Dijelaskannya,
pelaku yang bernama Wildan, 22, ditangkap pada Jumat lalu. Pelaku selama ini
bekerja di bidang usaha penjualan sparepart komputer di CV Suryatama,Jember.
"Pelaku belajar komputer secara otodidak dan motifnya iseng saja,"
kata Arif. Ditambahkannya, untuk mengembangkan kasus tersebut, penyidk telah
memeriksa lima saksi yang terkait dalam kasus tersebut.
"Lima
saksi diperiksa, semua bukti-bukti di sita, termasuk dua CPU, dan pelaku sudah
ditahan, di Rutan Bareskirim Polri," kata Arief. Pelaku akan dojerat
dengan pasal 22 huruf b UU 36 tahun 1999 tentang telekomunikasi dan pasal 30
ayat 1,2,3 junto pasal 32 ayat 1 UU No.11 Tahun 2008 tentang ITE.
Seperti
diketahui, website presidensby.info dirubah dengan cara ditampilkan latar
belakang hitam dengan tulisan warna hijau di bagian atas yang bertuliskan
"Hacked by MJL007". Sedangkan dibawahnya ditulis "Jemberhacker
team" warna putih dan "This is a payback from member hacker team".
Cara Meretas
Situs
resmi presiden SBY (presidensby.info). Situs ini dibajak pada 9 Januari 2013
dan pembajak resmi ditangkap pada 25 Januari 2013. Pembajak
situs presidensby.info diketahui bernama Wildan (22
tahun). Pelaku selama ini bekerja di bidang usaha penjualan sparepart
komputer di CV Suryatama,Jember. Diketahui pelaku belajar komputer secara
otodidak dan hanya bermotif “iseng saja”.
Kasus
ini merupakan contoh kasus Hijacking. Pelaku menerobos masuk ke situs ini,
mengambil alih situs ini beberapa saat dan melakukan perubahan dalam situs ini.
Memang dalam pengertiannya, Hijacking menjurus pada sebuah pembajakan yang
begitu jahat sampai pada titik pencurian informasi atau merusak sebuah sistem.
Tapi disini disampaikan pelaku berhasil masuk ke database situs ini. Jadi bisa
jadi pelaku bisa saja mengambil berbagai macam informasi penting atau
benar-benar merusak konten-konten disitus ini.
Inilah rangkuman
cara Wildan meretas situs pribadi Presiden SBY:
- SQL Injection
atau Injeksi SQL – Wildan menggunakan teknologi ini untuk mendapatkan akses database
dari situs www.jatirejanetwork.com dengan IP address 210.247.249.58.
- Backdoor Tool –
Dengan menggunakan software wso.php (web sell by orb), Wildan berhasil
menerobos sistem keamanan www.techscape.co.id dan membuat backdoor akses.
- Linux Command – Wildan
menggunakan command linux : cat/home/tech/www/my/configuration/.php, untuk
mengambil data-data username dan kata kunci dari basis data WHMCS.
- WHMKiller –
Dengan tool ini, Wildan berhasil mendapat username dan kata kunci dari setiap
domain name yang dimiliki oleh pihak hosting.
- Domain registrar
eNom – Dari situs inilah Wildan mendapatkan info Domain Name Server (DNS) situs
www.presidensby.info.
- Data
Administrative Domain/Nameserver - Wildan mendapatkan informasi penting berupa
data Administrative Domain/Nameserver tentang situs pribadi Presiden SBY, yaitu
Sahi7879.earth.orderbox-dns.com , Sahi7876.mars.orderbox-dns.com , Sahi7879.venus.orderbox-dns.com,
dan Sahi7876.mercuri.orderbox-dns.com.
- DNS Redirection –
Dengan cara inilah Wildan menyulap tampilan situs SBY menjadi Jember Hacker
team
Banyak
yang menyebut Wildan sebagai seorang Hacker dan ini sangat membingungungkan
bagi penulis dalam menjelaskan kasus ini dalam pendekatannya sebagai kasus
Hijacking. Dari cara yang dilakukan Wildan dapat dilihat beberapa karakteristik
Hijacking yang Wildan lakukan. Diantaranya adalah :
a.
Penggunaan
Software bantuan
b.
Pengambilan data
dan informasi pendukung
c.
Melakukan
perubahan sistem
Memang
untuk menjelaskan perbedaan antara Hacking, Cracking, atau Hijacking sangatlah susah
karena begitu banyaknya kesamaan prinsip yang dipakai. Tapi berdasarkan
pendekatan yang kami lakukan, kasus ini bisa disebut sebagai kasus Hijacking
ditinjau dari cara pelaku melakukan pembajakannya dan pengrusakan yang terjadi
dalam situs presidensby.info tersebut.
Analisis
Internet Forensic
Dari
informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut
tidaklah di “hacked” atau kenyataan bahwa tidak ada perubahan sama sekali pada
mesin server presidensby.info, tetapi hanya terjadi perubahan penunjuk jalan
(serangan di level DNS) menuju server tersebut ketika diakses pengguna oleh
attacker. Pada saat terjadinya serangan, hal ini dibuktikan dengan akses
ke situs yang sama dengan alamat domain berbeda yaitu presidenri.go.id tetap
dapat berjalan dengan baik tanpa ada perubahan tampilan.
Secara teknikal, mesin server situs presidensby.info memiliki alias name
(domain) presidenri.go.id
Saya
coba ungkapkan beberapa fakta, meski mungkin tidak akan mendetail termasuk
bagaimana cara saya mendapatkan informasi ini. Sebenarnya persiapan serangan
melalui pembelokan domain presidensby.info ke sebuah situs lain sudah dimulai
sejak 8 Januari 2013. Ini tercatat di serial zone domain
(presidensby.info) yang dibuat oleh attacker/pelaku pada sebuah server
Hosting/DNS Lokal.
Berikut informasi
zone domain presidensby.info yang dibuat oleh attacker.
Sedangkan
host kedua NameServer (id1.jaxxxxxnetwork.com dan id2.jaxxxxxnetwork.com) memiliki
IP yang sama dengan mesin yang ditunjuk sebagai presidensby.info yaitu
210.247.249.58.
Server
Hosting inilah yang memiliki virtual host untuk domain presidensby.info berisi
halaman dengan Status Hacked by MJL007 dan Jember Hacker Team. Jadi konten
halaman berjudul Hacked by MJL007 bukan terdapat pada mesin server presidensby.info
atau presidenri.go.id yang beralamat di 203.130.196.114.
Untuk
menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan Jember Hacker
Team, tim digital forensic Polri seharusnya sudah melakukan investigasi dan
data acquisition dari mesin hosting beralamat 210.247.249.58 tersebut,
karena pada mesin tersebutlah terdapat system dan access log aplikasi server
yang digunakan si pelaku untuk membelokkan penunjuk alamat domain
presidensby.info. Jadi log server yang dianalis harusnya bukan pada
server 203.130.196.114, melainkan mesin hosting beralamat
210.247.249.58. Dari mesin ini akan dapat diidentifikasi alamat yang digunakan
pelaku, meskipun saat kejadian pelaku bisa saja menggunakan alamat-alamat
palsu, biasanya sepandai-pandainya seseorang pelaku, tetap ada kesalahan
(kecil) yang berakibat fatal yang mengungkap dirinya.
Selain
dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka terhadap pemilik
atau administrator domain dan hosting jaxxxxxnetwork.com juga wajib harus dilakukan
investigasi. Karena jelas-jelas pelaku menggunakan subdomain jaxxxxxnetwork.com
(id1 dan id2) sebagai tools pelaku.
Informasi dari whois
untuk jaxxxxxnetwork.com menghasilkan informasi sbb:
Domain Name:
jaxxxxxnetwork.COM
Registrant:
N/A
Exxx
Sxxxxxxx (portalxxxxxxja@gmail.com)
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Creation Date: 15-Mar-2012
Expiration Date: 15-Mar-2013
Domain servers in listed order:
ph1.xxxxxxjahost.com
ph2.xxxxxxjahost.com
Administrative
Contact:
N/A
Exxx
Sxxxxxxx (portalxxxxxxja@gmail.com)
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Technical
Contact:
N/A
Exxx
Sxxxxxxx
(portalxxxxxxja@gmail.com)
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Billing
Contact:
N/A
Exxx
Sxxxxxxx
(portalxxxxxxja@gmail.com)
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Status:LOCKED
Note: This Domain Name is currently Locked. In this status
the domain
name cannot be transferred, hijacked, or modified. The Owner
of this
domain name can easily change this status from their control
panel.
This feature is provided as a security measure against
fraudulent domain name hijacking.
Berikutnya pasti ada
pertanyaan, bagaimana si pelaku merubah data Administrative Domain/Nameserver
untuk domain presidensby.info tersebut, dari yang aslinya adalah
SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM
Menjadi
id1.jaxxxxxnetwork.com
id2.jaxxxxxnetwork.com
Terdapat
beberapa kemungkinan bagaamana cara pelaku merubah data Nameserver pada
Administrative Domain presidensby.info. Kemungkinan pertama, persis seperti
kejadian tahun 2007, dimana server yang memiliki otoritas mengelola zone domain
presidensby.info di serang sehingga memberikan alamat NS atau mendelegasikan NS
ke server yang sudah dipersiapkan si pelaku. Kemungkinan berikutnya adalah
pelaku mendapatkan akses ilegal yang menjadi account administrative/technical
contact domain presidensby.info, sehingga dapat dengan mudah merubah NS yang
menjadi otoritas domain tersebut. Untuk memastikan hal tersebut, tentu
saja administrative contact domain presidensby.info bisa dimintain
keterangannya. Administrative/Technical Contact pengelola domain
presidensby.info bisa dilihat dari info whois (per 12 Januari 2012) berikut:
Domain ID:D11564782-LRMS
Domain Name:PRESIDENSBY.INFO
Created On:20-Dec-2005 08:54:36 UTC
Last Updated On:11-Jan-2013 07:14:39 UTC
Expiration Date:20-Dec-2013 08:54:36 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:AUTORENEWPERIOD
Registrant ID:d5667830aacebee8
Registrant Name:Redaksi Situs Presiden
Registrant Organization:Redaksi Situs Presiden Republik Indonesia
Registrant Street1:Gedung Bina Graha Lt. 2
Registrant Street2:Jl. Veteran No, 16 Jakarta
Registrant Street3:
Registrant City:Jakarta Pusat
Registrant State/Province:DKI JAKARTA
Registrant Postal Code:10110
Registrant Country:ID
Registrant Phone:+62.213844363
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:akbardotinfo@gmail.com
Admin ID:d5667830aacebee8
Admin Name:Redaksi Situs Presiden
Admin Organization:Redaksi Situs Presiden Republik Indonesia
Admin Street1:Gedung Bina Graha Lt. 2
Admin Street2:Jl. Veteran No, 16 Jakarta
Admin Street3:
Admin City:Jakarta Pusat
Admin State/Province:DKI JAKARTA
Admin Postal Code:10110
Admin Country:ID
Admin Phone:+62.213844363
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:akbardotinfo@gmail.com
Billing ID:d5667830aacebee8
Billing Name:Redaksi Situs Presiden
Billing Organization:Redaksi Situs Presiden Republik Indonesia
Billing Street1:Gedung Bina Graha Lt. 2
Billing Street2:Jl. Veteran No, 16 Jakarta
Billing Street3:
Billing City:Jakarta Pusat
Billing State/Province:DKI JAKARTA
Billing Postal Code:10110
Billing Country:ID
Billing Phone:+62.213844363
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:akbardotinfo@gmail.com
Tech ID:d5667830aacebee8
Tech Name:Redaksi Situs Presiden
Tech Organization:Redaksi Situs Presiden Republik Indonesia
Tech Street1:Gedung Bina Graha Lt. 2
Tech Street2:Jl. Veteran No, 16 Jakarta
Tech Street3:
Tech City:Jakarta Pusat
Tech State/Province:DKI JAKARTA
Tech Postal Code:10110
Tech Country:ID
Tech Phone:+62.213844363
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:akbardotinfo@gmail.com
Name Server:SAHI78679.MERCURY.ORDERBOX-DNS.COM
Name Server:SAHI78679.VENUS.ORDERBOX-DNS.COM
Name Server:SAHI78679.EARTH.ORDERBOX-DNS.COM
Name Server:SAHI78679.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Dari
info whois diatas diperoleh keterangan bahwa administrator domain saat
ini (baru) adalah pemilik email akbardotinfo@gmail.com. Padahal saat
sebelum dan beberapa hari sesudah serangan terjadi Administrative Contact
tersebut adalah Sugeng Wibowo idsugeng@yahoo.com, dan Technical Contactnya dari
techscape.co.id (enom@techscape.co.id), seperti yang dibahas disini. Jadi
ada kecurigaan yang terjadi adalah kemungkinan kedua.
Setelah
menganalisis dari berbagai sumber informasi, dapat saya simpulkan pelaku
masih tergolong “culun” dan bisa saya katakan “bunuh diri” karena meninggalkan
banyak jejak dan tanpa menggunakan teknik pengelabuan spt proxy luar seperti
yang banyak dikhabarkan. Dari log server Hosting/DNS yang digunakan sebagai
tools, teridentifikasi IP dari sekitar tempat dia bekerja/tinggal (IP pelanggan
Telkom Speedy wilayah Jember 180.247.254.x)
PS:
hayoo siapa bilang dari US? Mungkin juga info itu trik pemerintah/berwajib
supaya pelaku tidak merasa ketahuan dan berusaha melarikan diri.
Dari
berbagai media yang mempublikasikan terkait kejadian peretasan situs ini, ada
beberapa informasi media perlu diluruskan misalnya atas berita di Kompas terkait cara polisi melaca peretas. Kemungkinan besar wartawan atau reporternya salah
mengutip atau memahami informan (narasumbernya). Berikut beberapa pernyataan
yang rancu dan saya coba koreksi/luruskan:
===kutipan kompas===
Menurut Ahmad Alkazimy dari lembaga keamanan jaringan komputer Indonesian
Computer emergency Response Team (ID-CERT), tim polisi siber mendapatkan IP
Address pelaku dari perusahaan penyedia jasa internet (internet service
provider/ISP).
=================
JOSH:
Sebenarnya informasi bukan dari ISP, tetapi dari Pengelola Hosting. Ada dua
pengelola hosting yang ikut membantu kepolisian, pemilik IP
210.247.249.58 (alvin) dan pemilik domain jatirejanetwork (eman). Seperti yang
saya publish dicatatan blog saya 12 Januari lalu (sebenarnya infonya sudah saya
ketahui per 10 januari, hanya saja sempat nulisnya baru 12 januari )
===kutipan kompas===
Dalam kasus ini, situs web www.presidensby.info menggunakan jasa ISP Jatireja Network. Jatireja
Network melaporkan identitas pelaku dan sejumlah bukti digital. Begitu dilacak,
IP Address itu berada di sebuah lokasi di Jember, Jawa Timur.
=================
JOSH:
Nah ini keliru lagi. www.presidensby.info tidak menggunakan jasa hosting (apalagi ISP)
Jatireja Network. Tetapi di hosting/co-location di TELKOM. Server hosting
jatirejanetwork digunakan sebagai tools (manipulasi DNS) oleh pelaku setelah
sebelumnya mendapatkan akses ilegal ke server hosting tersebut. Dari pengelola
hosting inilah diperoleh access log dan aktifitas si attacker, termasuk IP yang
digunakan mengakses server tersebut (teridentifikasi IP Telkom Speedy wilayah
Jember spt yang saya sebut sebelumnya)
===kutipan kompas
===
Jika pelaku memalsukan IP Address untuk mengaburkan jejak, atau menumpang di IP
Address komputer lain di luar negeri, menurut Ahmad hal ini masih bisa dilacak
dari alamat Media Access Control (MAC Address).
MAC Address yang
juga sering disebut ethernet address, physical address, atau hardware address,
pada umumnya menempel di setiap perangkat komputer dan sulit untuk diubah
karena telah dimasukkan ke dalam Read-Only Memory (ROM).
=================
JOSH:
MAC address tidak feasible/accessible dari Server atau jaringan yang berbeda
broadcast domain. Jadi tentu saja tidak bisa digunakan sebagai media pelacakan
dalam kasus ini (remote akses)
Bahkan MAC address juga saat ini sangat dimungkinan dimanipulasi (dirubah).
Teknik teknik sederhana merubah mac address sudah didapatkan para pelajar SMK
TI hingga Kuliahan
JOSH:
Dibuat untuk tugas mata kuliah Keamanan Aplikasi Jaringan
Nim : 30211136 / 30211001
Kelas : NP-11-01