Kisah Peretas Galau Semarang dan Anggaran Siber

Kisah Peretas Galau dan Diskominfo yang Kebingungan — Begini tampilan website resmi milik Pemkot Semarang yang berisi pesan galau

Liputan6.com, Semarang - Masih soal peretasan situs Pemkot Semarang. Rosa Eka, mahasiswi sebuah perguruan tinggi swasta kelihatan kesal. Ia gagal memperoleh data warga miskin dan program-program pengentasan kemiskinan yang digagas Wali Kota Semarang Hendrar Prihadi melalui program Gerbang Hebat.

Gerbang Hebat merupakan singkatan dari Gerakan Bersama Penanggulangan Kemiskinan dan Pengangguran Melalui Harmonisasi Ekonomi, Edukasi, Ekosistem, Etos Bersama Masyarakat. Program itu dirancang untuk mengurangi jumlah warga miskin.

Rosa berkali-kali mencoba mengeja dan mengetik ulang alamat laman yang didapat dari salah satu PNS di balai kota, gerbanghebat.semarangkota.go.id. Laman resmi yang merupakan subdomain semarangkota.go.id itu hanya menampilkan tulisan "Sorry. If you are the owner of this website, please contact your hosting provider"

"Saya awalnya tidak tahu kalau website itu sudah diretas sejak tanggal 5 Mei 2017. Hari Rabu ya. Masak hanya web saja yang diganti tampilan nggak bisa mbenerin? Percuma dong dianggarkan besar," kata Rosa Eka kepada Liputan6.com, Senin, 15 Mei 2017.

Peretasan laman resmi Pemkot Semarang itu tak ada kaitan sama sekali dengan virus ransomwareWannaCry yang menjadi tren pencarian pada tanggal yang sama. Peretasan terjadi jauh hari sebelumnya.

Pakar keamanan siber Pratama Persadha menyarankan sebaiknya laman milik pemerintah perlu diaudit sistem keamanannya, agar hal semacam ini tidak terjadi kembali. Bisa jadi sebelumnya ketika diaudit masih aman, namun di lain hari belum tentu aman.

"Karena prinsipnya keamanan cyber itu proses yang dilakukan terus menerus," kata Pratama Persadha, chairman lembaga riset keamanan cyber CISSReC (Communication and Information System Security Research Center) itu.

Di Indonesia sendiri, ada beberapa kali serangan siber yang cukup menghebohkan. Sebelum virus WannaCry, ada kasus peretasan yang menimpa laman Telkomsel dan Indosat.

Untuk mencegah hal itu, lanjut Pratama, pemerintah perlu segera membentuk sebuah aturan khusus bagaimana standar keamanan sebuah laman resmi milik pemerintah, juga keamanan sistem milik perbankan dan instansi strategis lainnya.

Penasaran dengan pengamanan yang dilakukan Pemkot Semarang, Liputan6.com memeriksa anggaran pengelolaan dan pengamanan laman di APBD Kota Semarang 2017.

Dalam anggaran yang dibahas di Komisi A DPRD Kota Semarang itu setidaknya ada tiga mata anggaran yang ditengarai untuk membiayai pengelolaan dan pengamanan laman. Dananya mencapai miliaran rupiah.

Pertama adalah mata anggaran Pelatihan SDM Bidang Komunikasi dan Informasi yang besarnya Rp 600 juta. Kedua adalah mata anggaran Pembinaan dan Pengembangan Jaringan Komunikasi dan Informasi yang besarnya Rp 6 miliar.

Terakhir adalah mata anggaran Penyusunan dan Penataan Persandian yang besarnya Rp 100 juta. Dari tiga mata anggaran tersebut, masih didominasi alokasi untuk belanja pegawai.

Kepala Bagian Humas Pemerintah Kota Semarang Ahyani mengaku tidak tahu mengenai pengelolaan laman. Meskipun tugas utamanya menjadi humas, Ahyani menyebutkan bahwa yang menangani memang Dinas Komunikasi dan Informasi.

"Nyuwun sewu (maaf) mas. Saya kurang tahu persis. Karena yang nangani dulu PDE (Pusat Data Elektronik-red). Kalau sekarang Diskominfo mas," kata Ahyani melalui pesan singkat.

Ketika ditunjukkan dokumen APBD Kota Semarang 2017 di Diskominfo, kembali Ahyani mengaku tidak tahu karena sebelumnya terpusat di PDE.

2 dari 2 halaman

Kepala Dinas Galau

Sementara itu, Kepala Dinas Komunikasi dan Informasi Kota Semarang, Nana Storada tak bersedia menjelaskan pembiayaan pengelolaan dan pengamanan laman milik Pemkot Semarang. Ia juga menyebutkan bahwa pembangunan laman maupun pengelolaan dan pengaturan pengamanannya tidak melalui pihak ketiga.

"Mosok website di pihak ketiga…. apa ada satu daerah aja yang seperti itu. Anggarannya cari di DPA kominfo mas. Di web ada anggaran seluruh OPD (organisasi pemerintahan daerah)," kata Nana.

Nana juga enggan menunjukkan nomenklatur mana yang menunjukkan pembiayaan pengelolaan dan pengamanan jaringan internet Pemkot Semarang. Hal ini mendapat sorotan dari direktur Pattiro Semarang, Widi Nugroho.

Menurutnya, Diskominfo harusnya menjadi garda terdepan keterbukaan informasi. Apalagi Semarang merupakan salah satu pilot project keterbukaan informasi, terutama masalah penganggaran.

"Semakin tertutup, masyarakat semakin curiga," kata Nugroho.

Selain subdomain gerbanghebat.semarangkota.go.id yang diretas dan mengalami deface, hingga seminggu lebih domain utama semarangkota.go.id juga kesulitan diakses. Butuh waktu cukup lama untuk bisa membuka halaman pertama laman itu, namun lebih sering lagi tidak bisa diakses.

Sebelumnya pada Rabu, 5 Mei 2017, laman Pemkot Semarang diretas hacker. Web itu hanya mengalami deface atau serangan pada tampilan web yang diubah. Peretas mengganti isi tampilan dengan curhat ala anak muda yang galau.

Peretas meninggalkan identitas yakni hacked by ./v10 xai syndicate. Hacker membuka pesan awal “Numpang galau ya min :’(“. yang dilanjutkan dengan pesan panjang.

Terima kasih yang sudah datang, lalu menghilang
Terima kasih yang pernah ada, lalu tiada
Cinta memang sesuatu yang sangat indah, tapi kadang cinta juga memberikan kesedihan yang dalam ketika tanpa rasa percaya
Jangan pernah biarkan kesedihan di masa lalu membuatmu takut untuk menerima seseorang yang baru
Sepi sendiri, terlupakan… Kau menghilang begitu saja
Terima kasih karena kamu pernah menjadi seorang penyemangat hidupku

Setelah pesan galau itu hilang, ternyata sampai saat ini subdomain gerbanghebat.semarangkota.go.id tetap tidak bisa diakses. Menurut pakar keamanan siber Pratama Persadha, laman sebagai etalase dan sebenarnya merupakan hal paling mudah diretas. Apalagi, laman pemerintahan yang proteksinya hanya mengandalkan kata sandi.

"Masalah kita salah satunya belum ada standar keamanan seperti apa yang harus dilakukan," kata Pratama.

Pratama sendiri melihat ini ada proses yang kurang cepat penanganannya. Seharusnya serangan deface bisa dengan cepat di-recovery. Dalam jagad retas meretas, deface hanyalah peretasan dengan tingkat paling bawah.

"Ini hacker masih baik hati, memberitahu sisi bolong pengamanan sistemnya. Namun jika menangani deface saja sampai butuh waktu seminggu lebih, perlu dipertanyakan kesungguhan hati pengelolanya," kata Pratama.

Menurut Pratama, laman Pemkot Semarang perlu segera diaudit forensik untuk mengetahui lubang-lubang yang dimanfaatkan peretas. Selain itu, pasca-recovery, sebaiknya Pemkot Semarang meningkatkan standar keamanan dengan berbagai cara, baik menambahkan firewall maupun memperbaiki SDM yang ada.

APBD Kota Semarang 2017 menunjukkan anggaran pengamanan website yang kini diretas. (foto : Liputan6.com / edhie prayitno ige)

Anggaran Pelatihan SDM yang mencapai Rp 700 juta, kemudian anggaran pembinaan dan pengembangan jaringan yang mencapai Rp 1,09 miliar, dan anggaran penyusunan dan penataan persandian Rp 100 juta ini ternyata tidak berbanding lurus dengan hasil yang ada.

"Kalau pengamanan sistem sebenarnya murah, tapi kalau di pemerintahan bisa berlipat puluhan kali. Seperti pembuatan website milik seorang menteri yang mencapai Rp 200 juta, sebenarnya modalnya bahkan tak sampai Rp 1 juta," kata Ibnu Dwi, analis keamanan siber dari CiSSReC.

Rosa Eka dan pengguna lain ternyata tertular kegalauan peretas. Namun saat ini ada yang lebih galau, yakni pengelola laman tersebut yang bahkan menjelaskan mata anggaran saja tidak tahu.