Minggu, 12 Juli 2009

Studi Kasus Pembobolan Situs KPU tahun 2004

Aparat Satuan Cyber Crime Direktorat Reserse Khusus Kepolisian Daerah Metro Jaya telah menangkap Dani Firmansyah (25), yang diduga kuat sebagai pelaku yang membobol situs (hacker) di Pusat Tabulasi Nasional Pemilu Komisi Pemilihan Umum (TNP KPU). Penangkapan dilakukan pada hari Kamis (22/4) sore.

Kepada polisi, Dani mengaku meng-hack situs tersebut hanya karena ingin mengetes keamanan sistem keamanan server tnp.kpu.go.id, yang disebut-sebut mempunyai sistem pengamanan berlapis-lapis.

"Motivasi Dani melakukan serangan ke website KPU hanya untuk memperingatkan kepada tim TI KPU bahwa sistem TI yang seharga Rp 125 miliar itu ternyata tidak aman. Tersangka berhasil menembus server tnp.kpu.go.id dengan cara SQL Injection," kata Kepala Polda Metro Jaya Inspektur Jenderal Makbul Padmanagara. Ia didampingi Kepala Bidang Humas Komisaris Besar Prasetyo dan Direktur Reserse Kriminal Khusus Komisaris Besar Edmond Ilyas.

Dani Firmansyah adalah anak kedua dari lima bersaudara. Ia saat ini tengah menyelesaikan skripsi sarjananya di Jurusan Hubungan Internasional pada Fakultas Ilmu Sosial dan Ilmu Politik Universitas Muhammadiyah Yogyakarta.

Sesuai surat dakwaan, Dani dijerat dengan dakwaan berlapis. Yakni, melakukan tindak pidana yang melanggar pasal 22 huruf a, b, c, pasal 38 dan pasal 50 UU Telekomunikasi. Pasal 22 UU Telekomunikasi berbunyi, "Setiap orang dilarang melakukan perbuatan tanpa hak, tidak sah atau memanipulasi: ( a) akses ke jaringan telekomunikasi; dan/atau (b) akses ke jasa telekomunikasi; dan/atau (c) akses ke jaringan telekomunikasi khusus."

Dani yang pernah berprofesi sebagai konsultan teknologi informasi PT Danareksa bergaji Rp 20 juta/bulan itu ternyata tidak dijerat dengan perundang-undangan tentang
pemilu, khususnya melakukan aktivitas yang menggagalkan pelaksanaan pemilihan anggota legislatif.

Dalam persidangan, majelis hakim diketuai Hamdi. Jaksa dipimpin Ramos Hutapea. Sedangkan Dani didampingi penasihat hukum dari Pusat Konsultasi dan Bantuan Hukum
(PKBH) Universitas Muhammadiyah Jogjakarta, Mukhtar Zuhdy. Kedua orang tuanya, Srihadi Widyastuti dan Kurmaryono, sengaja datang jauh-jauh dari Kebumen untuk menyaksikan sidang pertama buah hatinya tersebut. Sejumlah kerabat,
dari paman hingga adik Dani, juga terlihat di kursi pengunjung.

Suasana persidangan berlangsung lancar. Majelis hakim memulai sidang pukul 14.00 dan mengakhiri sekitar pukul 14.45. Selama persidangan, Dani yang menjalani penahanan
di Rutan Salemba itu terlihat serius menyimak surat dakwaan yang dibacakan bergiliran oleh tim jaksa.

Sesuai surat dakwaan, Dani menyerang sistem pertahanan website KPU itu dari kantornya di PT Danareksa, Jalan Merdeka Selatan. Serangan awal pada 16 April. Serangan
perdananya itu masih buntu. Dani ternyata tak mengenal kata gagal. Besoknya, 17 April, dia kembali berusaha membobol situs milik lembaga penyelenggara pemilu
tersebut. Serangan dilakukan sejak dini hari pukul 03.12 dan baru tembus pukul 11.24 hingga pukul 11.34 (selama 10 menit).

Begitu ’sukses’ menembus website KPU, hacker muda itu meng-update table nama partai dan mengacak jumlah perolehan suaranya (dikalikan 10). Nama-nama peserta pemilu langsung diganti. Yang jelas, nama-nama baru parpol yang diduga karya iseng Dani itu menyebabkan negeri ini geger.

Menurut jaksa, Dani mengakui serangannya untuk menembus tiga lapis sistem pertahanan website kpu.go.id dari 3 arah berbeda. Itu dilakukan dengan hampir bersamaan.
Masing-masing dari kantornya di PT Danareksa, Jakpus; Warnet Warna di Kaliurang, Km 8 Jokjakarta, dan server IRC Dalnet Mesra yang ada di Malaysia.

Caranya, dia menggunakan XSS (Cross Site Scripting) dan SQL Injection (menyerang dengan cara memberi perintah melalui program SQL) dari gedung PT Danareksa. "Semua itu melalui teknik spoofing (penyesatan)," ujar jaksa Ramos dalam persidangan.

Awalnya, lanjut jaksa, Dani melakukan hacking dari IP 202.158.10.117 di Kantor PT Danareksa. Pada saat bersamaan, dia melakukan chatting ke sesama komunitas
(Indolinux, IndofreeBSD, dan IndoOpenBSD) dengan melakukan BNC ke IP 202.162.36.42 dengan nama samaran (nickname) Xnuxer melalui Warnet Warna di Kaliurang, Jokjakarta.
Chatting ini mengarah ke server IRC Dalnet Mesra di Malaysia.

Setelah memasuki sistem pertahanan website KPU, Dani membuka IP Proxy Anonymous Thailand dengan IP 208.147.1.1, kemudian langsung menembus ke tnp.kpu.go.id
203.130.201.134. Dan, akhirnya sukses. Seusai sidang, pengacara Dani, Mukhtar Zuhdy, merasa optimistis kliennya bakal lolos dari dakwaan. Alasannya, dakwaan berlapis dengan menggunakan UU Telekomunikasi yang digunakan untuk menjerat kliennya dinilai sangat lemah. "Kalau UU Telekomunikasi, unsur-unsur deliknya susah dibuktikan," tegas Mukhtar.