Groups Assignment 2

Diskusikan isu tentang sistem IT KPU di bawah ini dengan kelompok anda sehingga diperoleh pendapat dan opini yang ideal.

1. Apabila hal di bawah ini benar, terobosan apa yang sebaiknya dilakukan untuk melindungi keamanan sistem IT KPU tersebut.

2. Menurut anda bagaimanakah kita mengupayakan penyelesaian berbagai kasus yang terjadi dalam hal keamanan / kejahatan terhadap informasi yang sangat penting ditengah keterbatasan hukum dan pengadilan di Indonesia.

Security Audit Sistem IT KPU Pilpres 2014

Rabu, 23 Juli 2014, by anonymous

Perkenalkan. Nama saya A. Tanpa nama belakang. Saya lahir di Indonesia. Sebagai CEH, profesi saya

konsultan keamanan jaringan komputer. Baru tahun ini saya mengikuti berita-berita dan ikut memilih di

Pemilu Presiden Indonesia. Hari ini 23 Juli 2014. Saya membaca berbagai tulisan orang. Banyak yang

bertanya: Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil? Saya mungkin punya

jawabannya. Mungkin. Tulisan saya mungkin menjawab pertanyaan. Mungkin juga malah membuka

banyak pertanyaan baru. Namun sebelumnya mohon maaf. Saya bukan penulis. Mohon maaf jika

bahasa saya kurang baik. Saya coba sampaikan dengan singkat dan efektif. Tulisan ini saya tujukan untuk

anda-anda yang penasaran. Juga untuk calon presiden terpilih, pak Jokowi. Agar nanti sistem IT Pemilu

2019 bisa lebih baik dari sekarang. Agar tidak ada lagi yang teriak curang. Juga untuk calon presiden

tidak terpilih, pak Prabowo. Karena anda pasti penasaran. Juga untuk presiden sekarang, pak SBY. Siapa

tahu, bapak juga penasaran. Juga untuk para perancang dan admin sistem IT Pemilu 2014: Raden

Santoso, Nanang Indra, Utian Ayuba, Andy Nugroho, Yoga Dahirsa, Muhammad Hafidz dkk. Tentunya

juga untuk pada anggota KPU: Husni Kamil Malik, Ferry Kurnia Rizkiyansyah, Ida Budhiati, Sugit

Pamungkas dkk. Anggap saja ini sumbangan saya. Untuk bahan pelajaran bersama. Agar Indonesia lebih

aman. Indonesia hebat. Indonesia bangkit.

7 April 2014

Di 7 April 2014. Saya mengamati ada fenomena menarik. Hacker dan cracker juga punya hak pilih. Punya

hak berpolitik. Juga punya hak berkampanye mendukung nomor satu atau nomor dua.Begitu besar

semangat para hacker dan cracker dalam Pemilu Presiden 2014 ini. Sebagian besar dukung nomor dua.

Walau juga ada yang dukung nomor satu. Ini kesimpulan saya setelah melihat begitu banyak iklan capres

di Google dan YouTube. Iklan yang baik-baik saja. Juga iklan yang tidak baik-baik saja. Padahal tidak

boleh ada iklan capres di kedua situs ini. Google melarang iklan politik di Indonesia. Dalam bentuk

apapun. Namun..Mereka pasti menyadari kemampuan Google dalam menyaring dan memblokir iklan

terbatas. Celah ini yang diekploitasi. Ada juga yang begitu bersemangat, banyak situs orang diretas,

diubah jadi halaman untuk promosi atau menjelekkan yang tidak didukungnya. Mereka berusaha untuk

mempengaruhi persepsi. Persepsi mempengaruhi hasil. Usaha mereka membuat saya bertanya. Selain

menyebarkan informasi untuk mempengaruhi presepsi, apa lagi yang bisa mereka lakukan? Dapatkah

hacker dan cracker simpatisan capres meretas sistem IT KPU? Dan mempengaruhi hasil secara langsung?

Saya mencobanya.

Celah Keamanan # 1: Email Anggota KPU

Untuk memahami bagaimana cara kerja sistem IT KPU saya perlu informasi dari dalam. Saya mulai dari

mencari alamat email anggota-anggota KPU.

Saya menemukan dokumen ini semua alamat email komisioner KPU yang aktif digunakan ada di

dokumen ini. Enam dari tujuh menggunakan email gratisan. Saya jadi bertanya. Mengatur pemilu bukan

pekerjaan main-main. Kenapa gunakan email gratisan yang mudah diretas? Apa mungkin disengaja?

Ferry Kurnia sepertinya adalah yang paling muda dari tujuh anggota KPU. Biasanya yang paling muda

adalah yang paling terlibat untuk urusan IT. Saya kirimkan satu email phishing ke Ferry. Tidak sampai

dua jam, saya sudah bisa akses dan membaca semua email yang pernah diterima dan dikirimkan. Apa

yang saya temukan membuat saya bingung. Saya yakin para anggota KPU, dan para perancang sistem IT

KPU bukan orang sembarangan. Namun mereka seperti membuat semuanya begitu mudah untuk

seorang yang punya niat seperti saya untuk masuk ke sistem IT KPU.

Celah Keamanan # 2: Berkirim Username dan Password di Email

Hal pertama yang saya lakukan ketika membuka boks email salah satu anggota KPU adalah mencari kata

"password". Saya sungguh terkejut. Saya langsung dapat password ke SILOG. Sistem Logistik.

Saya juga dapat password ke Dropbox yang dipakai untuk simpan copy data pemilih seluruh Indonesia.

Dapat juga password ke sistem real count KPU. Ya. Ternyata KPU memiliki sistem real count yang entah

mengapa tidak ditampilkan di websitenya sehingga publik harus menghitung sendiri seperti di website

kawalpemilu.org.

Dapat juga password untuk mengelola website KPU. Dapat juga password untuk SIDALIH, sistem data

pemilih. Dapat juga password untuk banyak sistem lainnya. Ini juga membuat saya bingung. Berbagai

password dikirimkan begitu saja oleh admin melalui email. Apakah ingin memudahkan hacker untuk

masuk sistem? Catatan: Banyak password di screenshot ini masih digunakan... Jadinya saya hidden ya...

Maaf kalau jadi penasaran.

Celah Keamanan # 3: Ada Google Docs Daftar Username dan Password

Betapa terkejutnya saya. Email ini benar-benar di luar logika dan cara berpikir saya. Saya temukan satu

email yang dikirimkan oleh admin sistem IT KPU kepada semua anggota KPU. Isinya GOOGLE DOCS

dengan daftar semua password sistem IT KPU. Saya jadi benar-benar curiga, para admin dan anggota

KPU memang ingin memudahkan hacker dan cracker untuk masuk ke sistem IT KPU.

Apalagi...

Celah Keamanan # 4: Pola Password Mudah Ditebak

Sebagai contoh, ini password SSH ke website KPU yang pernah digunakan: 4dm1n80njol@w1w1k.

Username: kpuadmin. Password root shell/MySQL: m3rd3k41945!

Banyak password sistem IT KPU menggunakan pola yang sama. Apakah agar mudah diingat... Atau agar

mudah diretas. Maaf jika saya berpikir yang tidak-tidak, karena saya dilatih untuk mencermati pola.

Celah Keamanan # 5: Semua Anggota KPU Bisa Edit Daftar Pemilih Sesuka Hati

Ini adalah Sistem Data Pemilih (SIDALIH) KPU. Dengan sistem ini KPU mengatur nama-nama yang masuk

ke Daftar Pemilih Sementara (DPS) dan Daftar Pemilih Tetap (DPT).

Penambahan atau pengurangan nama-nama pemilih dapat dilakukan dari sistem ini. Ini krusial karena di

Indonesia pemilih dapat memilih cukup berbekal undangan tanpa perlu KTP.

Saya orang awam. Namun jadi pertanyaan besar untuk saya. Jika mau aman: Kenapa semua anggota

KPU bisa edit DPT sesuka hati? Kenapa akses yang diberikan oleh admin tidak hanya read only?

Keputusan hak edit ini, tentu saja keputusan disengaja, tidak mungkin kecelakaan, memberikan

kewenangan sangat besar untuk setiap anggota KPU untuk bermain dengan jumlah pemilih. Mengurangi

atau menambahkan. Bisa saja jika ada anggota KPU yang komunikasi dengan tim sukses calon presiden

tertentu, atau jika ada hacker atau cracker pendukung calon presiden tertentu yang masuk ke sistem

seperti saya... Bisa saja menambahkan pemilih baru... atau mengurangi pemilih di daerah-daerah

tertentu. Mereka yang belum bisa memilih, bisa diberikan hak untuk memilih. Mereka yang diketahui

akan memilih calon tertentu, bisa dicabut hak memilihnya... Dengan mudah. Sangat mudah. Apalagi

untuk setiap entri... Tidak ada info atau log secara terbuka, siapa yang terakhir melakukan edit apalagi

edit history. Celah yang membahagiakan... Bagi siapapun yang punya niat tidak baik.

Celah Keamanan # 6: Semua Anggota KPU Bisa Edit Jumlah Pengiriman Kertas Suara Sesuka Hati

Sistem Logistik (SILOG) KPU. Dengan sistem ini KPU mengatur distribusi surat suara ke semua daerah /

TPS. Penambahan atau pengurangan pengiriman kertas suara dapat dilakukan dari sistem ini.

Pertanyaan saya mengenai SILOG ini sama dengan SIDALIH. Saya orang awam. Namun jadi pertanyaan

besar untuk saya. Jika mau aman: Kenapa semua anggota KPU bisa edit logistik pemilu seperti kertas

suara sesuka hati? Kenapa akses yang diberikan oleh admin tidak hanya read only? Maaf kalau ini seperti

mengulang. Keputusan ini, tentu saja keputusan disengaja, tidak mungkin kecelakaan, memberikan

kewenangan sangat besar untuk setiap anggota KPU untuk bermain dengan jumlah kertas suara. Bisa

saja jika ada anggota KPU yang komunikasi dengan tim sukses calon presiden tertentu, atau jika ada

hacker atau cracker pendukung calon presiden tertentu yang masuk ke sistem seperti saya... Bisa saja

mengirimkan kertas suara lebih ke daerah-daerah tertentu. Sangat mudah. Apalagi seperti di SIDALIH...

Untuk setiap entri... Tidak ada info atau log secara terbuka, siapa yang terakhir melakukan edit apalagi

edit history.

Apresiasi: Sistem Scan Formulir C1

Dalam membuat tulisan ini, saya merasa saya harus adil. Jika ada celah keamanan, saya sampaikan. Jika

ada best practice yang dilakukan, saya apresiasi. Sistem scan formulir C1 yang dibuat oleh tim KPU

menurut saya sangat bagus. Antarmuka aplikasi didesain sederhana, tidak banyak isian. Ini pastinya

membantu meningkatkan penggunaan sistem. Presentasi C1 di web pilpres2014.kpu.go.id juga bagus.

Sederhana dan mudah digunakan oleh siapapun. Pengelolaan C1 ini membuat persepsi kalau pemilu

berlangsung dengan jujur dan adil. Hampir tidak mungkin mempengaruhi hasil pemilu jika scan C1 sudah

terkumpul semua di server KPU. Namun saya punya pertanyaan. Pertanyaan cukup besar. Admin

membuat aplikasi real count, khusus untuk pada anggota KPU di alamat http://103.21.228.33/internal -

kenapa data ini tidak dibuka ke publik? Kenapa memaksa publik untuk melakukan gotong royong entri

data dari ratusan ribu formulir C1? Padahal real count nya sudah ada... Sekedar pertanyaan selewat saja.

Mungkin ada penilaian sendiri...

Kesimpulan

Kembali ke pertanyaan awal: Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil? Saya

tidak tahu. Terlalu banyak daerah, terlalu banyak TPS, terlalu banyak nama pemilih untuk dapat

mengetahui permainan dengan SILOG atau SIDALIH.

Namun dua hal yang pasti.

Pertama: Siapapun yang bisa punya akses ke SILOG dan SIDALIH dan punya niat untuk memenangkan

calon nomor satu atau nomor dua, terutama sebelum bulan Mei 2014, dan punya kemampuan

koordinasi dengan tim sukses di lapangan (TPS TPS, desa-desa mana saja yang perlu dilebihkan kertas

suara... Nama-nama apa saja yang perlu ditambahkan atau dikurangi dari sistem) dapat sangat

mempengaruhi hasil Pemilu Presiden 2014.

Kedua: Sama sekali tidak sulit untuk mengakses semua sistem IT KPU. Malah saya curiga... Seperti dibuat

begitu mudah bagi hacker dan cracker yang ingin masuk. Ada apa?

Semoga bukan kenapa-kenapa. Semoga celah-celah keamanan yang saya tulis disini... Adalah kesalahan

yang tidak disengaja. Karena siapa yang punya akses ke sistem IT KPU... Bisa mempengaruhi siapa yang

terpilih jadi presiden. Presiden yang punya kuasa akan negara 250 juta penduduk. Anggaran 2.000

triliun. 600.000 tentara. Perputaran uang hampir 10.000 triliun. Karena kalau memang disengaja...

Sangat mudah... Bisa ada ratusan... Ribuan... Mungkin jutaan pemilih "baru". Hasil kreasi dari mereka

yang punya akses ke SIDALIH. Bisa juga ada ratusan... Ribuan... Mungkin jutaan kertas suara yang

"kebetulan lebih". Hasil kreasi dari mereka yang punya akses ke SILOG. Maaf jika tulisan ini jadi

menimbulkan pertanyaan baru. Demikian tulisan saya. Semoga ini bermanfaat.

Catatan kaki: Saya seorang hacker. Bukan cracker. Saya melakukan audit ini karena penasaran. Bukan

karena ada niat tidak baik. Namun undang-undang Indonesia tidak membedakan. Untuk menghindari

kemungkinan pidana... I wish to remain anonymous.