FBI Diizinkan Meretas Lebih dari 8.000 Komputer di 120 Negara

Artikel ini pertama kali tayang di Motherboard.

Januari 2016, Motherboard melaporkan operasi peretasan terbesar Biro Investigasi Federal Amerika Serikat (FBI), “yang belum pernah dilakukan sebelumnya”. Hanya berdasarkan satu surat perintah pengadilan, FBI menyebar malware ke lebih dari 1.000 pengguna internet yang mengunjungi situs pornografi anak di bawah umur. Baru-baru ini terungkap aksi polisi federal itu merupakan bagian dari opearasi yang jauh lebih besar.

Berdasarkan transkrip yang baru-baru ini diserahkan ke pengadilan, FBI diduga memperoleh lebih dari 8.000 IP address setelah meretas komputer-komputer dari 120 negara yang berbeda.

Angka peretasan itu merupakan yang terbesar sepanjang sejarah aparat penegakan hukum. Hal ini bisa menjadi indikasi bagaimana pemerintah Amerika Serikat menangani kejahatan di situs-situs internet terlarang di masa mendatang. Laporan ini muncul saat Negeri Paman Sam itu menyiapkan kebijakan baru, terkait pemberian hak bagi hakim negara memerintahkan peretasan komputer di seluruh dunia secara massal.

“Sepanjang sejarah AS, saya tidak pernah melihat surat perintah dengan kekuasaan begitu besar,” kata Colin Fieman, seorang pengacara publik dalam sidang Oktober lalu. Fieman tengah membela beberapa tersangka yang terlibat dengan kasus pornografi anak yang diselidiki FBI.

Kasus-kasus ini bermula dari investigasi FBI terhadap Playpen, sebuah situs pornografi anak di bawah umur. Pada Februari 2015, FBI mengambil alih situs tersebut dari kepolisian lokal. Alih-alih langsung menutup Playpen, pemerintah AS menjalankan situs tersebut dari server resmi milik negara selama 13 hari. Aparat hukum tidak berhasil melihat IP address para pengunjung yang sesungguhnya, mengingat banyak pengguna masuk melalui jaringan Tor.

FBI lantas menyebarkan apa yang disebut sebagai tehnik investigasi jaringan (NIT), bentuknya berupa malware. Program peretasan ini masuk ke komputer setiap orang yang mengunjungi halaman situs pornografi Playpen. Malware ini nantinya mengirim balik IP address yang sesungguhnya ke FBI.

Menurut data pengadilan, FBI telah mendapatkan lebih dari 1.000 IP address pengguna yang berasal dari AS. Namun dalam setahun belakangan, Motherboard juga menemukan bukti FBI meretas komputer-komputer di Australia, Austria, Chile, Kolombia, Denmark, Yunani, Inggris, Turki, hingga Norwegia.

Daftar negara tersebut baru sebagian kecil dari korban peretasan yang dilakukan FBI. Menurut sebuah transkrip yang baru-baru ini muncul, FBI telah meretas komputer di setidaknya 120 negara.

“Fakta bahwa seorang hakim negara bagian bisa memberi otorisasi pada FBI meretas komputer milik 8 ribu orang di 120 negara yang berbeda sangat menakutkan,” kata Christopher Soghoian, ahli teknologi informasi dari Lembaga American Civil Liberties Union (ACLU) kepada Motherboard melalui percakapan telepon. (Soghoian juga menjadi salah satu saksi meringankan di kasus Playpen).

Anehnya, dengan dalih perang melawan pornografi anak FBI turut meretas sebuah “satelit milik provider seluler,” seperti tertulis di transkrip tersebut.

“Sekarang berarti AS mulai meretas luar angkasa,” kata Fieman di pengadilan.

Sumber Foto: Transkrip Pengadilan Western District of Washington di Tacoma.

Beberapa bulan terakhir, Departemen Kehakiman AS harus menghadapi gugatan dari banyak pihak, perihal valid tidaknya surat perintah yang digunakan sebagai dasar operasi peretasan FBI. Menurut data dari lembaga itu, 14 keputusan pengadilan menyatakan surat perintah ini tidak dikeluarkan sesuai peraturan Pasal 41 dari UU Prosedur Penuntutan Pidana AS—beleid yang mengatur surat perintah penyelidikan dan peretasan biasa dikeluarkan oleh hakim kepada polisi.

Akar semua perdebatan hukum ini adalah hakim yang menandatangani surat perintah tersebut. Theresa C.Buchanan, hakim dari Pengadilan Distrik Timur Virginia ternyata tidak mempunyai kekuasaan memerintahkan tindakan pencarian di luar distrik kekuasaannya. Dalam empat kasus persidangan, pengadilan harus membuang semua bukti yang didapat dari penggunaan malware karena dianggap melanggar hukum.

Muncul persoalan baru setelah pemerintah AS mengumumkan perubahan Peraturan Pasal 41 yang akan mulai efektif per 1 Desember 2016. Revisi ini memperbolehkan hakim tingkat pengadilan negara bagian mengeluarkan surat perintah seperti yang digunakan dalam investigasi situs Playpen.

Perubahan aturan ini dikhawatirkan “memberi kekuasaan terlalu besar terhadap aparat penegak hukum untuk meretas siapapun di dalam dan di luar AS,” ungkap Ahmed Ghappour, asisten profesor di UC Hastings College of Law kepada Motherboard. Ghappour juga merupakan penulis makalah Searching Places Unknown: Law Enforcement Jurisdiction on the Dark Web.

Soghoian menambahkan amandemen Peraturan 41 punya dampak negatif lainnya. “Peretasan semacam ini akan dianggap normal.”

“Di masa depan, operasi peretasan skala besar seperti ini tidak akan hanya dilakukan oleh FBI tapi juga aparat-aparat penegak hukum lainnya. Saya juga tidak akan heran kalau aparat penegakan hukum negara lain mulai meretas komputer-komputer di dalam AS juga,” tambahnya.

Kekhawatiran ini separuh terbukti saat kepolisian Australia meretas jaringan internet seorang tersangka kriminal yang tinggal di AS pada Agustus 2016. Tidak jelas apakah dalam kasus tersebut surat perintah resmi dari kepolisian sudah dikeluarkan.

Motherboard sempat meminta komentar dari Departemen Kehakiman AS, namun balasan mereka baru tiba setelah artikel ini dirilis. Pihak pemerintah mengunggah sebuah postingan di blog menjelaskan landasan perubahan Peraturan 41.

“Kami percaya teknologi tidak boleh menimbulkan area-area bebas hukum hanya karena peraturan negara belum mengikuti perkembangan zaman,” tulis Leslie R. Caldwell yang menjabat sebagai asisten pengacara umum divisi kriminal di Depkumham.

FBI menolak berkomentar untuk kasus ini.

Operasi peretasan massal ini baru dilakukan terhadap kasus pornografi anak di bawah umur. Setelah Peraturan 41 direvisi, ada kemungkinan aparat AS mulai menggunakan teknik yang sama untuk menyasar tindakan kriminal lainnya.

“Pertanyaan yang paling penting di sini adalah: Apakah aparat semata-mata meletakkan malware di sebuah situs, lalu menangkap setiap pengunjung? Bisakah mereka menangkap para pembeli narkoba dan tipe-tipe bisnis jasa ilegal menggunakan teknik yang sama?” tanya Ahmed.