Setelah serangan terhadap beberapa perusahaan listrik Ukraina pada bulan Desember 2015, keamanan dunia maya dari lokasi dan infrastruktur yang sensitif telah terkendali. Tetapi kinerja mereka yang kurang baik tampaknya belum membaik karena, menurut sebuah laporan baru, pekerja dari pembangkit listrik tenaga nuklir, pabrik kimia, kontraktor pertahanan dan sektor infrastruktur lainnya menggunakan pager usia dinosaurus untuk mengirimkan pesan tanpa tidak ada perlindungan dan enkripsi.
Mode komunikasi ini membuat mereka terekspos bahkan kepada peretas dengan cara sederhana. Menurut laporan itu, karyawan pabrik telah mengirimkan informasi seperti diagnostik pabrik, nama, detail kontak, dan informasi lainnya melalui pager, yang semuanya dapat digunakan untuk merancang serangan sosial dengan sangat mudah.
Laporan baru, dari perusahaan keamanan cyber Trend Micro, menyatakan:
“Karena pesan pager umumnya tidak dienkripsi, penyerang dapat melihat pesan pager bahkan dari kejauhan; semua yang dibutuhkan penyerang adalah kombinasi dari beberapa pengetahuan radio yang ditentukan perangkat lunak (SDR) dan $ 20 untuk dongle. “
Trend Micro telah menjalankan pemantauan peralatan dan perangkat lunak di berbagai fasilitas infrastruktur penting di Amerika Serikat dan Kanada selama empat bulan terakhir. Perusahaan memantau hampir 55 juta pesan pager, dan menemukan bahwa sekitar sepertiganya adalah alfanumerik. Penyebab di balik penggunaan pager yang banyak adalah sistem peringatan otomatis yang memberi tahu karyawan tentang masalah internal.
Kredit gambar: mech sapiensLaporan itu menambahkan,
“Selama proyek ini, kami melihat beberapa sistem menggunakan pager untuk fungsi alarm. Alarm ini dapat membocorkan informasi tentang desain bangunan, produk yang digunakan, serta informasi spesifik perusahaan lainnya yang tidak boleh dilihat oleh siapa pun di luar perusahaan. “
Pesan pager lain ditulis oleh karyawan sendiri. Dan karena pager ini tidak menggunakan enkripsi atau otentikasi, penyerang apa pun dapat menyusup, memantau, atau bahkan menambahkan pesan mereka sendiri ke pager percakapan tanpa meninggalkan jejak kehadiran mereka. Aktor negara musuh, agen intelijen dan teroris yang menyelidiki fasilitas sabotase dapat menyalahgunakan informasi tersebut. Tetapi pesaing swasta mungkin juga mencari celah untuk menyelinap, sebagaimana laporan itu baca.
“Setiap perusahaan, terutama yang mengirimkan informasi penting melalui pager, harus khawatir begitu mereka menyadari bahwa mereka secara tidak sadar mengirimkan informasi penting tentang operasi fasilitas mereka.”
Trend Micro pada akhir laporan merekomendasikan bahwa perusahaan mana pun yang menggunakan pager harus mengambil langkah-langkah enkripsi yang cukup, menambahkan otentikasi, dan juga mengaudit setiap kebocoran informasi yang mungkin terjadi ketika menggunakan sistem email pager.
