Feed on
Posts
Comments

Sejak mulai diliputnya oleh berbagai media terkait perubahan situs presidensby.info, banyak rekan it’ers dan  praktisi  yang mencoba mengungkap kasus ini, meskipun menurut saya beberapa diantaranya belum memberikan kesimpulan atau informasi yg signifikan dalam pengungkapan kasus tersebut.
Saya akan mencoba menganalisis dengan cara yang lebih sederhana sebagai berikut :

Dari informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut tidaklah di “hacked” atau kenyataan bahwa tidak ada perubahan sama sekali pada mesin server presidensby.info, tetapi hanya terjadi perubahan penunjuk jalan (serangan di level DNS) menuju server tersebut ketika diakses pengguna oleh attacker.  Pada saat terjadinya serangan, hal ini dibuktikan dengan akses ke situs yang sama dengan alamat domain berbeda yaitu presidenri.go.id tetap dapat berjalan dengan baik tanpa ada perubahan tampilan.
Secara teknikal, mesin server situs presidensby.info memiliki alias  name (domain) presidenri.go.id
Lantas apa yang terjadi? .. hehe sabar dulu.. para pembaca 🙂

Saya coba ungkapkan beberapa fakta, meski mungkin tidak akan mendetail termasuk bagaimana cara saya mendapatkan informasi ini.
Sebenarnya persiapan serangan melalui pembelokan domain presidensby.info ke sebuah situs lain sudah dimulai sejak 8 Januari 2013.  Ini tercatat di serial zone domain (presidensby.info) yang dibuat oleh attacker/pelaku pada sebuah server Hosting/DNS Lokal.

Berikut informasi zone domain presidensby.info yang dibuat oleh attacker.

A

host

type

ip

class

ttl

presidensby.info A 210.247.249.58 IN 1440

NS

host

type

target

class

ttl

presidensby.info NS id1.jaxxxxxnetwork.com IN 86400
presidensby.info NS id2.jaxxxxxnetwork.com IN 86400

SOA

host

type

mname

rname

serial

refresh

retry

expire

minimum-ttl

class

ttl

presidensby.info SOA id1.jaxxxxxnetwork.com admin.jaxxxxxnetwork.com 2013010802 86400 7200 3600000 86400 IN 8640

MX

host

type

pri

target

class

ttl

presidensby.info MX 0 presidensby.info IN 14400

 

Sedangkan host kedua NameServer (id1.jaxxxxxnetwork.com dan id2.jaxxxxxnetwork.com)  memiliki IP yang sama dengan mesin yang ditunjuk sebagai presidensby.info yaitu 210.247.249.58.

Server Hosting inilah yang memiliki virtual host untuk domain presidensby.info berisi halaman dengan Status Hacked by MJL007  dan Jember Hacker Team. Jadi konten halaman berjudul  Hacked by MJL007 bukan terdapat pada mesin server presidensby.info atau presidenri.go.id  yang beralamat di 203.130.196.114.

Untuk menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan Jember Hacker Team, tim digital forensic Polri seharusnya sudah melakukan investigasi dan data acquisition dari mesin hosting beralamat 210.247.249.58  tersebut, karena pada mesin tersebutlah terdapat system dan access log aplikasi server yang digunakan si pelaku untuk membelokkan penunjuk alamat domain presidensby.info. Jadi log server yang dianalis harusnya bukan pada server  203.130.196.114, melainkan mesin  hosting beralamat 210.247.249.58. Dari mesin ini akan dapat diidentifikasi alamat yang digunakan pelaku, meskipun saat kejadian pelaku bisa saja menggunakan alamat-alamat palsu, biasanya sepandai-pandainya seseorang pelaku, tetap ada kesalahan (kecil) yang berakibat fatal yang mengungkap dirinya.

Selain dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka terhadap pemilik atau administrator domain dan hosting jaxxxxxnetwork.com juga wajib harus  dilakukan investigasi. Karena jelas-jelas pelaku menggunakan  subdomain  jaxxxxxnetwork.com (id1 dan id2) sebagai tools pelaku.

Informasi dari whois untuk jaxxxxxnetwork.com menghasilkan informasi sbb:

Domain Name: jaxxxxxnetwork.COM       

 Registrant:                        
     N/A
    Exxx  Sxxxxxxx        ([email protected])
       Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx     

 Creation Date: 15-Mar-2012   
 Expiration Date: 15-Mar-2013   

 Domain servers in listed order:    
     ph1.xxxxxxjahost.com
     ph2.xxxxxxjahost.com

 Administrative Contact:            
     N/A
    Exxx  Sxxxxxxx        ([email protected])
       Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx

 Technical Contact:                 
     N/A
    Exxx  Sxxxxxxx        ([email protected])
   Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx      

 Billing Contact:                   
     N/A
    Exxx  Sxxxxxxx        ([email protected])
    Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx        

 Status:LOCKED
    Note: This Domain Name is currently Locked. In this status the domain  
    name cannot be transferred, hijacked, or modified. The Owner of this  
    domain name can easily change this status from their control panel.  
    This feature is provided as a security measure against fraudulent domain name hijacking.

Informasi diataslah yang menjadi petunjuk tim IT Kepresidenan untuk menyatakan informasi bahwa pelaku menggunakan hosting lokal dari Bekasi, Jawa Barat.

Berikutnya pasti ada pertanyaan, bagaimana si pelaku merubah data Administrative Domain/Nameserver untuk domain presidensby.info tersebut, dari yang aslinya adalah

SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM

Menjadi
id1.jaxxxxxnetwork.com
id2.jaxxxxxnetwork.com

Terdapat beberapa kemungkinan bagaamana cara pelaku merubah data Nameserver pada Administrative Domain presidensby.info. Kemungkinan pertama, persis seperti kejadian tahun 2007, dimana server yang memiliki otoritas mengelola zone domain presidensby.info di serang sehingga memberikan alamat NS atau mendelegasikan NS ke server yang sudah dipersiapkan si pelaku. Kemungkinan berikutnya adalah pelaku mendapatkan akses ilegal yang menjadi account administrative/technical contact domain presidensby.info, sehingga dapat dengan mudah merubah NS yang menjadi otoritas  domain tersebut.
Untuk memastikan hal tersebut, tentu saja administrative contact domain presidensby.info bisa dimintain keterangannya. Administrative/Technical Contact pengelola domain presidensby.info bisa dilihat dari info whois (per 12 Januari 2012) berikut:

Domain ID:D11564782-LRMS
Domain Name:PRESIDENSBY.INFO
Created On:20-Dec-2005 08:54:36 UTC
Last Updated On:11-Jan-2013 07:14:39 UTC
Expiration Date:20-Dec-2013 08:54:36 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:AUTORENEWPERIOD
Registrant ID:d5667830aacebee8
Registrant Name:Redaksi Situs Presiden
Registrant Organization:Redaksi Situs Presiden Republik Indonesia
Registrant Street1:Gedung Bina Graha Lt. 2
Registrant Street2:Jl. Veteran No, 16 Jakarta
Registrant Street3:
Registrant City:Jakarta Pusat
Registrant State/Province:DKI JAKARTA
Registrant Postal Code:10110
Registrant Country:ID
Registrant Phone:+62.213844363
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:[email protected]
Admin ID:d5667830aacebee8
Admin Name:Redaksi Situs Presiden
Admin Organization:Redaksi Situs Presiden Republik Indonesia
Admin Street1:Gedung Bina Graha Lt. 2
Admin Street2:Jl. Veteran No, 16 Jakarta
Admin Street3:
Admin City:Jakarta Pusat
Admin State/Province:DKI JAKARTA
Admin Postal Code:10110
Admin Country:ID
Admin Phone:+62.213844363
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:[email protected]
Billing ID:d5667830aacebee8
Billing Name:Redaksi Situs Presiden
Billing Organization:Redaksi Situs Presiden Republik Indonesia
Billing Street1:Gedung Bina Graha Lt. 2
Billing Street2:Jl. Veteran No, 16 Jakarta
Billing Street3:
Billing City:Jakarta Pusat
Billing State/Province:DKI JAKARTA
Billing Postal Code:10110
Billing Country:ID
Billing Phone:+62.213844363
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:[email protected]
Tech ID:d5667830aacebee8
Tech Name:Redaksi Situs Presiden
Tech Organization:Redaksi Situs Presiden Republik Indonesia
Tech Street1:Gedung Bina Graha Lt. 2
Tech Street2:Jl. Veteran No, 16 Jakarta
Tech Street3:
Tech City:Jakarta Pusat
Tech State/Province:DKI JAKARTA
Tech Postal Code:10110
Tech Country:ID
Tech Phone:+62.213844363
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:[email protected]
Name Server:SAHI78679.MERCURY.ORDERBOX-DNS.COM
Name Server:SAHI78679.VENUS.ORDERBOX-DNS.COM
Name Server:SAHI78679.EARTH.ORDERBOX-DNS.COM
Name Server:SAHI78679.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:

Dari info whois diatas diperoleh keterangan bahwa administrator domain  saat ini (baru) adalah pemilik email [email protected]. Padahal saat sebelum dan beberapa hari sesudah serangan terjadi Administrative Contact  tersebut adalah Sugeng Wibowo [email protected], dan Technical Contactnya dari techscape.co.id ([email protected]), seperti yang dibahas disini.  Jadi ada kecurigaan yang terjadi adalah kemungkinan kedua.
Demikian sementara hasil analisis yang bisa saya sampaikan. Semoga bermanfaat bagi para pembaca dan it’ers.

 

Update: 2 Februari 2013

Setelah menganalisis dari berbagai sumber  informasi, dapat saya simpulkan pelaku masih tergolong “culun” dan bisa saya katakan “bunuh diri” karena meninggalkan banyak jejak dan tanpa menggunakan teknik pengelabuan spt proxy luar seperti yang banyak dikhabarkan. Dari log server Hosting/DNS yang digunakan sebagai tools, teridentifikasi IP dari sekitar tempat dia bekerja/tinggal (IP pelanggan Telkom Speedy wilayah Jember 180.247.254.x)

PS: hayoo siapa bilang dari US? Mungkin juga info itu trik pemerintah/berwajib supaya pelaku tidak merasa ketahuan dan berusaha melarikan diri.

Dari berbagai media yang mempublikasikan terkait kejadian peretasan situs ini, ada beberapa informasi media perlu diluruskan misalnya  atas berita di Kompas terkait cara polisi melaca peretas. Kemungkinan besar wartawan atau reporternya salah mengutip atau memahami informan (narasumbernya). Berikut beberapa pernyataan yang rancu dan saya coba koreksi/luruskan:

===kutipan kompas===
 Menurut Ahmad Alkazimy dari lembaga keamanan jaringan komputer Indonesian Computer emergency Response Team (ID-CERT), tim polisi siber mendapatkan IP Address pelaku dari perusahaan penyedia jasa internet (internet service provider/ISP).
=================
JOSH:
Sebenarnya informasi bukan dari ISP, tetapi dari Pengelola Hosting. Ada dua pengelola hosting yang ikut membantu kepolisian, pemilik IP  210.247.249.58 (alvin) dan pemilik domain jatirejanetwork (eman). Seperti yang saya publish dicatatan blog saya 12 Januari lalu (sebenarnya infonya sudah saya ketahui per 10 januari, hanya saja sempat nulisnya baru 12 januari )

===kutipan kompas===
Dalam kasus ini, situs web www.presidensby.info menggunakan jasa ISP Jatireja Network. Jatireja Network melaporkan identitas pelaku dan sejumlah bukti digital. Begitu dilacak, IP Address itu berada di sebuah lokasi di Jember, Jawa Timur.
=================

JOSH:
Nah ini keliru lagi. www.presidensby.info tidak menggunakan jasa hosting (apalagi ISP) Jatireja Network. Tetapi di hosting/co-location di TELKOM. Server hosting jatirejanetwork digunakan sebagai tools (manipulasi DNS) oleh pelaku setelah sebelumnya mendapatkan akses ilegal ke server hosting tersebut.
Dari pengelola hosting inilah diperoleh access log dan aktifitas si attacker, termasuk IP yang digunakan mengakses server tersebut (teridentifikasi IP Telkom Speedy wilayah Jember spt yang saya sebut sebelumnya)

===kutipan kompas ===
Jika pelaku memalsukan IP Address untuk mengaburkan jejak, atau menumpang di IP Address komputer lain di luar negeri, menurut Ahmad hal ini masih bisa dilacak dari alamat Media Access Control (MAC Address).

MAC Address yang juga sering disebut ethernet address, physical address, atau hardware address, pada umumnya menempel di setiap perangkat komputer dan sulit untuk diubah karena telah dimasukkan ke dalam Read-Only Memory (ROM).
=================

JOSH:
MAC address tidak feasible/accessible dari Server atau jaringan yang berbeda broadcast domain. Jadi tentu saja tidak bisa digunakan sebagai media pelacakan dalam kasus ini (remote akses)
Bahkan MAC address juga saat ini sangat dimungkinan dimanipulasi (dirubah). Teknik teknik sederhana merubah mac address sudah didapatkan para pelajar SMK TI hingga Kuliahan 🙂

 

Tulisan saya diatas juga saling menguatkan dengan informasi yang disampaikan tim cyber paspampres disini

 

Update 18 Februari 2013

Wawancara saya dengan admin Codenesia terkait hacking dan kasus situs presidensby yang lalu, telah dimuat di majalah CN-ZINE19 Codenesia dapat dibaca juga disini

Semoga bermanfaat.

13 Responses to “Analisis Internet Forensic Kasus Website Presidensby.info”

  1. roby says:

    kalau saya membaca ulasan mas josh, model serangan seperti tsb (memindahkan /membelokan) suatu alamat URL ke situs tertentu dapat juga dengan cara Dns Poisoning

    • josh says:

      @roby: Betul, yang dimaksud serangan ke server DNS, bisa berupa DNS Poisoining/DNS Corruption atau jenis serangan lainnya di level DNS. Beda dengan DNS Spoofing, yang dampaknya hanya untuk sebagian pengguna (jaringan tertentu saja).

  2. Data pengingkatan visitor dan referer di blog saya ternyata dari sini 🙂
    Terima kasih sudah mengikutkan link ke blog saya. Ulasan ini akan saya tambahkan di blog saya, kalau diijinkan 🙂

  3. alvin says:

    berarti domain panelnya tuh di hack 😀

    dengan kata lain, saya rasa pelakunya mencoba bruto force email administrator 🙂

    karena cuma itu satu-satunya cara jika memang “HACKING” domain panel. tidak bisa dengan mysql injection atau lainnya.

  4. josh says:

    @alvin, mungkin saja. Selain bruteforce, bisa saja juga dari proses penyadapan, phising, social engineering dll. Sebenarnya tidak tertutup juga dari sql injection, hampir semua jenis serangan masih dimungkinkan untuk mendapatkan account/password administrator domain dan hosting tersebut. Tergantung dari komunikasi yang biasa mereka gunakan. Beberapa registrar/hosting domain sering mengirimkan info account/password juga via email dst. Btw server hosting tersebut juga sebenarnya menjadi “korban” pada saat yang sama. Situs utama penyedia hosting tersebut juga dalam kondisi ter-defaced saat kejadian.

  5. anharku says:

    MAC address sih masih bisa diganti pakai MAC Address Changer
    http://www.technitium.com/tmac/index.html
    terimakasih om Joshua atas penjelasannya.
    tapi sepengetahuan saya biasanya defacement masuk melalui celah / bugs seperti SQLi, LFI, RFI, dll. jarang2 attacker yang melakukan DNS Poisoining/DNS Corruption atau jenis serangan lainnya di level DNS.
    setelah berhasil masuk server target barulah bisa didapat password cpanel, bahkan sampai nge-root server tersebut (pwned). Terkadang jika dalam satu server terdapat beberapa domain bisa juga attacker melakukan jumping ke domain-domain lainnya yang masih berada pada server tersebut.
    Jarang bukan berarti tidak mungkin dilakukan loh???
    semua kan mungkin2 saja.
    -nothing is secure-
    semoga menjadi pelajaran buat kita semua

  6. IMW says:

    Analisisnya hampir benar 🙂 minimal tidak seperti para “pakar” yang salah tebak. Lha pas kejadian kalau dari http://www.presidenri.go.id normal saja koq 🙂 koq disebut defacement. Sampai media-media salah memberitakan

    Yang kurang lengkap adalah prosedur penelusuran pelakunya. Saya ndak bisa jelasin karena sudah masuk ranah hukum.

  7. josh says:

    @anharku:
    Serangan SQLi, LFI, RFI, XSS dll dengan cara konvensional untuk situs presidenri.go.id hampir tidak mungkin di lakukan, karena situs itu bersifat static (HTML), update situs pun dilakukan degan prosedur manual (syncronize/mirroring) dari site asli di PC/localhost operator menjadi HTML. Lihat saja source index dan pagenya. Jadi attack vektor dengan serangan SQLi, XSS, LFI, RFI dll hampir mustahil untuk dilakukan. Tetapi dengan berbagai trik atau metode lain tetap masih ada yang bisa dilakukan jika sudah niat heheheh 🙂

    @IMW: hehehe.. jelas Pak IMW, saya juga tidak mungkin menjelaskan prosedur penelusuran pelaku lebih detil. Tetapi informasi dari pemilik hosting dan IP server sedikit banyak sudah membantu Tim Bapak atau Kepolisian. Terkait cara lain melakukan penelusuran pelaku, selain melalui access_log/logging server hosting dan log di Provider (Speedy) tersebut beberapa teknik lain juga dapat dilakukan, mulai dari email, nickname, komunitas, koneksi nomor HP, facebook dll seperti yang biasa digunakan hacking investigator lainnya :). Untuk posting diatas, saya hanya sekedar mengungkapkan gambaran manfaat internet forensik (memanfaatkan artifak artifak di internet) yang bisa digunakan membantu menganalisis kasus tersebut.

  8. […] . Wawancara ini rupanya terkait dengan kasus situs presidensby.info yang pernah saya tulis di sini. Jika ingin membaca versi lengkap dari majalah tersebut dapat langsung mendownload di website […]

  9. Thama says:

    wahh.,.
    nice analisa om 😀

  10. @ydh says:

    terima kasih … menarik hacking investigator … (y)

  11. […] Hari ini cukup heboh berita tentang pembajakan domain IDSIRTII (idsirtii.or.id) yang dilakukan oleh attacker. Pembajakan domain IDSIRTII ini berakibat akses ke situs IDSIRTII diarahkan ke sebuah situs yang disiapkan attacker dengan pesan seperti layaknya “web defacing”. Banyak juga media yang terkecoh memberitakan bahwa situs IDSIRTII disusupi attacker tersebut. Dari hasil internet forensic, dari artifak artifak di internet serta history perubahan DNS IDSIRTII sangat mirip dengan kasus presidensby.info yang pernah saya bahas di sini dan di sini […]

Leave a Reply