A.
Pengertian
Pembobolan Website
Pembobolan
website dapat diartikan sebagai suatu tindakan atau perbuatan yang secara
sengaja dantanpa hak melakukan kegiatan pengaksesan terhadap suatu website atau
situs milik seseorang atau institusi tertentu, yang mana kegiatan tersebut
dapat merugikan pemilik website tersebut baik secara moril maupun materil.
Adapun jenis kejahatan
pembobolan website yang sering kita lihat fenomenanya akhir-akhir ini adalah Hacking
dan Cracking.
HACKING
Adalah suatu kegiatan dalam
memahami sistem operasi dan sekaligus salah satu cara dalam mendalami sistem
keamanan jaringan, sehingga kita bisa menemukan cara yang lebih baik dalam
mengamankan sistem dan jaringan.
CRACKING
Ialah suatu kegiatan menerobos suatu
sistem keamanan jaringan dan lebih bertujuan untuk bermaksud jahat terhadap
objek yang diterobos, seperti merusak website, mencemarkan nama baik orang,
atau mengganti informasi pada suatu website dengan sesuka hati.
B.
Faktor-Faktor
Penyebab Kejahatan Pembobolan Website
1.
Kejahatan pembobolan website atau situs
dilakukan oleh pelaku karena didorong motif dendam, iseng dan atau hanya untuk
memenuhi kepuasan pribadi.
2.
Kejahatan pembobolan website atau situs
dilakukan atas dasar kepentingan pribadi baik yang bersifat materi maupun non
materi.
3.
Kejahatan pembobolan website atau situs
dilakukan khususnya terhadap situs-situs pemerintah suatu negara didasari oleh
keinginan untuk mengacaukan sistem pemerintahan suatu negara.
4.
Petualangan, Yang dimaksud dengan faktor
petualangan ini adalah biasanya pelaku pembobolan website sering merasa
tertantang untuk merusak suatu website atau situs yang dikenal memiliki sistem
keamanan yang baik. Dengan berhasilnyapelaku membobol website atau situs
tersebut maka pelaku akan mendapatkan kepuasan tersendiri dan memiliki reputasi
yang populer di kalangan pengguna internet.
5.
Mencari keuntungan, Biasanya para pelaku
pembobolan website atau situs juga memiliki motif atau dorongan untuk mencari keuntungan
yang biasanya bersifat materil.
C.
Modus atau cara terjadinya kejahatan pembobolan website
a).
Footprinting
Proses
mencari informasi tentang korban atau target yang sebanyak-banyaknya. Hal ini
dilakukan dengan cara mencari data-data melalui internet, koran atau surat
kabar dan media lainnya.
b).
Scanning
Proses
lanjutan dengan menganalisa layanan (service) yang dijalankan dengan server
dan router di internet. Biasanya dilakukan dengan ping atau nmap.
c).
Enumeration
Proses
lanjutan dengan mencoba koneksi ke mesin target.
d).
Gaining Access
Percobaan
pengambilalihan ke target berdasarkan informasi yang didapatkan sebelumnya.
e).
Escalating Privilege
Meningkatkan
hak akses jika telah berhasil masuk ke dalam sistem pada server atau router.
f).Covering
Tracks
Proses
menghapus jejak segala macam log pada server atau router agar
tidak bisa dilacak.
g).
Creating Back Doors
Menciptakan
sebuah jalan rahasia dari sebuah sistem router atau server agar
bisa memasuki sistem kembali.
h).
Denial of Servive
Segala
upaya dilakukan oleh seorang hacker atau cracker untuk menguasai
sistem sudah dilakukan tetapi gagal. Dengan demikian, hacker maupun cracker
mengambil langkah terakhir, yaitu Denial of Service yang merupakan
wujud keputusasaan seorang hacker ataupun cracker. Denial of
Service lebih dikenal dengan DoS yang mana hal ini bisa menyebabkan server
atau router mengalami restart bahkan rusak (crash).
Selain langkah-langkah
tersebut, perlu juga diketahui bahwa langkah-langkah tadi dapat berhasil
tergantung tingkat pengetahuan teknologi si pelaku yang cukup baik, sarana yang
memadai berupa hardware seperti komputer dan modem, software berupa
tools ataupun program yang khusus dapat membantu pelaku dalam
melaksanakan perbuatan pembobolan website.
D.
Langkah-langkah
Pencegahan pembobolan website
Sebenarnya pembobolan
website bisa saja dicegah atau ditanggulangi sejak dini dengan melakukan
langkah-langkah tertentu. Langkah-langkah
tersebut antara lain :
Ø Mengikuti
perkembangan tools atau software yang berkaitan dengan pembobolan
website
Ø Upgrade
atau
update aplikasi
Ø Memasang
program Firewall
Ø Meminta
bantuan ISP (Internet Servive Provider)
E. Pemulihan Website Yang Telah Di
Bobol
Sejauh
apapun yang bisa dilakukan hacker namun secara fisik aksesibilitas terhadap
server tentu 100% ada pada kuasa pengelola dan begitu pula super user password
(admin password). Itu sudah cukup menjadi kunci sukses utama dalam pemulihan.
Misal ternyata bahkan akses ke Super User itupun telah diambil alih oleh hacker
maka pengelola dapat mengatasi dengan mengganti harddisk dengan yang lain dan
100% pengaruh si hacker sudah musnah dari server tersebut. Setelah pengaruh
hacker sudah hilang dari server, langkah selanjutnya yang perlu dilakukan
adalah Recovery, Rebuild, Restore, Resolve dan Retain(5R).
·
Recovery
Upaya pengambilan data bergerak yang mungkin ada dari sejak terakhir backup dilakukan termasuk diantaranya semua file yang bersifat log atau hal yang bisa membantu yang berwajib untuk melakukan pelacakan pelaku.
Upaya pengambilan data bergerak yang mungkin ada dari sejak terakhir backup dilakukan termasuk diantaranya semua file yang bersifat log atau hal yang bisa membantu yang berwajib untuk melakukan pelacakan pelaku.
·
Rebuild
Ini adalah upaya pembangunan kembali struktur sistem, bisa sekedar pada tingkat aplikasi web. Dalam melakukan ini skala prioritas sangat berguna yakni utamakan yang penting dan sangat diperlukan segera ada dan selebihnya bisa dilakukan setelah semua tahapan selesai.
Ini adalah upaya pembangunan kembali struktur sistem, bisa sekedar pada tingkat aplikasi web. Dalam melakukan ini skala prioritas sangat berguna yakni utamakan yang penting dan sangat diperlukan segera ada dan selebihnya bisa dilakukan setelah semua tahapan selesai.
·
Restore
Ini adalah pengembalian database dari file backup. Tentu keberhasilan ini tergantung dari kerajinan pengelola melakukan backup baik full-backup (Differential) maupun update-backup (Incremental). Tentu disini penting juga langkah rutin latihan restore, sebagai bagian dari DRP (Disaster Recovery Plan) bahwa data yang dibackup harus dipastikan dapat dipulihkan (restorable).
Ini adalah pengembalian database dari file backup. Tentu keberhasilan ini tergantung dari kerajinan pengelola melakukan backup baik full-backup (Differential) maupun update-backup (Incremental). Tentu disini penting juga langkah rutin latihan restore, sebagai bagian dari DRP (Disaster Recovery Plan) bahwa data yang dibackup harus dipastikan dapat dipulihkan (restorable).
·
Resolve
Menuntaskan tahapan pemulihan dengan melakukan pengujian dan pemastian bahwa segalanya telah kembali normal (atau lebih baik dari kondisi sebelumnya) atau setidaknya pemulihan telah sampai pada tingkat yang dapat dipertanggung jawabkan atau diterima oleh pimpinan, lalu dipastikan sistem pelindung telah terpasang dan diaktifkan, patch yang diperlukan telah dipasang. Bila semua dinyatakan "SIAP" maka layanan ini bisa segera dibuka kembali. Pada tahap ini sangat diperlukan adanya pencatatan mengenai apa yang dipasang, ditingkatkan, perbedaan dengan setting terdahulu. Sehingga apabila terjadi penyerangan berikut maka pengelola tidak perlu melakukan fall-back (atau kembali ke
sistem sebelum tahap 5R) melainkan cukup mengulang tahapan 5R dengan benar,
mungkin saja ada langkah yang terlupa atau ada langkah mendetil yang terlewati.
Menuntaskan tahapan pemulihan dengan melakukan pengujian dan pemastian bahwa segalanya telah kembali normal (atau lebih baik dari kondisi sebelumnya) atau setidaknya pemulihan telah sampai pada tingkat yang dapat dipertanggung jawabkan atau diterima oleh pimpinan, lalu dipastikan sistem pelindung telah terpasang dan diaktifkan, patch yang diperlukan telah dipasang. Bila semua dinyatakan "SIAP" maka layanan ini bisa segera dibuka kembali. Pada tahap ini sangat diperlukan adanya pencatatan mengenai apa yang dipasang, ditingkatkan, perbedaan dengan setting terdahulu. Sehingga apabila terjadi penyerangan berikut maka pengelola tidak perlu melakukan fall-back (atau kembali ke
sistem sebelum tahap 5R) melainkan cukup mengulang tahapan 5R dengan benar,
mungkin saja ada langkah yang terlupa atau ada langkah mendetil yang terlewati.
·
Retain
Secara parallel (karena situs telah dibuka kembali) dilakukan pengujian terhadap situs untuk dipastikan bahwa setidaknya situs tidak akan rubuh dengan modus operandi yang sama dan juga diuji dengan cara lainnya. Tahap 5R ini bukan jaminan bahwa sistem akan lebih kuat karena yang perlu diutamakan bukan sekedar keamanan (Secure) tetapi juga kecepatan (Speed), stabil (Stable) dan lancar (Smooth). Dan yang tak kalah pentingnya adalah factor manusia yang menjalankannya karna bukan tidak mungkin jebolnya suatu website dikarenakan oleh kelalaian penggunanya itu sendiri.
Secara parallel (karena situs telah dibuka kembali) dilakukan pengujian terhadap situs untuk dipastikan bahwa setidaknya situs tidak akan rubuh dengan modus operandi yang sama dan juga diuji dengan cara lainnya. Tahap 5R ini bukan jaminan bahwa sistem akan lebih kuat karena yang perlu diutamakan bukan sekedar keamanan (Secure) tetapi juga kecepatan (Speed), stabil (Stable) dan lancar (Smooth). Dan yang tak kalah pentingnya adalah factor manusia yang menjalankannya karna bukan tidak mungkin jebolnya suatu website dikarenakan oleh kelalaian penggunanya itu sendiri.
F.
Pengaturan Ketentuan
Pidana Terhadap Kejahatan Pembobolan
Website Menurut Undang-undang Nomor 11 Tahun 2008
Pembobolan website digolongkan sebagai
kejahatan di bidang informasi dan transaksi elektronik dapat dilihat dari
perbuatan yang dilarang dalam Bab VII dalam Pasal 30, 31 ayat (1) dan (2), 32,
33, dan 35 Undang-undang Nomor 11 Tahun 2008 berikut penjabarannya;
Pasal
30
(1) Setiap Orang
dengan sengaja dan
tanpa hak atau
melawan hukum mengakses
Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apapun.
(2) Setiap Orang
dengan sengaja dan
tanpa hak atau
melawan hukum mengakses
Komputer dan/atau sistem elektronik milik orang lain dengan cara apapun
dengan tujuan untuk
memperoleh Informasi Elektronik dan atau Dokumen
Elektronik.
(3) Setiap Orang
dengan sengaja dan
tanpa hak atau
melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara
apapun
dengan melanggar, menerobos,
melampaui, atau menjebol istem
pengamanan.
Pasal
31
(1)
Setiap Orang
dengan sengaja dan
tanpa hak atau
melawan hukum melakukan
intersepsi atau penyadapan atas Informasi Elektronik dan/atau
Dokumen Elektronik
dalam suatu Komputer
dan/atau Sistem Elektronik
milik Orang lain.
(2) Setiap Orang
dengan sengaja dan
tanpa hak atau
melawan hukum melakukan intersepsi atas
transmisi Informasi Elektronik dan/atau Dokumen Elektronik yang tidak
bersifat publik dari, ke dan di dalam suatu Komputer dan/atau
Sistem Elektronik milik
Orang lain, baik
yang tidak menyebabkan perubahan apapun
maupun yang menyebabkan adanya perubahan, penghilangan, dan/atau pengehentian Informasi Elektronik dan/atau Dokumen Elektronik
yang sedang ditransmisikan.
Pasal
32
(1) Setiap
Orang dengan sengaja dan tanpa hak atau melawan hukum dengan Cara apa pun
mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan,
memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen
Elektronik milik Orang lain atau milik publik.
(2) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum
dengan cara apa pun memindahkan atau
mentransfer Informasi Elektronik dan/atau Dokumen Elektronik
kepada Sistem Elektronik Orang lain yang tidak berhak.
(3) Terhadap perbuatan sebagaimana dimaksud pada
ayat (1) yang
mengakibatkan terbukanya suatu Informasi Elektronik dan/atau
Dokumen Elektronik yang bersifat rahasia
menjadi dapat diakses oleh publik dengan
keutuhan data sebagaimana mestinya.
Pasal
33
Setiap Orang dengan sengaja dan tanpa hak
atau melawan hukum melakukan tindakan
apapun yang berakibat
terganggunya Sistem Elektronik
dan/atau mengakibatkan
Sistem Elektronik menjadi
tidak bekerja sebagaimana mestinya.
Pasal
35
Setiap Orang dengan sengaja dan tanpa hak
atau melawan hukum melakukan manipulasi,
penciptaan, perubahan, penghilangan, pengrusakan Informasi Elektronik dan/atau
Dokumen Elektronik dengan
tujuan agar Informasi
Elektronik dan/atau Dokumen
Elektronik tersebut dianggap seolah-olah
data yang otentik.
Adapun pengaturan ketentuan sanksi
pidana terhadap kejahatan pembobolan website dapat dilihat
dalam Pasal 46, 47, 48, 49, 51, dan 52 ayat (2), (3) dan (4) Undang-undang Nomor 11 Tahun 2008 tentang Informasi dan Transaksi
Elektronik. Berikut ini adalah isi dari pasal-pasal tersebut.
Pasal 46
(1) Setiap
Orang yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan
pidana penjara paling lama 6 (enam tahun dan/atau denda paling banyak Rp.
600.000.000,00 (enam ratus juta rupiah).
(2) Setiap Orang
yang memenuhi unsur
sebagaimana dimaksud dalam
Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh)
tahun dan/atau denda
paling banyak Rp.
700.000.000,00 (tujuh ratus juta rupiah).
(3)
Setiap Orang yang memenuhi unsur sebagaimana
dimaksud dalam Pasal 30 ayat (3)
dipidana dengan pidana
penjara paling lama
8 (delapan) tahun dan/atau
denda paling banyak
Rp. 800.000.000,00 (delapan
ratus juta rupiah).
Pasal 47
Setiap Orang
yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 31 ayat (1) atau ayat (2)
dipidana dengan pidana penjara paling lama
10 (sepuluh) tahun
dan/atau denda paling
banyak Rp. 800.000.000,00
(delapan ratus juta rupiah).
Pasal 48
(1) Setiap
Orang yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 32
ayat (1) dipidana
dengan pidana penjara
paling lama 8 (delapan)
tahun dan/atau denda
paling banyak Rp.
2.000.000.000,00 (dua miliar rupiah).
(2) Setiap Orang
yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 32
ayat (2) dipidana
dengan pidana penjara
paling lama 9 (sembilan) tahun dan/atau denda paling
banyak Rp. 3.000.000.000,00 (tiga miliar rupiah).
(3) Setiap
Orang yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 32
ayat (3) dipidana
dengan pidana penjara
paling lama 10 (sepuluh) tahun
dan/atau denda paling
banyak Rp. 5.000.000.000,00 (lima miliar rupiah).
Pasal 49
Setiap Orang
yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 33,
dipidana dengan pidana
penjara paling lama
10 (sepuluh) tahun dan/atau
denda paling banyak
Rp. 10.000.000.000,00 (sepuluh miliar rupiah).
Pasal 51
(1) Setiap Orang
yang memenuhi unsur
sebagaimana dimaksud dalam Pasal
35 dipidana dengan
pidana penjara paling
lama 12 (dua
belas)tahun dan/atau denda paling banyak Rp. 12.000.000.000,00 (dua belas
miliar rupiah).
(2) Setiap Orang
yang memenuhi unsur
sebagaimana dimaksud dalam Pasal 36
dipidana dengan pidana
penjara paling lama
12 (dua belas) tahun dan/atau denda paling banyak
Rp. 12.000.000.000,00 (dua belas miliar rupiah).
Pasal 52
(2) Dalam
hal perbuatan sebagaimana
dimaksud dalam Pasal
30 sampai dengan Pasal
37 ditujukan terhadap Komputer dan/atau Sistem Elektronik serta
Informasi Elektronik dan/atau
Dokumen Elektronik milik Pemerintah dan/atau yang
digunakan untuk layanan
publik dipidana dengan pidana pokok ditambah sepertiga.
(3) Dalam
hal perbuatan sebagaimana
dimaksud dalam Pasal
30 sampai dengan Pasal
37 ditujukan terhadap Komputer dan/atau Sistem Elektronik serta
Informasi Elektronik dan/atau Dokumen milik Pemerintah dan/atau badan
strategis termasuk dan tidak terbatas pada lembaga pertahanan, bank
sentral, perbankan, keuangan, lembaga internasional,
otoritas penerbangan diancam dengan pidana maksimal ancaman pidana pokok
masing-masing pasal ditambah dua
pertiga.
(4) Dalam
hal tindak pidana
sebagaimana dimaksud dalam
Pasal 27 sampai dengan
Pasal 37 dilakukan
oleh korporasi dipidana
dengan pidana pokok ditambah dua pertiga.
0 komentar:
Posting Komentar