KPU Perlu Belajar dari Google: Beri Hadiah Peretas "Topi Putih"

Oleh: Ahmad Zaenudin - 26 April 2019
Dibaca Normal 2 menit
Seorang remaja yang menguji celah sistem KPU ditangkap. Padahal, perusahaan seperti Google lazim memberi hadiah bagi para penemu bug.
tirto.id - Muhammad Arik Alfiki, pemuda asal Payakumbuh yang menemukan bug pada sistem KPU pada 1 April 2019 lalu, ditangkap Direktorat Tindak Pidana Siber Bareskrim Polri dan Satuan Reserse Kriminal Polres Payakumbuh di rumahnya, Senin (22/4/2019) pukul 16.00 WIB.

Ia terdeteksi memasuki sistem KPU. Padahal, tindakan tersebut dilakukannya sebagai uji coba, menguji apakah bug yang dilaporkannya telah diperbaiki ataukah belum.


Sebelum ditangkap, Arik melakukan tes penetrasi melalui tools accunetix untuk Web Crawler dan scan folder; SQL Map untuk injeksi SQL dan payload. Arik menemukan celah open redirect di situsweb KPU, tetapi tidak mendapatkan celah SQL Injeksi.

Imbalan bagi Peretas

Apa yang dialami Arik sungguh ironis. Bukannya diapresiasi karena menemukan lubang dalam sistem teknologi informasi KPU, ia malah terancam kriminalisasi.

Keberanian Arik dalam meretas tak jauh beda dengan George Hotz. Pada 2007, remaja berumur 17 tahun ini mempecundangi iPhone 1st Generation. Ia membebaskan iPhone seri pertama itu, yang dikunci oleh sistem dan hanya bisa menggunakan provider AT&T, sehingga bisa digunakan dengan memakai provider lain.

Atas tindakannya itu, Hotz didaulat sejarah menjadi orang pertama yang meretas iPhone dan alat itu bukanlah satu-satunya produk yang ia retas. PlayStation 3 dan Chrome merupakan korban Hotz selanjutnya.

Yang unik, tiga perusahaan pemilik produk yang diretas Hotz punya sikap berbeda atas anak muda ini. Apple hanya terdiam bagai tidak terjadi apa-apa, sementara Sony menggugatnya di pengadilan.

Tindakan 180 derajat diambil Google. Atas ulah Hotz itu, Google memberinya uang senilai $150 ribu dan melalui tangan Chris Evans, teknisi keamanan Google, Hotz direkrut masuk ke Project Zero, tim peretas elite Google.

Selain Hotz, dalam tim elite itu tergabung pula anak-anak muda dengan kisah serupa Hotz. Mereka adalah Ben Hawkes, peretas yang sukses mempecundangi Adobe hingga Microsoft, Tavis Ormandy, ahli membuat anti-virus yang bisa bertukar peran jadi virus itu sendiri, dan Britt Beer, penemu celah keamanan di iOS, OSX, hingga Safari.

Secara umum, Google memang “ramah” terhadap peretas, khususnya yang bertujuan menguji celah sistem atau beraliran White Hat (Topi Putih). Melalui “Vulnerability Reward Program,” raksasa mesin pencari ini bahkan mengundang siapa pun untuk “meretas” produk atau layanan mereka. Jika berhasil menemukan dan membuktikan secara proof-of-concept, Google memberi imbalan dari $100 hingga $31.337, tergantung seberapa rumit dan seberapa berbahaya bug-nya.


Tindakan Google itu menjadi daya tarik bagi komunitas peretas putih bermazhab Bug Bounty Hunter.

Google tidak sendirian berbuat ramah pada peretas. Facebook pun mulai memberikan imbalan bagi peretas yang menemukan celah keamanan di sistem mereka. Tak tanggung-tanggung, perusahaan yang dinakhodai Mark Zuckerberg itu menghabiskan uang senilai $7,5 miliar tiap tahunnya untuk membayari para peretas yang sukses menemukan bug di sistem mereka.

"Tidak jarang bagi kami menerima laporan tentang bug yang membahayakan dari orang lain,” kata Dan Gurfinkel, Security Engineering Manager Facebook. "Memperoleh laporan celah keamanan dari pihak luar mengingatkan kami bahwa penting mendapat sebanyak mungkin pengawasan yang bisa mengevaluasi kode sistem kami."


Dan semenjak kasus Cambridge Analytica, Facebook bukan hanya mengundang peretas menguji sistem mereka, tapi juga menguji bagaimana perusahaan ini juga pihak ketiga yang berafiliasi dengan Facebook melindungi data penggunanya.

Alex Rice, petinggi HackerOne, mengatakan bahwa inisiatif Facebook itu "sangat inovatif".

Mulai 2016, hampir sepuluh tahun selepas iPhone dipecundangi Hotz, Apple melunak. Memberikan insentif serupa Google dan Facebook bagi siapapun yang sukses menemukan celah berbahaya dalam sistem mereka, mulai dari uang senilai $25.000 hingga $200.000

Sayangnya, niat baik Apple ternoda. Ian Beer, salah seorang peretas topi putih, mengatakan bahwa Apple berhutang $2,5 juta atas jasa-jasanya menemukan banyak bug pada iOS.

Salah seorang peretas yang menjadi sumber laporan Motherboard berjudul “Apple Has Started Paying Hackers for iPhone Exploits” mengatakan bahwa "saya berani bertaruh dan mengatakan bahwa Ian Beer memiliki dampak yang sangat besar bagi keamanan iOS".

Infografik Pencari Bug
undefined


Perusahaan Dalam Negeri pun Hadiahi Peretas

Pada 2016, Nikolay Ermishkin menemukan celah berbahaya pada ImageMagic, perangkat lunak yang lazim digunakan pengembang (developer) situsweb untuk mengelola gambar, semisal untuk melakukan resize.

Temuan Ermishkin itu menyatakan bahwa dengan teknik khusus, ImageMagic yang terpasang di situsweb-situsweb dapat diubah menjadi mesin yang dapat menjalankan execute arbitrary code, file perintah eksekusi. Contohnya adalah mengalihkan situsweb ke laman lain yang dikehendaki. ImageMagic lantas berubah menjadi ImageTragic bagi para pengelola situsweb.

ImageTrageic pun menimpa Bukalapak, juga Tokopedia. Namun, yang melakukan peretasan bukan Ermishkin, melainkan Herdian Nugraha, pemuda asal Indonesia. Sebagaimana dikisahkannya dalam blog pribadi, Herdian meretas Bukalapak dan Tokopedia, memaksa dua e-commerce itu menjalankan perintah yang diinginkan Herdian.

Herdian jelas tidak berniat berbuat buruk pada dua e-commerce itu. Herdian melakukan pelaporan resmi. Menurutnya, ia memperoleh Rp10 juta dari Tokopedia dan Rp15 juta dari Bukalapak. Bukan cuma uang, Herdian juga direkrut oleh Bukalapak.

“Perlu dicatat bahwa dalam kasus ini tidak ada pihak yang dirugikan. Pelapor (Herdian) mendapatkan hadiah, sedangkan yang menerima laporan (Bukalapak dan Tokopedia) dapat memperbaiki aplikasinya agar lebih aman. Win-Win," begitu tuturnya.

Baca juga artikel terkait KPU atau tulisan menarik lainnya Ahmad Zaenudin
(tirto.id - Teknologi)


Penulis: Ahmad Zaenudin
Editor: Maulida Sri Handayani