Cyberthreat.id – Kamar baginya sebuah ruang spesial, sekaligus "persembunyian"-nya, dari riuh dunia luar, dunia maya dan nyata. Ia ingin menjadi "hantu-hantu yang tersembunyi", seperti nama geng yang dibuatnya: Hidden Ghost Team (HGT). Nama yang ia ciptakan karena terdengar keren saja.

HGT menceburkan dalam aktivitas web defacement attack atau deface—serangan siber yang mengubah tampilan halaman web dengan gambar, video, atau tulisan olok-olok yang diunggah peretas.

Ratusan situsweb telah diserang oleh "4LM05TH3V!L", pendiri HGT juga julukannya di dunia defacer. Ia menyerang karena protes—barangkali lebih tepat kegabutan—tentang dunia nyata yang baginya terlalu aneh atau perasaan cinta/curahan hati.

Di kamarnya, ia saban hari, dari jam ke jam, merayapi layar demi layar, dari satu web ke web lain— bisa lebih dari 10 jam—untuk sebuah tindakan yang menjadi momok bagi siapa pun pemilik situsweb. Ia mengaku bukan tipikal yang suka bermain ke luar rumah. Di luar aktivitasnya itu, ia biasa bermain game; tak ada hobi lain yang dimiliki selain ini.

Jika sudah berjam-jam di depan laptop, ketika ia kembali berdiri, "(Rasanya) kunang-kunang," kata lelaki berusia 21 tahun itu kepada saya, Kamis (2 Maret 2023). Laptop yang ia pakai itu adalah pemberian dari kakaknya.

Ia tak bekerja. Tak pula kuliah. Putus sekolah ketika masih di kelas 2 dari sebuah sekolah menengah kejuruan pada 2019. Keputusan cabut ini karena ia "memberontak" dengan sistem sekolah. Hubungan dengan orangtuanya tetap baik meski ia drop-out; ia cenderung lebih terbuka dengan ibunya dibandingkan ayahnya.

Namun, akhirnya ia juga kembali bersekolah untuk menuntaskan SMK melalu Kejar Paket C. Ia tinggal di Kota Depok, Jawa Barat bersama orangtuanya yang tak pernah tahu bahwa ia adalah peretas.

Di kalangan peretas, dia terbilang pemula. Mempelajari dunia hacking sejak 2017, dari belajar secara otodidak melalui internet hingga bergabung di sebuah komunitas peretas. Penasaran dengan dunia peretasan setelah mendengar pemberitaan tentang hacker,  "Lalu, saya mencari-cari tahu di Google," katanya yang awal-awal belajar hacking saat bergabung dengan komunitas "Sora Cyber Team"—Sora adalah sebuah karakater anime Jepang.

Para defacer di Indonesia masih muda, rata-rata usia mereka antara 16-25 tahun, dan boleh dikata, mereka penyuka kartun manga—sebagian dari mereka termasuk fans garis keras atau wibu. Ketika meretas, mereka menampilkan kartun manga, hal yang juga dilakukan oleh "4LM05TH3V!L".

Selasa (28 Februari 2023), 4LM05TH3V!L menyerang situsweb Komisi Pengawasan Persaingan Usaha (KPPU). Ia menaruh gambar kartun manga dan tulisan corat-coret, seperti coretan dinding di toilet sekolah atau WC umum. Seperti yang dia bilang, tulisan curahan hati.

"Persaingan usaha? Usaha apa lagi buat dapetin dia? Orang belum usaha aja udah kalah saing :3," tulis dia. Tak lupa mempromosikan anggota gengnya: Hidden Ghost Team.

Ia mengunggah hasil peretasan itu di Zone-H.org sejak 2018. Melihat riwayatnya, tampaknya 4LM05TH3V!L tak terlalu sering meretas. Tahun ini, ia baru aktif tiga kali—Februari dua kali dan hingga 7 Maret baru sekali meretas. Pada 28 Februari, selain menyerang KPPU (empat subdomain), ia juga meretas Lion Air (dua subdomain).

"Saya ini setengah-setengah, Mas. Kadang jadi bug hunter, saya lapor (ke pemilik sistem) kalau menemukan bug," katanya. Namun, jika laporan kerentanannya tak digubris, ia terdorong untuk mengeksploitasinya—alhasil, web tersebut kena deface. Sebagai bug hunter, ia pernah mendapatkan reward, salah satunya, dari Bank Rakyat Indonesia.

Ia menyebut bahwa web-web yang diretasnya itu, terutama web pemerintah tak pernah serius dijaga atau dilindungi. Dari angka 1-10, ia menyebut keamanan situsweb pemerintah hanya di angka 6.

Sepanjang 2022, Badan Siber dan Sandi Negara (BSSN) mencatat sebanyak 2.348 kasus web defacement di Indonesia. Kasus terbanyak terjadi pada Januari dengan jumlah 416 kasus. Ada pun sektor yang paling banyak terkena dampak  adalah administrasi pemerintahan dengan jumlah 885 kasus, seperti bagan di bawah ini.

---

Sumber: BSSN.

---

"Secara umum, kasus web defacement terjadi pada homepage dan hidden page. Pada 2022, kasus yang paling banyak ditemukan adalah web defacement tersembunyi sebanyak 1.992 kasus, sedangkan di homepage sebanyak 356 kasus" tulis BSSN dalam laporan bertajuk "Lanksap Keamanan Siber Indonesia 2022" yang dirilis Februari lalu.

Serangan-serangan itu, menurut BSSN, biasa atau cenderung dilakukan pada hari kerja antara pukul 18.00-06.00. Jumlah kasus yang tercatat dalam rentang waktu ini mencapai 1.045 kasus.

Pengin tenar

Banyak orang bertanya, apa sih motif para peretas? Motif ini sangat bermacam-macam, mulai eksistensi, protes, politik, uang, dan lain-lain. Dan, untuk memastikan motif, tentu saja harus menanyakan hal itu kepada pelaku.

4LM05TH3V!L yang pertengahan tahun lalu menyerang situsweb Kementerian Kominfo (dua subdomain) mengaku selama ini dirinya meretas karena pengin tenar. "Ya biar kelihatan keren aja. Pengin nyari tenar gitu deh. Pengin jadi orang yang beda dari kebanyakan orang lain," katanya.

Ia meretas karena merespons isu yang sedang ramai. Waktu menyerang Kementerian Kominfo, ia tergelitik karena terkait pemblokiran sejumlah aplikasi dan web. Ia menulis di web tersebut: "semuanya lo blokirin? ngelawak atau gimana? urusin noh script slot judi domain go.id & ac.id xD".

Selama meretas, ia biasanya sendiri atau berdua. Geng HGT yang dibuatnya kini mulai sendiri-sendiri alias tidak aktif.

Selain serangan ke Kominfo, 4LM05TH3V!L pernah membobol situsweb partai politik, seperti Demokrat dan PDI Perjuangan, lalu subdomain Polri, TransTV, MNC Group, TVOnenews, Net Media, Komnas HAM, BMKG, AirNAV Indonesia, Indosat Ooredoo, dan sejumlah kampus.

Di situsweb Demokrat, ia menembus beberapa subdomain dan mengunggah kartun manga perempuan dengan tulisan "Why so serius?" Ia mencurahkan hatinya dengan jejak "g4Lau3d by 4LM05TH3V!L". Sementara itu, di situsweb PDI Perjuangan, ia membubuhkan kartun manga dan tulisan "Bersama Banteng Membangun Negeri Chuakzzz".

Apakah tidak takut ditangkap polisi? 4LM05TH3V!L sadar dengan risiko itu. Setelah serangan ke Kominfo dan BMKG, dirinya mendapatkan kabar sedang dicari-cari aparat. Aktivitas di dunia maya pun ia hentikan beberapa saat. Menurut dia, ini bukan persoalan takut atau tidak takut—ia sangat sadar bahwa dirinya bisa tertangkap polisi.

"Risikonya ya seperti itu. Ketangkep ya udah, namanya ketangkep mau gimana lagi," katanya. Ia menuturkan tak pernah menutupi alamat IP yang dipakai untuk menyerang. "Saya orangnya enggak mau ribet," katanya, "Nyatanya, saya sekarang aman-aman saja." Sebetulnya, kata dia, jika aparat ingin menyelidiki sangat mudah, yaitu dengan bekerja sama dengan penyedia internet. Selama ini ia menggunakan jaringan internet seluler, bisa menghabiskan kuota 20 GB untuk aktivitas di dunia maya dalam sepekan.

---

---

Kerentanan

Serangan-serangan deface selama ini hanya terkesan "perubahan tampilan", padahal ketika peretas berhasil memodifikasi web itu, sejatinya ada kelemahan lain. Pakar keamanan siber Pratama Persadha berkali-kali mengingatkan bahwa jangan anggap remeh serangan deface. Melalui serangan itu, peretas bisa saja masuk lebih dalam dan melakukan berbagai aksi, misalnya, pencurian data atau memanipulasi data maupun konten web. Maka hal yang terpenting dalam kasus seperti itu adalah forensik digital lebih jauh dan segera memperbaiki lubang kerentanan.

Pada prinsipnya, katanya, tidak ada sistem informasi yang 100 persen aman. Karena itulah, tim TI harus secara berkala melakukan cek pada level sistem operasi, web server dan sistem aplikasinya. Apalagi bila baru saja serah terima dari vendor, harus ada upaya lebih untuk melakukan pemeriksaan menyeluruh. Misal, menghapus semua file dokumentasi dari vendor dan ubah semua akun login default yang dibuat saat instalasi, tutur ketua lembaga riset keamanan siber CISSReC tersebut.

4LM05TH3V!L bercerita hampir semua web yang berhasil dijebolnya memiliki kerentanan SQL Injection. Ia mengatakan, selama ini menyerang web-web yang memang sekiranya menyimpan basis data. Pernah dilihatnya puluhan ribu data pribadi di web sebuah bank pemerintah. "Saya lalu melaporkannya, saya tidak men-download-nya," klaimnya.

Kerentanan SQL injection berkaitan dengan pengelolaan basis data. Biasanya terjadi kesalahan dalam pemfilteran input sehingga peretas melakukan injeksi kode (query) SQL pada situsweb atau aplikasi. Umumnya, penyerang menggunakan perintah untuk melakukan bypass mekanisme autentikasi pada basis data, sehingga dapat masuk dan mengaksesnya tanpa verifikasi—di sinilah yang bisa menyebabkan terjadinya kebocoran data, tulis BSSN dalam laporan keamanannya.

Oleh karenanya, 4LM05TH3V!L menyarankan pemilik web, terutama pemerintah, menjaga basis data di web dengan baik. Ia menyindir tentang aturan perlindungan data, tapi, justru pemerintah tak becus melindungi data yang disimpannya. Pemilik web juga sembarangan menaruh informasi tentang username dan password. Penggunaan username dan password juga mudah ditebak. Ia mencontohkan, username: admin dan password: @admin123. "Ya, seperti itulah kebanyakan yang saya tahu," katanya.

Di kamarnya, ketika ia sudah berhasil menembus web yang ditarget, yang biasa ia lakukan adalah membakar rokoknya—ia adalah perokok berat, tapi tak minum alkohol.

"Karena saya suka nantang diri, nargetin web, kalau berhasil (menembus), saya cuma senyum-senyum aja sih, Mas, sama bakar udud," katanya yang ingin menjadi bug hunter profesional.[]