Kalo ada orang yang menunjukkan daftar akun (username dan password) email domain batan.go.id, siapa yang bertanggung jawab lepasnya informasi tersebut? Yang paling gampang adalah Kepala Bidang SJK. Namun menunjuk saja tidaklah menyelesaikan akar masalah. Sebelum mengupas akar masalah, apakahs emudah itu menemukan file yang berisi akun? Saya mencoba dengan berbagai kata kunci, misal "daftar password email batan.go.id", "password list batan.go.id", "daftar account email batan.go.id" susah juga menemukan file tersebut. Bahkan hingga halaman ke 3. Setidaknya, orang yang menemukan file tersebut, hanyalah kebetulan. Kalau kebetulan, berarti sesuatu yang tidak bisa digeneralisir.
Dari pada membicarakan siapa yang bersalah, siapa yang harus bertanggung jawab, saling menyalahkan, saling menyudutkan, saling menjelekkan, siapa yang lebih jago, lebih baik membicarakan cara mengatasinya. Soalnya kalau sudah salah-salahan, suasana kerja jadi tidak kondusif. Seperti ada yang ingin saling menjegal, atau sikut-sikutan. Pokoknya jauh dari makna sinergi itu sendiri.
Bisa jadi si pemilik file akun tersebut sudah nggak bisa menemukan kembali file yang dulu pernah ia temukan. Namun yang pasti, si pembuat file itulah yang masih tetap ada. Entah dimana ia berada, bisa di dalam dan bisa di luar sana. Selain orangnya, yang lebih penting adalah lobang atau celah yang ia gunakan, masih tetap ada. Bisa jadi orang berganti, namun celah masih belum ditutup. Berarti esok atau lusa akun bisa disadap meskipun sudah ganti password sekalipun.
Celah itu bisa merupakan bawaan paket mail server (Squirrelmail/Postfix), bisa bawaan databasenya (MySQL), bisa bawaan sistem oeprasinya (FreeBSD), bisa networknya dan bisa juga dari keylogger yang ditanam seseorang. Ditanam melalui orang yang pernah bobol passwordnya. Entah bagaimana cara dan tekniknya.
Kalo orang nasehati urusan lobang keamanan, gampang, "hardening". Cuma implementasinya yang susah, susah karena gak tahu apanya yang harus di-hardening dan gak tahu apanya yang harus di-hardening.
Yang pasti, kalau pakai program wireshark, password squirrel mail berbentuk plain text, tidak terenkripsi. Password terlihat jelas. Ini beda dengan yahoo atau sejenisnya. Saya sudah minta orang yang menginstall squirrel mail dan mengusai-nya untuk mengakali gemana agar tidak plain text, ia give-up. Sementara saya sendiri gak faham dan gak punya ilmu tentang squirrel mail. Terus gemana? Ganti dengan mail server yang lain. Betul, ganti dengan Zimbra. Barangkali aja tidak plain text.
Untung ada mahasiswa PKL yang bersedia menginstalasi Zimbra. Setelah Zimbra selesai diinstalasi dan dikonfigurasi, sayangnya tidak bisa dilanjutkan, sang mahasiswa harus segera menyelesaikan studinya. Seharusnya dilanjutkan oleh pengelola mail server. Itu yang seharusnya...
Dalam dunia nyata, yang gampang secara teoritis, pada prakteknya belum tentu bisa dikerjakan dengan seribu satu alasan. Ada kendala-kendala teknis dan non teknis yang harus diselesaikan bersama, bukan hanya dengan tunjuk menunjuk.
Meskipun sudah beralih ke Zimbra, masalah tidak begitu saja berakhir. Memindahkan akun dari squirrel mail ke Zimbra tidaklah mudah, karena belum pernah dilakukan. Setidaknya format meta datanya pasti beda. Seandainya sudah bisapun, akan makan banyak waktu. Dan jika sudah selesai pun, perlu dites dengan software tertentu, apakah passwordnya masih plain text, apakah mail server punya celah keamanan. Seandainya sudah ketemu celah keamanan, yang lebih sulit adalah bagaimana cara menutupnya.
Semua itu akan bisa terselesaikan jika tersedia dana yang memadai. Memadai untuk menyewa konsultan IT, konsultan khusus security, membeli mail server propriety, membeli anti virus untuk mail server, melanggan anti virus, melanggan anti spam, biaya perawatan mail server, memasang honeypot, tipping point.
Intinya, masalah keamanan jaringan komputer, mail server, web server, database server menjadi masalah bersama, tidak bisa dipikul oleh seorang eselon IV atau eselon III. Sumber daya yang ada di eselon IV dan III sangat terbatas. Siapa yang menyangka kalau ada yang masuk ke dalam sistem lewat celah keamanan jaringan? Belum ada bukan berarti tidak ada, baik lewat kabel atau nirkabel.
Jika saya yang harus melakukan pentest dan hardening, rasanya tidak bisa disambi dengan tugas-tugas manajemen sebagai Kepala Bidang. Pekerjaan ini butuh konsentrasi penuh. Mengingat tidak punya latar belakang IT Security. Jika sedikit-sedikit harus ikut rapat, undangan, seminar, workshop, buat laporan, maka konsentrasi bisa buyar. Sekali buyar, pekerjaan akan kembali dimulai dari nol lagi.
No comments:
Post a Comment