuni, dan harapannya tidak dengan cara membeli “mesin crawling” yang super mahal lagi.

Ya semoga saja Pemerintah melalui KOMINFO yang saat ini sudah memiliki banyak amunisi mulai dari perangkat mesin crawling bernilai 200M bernama AIS, dan para ahli operator mesin handal yang sudah direkrut baru baru ini memiliki ide lain selain mencontoh negara China atau Iran .

Semoga Bermanfaat 🙂