Peretasan terhadap laman berita Tempo.co, Tirto.id, dan sejumlah media siber merupakan sinyal bahaya bagi demokrasi di Indonesia. Pada pekan lalu, Jumat, 21 Agustus 2020, Tempo.co mengalami vandalisme digital berupa tulisan bernada fitnah pada layar berwarna hitam, disertai lagu Gugur Bunga. Sementara beberapa artikel di Tirto.id yang mengkritisi klaim temuan obat Covid-19 oleh Unair, BIN dan TNI Angkatan Darat diacak-acak dan dihapus. Dalam hal ini, peretas melanggar Pasal 18 Ayat 1 Undang-Undang Nomor 14 Tahun 1999 dan Undang-Undang ITE terkait peretasan.
Praktik peretasan yang menjamur ini disayangkan pelbagai pihak. Namun, ada pula yang menilai kejadian tersebut tak lepas dari lemahnya sistem keamanan digital masing-masing media. Meski peretasan tersebut tidak dapat dibenarkan, pegiat keamanan informasi dari Cyber Army Indonesia—perusahaan keamanan siber dan Informasi, Girindo Pringgo Digdo menganjurkan agar media massa lekas memperkuat sistem keamanan digital. Selain dapat meningkatkan integritas maupun kredibilitas, hal ini juga dipercaya mampu memelihara kepercayaan publik terhadap media massa. Simak wawancara Jaring.id dengan Girindo yang dilakukan pada Kamis, 26 Agustus 2020 berikut ini:
Seperti apa Anda melihat serangan terhadap sejumlah media massa belakangan ini?
Serangan itu bisa terjadi tidak hanya terhadap media, tetapi terhadap siapa pun yang terhubung ke internet. Jenis serangannya sama, hanya berbeda dampak tergantung skala bisnisnya. Misalnya, serangan laman pribadi sama saja dengan serangan ke laman sebuah media. Bedanya adalah dampak. Sebab laman pribadi siapa yang baca? kan tidak banyak. Kalau yang diserang media besar dan terkenal tentu dampaknya akan besar. Kalau melihat serangannya seperti apa, sebenarnya ya begitu-begitu saja.
Adakah pola dari serangan digital selama ini?
Polanya sangat acak, biasanya peretas akan menyerang titik paling lemah sebuah laman dan juga yang paling sering mengubah data dan informasinya. Cara mengubahnya ada banyak. Ada yang disebut serangan teknis seperti serangan SQL injection dan banyak serangan dan istilah lain. Prinsipnya, laman rentan diubah kontennya. Selain portal informasi, ada juga serangan transaksi dengan mengubah dan mengambil alih sebuah akun. Bisa juga yang diambil data pribadi atau data yang mungkin dianggap penting oleh peretas.
Apakah perlu keahlian khusus untuk menyusup ke sebuah laman media massa lalu mengubah isinya?
Tidak juga. Secara teknis untuk mengubah, cukup membutuhkan akses ke akun yang bisa menambah atau mengubah berita. Nah, bagaimana cara mendapatkan akses ke akun? caranya bisa macam-macam. Secara teknis serangan injeksi SQL bisa mengambil seluruh pangkalan data. Di sana tersedia informasi nama pengguna dan sandi yang bisa masuk sebagai akun pengguna. Atau bisa nonteknis, misalnya salah satu staf yang mungkin menginput berita tidak sengaja menaruh nama pengguna dan sandi sembarangan. Atau bisa juga terkena social engineering, sehingga tanpa sadar memberi tahu sandi dari email-nya.
Maksudnya injeksi SQL?
Itu pola serangan yang sudah lama. Sederhananya orang lain atau peretas memasukkan skrip tertentu di laman, lalu laman tersebut merespon skrip tadi. Misalnya, saya mau membaca pangkalan data pengguna, maka saya menaruh perintah itu di laman. Lalu laman akan otomatis memberitahu nama pengguna A, sandinya B.
Tapi hal itu seharusnya bisa dikontrol bukan?
Sudah banyak kontrol keamanan agar tidak bisa diinjeksi, teapi masih saja banyak terjadi. Untuk laman yang punya pemantauan keamanan bisa jadi ada (tanda). Apalagi kalau organisasi punya tim keamanan yang selalu memonitor pasti tahu lamannya diserang karena akan kelihatan request apa saja. Tanpa ada pemantauan itu, kita tidak akan pernah tahu.
Pemantauan yang dimaksud seperti apa?
Itu sistem otomatis, semacam firewall yang mencatat semua aktivitas seperti siapa pembaca berita, menu apa saja yang diklik. Termasuk jika ada yang memasukkan skrip tertentu akan dicatat, sehingga serangannya akan ketahuan.
Sejauh apa peretas bisa menyerang sebuah laman organisasi atau media?
Selain mengubah konten, dia bisa mendapat semua pangkalan data. Selanjutnya dia bisa mendapat semua file di peladen (server), lalu memutus semua data dari pengguna lain. Jadi pengguna lain atau pemilik laman tidak akan bisa mengaksesnya lagi. Itu tingkat tertingginya.
Apakah penyerangan terjadi karena sistem keamanannya lemah?
Kalau konteksnya sistem, semua bisa diretas, bedanya adalah seberapa sulit saja. Ada yang ditarget dan ada yang tidak. Kalau acak saja, biasanya hanya meretas yang lemah. Tetapi kalau yang ditarget, meskipun tidak lemah ada kemungkinan bisa diretas.
Apakah diperlukan alat khusus untuk meretas?
Tidak juga, secara manual bisa. Tapi pada tahap identifikasi awal membutuhkan pemindai berbentuk perangkat lunak. Beberapa perangkat lunak yang digunakan seperti Acunetix, Zed Attack Proxy (ZAP) dan lain-lain.
Apakah ada sistem yang bisa diterapkan untuk menghindari peretasan terhadap media?
Kalau secara komprehensif sejak pembuatan web harus sudah aman dulu. Harus ada orang keamanan mengecek seiring lamannya dikembangkan sebelum dilepas ke publik. Kebanyakan itu tidak dicek. Perlu dilakukan audit, dilakukan uji penetrasi supaya tahu potensi lemahnya di mana. Setelah itu diperbaiki lalu diberi semacam firewall di lamanya. Jadi saat ada serangan, selain mencatat serangannya seperti apa, bisa juga mencegah serangan injeksi tadi.
Bagaimana jika laman telanjur diserang?
Kalau laman cenderung gampang karena itu punya kita. Sehingga kita tinggal masuk ke peladen menghapus nama pengguna dan sandi yang dipakai peretas sehingga aksesnya tertutup. Masalahnya adalah kita tidak tahu apakah dia menaruh back door atau mallware di situ. Kita juga tidak tahu setelah masuk apakah dia sudah mengambil pangkalan data kalau tidak punya sistem monitoring tadi. Tapi kalau ada, bisa tahu semua aktivitasnya.
Bila penyerang menaruh backdoor atau mallware risikonya bagaimana?
Risikonya penyerang bisa keluar masuk sistem melalui backdoor meskipun kerentanannya sudah diperbaiki. Penyerang bisa mengambil informasi yang mungkin dianggap penting oleh perusahaan, seperti file, sumber kode, pangkalan data, dsb. Sampai paling tinggi, penyerang bisa mengambil alih sistemnya, menghapus semua informasinya.
Bagaimana Anda melihat keamanan digital media di Indonesia?
Sejauh yang saya lihat belum ada permintaan media untuk dites apakah lamanya bisa meminimalisir serangan. Memang bagusnya diaudit.
Untuk apa?
Tujuannya untuk melihat celah keamanannya, karena media besar dan portal berita yang banyak dibaca oleh orang dan ternyata rentan terhadap serangan, tentu konten integritasnya menjadi buruk. Orang bisa tidak percaya lagi kepada media. Penting dipastikan integritas kontennya apakah benar media itu yang menulis atau ada orang yang menyusup ke laman lalu mengganti.
Jadi agar risiko terukur?
Itu salah satu tujuannya, bisa tahu potensinya apa dan bisa dicegah. Seperti yang dilakukan IndonesiaLeaks.
Apakah audit satu-satunya jalan?
Sependek yang saya ketahui, iya. Harus diaudit dulu, diserang sehingga kita mengetahui seefektif apa kontrol yang sudah kita terapkan selama ini. Istilahnya kalau mau lihat pintu rumah bisa didobrak atau tidak yang tinggal didobrak saja.
Bagaimana mengantisipasi serangan nonteknis?
Dengan membuat kebijakan seperti pembagian tugas dan tanggungjawab, dicatat setiap aktivitas di sistem. Jangan satu orang menjadi administrator. Atau administratornya banyak tapi nama pengguna satu. Jika nama pengguna satu, akan sulit mengidentifikasi serangan. Nama pengguna perlu dibuat banyak dan harus ada catatan aktivitas. Jadi bisa ketahuan siapa yang pada jam sekian dan kegiatannya apa saja. Kebijakan itu perlu diimplementasikan.
Tidak hanya laman, akun media sosial juga kerap diretas. Apakah ada yang berbeda?
Sama-sama mengambil akun, hanya berbeda objeknya saja. Kemampuannya juga hampir sama, bedanya di tingkat kesulitan. Butuh kemampuan mengambil informasi lebih untuk tahu sandi dan nama pengguna. Orang luar yang ingin meretas harus banyak mencari informasi. Cara yang paling mudah ya menanyakan sama orangnya (pemilik).
Untuk media sosial, seperti apa protokol keamanan yang bisa dilakukan?
Pertama, jangan gunakan satu sandi untuk semua akun. Kedua, gunakan verifikasi dua faktor. Kalau mau masuk jangan pakai sandi saja, tapi pakai juga one-time password (kode sandi sekali pakai). Atau ditambah dengan notifikasi masuk ke perangkat lain. Semua media sosial sudah punya itu, tinggal aktifkan saja.
Bagaimana Anda melihat pentingnya kemanan digital saat ini?
Sekarang sangat signifikan. Pengaruhnya terkait keamanan cyber dan data karena semua sudah terhubung ke internet. Ada risiko realistis yang bisa merugikan banyak orang.