Pada bagian ini akan disajikan penerapan attack tree pada sistem e-voting pilkada Kota Bogor yang digambarkan dalam format: grafik.
Attack tree yang telah dijelaskan pada Subbab 2.6 merupakan grafik acyclic di mana setiap node dalam grafik memiliki tepat satu orangtua. Akar pohon adalah simpul yatim. Node adalah tempat untuk menyimpan informasi.
Grafik attack tree akan digambarkan dalam tiga bentuk node: 1. untuk menggambarkan kondisi OR.
2. untuk menggambarkan kondisi AND. 3. untuk menggambarkan terminal.
Setelah grafik attack tree selesai dibuat, berbagai node anak akan diberi nilai P (possible) dan I (impossible), kemudian dilakukan perhitungan terhadap node tersebut. Menurut (Schneier 1999) nilai node OR adalah P jika salah satu nilai node anaknya P dan I jika semua nilai node anaknya I. Nilai node AND hanya P jika semua node anaknya P dan I jika sebaliknya. Hasil perhitungan attack tree dapat dilihat pada Lampiran 1.
Pohon serangan pada analisis ini belum sempurna karena belum semua kemungkinan cara menyerang dipertimbangkan. Namun, tahap ini merupakan upaya pertama untuk menganalisis serangan khusus e-voting pada sistem e-voting pilkada Kota Bogor.
24
Grafik serangan pohon sistem e-voting dapat dilihat pada Gambar 7 Simpul akar dari pohon bernama Serangan e-voting adalah simpul OR dengan 2 node anak yaitu: Serangan pencurian suara dan Serangan pencabutan suara.
Grafik serangan untuk pencurian suara dan pencabutan suara secara detail dapat dilihat pada Gambar 8 dan Gambar 9.
25
26
27
4.5 Analisis Vulnerability
Analisis vulnerability sistem e-voting akan dilakukan terhadap serangan khusus e-voting berikut:
1. Serangan pencurian suara. 2. Serangan pencabutan suara.
Serangan pencurian suara
Jika sistem e-voting aman terhadap serangan pencurian suara maka dua sifat keamanan berikut harus terpenuhi: Pemilih yang tidak memenuhi syarat tidak dapat memilih dan pemilih yang memenuhi syarat tidak dapat memilih lebih dari sekali.
Serangan pencurian suara memiliki tiga kemungkinan yang dapat dilihat pada Gambar 10, yaitu:
1. Pemilih yang tidak memenuhi syarat dapat memilih.
2. Pemilih yang memenuhi syarat dapat memilih lebih dari sekali. 3. Menambah atau menghapus suara kandidat.
Pertama, analisis terhadap pemilih yang tidak memenuhi syarat (pemilih palsu) dapat memilih. Ada tiga kemungkinan pemilih palsu dapat melakukan pemilihan, yaitu:
Menggunakan mifare card orang lain (milik pemilih yang terdaftar).
Menyerang server CLA.
Menyerang koneksi koneksi antara mesin voting dan server CLA.
Dalam sistem e-voting pilkada Kota Bogor, dimungkinkan orang yang tidak berhak memilih untuk dapat melakukan pemilihan dengan menggunakan mifare card milik orang lain (pemilih yang terdaftar).
Pemilih yang tidak berhak juga dapat menyerang koneksi antara mesin voting dan server CLA dengan membuat serangan Man in the Middle, sehingga mesin voting dapat terhubung ke server CLA palsu. Untuk dapat melakukan serangan ini, langkah pertama yang harus dilakukan adalah mendapatkan password VPN, karena sistem e-voting Pilkada Kota Bogor menggunakan VPN untuk mengamankan jalur komunikasi antara mesin voting dan server CLA. Apabila password VPN telah didapatkan, maka dapat dilakukan serangan Man ini
28
the Middle dengan tujuan untuk manipulasi transaksi pemilih. Serangan Man in the Middle dilakukan dengan mengembangkan server CLA palsu dan menghubungkan mesin voting dengan server CLA palsu. Analisis vulnerability serangan ini disajikan dalam pohon serangan 1.2.
Selanjutnya penyerang dapat melakukan pemilihan apabila database server CLA dapat ditembus oleh penyerang, dimana UID dan NIK pemilih yang sah terdaftar pada database server CLA. Untuk dapat melakukan serangan terhadap database server CLA, penyerang dapat membuat kode program yang mengakibatkan fungsionalitas server CLA terganggu. Analisis vulnerability serangan ini disajikan dalam pohon serangan 1.3.
Kedua, analisis terhadap pemilih yang memenuhi syarat dapat memilih lebih dari sekali. Ada tiga kemungkinan pemilih palsu dapat melakukan pemilihan, yaitu:
Menyerang server CLA.
Menyerang koneksi koneksi antara mesin voting dan server CLA.
Menyerang mesin voting.
Analisis serangan terhadap server CLA dan serangan koneksi antara mesin voting dan server CLA telah dijelaskan pada analisis terhadap pemilih yang tidak memenuhi syarat (pemilih palsu) dapat memilih. Selanjutnya, akan dijelaskan analisis serangan terhadap mesin voting. Pada saat pemilihan, akan dicek apakah pemilih telah memberikan suara? Apabila pemilih telah melakukan pemilihan,
29 status di database mesin voting akan berubah dan aplikasi pada mesin voting tidak akan mengijinkan pemilih untuk melakukan pemilihan kembali. Oleh karena itu, agar serangan sukses penyerang membutuhkan akses ke database mesin voting untuk mempengaruhi proses yang berjalan di mesin voting. Untuk dapat melakukan serangan terhadap database mesin voting, penyerang dapat membuat kode program yang mengakibatkan fungsionalitas mesin voting terganggu. Tujuan dari serangan ini untuk mengubah status pemilih. Analisis vulnerability serangan ini disajikan dalam pohon serangan 1.4.
Ketiga, analisis terhadap serangan untuk menambah atau mengurangi suara kandidat. Kemungkinan serangan yang dapat dilakukan untuk menambah atau mengurangi suara kandidat yaitu dengan menyerang server CTF. Penyerang dapat melakukan penambahan atau pengurangan suara kandidat apabila database server CTF dapat ditembus oleh penyerang, dimana suara kandidat dari semua mesin voting dikumpulkan pada database server CTF. Untuk dapat melakukan serangan terhadap database server CTF, penyerang dapat membuat kode program yang mengakibatkan fungsionalitas server CLA terganggu.
Pencabutan suara
Jika sistem e-voting aman terhadap pencabutan suara pemilih maka sifat keamanan berikut harus terpenuhi, yaitu pemilih yang memenuhi syarat dapat melakukan pemilihan.
Kemungkinan serangan pencabutan suara dapat dilihat pada Gambar 11 yaitu pemilih yang memenuhi syarat tidak dapat memilih.
Ada dua kemungkinan pemilih yang memenuhi syarat tidak dapat memilih, yaitu:
Menyerang server CLA.
Menyerang koneksi antara mesin voting dan server CLA.
Analisis vulnerability serangan terhadap server CLA disajikan dalam pohon serangan 2.1 dan analisis vulnerability serangan koneksi antara mesin voting dan server CLA disajikan dalam pohon serangan 2.2.
Analisis serangan terhadap server CLA dan serangan koneksi antara mesin voting dan server CLA telah dijelaskan pada serangan pencurian suara.
30
Pada sistem e-voting pilkada Kota Bogor, untuk mengamankan pertukaran data antara mesin voting - server CLA dan mesin voting - server CTF menggunakan VPN PPTP. Otentikasi antara server VPN dan client VPN menggunakan password. Menurut (Eisinger 2001), serangan brute force yang dicoba dengan 65536 kombinasi berbeda dari kunci DES, 16 bit terakhir dari NT password hash bisa ditentukan.
Sistem e-voting pilkada Kota Bogor, tidak menerapkan keamanan pada database mesin voting, server CLA dan server CTF. SQL Injection merupakan salah satu masalah vulnerability dalam implementasi database. SQL Injection adalah suatu teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.
Secara kualitatif sistem e-voting pilkada Kota Bogor tidak aman untuk diimplementasikan yang digambarkan pada Lampiran 1.
31