Hacker Standard Bahkan Bisa Membobol Security Sistem IT KPU Pilpres 2014
Berikut Ini adalah kisah tentang Peneomena Kejanggalan hasil KPU 2014 Silam, Yah Mudah2an Saja KEdepannya KPU kita menjadi Lebih Baik Lagi, Sekedar saran Buat Anggota KPU, Dari Orang Biasa Yang Mengamati Orang Hebat Seperti Anda Para pejabat Replubik Indonesia
Perkenalkan. Nama saya A. Tanpa nama belakang.
Saya
lahir di Indonesia. Sebagai CEH, profesi saya konsultan keamanan
jaringan komputer. Baru tahun ini saya mengikuti berita-berita dan ikut
memilih di Pemilu Presiden Indonesia.
Hari
ini 23 Juli 2014. Saya membaca berbagai tulisan orang. Banyak yang
bertanya: Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil?
Saya
mungkin punya jawabannya. Mungkin. Tulisan saya mungkin menjawab
pertanyaan. Mungkin juga malah membuka banyak pertanyaan baru. Namun
sebelumnya mohon maaf. Saya bukan penulis. Mohon maaf jika bahasa saya
kurang baik. Saya coba sampaikan dengan singkat dan efektif.
Tulisan
ini saya tujukan untuk anda-anda yang penasaran…Juga untuk calon
presiden terpilih, pak Jokowi. Agar nanti sistem IT Pemilu 2019 bisa
lebih baik dari sekarang. Agar tidak ada lagi yang teriak curang…Juga
untuk calon presiden tidak terpilih, pak Prabowo. Karena anda pasti
penasaran. Juga untuk presiden sekarang, pak SBY. Siapa tahu, bapak juga
penasaran…Juga untuk para perancang dan admin sistem IT Pemilu 2014:
Raden Santoso, Nanang Indra, Utian Ayuba, Andy Nugroho, Yoga Dahirsa,
Muhammad Hafidz dkk. Tentunya juga untuk pada anggota KPU: Husni Kamil
Malik, Ferry Kurnia Rizkiyansyah, Ida Budhiati, Sugit Pamungkas dkk.
Anggap saja ini sumbangan saya. Untuk bahan pelajaran bersama. Agar Indonesia lebih aman. Indonesia hebat. Indonesia bangkit.
7 April 2014
Di 7 April 2014. Saya mengamati ada fenomena menarik.
Hacker
dan cracker juga punya hak pilih. Punya hak berpolitik. Juga punya hak
berkampanye mendukung nomor satu atau nomor dua. Begitu besar semangat
para hacker dan cracker dalam Pemilu Presiden 2014 ini. Sebagian besar
dukung nomor dua. Walau juga ada yang dukung nomor satu.
Ini
kesimpulan saya setelah melihat begitu banyak iklan capres di Google
dan YouTube. Iklan yang baik-baik saja. Juga iklan yang tidak baik-baik
saja. Padahal tidak boleh ada iklan capres di kedua situs ini. Google
melarang iklan politik di Indonesia. Dalam bentuk apapun. Namun…
Mereka
pasti menyadari kemampuan Google dalam menyaring dan memblokir iklan
terbatas. Celah ini yang diekploitasi. Ada juga yang begitu bersemangat,
banyak situs orang diretas, diubah jadi halaman untuk promosi atau
menjelekkan yang tidak didukungnya.
Mereka
berusaha untuk mempengaruhi persepsi. Persepsi mempengaruhi
hasil. Usaha mereka membuat saya bertanya. Selain menyebarkan informasi
untuk mempengaruhi presepsi, apa lagi yang bisa mereka lakukan?
Dapatkan hacker dan cracker simpatisan capres meretas sistem IT KPU? Dan mempengaruhi hasil secara langsung? Saya mencobanya.
Celah Keamanan # 1: Email Anggota KPU
Untuk
memahami bagaimana cara kerja sistem IT KPU saya perlu informasi dari
dalam. Saya mulai dari mencari alamat email anggota-anggota KPU.
Saya
menemukan dokumen ini semua alamat email komisioner KPU yang aktif
digunakan ada di dokumen ini. Enam dari tujuh menggunakan email
gratisan. Saya jadi bertanya. Mengatur pemilu bukan pekerjaan main-main.
Kenapa gunakan email gratisan yang mudah diretas? Apa mungkin
disengaja?
Ferry Kurnia sepertinya
adalah yang paling muda dari tujuh anggota KPU. Biasanya yang paling
muda adalah yang paling terlibat untuk urusan IT. Saya kirimkan satu
email phishing ke Ferry. Tidak sampai dua jam, saya sudah bisa akses dan
membaca semua email yang pernah diterima dan dikirimkan.
Apa
yang saya temukan membuat saya bingung. Saya yakin para anggota KPU,
dan para perancang sistem IT KPU bukan orang sembarangan. Namun mereka
seperti membuat semuanya begitu mudah untuk seorang yang punya niat
seperti saya untuk masuk ke sistem IT KPU.
Celah Keamanan # 2: Berkirim Username dan Password di Email
Hal
pertama yang saya lakukan ketika membuka boks email salah satu anggota
KPU adalah mencari kata “password”. Saya sungguh terkejut.
Saya langsung dapat password ke SILOG. Sistem Logistik.
Saya juga dapat password ke Dropbox yang dipakai untuk simpan copy data pemilih seluruh Indonesia.
Dapat
juga password ke sistem real count KPU. Ya. Ternyata KPU memiliki
sistem real count yang entah mengapa tidak ditampilkan di websitenya
sehingga publik harus menghitung sendiri seperti di website
kawalpemilu.org.
Dapat
juga password untuk mengelola website KPU. Dapat juga password untuk
SIDALIH, sistem data pemilih. Dapat juga password untuk banyak sistem
lainnya. Ini juga membuat saya bingung. Berbagai password dikirimkan
begitu saja oleh admin melalui email. Apakah ingin memudahkan hacker
untuk masuk sistem?
Catatan: Banyak password di screenshot ini masih digunakan… Jadinya saya hidden ya… Maaf kalau jadi penasaran.
Celah Keamanan # 3: Ada Google Docs Daftar Username dan Password
Betapa
terkejutnya saya. Email ini benar-benar di luar logika dan cara
berpikir saya. Saya temukan satu email yang dikirimkan oleh admin sistem
IT KPU kepada semua anggota KPU. Isinya GOOGLE DOCS dengan daftar semua
password sistem IT KPU.
Saya jadi
benar-benar curiga, para admin dan anggota KPU memang ingin memudahkan
hacker dan cracker untuk masuk ke sistem IT KPU.
Apalagi…
Celah Keamanan # 4: Pola Password Mudah Ditebak
Sebagai contoh, ini password SSH ke website KPU yang pernah digunakan: 4dm1n80njol@w1w1k. Username: kpuadmin.
Password root shell/MySQL: m3rd3k41945!
Banyak
password sistem IT KPU menggunakan pola yang sama. Apakah agar mudah
diingat… Atau agar mudah diretas. Maaf jika saya berpikir yang
tidak-tidak, karena saya dilatih untuk mencermati pola.
Celah Keamanan # 5: Semua Anggota KPU Bisa Edit Daftar Pemilih Sesuka Hati
Ini
adalah Sistem Data Pemilih (SIDALIH) KPU. Dengan sistem ini KPU
mengatur nama-nama yang masuk ke Daftar Pemilih Sementara (DPS) dan
Daftar Pemilih Tetap (DPT).
Penambahan
atau pengurangan nama-nama pemilih dapat dilakukan dari sistem ini. Ini
krusial karena di Indonesia pemilih dapat memilih cukup berbekal
undangan tanpa perlu KTP.
Saya
orang awam. Namun jadi pertanyaan besar untuk saya. Jika mau aman:
Kenapa semua anggota KPU bisa edit DPT sesuka hati? Kenapa akses yang
diberikan oleh admin tidak hanya read only?
Keputusan
hak edit ini, tentu saja keputusan disengaja, tidak mungkin kecelakaan,
memberikan kewenangan sangat besar untuk setiap anggota KPU untuk
bermain dengan jumlah pemilih. Mengurangi atau menambahkan.
Bisa
saja jika ada anggota KPU yang komunikasi dengan tim sukses calon
presiden tertentu, atau jika ada hacker atau cracker pendukung calon
presiden tertentu yang masuk ke sistem seperti saya… Bisa saja
menambahkan pemilih baru… atau mengurangi pemilih di daerah-daerah
tertentu.
Mereka yang belum bisa
memilih, bisa diberikan hak untuk memilih. Mereka yang diketahui akan
memilih calon tertentu, bisa dicabut hak memilihnya… Dengan mudah.
Sangat mudah. Apalagi untuk setiap entri… Tidak ada info atau log secara
terbuka, siapa yang terakhir melakukan edit apalagi edit history.
Celah yang membahagiakan… Bagi siapapun yang punya niat tidak baik.
Celah Keamanan # 6: Semua Anggota KPU Bisa Edit Jumlah Pengiriman Kertas Suara Sesuka Hati
Sistem
Logistik (SILOG) KPU. Dengan sistem ini KPU mengatur distribusi surat
suara ke semua daerah / TPS. Penambahan atau pengurangan pengiriman
kertas suara dapat dilakukan dari sistem ini.
Pertanyaan saya mengenai SILOG ini sama dengan SIDALIH.
Saya
orang awam. Namun jadi pertanyaan besar untuk saya. Jika mau aman:
Kenapa semua anggota KPU bisa edit logistik pemilu seperti kertas suara
sesuka hati? Kenapa akses yang diberikan oleh admin tidak hanya read
only?
Maaf kalau ini seperti
mengulang. Keputusan ini, tentu saja keputusan disengaja, tidak mungkin
kecelakaan, memberikan kewenangan sangat besar untuk setiap anggota KPU
untuk bermain dengan jumlah kertas suara.
Bisa
saja jika ada anggota KPU yang komunikasi dengan tim sukses calon
presiden tertentu, atau jika ada hacker atau cracker pendukung calon
presiden tertentu yang masuk ke sistem seperti saya… Bisa saja
mengirimkan kertas suara lebih ke daerah-daerah tertentu. Sangat mudah.
Apalagi
seperti di SIDALIH… Untuk setiap entri… Tidak ada info atau log secara
terbuka, siapa yang terakhir melakukan edit apalagi edit history.
Apresiasi: Sistem Scan Formulir C1
Dalam
membuat tulisan ini, saya merasa saya harus adil. Jika ada celah
keamanan, saya sampaikan. Jika ada best practice yang dilakukan, saya
apresiasi.
Sistem scan formulir C1
yang dibuat oleh tim KPU menurut saya sangat bagus. Antarmuka aplikasi
didesain sederhana, tidak banyak isian. Ini pastinya membantu
meningkatkan penggunaan sistem.
Presentasi
C1 di web pilpres2014.kpu.go.id juga bagus. Sederhana dan mudah
digunakan oleh siapapun. Pengelolaan C1 ini membuat persepsi kalau
pemilu berlangsung dengan jujur dan adil. Hampir tidak mungkin
mempengaruhi hasil pemilu jika scan C1 sudah terkumpul semua di server
KPU.
Namun saya punya pertanyaan. Pertanyaan
cukup besar. Admin membuat aplikasi real count, khusus untuk pada
anggota KPU di alamat http://103.21.228.33/internal – kenapa data ini
tidak dibuka ke publik?
Kenapa memaksa publik untuk melakukan gotong royong entri data dari ratusan ribu formulir C1? Padahal real count nya sudah ada…
Sekedar pertanyaan selewat saja. Mungkin ada penilaian sendiri…
Kesimpulan
Kembali ke pertanyaan awal: Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil?
Saya
tidak tahu. Terlalu banyak daerah, terlalu banyak TPS, terlalu banyak
nama pemilih untuk dapat mengetahui permainan dengan SILOG atau SIDALIH.
Namun
dua hal yang pasti. Pertama: Siapapun yang bisa punya akses ke SILOG
dan SIDALIH dan punya niat untuk memenangkan calon nomor satu atau nomor
dua, terutama sebelum bulan Mei 2014, dan punya kemampuan koordinasi
dengan tim sukses di lapangan (TPS TPS, desa-desa mana saja yang perlu
dilebihkan kertas suara… Nama-nama apa saja yang perlu ditambahkan atau
dikurangi dari sistem) dapat sangat mempengaruhi hasil Pemilu Presiden
2014.
Kedua: Sama sekali tidak sulit
untuk mengakses semua sistem IT KPU. Malah saya curiga… Seperti dibuat
begitu mudah bagi hacker dan cracker yang ingin masuk. Ada apa?
Semoga bukan kenapa-kenapa. Semoga celah-celah keamanan yang saya tulis disini… Adalah kesalahan yang tidak disengaja.
Karena siapa yang punya akses ke sistem IT KPU… Bisa mempengaruhi siapa yang terpilih jadi presiden.
Presiden
yang punya kuasa akan negara 250 juta penduduk. Anggaran 2.000 triliun.
600.000 tentara. Perputaran uang hampir 10.000 triliun.
Karena kalau memang disengaja…
Sangat mudah… Bisa ada ratusan… Ribuan… Mungkin jutaan pemilih “baru”. Hasil kreasi dari mereka yang punya akses ke SIDALIH.
Bisa
juga ada ratusan… Ribuan… Mungkin jutaan kertas suara yang “kebetulan
lebih”. Hasil kreasi dari mereka yang punya akses ke SILOG.
Maaf jika tulisan ini jadi menimbulkan pertanyaan baru.
Demikian tulisan saya. Semoga ini bermanfaat.
Berikut ini adalah Hasil Penelusuran Saya Sumber : http://www.citizenjurnalism.com
Tidak ada komentar:
Posting Komentar