JavaMagazine (Jakarta) - Pemilu harus jujur dan adil, itulah idealnya! Namun siapa sangka bila bisa pula terjadi sebaliknya dan banyak kecurangan.
Kemajuan teknologi dan informasi banyak didewa-dewakan sebagai sitem yang sempurna dan cepat bekerja dengan sangat akurat. Namun, tidak ada yang sempurna sebatas itu adalah buatan manusia yang sangat jauh dari sempurna.
Tulisan ini adalah representasi atas sikap jujur dan adil yang harus ditegakkan, tanpa embel-embel mendukung salah satu capres, baik yang telah disahkan KPU atau yang terdepak dari Pilpres 2014.
Semoga semua pihak dapat menyikapi dengan bijak temuan-temuan yang disarikan dari berbagai sumber ini, untuk dianalisa dan diambil sisi baiknya untuk menegakkan kebenaran.
Seorang hacker sistem IT yang merahasiakan jatidirinya demi
menghindari ancaman pidana menjelaskan kelemahan sistem IT Komisi
Pemilihan Umum (KPU) dalam Pilpres 2014 yang baru berlalu.
Audit yang dilakukannya terhadap sistem IT KPU itu dimuat di alamat audit-kpu.blogspot.com. Sejauh ini hanya ada satu artikel di blog itu dengan judul “Security Audit Sistem IT KPU Pilpres 2014”.
A, demikian nama anonim yang digunakannya, mengatakan ada enam celah
keamanan sistem IT KPU yang dapat digunakan oleh pihak-pihak yang
memiliki niat tidak baik.
Dia mengatakan audit yang dilakukannya ini dimaksudkan untuk ikut menciptakan pemilu yang lebih berkualitas di masa depan.
Karena setiap kali pemilu, mulai dari 2004, sistem IT selalu
dijadikan bahan perdebatan, redaksi merasa perlu memuat ulang audit yang
dilakukan A. Juga diharapkan, artikel yang ditulisnya menjadi bahan
perdebatan demi perbaikan penyelenggaraan pemilu.
Berikut kutipan dari audit sistem IT KPU itu.
PERKENALKAN. Nama saya A. Tanpa nama belakang.
Saya lahir di Indonesia. Sebagai CEH, profesi saya konsultan keamanan jaringan komputer.
Baru tahun ini saya mengikuti berita-berita dan ikut memilih di Pemilu Presiden Indonesia.
Hari ini 23 Juli 2014. Saya membaca berbagai tulisan orang. Banyak yang bertanya:
Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil?
Saya mungkin punya jawabannya. Mungkin. Tulisan saya mungkin
menjawab pertanyaan. Mungkin juga malah membuka banyak pertanyaan baru.
Namun sebelumnya mohon maaf. Saya bukan penulis. Mohon maaf jika
bahasa saya kurang baik. Saya coba sampaikan dengan singkat dan efektif.
Tulisan ini saya tujukan untuk anda-anda yang penasaran.
Juga untuk calon presiden terpilih, Pak Jokowi. Agar nanti sistem IT
Pemilu 2019 bisa lebih baik dari sekarang. Agar tidak ada lagi yang
teriak curang.
Juga untuk calon presiden tidak terpilih, Pak
Prabowo. Karena Anda pasti penasaran. Juga untuk presiden sekarang, Pak
SBY. Siapa tahu, bapak juga penasaran.
Juga untuk para
perancang dan admin sistem IT Pemilu 2014: Raden Santoso, Nanang Indra,
Utian Ayuba, Andy Nugroho, Yoga Dahirsa, Muhammad Hafidz dkk.
Tentunya juga untuk pada anggota KPU: Husni Kamil Malik, Ferry Kurnia Rizkiyansyah, Ida Budhiati, Sugit Pamungkas dkk.
Anggap saja ini sumbangan saya. Untuk bahan pelajaran bersama. Agar
Indonesia lebih aman. Indonesia hebat. Indonesia bangkit.
7 April 2014
Di 7 April 2014. Saya mengamati ada fenomena menarik.
Hacker dan cracker juga punya hak pilih. Punya hak berpolitik. Juga punya hak berkampanye mendukung nomor satu atau nomor dua.
Begitu besar semangat para hacker dan cracker dalam Pemilu Presiden
2014 ini. Sebagian besar dukung nomor dua. Walau juga ada yang dukung
nomor satu.
Ini kesimpulan saya setelah melihat begitu banyak
iklan capres di Google dan YouTube. Iklan yang baik-baik saja. Juga
iklan yang tidak baik-baik saja.
Padahal tidak boleh ada
iklan capres di kedua situs ini. Google melarang iklan politik di
Indonesia. Dalam bentuk apapun. Namun...
Mereka pasti menyadari kemampuan Google dalam menyaring dan memblokir iklan terbatas. Celah ini yang diekploitasi.
Ada juga yang begitu bersemangat, banyak situs orang diretas, diubah
jadi halaman untuk promosi atau menjelekkan yang tidak didukungnya.
Mereka berusaha untuk mempengaruhi persepsi. Persepsi mempengaruhi hasil.
Usaha mereka membuat saya bertanya. Selain menyebarkan informasi
untuk mempengaruhi presepsi, apa lagi yang bisa mereka lakukan?
Dapatkan hacker dan cracker simpatisan capres meretas sistem IT KPU? Dan mempengaruhi hasil secara langsung? Saya mencobanya.
Celah Keamanan # 1:
Email Anggota KPU
Untuk memahami bagaimana cara kerja sistem IT KPU saya perlu
informasi dari dalam. Saya mulai dari mencari alamat email
anggota-anggota KPU.
Saya menemukan dokumen ini semua alamat
email komisioner KPU yang aktif digunakan ada di dokumen ini. Enam dari
tujuh menggunakan email gratisan.
Saya jadi bertanya.
Mengatur pemilu bukan pekerjaan main-main. Kenapa gunakan email gratisan
yang mudah diretas? Apa mungkin disengaja?
Ferry Kurnia
sepertinya adalah yang paling muda dari tujuh anggota KPU. Biasanya yang
paling muda adalah yang paling terlibat untuk urusan IT.
Saya kirimkan satu email phishing ke Ferry. Tidak sampai dua jam, saya sudah bisa akses dan membaca semua email yang pernah diterima dan dikirimkan.
Apa yang saya temukan membuat saya bingung. Saya yakin para anggota
KPU, dan para perancang sistem IT KPU bukan orang sembarangan.
Namun mereka seperti membuat semuanya begitu mudah untuk seorang yang punya niat seperti saya untuk masuk ke sistem IT KPU.
Celah Keamanan # 2:
Berkirim Username dan Password di Email
Hal pertama yang saya lakukan ketika membuka boks email salah satu
anggota KPU adalah mencari kata "password". Saya sungguh terkejut.
Saya langsung dapat password ke SILOG. Sistem Logistik.
Saya juga dapat password ke Dropbox yang dipakai untuk simpan copy data pemilih seluruh Indonesia.
Dapat juga password ke sistem real count KPU. Ya. Ternyata KPU
memiliki sistem real count yang entah mengapa tidak ditampilkan di
websitenya sehingga publik harus menghitung sendiri seperti di website kawalpemilu.org.
Dapat juga password untuk mengelola website KPU. Dapat juga password
untuk SIDALIH, sistem data pemilih. Dapat juga password untuk banyak
sistem lainnya.
Ini juga membuat saya bingung. Berbagai
password dikirimkan begitu saja oleh admin melalui email. Apakah ingin
memudahkan hacker untuk masuk sistem?
Catatan: Banyak password di screenshot ini masih digunakan... Jadinya saya hidden ya... Maaf kalau jadi penasaran.
Celah Keamanan # 3:
Ada Google Docs Daftar Username dan Password
Betapa terkejutnya saya. Email ini benar-benar di luar logika dan
cara berpikir saya. Saya temukan satu email yang dikirimkan oleh admin
sistem IT KPU kepada semua anggota KPU. Isinya GOOGLE DOCS dengan daftar
semua password sistem IT KPU.
Saya jadi benar-benar curiga,
para admin dan anggota KPU memang ingin memudahkan hacker dan cracker
untuk masuk ke sistem IT KPU.
Apalagi...
Celah Keamanan # 4:
Pola Password Mudah Ditebak
Sebagai contoh, ini password SSH ke website KPU yang pernah digunakan:
4dm1n80njol@w1w1k.
Username: kpuadmin.
Password root shell/MySQL: m3rd3k41945!
Banyak password sistem IT KPU menggunakan pola yang sama. Apakah
agar mudah diingat... Atau agar mudah diretas. Maaf jika saya berpikir
yang tidak-tidak, karena saya dilatih untuk mencermati pola.
Celah Keamanan # 5:
Semua Anggota KPU Bisa Edit Daftar Pemilih Sesuka Hati
Ini adalah Sistem Data Pemilih (SIDALIH) KPU. Dengan sistem ini KPU
mengatur nama-nama yang masuk ke Daftar Pemilih Sementara (DPS) dan
Daftar Pemilih Tetap (DPT).
Penambahan atau pengurangan
nama-nama pemilih dapat dilakukan dari sistem ini. Ini krusial karena di
Indonesia pemilih dapat memilih cukup berbekal undangan tanpa perlu
KTP.
Saya orang awam. Namun jadi pertanyaan besar untuk saya.
Jika mau aman: Kenapa semua anggota KPU bisa edit DPT sesuka hati?
Kenapa akses yang diberikan oleh admin tidak hanya read only?
Keputusan hak edit ini, tentu saja keputusan disengaja, tidak
mungkin kecelakaan, memberikan kewenangan sangat besar untuk setiap
anggota KPU untuk bermain dengan jumlah pemilih. Mengurangi atau
menambahkan.
Bisa saja jika ada anggota KPU yang komunikasi
dengan tim sukses calon presiden tertentu, atau jika ada hacker atau
cracker pendukung calon presiden tertentu yang masuk ke sistem seperti
saya... Bisa saja menambahkan pemilih baru... atau mengurangi pemilih di
daerah-daerah tertentu.
Mereka yang belum bisa memilih, bisa
diberikan hak untuk memilih. Mereka yang diketahui akan memilih calon
tertentu, bisa dicabut hak memilihnya... Dengan mudah. Sangat mudah.
Apalagi untuk setiap entri... Tidak ada info atau log secara terbuka, siapa yang terakhir melakukan edit apalagi edit history.
Celah yang membahagiakan... Bagi siapapun yang punya niat tidak baik.
Celah Keamanan # 6:
Semua Anggota KPU Bisa Edit Jumlah Pengiriman Kertas Suara Sesuka Hati
Sistem Logistik (SILOG) KPU. Dengan sistem ini KPU mengatur
distribusi surat suara ke semua daerah / TPS. Penambahan atau
pengurangan pengiriman kertas suara dapat dilakukan dari sistem ini.
Pertanyaan saya mengenai SILOG ini sama dengan SIDALIH.
Saya orang awam. Namun jadi pertanyaan besar untuk saya. Jika mau
aman: Kenapa semua anggota KPU bisa edit logistik pemilu seperti kertas
suara sesuka hati? Kenapa akses yang diberikan oleh admin tidak hanya read only?
Maaf kalau ini seperti mengulang. Keputusan ini, tentu saja
keputusan disengaja, tidak mungkin kecelakaan, memberikan kewenangan
sangat besar untuk setiap anggota KPU untuk bermain dengan jumlah kertas
suara.
Bisa saja jika ada anggota KPU yang komunikasi dengan
tim sukses calon presiden tertentu, atau jika ada hacker atau cracker
pendukung calon presiden tertentu yang masuk ke sistem seperti saya...
Bisa saja mengirimkan kertas suara lebih ke daerah-daerah tertentu.
Sangat mudah.
Apalagi seperti di SIDALIH... Untuk setiap
entri... Tidak ada info atau log secara terbuka, siapa yang terakhir
melakukan edit apalagi edit history.
Apresiasi:
Sistem Scan Formulir C1
Dalam membuat tulisan ini, saya merasa saya harus adil. Jika ada
celah keamanan, saya sampaikan. Jika ada best practice yang dilakukan,
saya apresiasi.
Sistem scan formulir C1 yang dibuat oleh tim
KPU menurut saya sangat bagus. Antarmuka aplikasi didesain sederhana,
tidak banyak isian. Ini pastinya membantu meningkatkan penggunaan
sistem.
Presentasi C1 di web pilpres2014.kpu.go.id juga bagus. Sederhana dan mudah digunakan oleh siapapun.
Pengelolaan C1 ini membuat persepsi kalau pemilu berlangsung dengan
jujur dan adil. Hampir tidak mungkin mempengaruhi hasil pemilu jika scan
C1 sudah terkumpul semua di server KPU.
Namun saya punya pertanyaan. Pertanyaan cukup besar. Admin membuat aplikasi real count, khusus untuk pada anggota KPU di alamat http://103.21.228.33/internal, kenapa data ini tidak dibuka ke publik?
Kenapa memaksa publik untuk melakukan gotong royong entri data dari ratusan ribu formulir C1? Padahal real count nya sudah ada...
Sekedar pertanyaan selewat saja. Mungkin ada penilaian sendiri...
Kesimpulan
Kembali ke pertanyaan awal: Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil?
Saya tidak tahu. Terlalu banyak daerah, terlalu banyak TPS, terlalu
banyak nama pemilih untuk dapat mengetahui permainan dengan SILOG atau
SIDALIH.
Namun dua hal yang pasti. Pertama: Siapapun yang
bisa punya akses ke SILOG dan SIDALIH dan punya niat untuk memenangkan
calon nomor satu atau nomor dua, terutama sebelum bulan Mei 2014, dan
punya kemampuan koordinasi dengan tim sukses di lapangan (TPS TPS,
desa-desa mana saja yang perlu dilebihkan kertas suara... Nama-nama apa
saja yang perlu ditambahkan atau dikurangi dari sistem) dapat sangat
mempengaruhi hasil Pemilu Presiden 2014.
Kedua: Sama sekali tidak sulit untuk mengakses semua sistem IT KPU. Malah saya curiga... Seperti dibuat begitu mudah bagi hacker dan cracker yang ingin masuk. Ada apa?
Semoga bukan kenapa-kenapa. Semoga celah-celah keamanan yang saya tulis disini... Adalah kesalahan yang tidak disengaja.
Karena siapa yang punya akses ke sistem IT KPU... Bisa mempengaruhi siapa yang terpilih jadi presiden.
Presiden yang punya kuasa akan negara 250 juta penduduk. Anggaran
2.000 triliun. 600.000 tentara. Perputaran uang hampir 10.000 triliun.
Karena kalau memang disengaja...
Sangat mudah... Bisa ada ratusan... Ribuan... Mungkin jutaan pemilih
"baru". Hasil kreasi dari mereka yang punya akses ke SIDALIH.
Bisa juga ada ratusan... Ribuan... Mungkin jutaan kertas suara yang
"kebetulan lebih". Hasil kreasi dari mereka yang punya akses ke SILOG.
Maaf jika tulisan ini jadi menimbulkan pertanyaan baru.
Demikian tulisan saya. Semoga ini bermanfaat.
A.
Catatan kaki: Saya seorang hacker. Bukan cracker. Saya melakukan audit ini karena penasaran. Bukan karena ada niat tidak baik.
Namun undang-undang Indonesia tidak membedakan. Untuk menghindari kemungkinan pidana... I wish to remain anonymous. [***]
Sumber : rmol.co
IT KPU Pilpres 2014 Keamananya Sangat Rendah, Rawan Serangan Hacker
01.11
Java Magazine
0 komentar:
Posting Komentar