Home » Internet of Things » Apa Itu IoT Security? Panduan Keamanan IoT untuk Pemula
Internet of Things

Apa Itu IoT Security? Panduan Keamanan IoT untuk Pemula

Ruang tamu berisi perangkat IoT seperti kamera CCTV, smart TV terhubung garis jaringan biru, ikon gembok besar melayang di tengah sebagai simbol apa itu IoT security

Apa Itu IoT Security? Panduan Keamanan IoT untuk Pemula

Tahun 2019, saya lagi iseng-iseng scanning Shodan dari laptop pribadi di rumah, sambil nyeruput kopi tubruk yang udah dingin. Iseng doang — niatnya pengen lihat berapa banyak perangkat IoT yang terekspos di Indonesia. Saya ketik query simpel: port 554 (RTSP) dengan geo-filter Indonesia. Hasilnya? Lebih dari 12.000 kamera CCTV yang bisa diakses tanpa password sama sekali. Dua belas ribu. Itu baru satu port, satu query. Di situlah saya sadar bahwa memahami apa itu IoT security bukan cuma urusan orang IT atau perusahaan besar — ini urusan semua orang yang punya perangkat pintar di rumah. Karena kenyataannya, tetangga kamu, orang tua kamu, bahkan mungkin kamu sendiri, punya perangkat IoT yang setiap hari terhubung internet tanpa perlindungan memadai.

Nah, di artikel ini saya pengen ngajak kamu memahami keamanan IoT dari nol. Tanpa jargon yang bikin mumet, tanpa istilah teknis yang nggak perlu. Saya akan jelasin kenapa keamanan IoT itu penting, apa aja ancamannya, dan langkah-langkah simpel yang bisa kamu lakukan hari ini juga. Anggap aja kita lagi diskusi santai di basecamp — saya sharing pengalaman 8 tahun lebih di dunia security, dan kamu tinggal dengerin sambil nyatet yang penting-penting.

IoT Itu Sebenarnya Apa Sih?

Sebelum ngomongin security-nya, kita harus ngerti dulu: IoT itu apa? Internet of Things — atau disingkat IoT — adalah istilah buat perangkat fisik yang bisa terhubung ke internet dan saling berkomunikasi. Perangkat ini punya sensor, software, dan teknologi lain yang memungkinkan mereka ngirim dan nerima data lewat jaringan. Simpelnya: benda-benda biasa yang jadi “pintar” karena terhubung internet.

Saya kasih contoh yang ada di sekitar kita ya. Smart TV di ruang tamu yang bisa streaming Netflix. CCTV atau IP camera yang bisa kamu pantau dari hape pas lagi di kantor. Smart speaker kayak Google Nest atau Alexa yang bisa nurutin perintah suara. Smart lamp Philips Hue yang warnanya bisa diatur dari aplikasi. Smart lock di pintu apartemen. Bahkan rice cooker dan AC pun sekarang udah banyak yang Wi-Fi-enabled.

Tapi IoT itu nggak cuma barang konsumen ya. Di industri, IoT jauh lebih luas lagi. Ada sensor di pabrik yang monitor suhu mesin 24 jam. Ada alat medis di rumah sakit yang terhubung internet buat kirim data pasien real-time. Ada smart meter PLN yang otomatis baca pemakaian listrik. Ini yang disebut Industrial IoT (IIoT).

Kenapa IoT Security Itu Penting Banget?

Sekarang bayangin. Semua perangkat yang saya sebutin tadi — dari smart TV sampai alat medis — terhubung ke internet. Setiap koneksi itu adalah pintu. Dan setiap pintu bisa dimasuki kalau nggak dikunci dengan benar. Apa itu IoT security pada dasarnya? Ini adalah praktik, tools, dan metodologi buat memastikan bahwa pintu-pintu digital ini nggak bisa dibuka sama orang yang nggak berhak.

Tapi realitanya apa? Mayoritas perangkat IoT didesain dengan prioritas: murah, kecil, dan cepet sampai ke konsumen. Keamanan? Nomor sekian. Saya udah bertahun-tahun ngelihat ini di lapangan. Firmware penuh bug. Password default yang sama buat jutaan unit. Update? Nggak ada mekanisme sama sekali. Begitu perangkat keluar dari pabrik, ya udah — dia stuck dengan keamanan versi pertama sampai kiamat.

Dan ini bukan cuma soal privasi (walaupun privasi juga serius). Di dunia industri, IoT yang diretas bisa bikin kerusakan fisik nyata. Bayangin sensor suhu di pabrik kimia yang dimanipulasi, bikin pembacaan suhu palsu, dan akhirnya terjadi ledakan karena sistem safety nggak nyala. Ini bukan fiksi ilmiah — ini udah terjadi.

OWASP IoT Top 10 — Peta Kerentanan yang Wajib Kamu Tahu

OWASP (Open Web Application Security Project) itu organisasi nonprofit yang bikin standar keamanan aplikasi. Mereka punya daftar yang namanya OWASP IoT Top 10 — yaitu 10 kerentanan paling umum dan paling berbahaya di perangkat IoT. Saya udah pakai daftar ini bertahun-tahun sebagai checklist saat audit keamanan IoT. Ini ringkasannya:

1. Weak, Guessable, or Hardcoded Passwords

Ini ranking satu — dan memang pantas. Bayangin: ada jutaan perangkat IoT di seluruh dunia yang pakai password default “admin/admin” atau “root/12345”. Dan password ini udah diketahui semua orang, termasuk hacker. Yang lebih parah lagi, banyak produsen yang nge-hardcode password ini langsung di firmware — jadi meskipun kamu ganti password lewat web interface, password backdoor-nya tetep aja bisa dipakai. Saya udah nemuin ini berkali-kali di berbagai merek CCTV yang dijual di marketplace Indonesia.

2. Insecure Network Services

Ini tentang layanan jaringan yang berjalan di perangkat — seperti Telnet, SSH, UPnP, atau web server — yang nggak diamankan dengan benar. Banyak perangkat IoT yang nyalain Telnet (protokol kuno yang nggak ada enkripsinya) secara default. Attacker tinggal scan port 23, dapet, terus brute force login. Saking umumnya, ini jadi vektor utama penyebaran botnet Mirai.

3. Insecure Ecosystem Interfaces

Ekosistem IoT itu terdiri dari tiga komponen: perangkat fisik (device), aplikasi mobile yang ngontrol, dan cloud backend yang nyimpen data. Ketiga interface ini — baik itu API, web interface, atau komunikasi antar komponen — sering banget punya celah keamanan. Yang paling sering saya temuin: API tanpa authentication yang ngasih akses penuh ke data kamera CCTV lewat endpoint simpel kaya /api/snapshot.

4. Lack of Secure Update Mechanism

Ini masalah klasik IoT. Banyak perangkat yang sama sekali nggak punya mekanisme update firmware. Ada yang punya, tapi updatenya lewat HTTP biasa (bukan HTTPS), di-download tanpa validasi digital signature, dan nggak ada rollback mechanism. Artinya firmware bisa dimodifikasi di tengah jalan (man-in-the-middle) dan di-flash ke perangkat tanpa sepengetahuan pemilik.

5. Use of Insecure or Outdated Components

Produsen IoT hobi banget pakai komponen open source yang udah outdated. Library OpenSSL versi jadul yang punya puluhan CVE known. Kernel Linux yang udah end-of-life. Web server embedded yang udah nggak di-maintain lagi. Dan mereka jarang banget ngasih tahu konsumen kalau perangkat mereka jalan di atas stack software yang bolong-bolong.

6. Insufficient Privacy Protection

Perangkat IoT ngumpulin data pribadi — banyak banget. Mulai dari kebiasaan tidur kamu (smart watch), rekaman suara (smart speaker), sampai pola aktivitas di rumah (smart lock, smart lamp). Tapi perlindungan datanya? Sering banget nggak jelas. Data dikirim tanpa enkripsi, disimpen di server cloud dengan keamanan minimal, atau malah dijual ke pihak ketiga tanpa consent.

7. Insecure Data Transfer and Storage

Kembali ke masalah enkripsi. Banyak perangkat IoT yang ngirim data — termasuk video feed CCTV — lewat protokol yang nggak terenkripsi. Artinya siapa pun yang ada di jaringan yang sama bisa nyadap traffic dan lihat isinya. Atau data disimpen di local storage (microSD di kamera) tanpa enkripsi, jadi kalau SD card-nya dicuri, semua rekaman langsung bisa diakses.

8. Lack of Device Management

Kebanyakan perangkat IoT nggak punya interface manajemen yang proper buat ngatur keamanan. Nggak ada fitur buat lihat log akses. Nggak ada notifikasi kalau ada login mencurigakan. Nggak ada mekanisme buat audit security posture perangkat. Semuanya serba minimal — you get what you get.

9. Insecure Default Settings

Selain password, ada banyak pengaturan default lain yang berbahaya. Port yang kebuka padahal nggak dipakai. Fitur remote access yang nyala tanpa konfirmasi. UPnP yang auto-configure port forwarding di router — bikin perangkat accessible dari internet tanpa kamu sadar.

10. Lack of Physical Hardening

Perangkat IoT itu fisik, bukan cuma digital. Dan banyak yang nggak punya perlindungan fisik memadai. Port debug (UART, JTAG) yang terbuka dan bisa diakses dengan gampang. Storage yang nggak di-enkripsi. Tombol reset yang posisinya di luar dan bisa ditekan siapa aja.

Kerentanan Umum di Perangkat IoT — Pengalaman Lapangan

Dari 10 item OWASP tadi, ada beberapa yang menurut saya paling sering muncul di lapangan. Ini based on puluhan audit dan pentest IoT yang udah saya kerjain.

Password Default: Si Biang Kerok Nomor Satu

Saya nggak bisa cukup menekankan betapa parahnya masalah password default ini. Di setiap pentest IoT yang saya lakukan, hampir selalu ketemu perangkat yang masih pakai kredensial default. Terutama di segmen consumer — CCTV, router, smart plug. Produsennya masang password “admin/admin” atau “root/1234” terus user-nya nggak pernah ganti. Atau lebih parah lagi: user-nya malah nggak tahu kalau perangkat itu ada password-nya.

Kasus nyata: saya pernah diminta bantuan sama teman yang tokonya kebobolan — CCTV dia dipantau orang lain. Setelah saya cek, ternyata dia beli kamera murah dari marketplace, colok, nyalain, selesai. Nggak pernah ganti password. Nggak pernah update firmware. Dan kamera itu udah terekspos ke internet via UPnP selama setahun lebih tanpa dia sadari.

Komunikasi Tanpa Enkripsi

Ini juga temuan rutin. Perangkat IoT ngirim data sensitif lewat HTTP plain, MQTT tanpa TLS, atau Telnet. Saya ingat satu kali pentest smart home system — komunikasi antara hub dan semua sensornya pakai HTTP doang. Artinya kalau ada attacker di jaringan yang sama, dia bisa sniffing semua traffic dan ngelihat data sensor, bahkan menginjeksi perintah palsu ke perangkat.

Tidak Ada Mekanisme Update Sama Sekali

Satu temuan yang selalu bikin saya frustrasi: perangkat IoT yang nggak punya cara buat di-update. Ini artinya setiap bug keamanan yang ditemukan setelah produk dirilis — permanen. Nggak bisa di-patch. Saya udah nemu beberapa brand CCTV lokal Indonesia yang kayak gini. Firmware-nya statik. Begitu researcher nemu vulnerability (misal buffer overflow di parsing RTSP), semua unit yang udah terjual ya udah — rentan selamanya.

Kasus Nyata Peretasan IoT yang Bikin Merinding

Biar kamu makin paham kenapa apa itu IoT security penting, saya mau ceritain beberapa kasus nyata yang udah terjadi. Bukan hoax, bukan teori. Ini beneran terjadi.

Baby Monitor Diretas — Orang Asing Ngomong ke Bayi

Kasus ini terjadi di Amerika, tapi skalanya global karena baby monitor yang dipakai tersedia di mana-mana. Seorang ibu masuk ke kamar bayinya dan denger suara orang asing dari baby monitor. Orang itu ngomong ke bayinya lewat speaker monitor. Bayangin perasaan ibu itu — device yang dia beli buat melindungi anaknya malah jadi alat orang asing masuk ke kamar anaknya.

Secara teknis, ini terjadi karena baby monitor terhubung ke Wi-Fi rumah dengan password default atau tanpa password sama sekali. Protokol komunikasinya nggak terenkripsi. Attacker cuma perlu scan jaringan Wi-Fi terdekat (atau scan internet lewat Shodan), dapet IP baby monitor, terus connect. Simpel banget tapi dampaknya mengerikan.

Jeep Cherokee Recall 2015 — Mobil Diretas dari Jarak Jauh

Ini kasus legendaris yang jadi wake-up call buat industri otomotif. Dua researcher keamanan — Charlie Miller dan Chris Valasek — berhasil ngambil alih kendali Jeep Cherokee dari jarak jauh. Mereka bisa ngontrol AC, audio system, wiper, bahkan transmission — semua lewat koneksi internet ke sistem infotainment mobil.

Kronologinya gila: mereka nemu bahwa sistem Uconnect (head unit Jeep) terhubung ke internet via jaringan seluler. Dari situ mereka bisa pivot ke CAN bus — jaringan internal mobil yang ngontrol semua sistem. Mereka bisa matiin mesin mobil di tengah jalan tol. Hasilnya? Fiat Chrysler recall 1,4 juta kendaraan. Bayangin biayanya.

Mirai Botnet dan Tumbangnya Internet Amerika

Ini kasus yang paling saya ingat karena saya ada di industri security waktu kejadiannya. Oktober 2016. Dyn — penyedia layanan DNS yang dipakai sama Twitter, Netflix, Reddit, Spotify, GitHub, dan banyak platform besar lainnya — kena DDoS attack masif. Traffic-nya datang dari mana-mana, dari jutaan alamat IP. Semua adalah perangkat IoT: CCTV, router, DVR, printer.

Attacker-nya pakai malware bernama Mirai. Cara kerjanya simpel tapi brilian: Mirai scan internet nyari perangkat yang pakai salah satu dari 61 username/password default yang udah di-hardcode di malware-nya — kaya “root/root”, “admin/admin”, “root/12345”. Begitu dapet, perangkat langsung direkrut jadi botnet. Semua bot ini kemudian diperintah buat nge-DDoS target. Simple, scalable, devastating.

Dampaknya? Separuh internet Amerika down selama beberapa jam. Dan yang bikin miris: sang attacker cuma remaja. Dia nggak butuh skill dewa — dia cuma exploitasi fakta bahwa jutaan perangkat IoT masih pakai password default.

Tantangan Mengamankan IoT — Kenapa Nggak Semudah Kedengarannya

Sekarang kita ngerti ancamannya. Tapi kenapa sih sampai sekarang IoT security masih jadi PR besar? Ada beberapa faktor fundamental yang bikin mengamankan IoT itu susah.

Keterbatasan Hardware dan Processing Power

Perangkat IoT itu kecil. Mikrokontroler-nya terbatas. RAM-nya cuma puluhan atau ratusan kilobyte. Storage-nya flash memory kecil. Dengan resource sesedikit itu, banyak fitur keamanan yang nggak bisa jalan. Enkripsi AES butuh processing power. TLS handshake butuh RAM. Update firmware butuh storage. Mau pasang firewall embedded? Mikrokontrolernya nggak sanggup.

Saya pernah analisis firmware satu smart lamp — chip-nya ESP8266 dengan RAM 80KB. Gimana mau jalanin enkripsi yang proper dengan resource segitu? Ujung-ujungnya produsen kompromi: komunikasi pakai plain HTTP, autentikasi minimal, nggak ada encryption. Ini bukan karena produsennya jahat — tapi karena batasan fisik hardware-nya.

Tidak Ada Mekanisme Update

Sekali lagi ini. Banyak perangkat IoT yang di-desain dengan model “ship and forget”. Begitu keluar pabrik, hubungan produsen dengan perangkat itu putus. Nggak ada update server. Nggak ada OTA (Over-The-Air) update mechanism. Nggak ada cara buat user download firmware baru. Jadi kalau ada vulnerability ditemukan 6 bulan setelah rilis? Semua unit yang ada di pasaran — dan udah terpasang di rumah orang — rentan permanen.

Rantai Pasok yang Kompleks

Perangkat IoT modern itu hasil dari rantai pasok yang panjang. Chip dari vendor A, modul Wi-Fi dari vendor B, firmware dari vendor C, aplikasi mobile dari vendor D, cloud backend dari vendor E. Masing-masing komponen ini punya security posture sendiri-sendiri. Dan produsen akhir yang jual produk ke konsumen sering kali nggak punya visibilitas atau kontrol penuh ke semua komponen ini.

Langkah Dasar Mengamankan IoT di Rumah — Mulai Hari Ini Juga

Oke, setelah semua cerita horor tadi, sekarang saya kasih langkah-langkah praktis yang bisa kamu lakukan hari ini. Ini nggak perlu skill teknis tinggi — cukup kemauan dan sedikit waktu.

Pertama — dan ini yang paling penting — ganti semua password default. Semua. CCTV kamu, router kamu, smart lamp kamu, smart TV kamu. Jangan pakai “admin/admin” atau “12345”. Pakai password yang kuat, unik buat setiap perangkat. Gunakan password manager kalau perlu.

Kedua, pisahkan jaringan IoT kamu dari jaringan utama. Kebanyakan router modern support guest network atau secondary SSID. Pakai itu. Jadi kalau ada perangkat IoT yang kena hack, attacker-nya cuma bisa akses jaringan IoT — nggak bisa nyentuh laptop atau hape kamu yang ada di jaringan utama.

Ketiga, matikan fitur yang nggak kamu butuhkan. UPnP? Matikan. Remote access? Matikan kalau nggak benar-benar perlu. Port forwarding? Cek satu-satu, tutup yang nggak dipakai.

Keempat, update firmware secara berkala. Cek website produsen perangkat kamu. Ada update? Install. Iya, prosesnya kadang ribet — kadang harus download file, upload via web interface, tunggu reboot. Tapi ini worth it dibanding risiko kebobolan.

Kelima, riset sebelum beli. Sebelum checkout perangkat IoT murah di marketplace, cek dulu: siapa produsennya? Ada track record security-nya? Ada riwayat update firmware? Kalau brand-nya nggak jelas dan nggak ada informasi security sama sekali — lebih baik cari alternatif lain, walau lebih mahal.

Penutup — IoT Security Itu Tanggung Jawab Bersama

Setelah delapan tahun lebih berkecimpung di dunia security, saya sampai pada kesimpulan sederhana: memahami apa itu IoT security bukan privilege buat security engineer doang — ini adalah literasi digital dasar yang harus dimiliki semua orang di era perangkat terhubung. Karena semakin banyak perangkat yang kita colok ke internet, semakin besar pula attack surface yang kita buka.

Tapi kabar baiknya: langkah-langkah dasarnya simpel. Ganti password. Update firmware. Pisahkan jaringan. Matikan yang nggak perlu. Nggak butuh jadi hacker buat ngelakuin ini. Yang dibutuhkan cuma kesadaran dan kebiasaan. Dan percaya deh — setelah kamu mulai, lama-lama jadi otomatis. Kayak nutup pintu rumah sebelum tidur. Sama aja prinsipnya.

Banditz Cyber Verified
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts