tirto.id - Ketua Lembaga Riset Siber Communication and Information System Security Research Center Pratama Persadha menilai perlu adanya pembenahan sistem situs milik pemerintah. Hal ini guna menghindari celah terjadinya peretasan yang kerap terjadi.
Terkini, situs milik Sekretariat Kabinet setkab.go.id diretas dengan cara mengubah tampilan atau dikenal dengan istilah deface.
Pratama menyatakan, secara umum, situs pemerintah memang selalu menjadi sasaran peretasan karena mudah mengundang perhatian masyarakat luas. Karena itu perlu dilakukan banyak pengamanan dan juga secara rutin dilakukan penetration test.
Prinsipnya tidak ada sistem informasi yang 100 persen aman, karena itulah memang tim IT harus secara berkala mengecek pada level sistem operasi, web server dan sistem aplikasinya.
Apalagi bila baru saja serah terima dari vendor, harus ada upaya lebih untuk mengecek sehingga menutup celah-celah yang bisa dimanfaatkan. Misalnya menghapus semua file dokumentasi dari vendor dan ubah semua akun login default yang dibuat saat instalasi.
“Harus ada management session, yaitu memetakan dengan benar profile dan role user, secara default mematikan semua akses, kecuali yang ditentukan. Memberikan proteksi (misalnya hanya read) kepada sumber yang bersifat statis (seperti dokumen, spreadsheet, gambar)" jelas Pratama kepada Tirto, Selasa (10/8/2021).
Untuk security audit atau penetration test bisa dilakukan secara berkala dengan pendekatan black box maupun white box. Metode yang digunakan bisa passive penetration atau active penetration.
Khusus untuk penetrasi test Web Defacement, pengujian yang perlu dilakukan adalah Configuration Management Testing, Authentication Testing, Session Management Testing, Authorization Testing, Data Validation Testing dan Web Service Testing. Tools yang bisa digunakan antara lain Arachni, OWASP Zed Attack Proxy Project, Websploit dan Acunetix.
Pratama juga menjelaskan peretasan situs Setkab dikenal dengan model serangan yang sering disebut sebagai deface.
Perubahan tersebut bisa meliputi seluruh halaman atau di bagian tertentu saja. Contohnya, jenis tulisan situs diganti, muncul iklan mengganggu, hingga perubahan konten halaman secara keseluruhan. Lantas terdapat kemungkinan serangan ke web hosting dan pusat data yang dipakai oleh situs resmi Setkab.
Artinya perlu adanya pengecekan langsung pusat data mana saja yang digunakan situs tersebut dan bisa dilakukan forensik digital guna mengetahui peretas menyerang melalui celah apa, sekaligus ditemukan lubang keamanan untuk bisa diperbaiki.
“Ada berbagai tujuan dari seseorang maupun sekelompok melakukan deface maupun model peretasan lainnya. Mulai dari mencari popularitas di komunitasnya dan masyarakat, misalnya untuk melakukan perkenalan tim hackingnya maupun sebagai salah satu kontes dari berbagai forum,” terang Pratama.
Tidak hanya itu, deface situs sering dilakukan untuk pengujian awal keamanan situs. Dari deface, peretas bisa saja masuk lebih dalam dan melakukan berbagai aksi. Ia mencontohkan pencurian data bahkan dalam kasus meretas situs Tempo, bisa jadi ada berita yang diubah atau ada membuat berita tanpa sepengetahuan pengelola.
Polisi sebelumnya menangkap dua terduga peretas situs setkab.go.id. Peretas pertama yakni BS alias ZYY (18), yang diringkus pada 5 Agustus, sekira pukul 08.00, di rumahnya di kawasan Kecamatan Nanggalo, Kota Padang. Polisi menyita satu ponsel dan satu laptop miliknya.
Peretas kedua ialah ML alias LF (17), dibekuk sehari kemudian di area Kabupaten Dharmasraya, dengan barang bukti satu laptop dan dua ponsel.
Kasus ini bermula ketika ML meretas situs Sekretariat Kabinet pada 30 Juli 2021. Ia meminta bantuan BS untuk melakukan defacing situs setkab.go.id, dengan cara mengubah tampilan situs tersebut. Situs itu tidak bisa diakses publik, malah muncul tulisan ‘pwned by zyy ft lutfi fake’.
“Motif kedua pelaku melakukan defacing guna mencari keuntungan dengan menjual script backdoor dari situs yang menjadi target, kepada orang yang membutuhkan. BS telah melakukan peretasan di dalam negeri maupun luar negeri sebanyak 650 situs,” jelas Kabag Penum Divisi Humas Polri Kombes Pol Ahmad Ramadhan, di Mabes Polri, Senin (9/8).
Penulis: Adi Briantika
Editor: Bayu Septianto