Indonesian Government
http://www.th0r.info
Wacana pemblokiran situs porno kembali bergaung. Kali ini topik tersebut dibahas
langsung oleh Menteri Komunikasi dan Informatika (MenKomInfo) Prof. Ir. Mohammad
Nuh DEA, yang nampaknya sudah sangat siap dengan langkah-langkah teknis
rincinya. Apakah langkah tersebut akan efektif mengingat begitu deras dan kuatnya
cengkeraman arus ”informasi” sejenis ini?
Lontaran wacana Menkominfo dimulai dengan potensi loncatan jumlah pengguna
Internet di Indonesia yang diperkirakan akan mencapai angka peningkatan 100%,
yakni dari 25 juta menjadi 50 juta pengguna. Namun Menteri punya syarat tertentu
agar lonjakan tersebut tidak mengguncang masyarakat dengan menyatakan bahwa
situs-situs penyedia informasi pornografi di Indonesia akan dibuat gulung tikar
(http://kompas.com/entertainment/read.php?cnt=.xml.
2008.03.21.17010887&channel=1&mn=101&idx=109).
MenKomInfo menyatakan bahwa pihaknya akan merealisasikan hal tersebut dengan
menggunakan sistem pemblokiran di tiga level, yakni level masyarakat, level software,
dan level Internet Support Provider (ISP). Ketiga level ini akan dituntaskan pada bulan
April atau Mei tahun ini. Namun apakah bisa semudah itu direalisasikan?
Lima Besar
Proses pemblokiran pada level masyarakat misalnya, Prof. Mohammad Nuh
sendiri dan diharapkan masyarakat sendiri memutuskan untuk tidak mengakses
situs-situs porno di Internet. Namun demikian, kenyataan yang kita hadapi saat ini sungguh
sulit untuk membuat kita mengatakan bahwa himbauan ini akan benar-benar didengar
oleh masyarakat.
Kenyataan nya memang hal yang paling laris di Internet saat ini adalah pornografi dan
warez (barang hasil pembajakan). Bagaimana tidak? Apabila kita melakukan sedikit
penelitian dan pergi ke situs-situs yang membantu kita mengetahui jumlah
pengunjung sebuah situs dan asal pengunjung tersebut seperti Alexa.com, kita akan
bisa melihat bahwa peringkat 5 besar untuk situs Indonesia yang paling banyak
mendapatkan akses dari Indonesia, 3 di antaranya adalah situs pornografi dan/atau
setidaknya mengandung unsur pornografi. Hal ini mengindikasikan bahwa jumlah
pengunjung situs pornografi di Indonesia itu sendiri memang sangat banyak,
mungkinkah mereka semua dihentikan secara total dan seketika?
Distribusi
Sedangkan pada proses pemblokiran level kedua, yakni yang menggunakan sebuah
software atau piranti lunak yang melakukan pemblokiran situs porno, apakah distribusi
piranti lunak tersebut akan mencakup seluruh warnet atau malah individu di
Indonesia? Memang mungkin hal ini akan dapat sedikit banyak mengurangi
pengunjung situs pornografi, namun jumlah peranti lunak yang telah di-hack oleh para
hacker pun jumlahnya hampir menyamai (atau malah sudah) menyamai jumlah piranti
lunak itu sendiri. Sekiranya, hal teknis apakah yang akan Depkominfo lakukan untuk
Pada dasarnya proses pemblokiran pada level kedua dan ketiga, yang akan
melibatkan ISP, tidak begitu berbeda. Hanya saja memang pemblokiran yang
bekerjasama dengan pihak ISP akan mencakup pengguna Internet yang lebih luas.
Namun sudah cukupkah persiapan pengamanan pada tingkat ini? Sudahkah mereka
menyadari betapa rumitnya pekerjaan mereka?
Ok! Dengan semangat menyumbang saran berdasarkan pengalaman sehari-hari,
mari kita gambarkan sedikit kerumitan yang akan mereka hadapi tersebut.
Studi Kasus: Google Hacking
Tidak usah terlalu muluk atau sulit-sulit. Mari kita bayangkan skenario ini: Seseorang
memiliki sebuah komputer yang sudah memiliki peranti lunak dan terhubung ke ISP
yang telah melakukan pemblokiran terhadap segala hal yang berbau pornografi di
Internet. Lantas seseorang menggunakan komputer dan jaringan Internet milik
komputer tersebut untuk mengakses situs translator bahasa seperti milik Google yang
tersedia di http://www.google.com/translate_t. Peranti lunak dan/atau ISP akan
mendeteksi koneksi ke situs Google dan IP (Internet Protocol) milik Google itu sendiri.
Padahal, sebenarnya link tersebut bisa saja merupakan situs ”bikinan” orang yang
bisa berisi apa saja, termasuk pornografi. Bagaimana caranya?
Dengan menggunakan bantuan Google (sebagai perisai), seseorang dapat saja
berpura-pura melakukan translate bahasa terhadap suatu situs porno. Namun apabila
mereka melakukan pengaturan bahasa yang salah, misalnya translate dari bahasa
Inggris ke Spanyol, padahal bahasa asli situs tersebut adalah Indonesia, maka tidak
utuh dan memberikan seseorang akses penuh seperti mereka membuka situs itu
sendiri.
Tampilan situs http://www.th0r.info yang diambil melalui Google Translate
Katakanlah memang piranti lunak ataupun konsep yang dibuat oleh pihak ISP
melakukan blokir secara manual dengan mengenali alamat situs yang dituliskan pada
URL bar di atas, sehingga selama ada kata kunci nama situs tertentu maka tetap tidak
akan bisa terbuka walaupun itu berasal dari Google sekalipun. Seorang yang mau
melakukan pemikiran kecil akan dapat mengatasinya, bagaimana dengan translator
Tampilan situs http://www.th0r.info diambil melalui http://www.babelfish.altavista.com
Bagaimana dengan yang satu ini? Hal ini akan membuat seorang pengakses situs
porno tidak perlu melakukan kontak atau hubungan sama sekali dengan situs porno
itu sendiri. Akankah piranti lunak atau proses pemblokiran pada level ISP tersebut
menghentikan hal ini?
Tentu ini bukanlah sebuah hal yang rumit atau besar, dan bukan satu-satunya. Masih
banyak orang di luar sana yang memiliki teknik pembobolan tertentu terhadap sistem
pemblokiran sejenis ini. Akankah kita benar-benar membuat bangkrut atau gulung
tikar seluruh situs porno Indonesia? Ataukah kita akan mencoba memblokir mereka
dengan catatan melakukan pemblokiran secara menyeluruh terhadap Google, dan
perusahaan besar di dunia Internet lainnya? Atau malah Indonesia akan mencoba
memerangi akses situs pornografi di Internet dengan terpaksa meniadakan Internet?
Pro dan kontra terhadap keputusan MenKomInfo tersebut pun tidak dapat dihindari,
apalagi mengingat bahwa keputusan penutupan situs sharing video terbesar di dunia
http://www.youtube.com menyusul tepat setelah keputusan pemblokiran situs porno
ini dinyatakan. Berbagai kritik, saran, masukan dan diskusi pun terjadi di berbagai
forum online di Indonesia menanggapi hal ini, namun demikian tindakan extreme dari
para ’malicious guys’ atau yang biasa dikenal dengan nama dedemit maya tetap
harus menjadi suatu hal tambahan yang harus dihadapi pemerintah, khususnya
depkominfo.
Hanya selang beberapa hari saja sesudah keputusan pemblokiran situs pornografi
tersebut, situs depkominfo pun menjadi mangsa tindakan iseng namun nekat para
dedemit maya ini. Foto hasil modifikasi dengan wajah pakar telematika KRMT Roy
Tampilan situs http://www.depkominfo.go.id pada saat di deface
Hal ini ternyata menjadi magnet tersendiri bagi segenap pengguna Internet diseluruh
Indonesia, panel-panel diskusi online pun semakin banyak bermunculan; tentu
dengan bahasan penyerangan terhadap situs DepKomInfo ini. Hal tersebut
seolah-olah membuat para pengguna Internet yang sebelum nya menunjukan protes
terhadap keputusan blokir situs porno menjadi lupa akan tujuan protes mereka yang
sebenarny. Bahkan sangat disayangkan karena memang ada beberapa buah situs
yang tidak memiliki hubungan apapun, baik dengan pemerintah maupun DepKomInfo
secara khusus, tetap menjadi sasaran para dedemit maya ini.
Sebagai seorang korban yang gambar wajahnya dipajang di halaman depan situs
DepKomInfo, pakar telematika KRMT Roy Suryo sempat mengatakan kepada media
bahkan dia mengatakan bahwa dirinya telah menemukan sang pelaku dan/atau cara
yang mereka gunakan. Namun demikian Roy Suryo mengatakan bahwa dirinya belum
bisa mengatakan lebih rinci mengenai perihal tersebut.
How to Deface
Apabila KRMT Roy Suryo sibuk dengan berbagai tindak pelacakan dan penyelidikan
sehubungan dengan pelaku tindak defacement terhadap situs DepKomInfo, maka
kebanyakan pengguna Internet di Indonesia justru membuka berbagai panel diskusi
online membahas mengenai tata cara yang sang penyerang lakukan untuk dapat
masuk ke dalam situs tersebut. Banyak jawaban bermunculan, namun demikian
apakah jawaban-jawaban tersebut memang benar adanya? Lantas siapa sih pelaku
tindak defacement situs DepKomInfo itu sendiri? Apakah mungkin terlacak? Mari kita
diskusikan sedikit di sini.
Tentu segenap pembaca sudah tahu apabila situs daripada DepKomInfo adalah
http://www.depkominfo.go.id dan disana terdapat sebuah portal yang menyediakan
berbagai informasi sehubungan dengan departemen negara yang membahas
mengenai teknologi komunikasi dan informasi ini; termasuk diantaranya berbagai hal
sehubungan dengan ketentuan yang dicetuskan oleh Prof. Ir. Mohammad Nuh DEA
selaku Menteri Komunikasi dan Informatika, seperti link download piranti lunak
pencegah akses situs porno.
Situsnya terlihat cukup kokoh dan simpel, bahkan tampilan simpel namun teratur itu
justru memberikan kesan profesional yang lebih kepada situs yang sudah berusia
lebih dari 3 tahun ini – Namun demikian apakah situs ini aman dari ancaman
Pada dasarnya situs http://www.depkominfo.go.id ini memiliki cukup banyak celah
keamanan dan kebanyakan dari celah keamanan tersebut bersifat kritikal dan
berbahaya. Beberapa jenis celah keamanan berbasis Web Application yang ada pada
situs DepKomInfo tersebut antara lain adalah SQL Injection, Cross-site Scripting
(XSS) dan/atau Cross-site Request Forgery (CSRF). Berikut adalah salah satu contoh
celah keamanan yang sudah cukup banyak diketahui khalayak umum.
Halaman login situs http://www.depkominfo.go.id bagian e-Commerce
Dengan melakukan sebuah jenis serangan yang bernama SQL Injection (Dimana hal
tersebut tidak akan dijelaskan disini), maka seseorang dapat dengan mudah
daripada situs http://www.depkominfo.go.id yang memang berada dibawah naungan
departemen komunikasi dan informatika. Berikut adalah contoh login dengan
memanfaatkan tehnik penyerangan sejenis ini:
Halaman Administrator http://www.depkominfo.go.id bagian e-Commerce
Selain tehnik yang bernama SQL Injection pun ternyata tehnik bernama Cross-site
Scripting (XSS) yang juga merupakan sebuah tehnik yang paling banyak ditemukan di
berbagai situs di dunia, juga dapat ditemukan di dalam situs
Auto download Virus%20Neh.rar dari http://www.th0r.info
Tidak memasang filter terhadap kode-kode baik HTML maupun JavaScript pada
kolum-kolum dinamik pada situs DepKomInfo ternyata mampu menimbulkan celah
keamanan yang terbilang berkelas cukup kritikal juga. Bagaimana tidak, seorang
pemilik warnet dan/atau orang yang berkepentingan untuk mendownload program anti
konten pornografi dari situs tersebut misalnya, bisa saja mereka justru melakukan
download terhadap program dan/atau menjalankan kode merugikan yang tidak
diketahui dari mana asal usulnya.
Lebih dari itu, selain bisa tertipu dengan auto-download file seperti pada contoh
diatas, bisa saja para pengunjung situs tersebut malahan di”paksa” melakukan suatu
Tampilan situs http://www.th0r.info yang diambil melalui http://www.depkominfo.go.id
Gambar diatas menunjukan pada kita bahwa kita dapat membuka iframe halaman
situs http://www.th0r.info melalui http://www.depkominfo.go.id – Tentu hal ini tidak
begitu kritikal apabila kita melihatnya dari sisi yang seperti ini, namun bagaimana
apabila seorang pengunjung situs DepKomInfo dibuat membuka sebuah situs
pornografi padahal dia tidak bermaksud membukanya? Bahkan mungkin saja orang
itu membuka halaman tersebut dari warnet.
Hal tersebut mungkin masih bisa dianggap enteng atau sebelah mata, namun
bagaimana kalau sang penyerang telah sedemikian rupa menyiapkan link ke sebuah
URL yang apabila di buka akan membuat sang pembuka menuju kesebuah halaman
Karena kode kecil bisa terjadi salah paham yang besar bukan? Hal seperti ini biasa
saya sebut sebagai fenomena 1-Click to Jail (http://th0r.info/?p=82).
Kira-kira demikian lah beberapa celah keamanan yang dapat kita temukan hanya
dengan melihat sepintas pada situs http://www.depkominfo.go.id, saya rasa masih
banyak hal lain yang juga tak kalah penting dan harus dicermati sama atau bahkan
lebih daripada celah-celah seperti ini. Ok, sekarang bagaimana dengan pelakunya?
Saya memang bukan seorang ahli penyelidikan kasus seperti ini, apalagi dengan
akses terbatas ke situs DepKomInfo itu sendiri, namun demikian saya pribadi sempat
menemukan beberapa daripada celah-celah keamanan ini yang memang telah
didiskusikan secara publik, bahkan jauh sebelum terjadinya kasus defacement di situs
http://www.depkominfo.go.id – Apakah benar ada 1 orang yang melakukan tindakan
itu? Sebab kemungkinan yang masuk dan mencoba saja ada puluhan.
Memang benar, mencoba masuk tanpa memberitahukan segala sesuatunya kepada
yang empunya system adalah suatu tindakan yang tidak bisa dibenarkan, namun lain
halnya apabila perihal mengenai celah keamanan ini sudah diberitahukan
sebelumnya kepada yang bersangkutan. Kenyataan nya memang beberapa instansi
terkait khususnya yang berkenaan langsung dengan pemerintah, kerapkali tidak
menanggapi hal ini. Pengalaman pribadi saya adalah pada saat memberikan
informasi mengenai celah keamanan pada PT. Telkom dan http://www.register.net.id
yang mana email nya bahkan tidak dibalas sampai lebih dari 6 bulan (Dengan catatan
mengirimkan beberapa email dan tidak hanya sebuah).
Alangkah baiknya apabila pemikiran mengenai ”Celah Besar” dan ”Celah Kecil”
bidang keamanan informasi bisa saja menjadi sangat besar walaupun berawal hanya
dari kesalahan yang paling kecil sekalipun.
Domain *.id (In)Security
Selain situs http://www.depkominfo.go.id yang baru-baru ini mendapatkan serangan
dalam bentuk defacement, anak organisasi Departemen Komunikasi dan Informatika
inipun ternyata memiliki celah yang cukup kritikal. Hal tersebut menjadi jauh lebih
perlu kritikal mengingat anak organisasi ini adalah http://www.register.net.id,
satu-satunya organisasi penyedia jasa layanan daftar domain *.id milik Indonesia.
Jelas bagi mereka yang sudah lama bermain di dunia Internet, nama PANDI bukan
lah sebuah nama yang asing. Ya! Organisasi pengelolaan domain *.id atau yang
biasa dikenal juga dengan nama PANDI merupakan organisasi pengelola situs
https://www.register.net.id. Melalui situs tersebut anda dapat menemukan banyak
jenis domain *.id seperti *.co.id yang diperuntukan bagi sebuah perusahaan, *.ac.id
yang diperuntukan bagi berbagai instansi yang terkait dengan pendidikan, *.web.id
yang diperuntukan bagi mereka yang menginginkan situs untuk kepentingan pribadi
Tampilan situs http://www.register.net.id
Situs register.net.id ini sendiri merupakan sebuah situs resmi pengelolaan domain *.id
satu-satu nya yang berada dibawah pengawasan serta pengelolaan pihak
Departemen Komunikasi dan Informatika Republik Indonesia, Direktorat Perangkat
Lunak dan Konten.
Hal ini lah yang memberikan saya asumsi bahwa situs http://www.register.net.id ini
merupakan anak organisasi secara langsung maupun tidak langsung dari
DepKomInfo – Sebelumnya saya mohon maaf apabila asumsi saya salah.
Celah Keamanan
Walaupun dapat dikatakan sebagai yang terbesar dan/atau satu-satunya di Indonesia
yang wajib mengelola domain *.id ternyata http://www.register.net.id pun tidak luput
Register.net.id sempat dikejutkan dengan penemuan celah keamanan berupa
Cross-site Scripting (XSS) pada halaman aplikasi Whois mereka; sebuah celah yang
memungkinkan seorang pemilik domain *.id memasang jebakan berupa kode pencuri
data pribadi seperti password dan informasi penting lainnya kepada siapapun yang
melakukan Whois ke domain miliknya. Maka kali ini mereka harus menerima
kenyataan lagi bahwa segala aplikasi dan fitur yang mereka berikan kepada setiap
pemilik domain *.id justru dapat dimanfaatkan untuk melakukan sebuah tindak
kriminalitas paling berbahaya dan merugikan, yakni Identity Theft (Pencurian
Identitas).
Merupakan sebuah kenyataan yang telah diketahui cukup banyak orang, bahwa untuk
dapat melakukan pendaftaran domain *.id seorang pendaftar harus mengisi sebuah
formulir pendaftaran secara online. Setelah melakukan pendaftaran tersebut, seorang
pendaftar harus melengkapi proses pendaftaran mereka dengan melakukan upload
beberapa hasil pemindaian (scanning) dokumen penting seperti NPWP, KTP, SIUP,
SIM, dan berbagai dokumen lainnya ke dalam situs register.net.id. Data yang ada
pada formulir pendaftaran dan pada hasil pemindaian tersebut kemudian akan
dicocokan oleh pihak register.net.id – Hal inilah yang akan menjadi salah satu faktor
penting lulus atau tidaknya sebuah proses pendaftaran domain *.id.
Namun apa yang akan terjadi apabila dengan melakukan sedikit manipulasi yang
bahkan seorang awam bisa lakukan, berbagai dokumen penting yang telah di upload
oleh setiap daripada pemilik domain *.id itu ditampilkan secara bebas? Bukankah hal
ini akan membuka sebuah jalan besar bagi setiap pencuri identitas untuk melakukan
misi mereka? Masih ingat kah kita dengan kasus pencurian identitas yang dilakukan
Terlebih lagi, mereka hanya memerlukan sebuah web browser dan user id di situs
register.net.it, suatu hal yang dapat dimiliki oleh siapapun di dunia ini secara bebas.
Hal inipun tentu akan sulit untuk ditindak lanjuti.
Tampilan berbagai dokumen penting yang dapat diakses bebas melalui http://www.register.net.id
Data yang seorang pencuri dapatkan kemudian bisa dijual, maupun dimanfaatkan
lebih lanjut untuk melakukan berbagai tindak kriminalitas. Tentu kita tidak lupa bahwa
pendaftaran kartu kredit seperti milik Bank Mega hanya membutuhkan KTP untuk
menyelesaikan pendaftaran nya, belum lagi kemungkinan permintaan cetak ulang
kartu ATM di beberapa bank di Indonesia yang juga hanya meminta KTP sebagai
tanda pengenal, dan berbagai kemungkinan tindak kriminal lainnya yang tentu akan
sangat merugikan sang pemilik identitas yang asli.
Selain dapat digunakan untuk melakukan berbagai tindak kriminalitas serius seperti
pendaftaran dan data yang terdapat pada hasil pemindaian KTP itu ternyata adalah
data yang telah dicuri dari register.net.id itu sendiri dan di modifikasi sedikit saja, akan
kah pihak register.net.id melakukan validasi kebenaran kepemilikan KTP dan/atau
diskusi dan ajang ’buka-bukaan’ para dedemit cyber? Bukankah hal itu akan cukup
menyulitkan?
Celah Lainnya
Selain celah keamanan yang membuat orang dapat mencuri identitas orang lain
seperti ini, ternyata http://www.register.net.id juga menghadapi beberapa celah
• Illegal Documents Deletion yang memungkinkan seorang penyerang
melakukan penghapusan data dan/atau dokumen penting pemilik website *.id
yang terdaftar di situs tersebut. Walaupun tidak kritikal, namun hal ini cukup
merepotkan.
• Illegal Personal Information Listing yang memungkinkan seorang penyerang
melakukan pendataan secara terperinci berbagai informasi seorang pemilik
situs berakhiran *.id – Alamat rumah, nomor telepon dan berbagai informasi
pribadi lainnya dapat diakses dengan menggunakan celah yang terdapat pada
situs tersebut.
Memang berbagai celah keamanan di situs http://www.register.net.id tersebut telah di
tutup oleh pihak yang bersangkutan. Akan tetapi, butuh waktu lebih dari 8 bulan bagi
mereka untuk dapat menyadari celah keamanan tersebut dan arti penting
penyelesaian nya – Itupun setelah Administrator mereka melihat bentuk publikasi
celah keamanan mereka secara konsepsional di Blog pribadi saya dan rekan riset
saya (Contoh: http://th0r.info/?p=83).
Thanks to:
- Mr. Riyogarta (http://www.riyogarta.com) atas kesediaan nya dalam membantu
- Zoiz (http://www.zoiz.web.id) selaku rekan riset saya selama ini dalam berbagai
hal sehubungan dengan celah-celah keamanan yang bersangkutan dengan
Indonesia.
- My beloved one, whose presence has rendered me a prince among men.
- Dan segenap orang yang membantu dalam proses terwujudnya WhitePaper
singkat ini, baik secara langsung maupun tidak langsung (Andrew, Bob, Jeffry,