Undang-undang ITE mengenai tindak kejahatan defacing

Tindak kejahatan yang menggunakan Informasi Teknologi dan Elektronik khususnya mengenai tindak kejahatan defacing diatur dalam UU ITE BAB VII MENGENAI PERBUATAN YANG DILARANG, diantaranya :

a.       Pasal 30
•         Ayat 1
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer
dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.
•         Ayat 2
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer
dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh
Informasi Elektronik dan/atau Dokumen Elektronik.
•         Ayat 3
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer
dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos,
melampaui, atau menjebol sistem pengamanan.

b.      Pasal 32
•         Ayat 1
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun
mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan,
memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen
Elektronik milik Orang lain atau milik publik.
•         Ayat 3
Terhadap perbuatan sebagaimana dimaksud pada ayat (1) yang mengakibatkan
terbukanya suatu Informasi Elektronik dan/atau Dokumen Elektronik yang bersifat
rahasia menjadi dapat diakses oleh publik dengan keutuhan data yang tidak
sebagaimana mestinya.

c.       Pasal 35
Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum melakukan
manipulasi, penciptaan, perubahan, penghilangan, pengrusakan Informasi Elektronik
dan/atau Dokumen Elektronik dengan tujuan agar Informasi Elektronik dan/atau
Dokumen Elektronik tersebut dianggap seolah-olah data yang otentik.

Adapun ketentuan pidana yang mengatur tindak pidana tentang kejahatan Informasi Teknologi dan Elektronik, khusususnya mengenai kejahatan deface yang disebutkan diatas diatur dalam 
UU ITE BAB XI KETENTUAN PIDANA diantaranya :

a.       Pasal 46
•         Ayat 1
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1)
dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling
banyak Rp. 600.000.000,00 (enam ratus juta rupiah).
•         Ayat 2
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2)
dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling
banyak Rp. 700.000.000,00 (tujuh ratus juta rupiah).
•         Ayat 3
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3)
dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda
paling banyak Rp. 800.000.000,00 (delapan ratus juta rupiah).

b.      Pasal 48
•         Ayat 1
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1)
dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda
paling banyak Rp. 2.000.000.000,00 (dua miliar rupiah).
•         Ayat 3
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (3)
dipidana dengan pidana penjara paling lama 10 (sepuluh) tahun dan/atau denda
paling banyak Rp. 5.000.000.000,00 (lima miliar rupiah).

c.       Pasal 51
•         Ayat 1
Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 35 dipidana
dengan pidana penjara paling lama 12 (dua belas) tahun dan/atau denda paling
banyak Rp. 12.000.000.000,00 (dua belas miliar rupiah)

Pengertian CMS

CMS kepanjangan dari Content Management System. CMS merupakan sebuah aplikasi web atau software web yang tujuannya untuk memudahkan dalam pengelolaan (upload,edit,menambahkan,dll) konten dalam sebuah website/blog/aplikasi web tanpa harus dibekali pengetahuan tentang hal-hal yang bersifat teknis tanpa harus memiliki pengetahuan tentang bahasa pemrograman web. Sehingga dengan adanya CMS ini, orang awam pun dapat membuat sebuah website yang langsung jadi dan pengguna tinggal mengelola isi konten website tersebut tanpa campur tangan dari pihak webmaster.

Di dalam CMS, manajemen file-file juga sangat terstruktur, setiap elemen antara isi dan tampilan desain terpisah.

Fleksibilas sebuah CMS, membuat CMS ini banyak dikembangkan oleh pihak-pihak lain, apalagi jika CMS yang memiliki kemajuan sangat pesat dan terus mengalami perubahan atau update sistem secara berkala. Hal ini lah yang membuat banyak developer-developer memilih mengembangkan aplikasi CMS ini daripada membuat sebuah aplikasi web yang baru.

CMS dapat digunakan untuk membuat berbagai jenis website seperti :

o    Website perusahaan, bisnis, organisasi atau komunitas.

o    Portal

o    Galeri foto

o    Aplikasi E-Commerce / Toko Online

o    Mengelola website pribadi / blog.

o    Dan lain-lain.

CMS saat ini berkembang pesat, banyak sekali macam-macam CMS. Dalam dunia blogging, CMS adalah salah satu andalan untuk membangun sebuah blog, yang mana notabene blogger tidak semuanya mengerti akan membuat website dari nol, tetapi hanya tahu cara menulis dan posting. Oleh karena itulah, kehadiran CMS ini sangat bermanfaat sekali.

Defacing

      
        Pada postingan kali ini saya akan sharing tentang defacing, apa penyebabnya, bagaimana cara mengatasi dan cara penaggulangannya. Mungkin sebagian besar sudah banyak yang mengetahui apa yang disebut dengan defacing.

Kata deface (bahasa Inggris) berdasarkan kamus UMUM berarti merusakkan; mencemarkan; menggoresi; menghapuskan tetapi arti kata defacing disini yang sangat lekat adalah sebagai salah satu kegiatan hacking website target yang berupa website dengan meng-hack   login admin dan membuat pintu belakang/backdoor agar mempermudah mengakses website tersebut  atau kegiatan hacking website dengan program aplikasi yang menfokuskan target merubah tampilan suatu website.

 Ada beberapa hal yang menjadi penyebab web rentan terjadinya  deface, antara lain :

a.       Penggunaan free CMS dan open source tanpa adanya modifikasi. Keseluruhan konfigurasi menggunakan konfigurasi default (default configuration) yang akan memudahkan para defacer untuk menemukan informasi file, directory, source, database, user, connection, dsb. Bagi para blogger apalagi yang masih newbie melakukan modifikasi konfigurasi engine blog bukanlah merupakan hal yang mudah. Namun tak ada salahnya kita meluangkan waktu mencari berbagai pedoman dan mungkin bisa juga dengan melakukan instalasi plugin untuk keamanan wordpress seperti  wp firewall, login lock down, stealth login, dan plugin lainnya untuk keamanan blog.

b.   Tidak adanya ada research yang mendalam dan detail mengenai CMS sebelum digunakan & diimplementasikan. Sehingga pemahaman dan pengetahuan dari webmaster hanya dari sisi administrasinya saja, tidak sampai ke level pemahaman sourcecode.

c.      Tidak updatenya source atau tidak menggunakan versi terakhir dari CMS. Hal ini sangat ini rentan, karena security issue terus berkembang seiring masuknya laporan dan bugtrack terhadap source, kebanyakan hal inilah yang menjadi sebab website mudah dideface. Oleh karena hal itu  diputuskan untuk melakukan upgrade pada blog ini.

d.    Jarang melakukan pengecekan terhadap security update, jarang mengunjungi dan mengikuti perkembangan yang ada di situs-situs security jagad maya. Ini merupakan kelalaian administrator web itu sendiri.

e.  Tidak adanya audit trail atau log yang memberikan informasi lengkap mengenai penambahan, pengurangan, perubahan, yang terjadi di website baik source, file, directory, dsb. Sehingga kesulitan untuk menemukan, memperbaiki dan menghapus backdoor yang sudah masuk di website.

f.    Kurangnya security awareness dari masing-masing personel webmaster & administrator. Sehingga kewaspadaan terhadap celah-celah keamanan cukup minim, kadangkala setelah website terinstall  dibiarkan begitu saja. Kurangnya training dan kesadaraan akan keamanan website seperti ini akan menjadikan website layaknya sebuah istana yang tak punya benteng

           Mengatasi website yang telah terserang deface

           

a. Download source CMS versi terbaru dari website penyedia CMS, misalnya : www.drupal.org,www.joomla.org, www.wordpress.org, dsb.

b.     Lakukan perbaikan database secara lokal, berjaga-jaga apabila backdoor ada di database. Biasanya  didalam database ada acces user tidak dikenal yang akses levelnya sama dengan Administrator.

c.       Install CMS yang tadi sudah didownload diweb hosting. Kemudian lakukanlah konfigurasi : database, file permission, directory permission. Jangan menggunakan default configuration, modifikasilah konfigurasi-konfigurasi yang ada agar lebih powerfull.

d.      Kemudian instalasi component: Themes, Plugin, Component, dsb. Gunakanlah yang paling update, atau source baru dari komponen yang akan diinstall(Fresh Install Component).

e.   Update database, dengan login ke Database Control Panel (phpnyadmin, DB Admin, cPanel Database, dsb). Setelah melakukan login, maka importlah database.   

f.       Gantilah username Administrator & Password menggunakan nama yang lebih Unik, jangan menggunakan user (admin, administrator, adm1n, dsb) gunakanlah yang lebih powerfull dan susah untuk ditebak untuk menghindari bruteforce, gunakanlah alias untuk menampilkan username administrator di web content.

     Melihat dari dampak yang ditimbulkan dari serangan defacing ada beberapa hal yang dapat kita lakukan sebagai pencegahan atau penanggulangan terhadap serangan tersebut :

a.   Penggunaan Firewall. Tujuan utama dari firewall adalah untuk menjaga agar akses dari orang tidak berwenang tidak dapat dilakukan. Program ini merupakan perangkat yang diletakkan antara internet dengan jaringan internal. Informasi yang keluar dan masuk harus melalui atau melewati firewall. Firewall bekerja dengan mengamati paker Intenet Protocol (IP) yang melewatinya

b.      Mengikuti perkembangan source dari source website yang digunakan, backuplah website dan database sebelum dilakukan update.

c.   Mayoritas defacer telah memasang backdoor ketika telah berhasil melakukan deface website, hal ini dimungkinkan agar dapat melakukan deface ulang terhadap website. Wajib untuk memeriksa perubahan folder, file, database dan source terakhir dari website 

d.      Pelajari lebih dalam mengenai dasar-dasar hacking dan antisipasinya, contoh hacking yaitu SQL Injection. 

e.   Sering-seringlah berdiskusi si forum dan milist yang berkaitan dengan perangkat  serta aplikasi yang mensupport website, baik dari sisi operating system, tempat hosting, bugtrack milist, developer milist, dsb. 

f.    Hardening website dan source harus dilakukan, misalkan jangan menggunakan ”default configuration”, aturlah sedemikian rupa ”configuration website” dengan memperhatikan: permission, acces level, indexiding, database configuration, password dan user management.

g.      Gunakan tambahan plugin/component yang tepat, sehingga dapat meminimalisasi terjadinya kegiatan defacing dari thirdparty. Pastikan hasil review & ranking plugin bereputasi baik dan sudah diverified oleh penyedia CMS yang bersangkutan.

h.    Lakukanlah penetration testing terhadap website, baik secara lokal maupun langsung di website. Banyak tools penetration testing yang bisa digunakan: Nexus, Acunetix, dsb.  

          Wah. . . . tak terasa panjang juga postingan mengenai defacing ini. Semoga bermanfaat dan selamat mencoba. . .