Inilah Alasan Situs Pemerintah Indonesia Simpel Diretas

Beberapa hari yang kemudian situs Sekretariat Kabinet RI dan juga situs Lemhannas diretas hacker. Bisa dibilang menjadi sambutan tahun gres yang cukup memalukan untuk pemerintah. Sebelum itu juga sudah sering website .go.id berterbaran di situs mirror zone-h.org. Kenapa sih situs Pemerintah RI kesannya kok praktis banget dibobol ?

Inilah beberapa faktor nya, berdasarkan LinuxSec :

Situs Pemerintah

1. Belum Memakai Secure Hosting

Kadang website website pemerintahan masih numpang di shared hosting, shared hosting murahan pula. Akibatnya jadi rawan symlink. Sekuat apapun website nya, kalo hosting nya masih cupu, ya percuma. Tinggal cari web yang nge bug di satu server, kemudian jumping deh.

Makanya jangan heran kalau kadang ada web pemerintah dihargai ratusan juta tapi security seluas pantat. Banyak yang masuk kantong daripada yang buat bener bener ke website.

2. Belum Menggunakan Secure Coding

CMS OpenSource macam WP dan Joomla memang memudahkan pembangunan website. Tapi CMS tersebut juga menjadi objek peretas untuk mencari eksploitasi. Itulah kenapa di exploit-db berbagai exploit untuk cms wp dan joomla. Apalagi kadang memakai CMS OpenSource, tanpa pengamanan samasekali. URL login masih default, lebih parah lagi password login juga default. Parah !

Lebih baik jikalau CMS Pemerintahan memakai codingan sendiri, toh mereka bayar mahal ke developernya, masa iya honor ratusan juta pake cms gratisan. lol.

3. Jarang Melakukan Penetration Test

Web web pemerintahan kita dapat dibilang sangat sangat mengecewakan terutama dalam hal maintenance. Bahkan kita dapat melihat awal situs revolusi mental dirilis, code nyolong dari web barrack obama.

Bahkan banyak situs go.id terkesan dibentuk asal asalan. Satu web sejuta bug. Vuln SQLi, Password tidak di hash, dan sehabis login ternyata tidak ada filter upload nya, kita dapat mengupload backdoor php di form upload image.

4. Poor Patch Management

Ini terlihat sekali di kasus website pemerintahan kita. Saat berhasil masuk atau menemukan celah di website go.id , bekerjsama banyak juga defacer yang terlebih dahulu mengirim email ke webmaster biar segera memperbaiki celah di web nya. Namun alih alih diperbaiki, email saja tidak direspon. Itulah kenapa kadang si defacer menentukan pribadi drop db saja kalau bertemu web pemerintahan, alasannya ialah merasa tidak dihargai.

5. Kesadaran SDM Masih Kurang

Keamanan situs maupun jaringan IT instansi pemerintah bekerjsama bukan hanya tanggungjawab admin semata. Para pengambil kebijakan di tataran atas juga bertanggung jawab semenjak pembangunan situs dan jaringan IT. Pemilihan developer misalnya, bila pengambil kebijakan tak paham benar mana yang aman, dapat jadi developer dengan proposal situs bertemplate wordpress mislanya, akan menang.

Akibatnya jelas, dengan template modifikasi Wordpress yang umum, celah keamanan lebih banyak dan terbuka. Bahkan di forum-forum internet peretas pemula di bagikan celah keamanan untuk banyak template, sehingga itu menjadi target latihan melaksanakan deface sebuah situs.

Manusia sebagai pihak yang menjalankan sistem ialah kunci semenjak proses perencanaannya. Oleh alasannya ialah itu perlu dibangun sebuah perjuangan untuk meningkatkan kesadaran keamanan cyber untuk seluruh pegawai pemerintahan. Hal ini dapat menekan risiko terjadinya serangan pada situs pemerintah, dan meningkatkan keamanan jaringan IT yang ada di lembaga pemerintah.

Sumber https://www.linuxsec.org/

Share this post