Feed on
Posts
Comments

Dibawah ini merupakan bagian wawancara saya dengan admin Codenesia (anharku), dan telah dimuat di majalah CN-ZINE19 . Wawancara ini rupanya terkait dengan kasus situs presidensby.info yang pernah saya tulis di sini. Jika ingin membaca versi lengkap dari isi majalah tersebut dapat langsung mendownload di website codenesia.com dengan terlebih dahulu mendaftar menjadi member.

Assalamualaikum,wr,wb

Alhamdulilah kali ini saya mendapat kesempatan untuk mewawancarai om Joshua M Sinambela seorang Investigator, Professional IT Trainer, System & Network Security and Cybersecurity Lecturer (juga yang menggawangi rootbrain.com) serta sudah pernah menulis analisis forensik terkait kasus website presidensby. Langsung saja ke pertanyaannya:

1. Bagaimana kronologi kejadiannya sehingga website presiden yang beralamatkan
http://presidensby.info bisa diretas oleh MJL007 om?

JOSH:
Berdasarkan analisis internet forensik yang saya lakukan terkait kasus website “presidensby.info” terdapat beberapa fakta yang mungkin dapat dijadikan sebagai bukti hukum atau memperjelas beberapa bagian kronologis terjadinya kasus ini (sebagai informasi, internet forensik artinya teknik pencarian informasi dengan memanfaatkan artifak-artifak atau informasi/data yang masih tersimpan di internet yang dapat digunakan mengungkap suatu kasus hukum/cybercrime)
Pelaku atau yang menggunakan nama alias MJL007 pada kenyataannya tidaklah melakukan pembobolan atau defacing terhadap mesin server presidensby.info. Tidak ada perubahan informasi pada mesin server presidensby.info yang dilakukan oleh pelaku. Ini terbukti pada saat kejadian, situs dengan domain mengacu server dan lokasi aplikasi yang sama yakni presidenri.go.id tidak terjadi perubahan sama sekali. Jika yang terjadi adalah defacing, maka harusnya kedua alamat akan menghasilkan halaman yang sama (defaced). Website presidensby.info merupakan nama alias dari website presidenri.go.id yang berada pada sebuah alamat VirtualHost yang sama di mesin ber-IP 203.130.196.114. Mesin ini dihosting di jaringan PT Telkom Indonesia. Selain presidensby.info dan presidenri.go.id, sebuah situs dengan VirtualHost lain yang pernah ditempatkan pada webserver mesin ini adalah paskibrakaindonesia.com. Dari informasi mirror “defacing” di zone-h, juga menunjukkan bahwa IP yang statusnya terdefaced itu bukan IP mesin server yang sebenarnya (203.130.196.114), tetapi IP Mesin salah satu Server Hosting lain dengan alamat IP 210.247.249.58
Dalam melakukan aksinya dalam kasus ini, pelaku sebelumnya berhasil membobol sebuah situs hosting jatirejanetwork (http://www.zone-h.org/mirror/id/18907939) pada tanggal kejadian (8 Januari 2013), dari situs ini kemungkinan besar pelaku mendapatkan account WHM jatirejanetwork, sehingga dapat membuatkan account dengan domain (zone) presidensby.info pada DNSnya. DNS server pada jatirejanetwork inilah yang digunakan pelaku sebagai alat (tools) untuk memberikan alamat IP yang keliru nantinya pada presidensby.info.
Berikut informasi zone domain presidensby.info yang dibuat pelaku:

A
host type ip class ttl
presidensby.info A 210.247.249.58 IN 14400

NS
host type target class ttl
presidensby.info NS id1.jatirejanetwork.com IN 86400
presidensby.info NS id2.jatirejanetwork.com IN 86400

SOA
host type mname rname serial refresh retry expire minimum-ttl class ttl
presidensby.info SOA id1.jatirejanetwork.com admin.jatirejanetwork.com 2013010802 86400 7200 3600000 86400 IN 86400

MX
host type pri target class ttl
presidensby.info MX 0 presidensby.info IN 14400

Selanjutnya, bagaimana pelaku merubah atau mendelegasikan DNS yang mengelola domain presidensby.info ke Server DNS yang disiapkan pelaku. Atau bagaimana si pelaku merubah data Administrative Domain/Nameserver untuk domain presidensby.info tersebut, dari yang aslinya adalah

SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM

Menjadi
id1.jatirejanetwork.com
id2.jatirejanetwork.com

Ada dua kemungkinan yang biasa terjadi,
Pertama, pelaku melakukan serangan terhadap DNS (DNS Poisoning) terhadap mesin yang mengelola domain presidensby.info yang asli (dalam hal ini DNS yang diserang adalah DNS ORDERBOX-DNS.COM) , sehingga memberikan alamat IP yang keliru atau mendelegasikan domain ke Nameserver yang disiapkan pelaku (id1.jatirejanetwork.com dan id2.jatirejanetwork.com )
Berdasar analisis akhir saya, kemungkinan pertama ini tidak terjadi, dengan beberapa alasan antara lain: Jika yang terjadi DNS Poisoning ke DNS Orderbox-DNS.COM, artinya tidak hanya domain presidensby.info yang mampu diserang dengan teknik yang sama, tetapi ada banyak sekali domain lainnya yang dikelola DNS Server tersebut, dan tidak ada informasi yang menyebutkan domain lain yang mengalami hal yang sama, disamping itu juga tidak ada peringatan/informasi dari pengelola DNS resmi tersebut terkait incident tersebut. Alasan lainnya yang tidak kalah kuat adalah DNS yang digunakan mengelola domain presidensby.info hingga saat ini masih tetap dipertahankan tim IT paspampres pada ORDERBOX-DNS.COM (DNS yang digunakan sebelum kejadian hingga saat ini). Bahkan domain presidenri.go.id pun saat ini dikelola DNS yang sama (*.ORDERBOX-DNS.COM). Masa ada orang yang mau jatuh ke lubang yang sama ? 🙂 Jika serangan DNS Poisoning yang terjadi, maka sudah pasti tim IT paspampres ini akan memindahkan DNS tersebut ke DNS yang lebih aman/terpercaya.
Dapat di check dengan perintah host/dig di Unix/Linux spt dibawah:

$ host -t ns presidensby.info
presidensby.info name server sahi78679.mercury.orderbox-dns.com.
presidensby.info name server sahi78679.earth.orderbox-dns.com.
presidensby.info name server sahi78679.venus.orderbox-dns.com.
presidensby.info name server sahi78679.mars.orderbox-dns.com.

$ host -t ns presidenri.go.id
presidenri.go.id name server sahi78679.mercury.orderbox-dns.com.
presidenri.go.id name server sahi78679.mars.orderbox-dns.com.
presidenri.go.id name server sahi78679.venus.orderbox-dns.com.
presidenri.go.id name server sahi78679.earth.orderbox-dns.com.

Kemungkinan kedua menurut saya yang paling mungkin terjadi, yakni pelaku mendapatkan akses illegal ke administrative domain presidensby.info, sehingga dengan mudah mengubah atau mendelegasikan NS yang digunakan untuk mengelola domain presidensby.info tersebut. Untuk mendapatkan account (user/password) agar pelaku memiliki akses ilegal terhadap account pengelola domain tersebut dapat dilakukan dengan berbagai jenis serangan seperti coba-coba, bruteforce attack, dictionary attack, penyadapan, social engineering, dll terhadap beberapa account milik pengelola domain. Jika pengelola domain sebelumnya tidak menjaga account tersebut dengan baik dan tidak ada awareness terhadap ancaman serangan tersebut, maka sangat mungkin take-over dapat dilakukan si pelaku.

2. MJL007 bisa deface website presiden tersebut masuk dari mana om?
SQL injection? LFI? RFI? ataukah memang benar mengganti DNS?
soalnya terjadi kerancuan public mengenai pemberitaan media om, mohon kejelasannya.

JOSH:
Pelaku mengganti atau mendelegasikan DNS yang mengelola domain presidensby.info ke server hosting yang sebelumnya dibobol dan dipersiapkan memberikan alamat IP yang keliru (lihat jawaban no 1 diatas)
Serangan SQLi, LFI, RFI, XSS dll dengan cara konvensional untuk situs presidensby.info atau presidenri.go.id hampir tidak mungkin di lakukan, karena situs itu bersifat static (HTML), update situs pun dilakukan degan prosedur manual (syncronize/mirroring) dari site sumber berbasis CMS di PC administrator/operator menjadi format HTML. Anda dapat melihat source code semua index dan pagenya. Jadi attack vektor dengan serangan SQLi, XSS, LFI, RFI dll hampir mustahil untuk dilakukan. Tetapi dengan berbagai trik atau metode lain tetap masih ada yang bisa dilakukan jika sudah nizat. Karena tidak ada yang aman 100% bukan?

3. Bukannya situs resmi milik presiden beralamatkan di presidenri.go.id lalu kenapa ini yang .info
diretas sepertinya terlalu dipermasalahkan dan dibesar2kan om?

JOSH:
Yang memperbesar-besarkan adalah media sendiri. Bagi media, berita seperti ini pasti menarik dan dapat laku dijual :), meskipun kadang kala informasi yang diperoleh/dipublikasikan media tersebut tidak akurat dan banyak perlu dikoreksi (keliru), atau bahkan sering mengutip pernyataan orang yang tidak kompeten atau tidak tepat dengan konteks beritanya.

4. Banyak yang belum mengerti tentang UU ITE terutama pasal yang menyebutkan hukuman bagi orang yang mengubah konten website secara illegal, tolong diberi penjelasan om UU ITE pasal berapa dan apa hukumannya.

JOSH:
Pada pasal 32 dan 35 UU ITE memang sudah sangat tegas diatur bahwa
Pasal 32
“Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik”
Pasal 35
“Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan atau dokumen elektronik dengan tujuan agar informasi elektronik dan atau dokumen elektronik tersebut dianggap seolah-olah data yang otentik”.

Jadi orang yang mengubah konten website secara ilegal seperti defacing dapat diartikan _mengubah_/_menambah_ informasi elektronik milik orang lain (pasal 32 UU ITE) atau dapat didefinisikan juga melakukan _manipulasi_ atau _perubahan_ seperti ya disebut di pasal 35 UU ITE tersebut.

Jika terbukti bersalah, sebagaimana disebutkan dalam Pasal 48 (1) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).
Pasal 51 ayat (1) UU ITE, Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 35 maka pelaku bisa dikenakan hukuman pidana penjara paling lama 12 tahun dan atau denda paling banyak Rp 12 miliar.

Yang perlu dicermati dan perlu disadari oleh rekan rekan “aktivis” adalah bahwa saat ini ancaman hukuman untuk pelanggaran kedua pasal diatas (yang sering dilakukan para rekan “aktivis”) lebih dari 5 tahun penjara. Artinya, jika ada bukti awal yang cukup, pelaku yang tertangkap akan langsung dapat ditahan tanpa harus menunggu proses pengadilan.

5. Menurut baom adilkah hukumannya?
heker 12 tahun penjara
nyuri sendal 5 tahun penjara
bikin vidio bokep 3,6 tahun penjara
korupsi 1 tahun penjara

JOSH:
Keadilan nanti akan diperoleh saat proses di pengadilan. Keputusan tertinggi ada di MA/MK.
Kita jangan terjebak dengan ancaman yang tercantum pada UU ITE saja, tetapi harus dilihat konteksnya juga seperti motif, dampak, akibat dll. Seorang hacker bisa saja pantas dihukum 12 tahun bahkan lebih, jika memang akibat atau dampaknya misalnya menyebabkan kematian banyak orang (misal karena membobol sistem SCADA suatu pembangkit sehingga menyebabkan incident serius pada lingkungan sekitar sebuah waduk atau membobol sistem navigasi atau komunikasi pesawat yang berakibat fatal dll). Untuk kasus Wildan, tidak perlu kuatir, menurut saya pribadi Wildan pasti segera dibebaskan, paling juga dihukum hanya beberapa bulan sebagai proses pembelajaran dan pembinaan saja. Lagi pula tidak ada perubahan yang dilakukan pada situs resmi presiden (situs resmi presiden sebenarnya hanya presidenri.go.id, nama alias presidensby.info tersebut dapat dikategorikan alamat situs pribadi seperti halnya web/blog rekan rekan lainnya ), dan klo dilihat motifnya tidak dalam kategori “jahat”. Hanya saja dia tetap harus mengakui kesalahannya yang memang jelas melanggar aturan yang berlaku di negara kita. Btw apa sudah ada jaksa penuntut yang menuntut Wildan dengan tuntutan tersebut?

6. Misalkan kita tahu teknik2 hacking website dan pernah mendalami dunia defacement, lalu sampai seberapa batasan
pelanggaran yg tidak boleh dilakukan? masuk ke system tanpa ijin meruoman pelanggaran kah? nitip file di server tanpa ijin pemilik server pelanggaran kah?
pasang index (yang ini jelas lah pelanggaran soalnya udah ada buktinya yg diciduk dan akan dipenjarakan , KHUSUS DI INDONESIA DAN ORANG INDONESIA SAJA)
Batasan2nya seperti apa? lalu bagaimana sikap kita agar kita tetap berkembang namun tidak menjadi korban dari hukum itu sendiri?

JOSH:
Batasan atau hal hal yang harusnya tidak dilanggar sebenarnya sudah sangat jelas pada UU ITE, hanya saja banyak rekan rekan “aktivis” yang memiliki prinsip atau pemahaman sendiri atau bahkan memang dari awal tidak mau mengikuti aturan yang ditetapkan pemerintah. Pada prinsipnya, kita tetap bisa melakukan teknik teknik hacking website atau defacement tersebut, asal tetap pada koridor aturan yang berlaku. Misalnya, para pentester (legal/beretika) melakukan hal-hal teknis yang persis yang dilakukan para defacer (ilegal). Bedanya pentester melakukan dengan adanya izin dari pemilik sistem dengan tujuan bersifat mutualisme (pemilik sistem akan mengetahui seberapa pertahanan sistem mereka, dapat di tembus atau dibobol atau tidak, pentester mendapatkan pekerjaan secara professional sesuai bidangnya testing keamanan system). Pentester juga kadang berhak melakukan defacing website (saat membuktikan temuannya atau PoC), hanya saja saat dilakukan, aktifitas ini harus diketahui si pemilik system sebelumnya.

Masuk ke system orang lain tanpa izin, nitip file di server tanpa izin adalah aktifitas yang termasuk melanggar UU ITE. Saat seseorang memasuki sistem orang lain, tentu saja dia akan mampu membaca informasi atau dokumen dokumen yang harusnya tidak dapat dibacanya. Demikian juga saat menitip file di server tanpa izin. File yang dititip ini bisa saja beragam tujuan/fungsi/target/motif dll. Jika file tersebut akhirnya bisa membahayakan pemilik server ataupun informasinya spt php shell, script untuk spam, file-file besar, software ilegal dll, juga mampu mengurangi performance sistem maka tentu saja ini dapat dikenai ancaman hukuman sesuai UU ITE pasal 48 (Pelanggaran terhadap pasal 32 UU ITE).

7. Menurut baom MJL007 sengaja mendeface untuk mencari nama atau ketenaran di dunia maya
atau memang memperingatkan admin website agar memperbaiki systemnya??

JOSH:
Menurut saya MJL007 dalam kasus ini untuk cari nama/tenar/ingin lebih dihormati sama seperti motif kebanyakan defacer lainnya.
Jika ingin memperingatkan admin website atau pengelola situs, banyak cara yang dapat dilakukan tanpa menampilkan informasi seolah-olah terdefaced tersebut sehingga terhindar dari kasus ini. Misalnya menginformasikan ke Pengelola Domain situs yang bisa didapat dari informasi kontak dihalaman website atau informasi whois, atau dapat juga mengirimkan informasi kelemahan ke IDSIRTII ([email protected]) dan Gov-CSIRT ([email protected])
Saya yakin salah satu dari kontak yang kita lakukan pasti akan mendapat tanggapan yang baik dan bahkan apresiasi. Jika memang ternyata tidak ada tanggapan, toh masih banyak sistem/situs lain yang lebih menantang untuk dipelajari :).

8. Bagaimana pendapat baom aomah website pemerintahan di indonesia (.gov) aman?
atau masih rentan terhadap serangan attacker? soalnya setelah kasus diatas
banyak sekali website pemerintahan yang di deface oleh hacker Indonesia sendiri
dengan memajang pesan “menuntut pembebasan WILDAN a.k.a MJL007”

JOSH:
Khususnya website pemerintahan di indonesia, menjadi PR kita bersama untuk ikut membantu mengamankan sistem sistem dipemerintahan tersebut, bukan malah memperkeruh kondisi dengan ikut-ikutan melakukan serangan terhadap situs pemerintahan. Aktifitas tersebut hanya akan merugikan pihak lain dan pelaku sendiri. Jika pelaku lain tersebut tertangkap seperti halnya Wildan, saya yakin akan menyesali perbuatannya yang seharusnya bisa dihindari.

9. Pantaskah orang sepintar wildan yang sanggup meng-hack website presiden dipenjara
sementara koruptor-koruptor dibebaskan? aomah tidak lebih baik memberikan wildan beasiswa
atau kesempatan bekerja di bidangnya misal menjadi profesional security website?
bagaimana pendapat baom?

JOSH:
Saya kira kita tidak perlu membandingkan hukuman koruptor dengan aktifitas “hacking” yang dilakukan oleh Wildan karena nanti bisa melebar ke banyak hal yang bukan kompetensi kita. Jika Wildan memang ingin menjadi professional dibidang tersebut, seharusnya fokus untuk mencapai level professional tersebut tanpa terlibat aktifitas yang melawan aturan hukum (UU ITE). Di dunia industri, banyak perusahaan yang juga memperhatikan latar belakang seseorang yang ingin bergabung atau berpartner dengan mereka. Selain memperhatikan skill seseorang, attitude dan moral juga menjadi pertimbangan bagi mereka.

10. Menurut baom Hacking itu tindakan kriminal atau bukan? kalo iya kriminalnya disisi sebalah mana?
kalo bukan disisi sebelah mana? mohon penjelasannya.

JOSH:
Ada dua jenis aktifitas hacking, yang pertama ethical hacking (hacking ber-etika) dimana pelaku sering disebut sebagai pentester/auditor/ethical-hacker yang melakukan aktifitas hacking dengan izin dan sepengetahuan pemilik sistem. Yang kedua, unethical hacking, dimana pelaku melakukan aktifitas hacking secara ilegal atau tanpa sepengetahuan dan izin pemilik sistem.
Jenis aktifitas hacking yang kedualah yang dapat dikategorikan sebagai kriminal (cybercrime), meskipun cara/teknik/metode yang dilakukan pada kedua jenis aktifitas hacking tersebut mungkin sama persis.

11. Terakhir Bagaimana caranya agar hacking di indonesia bisa memiliki citra yang baik dimata media maupun public, dan kembali kepada filosofinya yaitu untuk kemajuan teknologi dan informasi. Saran maupun nasehat juga boleh

JOSH:
Kita bisa memposisikan pengertian hacking/hacker dan bagaimana menjadi seorang hacker seperti yang pernah ditulis oleh Eric S Raymond (http://www.catb.org/esr/faqs/hacker-howto.html)
Banyak aktifitas hacking saat ini dilakukan dengan cara-cara instan, tanpa mengetahui dan menguasai teknologi dibelakang suatu sistem tersebut, sehingga sering tidak ada penghargaan terhadap yang membangun dan mengelola sebuah system, para defacer kadang merasa paling hebat dibanding pengelola system yang didefacednya 🙂 . Jika kita mengikuti petunjuk dan memahami yang dituliskan ERS, harusnya akan lebih banyak hacker indonesia yang disegani di dunia dengan produk produk sistem/aplikasi TI yang lebih baik dari yang ada saat ini.

Terimakasih om Joshua atas jawabannya. Dari wawancara diatas pasti dapat menambah wawasan pengetahuan pembaca setia CN-ZINE, terutama dari sisi Hacking is Not Crime jika dilakukan sesuai dengan ETIKA (CyberEtic). Dimana pentester melakukan penetrasi testing sebuah website dengan se-izin dari pemilik sistem dengan tujuan bersifat mutualisme (pemilik sistem akan mengetahui seberapa pertahanan sistem mereka, dapat di tembus atau dibobol atau tidak, pentester mendapatkan pekerjaan secara professional sesuai bidangnya testing keamanan system).
Kalo membaca pasal-pasal yang disebutkan oleh om joshua, saya sendiri jadi mikir kalo mau mepes website, apalagi website INDONESIA, Takut kena Pasal 51 ayat (1) . Kalian semua gimana hayo yang biasa main deface? =)) .Sepertinya jawaban dari om Joshua cukup jelas dan cukup memberikan gambaran analisa forensik mengenai aksi deface website presidensby.info , bisa disimpulkan sendiri yah. Kalian udah cerdas masak harus saya bikin kesimpulan satu persatu? Jika kalian kurang jelas mungkin bisa bertanya langsung dengan om Wildan a.k.a MJL007

Semoga bermanfaat

8 Responses to “Wawancara saya dengan Codenesia terkait kasus situs Presidensby.info”

  1. […] Wawancara saya dengan admin Codenesia terkait hacking dan kasus situs presidensby yang lalu, telah dimuat di majalah CN-ZINE19 Codenesia dapat dibaca juga disini […]

  2. pingin tenar says:

    “Menurut saya MJL007 dalam kasus ini untuk cari nama/tenar/ingin lebih dihormati sama seperti motif kebanyakan defacer lainnya.”…

    saya sependapat dg anda.. dan sangat kelihatan klo anda pun juga ingin tenar..

  3. udin says:

    sangat disayangakan pemerintah tidak melakukan langkah strategis,,banyak hacker kaliber dunia di indonesia tidak dimanfaatkan ,,,,atau takut pemerintah keliahatan gapteknya,,,kyknya,,,hanya obrolan warung kop maaf bang joshh,,,wslm

  4. yetti says:

    terkait dengan kasus wildan, saya menanggapi secara teknis.
    UU ITE jelas melarang “menerobos sistem keamanan yang terlindung”. namun terkendala di pasal defacing, wildan melakukan jump server, cmiiw.

    bukankah situs tersebut tidak di deface, melainkan domain servernya yang di ubah ke halaman milik wildan? lagipula menurut PERMENKEMINFO, situs resmi pemerintah adalah yang berakhiran .go.id dan bukan .info

    selayaknya UU ITE lebih menjelaskan dan berusaha mencari tahu apa yang melatar belakangi wildan bisa men-deface. lagi pula, yang bersalah bukan situs .info nya melainkan domain web hosting, karena dari situlah wildan menemukan akun .info tersebut.

    sampai hari ini belum ada putusan mengenai kasus wildan, namun disayangkan apabila banyak situs pemerintah yang down akibat serangan cracker. telaah saya dalam hal ini adalah, selayak pemerintah berterima kasih kepada hacker-cracker ini yang secara tidak langsung melindungi Indonesia dari serangan dunia maya yang dilakukan pihak luar negeri. anonymous2x yang bertebaran mencari celah dan merusak proteksi yang ada.

    selayaknya hal ini dipandang sebagai sebuah bahan pembelajaran terkait dengan pernyataan bahwa “ketakutan dalam mengambil putusan hukum akan berdampak sistemik pada jaringan maya di Indonesia”

  5. timetovh3 says:

    nice!!!

  6. […] history perubahan DNS IDSIRTII sangat mirip dengan kasus presidensby.info yang pernah saya bahas di sini dan di […]