Bebaskan Hacker Situs KPU RI dari Payakumbuh, Arik Bukan Kriminal tapi Pentester

Sudah hampir seminggu sejak Arik ditangkap dan dibawa ke Mabes Polri di Jakarta. Muhammad Arik Alfiki (19) ditangkap senin tanggal 22 April 2019 dirumahnya di Parit Rantang, Payakumbuh. Setelah diperiksa Arik memang tidak ditahan, tapi Arik tidak boleh meninggalkan jakarta sampai 2 minggu sejak ditangkap. Perkembangan kasusnya, Arik sudah di BAP dan bahkan sudah bertemu pihak Komisioner dan tim legal hukum KPU RI. Alhamdulillah Arik di Jakarta didampingi oleh mas Teguh Aprianto dari Ethical HAcker Indonesia dan mas Awaludin Marwan dari The Institute for Digital Law and Society (Tordillas). Terima kasih sekali untuk semua pihak yang tidak disebutkan yang sudah membantu baik moril maupun materil.

Saya pribadi kenal arik karena arik juga pernah melakukan pentesting/mencari kelemahan beberapa website yang saya buat bahkan blog ini pun pernah di tes kelemahannya oleh arik. Semua kelemahan yang ditemukan arik waktu itu sudah diberitahukannya kepada saya dan suadh saya perbaiki. Jadi saya yakin sekali niat arik hanya murni mencari/menguji kelemahan situs KPU RI. Sama yang diucapkannya tanggal 15 April 2019 sebelum ditangkap di aplikasi pesan online messenger.

Menurut keterangan polisi Arik akan bebas jika KPU RI mencabut laporannya. Untuk itu bagi semua pihak, siapa saja yang kenal/bisa menjelaskan kepada pihak KPU RI mohon membantu dengan memberikan penjelasan kepada Komisioner dan tim hukum KPU kalau Arik adalah Pentester bukan hacker jahat/craker. Semua ada bukti dan faktanya. Bahkan untuk menguatkan hal itu Arik mempunyai berbagai sertifikat dari perusahaan dalam dan luar negri terkait aktivitasnya sebagai pentester/bughunter/bugbounty.

Niat Arik hanya mencari kelemahan situs KPU RI, dan melaporkannya, bukan merusak atau merubah isi situs, hal inipun dibuktikan dengan laporannya ke email BSSN (Badan Siber dan Sandi Nasional) tanggal 2 April 2019 jauh hari sebelum penangkapannya. Hal lain yang menguatkan adalah arik melakukan ini karena ada temannya sesama pentesteryang sudah mendapatkan sertifikat dan pujian dari BSSN dan KPU RI karena telah menemukan dan melaporkan bug/kelemahan sistem situs KPU RI. Apakah temannya ini melapor sebelum melakukan aksinya? tidak, sama halnya dengan arik. Jadi kalau ada pendapat teman-teman yang mengatakan kesalahan arik karena tidak minta izin dulu sebelum melakukan pentesting, kurang tepat juga.

Jadi saya yakin sekali ini hanya kesalah pahaman KPU RI dan BSSN. Mungkin satu-satunya yang memberatkan, arik melakukan pentesting pada tanggal 18 April 2019 yang hanya berselang 1 hari pemilu tanggal 17 sehari sebelumnya. Dimana saat ini sangat krusial dan rawan. Semua aktivitas hacking baik untuk tujuan merusak atau pentesting akan dianggap ancaman.

Informasi dari arik pada tanggal 26 april 2019, KPU RI akan memutuskan mencabut atau tidak laporan arik tergantung hasil rapat hari senin tanggal 29 April 2019. Arik juga mengatakan dia baik-baik saja di Jakarta, penyidik dari kepolisian juga baik. Mas Teguh dan mas Luluk juga mendampingi tanpa dipungut bayaran sedikitpun. Saya dan kawan-kawan dari komunitas IT di Sumbar sangat berterima kasih kepada semua pihak yang telah membantu. Mari kita berdoa semoga KPU mempertimbangkan semua bukti dan fakta dan segera mencabut laporannya, bagi yang ada kenalan komisioner atau tim legal hukum mohon membantu memberi penjelasan/masukan kalau arik tidak berniat jahat dan membebaskan arik kembali ke keluarganya dan melanjutkan sekolahnya.

Penetration Testing

Pengertian Penetration Testing adalah suatu kegiatan dimana seseorang mencoba mensimulasikan serangan yang bisa dilakukan terhadap jaringan organisasi / perusahaan tertentu untuk menemukan kelemahan yang ada pada sistem jaringan tersebut. Orang yang melakukan kegiatan ini disebut penetration tester (disingkat pentester). Penetration Testing mempunyai standar resmi sebagai acuan dalam pelaksanaannya.

Latar Belakang di perlukannya Pentest Atau Pengertian Penetration Testing. Perusahaan besar tentu saja telah memiliki tenaga atau karyawan yang handal di bidang IT (ahli dalam pemograman, Jaringan, dan peralatan lainnya.) Perusahaan anda memiliki beberapa cabang di seluruh Indonesia dan semuanya terkoneksi dengan jaringan Piber Optik. Segala sesuatunya terkoneksi dengan server Pusat sehingga data yang di kelola selalu Up to Date.

Namun hal ini tidak menjamin, jika perusahaan menilai dari segi berikut:

• Apakah ada jaminan bahwa karyawan anda tidak menyalahgunakan wewenang yang dimiliki (serangan dari dalam)
• Apakah System perusahaan sepenuhnya aman dari serangan tangan-tangan jahil? (hacker, Cracker, Phreaker, Defacer)
• Bagaimana Jika pesaing anda mencoba masuk ke system anda untuk mengetahui semua isi perut perusahaan anda?

Tujuan Penetration Testing diantaranya adalah untuk menentukan dan mengetahui serangan-serangan yang bisa terjadi terhadap kerentanan yang ada pada sistem, mengetahui dampak bisnis yang diakibatkan dari hasil ekpoitasi yang dilakukan oleh penyerang.

Penetration Testing dapat dikatakan merupakan salah satu komponen penting dari Security Audit .

Langkah-langkah dalam Penetration Testing:

• Langkah pertama yang dilakukan pada Pentest adalah perencanaan. Pada tahapan ini harus dibicarakan ruang lingkup pentest, range waktu, dokumen legal (kontrak), jumlah tim yang dibutuhkan serta apakah staff dan karyawan diberitahukan terlebih dahulu atau tidak tentang adanya pentest.
• Langkah berikutnya adalah information gathering dan analysis. Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Ada banyak alat bantu yang bisa digunakan, diantaranya adalah www.netcraft.com. Kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, ip adress, host, adanya firewall, dll. Tools yang dapat digunakan misalnya Nmap
• Langkah selanjutnya adalah vulnerability detection (pencarian celah keamanan). Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan manual atau secara automatis misalnya dengan Nessus.
• Setelah menemukan celah keamanan, maka langkah berikutnya adalah percobaan penyerangan (penetration attempt). Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat. Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem.
• Tahap berikutnya adalah analisis dan pembuatan laporan. Disini biasanya dilaporkan tentang langkah kerja yang dilakukan, celah keamanan yang ditemukan serta usulan perbaikan. Tahapan selanjutnya biasanya tindak lanjut, yang biasanya harus dilakukan bersama-sama dengan admin untuk memperbaiki sistem.

Pada dasarnya perusahaan besar sudah memilki tenaga IT yang handal, tetapi untuk menguji kekuatan suatu sistem tentu saja harus di Uji orang lain (idealnya) bukan dari orang dalam sendiri sehingga perusahaan mendapatkan solusi atau gambaran yang baik dari pihak ketiga.

Sumber

Beberapa bahan bacaan tentang Penetration test:

• http://www.sans.org/reading-room/whitepapers/auditing/conducting-penetration-test-organization-67
• http://www.isecom.org/mirror/OSSTMM.3.pdf
• http://www.penetration-testing-group.co.uk/index.htm