Kampus Undip di Semarang, Jawa Tengah. | Foto: Undip.ac.id
Kampus Undip di Semarang, Jawa Tengah. | Foto: Undip.ac.id
Cyberthreat.id – Universitas Diponegoro (Undip) di Semarang, Jawa Tengah pekan lalu mengakui adanya serangan siber ke server lamanya.
Hasil investigasi menyimpulkan, ada dugaan “pemanfaatan data” pada subdomain pak.undip.ac.id yang saat kejadian tidak aktif digunakan dan belum pernah dipakai.
Investigasi itu menyusul temuan dugaan bocornya data 125.000 mahasiswa di forum jual beli data, RaidForums.
File yang diambil dari server bernama db.sql—terakhir kali dimodifikasi pada 16 April 2018—berisi data mahasiswa. File itu diletakkan pada dokumen root web server dan tautan ke file tidak terlihat (tersembunyi).
File yang diduga bocor tersebut bukan merupakan bagian dari sistem informasi yang berjalan saat ini, klaim universitas.
Serangan siber ke server lama Undip itu menggunakan perangkat lunak Nuclei. Perangkat lunak open source ini dipakai untuk memindai dan menemukan kelemahan-kelemahan sebuah server.
Pemindaian terjadi sejak Oktober 2020. Tercatat, ada upaya untuk memasuki server lama itu dari berbagai negara, antara lain Belanda, China, Hong Kong, Mexico dan sejumlah negara lainnya.
File db.sql diunduh dari server Undip pada 3 Januari 2021 pukul 23:03:03 WIB menggunakan program CURL, setelah posisi file diketahui dari hasil pemindaian dengan Nuclei pada tanggal yang sama.
File kemudian diunggah ke situs web jual beli data, RaidForums, pada 4 Januari 2021 pukul 01:27 WIB oleh akun “muammer276” yang terdaftar di Belanda.
Apa itu Nuclei?
Ketua Center for Cyber Security and Cryptography Universitas Indonesia, Setiadi Yazid—juga anggota tim investigasi Undip—menjelaskan bahwa Nuclei biasanya digunakan peneliti untuk pengujian aplikasi (penetration testing).
Penetration testing adalah simulasi serangan siber terhadap sistem untuk memeriksa kerentanan yang dapat dieksploitasi. Biasanya orang yang melakukan pentest disebut pentester. Namun, peretas (hacker) terkadang melakukan hal sama dengan pentester itu untuk mencari kelemahan yang kemudian dieksploitasi.
Nuclei kata Setiadi, perangkat lunak yang dimanfaatkan pentester untuk mencari kelemahan (vulnerability) dengan memindai. Nuclei sebatas hanya memindai saja tidak bisa melakukan hal lain selain itu.
Setiadi mencontohkan pengguna Nuclei ingin menemukan apakah ada file yang terbuka. Jika ditemukan, proses tools itu hanya sampai di situ.
Untuk mengambil data yang terbuka, kata Setiadi, menggunakan perangkat lain. “Nuclei bukan untuk ngambil filenya, cuma ngecek ada enggak filenya," ujarnya saat dihubungi Cyberthreat.id, Jumat (22 Januari 2021).
Menurut dia, biasanya peretas sudah mengetahui nama-nama file yang sering dipakai, sehingga file-file itu dimasukkan dalam daftar serangan peretas. Selanjutnya, Nuclei diberi tugas untuk mengecek apakah data itu tersedia atau tidak.
Berita Terkait:
Setiadi mengakui bahwa dirinya juga baru mengetahui tools tersebut saat membantu proses investigasi kebocoran data Undip.
Nuclei diinisiasi oleh Project Discovery sejak 2018. Hanya, setahun kemudian barulah dibuat dan diluncurkan pada 5 April 2020. Pembuat Nuclei ialah dua orang asal India dan Italia dengan nama inisial Bauthard (Italia) dan Ice3man543 (India).
Mereka bukanlah penjahat siber, tapi sengaja membuat Nuclei untuk membantu atau mengecek keamanan sistem aplikasinya, demikian pembacaan Setiadi tentang Project Discovery yang dipublikasikan di situs web GitHub—semacam media sosial, tapi khusus untuk para pengembang perangkat lunak dan biasa dipakai untuk berbagi proyek pengembangan aplikasi.
Alasan membuat Nuclei karena mereka melihat proses pengintaian (reconnaissance) yakni mencari kelemahan itu “merepotkan, lambat, dan melelahkan".
Menurut Setidi, Nuclei berbasis cloud computing dan memiliki kemampuan otomatis. "Banyak disiapkan beberapa template yah, yang mau dipincai apa saja, di situ ada template-nya," ujarnya.
Dengan begitu, Nuclei memudahkan penggunanya karena hanya tinggal pakai sesuai standar yang ada—bahkan pengguna pun bisa mengkustom untuk kebutuhan sendiri.
Saat proses investigasi Undip, Setiadi mengungkapkan, timnya pun sempat memakai Nuclei dan hasilnya terbilang bagus sebagai tools mencari kerentanan.
"Enak pakainya, tim saya senang. Saya belum cobain sih, tapi tim saya bilang bagus cepat sekali menemukan kelemahan-kelemahan, cepat sekali," katanya.
Saat ditanya kira-kira cepatnya itu berapa lama, Setiadi mengaku saat itu tidak diukur teliti, tetapi timnya mengatakan tidak sampai 1 detik sudah ketahuan ada apa saja.
"Kalau pakai cara lama yang banyak langkah manualnya mungkin perlu 10 menit," ujarnya.
Pisau bermata dua
Setiadi mengatakan, perangkat lunak seperti Nuclei badaikan pisau bermata dua sehingga alat tersebut bergantung pada penggunanya: apakah untuk dipakai hal baik atau buruk.
"Di dunia siber itu kan semua open, tergantung untuk apa terserah kita. Kalau di dunia nyata, kalau pistol kan yang boleh polisi saja. Kalau (Nuclei) ini siapa pun bisa pakai," kata Setiadi.
Terlebih, Nuclei juga perangkat lunak sumber terbuka (open-source), di mana penggunanya dapat menggunakannya secara gratis tanpa bayar. Ini pula yang membuat peretas suka menggunakannya
"Hacker kan biasanya nyari yang free. Nuclei ini cepat (hasilnya), jadi dia bisa mengambilnya dengan alat lain," kata Setiadi.
Karena sumber terbuka, banyak peneliti yang membantu untuk memperbaiki Nuclei sehingga kemungkinan akan semakin canggih.
Pencegahan
Untuk menghindari aktivitas pengintaian seperti yang dilakukan Nuclei, kata Setiadi, pemilik sistem juga perlu melakukan hal yang sama dengan peretas. Namun, ia menyarankan agar organisasi atau instansi perlu menggunakan tools yang berbayar.
"Semua tools untuk pentest itu kebanyakan free. Tapi, ada yang berbayar yang database-nya mungkin lebih besar dan lebih lengkap. Tetapi, kalau sekadar tes yang simpel-simpel pakai yang free," ujarnya.
Mengapa memilih yang berbayar? Menurut Setiadi, tools berbayar selain lebih lengkap juga terjamin pembaruan keamanannya. Sementara, tools gratis sumber terbuka tidak ada jaminan pembaruan keamanan karena bergantung pada kontributor yang ingin memperbarui kodenya.
"Belum tentu di-update oleh pembuatnya, karena dia tidak bertanggung jawab untuk update. Enggak bisa dituntut-tuntut juga kan. Kalau berbayar, pembuatnya jamin datanya lengkap, up-to-date semua," ujarnya.
Oleh karenanya, dalam pengamanan sistem elektornik, pemilik sistem harus berkejaran dengan peretas. "Harus lebih rajin. Kalau hacker kan senang-senang saja, iseng dapat ya syukur, enggak ya sudah. Kita kan enggak bisa kayak gitu," katanya.
Pendek kata, perusahaan harus rajin menjaga basis datanya, terlebih sebuah instansi atau organisasi memiliki ribuan komputer yang kadang terlupakan untuk diurus.
"Jadi kita harus tahu apa yang kita miliki, harus update ilmu dengan software terakhir, vulnerability terakhir. Karena [kerentanan] itu tidak pernah berhenti, [yang ada malah] bertambah terus," kata Setiadi.[]
Redaktur: Andi Nugroho
Share:
