Heboh e-Copet Pulsa Ponsel

22 Oct 2011 Heboh e-Copet Pulsa Ponsel

Baru-baru ini kita dihebohkan oleh pencopetan pulsa. Saya sendiri salah satu korbannya. Di TV, radio, media internet maupun media cetak berulang-kali membahas mengenai pencopetan pullsa yang sedang marak akhir-akhir ini. Beberapa wakil dari operator GSM sempat dihadirkan di TVOne dalam acara Jakarta Lawyer Club. Rupanya wajah-wajah mereka cukup merah padam entah karen menanggung malu.atau marah. Sepertinya dugaan publik nyaris dibenarkan, sayangnya acara tersebut bukan pengadilan, sehingga tidak ada vonis yang berarti. Mestinya dilanjutkan ke meja hijau karena ini kan masalah kejahatan yang benar-benar kasat mata. Lagi pula korbannya rakyat banyak dan langsung. Sehingga hemat saya, kriminal ini sama jahatnya dengan korupsi, namun labih nista.

Para wakil operator GSM yang hadir pada saat itu semua berkilah bukan perampokan. Alasannya, para korban itu sudah mendaftar berlangganan layanan premium dengan cara mengirim kata REG melalui SMS kepada layanan premium yang dikehendaki. Artinya, pelanggan yang pulsanya terkuras oleh layanan premium memang secara sadar dan sukerela sudah REG. Jadi harus siap menerima konsekuensinya. Ibaratnya, wong makan di warung ya harus siap bayar. Memang secara logika, kalo sudah REG sepertinya sah-sah saja pulsanya dibabat. Jadi sepertinya bukan kriminal. Yang disayangkan, pembicaraan hanya berkisar REG dan nggak bisa UNREG atau nggak tahu bagaimana UNREG. Jarang yang menyinggung kasus yang tanpa REG seperti yang saya alami.

Tanpa REG tapi pulsa kepotong

Saya juga mengalami beberapa kali pulsa kepotong, padahal seumur-umur tidak pernah melakukan REG apapun. Bahkan saya sangat benci dengan SMS premium yang nyampah ke HP saya. Mereka saya anggap spam dan umumnya begitu datang langsung saya hapus. Namun gara-gara ada kehebohan soal perampokan pulsa, maka saya sempatkan menahan 2 spam yang setelah kehadirannya langsung saya cek dan memang ada pengurangan saldo pulsa. Puluhan kali yang lain selalu langsung saya hapus dan lupa ngecek pulsa. Nggak tahu nih… apa ini termasuk yg sedang dihebohkan atau bukan.

Saya merasa tidak perlu membeberkan 2 SMS yang masih saya tahan arsipnya. Karena secara yuridis kehadiran SMS sampah tersebut dan pemotongan saldo pulsa yang saya alami tidak membuktikan apapun. Lagi pula, meskipun saya secara sepihak merasa tidak pernah REG apapun kemanapun, namun bukan tidak mungkin ada orang lain yang melakukan itu dengan HP saya. Karena kalo di rumah memang HP selalu tergeletak di meja. Anak-anak, isteri atau bahkan keponakan-keponakan juga tanpa sungkan-sungkan nyamber HP saya entah untuk kirim SMS, telpon atau sekedar main game. Terlebih, sebagai orang IT, saya juga tahu betul bahwa menelusuri bukti kejahatan yang dilakukan lewat IT bisa buntu jika pelakunya benar-benar jago. Bahkan bukti kebalikannya bisa direkayasa dengan jitu. Namun ada baiknya berbagi pengetahuan tentang kejahatan IT sekedar intermezzo.

Kejahatan IT dan menelusuri buktinya

Hemat saya, kejahatan IT lebih sulit untuk dibuktikan. Terutama kejahatan yang dilakukan oleh software melalui logika program. Terlebih jika software-nya dalam bentuk object codes, yang mana susunan logiknya sudah bukan text. Sehingga perlu kecermatan tinggi dan waktu yang cukup panjang untuk melacak alur logikanya. Kalo yang bikin cermat, software bisa dikendalikan dengan parameter tertentu untuk melakukan hal tertentu (misalnya kejahatan). Katakanlah parameter X, jika X=0 berjalan normal dan jika X=1 melakukan kejahatan. Sehingga pada saat sedang diperiksa, nilai X di-0-kan agar tidak terbukti. Orang yang lebih cerdik lagi, menempatkan X bukan di file atau tabel, tetapi di memori dan merubahnya dengan program lain. Sehingga pas ada pemeriksaan, tidak perlu sibuk merubah file atau tabel, cukup issue command untuk memanggil program tadi untuk meng-0-kan X. Di lain waktu cukup issue command itu lagi untuk mengembalikan agar X=1 dan kejahatan yang sudah tak terbukti berjalan lagi. Konyol kan?

Kejahatan ini sangat sulit dibuktikan. Modul program banyak sekali. Sulit bagi pemeriksa untuk berinisiatif mencari modul program yang mana yang bisa merubah variable program yang sedang diperiksa. Regular backup juga tidak berarti karena tidak ada perubahan fisik. Satu-satunya cara adalah dengan men-decompile atau dissemble object codes kembali menjadi source codes agar logiknya bisa dibaca.

Cara di atas tidak bisa digunakan untuk jenis-jenis software yang bukan object codes, seperti Java, PHP, Rexx dll. Mereka tetap berujud source codes dalam text yang kasat mata dan dijalankan oleh interpreter. Sehingga alur logikanya bisa dibaca. Bisa cilaka jika di dalamnya ada logika

if (X==1) {
   lakukan rutin jahat;
}

Tapi yang namanya programming adalah penalaran matematis. Orang yang matematikanya kuat, tidak kurang akal untuk melakukan sesuatu. Jangankan mereka orang dalam yang memang punya akses mutlah. Mereka yang tidak punya akses saja kadang mampu menembus sekuriti guna melakukan sesuatu di salam sistem. Bikin saja program lain untuk menyisipkan dan menghapus rutin kejahatan pada program transaksi yang ditargetkan tanpa merubah tanggal. Pengendaliannya dengan command. Ketika program transaksi akan diperiksa, jalankan command untuk mencabut rutin kejahatan. Sehingga pemeriksaan lolos. Ketika pemeriksa sudah pergi, jalankan command lagi untuk menyisipkan rutin jahat tersebut.

Namun cara ini bisa ditembus dengan aturan regular backup yang cukup frekwentif. Bisa saja si penjahat lengah pas mau di-backup, program dalam keadaan masih tersuntik rutin jahat. Sehingga pas backup ini di-restore, kejahatan bisa terungkap.

Semua cara-cara menembus logika program di atas dinamakan hacking. Intinya bukan merusak program, tetapi menempelkan logik tambahan atau merubah logik yang ada. Pengendaliannya juga bisa manual maupun otomatis. Kalo mau otomatis, pelakunya harus lebih canggih lagi karena harus bisa menangkan event tertentu untuk men-trigger kapan perubahan tersebut harus dilakukan dan kapan harus dikembalikan seperti aslinya. Tujuan hacking pun tidak selalu untuk kejahatan. Virus komputer awalnya adalah program otomatis untuk melakukan hacking.

Mungkinkah ada kejahatan dalam sistem GSM?

Semua pasti sepakat bahwa kejahatan dimana saja mungkin. Oke, lupakan yang tanpa REG. Orang-orang GSM demikian berani menyatakan tidak ada kriminal. Artinya berani bongkar database pelanggan untuk membuktikan bahwa yang pulsanya dibabat pasti tercatat berlangganan layanan premium. Artinya pernah dengan sadar melakukan REG. Para operator berharap dari bukti tersebut secara yuridis akan dianggap tidak ada kriminalitas.

Saya tidak sedang menyimpulkan ada atau tidak adanya kriminalitas dalam kasus ini, apalagi menuduh. Saya hanya berpijak dari sisi IT, mencoba mencermati apakah ada kemungkinan untuk melakukan e-kriminal pada sistem GSM. Dan meskipun saya praktisi IT yang sering terlibat dalam pembangunan produk software di wilayah OS, namun apa yang saya uraikan di bawah ini semata hipotesis yang hanya dilandasi pengetahuan konsep awam. Karena saya tidak pernah berkecimpung dalam dunia GSM. Sehingga apa yang saya uraikan di bawah ini bukan sebuah pedoman yang pasti.

Kembali ke dugaan publik adanya kriminalitas di sistem GSM… Pihak yang berwajib boleh saja curiga ada kerjasama antara operator GSM dan content provide melalui cara-cara hacking yang dijelaskan di atas untuk meng-update database agar si korban seolah-olah sudah REG. Jika karakter IT dalam sistem GSM memungkinkan untuk cara-cara hacking tersebut, maka akan sulit dibuktikan jika tidak bisa menemukan program hacker-nya.

Namun dari pembicaraan di TV dan media lain yang saya simak mengesankan seolah-olah kirim REG lewat SMS satu-satunya cara untuk mencantumkan layanan SMS premium pada data pelanggan di database yang konon hanya bisa/boleh dibuka atas perintah Kapolri atau Kejaksaan Agung. Wah hebat amat yak? Masyarakat awam pasti akan terkesan bahwa database tersebut sangat terproteksi dan yang bisa meng-update hanya aktivasi awal saat kita baru beli SIM. Selain itu hanya REG dan UNREG yang dikirim melalui SMS yang mampu mengubahnya.

Apakah benar demikian? Bisa jadi!!! Saya tidak tahu seperti apa proses di internal sistem GSM. Database pelanggan GSM dinamakan home locator register (HLR) Jika software yang menangani HLR adalah produk paket dari vendor (misalnya Nokia) yang hanya berupa object codes dan format HLR dirahasiakan oleh vendornya, maka sangat sulit untuk mengotak-atik isinya. Wong namanya data, kita bisa saja bikin program untuk meng-update-nya asal diberi akses yang cukup. Tetapi tanpa tahu format dan strukturnya, hasilnya bisa berantakan malah program HLR aslinya bisa nggak jalan karena datanya rusak. Sistem GSM-nya terpaksa harus berhenti beroperasi sampai HLR dipulihkan. Ini namanya cracking, bukan hacking. .Orang IT sehebat apapun tidak akan berani melakukan ini. Apalagi jika disana tidak ada orang IT yang qualified, dugaan hacking makin tidak mungkin.

Meskipun demikian, jika protokol untuk berinteraksi dengan HLR tidak rahasia, masih ada kemungkinan orang membobolnya dengan simulasi. Karena dengan mengetahui protokol, kita bisa menyampaikan informasai tanpa tahu format database-nya. Bikin program sendiri untuk melakukan interaksi dengan HLR seolah-olah seperti HP mengirim SMS REG. Karena HLR berada dalam komputer (server), maka program simulator bisa berada dimanapun selama bisa berkomunikasi sah dengan HLR.

Namun cara ini masih memungkinkan dilacak. Karena dalam sistem GSM masih ada database lain yang mendampingi HLR, yaitu visitor locator register (VLR). Meskipun VLR hanya semacam transient table, tetapi kalo HP kita tidak pernah dimatikan dan tidak pernah pindah ke roaming lain, catatan di VLR tidak dihapus. Jika dalam VLR ada semacam jurnal, maka ada peluang untuk menelisik informasi yang tidak sinkron antara VLR dan HLR. Untuk mengatasi hal ini, simulator harus berhadapan dengan VLR, bukan HLR. Berarti simulator harus mengikuti protokol VLR.

Jika protokol HLR maupun VLR juga dirahasiakan oleh vendor, berarti tidak mungkin ada hacking melalui simulator seperti ini. Bisa jadi ada cara lain yang di luar jangkauan pemikiran saya. Bisa jadi melalui HP beneran. Software dan mungkin hardware HP di-hack untuk memelintir pengiriman identitas menjadi identitas calon korban. Tapi ini tidak mungkin terjadi jika HP calon korban sedang aktif. Karena akan ada identitas kembar yang langsung terdeteksi oleh VLR.

Jika semua cara hacking tidak mungkin, maka berarti isi VLR dan HLR sangat sah. Pembuktian ada tidaknya kriminalitas cukup dengan membuka isi HLR. Dinyatakan kriminal hanya jika pelanggan tidak tercatat berlangganan layanan premium tapi pulsanya dipotong oleh layanan premium tersebut. Jika ternyata dalam HLR jelas tercatat berlangganan premium sejak tanggal tertentu, maka dugaan kriminal bisa dibatalkan demi hukum. Atau barangkali berubah menjadi perdata .. entah lah saya bukan pakar hukum.

Jaringan GSM

Bagi orang IT yang tidak berkecimpung di jagat GSM mungkin sangat awam soal GSM. Namun demikian, saya yakin orang IT tidak sulit untuk mempelajarinya, selama diberi kesempatan. Karena pada dasarnya IT ya gitu-gitu aja.

Jaringan GSM adalah jaringan sel-sel frekwensi radio yang satu sam a lain dihubungkan melalui jaringan data. GSM tidak mengalami voice switching seperti jaringan telpon karen lahirnya sudah era digital.

Gambar sebelah menjelaskan konfigurasi sistem GSM secara awam. Yang berlatar belakang hijau adalam jaringan GSM. Tampak dalam gambar bahwa jaringan GSM adalah jaringan komunikasi data WAN yang umumnya berbasis packet switch. Bedanya, untuk GSM, switching center dilengkapi VLR dan HLR yang dinamakan mobile switching center (MSC). Setiap node dalam jaringan adalah base station controller (BSC) yang berfungsi menjembatani jaringan komunikasi data tersebut dengan jaringan seluler yang menggunakan media frekwensi radio . BSC mengendalikan sejmlah base transceiver station (BTS) untuk berinteraksi dengan handphone (HP) melalui frekwensi radio. Setiap BTS menjangkau luasan tertentu yang disebut cell dan melayani setiap HP yang berada dalam wilayah selnya.

Handphone (HP) yang berada di salah satu wilayah sel, ketika diaktifkan mengirim kode identitas pelanggan dalam bentuk sinyal ke BTS dan dilanjutkan oleh BSC ke MSC. Identitas tersebut mencakup nomor telepon, kode seri dan vendor pesawat dll ditambah kode lokasi sel oleh BTS yang dilaluinya, lantas disampaikan ke MSC oleh BSC dalam format komunikasi data. Oleh MSC lantas dicocokan dengan data pelanggan yang ada di HLR. Jika cocok, maka data pelanggan tersebut disalin ke VLR dan HP mendapat sinyal balik yang menyatakan HP tersebut berada dalam wilayah layanan. Logo operator GSM muncul di layar HP.

Jika kode pelanggan tidak cocok dengan HLR, maka HP tersebut tidak mendapat layanan. Ini berarti HP berada dalam sel milik operator GSM lain.

Integrasi antar Operator GSM

Bagi yang pernah jalan-jalan di negara lain, barangkali bisa membandingkan dengan situasi di negeri kita. Di negara lain pada umumnya jika kita berjalan dari satu lokasi ke lokasi lain, logo operator GSM di layar HP kita berubah sendiri. Tadinya yang tampil logo A. Setelah sekian km tiba-tiba berubah menjadi logo X. Setelah memasuki kota tertentu, logo berubah lagi menjadi D. Kenapa demikian?

Mereka adalah negara kapitalisme. Para kapitalis disana saling menjunjung kode etik kapitalisme dimana bisnis harus mengutamakan kenyamanan dan kepuasan konsumen. Pemerintah dan perlemen disana juga cerdas dan sangat melindungi konsumen. Semua ruang bisnis dipagar-betis dengan berbagai aturan dan kode etik, termasuk bisnis GSM. Antar operator GSM harus kerjasama membangun jaringan seluler bersama. Sel-sel dibagi merata seluruh negara. Tidak ada kawasan yang bolong tanpa BTS. Dimana saja kita berada, selalu ada sinyal. Sebaliknya, tidak ada BTS bertumpuk di satu kawasan sampai polusi frekwensi radio. Kawasan tertentu hanya untuk operator tertentu. Namun satu sama lain bertetanggan tempel batas. Tarifnya pun tidak ada bedanya antar operator dan satu operator, sama-sama murah. Sehingga pengguna HP merasa sangat nyaman. Saya tidak tahu apakah mereka sebenarnya satu sistem GSM yang dibagi-bagi dalam sejumlah pengusaha dimana setiap BSC dipegang oleh perusahaan sendiri-sendiri dengan MSC milik bersama, ataukah memang beberapa sistem GSM yang VLR dan HLR-nya diintegrasikan atau bahkan sharing HLR.dan VLR. Semua secara teoritis memungkinkan selama MSC terkoneksi dalam jaringan komunikasi data yang sama.

Di negeri kita tidak ada integrasi HLR antar operator GSM. Antar operator bersaing bebas mengandalkan kekuatan modal masing-masing. Ada kawasan-kawasan yang dianggap tidak menguntungkan sehingga tidak ada BTS ditanam disana. Layar HP akan blank. Paling ada beberapa orang yang dirumahnya pasang antena sendiri nggak tahu seberapa efektif.

Ada pula wilayah-wilayah yang dikerumuni oleh banyak BTS padat sel dari berbagai operator yang berbeda, sehingga disana-sini tampak menara antena seperti hutan antena. Pasti polusi frekwensi radio sangat tinggi. Untungnya gelombangnya di luar jangkauan kuping. Seandainya kuping bisa mendengarkan, nggak kebayang seperti apa riuhnya.

Ada lagi kawasan-kawasan yang hanya dikuasai operator GSM tertentu. Misalnya hanya Telkomsel dan Indosat. Operator lain tidak ada. Kalo kita kesana dan nomor HP kita bukan Telkomsel atau Indosat, maka sama saja nggak bawa HP. Kita harus cepet-cepet beli SIM baru Telkomsel maupun Indosat dan segera memberitahukan nomor baru tersebut kepada rekan-rekan yang dianggap harus tahu. Maka tidak heran jika satu orang memiliki lebih dari satu nomor HP.

Di kawasan hutan BTS pun kita perlu memiliki banyak nomor HP. Karena telpon antar operator GSM yang berbeda, ongkosnya sangat mahal. Kita memiliki nomor Indosat untuk digunakan dengan rekan-rekan yang nomornya Indosat. Kita juga memiliki nomor XL untuk berkomunikasi dengan rekan-rekan pengguna XL. Tanpa disadari, harus membeli pulsa untuk semua nomor kita agar nomor tersebut tidak mati meskipun nggak pernah dipakai. Tapi hal semacam itu kita lazimkan terlebih bagi kita yang tidak pernah merasakan berada di negara lain.

Yang bikin heran, para pengusaha GSM kan banyak yang dari modal asing. Mereka di negerinya sendiri rapi, antar GSM saling terpadu penuh etika mambuat pelanggan nyaman. Giliran di negeri kita, mereka sepertinya membabibuta tanpa etika. Jangankan integrasi antar GSM… malah yang sekarang sedang heboh kan justru mencopet atau merampok pulsa pelanggan. Bukan sekedar tidak etis, tapi malah kriminal. Kenapa demikian?

Wah, saya bukan pakar bisnis. Jawaban sementara saya… negeri kita ini bukan negeri kapitalisme. Tentu saja kita tidak menyiapkan kode etik kapitalisme. Sehingga apa yang dilakukan para kapitalis, meskipun nampak tidak etis, namun sebenarnya tidak ada kode etik yang dilanggar.

Menelusur Perjalanan SMS

Karena yang sedang heboh saat ini adalah dugaan publik adanya tindak kriminal pencopetan pulsa oleh kerjasama operator dan penyedia layanan SMS premium, maka ada baiknya kita mengetahui mekanisme SMS. Secara awam perjalanan SMS digambarkan seperti diagram sebelah. Dari HP sampai SMS center (SMSC), SMS harus menempuh tahapan-tahapan dari A sampai dengan I:

Tahapan radio (A-B-C)

Tahapan ini SMS berjalan melalui frekwensi radio dari HP ke BSC melalui BTS di selnya. Tentu ini hanya bisa dilakukan oleh HP aktif yang berada di wilayah layanan operator yang sesuai dengan kartu SIMnya. Attinya.HP tersebut sudah terdaftar dalam VLR ketika pertama diaktifkan.

Tahapan jaringan data (C-D-E)

Di tahapan ini SMS diterbangkan melalui jaringan komunikasi data dari BSC ke MSC. He he kayak orang sekolah aja yak.. dari S1 ke S2. Tentu harus ditata-ulang formatnya untuk mengikuti protokol data digital yang tersedia.

Tahapan di MSC (E-F-G-H)

Tahapan ini diawali dengan sinkronisasi data jaringan (E) yang semula terpecah sebagai packet disatukan kembali ke lonjoran-lonjoran aslinya untuk memasuki tahap komputasi.

Tahap komputasi pertama adalah proses VLR (F) untuk mencatat jika ada informasi baru yang dibutuhkan oleh VLR. Mungkin termasuk perubahan lokasi sel jika pengiriman SMS dilakukan sambil berjalan. Pencatatan lokasi sebenarnya dilakukan otomatis yang ditrigger oleh BTS yang ditinggalkan dan BTS yang didatangi meskipun HP kita diam (aktif).

Tahap komputasi kedua adalah pencarian target komunikasi (G). Ini melibatkan VLR dan HLR untuik melacak nomor mana yang dituju dan berada di mana. Kalo ini call, maka lantas dilanjutkan dengan proses penyambungan kontak. Perhitungan biaya dilakukan pada saat kontak diputus karena parameternya adalah waktu. Karena ini SMS, biayanya sudah jelas, maka yang penting SMS sudah disampaikan, maka biaya langsung dihitung.

Tahap perhitungan biaya (H) dilakukan setelah SMS terkirim. Untuk pelanggan prabayar langsung dilakukan pengurangan saldo pulsa. Sedangkan pelanggan pascabayar diperhitungkan dalam Dari sini kita tahu bahwa terlepas dari SMS tersebut premium apa bukan, yang menghitung biaya dan melakukan pemotongan saldo pulsa adalah program yang ada di wilayah MSC.

Siapa yang mengurangi saldo pulsa?

Dari uraian di atas, jelas bahwa yang melakukan pemotongan saldo pulsa adalah operator GSM berdasarkan perhitungan yang dilakukan oleh program di tahap (H). Katakanlah dugaan publik soal e-kriminal perampokan pulsa itu dilakukan dengan hacking di VLR, HLR, HP maujpun di proses billing (H) dan kenyataannya hacking memang memungkinkan dilakukan untuk sistem GMS, lantas siapa yang harus dituduh sebagai mailing? Oknum hacker? Content provider? Atau operator?

Jika oknum hacker malingnya, maka oknum tersebut hanya akan menguntungkan operator GSM. Karena nilai hasil pemotongan tersebut masuknya ke rekening operator. Berarti oknum hacker tadi adalah orang hebat yang bodoh. Hebat karena mampu melakukan hacking. Tapi bodoh karena tidak mendapat apa-apa untuk pekerjaan sulit yang beresiko penjara. Kecuali jika hasil pemotongan pulsa tersebut dia transfer ke nomor tertentu. Sepertinya tidak begitu, karena pelanggan pascabayar pun kabarnya kena juga. Apanya yang ditransfer?

Mari kita tunggu apa yang akan dilakukan oleh para petinggi negeri ini …

wpuser
dewi.sekarsari@yahoo.com
No Comments

Post A Comment