IP Penyerang Situs Corona DKI Jakarta Ketahuan, Tapi..

Jakarta, Cyberthreat.id - Situs bikinan Pemerintah DKI Jakarta untuk menyampaikan informasi terkait perkembangan penyebaran virus di Jakarta sulit diakses sejak Rabu sore (12 Maret 2020) dan baru pulih dua hari kemudian.

Belakangan, akun Twitter resmi Pemprov DKI menyebut situs web dengan nama corona.jakarta.go.id itu diserang hacker lewat serangan DDoS (Distributed Denial of service).

Namun, klaim itu dipertanyakan oleh praktisi keamanan siber dari Vaksincom, Alfons Tanujaya. Dalam sebuah tulisannya, Alfons mengatakan kecil kemungkinan ada serangan DDoS ke situs itu. Jika pun benar, kata Alfons, harusnya pengelola situs memberi bukti. Misalnya berupa alamat IP (Internet Protocol) asal serangan, dan melaporkannya ke penegak hukum.

Berita Terkait:

• Sulit Diakses, Situs Corona Punya DKI Jakarta Diserang DDoS

Hasil pelacakan Alfons menemukan kemungkinan lain, yakni server-nya kehabisan bandwidth. Pantauan Alfons, bandwidth yang tersedia sangat kecil dan habis pada Kamis malam (13/3/2020), tepat saat pengumuman serangan DDoS dilakukan.

Benarkah? Untuk mengetahui duduk perkara sebenarnya, Cyberthreat.id mewawancarai Kepala UP Jakarta Smart City, Yudhistira Nugraha, pada Jumat (13 Maret 2020).

Bisa dijelaskan kronologi insiden sibernya?
Website corona.jakarta.go.id itu kita rilis hari Jumat, 6 Maret 2020. Waktu rilis lumayan banyak yang akses, trafik masih normal hampir 90 ribu hit itu waktu dirilis saja pagi-pagi. Enggak ada masalah, trafik normal segala macam.

Sampai tanggal 11 Maret 2020, pada saat kebetulan ada bahas corona di TV, hadir pak gubernur (Anies Baswedan), di acara Mata Majwa. Kemudian, kebetulan saya juga enggak tahu itu ada faktor kebetulan pada saat acara Mata Najwa itu ada perubahan trafik yang cukup signifikan.

Perubahan trafik yang mungkin banyak yang akses tapi kita lihat ada anomali trafik. Jadi dari jam 7  sampai 8 malam ada perubahan trafik. Oke, mungkin banyak yang akses kan tapi terus berlanjut sampai jam 10, trafiknya langsung meloncat tinggi. Yang biasanya itu stabil, trafiknya langsung loncat tinggi sampai jam 10 malam dan itu sampai bandwidth-nya mencapai sekitar 3,9 Gbps (Gigabit per detik)

Sebenarnya kalau dari kapasitas bandwidth-nya hanya 350 Mbps. Sedangkan bandwidth trafik yang kira-kira jam 9 malam itu melebihi 3,9 Gbps. Kita sudah minta tambah bandwidth dari icon+, mereka sediakan. Itu pertama.

Yang kedua, itu terus lanjut tinggi lagi sampai jam 3 malam (12 Maret 2020). Jadi dari jam 10 itu langsung naik terus sampai jam 2.30 subuh sampai jam 3 itu dengan bandwidth atau kebanjiran trafik itu sekitar 7,9 Gbps. Dari situ kita berasumsi bahwa ada anomali. Anomali trafik yang tidak normal. Yah enggak mungkin masa udah dini hari trafik yang biasanya standar, yang mana dari jam pagi sampai jam 7 malam tuh trafiknya standar, tiba-tiba jam 10 jam atau jam 11 trafiknya sampai 3,9 Gbps. Hampir tengah malam lagi.

Dari situ kita berasumsi “oh ini anomali ada, atau banjir trafik atau yang kita sebut dengan DDoS attack”.

Kalau bicara DDoS attack sebenarnya gini, filosofi DDoS itu orang melakukan DDoS attack itu ada dua motifnya, biasanya motif bisnis atau motif politik gitu kan, tapi kita tidak bicara itu ya. Kami konsen bagaimana kita bisa memberikan informasi secepatnya oleh masyarakat pada saat terjadi banjir trafik, kita langsung melakukan take-down IP yang diserang, jadi ada IP publik yang related dengan  website corona.jakarta.go.id, kita take down dulu supaya trafiknya turun, kita perbaiki.

Jam 3 turun, kemudian kami perbaiki, normal kembali tapi trafik tetap langsung dengan banjir trafik yang lebih kecil dalam durasi panjang dengan 3,9 Gbps sedangkan trafik bandwidth yang kita punya hanya 350 Mbps, itu yang kita sewa.

Kami menemukan ternyata serangan ke IP publik itu tetap berjalan, akhirnya kami pindahkan ke IP publik yang lain. Oke jalan lagi, eh ternyata diserang lagi. Akhirnya jam 5 sore kemarin puncak-puncaknya akhirnya kami switch.

Jadi, di Dinas Kominfo itu ada beberapa jaringan, yang tadi diserang jaringan melalui JSC, akhirnya website corona.jakarta.go.id itu kita pindahkan ke jaringan di bidang lain sampai saat ini, kita buat beberapa kloning, Kalau server ini diserang kami akan switch ke virtual machine. Kita buat kloning VM, kalau ini diserang kita switch ke sini gitu.

Sebenarnya prinsip kami buat situs corona ini: siapa sih mau DDoS? Akhirnya kami pasang sistem sekuriti, tetapi ternyata ada yang nyerang. Akhirnya kami pindahkan dengan tambah level sekuriti yang lebih tinggi sampai saat ini, yah jalan itu.

Berarti sebelumnya sistem sekuritinya bagaimana?
Tetap. Kalau bicara sekuriti itu misalnya kamu punya emas, punya perak, apakah level proteksinya sama? Enggak kan, tergantung dari kebutuhan. Kan ini website informasi publik enggak ada istilahnya hal-hal yang sensitif gitu. Di website ini tidak ada database-nya, data yang sudah matang yang ditampilkan. Jadi sebenarnya informasi hanya untuk masyarakat enggak ada yang sifatnya kredensial atau apa. 

Mungkin ini koreksi buat kami juga untuk membenahi lebih baik lah ke depan. Makanya kami siapkan macam-macam strategi kalau ini down. Prinsipnya sih supaya ini gimana caranya enggak down. Biarpun itu misalkan di DDoS atau trafik masyarakat banyak yang masuk kita juga bagaimana caranya ini cepat pulih yah. Jadi, jangan sampai informasi ke masyarakat itu terputus. Itu tujuan kami sih.

Pertama kali DDoS menginfeksi apa?
IP publik. Dari segi server enggak ada masalah, aman-aman saja. orang mengakses susah karena trafik didalamnya ini dipenuhi gitu. Jadi sebenarnya trafik yang orang akses itu enggak masuk karena dibanjiri.

Pas down banget kapan?
Pas ada serangan tapi stabil, kadang-kadang bisa. Down-nya malam jam 6 habis magrib. Habis tweet itu langsung ngedrop banget, lapor. Padahal tanggal 11 Maret itu tahu bahwa ini ada anomali serangan, tapi kita usahakan. Kami enggak langsung bilang bahwa DDoS. Kami pelajarin dulu baru kami nyatakan, bahwa oh ini DDoS. Kan harus lihat dulu pola-polanya.

Tapi bisa diakses ya?
Bisa tapi pas penuh enggak bisa lagi.

Berapa lama penanganannya?
As soon as possible (secepat mungkin), kalau tanggal 11 Maret kami lakukan pemberhentian take down IP sementara, itu turun kan [trafiknya]. Saat tanggal 11 Maret itu lama banget, durasinya serangan masuk 5 jam atau 6 jam. Karena itu kan website ada di IP sekian, kita pindah ke IP sekian, ternyata yang lama masih diserang. Walaupun nge-hit IP mana saja, trafik tetap penuh kan. Waktu kami pindah ke versi terbaru, dengan IP baru itu juga yang diserang. Makanya kadang naik kadang turun.

Pagi (12 Maret 2020) gimana penanganannya?
Pagi lebih cepat karena timnya lebih banyak. Waktu malam paling simple itu kami take down dulu. Kami pindah ke IP lain. Kejar-kejaranlah gitu sampai jam 7 sore sempat down.

Apakah situs ini dikelola oleh Diskominfo DKI Jakarta?
Iya.

Sebelumnya memperkirakan gak akan ada kemungkinan terjadinya DDoS?
Kami perkirakan, biasanya DDoS itu kan pakai biaya. Kalau misalkan dengan banjir trafik yang tinggi itu ada biayanya, ada botnet, masa dia mau buang-buang uang untuk itu. Di sekuriti kan kita tidak harus, oh, very secure, tergantung dengan konteksnya dulu dong. Kami selalu buat plan mitigasi plan A, B, C, D seperti itu. Dengan virtual itu. sampai sekarang juga itu bagian dari mitigasi kami.

Bisa dijelaskan virtual itu seperti apa?
Kita pakai Virtual Machine (VM), anggap saja cloud. tapi cloud-nya on premises, jadi diluarlah. server satu, kita kloning, kloning itu sama persis gitu. Analoginya, kalau kamu punya buku A, B, itu isinya sama. kalau buku A dicoret, saya switch ke buku B. Isinya sama persis. Jadi, kalau ada yang ngejahilin ini, pindah ke sini. contoh lainnya punya rumah nih dua sama persis, isinya sama persislah. Rumah satunya ada premannya lah, pindah ke rumah yang sama persis itu.

Kita mencoba memperbaiki infrastruktur kita, planning tetap dengan berbagai level yah, seberapa jauh sih efeknya itu. Kta siapkan bandwidth-nya, anti-DDoS yang lebih canggih lagi. Kita keluar biaya lebih, tapi enggak apa-apa karena oh ternyata ada orang yang jahil tadi jadi kita tambahkan anti-DDoS yang lebih levelya. Anti-DDoS ada levelnya juga.

Terus langkah antisipasinya gimana setelah kejadian ini?
Kalaupun ada yang mau attack lagi, kita sudah pasang semacam kayak honeynet di depan, semacam anti-DDoS yang bisa merekam semua trafik yang masuk ke depan.

Jadi, sebelumnya belum ada itu?
Sebelumnya ada, kita taruh di belakang. seperti itu. Sebenarnya seperti tadi, ini website sifatnya bukan aparatur pakai buat kerja, kayak aplikasi keuangan dll. Memang buat publik gitu, open Orang security itu enggak mungkin, langsung saya buat very secure. Tapi, kita lihat risikonya. Sekuriti itu kan based on risk. Tadi yang saya bilang DDoS ini ada dua motif bisnis sama politik, tapi kita tidak ingin mengklaim itu yah.

Kok ada juga mau DDoS website ini padahal ini untuk publik gitu loh, yang isinya informasi.  Dari kejadian sekarang, makanya kami coba tingkatkan. Dengan kejadian ini, kami mencoba mengantisipasi sekuritinya, networknya. Semoga setelah ini mudah-mudahan enggak ada apa-apa. namanya IT itu luas yah, tetap ada selangkah lebih maju dibanding A, dibanding B, tapi logikanya ini kita balik lagi ini website untuk publik, enggak ada bisnis, kemanusiaan gitu. Kalau dengan logika, ada saja orang tega gitu. Ini untuk humanity gitu loh.

Orang buat desain website tergantung dari kebutuhan dia. Kalau, misalnya, sudah pasang anti-DDoS level 3 level 4, ya ngapain juga, kan lihat trafik. Kita tambah lagi nih karena ada yang jahil. Kan gitu kan, nggak mungkin tiba-tiba kita level 5.

Bukannya mungkin ya dibuat lebih secure dari awal?
Enggaklah, orang sekuriti itu tergantung kebutuhan. Jadi, buat sistem itu tergantung risikonya. Sebenarnya hari Kamis (6 Maret 2020) sampai hari Rabu (11 Maret 2020) standar-standar saja enggak ada masalah.

Apakah IPnya terlacak berasal dari mana?
Dibilang terlacak, ada. Tapi gini, DDoS itu harus melakukan tracing yang cukup ketat. Kalau kita lihat live, ada serangan dari luar negara A, B, C, tapi belum tentu. Karena biasanya IP hopping artinya dari dalam dia nembaknya dari luar, terus tembak dari dalam lagi, seperti itu.

Ada IP yang di-hidden. Namanya pencuri juga hidden. Kami sudah pasang juga logging untuk bisa me-record semua trafik yang masuk di khususnya corona.jakarta.go.id. Ketahuan, tapi harus investigasi lebih lanjut.

Ada serangan yang menyerang IP publik yang related dengan corona.jakarta.go.id. Kalau track berapa IP nya ini yah bisa belum mengklaim ya, belum bisa men-discloure, harus ditelusuri sampai dalam. Ada serangan dari luar, kita tahu ini IP luar, tapi belum tentu mereka yang melakukan. tapi belum tentu negara itu.

Terus ada juga kita tangkap anomali trafik yang cukup besar dengan cukup rutin 7,9 Gbps, tapi ini enggak terekam IP-nya. Harus dikulik-kulik lagi lah.

Memperkirakan enggak sih akan ada akses yang banyak? Kan ini website untuk publik...
Kami  memperkirakan kalau akan banyak yang akses, makanya kita ngasih bandwidth termasuk besar: 350 Mbps. Tapi, kalau ditanya apakah dalam posisi diperkirakan banyak yang akses? Iya, kita sudah tes mulai dari 5000 hit per menit, kami melakukan itu. Kemudian, dalam desain kodingnya, kami tidak pakai database, kami hardcode sehingga orang tidak bisa mengubah (deface attack). Jadi, [serangan yang terjadi] DDoS saja.

Analoginya: ada rumah, depannya ada jalan. Ada orang yang kasih batu di jalan itu biar orang enggak bisa lewat gitu. Kami sudah punya rumah lebarnya dua meter, masa saya langsung mau buat sepuluh meter kan enggak mungkin. Dua meter dulu, oh ternyata banyak yang datang, baru tambah lagi kan, tiba-tiba saya buat gede kan enggak mungkin.

Berarti sekarang sudah benar-benar aman nih situsnya?
Sudah. Dari awal waktu diserang, kami buat dua kloning: server kloning 1, dan kloning 2. Misalkan ini server 1 diserang, kita switch gitu. Dia tetap nyerang [ke kloning 1], kami pindah jaringan. Semua kayak gitu. Prinsipnya sih, di dunia IT everything is possible, enggak 100 persen aman.

Apakah serangan DDoS ini berupa botnet atau bagaimana?
Belum tahu. Bisa jadi botnet. Kalau skala-skala seperti itu ada campuran juga, banyak persepsi. Intinya ada anomali trafik.

Berapa lama hitungan serangan DDoS-nya?
Berapa detik ya, cepatlah. trafiknya tuh, naik terus. Kalau trafik normal, kami naik turun. Kalau ini enggak, naik-naik-naik. Nah, kalau langsung kayak begitu, otomatis kalau web-nya enggak bisa diakses, kan pasti berhenti. Anomalinya sih di situ. Besok paginya (12 maret 2020) berhenti bentar. Setelah jam 6 pagi mulai ada serangan, tapi serangan 3,9 Gbps itu gede banget, cukup lama sampe sore. Ya logikanya tadi, masa jam 12 malam ada yang membanjiri 7,9 Gbps, wong dari tanggal 11 Maret normal-normal saja trafiknya.

Melakukan pentest kan ya? Hasilnya bagaimana?
Iya, secara internal, tapi pentest itu dari segi sekuriti website-nya, itu sangat susah di-hack karena hadcoding ini susah banget.

Tapi, kok ini terbukti DDoS bisa?
DDoS kan dari segi avaibility, enggak ada yang berubah. Bikin down saja, rumahnya tetap utuh, cuma diganggu. Kita enggak tahu ke depan memang ada yang pengen ini down atau gimana. Tapi, segala mitigasi kami lakukan.

Ada bug berarti ya?
Enggak ada. Kalau di security itu ada confidentiality,  integrity, dan availability. Kalau diserang tuh dari segi availability saja, dari segi network, jalannya dirusak gitu. Tidak ada bug. Ini hanya level security network. Jadi, kalau keamanan itu ada confidentiality (kerahasiaan, data-data informasi sensitif yang bisa diakses), integrity (biasanya webnya di deface), availability (ketersediaan, websitenya jalan tapi enggak bisa diakses itu bagian ketersediaan), itu semua bagian dari sekuriti. Kalau bug, dia [pelaku] sudah tahu IP publiknya, itu yang diserang, makanya IP kami take down supaya lebih aman.  

Trafik internasional diblok enggak ya?
Enggak, bisa diakses kok dari luar negeri. Kalau warga Indonesia ada di luar, kasian kalau diblokir trafik luarnya.[]

Editor: Yuswardi A. Suud