Buntut Aksi Deface Web KPU
Cracker Potensial itu Kini di Balik Jeruji Besi
JAKARTA- Dua cracker yang mengacak website www.tnp.go.id pekan lalu berhasil diringkus dalam waktu relatif singkat. Faktanya mereka hanya dua dari begitu banyak yang mencoba menerobos ke sistem keamanan jaringan KPU. Bagaimana sepak terjang keduanya?
Sepuluh jam setelah aksi deface dilakukan, pihak kepoliasian dibantu Telkom dan sejumlah ahli teknis Asosiasi Pengusaha Jaringan Internet Indonesia (APJII) berhasil mengidentifikasi cracker web KPU. Saat itu ada belasa nama yang masih harus terus diseleksi. Tidak sampai sepekan kemudian ada isu di kalangan komunitas underground bahwa di antara mereka sudah ada yang “dijemput” pihak berwajib. Dan esoknya benar saja, dua nama diumumkan sebagai orang yang harus mempertanggungjawabkan perbuatan mengganti nama-nama partai di website resmi KPU.
Dani Firmansyah, mahasiswa Universitas Muhammadiyah Yogyakarta yang tengah magang di PT. Danareksa tertuding sebagai cracker itu. Satu lagi adalah Fuad Nahdi, seorang Admin di Warna Warnet., Yogyakarta. Rencana awal kepolisian untuk menjerat mereka dengan UU Subfersif atau Perpu Terorisme ternyata urung dilakukan. Dani dan Fuad cukup dikenai UU Telekomunikasi No.36 Tahun 1999 Pasal 38.
Siapa sesungguhnya Dani dan Fuad? Di komunitas underground ternyata nama Dani memang sudah tak asing lagi. Dari sumber yang tak ingin disebut namanya, Dani di dunia maya popular dengan nick name “Xnuxer”. Ia tak lain adalah salah satu moderator milis Jasakom, sebuah milis komunitas underground dimana sejumlah hacker dan cracker tergabung. Pemuda usia 26 tahun ini terkenal tak terlalu banyak bicara di milis namun sekali mengirim posting selalu “berbobot”. Ini terbukti dengan kerapnya Dani memposting hal-hal bersifat teknis dan terlibat diskusi dengan sejumlah praktisi teknologi informasi (TI) ternama di Indonesia.
SQL Injection
“Saya cukup terkejut ketika tahu Dani ditangkap dengan tuduhan pelaku deface situs KPU. Mengapa terkejut, karena Dani yang saya tahu bukan orang semacam itu,” ujar seorang teman dekat Dani kepada SH di Jakarta, Senin (20/4). Sepengetahuan saya Dani tidak tertarik pada situs-situs pemerintah. Kalaupun ya biasanya ia mencoba membobol situs asing atau server luar.”
Lebih jauh teman Dani yang bagusnya kita sebut saja sebagai Bebek ini menduga teknik yang dipakai Dani dalam men-deface web KPU adalah SQL injection. Pada web yang bersifat dinamis atau selalu berubah tampilannya, selalu terkait dengan database yang terhubung dengan interface. Situs KPU tergolong yang seperti ini. Dalam database terdapat semua data log in. Kalau kita membuat script pemrograman yang salah maka bisa dimanfatkan oleh hacker atau cracker. Inilah prinsip dasar dari SQL Injection. Orang yang sudah terbiasa membuat program akan dengan mudah bisa menebak cara atau celahnya. Web KPU yang memakai sistem operasi Windows 2003 bisa diterobos dengan cara browser.
Teknik SQL injection ini bukan barang baru. Sudah beredar di dunia maya sejak tahun 1999-2000 lalu. Maka kalau memang web KPU bisa ditembus dengan teknik ini maka sangat disangsikan kesiapan sistem keamanannya. Dana 200 miliar rupiah yang dikucurkan pemerintah bagi TI KPU nampak sia-siap akibat suksesnya aksi deface tersebut.
Para hacker dan cracker sering mencari-cari bugs dalam suatu program baru. Celah atau bugs sistem keamanan bisa terdapat pada sistem operasi, aplikasi atau pemrograman. Dari aplikasi bisa dibobol melalui Outlook Express-nya. Sedangkan dari pemrograman seperti PHP akan dengan mudah dimanfaatkan hacker atau cracker kalau ada program yang salah.
Pada dasarnya hacker dan cracker merupakan orang yang serba ingin tahu. Definisi antara hacker dengan cracker sendiri sesungguhnya sangat berbeda. “Konsep hacker adalah selalu ingin tahu terhadap sistem dan mekanisme sistem operasi komputer yang baru keluar. Biasanya ini dilakukan karena ngin mengetahui kekurangan dan kelebihan sistem tersebut. Hacker sangat berbeda dengan cracker,”ujar Sony Arianto Kurniawan, Senior Database Administrator Ciputra Cyber Institute.
Hacker dan Cracker
Seorang hacker lebih banyak mencoba sistem yang dibuatnya sendiri, sistem lokal. Sedangkan cracker banyak mencoba sistem yang not authorized alias bukan wewenangnya. Antar komunitas hacker dengan cracker ada juga yang bermusuhan, demikian antar cracker sendiri. Di Indonesia ada sekitar 30 orang white hacker, sebuah sebutan bagi para pakar keamanan jaringan yang hanya menerobos ke wilayah yang diizinkan. Ada lagi istilah black hacker, yakni ketika hacker tersebut sudah menerobos wilayah yang bukan wewenangnya. Dan terakhir yang terburuk dari itu semua adalah cracker.
Onno W. Purbo, praktisi TI membeberkan sesungguhnya ilmu hacker dan cracker tidak terlalu beda jauh. “Yang beda hanya cara mereka menggunakan ilmunya. Yang satu baik dan yang lainnya jelek. Istilah hacker hitam dan hacker putih buat saya sama saja, semua akan mempertanggungjawabkan perbuatannya pada Allah,” ujar Onno kepada SH dalam kesempatan berbeda.
Lalu apa sesungguhnya motivasi seorang Dani Firmansyah melakukan deface terhadap deface web KPU? Barangkali petikan pstingannya di sebuah milis komunitas underground yang terakhir, tertanggal 22 April 2003 ini bisa dijadikan sebagai penjelas.
“Melihat perkembangan pasca kejadian jebolnya sistem sekuriti IT KPU, menurut saya seharusnya KPU secepatnya segera membenahi dan memperbaiki sistem sekuritinya, bila perlu dengan membuat tim audit yang terdiri dari pakar-pakar security independen yang sudah biasa menangani masalah sekuriti jaringan.”
Terlihat juga bagaimana caranya membela diri dalam satu alinea postingannya tersebut. “Terus terang saya tidak menyalahkan si pelaku pembobol sistem KPU karena saya yakin dia hanya mencoba menunjukan dan hanya melakukan penetrasi sekuriti di sistem KPU. Sebetulnya ucapan terima kasihlah yang seharusnya KPU berikan kepada si pelaku karena telah menunjukan secara nyata bahwa sistem KPU itu memang bisa dijebol. Saya juga melihat selama persiapan pemilu nampaknya KPU memang terkesan cuek dan sama sekali tidak memperhatikan masalah sekuriti jaringan secara serius.” Terlihat jelas bahwa motivasi Dani memang untuk memperingatkan pihak KPU. Tapi sayang, Xnuxer kini hanya bisa meringkuk di balik jeruji besi. Itu pun akibat kecerobohannya sendiri yang kurang banyak melakukan spoofing. (SH/merry magdalena)
Tuesday, April 27, 2004
Di Balik Aksi Hacker dan Cracker
Dunia Maya Butuh Dipahami, Bukan Diperangi
JAKARTA – Pihak berwajib mengklaim sudah mengidentifikasi cracker pelaku deface situs KPU akhir pekan lalu. Mampukah mereka mengejarnya? Jangan salah, komunitas dunia maya sungguh suatu komunitas berbeda dari dunia nyata.
”Saya adalah hacker dan ini adalah manifesto saya. Kamu bisa menghentikan ini secara individual tapi tak bisa menghentikan kami semua. Pada akhirnya, kami semua sama.”
Itu tadi kutipan Manifesto Hacker yang disebarluaskan oleh seseorang bernama online The Mentor pada 8 Januari 1986.
Beberapa bulan silam, sejumlah warung Internet (warnet) di Depok, Jawa Barat, sempat menampilkan cookies manifesto ini yang sudah diterjemahkan dalam Bahasa Indonesia. Padahal melihat waktunya, jelas sudah hacker telah sangat lama eksis, jauh sebelum Indonesia mengenal dunia maya.
Hari ini, Indonesia dengan jumlah pengguna Internet sekitar delapan juta jiwa (sumber AC Nielsen Net ratings), kemungkinan besar dunia maya telah membentuk suatu komunitas tersendiri pula. Sebuah komunitas yang tak mengenal jabatan, suku, agama, status sosial dan ekonomi. Suatu komunitas civil society impian siapa saja yang sudah muak dengan dunia nyata.
Cyberlaw
Komunitas dalam Internet bisa dikatakan cukup kuat. Ini terlihat dari betapa kompaknya mereka. Walau tak saling mengenal langsung dan bertatap muka, komunitas dalam dunia maya punya semacam kode etik, demikian pula hacker. Kode etik inilah yang mereka pegang teguh, bukan aturan bahkan hukum di dunia nyata sekalipun. Maka untuk menindak kasus-kasus kriminal di dunia nyata, dibutuhkan pula pendekatan antar komunitas, bukan gebrakan dan ancaman dari dunia nyata.
”Saya termasuk orang yang tak sepakat dengan perspektif ‘normal’ terhadap aktivis underground. Saya tidak setuju mereka bisa dikenakan tuduhan-tuduhan atau pasal-pasal yang kita yakini. Mereka tidka mengenal itu, karena mereka tidak mempercayai itu,” ujar Salahuddien, praktisi Teknologi Informasi (TI) yang lumayan lekat dengan komunitas dunia maya kepada SH.
Lelaki yang kerap menggunakan nickname Patakaid di Internet ini menadang bahwa ada perbedaan mendasar antara dunia nyata dan dunia maya. Dalam komunitas underground (Internet-red) , semua orang adalah anonim. Semua resource adalah terbuka. Kalau suatu resource itu dimasuki oleh orang lain, maka itu sama sekali bukan kejahatan, sebab pemilik resource membiarkan pintunya terbuka lebar.
Pemilik resource boleh tidak setuju atau merasa dirugikan, namun dia pun mempunyai kesempatan sama luasnya untuk mempertahankan pintunya atau melakukan sesuatu pada pelakunya secara langsung.
Negara manapun boleh saja mematok cyberlaw , hukum yang mengatur dunia maya, namun komunitas tersebut belum tentu bisa ditundukan. Terbukti sampai sekarang Amerika Serikat (AS) sendiri masih ”kedodoran” dalam menghadapi hacker-hacker asal Cina. Para hacker asal Negeri Tirai bambu itu kerap melakukan aksi deface, menyelundupkan virus dan sejenisnya ke sejumlah website milik AS. Kalau sudah begitu, pihak AS hanya bisa menuding pelakunya sebagai teroris.
Indonesia sampai sekarang masih belum mempunyai rambu-rambu jelas untuk aksi kriminal dunia maya. Namun sejumlah praktisi hukum menyatakan bahwa aksi kejahatan di Internet tetap bisa dikenakan sangsi hukum yang sudah ada seperti KUHAP dan sebagainya.
Iseng Belaka
Ihwal kasus deface terhadap situs KPU www.tnp.kpu.go.id pekan lalu, bisa dikatakan itu sebuah aksi iseng yang ditujukan demi meninggikan prestise pelaku. Bukan menghancurkan sistem keamanan sama sekali seperti yang banyak disangka orang. Sesungguhnya, sebelum terjadi deface penggantian nama-nama partai, sebelumnya sudah sempat ada aksi lain, yakni deface situs www.kpu.go.id. Halaman depan situs ini sempat disisipi gambar porno. Namun pihak KPU sama sekali tak menggubrisnya dan tetap membiarkan ‘pintu’ mereka di web lai terbuka lebar.
”Padahal aksi deface gambar porno itu semacam suatu peringatan bahwa KPU harus memperbaiki sistem keamanannya, namun tak diindahkan. Maka tak heran kalau dilanjutkan dengan aksi selanjutnya,” tambah Pataka.
Sebuah sumber yang tak ingin disebutkan namanya, mengaku sudah berhasil mendapatkan informasi lebih jauh mengenai cracker pelaku deface situs KPU. Bahkan ia langsung terlibat dengan obrolan di Internet alias chatting. Konon cracker tersebut sudah melarikan diri ke daerah karena ulahnya telah menjadi berita besar. Sang cracker menceritakan mengenai proses secara teknis yang digunakan untuk menghapus data member KPU dan membuat user ID versi nya untuk bisa mendownload data KPU. Inis emua dilakukan pada malam tanggal 17 April 2004. Cracker ini bukanlah ahli komputer canggih. Hanya seorang amatiran yang iseng.
ìAku coba gunakan fasilitas search atau pencarian data di situs mereka membayangkan logika program php-nya. Teknik ini di sebut sebagai tehnik sql-injection, memanfaatkan kecerobohon code program pada php,” demikian pengakuan Sang Cracker web KPU kepada sumber yang tak mau disebut namanya. Lebih jauh ia meaparkan bahwa teknik yang dilakukan hanya coba-coba, tak berharap akan berhasil. Namun yang terjadi adalah kekacauan sistem php yang langsung dimanfaatkan untuk melakukan download validasi user dan password.
Si Cracker mengaku dirinya tak sadar menjadi berita utama di sejumlah media. Ia kini tengah dalam masa melarikan diri ke kota lain yang cukup jauh dari domisilinya. Yang jelas, motivasi si Cracker melakukan deface hanya sekadar iseng saja, tanpa ada modus operandi ingin mengacak-acak sistem keamanan dan sejenisnya.
Menyikapi perilaku para underground semaca itu sesungguhnya tak terlalu sulit. Pada dasarnya kaum underground adalah kaum yang bosan dengan kondisi di dunia nyata, maka mereka menciptakan dunia sendiri. Maka pendekatan yang dibutuhkan adalah komunikasi, bukan dengan melancarkan ancaman atau arogansi hukum.
(SH/merry magdalena)Copyright © Sinar Harapan 2003
Dunia Maya Butuh Dipahami, Bukan Diperangi
JAKARTA – Pihak berwajib mengklaim sudah mengidentifikasi cracker pelaku deface situs KPU akhir pekan lalu. Mampukah mereka mengejarnya? Jangan salah, komunitas dunia maya sungguh suatu komunitas berbeda dari dunia nyata.
”Saya adalah hacker dan ini adalah manifesto saya. Kamu bisa menghentikan ini secara individual tapi tak bisa menghentikan kami semua. Pada akhirnya, kami semua sama.”
Itu tadi kutipan Manifesto Hacker yang disebarluaskan oleh seseorang bernama online The Mentor pada 8 Januari 1986.
Beberapa bulan silam, sejumlah warung Internet (warnet) di Depok, Jawa Barat, sempat menampilkan cookies manifesto ini yang sudah diterjemahkan dalam Bahasa Indonesia. Padahal melihat waktunya, jelas sudah hacker telah sangat lama eksis, jauh sebelum Indonesia mengenal dunia maya.
Hari ini, Indonesia dengan jumlah pengguna Internet sekitar delapan juta jiwa (sumber AC Nielsen Net ratings), kemungkinan besar dunia maya telah membentuk suatu komunitas tersendiri pula. Sebuah komunitas yang tak mengenal jabatan, suku, agama, status sosial dan ekonomi. Suatu komunitas civil society impian siapa saja yang sudah muak dengan dunia nyata.
Cyberlaw
Komunitas dalam Internet bisa dikatakan cukup kuat. Ini terlihat dari betapa kompaknya mereka. Walau tak saling mengenal langsung dan bertatap muka, komunitas dalam dunia maya punya semacam kode etik, demikian pula hacker. Kode etik inilah yang mereka pegang teguh, bukan aturan bahkan hukum di dunia nyata sekalipun. Maka untuk menindak kasus-kasus kriminal di dunia nyata, dibutuhkan pula pendekatan antar komunitas, bukan gebrakan dan ancaman dari dunia nyata.
”Saya termasuk orang yang tak sepakat dengan perspektif ‘normal’ terhadap aktivis underground. Saya tidak setuju mereka bisa dikenakan tuduhan-tuduhan atau pasal-pasal yang kita yakini. Mereka tidka mengenal itu, karena mereka tidak mempercayai itu,” ujar Salahuddien, praktisi Teknologi Informasi (TI) yang lumayan lekat dengan komunitas dunia maya kepada SH.
Lelaki yang kerap menggunakan nickname Patakaid di Internet ini menadang bahwa ada perbedaan mendasar antara dunia nyata dan dunia maya. Dalam komunitas underground (Internet-red) , semua orang adalah anonim. Semua resource adalah terbuka. Kalau suatu resource itu dimasuki oleh orang lain, maka itu sama sekali bukan kejahatan, sebab pemilik resource membiarkan pintunya terbuka lebar.
Pemilik resource boleh tidak setuju atau merasa dirugikan, namun dia pun mempunyai kesempatan sama luasnya untuk mempertahankan pintunya atau melakukan sesuatu pada pelakunya secara langsung.
Negara manapun boleh saja mematok cyberlaw , hukum yang mengatur dunia maya, namun komunitas tersebut belum tentu bisa ditundukan. Terbukti sampai sekarang Amerika Serikat (AS) sendiri masih ”kedodoran” dalam menghadapi hacker-hacker asal Cina. Para hacker asal Negeri Tirai bambu itu kerap melakukan aksi deface, menyelundupkan virus dan sejenisnya ke sejumlah website milik AS. Kalau sudah begitu, pihak AS hanya bisa menuding pelakunya sebagai teroris.
Indonesia sampai sekarang masih belum mempunyai rambu-rambu jelas untuk aksi kriminal dunia maya. Namun sejumlah praktisi hukum menyatakan bahwa aksi kejahatan di Internet tetap bisa dikenakan sangsi hukum yang sudah ada seperti KUHAP dan sebagainya.
Iseng Belaka
Ihwal kasus deface terhadap situs KPU www.tnp.kpu.go.id pekan lalu, bisa dikatakan itu sebuah aksi iseng yang ditujukan demi meninggikan prestise pelaku. Bukan menghancurkan sistem keamanan sama sekali seperti yang banyak disangka orang. Sesungguhnya, sebelum terjadi deface penggantian nama-nama partai, sebelumnya sudah sempat ada aksi lain, yakni deface situs www.kpu.go.id. Halaman depan situs ini sempat disisipi gambar porno. Namun pihak KPU sama sekali tak menggubrisnya dan tetap membiarkan ‘pintu’ mereka di web lai terbuka lebar.
”Padahal aksi deface gambar porno itu semacam suatu peringatan bahwa KPU harus memperbaiki sistem keamanannya, namun tak diindahkan. Maka tak heran kalau dilanjutkan dengan aksi selanjutnya,” tambah Pataka.
Sebuah sumber yang tak ingin disebutkan namanya, mengaku sudah berhasil mendapatkan informasi lebih jauh mengenai cracker pelaku deface situs KPU. Bahkan ia langsung terlibat dengan obrolan di Internet alias chatting. Konon cracker tersebut sudah melarikan diri ke daerah karena ulahnya telah menjadi berita besar. Sang cracker menceritakan mengenai proses secara teknis yang digunakan untuk menghapus data member KPU dan membuat user ID versi nya untuk bisa mendownload data KPU. Inis emua dilakukan pada malam tanggal 17 April 2004. Cracker ini bukanlah ahli komputer canggih. Hanya seorang amatiran yang iseng.
ìAku coba gunakan fasilitas search atau pencarian data di situs mereka membayangkan logika program php-nya. Teknik ini di sebut sebagai tehnik sql-injection, memanfaatkan kecerobohon code program pada php,” demikian pengakuan Sang Cracker web KPU kepada sumber yang tak mau disebut namanya. Lebih jauh ia meaparkan bahwa teknik yang dilakukan hanya coba-coba, tak berharap akan berhasil. Namun yang terjadi adalah kekacauan sistem php yang langsung dimanfaatkan untuk melakukan download validasi user dan password.
Si Cracker mengaku dirinya tak sadar menjadi berita utama di sejumlah media. Ia kini tengah dalam masa melarikan diri ke kota lain yang cukup jauh dari domisilinya. Yang jelas, motivasi si Cracker melakukan deface hanya sekadar iseng saja, tanpa ada modus operandi ingin mengacak-acak sistem keamanan dan sejenisnya.
Menyikapi perilaku para underground semaca itu sesungguhnya tak terlalu sulit. Pada dasarnya kaum underground adalah kaum yang bosan dengan kondisi di dunia nyata, maka mereka menciptakan dunia sendiri. Maka pendekatan yang dibutuhkan adalah komunikasi, bukan dengan melancarkan ancaman atau arogansi hukum.
(SH/merry magdalena)Copyright © Sinar Harapan 2003
Subscribe to:
Posts (Atom)
Blog Archive
-
►
2006
(9)
- ► 11/26 - 12/03 (1)
- ► 07/23 - 07/30 (2)
- ► 06/18 - 06/25 (1)
- ► 06/04 - 06/11 (1)
- ► 02/19 - 02/26 (1)
- ► 02/12 - 02/19 (2)
- ► 01/01 - 01/08 (1)
-
►
2005
(6)
- ► 11/27 - 12/04 (2)
- ► 09/18 - 09/25 (4)
-
▼
2004
(7)
- ► 05/23 - 05/30 (1)
- ▼ 04/25 - 05/02 (2)
- ► 03/28 - 04/04 (2)
- ► 03/07 - 03/14 (1)
- ► 01/04 - 01/11 (1)
-
►
2002
(3)
- ► 12/01 - 12/08 (2)
- ► 11/24 - 12/01 (1)
About Me
- Merry Magdalena
- Journalist, writer, blogger, dreamer, traveller. Winner of some journalist awards (yuck!), a ghostwriter of some techie books.