Perkenalkan. Nama saya A. Tanpa nama
belakang.
Saya lahir di Indonesia. Sebagai CEH,
profesi saya konsultan keamanan jaringan komputer.
Baru tahun ini saya mengikuti berita-berita
dan ikut memilih di Pemilu Presiden Indonesia.
Hari ini 23 Juli 2014. Saya membaca
berbagai tulisan orang. Banyak yang bertanya: Apakah Pemilu Presiden 2014
berlangsung dengan jujur dan adil?
Saya mungkin punya jawabannya. Mungkin.
Tulisan saya mungkin menjawab pertanyaan. Mungkin juga malah membuka banyak
pertanyaan baru.
Namun sebelumnya mohon maaf. Saya bukan
penulis. Mohon maaf jika bahasa saya kurang baik. Saya coba sampaikan dengan
singkat dan efektif.
Tulisan ini saya tujukan untuk anda-anda
yang penasaran.
Juga untuk calon presiden terpilih, pak
Jokowi. Agar nanti sistem IT Pemilu 2019 bisa lebih baik dari sekarang. Agar tidak ada
lagi yang teriak curang.
Juga untuk calon presiden tidak terpilih,
pak Prabowo. Karena anda pasti penasaran. Juga untuk presiden sekarang, pak
SBY. Siapa tahu, bapak juga penasaran.
Juga untuk para perancang dan admin sistem
IT Pemilu 2014: Raden Santoso, Nanang Indra, Utian Ayuba, Andy Nugroho, Yoga
Dahirsa, Muhammad Hafidz dkk.
Tentunya juga untuk pada anggota KPU: Husni
Kamil Malik, Ferry Kurnia Rizkiyansyah, Ida Budhiati, Sugit Pamungkas dkk.
Anggap saja ini sumbangan saya. Untuk bahan
pelajaran bersama. Agar Indonesia lebih aman. Indonesia hebat. Indonesia
bangkit.
7 April 2014
Di 7 April 2014. Saya mengamati ada
fenomena menarik.
Hacker dan cracker juga punya hak pilih.
Punya hak berpolitik. Juga punya hak berkampanye mendukung nomor satu atau
nomor dua.
Begitu besar semangat para hacker dan
cracker dalam Pemilu Presiden 2014 ini. Sebagian besar dukung nomor dua. Walau juga
ada yang dukung nomor satu.
Ini kesimpulan saya setelah melihat begitu
banyak iklan capres di Google dan YouTube. Iklan yang baik-baik saja. Juga
iklan yang tidak baik-baik saja.
Padahal tidak boleh ada iklan capres di
kedua situs ini. Google melarang iklan politik di Indonesia. Dalam bentuk
apapun. Namun...
Mereka pasti menyadari kemampuan Google
dalam menyaring dan memblokir iklan terbatas. Celah ini yang diekploitasi.
Ada juga yang begitu bersemangat, banyak situs
orang diretas, diubah jadi halaman untuk promosi atau menjelekkan yang tidak
didukungnya.
Mereka berusaha untuk mempengaruhi
persepsi. Persepsi mempengaruhi hasil.
Usaha mereka membuat saya bertanya. Selain
menyebarkan informasi untuk mempengaruhi presepsi, apa lagi yang bisa mereka lakukan?
Dapatkan hacker dan cracker simpatisan
capres meretas sistem IT KPU? Dan mempengaruhi hasil secara langsung? Saya
mencobanya.
Celah Keamanan # 1: Email
Anggota KPU
Untuk memahami bagaimana cara kerja sistem
IT KPU saya perlu informasi dari dalam. Saya mulai dari mencari alamat email anggota-anggota
KPU.
Saya menemukan dokumen ini semua alamat
email komisioner KPU yang aktif digunakan ada di dokumen ini. Enam dari tujuh
menggunakan email gratisan.
Saya jadi bertanya. Mengatur pemilu bukan
pekerjaan main-main. Kenapa gunakan email gratisan yang mudah diretas? Apa
mungkin disengaja?
Ferry Kurnia sepertinya adalah yang paling
muda dari tujuh anggota KPU. Biasanya yang paling muda adalah yang paling
terlibat untuk urusan IT.
Saya kirimkan satu email phishing ke Ferry.
Tidak sampai dua jam, saya sudah bisa akses dan membaca semua email yang pernah
diterima dan dikirimkan.
Apa yang saya temukan membuat saya bingung.
Saya yakin para anggota KPU, dan para perancang sistem IT KPU bukan orang sembarangan.
Namun mereka seperti membuat semuanya
begitu mudah untuk seorang yang punya niat seperti saya untuk masuk ke sistem
IT KPU.
Celah Keamanan # 2: Berkirim
Username dan Password di Email
Hal pertama yang saya lakukan ketika
membuka boks email salah satu anggota KPU adalah mencari kata
"password". Saya sungguh
terkejut.
Saya langsung dapat password ke SILOG.
Sistem Logistik.
Saya juga dapat password ke Dropbox yang
dipakai untuk simpan copy data pemilih seluruh Indonesia.
Dapat juga password ke sistem real count
KPU. Ya. Ternyata KPU memiliki sistem real count yang entah mengapa tidak
ditampilkan di websitenya sehingga publik harus menghitung sendiri seperti di
website kawalpemilu.org.
Dapat juga password untuk mengelola website
KPU. Dapat juga password untuk SIDALIH, sistem data pemilih. Dapat juga
password untuk banyak sistem lainnya.
Ini juga membuat saya bingung. Berbagai
password dikirimkan begitu saja oleh admin melalui email. Apakah ingin
memudahkan hacker untuk masuk sistem?
Catatan: Banyak password di screenshot ini
masih digunakan... Jadinya saya hidden ya... Maaf kalau jadi penasaran.
Celah Keamanan # 3: Ada
Google Docs Daftar Username dan Password
Betapa terkejutnya saya. Email ini
benar-benar di luar logika dan cara berpikir saya. Saya temukan satu email yang
dikirimkan oleh admin sistem IT KPU kepada semua anggota KPU. Isinya GOOGLE
DOCS dengan daftar semua password sistem IT KPU.
Saya jadi benar-benar curiga, para admin
dan anggota KPU memang ingin memudahkan hacker dan cracker untuk masuk ke
sistem IT KPU.
Apalagi...
Celah Keamanan # 4: Pola
Password Mudah Ditebak
Sebagai contoh, ini password SSH ke website
KPU yang pernah digunakan: 4dm1n80njol@w1w1k. Username: kpuadmin.
Password root shell/MySQL: m3rd3k41945!
Banyak password sistem IT KPU menggunakan
pola yang sama. Apakah agar mudah diingat... Atau agar mudah diretas. Maaf jika
saya berpikir yang tidak-tidak, karena saya dilatih untuk mencermati pola.
Celah Keamanan # 5: Semua
Anggota KPU Bisa Edit Daftar Pemilih Sesuka Hati
Ini adalah Sistem Data Pemilih (SIDALIH)
KPU. Dengan sistem ini KPU mengatur nama-nama yang masuk ke Daftar Pemilih
Sementara (DPS) dan Daftar Pemilih Tetap (DPT).
Penambahan atau pengurangan nama-nama
pemilih dapat dilakukan dari sistem ini. Ini krusial karena di Indonesia
pemilih dapat memilih cukup berbekal undangan tanpa perlu KTP.
Saya orang awam. Namun jadi pertanyaan
besar untuk saya. Jika mau aman: Kenapa semua anggota KPU bisa edit DPT sesuka
hati? Kenapa akses yang diberikan oleh admin tidak hanya read only?
Keputusan hak edit ini, tentu saja
keputusan disengaja, tidak mungkin kecelakaan, memberikan kewenangan sangat
besar untuk setiap anggota KPU untuk bermain dengan jumlah pemilih. Mengurangi
atau menambahkan.
Bisa saja jika ada anggota KPU yang
komunikasi dengan tim sukses calon presiden tertentu, atau jika ada hacker atau
cracker pendukung calon presiden
tertentu yang masuk ke sistem seperti saya... Bisa saja menambahkan pemilih
baru... atau mengurangi pemilih di daerah-daerah tertentu.
Mereka yang belum bisa memilih, bisa
diberikan hak untuk memilih. Mereka yang diketahui akan memilih calon tertentu,
bisa dicabut hak memilihnya... Dengan mudah. Sangat mudah.
Apalagi untuk setiap entri... Tidak ada
info atau log secara terbuka, siapa yang terakhir melakukan edit apalagi edit
history.
Celah yang membahagiakan... Bagi siapapun
yang punya niat tidak baik.
Celah Keamanan # 6: Semua
Anggota KPU Bisa Edit Jumlah Pengiriman Kertas Suara Sesuka Hati
Sistem Logistik (SILOG) KPU. Dengan sistem
ini KPU mengatur distribusi surat suara ke semua daerah / TPS. Penambahan atau
pengurangan pengiriman kertas suara dapat dilakukan dari sistem ini.
Pertanyaan saya mengenai SILOG ini sama
dengan SIDALIH.
Saya orang awam. Namun jadi pertanyaan
besar untuk saya. Jika mau aman: Kenapa semua anggota KPU bisa edit logistik
pemilu seperti kertas suara sesuka hati? Kenapa akses yang diberikan oleh admin
tidak hanya read only?
Maaf kalau ini seperti mengulang. Keputusan
ini, tentu saja keputusan disengaja, tidak mungkin kecelakaan, memberikan
kewenangan sangat besar untuk setiap anggota KPU untuk bermain dengan jumlah
kertas suara.
Bisa saja jika ada anggota KPU yang
komunikasi dengan tim sukses calon presiden tertentu, atau jika ada hacker atau
cracker pendukung calon presiden
tertentu yang masuk ke sistem seperti saya... Bisa saja mengirimkan kertas
suara lebih ke daerah-daerah tertentu. Sangat mudah.
Apalagi seperti di SIDALIH... Untuk setiap
entri... Tidak ada info atau log secara terbuka, siapa yang terakhir melakukan
edit apalagi edit history.
Apresiasi: Sistem Scan
Formulir C1
Dalam membuat tulisan ini, saya merasa saya
harus adil. Jika ada celah keamanan, saya sampaikan. Jika ada best practice
yang dilakukan, saya apresiasi.
Sistem scan formulir C1 yang dibuat oleh
tim KPU menurut saya sangat bagus. Antarmuka aplikasi didesain sederhana, tidak
banyak isian. Ini pastinya membantu meningkatkan penggunaan sistem.
Presentasi C1 di web pilpres2014.kpu.go.id
juga bagus. Sederhana dan mudah digunakan oleh siapapun.
Pengelolaan C1 ini membuat persepsi kalau
pemilu berlangsung dengan jujur dan adil. Hampir tidak mungkin mempengaruhi
hasil pemilu jika scan C1 sudah terkumpul semua di server KPU.
Namun saya punya pertanyaan. Pertanyaan
cukup besar. Admin membuat aplikasi real count, khusus untuk pada anggota KPU
di alamat http://103.21.228.33/internal - kenapa data ini tidak dibuka ke
publik?
Kenapa memaksa publik untuk melakukan
gotong royong entri data dari ratusan ribu formulir C1? Padahal real count nya
sudah ada...
Sekedar pertanyaan selewat saja. Mungkin
ada penilaian sendiri...
Kesimpulan
Kembali ke pertanyaan awal: Apakah Pemilu
Presiden 2014 berlangsung dengan jujur dan adil?
Saya tidak tahu. Terlalu banyak daerah,
terlalu banyak TPS, terlalu banyak nama pemilih untuk dapat mengetahui
permainan dengan SILOG atau SIDALIH.
Namun dua hal yang pasti. Pertama: Siapapun
yang bisa punya akses ke SILOG dan SIDALIH dan punya niat untuk memenangkan calon
nomor satu atau nomor dua, terutama sebelum bulan Mei 2014, dan punya kemampuan
koordinasi dengan tim sukses di lapangan (TPS TPS, desa-desa mana saja yang
perlu dilebihkan kertas suara... Nama-nama apa saja yang perlu ditambahkan atau
dikurangi dari sistem) dapat sangat mempengaruhi hasil Pemilu Presiden 2014.
Kedua: Sama sekali tidak sulit untuk
mengakses semua sistem IT KPU. Malah saya curiga... Seperti dibuat begitu mudah
bagi hacker dan cracker yang ingin masuk. Ada apa?
Semoga bukan kenapa-kenapa. Semoga
celah-celah keamanan yang saya tulis disini... Adalah kesalahan yang tidak
disengaja.
Karena siapa yang punya akses ke sistem IT
KPU... Bisa mempengaruhi siapa yang terpilih jadi presiden.
Presiden yang punya kuasa akan negara 250
juta penduduk. Anggaran 2.000 triliun. 600.000 tentara. Perputaran uang hampir
10.000 triliun.
Karena kalau memang disengaja...
Sangat mudah... Bisa ada ratusan...
Ribuan... Mungkin jutaan pemilih "baru". Hasil kreasi dari mereka
yang punya akses ke SIDALIH.
Bisa juga ada ratusan... Ribuan... Mungkin
jutaan kertas suara yang "kebetulan lebih". Hasil kreasi dari mereka
yang punya akses ke SILOG.
Maaf jika tulisan ini jadi menimbulkan
pertanyaan baru.
Demikian tulisan saya. Semoga ini
bermanfaat.
A.
Catatan kaki: Saya seorang hacker. Bukan
cracker. Saya melakukan audit ini karena penasaran. Bukan karena ada niat tidak
baik.
Namun undang-undang Indonesia tidak membedakan. Untuk menghindari kemungkinan pidana... I wish to remain anonymous.
Sumber lain : http://antisokjago.blogspot.com/
No comments:
Post a Comment