Web Deface : Situs Pribadi Presiden SBY di-hack

I.

BERITA KEJADIAN

KOMPAS.com - Peretas situs web Presiden Susilo Bambang presidensby.info ditangkap oleh pihak kepolisian. Warga Kabupaten Jember, Jawa Timur dengan inisial WYA (20) tersebut diamankan oleh tim "Cyber Crime" telah dibawa ke Markas Besar (Mabes) Polri di Jakarta. "Memang benar WYA ditangkap oleh tim Mabes Polri dan saya tidak punya kewenangan untuk menyampaikan hal itu," kata Kapolres Jember AKBP Jayadi, Senin (28/1/2013). WYA merupakan lulusan Sekolah Menengah Kejuruan (SMK) yang bekerja sebagai operator warung internet (warnet) dan teknisi komputer di salah satu warnet di Jalan Letjen Suprapto Jember. Pemilik warnet tempat bekerja WYA, Adi Kurniawan mengaku tidak tahu dan tidak mengetahui kronologis penangkapan peretas situs presidensby.info yang diduga adalah karyawannya itu, namun yang bersangkutan terakhir kali masuk kerja pada Jumat (25/1/2013). "Saya baru dikabari oleh karyawan lain dan handphone WYA juga tidak aktif. Polisi kemungkinan juga membawa komputer server di warnet karena tidak ada di tempat," tuturnya. Pintu warnet, lanjut dia, sempat terkunci pada Sabtu (26/1/2013) dan kondisi ruangan warnet berantakan dan sepeda motor WYA ada di dalam ruangan. "Kami membuka paksa pintu warnet dan baru yakin kalau WYA ditangkap tim Mabes Polri, setelah melihat ruangan warnet berantakan dan server komputer warnet juga tidak ada," paparnya. Situs web presidensby.info yang menjadi salah satu penyampai informasi dan berita tentang kegiatan Presiden SBY kepada masyarakat sempat diretas oleh kelompok yang menamakan dirinya "Jemberhacker Team" pada 9 Januari 2013. Saat diretas, situs tersebut menampilkan latar belakang hitam dengan tulisan warna hijau di bagian atas "Hacked by MJL007", sementara di bawahnya tertera sebuah logo dan tulisan "Jemberhacker Team" berwarna putih. (ANT) Editor: Reza Wahyudi

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

II.

TEKNIK SERANGAN

TEMPO.CO, Jember - Wildan Yani Ashari alias Yayan tak ubahnya mereka yang memiliki hobi menggunakan kecanggihan teknologi informasi. Pemuda kelahiran Balung, Kabupaten Jember, Jawa Timur, 18 Juni 1992, itu biasa menyalurkan kemampuannya di Warung Internet (Warnet) Surya.Com di Jalan Letjen Suprapto, Kelurahan Kebonsari, Jember. Wildan bukan pakar teknologi informatika. Dia lulusan Sekolah Menengah Kejuruan (SMK) Balung 2011 jurusan teknik bangunan. Namun pekerjaannya sebagai penjaga sekaligus teknisi di Warnet CV Surya Infotama milik saudara sepupunya, Adi Kurniawan, membuat Wildan mengenal lika-liku internet. Wildan pun memilih tidak melanjutkan pendidikannya ke tingkat perguruan tinggi. Kamis kemarin, 11 April 2013, Wildan mulai menjalani persidangan di Pengadilan Negeri Jember. Dia bukan terdakwa biasa. Wildan menjadi pesakitan karena meretas situs pribadi Presiden Susilo Bambang Yudhoyono, http://www.presidensby.info. Seperti dipaparkan tim Jaksa Penuntut Umum Kejaksaan Negeri Jember, Wildan melakukan aksinya di Warnet tersebut pada pertengahan 2012 hingga 8 Januari 2013 dengan rincian sebagai berikut :
1. Bermodalkan perangkat komputer billing yang biasa digunakannya sebagai penerima bayaran dari para pengguna internet, Wildan yang menggunakan nickname MJL007 mulai mengutak-atik laman www.jatirejanetwork.com dengan IP address 210.247.249.58. 2. Laman www.jatirejanetwork.com yang dikelola Eman Sulaiman bergerak di bidang jasa pelayanan domain hosting. Wildan yang biasa dipanggil Yayan mencari celah keamanan di laman itu. Kemudian melakukan SQL Injection atau Injeksi SQL, teknologi yang biasa digunakan para peretas atau hacker agar bisa mendapatkan akses ke basis data di dalam sistem. 3. Wildan lantas menanamkan backdoor berupa tools (software) berbasiskan bahasa pemrograman PHP yang bernama wso.php (web sell by orb). Dalam dunia teknologi informasi dan komunikasi, dengan mekanisme backdoor yang ditanamkannya, hacker bisa melakukan compromise, yakni melakukan bypass atau menerobos sistem keamanan komputer yang diserang tanpa diketahui oleh pemiliknya.

Page 1

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

4. Wildan pun mengutak-atik laman www.techscape.co.id yang memiliki IP address 202.155.61.121 dan menemukan celah keamanan. Wildan berhasil meretas server yang dikelola CV. Techscape itu dan memasuki aplikasi WebHost Manager Complete Solution (WMCS) pada direktori my.techscape.co.id. 5. Pada November 2012, Wildan mulai mengakses laman www.jatirejanetwork.com yang telah diretasnya. Menjalankan aplikasi backdoor yang telah dia tanam sebelumnya, Wildan menggunakan perintah command linux: cat/home/tech/www/my/configuration/.php, hingga akhirnya berhasil mendapatkan username dan kata kunci dari basis data WHMCS yang dikelola CV. Techscape. 6. Setelah itu, anak bungsu pasangan Ali Jakfar- Sri Hariyati itu menjalankan program WHMKiller dari laman www.jatirejanetwork.com untuk mendapat username dan kata kunci dari setiap domain name yang ada. Dia pun memilih domain dengan username: root, dan password: b4p4kg4nt3ngTIGA dengan port number: 2086. 7. Dengan username dan kata kunci tersebut, Wildan lantas menanamkan pula backdoor di server www.techscape.co.id, pada pukul 04.58.31 WIB pada 16 November 2012. 8. Agar backdoor tersebut tidak diketahui admin, Wildan merubah nama tools menjadi domain.php dan ditempatkan pada subdirektori my.techscape.co.id/feeds/, sehingga Wildan bisa leluasa mengakses server www.techscape.com melalui URL: my.techscape.co.id/feeds/domain.php. "Untuk mengakses itu, dia sudah memiliki password yayan123," kata salah seorang anggota JPU, Lusiana. 9. Kemudian pada 8 Januari 2013 Wildan mengakses laman www.enom.com, sebuah laman yang merupakan domain registrar www. techscape.co.id, hingga berhasil melakukan log in ke akun techscape di domain registrar eNom. Inc yang bermarkas di Amerika Serikat. Dari situlah Wildan mendapatkan informasi tentang Domain Name Server (DNS) laman www.presidensby.info. 10. Setidaknya ada empat informasi penting berupa data Administrative Domain/Nameserver yang dia dapatkan dari laman pribadi Presiden SBY itu, yakni Sahi7879.earth.orderbox-dns.com, Sahi7876.mars.orderbox-dns.com, Sahi7876.mercuri.orderbox-dns.com. 11. Wildan lantas mengubah keempat data tersebut menjadi id1.jatirejanetwork.com dan id2.jatirejanetwork.com. Selanjutnya pada pukul 22.45 WIB, Wildan menggunakan akun tersebut (lewat WHM jatirejanetwork), sehingga dapat membuat akun domain Sahi7879.venus.orderbox-dns.com, dan

www.presidensby.info dan menempatkan sebuah file HTML Jember Hacker Team pada server

Page 2

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

www.jaterjahost.com. "Sehingga ketika pemilik user internet tidak dapat mengakses laman www.presidensby.info yang sebenarnya, akan tetapi yang terakses adalah tampilan file HTML Jember Hacker Team," ujar Lusiana pula.

Ulah Wildan tercium Tim Subdit IT dan Cybercrime Direktorat Tindak Pidana Ekonomi Khusus Mabes Polri yang mendapat laporan terjadinya gangguan pada laman Presiden SBY. Setelah melakukan penyelidikan, diketahui bahwa aksi illegal DNS redirection dilakukan MJL007 dari warnet yang dijaga Wildan. Akhirnya Wildan ditangkap pada 25 Januari 2013, sekitar pukul 23.00 WIB.

Page 3

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

III.

KERUGIAN AKIBAT SERANGAN

Kerugian awal yang ditimbulkan dari serangan ini adalah perubahan pada halaman www.presidensby.info menjadi seperti gambar berikut.

Gambar 1. Tampilan halaman presidensby.info setelah terjadi serangan Sumber : detik.com

Perubahan tampilan tersebut berlangsung sekitar 3 jam sebelum akhirnya halaman tersebut kembali berfungsi dengan baik. Tidak ada kerugian finansial secara langsung yang ditimbulkan oleh serangan ini. Tetapi serangan ini membuktikan bahwa sistem keamanan untuk sebuah website Presiden Indonesia masih sangat lemah. Hal itu dibuktikan bahwa hacker yang menembus sistem keamanan bukanlah hacker profesional yang mempunyai keahlian khusus dibidang meretas sistem keamanan, tetapi orang yang hanya mempunyai hobi komputer. Pertanyaan yang timbul setelah itu adalah, jika situs sekelas Presiden begitu gampangnya ditembus oleh hacker yang belum profesional, bagaimana dengan situs-situs pemerintahan yang lain.

Page 4

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

Kerugian lain yang ditimbulkan adalah kemarahan dari Anonymous Hacker yang menyerang beberapa website pemerintah. Kelompok peretas (hacker) yang menamakan diri mereka Anonymous berang, lantaran tidak terima dengan penangkapan 'WYA' oleh Tim Cyber Crime Mabes Polri. Dalam keterangannya, mereka tidak akan berhenti untuk meretas.

"Government of Indonesia, you cannot arrest an idea NO ARMY CAN STOP US #Anonymous #OpFreeWildan #FreeAnon," tulis kelompok hacker itu melalui akun Twitter-nya seperti dikutip Okezone, Rabu (30/1/2013). Beberapa situs yang berhasil dirubah antara lain sub domain di situs milik Kementerian Sosial, Kementerian Tenaga Kerja dan Transmigrasi, Komisi Pengawas Persaingan Usaha, Kedutaan Besar Republik Indonesia di Tashkent, Indonesia.go.id Bappeda.bireunkab.go.id,

Rakernas.mahkamahagung.go.id. Situs tersebut diubah tampilan lamannya dengan pesan peringatan. Salah satunya tampilan deface sub domain situs Mahkamah Agung yang beralamat di rakernas.mahkamahagung.go.id.

Gambar 2. Pesan peretas pada rakernas.mahkamahagung.go.id Sumber : liputan6.com

Page 5

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

IV. UNDANG-UNDANG ITE

Pasal 30 Undang-undang ITE Ayat 1. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun. Ayat 2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik. Ayat 3. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan.

Pasal 32 Undang-undang ITE Ayat 1. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik. Ayat 2. Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun memindahkan atau mentransfer Informasi Elektronik dan/atau Dokumen Elektronik kepada Sistem Elektronik Orang lain yang tidak berhak. Ayat 3. Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak sebagaimana mestinya.

Adapun ketentuan pidana yang mengatur pasal 30 dan 32 diatur di pasal 46 dan 48 UU ITE.

Pasal 46 Undang-undang ITE Ayat 1. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling Page 6

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

banyak Rp 600.000.000,00 (enam ratus juta rupiah). Ayat 2. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp 700.000.000,00 (tujuh ratus juta rupiah). Ayat 3. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp 800.000.000,00 (delapan ratus juta rupiah).

Pasal 48 Undang-undang ITE Ayat 1. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp 2.000.000.000,00 (dua miliar rupiah). Ayat 2. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (2) dipidana dengan pidana penjara paling lama 9 (sembilan) tahun dan/atau denda paling banyak Rp 3.000.000.000,00 (tiga miliar rupiah). Ayat 3. Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (3) dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp 5.000.000.000,00 (lima miliar rupiah).

Page 7

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

V.

DIANALISA DARI SECURITY STRATEGY

PENCEGAHAN (Prevention) Secara umum serangan yang terjadi pada website presidenbsy.info merupakan deface pada satu atau lebih halaman website. Untuk menangulangi hal ini, maka sebagai administrator website/blog hendaknya juga kita mengikuti memperhatikan hal-hal berikut ini :

Wajib untuk mengikuti perkembangan source dari source website yang digunakan, backup-lah website dan database sebelum dilakukan update.

Kebanyakan defacer telah memasang backdoor ketika telah berhasil melakukan deface website, hal ini dimungkinkan agar dapat melakukan deface ulang terhadap website. Wajib untuk memeriksa perubahan folder, file, database dan source terakhir dari website.

Pelajarilah lebih dalam mengenai dasar-dasar hacking dan antisipasinya (RFI, LFI, CSRF, SQL Injection, XSS, Exploit, Dsb) karena artikel ini sudah banyak bertebaran di Internet. Semakin banyak tahu & mengerti tentang sebuah kelemahan website dari dasar-dasar hacking, maka akan semakin banyak tahu pula bagaimana cara mengatasinya.

Sering-seringlah berdiskusi di forum dan milist yang berkaitan dengan perangkat serta aplikasi yang mendukung website anda, baik dari sisi operating system, tempat hosting, bugtrack milist, developer milist, dsb. Hal ini bertujuan agar informasi vulnerability dapat di-patch lebih cepat sebelum defacer beraksi. Forum jasakom yang merupakan markasnya para hacker di Indonesia adalah salah satu tempat mencari informasi mengenai dunia hacking.

Hardening website dan source wajib dilakukan, misalkan jangan menggunakan default configuration, aturlah sedemikian rupa configuration website dengan

memperhatikan: permission, access level, indexing, database connection, database configuration, password dan user management.

Gunakanlah tambahan plugin / component yang tepat, sehingga dapat meminimalisasi terjadinya kegiatan defacing dari thirdparty. Pastikan hasil review & ranking plugin bereputasi baik dan sudah di verified oleh penyedia CMS yang bersangkutan. Page 8

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

Lakukanlah penetration testing terhadap website, baik secara lokal maupun langsung di website. Banyak tools penetration testing yang bisa digunakan: Nexus, Acunetix, dsb. Tapi yang paling bagus dan lebih cepat adalah, copy source dan database website, Install di local computer, kemudian lakukanlah penetration testing. Update-lah website bila ditemukan vulnerability.

Backdoor, baik (php, asp, perl, phyton) dikenali dengan baik oleh beberapa Antivirus, ada bisa cleaning dengan melakukan scanning terhadap source website secara lokal. Apabila tidak dikenali, terpaksa anda harus mencari secara manual.

DETECTION (Deteksi) Cara mendeteksi sebuah website yang terkena deface adalah:
Cara paling sederhana untuk mendeteksi sebuah website jika sudah terkena deface adalah dengan melihat tampilan halaman website apakah ada yang mengalamai perubahan / yang tidak sesuai dengan sebenarnya. Perubahan alamat URL menjadi bukan alamat domain yang seharusnya Terdapat file-file yang mencurigakan pada system file yang terdapat pada direktori penyimpanan website yang seharusnya tidak ada. Kemungkinan adanya injeksi SQL yaitu dengan melakukan input data ataupun update data pada sebuah atau lebih tabel pada database.

RESPONSE (Tindakan yang dilakukan) Web defacing adalah bentuk intrusi (gangguan) sistem yang bertujuan untuk mengalihkan isi dari sebuah website menjadi bentuk yang diinginkan oleh hacker. Tindakan awal yang bisa dilakukan adalah dengan cara melakukan restore system, database ataupun content dari sebuah website yang diambil dari last backup point yang pernah dilakukan. Yih Huang, et al (2003) memperkenalkan suatu metode untuk melawan web defacing yang disebut dengan Self Cleansing Intrusion Tolerance (SCIT). Pada pendekatan SCIT, Web server diasumsikan telah gagal secara periodik yang terdiri dari intrusion tidak terdeteksi. Oleh karena itu server harus dibuat offline untuk dapat membersihkan dan memeriksa integritas system file dan web content selama prosedur backup dijalankan. Jadi lebih tepatnya SCIT System memiliki dua buah mirror Page 9

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

server yang bekerja secara alternatif dimana satu server bekerja sebagai primary dan lainnya sebagai backup. Dengan metode self cleansing cycles proses restore server menjadi lebih cepat. Beberapa langkah yang dapat dilakukan apabila website sudah terkena deface antara lain.

Download source & database yang ada di website untuk backup. Hal ini untuk berjagajaga apabila langkah yang kita lakukan gagal, tetapi apabila konfigurasi & file benar dan lengkap dijamin 100% berhasil, terkecuali ada sesuatu yang terlewatkan.

Download source CMS versi terbaru dari website penyedia CMS, misalkan: www.drupal.org, www.joomla.org, www.wordpress.org, dsb.

Lakukanlah perbaikan database secara lokal, berjaga-jaga apabila backdoor ada di database. Biasanya didalam database ada access user tidak dikenal yang akses levelnya sama dengan Administrator.

Install CMS yang tadi sudah di download di web hosting. Kemudian lakukanlah konfigurasi: database, file permission, directory permission. Jangan menggunakan default configuration, modifikasilah konfigurasi-konfigurasi yang ada agar lebih powerfull.

Kemudian instalasi component: Themes, Plugin, Component, dsb. Gunakanlah yang paling update, atau source baru dari komponen yang akan di Install (Fresh Install Component).

Kemudian update database, dengan login ke Database Control Panel (phpMyAdmin, DB Admin, cPanel Database, dsb). Setelah anda melakukan login, maka import-lah database.

Gantilah username Administrator & Password menggunakan nama yang lebih Unik, jangan menggunakan user (admin, administrator, adm1n, dsb) gunakanlah yang lebih powerful dan susah untuk di tebak untuk menghindari bruteforce, gunakanlah alias untuk menampilkan username administrator di web content.

Page 10

WEB DEFACE : SITUS PRIBADI PRESIDEN SBY DI-HACK

Computer Security

SUMBER
Huang Y, et al. 2003. Countering Web Defacing Attack With System Self Cleansing. Proceedings of 7 th Word Multiconference on Systemics, Cybernetics and Informatics. Nanaji, et al. 2013. Website Hacking: SQL Injection Method And Its Prevention. International Journal of Computer Trends and Technology (IJCTT), Volume4Issue4 April 2013. Kompas.com Selasa, 29 Januari 2013 | 14.35 WIB http://tekno.kompas.com/read/2013/01/29/14351862/serang.situs.sby.penjaga.warnet.dicidu k.polisi Okezone.com Rabu, 30 Januari 2013 | 10.12 WIB http://techno.okezone.com/read/2013/01/30/55/753732/peretas-situs-sby-diringkus-hackerinternasional-berangperetas-situs-sby-diringkus-hacker-internasional-berang Liputan6.com Rabu, 30 Januari 2013 | 09.55 WIB http://tekno.liputan6.com/read/499813/protes-wildan-hacker-serang-situs-pemerintah tempo.co Jum'at, 12 April 2013 | 12:52 WIB http://www.tempo.co/read/news/2013/04/12/072472937/Begini-Cara-Wildan-Meretas-SitusPresiden-SBY Eserzone.com Senin, 10 Juni 2011 http://eserzone.com/bagaimana-mencegah-dan-mengatasi-website-di-deface/ Unikom.ac.id http://10507276.blog.unikom.ac.id/situs-web-presiden.664

Page 11