Dinas Kesehatan Ketapang Terkena Defacement Attack, Bukti Buruknya Pengelolaan Keamanan Web

Cyberthreat.id – Situs web Dinas Kesehatan Kabupaten Ketapang, Kalimantan Barat mengalami serangan siber berupa perusakan situs web (website defacement attack).

Halaman utama situs web (https://dinkes.ketapangkab.go.id) memang tidak diubah, tapi peretas memasukkan sebuah file tambahan di alamat (https://dinkes.ketapangkab.go.id/u.php) —lihat bagian akhir URL—sehingga terdapat halaman seperti di bawah ini.

Peretas bernama “R13S” mengunggah arsip peretasan itu di Zone-H.org, portal yang dipakai peretas untuk mendokumentasikan hasil serangan defacement web.

Namun, ketika dicek pada Senin (2 Agustus), tampilan gambar pada URL serangan tersebut sudah tidak ditemukan lagi; kemungkinan telah dideteksi oleh administrator web sehingga ditutup aksesnya. Dan, ketika bagian akhir URL yaitu “u.php” dihilangkan, pengunjung masuk ke halaman utama web Dinkes Ketapang.

Apa yang sebenarnya terjadi? Cyberthreat.id telah mengontak peneliti keamanan siber independen, Fauzan Wijaya pada Jumat (30 Juli 2021). Dalam pelacakannya, menurut Fauzan, situs web Dinkes Kabupaten Ketapang tersebut sebetulnya telah diretas lebih dari dua kali.

Peretas menggunakan nama julukan yang berbeda-beda, seperti Div007, Anon666Txploit, SadBroder_kh4t3m, dan /Tn.Culun. “Dan, yang terbaru yaitu R13S,” ujar Fauzan, Jumat.

“Salah satu narasumber saya memberi sebuah nama "Haris" sebagai orang yang bertanggung jawab atas peretasan ini,” ia menambahkan Jika menengok inisial “R13S” mudah untuk dibaca sebagai “Ries”.

“Kami menduga pelaku memiliki motif panjat sosial karena dirinya memasukkan situs Dinkes Ketapang ke arsip koleksi defacement Zone-H,” kata dia.

Apakah serangan tersebut berbahaya? Fauzan menegaskan serangan seperti itu “sangat membahayakan pemilik web” lantaran peretas dapat mengunggah sebuah “pintu belakang” (backdoor) untuk mendapatkan akses penuh kedalam file-file server melalui fitur upload tema WordPress atau bisa melalui pengeditan kode tema secara manual.

Di dunia programming, “pintu belakang” sebetulnya bukanlah peranti lunak jahat, tapi sering disalahgunakan untuk peretasan. Peranti lunak ini biasa dipakai programmer untuk mengakses sistem, aplikasi, atau jaringan tanpa harus proses autentikasi. Dan, memang dipakai untuk masuk ke sistem jika programmer ingin memperbaiki masalah (bug).

Sayangnya, “pintu belakang” kemudian disalahgunakan oleh penyerang untuk masuk ke sistem sistem atau program yang ditargetkan, lalu dipakai untuk menanam malware.

“Setelah mendapatkan akses backdoor, peretas memiliki opsi untuk menyelesaikan dengan cara defacing atau melanjutkan eksploitasi untuk mendapatkan hak akses root machine,” ujar Fauzan menjelaskan skenario yang bisa dilakukan peretas.

Ia pun menjelaskan secara teknis yang kemungkinan dilakukan peretas “R13S” terhadap situs web Dinkes Kabupaten Ketapang tersebut, yaitu penyerang melakukan enumerasi username melalui path/wp-json/wp/v2/users => booting alat bruteforcer xmlrpc => password valid => mengunggah backdoor => add file u.php => defaced

“Skenario terburuk yang akan dialami pemilik web [dengan serangan seperti itu, red] adalah kebocoran data melalui kredensial config WordPress,” ujar Fauzan.

Sumber kesalahan

Menurut Fauzan, kesalahan dari situs web tersebut lantaran administator situs web yang lalai dalam menangani keamanan fitur login. Alih-alih mengaktifkan fitur pemblokiran akses setelah salah berkali-kali, sang administrator lebih memilih untuk tidak mengaktifkannya, ujar dia.

Untuk memperbaiki kerusakan itu, yang pertama dan paling penting ialah mengubah kredensial login, kemudian menutup akses pada path /wp-json/*, lalu administrator dapat menambahkan firewall untuk memitigasi serangan brute force serta melakukan pembaruan berkala pada plugin.

“Karena penyerang bisa saja mendapatkan akses kembali melalui plugin/tema (WordPress) yang dipakai,” ujar Fauzan.

Berbasis WordPress

Situs web Dinkes Kabupaten Ketapang dibangun dengan berbasis WordPress, platform sumber terbuka yang biasa dipakai untuk pembuatan blog; berbahasa pemrograman PHP dan berbasis data MySQL.

Menurut Fauzan, tak ada salahnya membangun situs web berbasis WordPress asalkan tim TI-nya memiliki jadwal pengecekan keamanan (pentest) secara berkala atau dapat pula meminta bantuan pihak ketiga untuk memeriksanya.

“Melakukan update secara berkala dan melakukan pentesting keamanan tidak hanya satu atau dua kali,” ujar dia.

Sementara itu, untuk memperbaiki masalah yang ditemukan di situs web Dinkes Kabupaten Ketapang, “Developer WordPress yang berpengalaman hanya membutuhkan waktu kurang dari satu jam untuk mencegah serangan. Dan, untuk developer yang tidak terbiasa atau jarang mengoprek WordPress mungkin akan memakan waktu kurang lebih dua jam,” ujar Fauzan.

Problem web pemerintah

Pada tahun lalu, Deputy Head Master of Information Technology Swiss German University, Charles Lim, membeberkan sejumlah problem umum yang dialami situs web pemerintah sehingga seringkali diretas.

Menurut Charles, serangan siber yang menimpa sebuah situs web—meski situs web itu hanya berisi informasi saja, bukan data sensitif—adalah pertaruhan kepercayaan pemilik web kepada publik.

“Gimana sih rasanya kalau website kita di-hack sama orang. Kayaknya kredibilitas kita juga jadi turun. Kepercayaan. Wah, masalah sederhana saja enggak bisa diurus, kan gitu jadinya,” ujar Charles kala itu.

Charles melihat problem utama dari situs web pemerintah, terutama domain go.id, adalah menggunakan hosting berbeda-beda di tiap instansi. Dengan kondisi seperti itu, kata dia, tak semua penyedia hosting paham tentang keamanan.

Seharusnya, menurut dia, ada satu tempat untuk meng-hosting situs web khusus pemerintah agar terjamin aman. 

“Jadi, website itu seringkali di-hosting, ya sudah di-hosting saja, yang penting jadi. Enggak pernah dipikirkan tata kelolanya gimana,  peliharanya gimana. Akibatnya ya kayak gampang di-hack, nanti sudah diperbaiki, kena hack lagi,” ujar Charles.

Problem kedua, kata Charles, yang masih terjadi di situs web pemerintah adalah seringkali menggunakan aplikasi content management system (CMS) populer, seperti WordPress, Joomla, dan lain-lain.

“CMS populer pasti punya banyak kerentanan juga, nah kerentanan ini, cenderung enggak dipantau sama pembuat web,” kata dia.

“Misalnya, sekarang aman, nanti sebulan lagi sudah ada kerentanan dan enggak diperbaiki atau di-patch. Itu permasalahan kedua yang seringkali terjadi,” ujar dia.

Ketiga, persoalan yang juga disoroti Charles adalah kontrak pembuat situs web atau penyedia hosting. Lama kontrak cenderung paling lama setahun. Ketika sudah selesai masa kontrak, personel yang memelihara situs web tersebut tidak bertanggung jawab lagi.

“Berarti kan secara praktis website itu tidak pernah diperbaiki atau dipelihara lagi kan. Ibaratnya kayak rumah kosong yang tidak dihuni, ya lama-lama penuh dengan sarang nyamuk-lah,” ujar Charles.

“Jadi, banyak kerentanan yang sebenarnya disebabkan oleh masalah sepele. Ini enggak akan selesai masalahnya kalau tidak diselesaikan secara komprehensif. Pikirkan dari ujung ke ujung gitu.”

60 persen serangan ke web pemerintah

Pada awal tahun ini, Pusat Keamanan Siber Nasional Badan Siber dan Sandi Negara (BSSN), menyebutkan, hampir 60 persen serangan siber ke Indonesia menargetkan situs-situs web pemerintah.

Direktur Ptoteksi Informasi Pemerintah BSSN, Dwi Kardono, mengatakan, problem mendasar yang terjadi di lapangan ialah faktor sumber daya manusia yang kurang mumpuni di bidang keamanan  siber.

“Masalah SDM ini adalah hal lain yang juga mestinya menjadi perhatian kita semua. Seperti yang kita tahu lembaga pemerintah ini memang kekurangan SDM bidang keamanan siber yang mumpuni,” ujar Dwi.

Faktor lain yang masih menjadi kendala, kata Dwid, belum diterapkannya keamanan  Sistem Pemerintahan Berbasis Elektronik (SPBE) yang ditetapkan pemerintah secara komprehensif.

Padahal, berdasarkan Perpres Nomor 95/2018, tutur Dwi, instansi pemerintah pusat dan daerah yang menyelenggarakan SPBE wajib menerapkan keamanan SPBE yang sudah ditetapkan.

Menurut Dwi, sebagai Lembaga yang fokus pada keamanan siber, BSSN telah menyusun dan menetapkan standar teknis keamanan SPBE sebagai panduan bagi instansi pemerintah.

Diharapkan, sektor pemerintah pusat dan daerah dapat meminimalisasi risiko ancaman. Setidaknya ada 5 aspek yang perlu menjadi perhatian penyelenggara SPBE:

• Privacy dan data protection. Perlu memberikan perhatian penuh pada privasi data dan informasi sektor pemerintah termasuk aspek integritas data.
• Cloud computing. Penting untuk selektif pada penggunaan cloud computing dengan status mitra/sewa, keamanan lebih tinggi dengan penggunaan teknologi kriptografi atau enkripsi file yang tersimpan pada cloud.
• Security of device. Perlu menerapan security device atau IT security pada sistem pemerintah.
• Secure transmission of data. Penerapan jalur transmisi yang aman salah satunya dengan penerapan jaringan intra dan sistem penghubung layanan.
• Application risk. Meminimalisasi celah kerentanan. Jangan lupa untuk secara  kontinu dalam melakukan update software/security patch, dan hardening system.[]