Tahap-tahap hacking - Hacking Sebagai Suatu Kejahatan

BAB II : KESIAPAN HUKUM DI INDONESIA MENGATUR

A. Hacking Sebagai Suatu Kejahatan

2. Tahap-tahap hacking

Umumnya para Cracker (hacker topi hitam) adalah opportunis. Melihat kelemahan sistem dengan mejalankan program scanner. Setelah memperoleh akses root, cracker akan menginstall pintu belakang (backdoor) dan menutup semua kelemahan umum yang ada. Seperti diketahui, umumnya berbagai perusahaan / dotcommers akan menggunakan Internet untuk : hosting web server mereka, komunikasi e-mail dan memberikan akses web / internet kepada karyawan-nya. Pemisahan jaringan Internet dan IntraNet umumnya dilakukan dengan menggunakan teknik / software Firewall dan Proxy server.62

Melihat kondisi penggunaan di atas, kelemahan sistem umumnya dapat di tembus misalnya dengan menembus mailserver external / luar yang digunakan untuk memudahkan akses ke mail keluar dari perusahaan. Selain itu, dengan menggunakan agressive-SNMP scanner & program yang memaksa SNMP community string dapat mengubah sebuah router menjadi bridge (jembatan) yang

Seorang Bogus Hacker yang aktif dalam diskusi mailing list atau rajin membuka situs-situs yang menyediakan layanan sperti itu akan memiliki lebih banya informasi mengenai kelemahan sistem operasi dan hlm. tersebut meningkatkan kemampuan Hacking nya, bahkan dapat pula meningkatkan statusnya menjadi seorang Cracker atau Hacker jika ia mempunyai kemampuan dan kemampuan mempelajari bahasa pemograman.

kemudian dapat digunakan untuk batu loncatan untuk masuk ke dalam jaringan internal perusahaan (IntraNet).

Agar Cracker terlindungi pada saat melakukan serangan, teknik cloacking (penyamaran) dilakukan dengan cara melompat dari mesin yang sebelumnya telah di compromised (ditaklukan) melalui program telnet atau rsh. Pada mesin perantara yang menggunakan Windows serangan dapat dilakukan dengan melompat dari program Wingate. Selain itu, melompat dapat dilakukan melalui perangkat proxy yang konfigurasinya kurang baik.

Setelah berhasil melompat dan memasuki sistem lain, cracker biasanya melakukan probing terhadap jaringan dan mengumpulkan informasi yang dibutuhkan. Hal ini dilakukan dengan beberapa cara, misalnya : menggunakan nslookup untuk menjalankan perintah 'ls <domain or network>' , melihat file HTML di webserver anda untuk mengidentifikasi mesin lainnya, melihat berbagai dokumen di FTP server, menghubungkan diri ke mail server dan menggunakan perintah 'expn <user>', dan mem-finger user di mesin-mesin eksternal lainnya.

Langkah selanjutnya, Cracker akan mengidentifikasi komponen jaringan yang dipercaya oleh system apa saja. Komponen jaringan tersebut biasanya mesin administrator dan server yang biasanya di anggap paling aman di jaringan. Start dengan check akses & eksport NFS ke berbagai direktori yang kritis seperti /usr/bin, /etc dan /home. Eksploitasi mesin melalui kelemahan Common Gateway Interface (CGI), dengan akses ke file /etc/hosts.allow.

Selanjutnya Cracker harus mengidentifikasi komponen jaringan yang lemah dan bisa di taklukan. Cracker bisa mengunakan program di Linux seperti ADMhack, mscan, nmap dan banyak scanner kecil lainnya. Program seperti 'ps' & 'netstat' di buat trojan (ingat cerita kuda troya? dalam cerita klasik yunani kuno) untuk menyembunyikan proses scanning. Bagi Cracker yang cukup advanced dapat mengunakan aggressive-SNMP scanning untuk men-scan peralatan dengan SNMP.

Setelah Cracker berhasil mengidentifikasi komponen jaringan yang lemah dan bisa di taklukan, maka Cracker akan menjalan program untuk menaklukan program daemon yang lemah di server. Program daemon adalah program di server yang biasanya berjalan di belakang layar (sebagai daemon / setan). Keberhasilan menaklukan program daemon ini akan memungkinkan seorang Cracker untuk memperoleh akses sebagai ‘root’ (administrator tertinggi di server). Untuk menghilangkan jejak, seorang Cracker biasanya melakukan operasi pembersihan 'clean-up‘ operation dengan cara membersihkan berbagai log file. Dan menambahkan program untuk masuk dari pintu belakang 'backdooring'. Mengganti file .rhosts di /usr/bin untuk memudahkan akses ke mesin yang di taklukan melalui rsh & csh.

Selanjutnya seorang Cracker dapat menggunakan mesin yang sudah ditaklukan untuk kepentingannya sendiri, misalnya mengambil informasi sensitif yang seharusnya tidak dibacanya; mengcracking mesin lain dengan melompat

dari mesin yang di taklukan; memasang sniffer untuk melihat / mencatat berbagai trafik / komunikasi yang lewat; bahkan bisa mematikan sistem / jaringan dengan cara menjalankan perintah ‘rm –rf / &’. Yang terakhir akan sangat fatal akibatnya karena sistem akan hancur sama sekali, terutama jika semua software di letakan di harddisk. Proses re-install seluruh sistem harus di lakukan, akan memusingkan jika hal ini dilakukan di mesin-mesin yang menjalankan misi kritis.

Dari uraian di atas bisa di jelaskan secara singkat tahap-tahap Hacking adalah seperti ini :

a. Mengumpulkan dan mempelajari informasi yang ada mengenai sistem operasi komputer atau jaringan komputer yang dipakai pada target sasaran.

b. Menyusup atau mengakses jaringan komputer target sasaran. c. Menjelajahi sistem komputer (dan mencari akses yang lebih tinggi) d. Membuat Backdoor dan menghilangkan jejak.

Hacking merupakan salah satu kegiatan yang bersifat negatif yang muncul dari hasil perkembangan teknologi. Meskipun pada awalnya Hacking memiliki tujuan mulia, yaitu untuk memperbaiki sistem keamanan yang telah dibangun dan memperkuatnya, tetapi dalam perkembangnya Hacking digunakan ntuk keperluan-keperluan lain yang bersifat merugikan. Hal ini tidak lepas dari penggunaan internet yang semakin meluas sehigga penyalahgunaan kemampuan Hacking juga mengikuti luasnya pemanfaatan internet.

Proses belajar menjadi seorang Hacker atau Cracker dalam perspektif kriminologi terutama dari teori differential association ataupun dalam perkembangannya disebut differential social organization dari Sutherland63 sudah menunjukkan bahwa orang yang belajar itu sedang mempelajari atau belajar menjadi seorang penjahat. Bagi Sutherland semua tingkah laku itu dipelajari, tidak terkecuali untuk menjadi penjahat. Jadi, dalam perspektif ini untuk menjadi penjahat di cyberspace (Cracker) harus melalui proses pembelajaran.

Dari tahapan Hacking di atas, Ada tahapan Hacking belum dapat dikategorikan sebagai kejahatan yaitu mencari dan mengumpulkan informasi target sasaran karena berusaha untuk mengetahui sesuatu bukanlah kejahatan. Mencari dan mengumpulkan informasi mengenai suatu sistem operasi yang digunakan pada sebuah perusahaan bukan merupakan kejahatan karena keingintahuan merupakan sifat yang manusiawi. Informasi adalah bebas, ia bergerak kemana saja dan hak untuk mendapat informasi merupakan hak asasi yang dijamin dengan Undang-Undang. Kebebasan informasi dan hak untuk mendapatkannya merupakan prinsip yang dipegang teguh oleh seorang Hacker. Dengan demikian, mempelajari dan mengumpulkan informasi mengenai sistem operasi komputer yang digunakan oleh target sasaran bukanlah kejahatan.

Versi pertama dari teori differential association ataupun social disorganization dari Sutherland muncul pada tahun 1939 pada bukunya yang berjudul Principles of Criminology, kemudian versi kedua muncul pada tahun 1947 dengan mengganti pengertian social disorganization dengan

differential social organization dengan mengajukan 9 (sembilan) pernyataan yang intinya adalah

Langkah Hacker setelah mengetahui sistem operasi apa yang dipakai pada target sasaran adalah menyusup atau mengakses jaringan komputer target sasaran itu. Dengan kata lain, Hacker memasuki situs orang lain tanpa izin. Hacker dengan kemampuannya dapat masuk dan berjalan-jalan dalam situs orang lain meskipun situs itu telah dilengkapi dengan sistem keamanan. Jika akan membuka sebuah situs, misalnya situs Bank BCA dengan alamat ”KlikBCA” nya, maka akan muncul tampilan yang dapat dibaca ataupun di download. Apa yang ditampilkan dalam situs Bank BCA dapatlah disebut sebagai ruang yang bisa dilihat dan dinikmati oleh pengunjung situs itu. Itulah yang dinamakan ruang publik atau ruang untuk pelayanan publik atau disebut juga ruang yang bersifat sosial.

Apabila di gambarkan bahwa sebuah situs adalah seperti sebuah rumah dengan pekarangannya, maka apa yang bisa dilihat dari luar, itulah yang bisa diberikan oleh pemilik rumah untuk dinikmati oleh orang lain sebagai perwujudan dari fungsi sosial rumah itu. Akan tetapi, apabila orang ingin masuk ke rumah itu (meskipun hanya ingin masuk tanpa maksud lain apapun), maka ia harus mendapat izin dari pemilik rumah, jika tetap nekad untuk masuk, maka ia dapat didakwa melanggar privasi orang apalagi jika diikuti dengan tindakan lain yang bersifat merugikan. Memasuki ruang privat dalam sebuah situs internet jelas-jelas dilarang karena akan menyebabkan terganggunya fungsi ruang privat itu apalagi jika diikuti dengan tindakan lanjut yang bersifat destruktif. Mengingat hal

tersebut, mala langkah kedua dari Hacking ini sudah dapat dikategorikan sebagai kejahatan.64 Apabila dimasuki dan informasi yang ada di dalamnya disebar- luaskan, maka hal tersebut akan menimbulkan kerugian yang tidak sedikit jumlahnya.

Setelah menyusup, seorang Hacker akan berusaha mencari akses tertinggi (superuser) yang memungkinkan ia melakukan apa saja di dalam sistem yang ia masuki. Pencapaian akses tertinggi tertinggi ditandai dengan diizinkannya Hacker tersebut untuk mengakses direktori akar atau root pada sistem tersebut. Menyusup saja sudah dapat dikategorikan sebagai kejahatan, apalagi sampai menjelajah dan mendapatkan akses tertinggi dari sebuah sistem serta mengambil alih fungsi administrator sistem. Tindakan tersebut akan mengacaukan sistem, menghambat kerja dan layanan publik yang diberikan target sasaran seperti yang dialami oleh korban-korban Hacker.

Jika Hacker telah selesai dengan misinya, maka ia akan meninggalkan tempat yang telah dijelajahinya, namun ia tidak akan begitu saja meninggalkan situs yang berhasil di-hack itu, tetapi biasanya ia akan memberikan kenang- kenangan kepada pemilik atau administrator sistem yang situsnya di-hack. Kenang-kenangan itu dapat berupa berubahnya tampilan-tampilan situs dengan gambar yang sama sekali lain dari aslinya atau isi situs yang telah diacak-acak

Bandingkan dengan ketentuan yang terdapat dalam Pasal 550 dan 551 KUHP. Dengan melakukan interpretasi terhadap Pasal tersebut, maka tahap Hacking yang pertama ini menurut KUHP dapat dikategorikan sebagai pelanggaran.

atau diganti dengan hal-hal lain yang tidak berkaitan dengan persoalan yang dikelola situs tersebut.

Hacker yang meninggalkan jejak/kenang-kenangan seperti itu akan dengan mudah diketahui oleh adminstrator sistem dengan melihat log file (daftar log in dan log out) yang ada pada sistem komputer itu, sehingga ada kecenderungan dari Hacker agar tidak meninggalkan jejak sama sekali, yaitu dengan menghapus semua file log dan file-file lain. Cara ini menyebabkan situs yang di-hack tidak mengeluarkan data ketika diakses atau tidak ada tampilannya sama sekali.

Dari penjelasan di atas dapat disimpulkan bahwa Hacking dilakukan melalui beberapa tahap. Tidak semua tahap dari Hacking dapat di sebut sebagai kejahatan, apabila dirinci adalah sebagai berikut :65

a. Tahap pertama dari Hacking tidak dapat disebut sebagai kejahatan karena belum dapat dikatakan ada bahaya serius yang mengancam.

b. Tahap kedua sampai dengan tahap keempat, sudah dapat disebut sebagai kejahatan :

1) Tahap kedua merupakan kejahatan yang paling ringan karena dalam tahap ini hanya bersifat masuk atau menyusup dan belum ada unsur destruktif.

Agus Raharjo, Cybercrime, pemahaman dan upaya pencegahan kejahatan berteknologi, (Bandung : Citra Aditya Bakti, 2002), hlm. 182.

2) Tahap ketiga dan keempat sudah mengandung unsur destruktif sehingga akibat yang ditimbulkan lebih buruk dibandingkan dengan tahap kedua.

Tahap kedua sampai keempat merupakan kejahatan karena oleh beberapa hal, yaitu :66

a. Memasuki ruang privat pada situs orang lain bukan lah perbuatan terpuji. Mengganggu privasi orang merupakan pelangaran terhadap hak asasi orang lain. Jika situs yang disusupi itu adalah milik sebuah instansi pemerintah yang vital, seperti militer yang menyimpan data-data penting atau rahasia bahkan sangat rahasia mengenai negara, maka masuk atau menyusup ke dalam situs itu merupakan tindakan mata-mata.

b. Menjelajahi daerah atau ruang milik orang lain tanpa izin merupakan kejahatan karena mengganggu privasi pemilik daerah itu apalagi disertai dengan tindakan destruktif, misalnya mengubah tampilan atau frontpage dari suatu situs sudah merupakan perbuatan yang mengacau ketertiban umum. Tindakan merusak milik orang lain dalam konstruksi hukum pidana sudah merupakan tindak pidana, meskipun kejadian itu membawa akibat dalam pelayanan publik di dunia maya, tetapi kerugian yang timbul dirasakan oleh orang-orang yang ada di dunia nyata.67

Ibid, hlm. 183.

Bandingkan dengan ketentuan pidana yang terdapat dalam Pasal 154 KUHP mengenai kejahatan terhadap ketertiban umum dan Pasal 406-412 KUHP tentang penghancuran atau perusakan barang.

c. Tindakan Cracker yang berusaha untuk mendapatkan akses yang lebih tinggi (superuser) merupakan tindakan yang dapat dikategorikan sebagai tindakan pengambil alihan kekuasaan (kudeta) terhadap kekuasaan yang hanya dimiliki terutama oleh administrator sistem. Dengan menjadi superuser berarti Cracker menjadi penguasa jaringan komputer atau situs yang dimasukinya itu.

d. Meninggalkan tempat yang telah dimasuki apalagi disertai dengan tindakan menghapus log file atau data-data penting lain dalam usaha menghilangkan jejak menunjukkan tindakan yang dilakukan Cracker merupakan tindakan tidak bertanggung jawab.

Dari uraian tersebut di atas dapat disimpulkan bahwa untuk menentukan apakah Hacking merupakan kejahatan atau bukan, maka harus dilihat dengan menggunakan pendekatan atau perspektif yang telah ditentukan secara umum. Penetapan suatu perbuatan sebagai kejahatan atau bukan merupakan kewenangan dari pembentuk Undang-Undang, dalam hal ini Pemerintah dan Dewan Perwakilan Rakyat (DPR). Crime is any act that lawmakers designate as ”court- punishable behaviour”.68

Dalam perspektif teori realitas sosial kejahatan, apa yang dilakukan oleh beberapa negara (termasuk Indonesia) dengan mengkategorikan atau menentukan Hacking sebagai kejahatan merupakan definisi hukum yang diciptakan oleh alat-

James Levin, et.al.; Criminal Justice A Public Policy Approach, Harcourt Brace Jovanovich, New York, 1980, hlm. 63-64.

alat kelas dominan di dalam masyarakat yang secara politis terorganisasi. Tindakan ini dilakukan karena Hacking sebagai kejahatan adalah pemerintah atau negara dan perusahaan atau pengusaha yang mempunyai kepentingan dan pengharapan yang besar terhadap teknologi informasi.

Dengan demikian, Hacking bukanlah kejahatan yang melekat pada perilaku, melainkan lebih merupakan suatu penilaian yang dibuat oleh pihak- pihak terhadap tindakan itu. Penentuan Hacking sebagai kejahatan merupakan proses dinamika kelas (pengusaha dan negara) yang memuncak dalam penentuan Cracker dan perilaku Hacking sebagai kejahatan. Formulasi kejahatan terhadap Hacking merupakan manifestasi dari konflik kelas antara pemerintah dan pengusaha (sebagai kelas dominan yang memanfaatkan internet untuk mendapatkan keuntungan) dan para Cracker yang mendasarkan diri pada hak asasinya untuk mendapatkan informasi sebagaimana yang tercermin dalam Declaration of Independence of Cyberspace dan Manifesto Hacker.

3. Hacking terhadap bank

Apabila sebuah bank sudah mulai terhubung dengan jaringan internet, maka resiko dibobol oleh para hacker sangat besar sekali, tinggal tergantung bagaimana sistem keamanan dari bank tersebut dapat menghalau serangan dari para hacker yang setiap saat mengintai dan mencoba menerobos sistem keamanan bank tersebut. Di samping itu dengan terhubungnya ke jaringan internet, maka

sebuah bank akan dapat melayani transaksi nasabahnya dengan cepat dan mudah. Sasaran para hacker untuk membobol sebuah bank adalah dengan melihat dan memantau layanan yang setiap saat ramai di dunia siber, salah satunya adalah layanan internet banking dari sebuah bank.69 Dalam melakukan transaksi, bank sangat mengedepankan aspek kemudahan, fleksibilitas, efisiensi dan kesederhanaan. Bank-bank bersaing untuk memanjakan para nasabahnya dengan layanan yang mudah dan diharapkan memuaskan sehingga dapat menarik dana dari masyarakat sebanyak-banyaknya. Hasil dari revolusi informasi ini adalah ditemukannya sebuah konsep baru yang disebut internet banking.70 Oleh karena itu kehadiran layanan internet banking sebagai media alternatif dalam memberikan kemudahan-kemudahan bagi nasabah suatu bank sepertinya menjadi solusi yang cukup efektif. Hal ini tidak terlepas dari kelebihan-kelebihan yang dimiliki internet itu sendiri, dimana seseorang ketika ingin melakukan transaksi melalui layanan internet banking dapat melakukannya dimana dan kapan saja.

Tujuan yang ingin dicapai suatu bank ketika memperluas layanan jasanya melalui internet banking, yaitu :71

Secara konseptual, lembaga keuangan bank dalam menawarkan layanan internet banking dilakukan melalui dua jalan, yaitu pertama melalui bank konvensional (an existing bank) dengan representasi kantor secara fisik menetapkan suatu website dan menawarkan layanan internet banking pada nasabahnya dan hlm. ini merupakan penyerahan secara tradisional. Kedua, suatu bank mungkin mendirikan suatu virtual, cabang atau internet bank. Lihat Budi Agus Riswandi, Aspek Hukum Internet

Banking, (Jakarta : Raja Grafindo Persada, 2005), hlm. 21.

Istilah ini dikenal juga dengan sebutan cyberbanking, electric banking, virtual banking, home

banking dan online banking. Lihat Efraim Turban, et.el, Electronic Commerce A Manajerial Perspektive (New Jersey : Prentice-Hlm.l. Inc, 2000), hlm. 173.

Juergen Seitz dan Eberhard Stickel, Internet Banking: An Overview,

a. Produk-produk yang kompleks dari bank dapat ditawarkan dalam kualitas yang ekuivalen dengan biaya yang murah dan potensi nasabah yang lebih besar.

b. Dapat melakukan hubungan di setiap tempat dan kapan saja baik pada waktu siang maupun malam.

Banyak bank nasional kini menawarkan layanan jasa dan fasilitas melalui media elektronik, seperti melalui fasilitas telepon, personal komputer dan media elektronik lainnya. Tipe layanan jasa perbankan yang menggunakan media elektronik/web, yaitu:72

a. Informational Web

Pada tingkatan ini, layanan internet banking dapat ditetapkan melalui bank atau pihak ketiga. Meskipun resiko relatif rendah, server dan website sangat mudah diserang oleh para hacker untuk diubah (vulnerable to alternation).

b. Transactional Web

Pada tingkatan ini, nasabah dibolehkan mengeksekusi transaksi dengan resiko yang cukup tinggi, transaksi nasabah dapat berupa membuka dan mengakses rekening, membeli produk jasa, mengajukan pinjaman, pembayaran dan transfer dana. Hal seperti ini mengantarkan risiko yang sangat besar bagi informasi nasabah.

Comptroller’s Corporate Manual, The Internet and The National Bank Charter, Washington DC, Januari 2001, hlm. 5-6.

c. Wireless

Teknologi ini mengizinkan bank untuk menawarkan kepada nasabah mengenai produk dan jasa baru dengan cara mengembangkan channel yang lain.

d. PC Banking

Pada tingkatan ini membolehkan interaksi antara sistem bank dan nasabah. Tipe ini menyediakan pengembangan channel secara tertutup melalui telepon, home banking. Karena server ini menerobos dalam jaringan internal bank, resikonya sangat tinggi dalam transaksi.

Menurut The Office of the Comptroller of the Currency (OCC) ditemukan beberapa kategori resiko yang ada dalam penyelenggaraan layanan internet banking, yaitu:73

a. Resiko kredit (credit risk)

b. Resiko suku bunga (interest rate risk) c. Resiko likuiditas (liquidity risk) d. Resiko transaksi (transaction risk) e. Resiko komplain (complain risk) f. Resiko reputasi (reputation risk)

Dalam dokumen Peran Polri Dalam Penanggulangan Kejahatan Hacking Terhadap Bank (Halaman 60-73)