Memahami Cara Kerja dan Teknis Peretasan di Indonesia

Herman Huang, pegiat IT dan peserta Program Cybersecurity Cambridge University, Inggris, mengatakan pada dasarnya peretasan di Indonesia sudah sering terjadi.

oleh Huyogo Simbolon diperbarui 08 Nov 2022, 10:02 WIB
Banner Infografis Buntut Aksi Hacker Bjorka & Prioritas RUU Perlindungan Data Pribadi. (Foto: Tangkapan Layar Akun Twitter @bjorkanism, Kolase: Liputan6.com/Trieyasni)

Liputan6.com, Bandung - Aksi peretasan Bjorka beberapa waktu lalu memicu kegalauan publik. Herman Huang, pegiat IT dan peserta Program Cybersecurity Cambridge University, Inggris, mengatakan pada dasarnya peretasan di Indonesia sudah sering terjadi.

“Seperti yang banyak pengamat teknis sudah ungkapkan bahwa teknik peretasan yang dilakukan Bjorka dan sebagainya masih sangat basic ke level intermediate/menengah,” kata Herman Huang dalam keterangan tertulis, Rabu (5/10/2022).

“Namun dengan teknik basic ke menengah saja sudah sangat merepotkan dan membuat malu banyak pihak,” sambung Herman.

Dia menyebutkan catatan beberapa peretasan yang pernah terjadi di Indonesia dan tekniknya. Pemahaman ini penting untuk bahan kajian mitigasi serangan serupa.


Website Kemendag

Ilustrasi peretasan. (Pixabay)

Peretas atau hacker masuk pada celah FTP (File transfaer protocol). Berikut teknik yang dipakai:

1. Web Defacement

Berupa serangan siber yang menyasar suatu situs, dengan memodifikasi tampilannya baik sebagian atau seluruhnya.

2. Brute Force

Adalah serangan yang dilakukan untuk membobol password dengan cara mencoba setiap kata kunci sampai akhirnya menemukan password yang tepat. Bisa juga metode yang digunakan:

  • SQL Injection
  • Remote File Inclusion: serangan yang ditujukan kepada website yang memiliki celah keamanan yang biasanya menggunakan fungsi memanggil file melalui suatu inputan dinamis. Dalam hal ini berarti seseorang dapat mengganti alamat file yang akan dipanggil dan kemudian diproses
  • XSS: merupakan salah satu jenis serangan kode injeksi. Tapi pada kasus Kemendagri, yang lebih menonjol ialah di web defacement dan brute force.

Data Indonesia KTP, KK, Address Bali Citizen

(Ilustrasi)

Teknik yang dipakai:

  • SQL Injection
  • Remote File Inclusion: serangan yang ditujukan kepada situs yang memiliki celah keamanan yang biasanya menggunakan fungsi memanggil file melalui suatu inputan dinamis. Dalam hal ini berarti seseorang dapat mengganti alamat file yang akan dipanggil dan kemudian diproses
  • XSS: merupakan salah satu jenis serangan kode injeksi.

Selain itu ada juga teknik yang dipakai dalam peretasan

  1. Keylogger
  2. Phishing
  3. DoS/DDoS (Denial Of Service)
  4. ClickJacking

Namun biasanya yang paling sering ialah DDoS yang mana tujuannya membuat server down untuk kemudian hacker bisa masuk pada sistem karena server sedang dalam kondisi lemah maka hacker bisa dengan mudah masuk.


Browsing History Indihome

Ilustrasi peretasan (iStock)

Adanya usaha Indihome untuk melakukan collection data browsing history masing-masing pengguna kemungkinan awalnya untuk kepentingan analisa/analytic.

Namun pengumpulan data masif seperti ini maka sepertinya tidak dipikirkan secara matang infrastruktur dan prosedur penyimpanan yang aman untuk Big Data tersebut, sehingga akhirnya data berpindah tangan/diakses oleh pihak luar.


Rekomendasi

Herman Huang melontarkan tiga rekomendasi yang mendesak dilakukan seiring fenomena kemunculan peretas Bjorka yang viral belakangan ini. 

Pertama, Kampanye Keamanan Data. Herman menjelaskan, Kementerian Kominfo sudah sering mengadakan Kampanye Literasi Digital selama periode 2020 – 2022. 

Sehingga sudah saatnya diadakan kampanye serupa untuk Keamanan Data dengan target yang lebih spesifik dan konten yang lebih spesifik. Sehingga publik dapat lebih paham dan waspada akan keamanan datanya.

Kedua, Transformasi BSSN (Badan Sandi dan Siber Negara) dan Kementerian Kominfo. Menurut Herman, BSSN sebagai lembaga siber harus merombak diri untuk dapat memberikan peningkatan keamanan siber dan emergency response ketika kebocoran data siber terjadi lagi di masa depan.

BSSN dapat dimodelkan serupa NSA di Amerika. Harusnya tidak ada kebingungan atau diam berhari-hari ketika kebocoran data terjadi. 

Efek kebocoran data masif sudah banyak terjadi di banyak negara dengan korban-korban korporasi besar seperti Travelex di Inggris, perusahaan kripto di Jepang dan sebagainya.

“Kita harus menghindari hal serupa ini terjadi misalnya di e-commerce kita dan di 2023/2024 data pemilih kita di KPU,” kata Herman.

Ketiga, Kemandirian Data Nasional.

“Selama data-data kita mayoritas masih diproses,diolah dan disimpan di luar negeri maka peran lembaga manapun di dalam negeri akan terbatas,” kata Herman.

Ada baiknya, kata dia, kita belajar cara yang dilakukan oleh negara seperti Tiongkok yang menggalakan kemandirian data nasional melalui pengembangan aplikasi lokal buat sosial media,keuangan dan sebagainya.

Keberadaan Aplikasi Nasional seperti Peduli Lindungi merupakan suatu prekursor bagus yang harus didukung meskipun sempat juga data mereka per 2021 diambil oleh hacker.

Peduli Lindungi merupakan suatu contoh perdana bahwa Indonesia dapat meluncurkan aplikasi nasional yang dipakai oleh mayoritas dari 300 juta penduduk Indonesia dan dapat berjalan cukup baik dan reliable selama ini.

POPULER

Berita Terkini Selengkapnya