Metroterkini.com - Belum lama ini publik dikejutkan oleh peretasan situs milik Sekretariat Kabinet dan Lembaga Ketahanan Nasional. Dua lembaga pemerintah yang bisa dibilang tidak main-main.
Para peretas seolah ingin menunjukkan bagaimana mudahnya menembus fasilitas pemerintah pusat di dunia maya. Bahkan sebelumnya situs revolusimental.go.id cukup lama tak bisa diakses pasca serangan peretas.
Selama 2015, Karspersky Lab mencatat lembaga pemerintah dan perbankan adalah sasaran utama para peretas. Bila situs perbankan diretas karena faktor materi, situs pemerintah diretas bisa karena berbagai faktor pendorong, yang paling utama adalah faktor politik dan mencari popularitas.
Anonymous misalnya, kelompok peretas ini begitu tersohor karena terlibat dalam peretasan berbau politik. Juga Julian Assange dengan Wikileaks-nya, yang membocorkan banyak kabel diplomatik Amerika Serikat dan sekutunya.
Berikut usalan beberapa penyebabnya, diantaranya:
1. Belum Memakai Secure Hosting
Pemilihan hosting provider yang kurang selektif, dapat menyebabkan sistem web menjadi sangat rentan di-deface. Jauh lebih bagus jika sistem web dihosting di infrastruktur mandiri, dalam hal ini milik pemerintah, dengan penambahan perimeter-perimeter security yang kuat. Dalam kasus peretasan situs milik pemerintah yang telah terjadi diketahui menggunakan share hosting.
Padahal shared hosting adalah tempat favorit bagi para peretas untuk melatih kemampuan. Sekuat apapun sistem web, jika berada di share hosting, maka peretas tidak akan langsung menyerang situs tersebut. Dengan shared hosting seorang peretas akan bisa mencari kelemahan terhadap sistem target.
2. Belum Menggunakan Secure Coding
OpenSource CMS seperti wordpress, joomla, drupal, memang sangat memudahkan untuk mengembangkan web. Tetapi CMS tersebut juga mempunyai banyak lubang keamanan yang sangat mudah ditembus oleh peretas.
Dalam kasus revolusimental.go.id dan setkab.go.id, hal ini diperparah dengan masih defaultnya link login untuk admin, masih dapat diakses dari internet beberapa konfigurasi dan tanpa ada filter sama sekali.
Hal ini terlihat dengan sangat mudahnya membuka halaman admin. Akan jauh lebih aman jika sistem web dibangun secara mandiri dengan memperhatikan aspek secure coding.
3. Jarang Melakukan Penetration Test
Selayaknya sebuah kendaraan bermotor yang secara berkala masuk ke bengkel, sebuah situs milik pemerintah sudah selayaknya mendapatkan penetration test. Ini adalah langkah untuk mendapatkan lubang keamanan yang ada di dalam sistem. Beberapa raksasa teknologi seperti Google, Yahoo dan Facebook berani memberikan reward yang sangat besar untuk para peretas yang berhasil menemukan lubang keamanan di sistem mereka.
4. Poor Patch Management
Setiap instansi pemerintah yang memiliki infrastruktur IT wajib melakukan patch management. Namun sebagian besar instansi pemerintah kurang mengindahkan hal ini. Inilah yang disebut sebagai poor patch management.
Para peretas ini mengincar hal-hal yang dianggap remeh oleh banyak orang, seperti mengupdate security browser, database dan aplikasi penunjang lainnya. Lewat celah keamanan ini para peretas bisa menaruh exploit, malware, mencuri informasi, merusak sistem maupun merusak reputasi instansi pemerintah lewat infrastruktur IT yang ada.
Minimal ada usaha menambahkan SSL certificate (Secured Socket Layer) untuk mengamankan transmisi data melalui situs web. Transmisi data seperti nama pengguna dan password account, serta informasi penting yang harus diamankan.
5. Kesadaran SDM Masih Kurang
Keamanan situs maupun jaringan IT instansi pemerintah sebenarnya bukan hanya tanggungjawab admin semata. Para pengambil kebijakan di tataran atas juga bertanggung jawab sejak pembangunan situs dan jaringan IT. Pemilihan developer misalnya, bila pengambil kebijakan tak paham benar mana yang aman, bisa jadi developer dengan tawaran situs bertemplate wordpress mislanya, akan menang.
Dengan template modifikasi Wordpress yang umum, celah keamanan lebih banyak dan terbuka. Bahkan di forum-forum internet peretas pemula di bagikan celah keamanan untuk banyak template, sehingga itu menjadi sasaran latihan melakukan deface sebuah situs.
Manusia sebagai pihak yang menjalankan sistem adalah kunci sejak proses perencanaannya. Oleh karena itu perlu dibangun sebuah usaha untuk meningkatkan kesadaran keamanan cyber untuk
*Penulis, Pratama Persadha adalah pegiat keamanan cyber dan kriptografi. Kini aktif sebagai Chairman CISSReC (Communication and Information System Security Research Center), lembaga riset non-profit di bidang keamanan cyber dan komunikasi. [detik]