Kasus Pembajakan Situs "presidensby.info"

Berita
TIMES.CO.ID, Jakatrta -
Pelaku pembajak website presidensby.info milik Presiden Susilo Bambang Yudhoyono berhasil disergap tim penyidik Bareskrim Mabes Polri. Pelaku yang berhasil mengubah tampilan website tersebut ditangkap di tempat persembunyiannya di Jember, Jawa Timur.
"Dari hasil penyelidikan, pelaku berada di Jember, di dalam warnet yang sedang online, jadi langsung kita tangkap," kata Direktur II Tindak Pidana Ekonomi Khusus Polri, Brigjend Pol Arief Sulistyo di gedung PTIK, Jakarta, Selasa (29/1).
Dijelaskannya, pelaku yang bernama Wildan, 22, ditangkap pada Jumat lalu. Pelaku selama ini bekerja di bidang usaha penjualan sparepart komputer di CV Suryatama,Jember. "Pelaku belajar komputer secara otodidak dan motifnya iseng saja," kata Arif. Ditambahkannya, untuk mengembangkan kasus tersebut, penyidk telah memeriksa lima saksi yang terkait dalam kasus tersebut.
"Lima saksi diperiksa, semua bukti-bukti di sita, termasuk dua CPU, dan pelaku sudah ditahan, di Rutan Bareskirim Polri," kata Arief. Pelaku akan dojerat dengan pasal 22 huruf b UU 36 tahun 1999 tentang telekomunikasi dan pasal 30 ayat 1,2,3 junto pasal 32 ayat 1 UU No.11 Tahun 2008 tentang ITE.
Seperti diketahui, website presidensby.info dirubah dengan cara ditampilkan latar belakang hitam dengan tulisan warna hijau di bagian atas yang bertuliskan "Hacked by MJL007". Sedangkan dibawahnya ditulis "Jemberhacker team" warna putih dan "This is a payback from member hacker team".


Cara Meretas

Situs resmi presiden SBY (presidensby.info). Situs ini dibajak pada 9 Januari 2013 dan pembajak resmi ditangkap pada 25 Januari 2013. Pembajak situs presidensby.info diketahui bernama Wildan (22 tahun). Pelaku selama ini bekerja di bidang usaha penjualan sparepart komputer di CV Suryatama,Jember. Diketahui pelaku belajar komputer secara otodidak dan hanya bermotif “iseng saja”.
Kasus ini merupakan contoh kasus Hijacking. Pelaku menerobos masuk ke situs ini, mengambil alih situs ini beberapa saat dan melakukan perubahan dalam situs ini. Memang dalam pengertiannya, Hijacking menjurus pada sebuah pembajakan yang begitu jahat sampai pada titik pencurian informasi atau merusak sebuah sistem. Tapi disini disampaikan pelaku berhasil masuk ke database situs ini. Jadi bisa jadi pelaku bisa saja mengambil berbagai macam informasi penting atau benar-benar merusak konten-konten disitus ini.

Inilah rangkuman cara Wildan meretas situs pribadi Presiden SBY:
  1.  SQL Injection atau Injeksi SQL – Wildan menggunakan teknologi ini untuk mendapatkan akses database dari situs www.jatirejanetwork.com dengan IP address 210.247.249.58.
  2.  Backdoor Tool – Dengan menggunakan software wso.php (web sell by orb), Wildan berhasil menerobos sistem keamanan www.techscape.co.id dan membuat backdoor akses.
  3.  Linux Command – Wildan menggunakan command linux : cat/home/tech/www/my/configuration/.php, untuk mengambil data-data username dan kata kunci dari basis data WHMCS.
  4. WHMKiller – Dengan tool ini, Wildan berhasil mendapat username dan kata kunci dari setiap domain name yang dimiliki oleh pihak hosting.
  5. Domain registrar eNom – Dari situs inilah Wildan mendapatkan info Domain Name Server (DNS) situs www.presidensby.info.
  6. Data Administrative Domain/Nameserver - Wildan mendapatkan informasi penting berupa data Administrative Domain/Nameserver tentang situs pribadi Presiden SBY, yaitu Sahi7879.earth.orderbox-dns.com , Sahi7876.mars.orderbox-dns.com , Sahi7879.venus.orderbox-dns.com, dan Sahi7876.mercuri.orderbox-dns.com.
  7. DNS Redirection – Dengan cara inilah Wildan menyulap tampilan situs SBY menjadi Jember Hacker team

Banyak yang menyebut Wildan sebagai seorang Hacker dan ini sangat membingungungkan bagi penulis dalam menjelaskan kasus ini dalam pendekatannya sebagai kasus Hijacking. Dari cara yang dilakukan Wildan dapat dilihat beberapa karakteristik Hijacking yang Wildan lakukan. Diantaranya adalah :
a.      Penggunaan Software bantuan
b.      Pengambilan data dan informasi pendukung
c.       Melakukan perubahan sistem

Memang untuk menjelaskan perbedaan antara Hacking, Cracking, atau Hijacking sangatlah susah karena begitu banyaknya kesamaan prinsip yang dipakai. Tapi berdasarkan pendekatan yang kami lakukan, kasus ini bisa disebut sebagai kasus Hijacking ditinjau dari cara pelaku melakukan pembajakannya dan pengrusakan yang terjadi dalam situs presidensby.info tersebut.



Analisis Internet Forensic
Dari informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut tidaklah di “hacked” atau kenyataan bahwa tidak ada perubahan sama sekali pada mesin server presidensby.info, tetapi hanya terjadi perubahan penunjuk jalan (serangan di level DNS) menuju server tersebut ketika diakses pengguna oleh attacker.  Pada saat terjadinya serangan, hal ini dibuktikan dengan akses ke situs yang sama dengan alamat domain berbeda yaitu presidenri.go.id tetap dapat berjalan dengan baik tanpa ada perubahan tampilan.
Secara teknikal, mesin server situs presidensby.info memiliki alias  name (domain) presidenri.go.id
Saya coba ungkapkan beberapa fakta, meski mungkin tidak akan mendetail termasuk bagaimana cara saya mendapatkan informasi ini. Sebenarnya persiapan serangan melalui pembelokan domain presidensby.info ke sebuah situs lain sudah dimulai sejak 8 Januari 2013.  Ini tercatat di serial zone domain (presidensby.info) yang dibuat oleh attacker/pelaku pada sebuah server Hosting/DNS Lokal.

Berikut informasi zone domain presidensby.info yang dibuat oleh attacker.

Sedangkan host kedua NameServer (id1.jaxxxxxnetwork.com dan id2.jaxxxxxnetwork.com) memiliki IP yang sama dengan mesin yang ditunjuk sebagai presidensby.info yaitu 210.247.249.58.
Server Hosting inilah yang memiliki virtual host untuk domain presidensby.info berisi halaman dengan Status Hacked by MJL007 dan Jember Hacker Team. Jadi konten halaman berjudul Hacked by MJL007 bukan terdapat pada mesin server presidensby.info atau presidenri.go.id yang beralamat di 203.130.196.114.
Untuk menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan Jember Hacker Team, tim digital forensic Polri seharusnya sudah melakukan investigasi dan data acquisition dari mesin hosting beralamat 210.247.249.58  tersebut, karena pada mesin tersebutlah terdapat system dan access log aplikasi server yang digunakan si pelaku untuk membelokkan penunjuk alamat domain presidensby.info. Jadi log server yang dianalis harusnya bukan pada server 203.130.196.114, melainkan mesin hosting beralamat 210.247.249.58. Dari mesin ini akan dapat diidentifikasi alamat yang digunakan pelaku, meskipun saat kejadian pelaku bisa saja menggunakan alamat-alamat palsu, biasanya sepandai-pandainya seseorang pelaku, tetap ada kesalahan (kecil) yang berakibat fatal yang mengungkap dirinya.
Selain dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka terhadap pemilik atau administrator domain dan hosting jaxxxxxnetwork.com juga wajib harus dilakukan investigasi. Karena jelas-jelas pelaku menggunakan subdomain jaxxxxxnetwork.com (id1 dan id2) sebagai tools pelaku.

Informasi dari whois untuk jaxxxxxnetwork.com menghasilkan informasi sbb:

Domain Name: jaxxxxxnetwork.COM       
 Registrant:                      
     N/A
    Exxx  Sxxxxxxx        (portalxxxxxxja@gmail.com)
       Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx     
 Creation Date: 15-Mar-2012 
 Expiration Date: 15-Mar-2013   
 Domain servers in listed order:  
     ph1.xxxxxxjahost.com
     ph2.xxxxxxjahost.com
 Administrative Contact:          
     N/A
    Exxx  Sxxxxxxx        (portalxxxxxxja@gmail.com)
       Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx
 Technical Contact:               
     N/A
    Exxx  Sxxxxxxx        (portalxxxxxxja@gmail.com)
   Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx      
 Billing Contact:                 
     N/A
    Exxx  Sxxxxxxx        (portalxxxxxxja@gmail.com)
    Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja – Cikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx        
 Status:LOCKED
    Note: This Domain Name is currently Locked. In this status the domain
    name cannot be transferred, hijacked, or modified. The Owner of this
    domain name can easily change this status from their control panel.
    This feature is provided as a security measure against fraudulent domain name hijacking.

Informasi diataslah yang menjadi petunjuk tim IT Kepresidenan untuk menyatakan informasi bahwa pelaku menggunakan hosting lokal dari Bekasi, Jawa Barat.
Berikutnya pasti ada pertanyaan, bagaimana si pelaku merubah data Administrative Domain/Nameserver untuk domain presidensby.info tersebut, dari yang aslinya adalah

SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM
Menjadi
id1.jaxxxxxnetwork.com
id2.jaxxxxxnetwork.com

Terdapat beberapa kemungkinan bagaamana cara pelaku merubah data Nameserver pada Administrative Domain presidensby.info. Kemungkinan pertama, persis seperti kejadian tahun 2007, dimana server yang memiliki otoritas mengelola zone domain presidensby.info di serang sehingga memberikan alamat NS atau mendelegasikan NS ke server yang sudah dipersiapkan si pelaku. Kemungkinan berikutnya adalah pelaku mendapatkan akses ilegal yang menjadi account administrative/technical contact domain presidensby.info, sehingga dapat dengan mudah merubah NS yang menjadi otoritas  domain tersebut. Untuk memastikan hal tersebut, tentu saja administrative contact domain presidensby.info bisa dimintain keterangannya. Administrative/Technical Contact pengelola domain presidensby.info bisa dilihat dari info whois (per 12 Januari 2012) berikut:

Domain ID:D11564782-LRMS
Domain Name:PRESIDENSBY.INFO
Created On:20-Dec-2005 08:54:36 UTC
Last Updated On:11-Jan-2013 07:14:39 UTC
Expiration Date:20-Dec-2013 08:54:36 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:AUTORENEWPERIOD
Registrant ID:d5667830aacebee8
Registrant Name:Redaksi Situs Presiden
Registrant Organization:Redaksi Situs Presiden Republik Indonesia
Registrant Street1:Gedung Bina Graha Lt. 2
Registrant Street2:Jl. Veteran No, 16 Jakarta
Registrant Street3:
Registrant City:Jakarta Pusat
Registrant State/Province:DKI JAKARTA
Registrant Postal Code:10110
Registrant Country:ID
Registrant Phone:+62.213844363
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:akbardotinfo@gmail.com
Admin ID:d5667830aacebee8
Admin Name:Redaksi Situs Presiden
Admin Organization:Redaksi Situs Presiden Republik Indonesia
Admin Street1:Gedung Bina Graha Lt. 2
Admin Street2:Jl. Veteran No, 16 Jakarta
Admin Street3:
Admin City:Jakarta Pusat
Admin State/Province:DKI JAKARTA
Admin Postal Code:10110
Admin Country:ID
Admin Phone:+62.213844363
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:akbardotinfo@gmail.com
Billing ID:d5667830aacebee8
Billing Name:Redaksi Situs Presiden
Billing Organization:Redaksi Situs Presiden Republik Indonesia
Billing Street1:Gedung Bina Graha Lt. 2
Billing Street2:Jl. Veteran No, 16 Jakarta
Billing Street3:
Billing City:Jakarta Pusat
Billing State/Province:DKI JAKARTA
Billing Postal Code:10110
Billing Country:ID
Billing Phone:+62.213844363
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:akbardotinfo@gmail.com
Tech ID:d5667830aacebee8
Tech Name:Redaksi Situs Presiden
Tech Organization:Redaksi Situs Presiden Republik Indonesia
Tech Street1:Gedung Bina Graha Lt. 2
Tech Street2:Jl. Veteran No, 16 Jakarta
Tech Street3:
Tech City:Jakarta Pusat
Tech State/Province:DKI JAKARTA
Tech Postal Code:10110
Tech Country:ID
Tech Phone:+62.213844363
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:akbardotinfo@gmail.com
Name Server:SAHI78679.MERCURY.ORDERBOX-DNS.COM
Name Server:SAHI78679.VENUS.ORDERBOX-DNS.COM
Name Server:SAHI78679.EARTH.ORDERBOX-DNS.COM
Name Server:SAHI78679.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:

Dari info whois diatas diperoleh keterangan bahwa administrator domain  saat ini (baru) adalah pemilik email akbardotinfo@gmail.com. Padahal saat sebelum dan beberapa hari sesudah serangan terjadi Administrative Contact  tersebut adalah Sugeng Wibowo idsugeng@yahoo.com, dan Technical Contactnya dari techscape.co.id (enom@techscape.co.id), seperti yang dibahas disini.  Jadi ada kecurigaan yang terjadi adalah kemungkinan kedua.
Setelah menganalisis dari berbagai sumber  informasi, dapat saya simpulkan pelaku masih tergolong “culun” dan bisa saya katakan “bunuh diri” karena meninggalkan banyak jejak dan tanpa menggunakan teknik pengelabuan spt proxy luar seperti yang banyak dikhabarkan. Dari log server Hosting/DNS yang digunakan sebagai tools, teridentifikasi IP dari sekitar tempat dia bekerja/tinggal (IP pelanggan Telkom Speedy wilayah Jember 180.247.254.x)
PS: hayoo siapa bilang dari US? Mungkin juga info itu trik pemerintah/berwajib supaya pelaku tidak merasa ketahuan dan berusaha melarikan diri.
Dari berbagai media yang mempublikasikan terkait kejadian peretasan situs ini, ada beberapa informasi media perlu diluruskan misalnya  atas berita di Kompas terkait cara polisi melaca peretas. Kemungkinan besar wartawan atau reporternya salah mengutip atau memahami informan (narasumbernya). Berikut beberapa pernyataan yang rancu dan saya coba koreksi/luruskan:

===kutipan kompas===

Menurut Ahmad Alkazimy dari lembaga keamanan jaringan komputer Indonesian Computer emergency Response Team (ID-CERT), tim polisi siber mendapatkan IP Address pelaku dari perusahaan penyedia jasa internet (internet service provider/ISP).
=================

JOSH:
Sebenarnya informasi bukan dari ISP, tetapi dari Pengelola Hosting. Ada dua pengelola hosting yang ikut membantu kepolisian, pemilik IP  210.247.249.58 (alvin) dan pemilik domain jatirejanetwork (eman). Seperti yang saya publish dicatatan blog saya 12 Januari lalu (sebenarnya infonya sudah saya ketahui per 10 januari, hanya saja sempat nulisnya baru 12 januari )

===kutipan kompas===

Dalam kasus ini, situs web 
www.presidensby.info menggunakan jasa ISP Jatireja Network. Jatireja Network melaporkan identitas pelaku dan sejumlah bukti digital. Begitu dilacak, IP Address itu berada di sebuah lokasi di Jember, Jawa Timur.
=================

JOSH:
Nah ini keliru lagi. 
www.presidensby.info tidak menggunakan jasa hosting (apalagi ISP) Jatireja Network. Tetapi di hosting/co-location di TELKOM. Server hosting jatirejanetwork digunakan sebagai tools (manipulasi DNS) oleh pelaku setelah sebelumnya mendapatkan akses ilegal ke server hosting tersebut. Dari pengelola hosting inilah diperoleh access log dan aktifitas si attacker, termasuk IP yang digunakan mengakses server tersebut (teridentifikasi IP Telkom Speedy wilayah Jember spt yang saya sebut sebelumnya)

===kutipan kompas ===

Jika pelaku memalsukan IP Address untuk mengaburkan jejak, atau menumpang di IP Address komputer lain di luar negeri, menurut Ahmad hal ini masih bisa dilacak dari alamat Media Access Control (MAC Address).
MAC Address yang juga sering disebut ethernet address, physical address, atau hardware address, pada umumnya menempel di setiap perangkat komputer dan sulit untuk diubah karena telah dimasukkan ke dalam Read-Only Memory (ROM).

=================

JOSH:
MAC address tidak feasible/accessible dari Server atau jaringan yang berbeda broadcast domain. Jadi tentu saja tidak bisa digunakan sebagai media pelacakan dalam kasus ini (remote akses)
Bahkan MAC address juga saat ini sangat dimungkinan dimanipulasi (dirubah). Teknik teknik sederhana merubah mac address sudah didapatkan para pelajar SMK TI hingga Kuliahan

JOSH:
Dibuat untuk tugas mata kuliah Keamanan Aplikasi Jaringan
Nama : Bagus Anantavijaya / Rifky Mulki Akbar
Nim : 30211136 / 30211001
Kelas : NP-11-01
Selengkapnya...