Slide dalam tanda pengenal resmi meningkatkan kekhawatiran akan privasi

Chris Paget naik ke mobil Volvo-nya, dilengkapi dengan antena Matrix dan alat pembaca Motorola yang dibelinya di eBay seharga $190, dan turun ke jalan di San Francisco dengan tujuan ini: Membaca kartu identitas orang asing secara nirkabel, tanpa harus meninggalkan mobilnya.

Butuh waktu 20 menit baginya untuk mendapatkan emas peretas.

Pemindainya melewati Fisherman’s Wharf, lalu mengunduh ke laptopnya nomor seri unik dari dua kartu paspor elektronik AS milik dua pejalan kaki yang dilengkapi dengan tag identifikasi frekuensi radio, atau RFID. Dalam waktu satu jam, dia telah “melihat” pengidentifikasi empat kartu PASS baru dengan microchip dari jarak 20 kaki.

Menanamkan dokumen identitas – paspor, SIM dan sejenisnya – dengan chip RFID adalah hal yang mudah bagi pejabat pemerintah. Mereka semakin mempromosikannya sebagai penerapan teknologi abad ke-21 yang akan membantu mempercepat penyeberangan perbatasan, melindungi kredensial dari pemalsu dan mencegah teroris menyelinap ke negara tersebut.

Namun eksperimen Paget pada bulan Februari menunjukkan sesuatu yang dikhawatirkan oleh para pendukung privasi selama bertahun-tahun: Bahwa RFID, bersama dengan teknologi lainnya, dapat membuat orang dapat dilacak tanpa sepengetahuan atau persetujuan mereka.

Dia memfilmkan perampokan yang dilakukannya saat berkendara, dan tak lama kemudian videonya menjadi viral di Web, memicu perdebatan mengenai upaya pemerintah, federal dan negara bagian, untuk menanamkan teknologi pelacakan dalam dokumen identitas dan potensinya untuk mengikis privasi.

Menempatkan RFID yang dapat dilacak di setiap tas berpotensi membuat semua orang tidak terdeteksi radar, kata para kritikus, dan mendefinisikan ulang pengintaian pemerintah Orwellian untuk era digital.

Beberapa orang sudah menyebutnya sebagai “Adik kecil”—walaupun elemen jaringan pengawasan global yang mereka peringatkan hanya ada di papan gambar, tidak tersedia atau disetujui untuk digunakan.

Namun dengan kemajuan teknologi pelacakan yang semakin cepat, para kritikus mengatakan, tidak akan lama lagi pemerintah dapat mengidentifikasi dan melacak siapa pun secara real-time, 24 jam sehari, 7 hari seminggu, dari kafe di Paris hingga pantai California.

Kunci untuk membuat sistem seperti itu berfungsi, kata para penentangnya, adalah memastikan setiap orang memakai tag RFID yang terhubung dengan file data biometrik.

Pada tanggal 1 Juni, warga Amerika yang memasuki Amerika Serikat melalui darat atau laut dari Kanada, Meksiko, Bermuda, dan Karibia diwajibkan untuk menunjukkan dokumen identifikasi yang dilengkapi dengan tag RFID, meskipun paspor konvensional tetap berlaku hingga habis masa berlakunya.

Di antara opsi-opsi baru tersebut adalah “e-paspor” yang terpotong dan kartu PASS elektronik baru – seukuran kartu kredit, dengan foto digital pembawa dan sebuah chip yang dapat dipindai melalui saku, ransel atau tas dari jarak 30 kaki.

Sebagai alternatif, pelancong dapat menggunakan surat izin mengemudi yang “ditingkatkan” yang dilengkapi dengan tag RFID yang sekarang dikeluarkan di beberapa negara bagian perbatasan: Washington, Vermont, Michigan, dan New York. Texas dan Arizona telah menandatangani perjanjian dengan pemerintah federal untuk menawarkan lisensi yang diretas, dan Departemen Keamanan Dalam Negeri AS telah merekomendasikan perluasan ke negara-negara non-perbatasan. Pejabat Kansas dan Florida menerima pengarahan DHS tentang izin tersebut, menurut catatan lembaga.

Tujuan penggunaan RFID bukan untuk mengidentifikasi orang, kata Mary Ellen Callahan, kepala petugas privasi di Homeland Security, melainkan “untuk memverifikasi bahwa dokumen identifikasi berisi informasi valid tentang Anda.”

Demikian pula, agen perbatasan AS melakukan “ping” ke database hanya untuk memastikan bahwa izin tersebut tidak palsu. “Mereka tidak mencabut surat tilang Anda,” katanya, atau melihat informasi pribadi selain yang ada di paspor.

Perubahan ini sebagian besar berkaitan dengan kecepatan dan kenyamanan, katanya. Sebuah dokumen RFID yang berfungsi sebagai dokumen perjalanan AS “mempermudah pencatatan yang tepat dengan cukup cepat, untuk memastikan perbatasan lancar dan beroperasi” — meskipun laporan tahun 2005 oleh Kantor Akuntabilitas Pemerintah menemukan bahwa pembaca RFID pemerintah sering gagal mendeteksi tag wisatawan.

Jaminan tersebut tidak meyakinkan mereka yang membandingkan dokumen yang dilengkapi RFID dengan barcode dengan antena dan menyatakan bahwa dokumen tersebut menimbulkan risiko privasi yang jauh lebih besar daripada manfaat teknologi yang digembar-gemborkan. Mereka memperingatkan bahwa hal ini akan memungkinkan pencuri identitas, penguntit, dan penjahat lainnya untuk melakukan kejahatan “tanpa kontak” terhadap korban yang tidak segera mengetahui bahwa mereka telah dibobol.

Neville Pattinson, wakil presiden urusan pemerintahan di Gemalto, Inc., pemasok utama kartu microchip, bukanlah penghancur RFID. Dia adalah anggota dewan Smart Card Alliance, sebuah kelompok industri RFID, dan bertugas di Komite Penasihat Departemen Keamanan Dalam Negeri untuk Privasi dan Integritas Data.

Meski begitu, Pattinson mengkritik tajam RFID di SIM dan kartu paspor AS. Dalam artikel tahun 2007 untuk Privacy Advisor, sebuah buletin untuk para profesional privasi, dia menyebut mereka rentan “terhadap serangan peretas, pencuri identitas, dan bahkan mungkin teroris.”

RFID, tulisnya, memiliki kelemahan mendasar: Setiap chip dibuat untuk mengirimkan pengenal uniknya dengan setia “secara jelas, sehingga nomor tag dapat dicegat selama komunikasi nirkabel.”

Setelah nomor tag disadap, “relatif mudah untuk langsung mengasosiasikannya dengan seseorang,” katanya. “Jika ini dilakukan, maka dimungkinkan untuk melakukan serangkaian gerakan dengan meniru identitas orang lain tanpa sepengetahuan orang tersebut.”

Yang menyuarakan kekhawatiran ini adalah AeA – asosiasi lobi untuk perusahaan teknologi – Smart Card Alliance, Institute of Electrical and Electronics Engineers, Business Travel Coalition, dan Association of Corporate Travel Executives.

Sementara itu, Homeland Security telah mempromosikan penggunaan RFID secara luas, meskipun komite penasihatnya mengenai integritas data dan privasi telah memperingatkan bahwa ID yang diberi tag radio berpotensi memungkinkan “pengawasan luas terhadap individu” tanpa sepengetahuan atau persetujuan mereka.

Dalam rancangan laporan tahun 2006, komite tersebut menyimpulkan bahwa RFID “meningkatkan risiko terhadap privasi dan keamanan pribadi, tanpa manfaat yang sepadan terhadap kinerja atau keamanan nasional,” dan merekomendasikan agar “RFID dirusak dalam mengidentifikasi dan melacak orang.”

Untuk saat ini, kartu PASS yang terkelupas dan surat izin mengemudi yang ditingkatkan bersifat opsional dan belum diterapkan secara luas di Amerika Serikat. Hingga saat ini, sekitar 192.000 EDL telah diterbitkan di Washington, Vermont, Michigan dan New York.

Namun seiring semakin banyaknya orang Amerika yang memakainya, “Anda dapat bertaruh bahwa pelacakan jarak jauh terhadap orang-orang dalam skala besar akan meningkat secara eksponensial,” kata Paget, yang menyebut dirinya sebagai “peretas etis” yang bekerja sebagai konsultan keamanan Internet.

Bisakah nomor RFID pada akhirnya menjadi pengidentifikasi de facto orang Amerika, seperti nomor Jaminan Sosial?

Hari seperti itu tidak lama lagi akan terjadi, Katherine Albrecht, seorang advokat privasi dan salah satu penulis “Spychips,” memperingatkan, sebuah buku yang sangat kritis terhadap penggunaan RFID pada barang-barang konsumen dan dokumen identitas resmi.

“Ada alasan mengapa Anda tidak mencantumkan nomor Jaminan Sosial di kaus Anda,” kata Albrecht, “dan memancarkan nomor RFID nasional baru Anda dalam radius 30 kaki akan jauh lebih buruk.”

Tidak ada undang-undang federal yang melarang skimming nomor RFID Amerika, sehingga tidak akan lama lagi orang-orang akan ingin mengambil keuntungan dari hal ini, kata Bruce Schneier, seorang penulis dan kepala petugas keamanan di BT, operator telekomunikasi Inggris.

Broker data yang mengkompilasi file komputer jutaan individu dari catatan publik, permohonan kredit dan sumber lain “pastinya akan memelihara database nomor RFID dan orang-orang terkait,” katanya. “Mereka akan merugikan pemegang sahamnya jika tidak melakukan hal tersebut.”

Namun Gigi Zenk, juru bicara Departemen Perizinan Negara Bagian Washington, mengatakan masyarakat Amerika “tidak begitu peduli dengan RFID, terutama di zaman sekarang ini ketika ada banyak cara lain untuk mengakses informasi pribadi seseorang.”

Menemukan seseorang jauh lebih mudah dengan ponsel, atau tag satelit yang tertanam di mobil, katanya. “Sejujurnya, RFID yang tidak berisi informasi pribadi apa pun, hanya nomor acak, mungkin merupakan salah satu hal yang paling tidak perlu dikhawatirkan.”

Namun bahkan beberapa pendukung setia RFID mengakui bahwa kartu RFID generasi berikutnya ini menimbulkan pertanyaan pelik.

Mark Roberti, editor Jurnal RFID, sebuah buletin industri, baru-baru ini mengakui bahwa seiring dengan meningkatnya penggunaan RFID dalam dokumen resmi, potensi penyalahgunaan pun meningkat.

“Pemerintah bisa melakukan ini, misalnya, untuk mendeteksi lawan,” tulisnya dalam sebuah opini yang membahas eksperimen kloning Paget. “Sampai saat ini, pelanggaran seperti ini belum terjadi, namun hal ini mungkin terjadi jika pemerintah gagal menangani masalah privasi dengan serius.”