PUSHANSIBER KEMHAN BANTU AMANKAN SISTEM INFORMASI PEMERINTAH DAN MENDAPATKAN PENGHARGAAN DARI BSSN
Kamis, 11 April 2019
Jakarta – No system is safe atau dalam bahasa Indonesia berarti tidak ada sistem yang aman. Begitulah judul salah satu film barat bertemakan hacking atau peretasan. Ya, begitu maraknya sejumlah kasus cyber crime hingga naik ke dalam dunia perfilman.
Sebagai instansi yang bertugas di bidang keamanan siber, Pusat Pertahanan Siber (Pushansiber) Kemhan RI memiliki tim khusus yang ditugaskan untuk mengamankan sistem informasi di lingkungan Kementerian Pertahanan.
Beberapa waktu yang lalu, tim Pushansiber melalui BSSN melakukan sebuah pengujian ke salah satu web atau sistem informasi milik pemerintah. Setelah dilakukan pemeriksaan didapatkan beberapa kerentanan seperti SQL Injection, XSS, dan CSRF yang tentunya para hacker dapat mengubah kode HTML hingga mengeksploitasi basis data sistem informasi mereka.
Temuan yang didapatkan mereka laporkan ke BSSN dan beberapa hari kemudian mendapatkan sertifikat penghargaan dari BSSN.
Di sela-sela rutinitasnya dalam menganalisa jaringan internet di lingkungan Kementerian Pertahanan, Tim Media Pushansiber mendapatkan kesempatan untuk bisa mewawancarai salah satu anggota Pushansiber yang mendapatkan tugas tersebut, yaitu Luthfi Bia Susilo Putra.
Berikut petikan wawancaranya:
Sejak kapan berkecimpung di dunia siber khususnya program bug bounty hunter?
Sebenarnya belum lama juga. Saya dapat bug pertama itu tahun 2018. Saya waktu itu coba bermain di platform hackerone dan bug pertama yang saya temukan di hargai 1000 dollar. Sebelumnya untuk mengetahui aktifitas bug bounty itu baru juga. Hanya belum sampai tahap melaporkan.
Latar belakang saya ilmu komunikasi. Tapi dari SMP hingga SMA gemar ngoprek komputer hingga sekarang. Pernah juga menjadi vendor pengembang aplikasi keuangan milik pemerintah hingga akhirnya tertarik belajar cyber security dari komunitas.
Media sosial apa yang banyak digunakan untuk berkomunikasi dengan anggota komunitas yang lain?
Di Web ada, WA, Telegram hingga facebook juga.
Ketika melakukan pengecekan atau pentest (penetration testing) pada salah satu web instansi pemerintah, itu atas perintah atau inisiatif sendiri?
Kemarin itu atas perintah dari Kapus pada saat kita rapat kemarin. sekarang kan musim kampanye, mau pemilu. Kita diminta untuk mengecek salah satu web pemerintah. Ya dari perintah itu langsung kami kerjakan.
Berapa orang yang terlibat?
Empat orang. Total kami menemukan 4 temuan dari 4 domain yang berbeda. Seperti critical severity yang dapat dimanfaatkan untuk mencuri data base. Dan itu semua dapat tanggapan dari BSSN pada hari itu juga. Tapi mereke periksa dulu laporan kita. Sudah dilakukan orang lain atau belum. Kemudian besoknya mereka mengkonfirmasi bahwa 4 temuan kami asli dan bukan duplikat.
Laporannya via email, WA, atau bagaimana?
Nah jadi kami mengirim laporannya ke email resminya BSSN di bantuan70@bssn.go.id. Jadi kita laporkan kesana.
Bagaimana dengan respon mereka?
Respon mereka cepat dan langsung dibalas. Kita menggunakan email pribadi/umum namun tetap di format laporan mencantumkan nama instansi.
Berapa lama waktu yang dibutuhkan dalam menemukan celah keamanan pada sebuah sistem informasi?
Kalau yang kemarin itu kita kumpulkan data dulu. Kita tidak menggunakan automatic tool buat pengecekan. Karna trafik jaringan di server mereka bakal naik. Karena cara kerja dari autmatic tool itu dia brute force atau mencari secara terus menerus. Jadi kita membiasakan untuk menggunakan manual tool ketika melakukan pengecekan terhadap sistem informasi milik pemerintah. Jadi kita cek satu-satu dan kurang dari setengah jam sudah kita dapatkan temuannya.
Bagaimana cara mengirimkan laporan ke salah satu instansi pemerintah, dan bagaimana tanggapan mereka?
Kemarin kami usul kepada atasan untuk langsung mengirimkan laporan ke email mereka. Ternyata hal tersebut adalah sebuah pelanggaran. Karena mereka tidak tahu kalau ada aktifitas pentest ini. Mereka akan menganggap aktifitas tersebut mencurigakan karena kita melihat data base mereka. Dan itu ada pasalnya. Jadi sesuai prosedur harus melalui BSSN.
Kalau mengirim laporan langsung ke instansi non pemerintah?
Oh itu berbeda. Saya pernah beberapa kali mengirim ke Traveloka, Bukalapak, dll. Jadi mereka memang yang memberikan kesempatan kepada bug bounty hunter. Bisa dilihat di Bukalapak menu hall of fame ada nama saya. Sudah dua temuan kategori high dan medium yang saya dapatkan. Saya dapat uang dan sertifikat yang ditandatangani oleh CEO nya.
Selain penghargaan berupa uang, sertifikat, cindera mata, apa saja yang mereka berikan kepada bug bounty hunter?
Biasanya kalau kita punya akun LinkedIn kan itu data asli ya, digunakan untuk isi pengalaman kerja, dari pihak perusahaan akan memberikan kita apresiasi atau pengakuan pada kolom LinkedIn kita.
Banyak orang-orang yang sebelumnya tidak mengenal cyber security kini ingin belajar dan berburu bug bounty karena iming-iming dapat penghargaan dll, mungkin ada tips atau pesan untuk mereka?
Mungkin sebelum mereka terjun ke dunia bug bounty, agar terlebih dahulu mencoba mengamankan aset-aset milik negara atau pemerintah. Jadi itu semacam rule yang sudah baku di kalangan komunitas. Kita itu menjadi hacker yang cinta kepada NKRI. Kita dari kelompok manapun jika menemukan bug pada web pemerintah harus kita laporakan.
Untuk ke arah bug bounty, kita itu harus tekun. Karena semua celah atau temuan tidak tentang SQL Injection, XSS, CSRF saja. Celah-celah itu banyak. Business logic process saja itu juga termasuk cela.
Terakhir, mungkin ada pesan khususnya untuk instansi pemerintah dalam menerima laporan dari white hat hacker?
Pemerintah seharusnya open minded ya, terbuka. Jangan terpaku pada instansinya saja. Karena tidak bisa mereka mengamankan sistem informasi mereka itu sendirian. Mungkin komunitas memiliki kemampuan lebih. Mereka lebih banyak berkecimpung di dunia cyber security dan tentu informasi mereka lebih banyak kan.
Jadi kalau bisa mereka open dan menerima setiap laporan yang dikirimkan oleh periset. Karena terkadang para pelapor itu tidak mendapat tanggapan atau slow respon. Juga pada pembangaun infrastruktur berbasis IT sebaiknya mereka terlebih dahulu dibekali pengetahuan IT Security dari BSSN atau komunitas cyber security melalui pelatihan dll. Kalau sudah ada kesadaran dari masing-masing instansi kan maka temuan celah keamanan yang timbul lebih sedikit atau jarang.
Terkadang kita lihat di TV ada salah satu berita mengatakan situs web ini diretas. Mungkin dulu itu tidak ada stakeholder yang merangkul orang-orang untuk dibekali kemampuan IT security.
BSSN sering mengadakan lomba dan itu ide yang bagus. Jadi pemerintah mengadakan lomba siber yang disitu mereka dapat mengenal berbagai komunitas yang bergerak di bidang keamanan siber. Mereka setiap tahun berkumpul sehingga ada relasi antara instansi dan komunitas. Sehingga ketika instansi tersebut mendapatkan masalah, mereka dapat meminta bantuan ke komunitas.
Mereka itu (komunitas) sangat open minded. Contohnya komunitas di Surabaya. Mereka sering kali mengadakan acara belajar bersama. Bahkan juga ada yang didukung oleh pemerintah Surabaya.
Jadi keputusan sekarang ada di pihak pemerintah, mau menerima komunitas atau tidak. Karena komunitas-komunitas tersebut sangat membantu di bidang IT. Apalagi sekarang menjelang pemilu. (Red/Anang)