“Memang perlu diamankan? Paling-paling hanya di-deface. Lagipula yang ada di situs web tidak ada yang rahasia.” pernyataan berbentuk pertanyaan klasik yang sering saya dengar dari banyak rekan-rekan TI dan non-TI. Pernyataan yang dapat dipahami karena sebagian besar orang memang tidak sadar berbagai potensi ancaman yang ada.

Keamanan Pengunjung

Ketika seseorang mengunjungi sebuah situs web, sebenarnya dia juga mengundang script atau aplikasi untuk dijalankan dikomputernya. Maka risiko besar menghadang para pengunjung situs-situs resmi pemerintah, partai atau perusahaan, situs berita atau e-commerce yang berhasil disisipi malicious code yang menyerang komputer pengunjung. Beberapa risiko atau kerugian yang ditimbulkan antara lain:

• Session cookies Gmail, Yahoo, Facebook, Friendster atau Internet Banking dicuri dan digunakan untuk mengakses account-account korban
• Komputer korban dipasangi keylogger atau malicious code lainnya sehingga terjadi pembajakan UserID/password dan kartu kredit atau malah penyadapan percakapan dan aktivitas pribadi melalui fasilitas multimedia pada komputer korban
• Pencurian informasi rahasia
• Dijadikan bot (robot) untuk menyerang sistem komputer lainnya dan mengirim email sampah
• dan lain-lain

Dengan adanya Undang-Undang Informasi dan Transaksi Elektronik (UU ITE), setiap pemilik situs web (penyelenggara sistem) bisa saja digugat oleh pengunjung yang merasa komputernya diserang oleh situs web yang bersangkutan sehingga menimbulkan berbagai kerugian diatas.

Digunakan Untuk Menyerang Sistem Lain

Komputer juga merupakan senjata. Jika pemilik senjata lalai mengamankan senjata yang dimiliki, digunakan pihak lain untuk membunuh dan kemudian dikembalikan lagi tanpa diketahui, kemungkinan besar si pemilik senjata yang akan menjadi tersangka pelaku pembunuhan.

Apa yang terjadi seandainya server web milik Departmen Pertahanan Indonesia dibajak pihak lain dan digunakan untuk menyerang jaringan Department of Defense Amerika Serikat dan mengacaukan sistem kelistrikan milik Malaysia? Dalam konteks perang cyber, hal ini sama seperti ada pihak yang mencoba menarik Lebanon untuk terlibat dalam perang dengan Israel dengan menembakan roket dari Lebanon.

Hal serupa bisa saja terjadi antar Partai A dan Partai B, atau Perusahaan A dengan kompetitornya Perusahaan B. Dalam UU ITE, kecuali si pesaing bisa membuktikan bahwa sistemnya dibajak pihak lain untuk menyerang lawan bisnis atau lawan politiknya, maka pemilik sistem yang dibajak harus mempertanggung-jawabkan perbuatannya secara hukum. Apalagi dalam hal ini ketiga faktor utama terjadinya tindak kejahatan terpenuhi yaitu kemampuan, motif dan kesempatan.

Integritas Informasi

Situs web merupakan sarana penyebaran informasi yang cepat dan effektif. Sebuah skenario serangan yang disusun rapi dapat digunakan untuk membuat goyah sebuah perusahaan. Pada awal Juli 2007 saham Surgutneftegaz perusahaan minyak Rusia nyaris jatuh karena informasi sesat yang disebarkan menggunakan mailing list resmi miliknya. Di tengah gelombang krisis keuangan yang melanda saat ini, bukan hal mustahil ada bank yang tiba-tiba seluruh nasabahnya menarik uang beramai-ramai. Hal ini mungkin terjadi hanya karena penyerang yang membajak situs web bank tersebut berhasil menyisipkan informasi rahasia palsu bahwa bank akan dibekukan oleh BI dalam beberapa hari.

Sebagai Batu Loncatan Untuk Menguasai Jaringan Internal

Untuk kebanyakan organisasi yang situs webnya di-deface memang tidak terlalu menjadi persoalan. Karena cukup banyak pelaku defacement masih dalam belajar hacking tahap awal, maka akibat serangan yang ditimbulkan tidak membahayakan dan relatif mudah dilacak karena mereka meninggalkan begitu banyak jejak pada sistem. Tetapi yang mengerikan adalah jika seseorang berhasil menguasai sistem tanpa diketahui. Seperti yang terjadi pada jaringan milik Bank Dunia. Selama beberapa bulan jaringan tersebut disusupi pihak lain melalui Internet, bahkan si penyerang berhasil menguasai server-server yang mengatur keamanan jaringan komputer Bank Dunia seperti Domain Controller dan SecureID Server untuk melayani proses strong authentication.

Yang cukup sering terjadi adalah setelah menguasai server web (atau sistem lainnya yang bisa diakses langsung melalui Internet), penyerang mencari celah dan mencoba menguasai sistem lain dengan menggunakan server web sebagai batu loncatan, demikian seterusnya. Sebuah perusahaan yang memiliki koneksi Internet selayaknya memiliki firewall. Namun sudah pasti ada network port pada firewall yang harus dibuka dari jaringan DMZ (demiliterized zone) ke sistem lain pada jaringan internal. Hal ini diperlukan untuk pengawasan kinerja, administrasi, maupun backup server-server pada DMZ, dimana server-server yang digunakan untuk pengawasan hingga backup umumnya berada pada jaringan internal.

Gildas Deograt
Dimuat di Majalah CHIP, Edisi Februari 2009