Jakarta - Menjelang pergantian tahun publik Tanah Air dikejutkan oleh peretasan situs milik Sekretariat Kabinet dan Lembaga Ketahanan Nasional. Dua lembaga pemerintah yang bisa dibilang tidak main-main. 

Para peretas seolah ingin menunjukkan bagaimana mudahnya menembus fasilitas pemerintah pusat di dunia maya. Bahkan sebelumnya situs revolusimental.go.id cukup lama tak bisa diakses pasca serangan peretas. 

Adopsi Lembaga Negara terhadap teknologi utamanya dengan internet adalah tuntutan jaman. Pemerintah wajib membuka informasi seluas-luasnya pada masyarakat, seperti amanah Undang-Undang Keterbukaan Informasi Publik, dan saat ini lewat internetlah pemerintah bisa menjangkau masyarakat secara lebih luas dan murah. Namun juga ada risiko yang harus dihadapi, yaitu peretasan.

Selama 2015, Karspersky Lab mencatat lembaga pemerintah dan perbankan adalah sasaran utama para peretas. Bila situs perbankan diretas karena faktor materi, situs pemerintah diretas bisa karena berbagai faktor pendorong, yang paling utama adalah faktor politik dan mencari popularitas. 

Anonymous misalnya, kelompok peretas ini begitu tersohor karena terlibat dalam peretasan berbau politik. Juga Julian Assange dengan Wikileaks-nya, yang membocorkan banyak kabel diplomatik Amerika Serikat dan sekutunya. 

Dengan kondisi situasi seperti saat ini, sudah semestinya pemerintah memberikan perhatian lebih kepada penataan infrastruktur cyber dan keamanannya. Bila tidak, suatu saat akan menjadi sasaran empuk peretas luar maupun dalam negeri dengan berbagai alasan.

Lalu sebenarnya apa saja yang menyebabkan situs milik pemerintah cukup mudah ditembus oleh para peretas, berikut beberapa di antaranya.

1. Belum Memakai Secure Hosting

Pemilihan hosting provider yang kurang selektif, dapat menyebabkan sistem web menjadi sangat rentan di-deface. Jauh lebih bagus jika sistem web dihosting di infrastruktur mandiri, dalam hal ini milik pemerintah, dengan penambahan perimeter-perimeter security yang kuat. Dalam kasus peretasan situs milik pemerintah yang telah terjadi diketahui menggunakan share hosting. 

Padahal shared hosting adalah tempat favorit bagi para peretas untuk melatih kemampuan. Sekuat apapun sistem web, akan tetapi jika berada di share hosting, maka peretas tidak akan langsung menyerang situs tersebut. Dengan shared hosting seorang peretas akan bisa mencari kelemahan tidak langsung terhadap sistem target, tetapi ke sistem lain yang lemah yang berada dalam satu hosting tersebut. 

2. Belum Menggunakan Secure Coding

OpenSource CMS seperti wordpress, joomla, drupal, memang sangat memudahkan untuk mengembangkan web. Tetapi CMS tersebut juga mempunyai banyak lubang keamanan yang sangat mudah ditembus oleh peretas. Dalam kasus revolusimental.go.id dan setkab.go.id, hal ini diperparah dengan masih defaultnya link login untuk admin, masih dapat diakses dari internet beberapa konfigurasi dan tanpa ada filter sama sekali. 

Hal ini terlihat dengan sangat mudahnya membuka halaman admin. Akan jauh lebih aman jika sistem web dibangun secara mandiri dengan memperhatikan aspek secure coding. 

3. Jarang Melakukan Penetration Test

Selayaknya sebuah kendaraan bermotor yang secara berkala masuk ke bengkel, sebuah situs milik pemerintah sudah selayaknya mendapatkan penetration test. Ini adalah langkah untuk mendapatkan lubang keamanan yang ada di dalam sistem. Beberapa raksasa teknologi seperti Google, Yahoo dan Facebook berani memberikan reward yang sangat besar untuk para peretas yang berhasil menemukan lubang keamanan di sistem mereka. 

4. Poor Patch Management

Setiap instansi pemerintah yang memiliki infrastruktur IT wajib melakukan patch management. Itu adalah proses perbaikan atau menutup celah keamanan yang ditemukan dalam sistem, jelas tujuannya untuk menjaga keamanan jaringan. Namun sebagian besar instansi pemerintah kurang mengindahkan hal ini. Inilah yang disebut sebagai poor patch management. 

Para peretas ini mengincar hal-hal yang dianggap remeh oleh banyak orang, seperti mengupdate security browser, database dan aplikasi penunjang lainnya. Lewat celah keamanan ini para peretas bisa menaruh exploit, malware, mencuri informasi, merusak sistem mapun merusak reputasi instansi pemerintah lewat infrastruktur IT yang ada. 

Minimal ada usaha menambahkan SSL certificate (Secured Socket Layer) untuk mengamankan transmisi data melalui situs web. Transmisi data seperti nama pengguna dan password account, serta informasi penting yang harus diamankan. 

5. Kesadaran SDM Masih Kurang

Keamanan situs maupun jaringan IT instansi pemerintah sebenarnya bukan hanya tanggungjawab admin semata. Para pengambil kebijakan di tataran atas juga bertanggung jawab sejak pembangunan situs dan jaringan IT. Pemilihan developer misalnya, bila pengambil kebijakan tak paham benar mana yang aman, bisa jadi developer dengan tawaran situs bertemplate wordpress mislanya, akan menang.

Akibatnya jelas, dengan template modifikasi Wordpress yang umum, celah keamanan lebih banyak dan terbuka. Bahkan di forum-forum internet peretas pemula di bagikan celah keamanan untuk banyak template, sehingga itu menjadi sasaran latihan melakukan deface sebuah situs.

Manusia sebagai pihak yang menjalankan sistem adalah kunci sejak proses perencanaannya. Oleh karena itu perlu dibangun sebuah usaha untuk meningkatkan kesadaran keamanan cyber untuk seluruh pegawai pemerintahan. Hal ini bisa menekan risiko terjadinya serangan pada situs pemerintah, dan meningkatkan keamanan jaringan IT yang ada di lembaga pemerintah. 

*Penulis, Pratama Persadha adalah pegiat keamanan cyber dan kriptografi. Kini aktif sebagai Chairman CISSReC (Communication and Information System Security Research Center), lembaga riset non-profit di bidang keamanan cyber dan komunikasi.



Wednesday, December 30, 2015







« Back