Daftar Isi
Daftar Isi i
Daftar Gambar iii
Daftar Tabel iv
1 Pendahuluan 1
2 Apakah Hacking Statistik? 2
3 Celah Keamanan Situs Berita 2
3.1 Jumlah Pembaca Berita. . . 2
3.2 Kirim Berita Melalui Email . . . 3
3.3 Beri Komentar Pada Berita . . . 3
4 Membedakan Pengunjung Manusia dan Komputer 3 4.1 Verifikasi Gambar . . . 4
4.2 Verifikasi Suara . . . 4
4.3 Perhitungan Matematika . . . 4
4.4 Teka-teki Logika . . . 5
4.5 Verifikasi Video . . . 5
4.6 Verifikasi Gambar ASCII . . . 5
4.7 Metode yang disarankan . . . 5
5 Pengelompokan Perilaku atasi Statistik Hacking 6 5.1 Pengabaian Berdasarkan IP Address dan Waktu . . . 6
5.2 Pengabaian Berdasarkan Perilaku Serupa Secara Berulang . . . 6
5.3 Pengabaian Penyalahgunaan IP dan Domain . . . 7
6 Analisa Celah Keamanan Situs Berita Indonesia 7 6.1 Analisa Keamanan Jumlah Pembaca Berita . . . 7
6.1.1 Celah Keamanan Jumlah Pembaca Berita . . . 9
6.1.2 Solusi Keamanan Jumlah Pembaca Berita . . . 9
6.2 Kirim Berita Melalui Email . . . 10
6.2.1 Celah Keamanan Kirim Berita Melalui Email . . . 12
6.2.2 Solusi Kemananan Kirim Berita Melalui Email . . . 12
6.3.1 Celah Keamanan Beri Komentar Pada Berita . . . 15 6.3.2 Solusi Keamanan Beri Komentar Pada Berita . . . 15
7 Kesimpulan 15
Daftar Gambar
4.1 Contoh Verifikasi Gambar. . . 4
4.2 Contoh Verifikasi Gambar ASCII. . . 5
6.1 Perhitungan Jumlah Pembaca di Kompas disetiap berita. . . 7
6.2 Perhitungan Jumlah Pembaca di Republika Online disetiap berita. . 8
6.3 Berita Terpopuler di Kompas.com. . . 8
6.4 Berita Terpopuler di Republika Online. . . 9
6.5 FormKirim Berita Melalui Email Detikcom. . . 10
6.6 FormKirim Berita Melalui Email Vivanews. . . 11
6.7 FormKirim Berita Melalui Email Kompas. . . 11
6.8 Detikcom script asli. . . 12
6.9 Detikcom script setelah dimodifikasi. . . 12
6.10 Hasil spamming dengan Detikcom. . . 12
6.11 Form Beri Komentar Detikcom. . . 13
6.12 Form Beri Komentar Republika Online. . . 14
6.13 Form Beri Komentar Vivanews. . . 14
Daftar Tabel
Hacking Statistik - Eksploitasi Celah
Keamanan Situs Berita Indonesia
Yulrio Brianorman - 23509309
30 Mei 2010
Sekolah Tinggi Elektro dan Informatika - Institut Teknologi Bandung
Abstrak
Situs berita yang tersedia saat ini menyediakan berbagai layanan interaktif dengan pengunjung, diantara layanan interaktif yang disediakan adalah ko-mentar pada setiap berita dan mengirim berita ke orang lain melalui email dan menghitung jumlah yang membaca berita tersebut. Pada layanan ini ter-dapat celah keamanan yang ter-dapat dipergunakan untuk melakukan Statistics Hacking. Hal ini menyebabkan berita yang tadinya tidak popular atau jarang pengunjung menjadi naik dratis jumlah pengunjungnya. Pada paper ini akan dibahas mengenai teknik pengamanannya. Ada 2 teknik yang akan digunakan. Pertama, teknik membedakan antara manusia dan computer. Kedua, teknik pengelompokan prilaku, contohnya mengantisipasi berulangnya perintah yang sama dari pengunjung dalam jangka yang berdekatan. Studi kasus yang diam-bil adalah situs-situs berita terkenal di Indonesia.
1
Pendahuluan
Saat ini internet terus berkembang dan berusaha untuk mendapatkan pangsa pasar dari televisi, radio dan media cetak sebagai penyedia berita utama, situs-situs berita saat ini mengalami pertumbuhan yang luar biasa. Satu keuntungan dari berita inter-net yang memungkinkan perilaku yang lebih interaktif dibandingkan dengan media tradisional.
Fasilitas interaktif yang diberikan situs berita seperti memberi komentar, mengi-rim berita ke teman melalui email dan menghitung jumlah pembaca yang membaca berita tersebut bertujuan untuk mengukur minat pengunjung secara tidak langsung.
Fasilitas interaktif ini dapat menyebabkan kerentanan keamanan dalam sistem mereka. Misalkan pada situs berita Republika Online yang merupakan salah satu situs berita terkenal di Indonesia. Situs ini mengukur popularitas dari beritanya setidaknya dengan dua cara, yaitu:
1. Menghitung berapa kali berita tersebut dibaca.
2. Berapa jumlah komentar terhadap berita tersebut.
Hal ini berhubungan dengan statistik berita yang “Paling Banyak Komentar” dan “Paling Banyak di Baca”. Fasilitas yang tampaknya tidak berbahaya sering diman-faatkan oleh hacker statistik untuk mempengaruhi berita yang ditampilkan pada si-tus berita. Fasilitas yang sama juga dapat menyebabkan lonjakkan lalu lintas di in-ternet sehingga mempengaruhi aksesibilitas dari situs tersebut kepada pengunjung lain.
Permasalahan yang timbul adalah situs tidak hanya dikunjungi oleh manusia tetap juga oleh bukan manusia misalkan saja mesin atau komputer yang memiliki program untuk mengakses fasilitas interaktif tersebut. Jadi, situs perlu mekanisme yang memadai untuk membedakan pembaca manusia dari seorang pembaca bukan manusia.
2
Apakah Hacking Statistik?
Definisi dari Hacking Statistik merupakan suatu proses di mana pengguna berhasil memodifikasi sistem statistik penggunaan. Hacking statistik secara eksplisit me-ngacu kepada situasi dimana fasilitas interaktif situs dimanfaatkan oleh pengguna untuk melakukan perubahan data statistik baik dengan cara yang wajar atau tidak wajar.
3
Celah Keamanan Situs Berita
Fasilitas interaktif yang disediakan oleh situs berita dapat menjadi celah keamanan yang dapat dimanfaatkan oleh pengunjung jahat untuk mempengaruhi integritas da-ta sda-tatistik dari situs tersebut. Pada bagian ini akan dibahas fasilida-tas interaktif serda-ta kemungkinan celah keamanan yang terjadi.
3.1
Jumlah Pembaca Berita.
Untuk mengetahui berapa jumlah pembaca yang membaca setiap berita maka terda-pat fasilitas konter/penghitung berapa banyak halaman berita tersebut dibuka.
Ke-lemahan yang terjadi pada fasilitas ini biasanya adalah apabila pengunjung mela-kukan refresh pada halaman tersebut maka konter/penghitung akan bertambah terus tanpa mendeteksi apakah hal ini dilakukan oleh pengunjung yang sama.
3.2
Kirim Berita Melalui Email
Apabila pengunjung merasa berita yang dibaca menarik dan ingin mengirimkan berita tersebut ke rekannya, maka biasanya situs berita menyediakan fasilitas “Kirim Berita Melalui Email”. Fasilitas ini bisa dimanfaatkan untuk melakukan spamming melalui email, maka akan dieksplorasi apakah fasilitas ini mudah dimanfaatkan atau tidak.
3.3
Beri Komentar Pada Berita
Untuk mengukur minat pengunjung terhadap berita yang ada pada situs, situs berita menyediakan fasilitas interaktif berupa pemberian komentar terhadap berita yang ada. Fasilitas ini sering dimanfaatkan para pengunjung jahat untuk melakukan spammingyaitu isi komentar berupa promosi barang atau situs.
4
Membedakan Pengunjung Manusia dan Komputer
Hal utama yang perlindungan terhadap hacking statistik adalah situs mampu mem-bedakan manusia dari komputer (atau program perangkat lunak). Dengan meng-gunakan program perangkat lunak maka fasilitas interaktif dapat dieksekusi secara berulang-ulang dan terus menerus.
Membedakan antara manusia dan komputer adalah topik yang banyak dipela-jari, dan terkait dengan masalah terkenal Turing Test. Penerapan Turing Test untuk masalah ini adalah untuk membedakan pengunjung manusia atau mesin atau pro-gram perangkat lunak, bahwa akan sulit untuk perangkat lunak untuk merespon secara akurat untuk tes turing. Tes turing ini membuat ketidaknyamanan bagi pe-ngunjung awam atau pada umumnya, tapi merupakan alat pencegah yang efektif terhadap pengguna yang mencoba untuk melakukan tindakan yang sama beberapa kali.
Ada berbagai jenis tes Turing yang tersedia, dari yang sederhana sampai yang cukup rumit. Berikut ini akan dijelaskan secara garis besar berbagai mekanisme dan membahas keunggulan serta kelemahannya
4.1
Verifikasi Gambar
Dalam mekanisme ini, gambar yang ditampilkan berisi teks yang dikaburkan de-ngan menggunakan teknik distorsi gambar, seperti kabur, bentuk yang tidak teratur, bayangan dan segmen garis acak, kemudian pengunjung diminta untuk memasukan teks yang terdapat pada gambar. Mekanisme ini banyak digunakan oleh situs untuk membedakan manusia dan mesin. Namun algoritma Optical Character Recognition (OCR)[1] dapat menembus implementasi tes ini. Implementasi yang baru verifikasi gambar untuk melindungi terhadap algoritma OCR terbaru.
Salah satu kelemahan dari pendekatan ini adalah pengunjung yang memiliki keterbasan pada penglihatan akan mengalami kesulitan.
Gambar 4.1: Contoh Verifikasi Gambar.
4.2
Verifikasi Suara
Dalam mekanisme ini, suara yang dimainkan oleh situs web, dan pengunjung di-harapkan untuk menjawab pertanyaan pendek berdasarkan suara. Hal ini membuat perangkat lunak spamming secara signifikan menjadi lebih kompleks, karena harus menyertakan modul untuk membaca file suara, menguraikan kata-kata, dan kemu-dian kalkulasi jawabannya.
4.3
Perhitungan Matematika
Dalam mekanisme ini, web menyajikan perhitungan matematika, dan pengunjung situs diharapkan untuk menghitung jawaban dari ekspresi matematika. Sebagai con-toh, pertanyaan tantangan situs web mungkin: "Berapakah tujuh belas ditambah dua dikurang tiga belas?". Selain berbentuk kalimat ada juga yang berbentuk angka dan operator suara.
Hal ini dianggap sebagai suatu bentuk yang relatif lemah dari Turing Test, mes-kipun dalam praktek mungkin aman karena "keamanan oleh ketidakjelasan". Kele-mahan utama dari metode ini adalah kalkulator untuk menembus tes ini dapat dibuat cukup mudah untuk menerima ekspresi matematika dan beberapa elemen pengola-han bahasa alami.
4.4
Teka-teki Logika
Mekanisme ini mirip dengan perhitungan matematika, namun yang ditampilkan kepada pengunjung adalah berupa teka-teki. Sebagai contoh pertanyaan mungkin seperti ini : “Apa nama buah yang melengkung dan berwarna kuning? (Pisang)” atau “Apa nama buah yang berduri dan berwarna hijau? (Durian)”.
Bentuk tes Turing sangat rentan terhadap serangan kamus, dan teka-teki logika mungkin memiliki jumlah yang terbatas.
4.5
Verifikasi Video
Verifikasi video ini mirip dengan verifikasi suara, namun pada teknik ini video di-tampilkan kepada pengguna situs web. Setelah video, sebuah pertanyaan tantangan mungkin: "Apakah yang dibicarakan orang mengenakan baju berwarna kuning?”. Jawabannya dapat menjadi bentuk yang bebas, atau 4 pilihan disajikan kepada peng-guna.
Problem pada mekanisme ini adalah sistem operasi atau browser yang tidak bisa menampilkan video dan juga permasalahan lambatnya koneksi internet saat mengambil video dari server.
4.6
Verifikasi Gambar ASCII
Turing tes ini mirip dengan verifikasi gambar, dengan perbedaan yang menyajikan gambar menggunakan karakter ASCII, sehingga terus dapat diakses oleh pengguna menggunakan browser berbasis teks.
Gambar 4.2: Contoh Verifikasi Gambar ASCII.
4.7
Metode yang disarankan
Metode-metode yang disajikan dalam Bagian 4,1-4,6 bervariasi di tingkat keber-hasilan dalam hal membedakan manusia dari computer, serta bervariasi dalam de-rajat aksesibilitas. Pada bagian akan membandingkan metode-metode tersebut ke bentuk:
1. Kompabilitas Kultural / Intelektual
2. Kompabilitas Browser.
3. Kenyamanan.
Berikut ini tabel rangkuman kompabilitas dan aksesibilitas[2] dari metode yang sudah dijelaskan.
Metode Kultural Browser Kenyamanan
Verifikasi Gambar Ya Tidak Ya
Verifikasi Suara Tidak Tidak Tidak
Perhitungan Matematika Ya Ya Ya
Teka-teki Logika Tidak Ya Ya
Verifikasi Video Tidak Tidak Tidak
Verifikasi Gambar ASCII Ya Ya Ya
Tabel 1: Perbandingan Berbagai Metode Pembeda Manusia dan Komputer.
5
Pengelompokan Perilaku atasi Statistik Hacking
Pada bagian ini akan dibahas mengenai teknik lain untuk mencegah statistic hack-ing. Teknik yang digunakan oleh melakukan perhitungan dan analisa sehingga bisa mengabaikan perintah yang berulang dari pengunjung.
5.1
Pengabaian Berdasarkan IP Address dan Waktu
Metode ini relatif mudah untuk diterapkan. Program akan mengabaikan perilaku sama yang dilakukan oleh pengunjung dari alamat IP tertentu dan pada jangka wak-tu tertenwak-tu, misalkan 1 menit, 1 jam atau 1 hari berganwak-tung pada ketenwak-tuan yang berlaku pada aplikasi tersebut.
5.2
Pengabaian Berdasarkan Perilaku Serupa Secara Berulang
Dalam hal ini, perilaku berdasarkan pada tindakan yang dilakukan dan dampak yang terjadi, terlepas dari alamat IP dan waktu. Misalkan pada situs www.detik.com ter-dapat fasilitas mengirim berita kepada teman melalui email. Aplikasi seharusnya mendeteksi apakah proses pengriman berita tersebut ke email itu sudah pernah di-lakukan atau belum. Jika sudah maka aplikasi mengabaikan perintah pengiriman berita ke email tersebut, sehingga tidak terjadi spamming terhadap email tersebut dari situs berita.
Namun mekanisme ini bisa ditembus dengan mengirim ke email yang berbeda-beda. Jadi, sementara mekanisme ini tidak begitu baik, prinsip ini berbeda dengan pengabaian berdasarkan waktu dan alamat IP.
5.3
Pengabaian Penyalahgunaan IP dan Domain
Administrator mempunyai daftar alamat IP dan Domain yang biasa dipergunakan untuk melakukan hacking statistik. Perhitungan statistik akan diabaikan bila IP dan Domain yang digunakan terdapat dalam black list.
6
Analisa Celah Keamanan Situs Berita Indonesia
Pada bagian ini akan dibahas mengenai celah keamanan pada situs berita Indonesia. Adapun situs berita yang akan diamati celah keamanannya adalah:
1. Detikcom
2. Kompas
3. Republika Online
4. VIVAnews
Fasilitas iteraktif yang akan diamati pada 4 situs berita tersebut adalah hal-hal yang sudah disebutkan pada bagian ke-3 yaitu Jumlah Pembaca Berita, Kirim Berita Melalui Email dan Beri Komentar Pada Berita.
6.1
Analisa Keamanan Jumlah Pembaca Berita
Dari 4 situs berita yang diamati hanya ada 2 yang memiliki fasilitas interaktif ini, yaitu Kompas dan Republika Online, sedangkan Detikcom dan VIVAnews tidak memilikinya.
Gambar 6.2: Perhitungan Jumlah Pembaca di Republika Online disetiap berita.
Pada situs Kompas dan Republika Online jumlah pembaca menjadi parameter berita itu populer atau tidak, seperti terlihat pada Gambar 6.3 dan Gambar 6.4
Gambar 6.4: Berita Terpopuler di Republika Online.
6.1.1 Celah Keamanan Jumlah Pembaca Berita
Baik Republika Online dan Kompas proses perhitungan jumlah pembaca akan ber-tambah apabila pengunjung membuka halaman berita tersebut. Namun terdapat celah keamanan pada proses ini yaitu apabila pengunjung menekan tombol refresh pada browser maka perhitungan jumlah pembaca pun menjadi bertambah 1. Jika pengunjung menekannya secara berulang-ulang maka perhitungan pun tetap akan bertambah 1 sebanyak tombol refresh ditekan. Hal ini tentu menyalahi salah satu dari 3 prinsip Keamanan Informasi yaitu integritas. Sehingga berita yang tadinya tidak termasuk kedalam kategori terpopuler dengan script yang sederhana hacker statistik akan mampu mempengaruhi statistik jumlah pembaca pada berita tersebut.
6.1.2 Solusi Keamanan Jumlah Pembaca Berita
Hal yang bisa dilakukan untuk mengatasi permasalahan ini adalah melakukan ana-lisa terhadap perilaku berulang yang dilakukan oleh pengunjung, seperti yang telah dibahas pada bagian ke-5. Diantarnya yang bisa dilakukan adalah saat pengun-jung membuka halaman tersebut maka aplikasi menanamkan sebuah cookies pada browser pengunjung, waktu kadaluwarsa cookies diatur sesuai dengan kebutuhan misalkan 1 jam, 1 hari, 1 minggu sehingga jika pengunjung melakukan refresh maka aplikasi mengecek apakah masih terdapat cookies yang valid? Proses perhitungan
jumlah pembaca tidak dilakukan jika masih terdapat cookies yang valid. Namun solusi ini masih bisa diatasi dengan mematikan fasilitas cookies pada browser.
Solusi lain yang bisa dilakukan adalah menyimpan data pengunjung kedalam sebuah tabel pada database, data yang disimpan misalkan alamat IP dan waktu kunjungan. Jika pengunjung melakukan refresh maka aplikasi akan mengecek ala-mat IP dan waktu kunjung, kemudian dilakukan analisa apakah perilaku ini sesuatu yang wajar atau tidak. Jika menurut kriteria yang ditentukan ini merupakan sesuatu yang wajar maka perhitungan dilakukan. Namun metode ini memerlukan resources dan mempengaruhi performance.
Ternyata cukup sulit juga untuk mengatasi celah keamanan pada bagian ini. Na-mun setidaknya 2 solusi diatas mampu membuat sulit hacker statistik untuk mela-kukan hacking statistik.
6.2
Kirim Berita Melalui Email
Fasilitas ini berfungsi untuk mengirimkan berita yang sedang dibaca oleh pengun-jung ke email orang yang akan dikirim berita tersebut. Kirim Berita Melalui Email ini dimiliki oleh Detikcom, Vivanews dan Kompas, untuk Republika Online fasilitas ini tidak ada.
Gambar 6.6: Form Kirim Berita Melalui Email Vivanews.
6.2.1 Celah Keamanan Kirim Berita Melalui Email
Vivanews dan Kompas menggunakan captcha teks untuk membedakan pengunjung mesin atau manusia. Hal ini sudah cukup dibaik dibandingkan dengan Detikcom yang tidak melakukan verifikasi menggunakan captcha[3], meskipun jika mengacu pada penelitian Breaking a Visual CAPTCHA[4] maka captcha yang dipergunakan oleh Vivanews dan Kompas tergolong mudah untuk ditebak.
Hal menarik yang ditemukan pada fasilitas Kirim Berita Melalui Email De-tikcom karena terdapat celah keamanan yang bisa dimanfaatkan untuk melaku-kan spamming melalui fasilitas ini. Dengan melakumelaku-kan teknik copy+paste selu-ruh source code halaman form pengiriman pada Detikcom maka ditemukan sebuah scriptpengiriman sebagai berikut :
Gambar 6.8: Detikcom script asli.
Dengan sedikit menambahkan proses looping pada script tersebut seperti dibawah ini maka proses spamming dapat dilakukan.
Gambar 6.9: Detikcom script setelah dimodifikasi.
Berikut ini bukti bawah fasilitas pada Detikcom bisa dimanfaatkan untuk spam-mingke email.
Gambar 6.10: Hasil spamming dengan Detikcom.
6.2.2 Solusi Kemananan Kirim Berita Melalui Email
Langkah pertama yang dilakukan Vivanews dan Kompas adalah dengan mengganti captchayang dipergunakan agar lebih sulit untuk ditebak, sebagai referensi bisa di-gunakan captcha yang dikeluarkan oleh The Official CAPTCHA Site[3]. Untuk De-tikcom sebaiknya menambahkan captcha pada form pengiriman berita serta
mem-perbaiki script pengiriman sehingga tidak mudah untuk dipergunakan untuk proses spamming.
6.3
Beri Komentar Pada Berita
Fasilitas ini berfungsi untuk memberikan komentar pada berita yang ada. Fasilitas Beri Komentar Pada Berita dimiliki oleh seluruh situs berita Indonesia yang sedang dianalisa. Kompas dan Vivanews mengharuskan login terlebih dahulu sebelum pe-ngunjung diperkenankan untuk memberikan komentar. Jadi pepe-ngunjung diharuskan untuk registrasi jika belum menjadi anggota dari kedua situs berita tersebut.
Gambar 6.12: Form Beri Komentar Republika Online.
Gambar 6.14: Form Beri Komentar Kompas.
6.3.1 Celah Keamanan Beri Komentar Pada Berita
Celah keamanan yang ditemui dari keempat situs tersebut adalah apabila seluruh source codepada halaman form isian dikopikan ke file lain. Kemudian file tersebut diletakkan pada server lokal dan dilakukan proses pengiriman data maka server situs berita tetap memprosesnya. Hal ini bisa dimanfaatkan oleh hacker statistik untuk melakukan proses hacking statistik.
6.3.2 Solusi Keamanan Beri Komentar Pada Berita
Hal yang bisa dilakukan untuk mengatasi pengiriman komentar melalui form yang berada diluar server situs berita adalah dengan mengecek berasal dari domain mana request tersebut berasal. Jika form isian komentar tidak berasal dari domain situs berita tersebut maka server akan menolak melakukan proses penambahan data ko-mentar. Untuk Detikcom sebaiknya menambahkan captcha pada form isian beri komentar.
7
Kesimpulan
Data statistik dari sebuah berita merupakan data yang penting untuk dijaga dalam hal integritasnya. Data ini mempengaruhi tren berita yang ada pada situs tersebut. Dari ke-4 situs berita yang diamati dapat diketahui bahwa Detikcom mempunyai celah keamanan yang lebih rawan dibandingkan situs yang lainnya.
Fasilitas interaktif lainya yang bisa diamati dari situs berita ini adalah terkonek-sinya situs berita tersebut dengan berbagai situs jejaring sosial. Koneksi ini bisa dijadikan bahan pengamatan lebih lanjut untuk permasalahan hacking statistik.
Daftar Pustaka
[1] G. Mori and J. Malik, “Recognizing objects in adversarial clutter: Breaking a visual captcha,” vol. 1, 2003, p. 134.
[2] A. Arora, “Statistics hacking - exploiting vulnerabilities in news websites,” In-ternational Journal of Computer Science and Network Security, vol. 7„ no. 3„ March 2007,.
[3] “The official captcha site,” 2000, [Cited: May 2010, 17.] http://www.captcha.net.
[4] G. Mori and J. Malik, “Breaking a visual captcha,” 2003, [Cited: May 2010, 17.] http://www.cs.sfu.ca/ mori/research/gimpy/.
[5] R. Datta, J. Li, and J. Z. Wang, “Imagination: a robust image-based captcha generation system,” in MULTIMEDIA ’05: Proceedings of the 13th annual ACM international conference on Multimedia. New York, NY, USA: ACM, 2005, pp. 331–334.
