Media : Kompas, 10 Mei 2004
Judul : Mengejar “Hacker” Itu Mudah
Halaman : 39

Terus terang membaca artikel diatas yang ditulis oleh Affan Basalamah, membuat saya “terpaksa” ikutan berkomentar atas kasus ini.

Berikut ini beberapa tanggapan yang sempat saya catat setelah membaca tulisan tersebut. Jika saya baca secara detail tulisan tersebut ada beberapa kejanggalan disana.

Kejanggalan yang sempat saya catat antara lain :

• Log yang tercatat pada firewall ataupun web server KPU hanyalah IP dari Thailand, karena ketika Dani melakukan serangan dia mempergunakan proxy anonymous Thailand.
• Kalaupun Tim IT KPU, berhasil mengidentifikasi sang penyerang, maka yang akan tercatat adalah IP Proxy Anonymous Thailand, bukanlah IP Dani (PT. Danareksa).
• Jika memang Tim IT KPU berhasil kontak dengan pengelola proxy anonymous Thailand, maka Tim IT KPU harus memegang log proxy yang mengakses situs KPU pada saat terjadinya serangan. Karena di dalam log inilah akan tercatat IP mana saja yang mempergunakan proxy anonymous untuk mengakses situs KPU. Log inilah yang akan menjadi bukti kuat bahwa Dani memang mempergunakan proxy anonymous tersebut untuk menyerang situs KPU. (Menurut pandangan saya hal ini cukup sulit mengingat biasanya proxy anonymous tidak memiliki log ini. Kalaupun ada rasanya tidaklah mudah untuk mendapatkan log tersebut, karena pengelola proxy anonymous pasti akan merahasiakannya. Oleh karena melibatkan privacy orang lain, oleh sebab itu namanya “proxy anonymous”).
• Darimana Tim IT KPU berhasil memiliki nickname pelaku pembobolan?, karena biar bagaimanapun, jika misalkan ada orang lain yang berhasil menembus sistem keamanan KPU, maka sang cracker dapat menuliskan nickname yang ia mau. Sebagai contoh, misalkan saja saya berhasil menembus keamanan KPU dan bisa mendefaced situs KPU, maka ada kemungkinan saya akan menuliskan “Hacked By Someone”, padahal belum tentu orang yang memiliki nick someone melakukannya.
• Secara teoritis, apa yang ditulis dalam artikel tersebut memang menggambarkan model penangkapan cracker, tapi apakah memang metode itu yang dipergunakan untuk menangkap Dani? terus terang saya ragu. Karena yang saya tangkap dari beberapa tulisan selama ini tertangkapnya Dani adalah hanya karena nickname Dani dan kemudian cybercrime polisi melakukan social engineering di IRC. Jadi proses yang digambarkan dalam artikel tersebut bukanlah metode yang digunakan untuk menangkap Dani. Kecuali memang ada log proxy anonymous yang dipegang oleh Tim IT KPU.
• Seandainya Dani tidak mengakui bahwa ia berhasil menembus sistem keamanan KPU, lalu darimana tim IT KPU membuktikannya? lha wong selama ini belum pernah ada kabar bahwa tim IT KPU memegang log proxy anonymous (belum lagi masalah keabsahan bukti digital)?
• Pembobolan situs KPU tidak 100% merupakan kesalahan Dani. Karena Tim IT KPU juga melakukan kesalahan dalam membangun aplikasi/scripting. Analogi rumah yang dimasuki maling seperti yang dituliskan dalam artikel tersebut tidak dapat dijadikan dasar untuk menghukum Dani, karena apa yang terjadi di dunia nyata tidak dapat disamakan dengan di dunia maya. Kalaupun dipaksa menggunakan analogi seperti itu justru menurut saya seharusnya Tim IT KPU juga mendapat hukuman, karena memberikan kesempatan kepada Dani (Seperti kata Bang Napi di RCTI, -kejahatan tidak hanya terjadi karena niat pelakunya, tapi juga karena kesempatan yang ada, maka waspadalah… waspadalah… 🙂

Beberapa minggu yang lalu saya sempet diskusi dengan S’to (pengelola http://www.jasakom.com) untuk masalah ini di Pasar Festival Jakarta dan ada beberapa hal yang bisa saya tangkap, antara lain :

• Tertangkapnya Dani tidak disertai bukti yang kuat (karena bukti digital tidak dapat dijadikan acuan, belum lagi -mungkin- tidak adanya log proxy anonymous sebagai bukti terkuat).
• Proses penangkapan yang dilakukan cybercrime hanyalah mengandalkan nickname Dani dan social engineering di IRC.
• Pembuktian Dani sebagai pelaku dikarenakan Dani mengakui bahwa ialah pelakunya. Jadi sama sekali bukan hasil kerja KPU. kalaupun Dani menyangkal melakukannya maka nickname Dani tidak dapat dijadikan bukti kuat. Jadi bisa disimpulkan bahwa sebenarnya Dani MENYERAHKAN DIRI bukan DITANGKAP seperti yang selama ini digembar-gemborkan oleh media massa.
• Keberhasilan Dani men-defaced Situs KPU, membuktikan bahwa tidak ada sebuah sistem yang aman 100%. Ini jelas merupakan pembuktian dari omongan Ketua IT KPU yang mengatakan bahwa sistem mereka aman 100%.
• Firewall yang dikatakan 6 lapis pun ternyata bisa ditembus hanya karena bug SQL injection yang jelas-jelas merupakan bug lawas. Jelas bahwa kesalahan bukanlah di level sistem operasi ataupun firewallnya tapi berada pada level aplikasi/scripting yang dibangun. Pantaskah aplikasi ini untuk level KPU jika dikembalikan ke dana +/- 200 milyar?
• Terlepas dari salah atau tidaknya Dani, saya cuman mengingatkan bahwa ada kemungkinan kasus semacam ini akan timbul dimasa-masa mendatang, untuk itu diperlukan perangkat hukum dan aturan yang jelas. Dan sudah barang tentu penyusunan perangkat hukum tersebut juga melibatkan komunitas underground, sehingga nantinya hukum tersebut bisa mengakomodir berbagai pihak.

Saat ini saya cuman berharap, jika memang Dani harus dihukum maka hukuman yang diberikan nantinya adalah merupakan hukuman yang win-win solution… Semoga……….

jun3t aka Dudi Gurnadi
http://dgk.or.id
gurnadi[at]telkom[dot]net