Menyamar demi Mewawancarai Peretas Situs Pemerintah
Mendekati peretas bukan hal mudah. Perlu pendekatan yang pas agar mereka nyaman berkomunikasi. Berbagai cara kami lakukan, antara lain dengan membuat akun “palsu” dan menggunakan perantara yang tepercaya.
Peretasan berbagai situs pemerintah membuat prihatin dan cemas. Para peretas tidak hanya mengubah penampilan situs, tetapi juga mengambil data warga untuk diperdagangkan di internet.
Kondisi ini mendorong kami membuat liputan investigasi soal peretasan. Hasil liputannya bisa dibaca di koran Kompas dan Kompas.id mulai Jumat (29/10/2021).
Tidak mudah untuk mencari tahu dan menembus komunitas para peretas. Karena peretasan dan penjualan data berkelindan dengan kemisteriusan. Para pelakunya penuh kecurigaan kepada orang asing. Mereka menempuh berbagai cara untuk menyembunyikan identitas sesungguhnya.
Tidak heran, mendekati dan meraih kepercayaan komunitas ini, menjadi tantangan besar. Masuk ke forum-forum peretas dan penjual data tanpa persiapan matang, sama saja dengan membuka diri untuk penyerangan siber.
Berbeda dengan profesi lainnya, sosok-sosok di komunitas peretasan dan pencurian data tak mudah ditebak maksud dan tujuannya. Untuk itu, penting untuk melakukan antisipasi demi menghindari serangan siber. Jangan sampai terjadi ”serangan balik”, berupa pencurian data, foto dan video pribadi, penyadapan surat elektronik, hingga penguasaan media sosial.
Dalam film-film dan novel, peretas digambarkan sebagai sosok misterius, gelap dan tertutup, namun mampu memporak-porandakan hidup seseorang dalam sekejap.
Gambaran ini persis seperti tokoh Eliot Alderson dalam serial Mr. Robot yang diperankan Rami Malek. Bayangan akan bertemu peretas seperti Eliot Alderson cukup membuat gelisah.
Kami kemudian berkonsultasi dengan para ahli pengamanan siber dari Digital Forensic Indonesia (DFI) di Jakarta pada Kamis (16/9/2021). Dari diskusi diperoleh beberapa hal.
Baca Juga: Situs Pemerintah Mudah Diretas, Data Warga Dijual Bebas
Pertama, tidak mengungkapkan identitas pribadi di forum peretas. Kedua, tidak bersikap interogatif sehingga dapat dicurigai sebagai aparat penegak hukum. Ikuti saja alur pembicaraan mereka lebih dahulu.
Sama seperti peretas yang selalu memakai identitas lain, kami pun lalu menjadi ”orang lain” di forum-forum itu. Sebelumnya, ada beberapa hal yang kami lakukan, yakni membuat beberapa email yang sekiranya tidak mudah merujuk pada identitas pribadi, nomor telepon, alamat email, atau media sosial pribadi.
Butuh waktu seharian bagi kami yang awam ini untuk membuat surel dan akun-akun palsu itu. Pekerjaan ini tidak sesederhana yang kami kira karena hampir semua penyedia alamat surat elektronik membutuhkan verifikasi menggunakan nomor telepon seluler atau setidaknya alamat email pribadi.
Sejumlah jurus kami kerahkan untuk mensiasatinya, seperti menggunakan nomor lama yang masih aktif namun tidak terdaftar atas nama pribadi ataupun menggunakan nomor telepon virtual yang bisa dibeli di internet.
Beruntung kami bisa menemukan nomor luar negeri yang masih aktif, tetapi tidak terpakai di gawai mana pun. Kami lalu memakai nomor itu untuk membuat surel yang kami pakai masuk ke komunitas peretas.
Amankan diri
Sebagai pengaman tambahan, kami juga menghapus sebagian besar foto wajah dari berbagai media sosial. Tujuannya agar tak mudah dikenali. Tak lupa, kami juga mengaktifkan aplikasi VPN berbayar untuk menyembunyikan alamat rumah kami masing-masing.
Setelah merasa cukup aman, kami mulai berselancar ke forum-forum peretas. Tidak mudah mencapai forum-forum itu, meski sudah melakukan registrasi. Selain harus mengisi captcha berkali-kali untuk memastikan pengguna akun bukan robot.
Baca Juga: Data Warga Diobral!
Salah satu situs penjualan data yang populer adalah Raidforums.com, yang saat ini menjadi muara penjualan data pribadi warga Indonesia hasil peretasan. Kami juga masuk ke forum peretas lain, seperti zone-h.org dan zone-xsec.com.
Setelah berhasil masuk forum dengan pengamanan diri, untuk mencari peretas yang bersedia ditemui masih membutuhkan jalan panjang. Pertama-tama, kami harus menemukan alamat dan nomor kontak para peretas dan pelaku penjualan data.
Baca Juga: Serangan Siber pada Hari Libur
Pelacakan kontak ini dilakukan dengan menyusuri jejak peretasan mereka, yaitu dari situs-situs yang mereka retas. Satu per satu halaman mirroring (salinan) peretasan kami buka secara manual.
Jika beruntung, peretas akan meninggalkan alamat surel atau bahkan nomor whatsapp di laman-laman situs itu. Namun, tentu saja kebanyakan aksi peretasan itu hanya meninggalkan nama tanpa kontak.
Tak putus asa, pencarian terus dilakukan selama beberapa hari. Akhirnya sejumlah alamat kontak peretas berhasil kami peroleh dari laman-laman mirroring itu. Tak banyak, tetapi cukup memadai.
Langkah selanjutnya, menghubungi mereka dengan surel samaran kami. Ini pun bukan hal mudah. Memasuki forum-forum itu dengan aman dan mengumpulkan kontak mereka adalah satu hal. Namun, menghubungi dan mendekati apalagi berhasil mendapat kepercayaannya mereka agar mau diwawancarai adalah hal lain.
Peretas tidak suka identitasnya diketahui. Mereka cenderung menolak berbicara dengan orang yang tak mereka kenal sama sekali. Dari 11 kontak peretas, hanya dua yang membalas. Dua orang itu pun memberikan tahapan berliku sebelum akhirnya cair dan bisa bercakap-cakap dengan lancar.
Baca Juga: Indonesia Krisis Ahli Keamanan Siber
Peretas dengan akun Kakegurai, mengawali komunikasi dengan memberikan nomor Whatsapp yang tidak aktif. Sementara peretas dengan nama akun Mr.Rm19 meminta verifikasi identitas terlebih dahulu dengan meminta contoh tulisan.
Maklum saja, Mr.Rm19 pernah ditangkap karena peretasan situs pemerintah yang ia lakukan. ”Maaf saya suudzon, banyak intel mengaku sebagai wartawan soalnya,” kata Mr.Rm19.
Ia akhirnya setuju diwawancarai. Syaratnya, percakapan hanya melalui aplikasi obrolan ICQ yang sama sekali tak menggunakan verifikasi identitas apa pun. Kami tidak pernah menggunakan aplikasi ini sebelumnya.
”Pakainya mudah, tanpa satu pun verifikasi identitas,” kata Irene, salah satu dari kami, menyampaikan pengalamannya.
Perantara
Peretas lainnya berhasil kami temui melalui perantara BRH Law Firm di Malang. Firma hukum ini sudah beberapa tahun belakangan menjadi perwakilan hukum komunitas Surabaya Black Hat.
BRH Law Firm berjasa membukakan pintu agar kami dapat berkomunikasi dengan para pegiat dari Surabaya Black Hat. Akhirnya, kami bisa bertemu dengan Katon Primadi dan Rama, anggota Surabaya Black Hat, di dua tempat terpisah.
Pertemuan itu tercapai setelah terjalin rasa saling percaya antarpihak. Surabaya Black Hat menaruh kepercayaan pada BRH Law Firm, dan BRH Law Firm memahami itikad baik kami untuk meliput topik ini.
Beberapa tahun silam, komunitas Surabaya Black Hat memiliki ribuan pengikut di Facebook. Ketika itu sebagian dari mereka, aktif menawarkan jasa sebagai pencari celah keamanan sebuah situs, baik di dalam maupun luar negeri. Namun, kegiatan ini dihentikan karena termasuk aktivitas yang melanggar hukum di Indonesia.
Baca Juga: Kami Meretas, maka Kami Ada
Pegiat Surabaya Black Hat menceritakan kegiatan mereka yang kini lebih fokus pada dunia usaha dan pemberdayaan remaja yang memiliki minat di dunia teknologi informasi.
Kami merasa aman karena mereka ternyata tidak seangker bayangan sebelumnya. Mereka pun tanpa ragu menceritakan masa lalunya, yang sebagian pernah dihabiskan dalam penjara karena masalah hukum.
”Kami sudah enggak meretas lagi. Kami ingin mendirikan sekolah untuk anak-anak tidak mampu agar minatnya pada teknologi tersalurkan,” kata Rama.
Ia mengungkapkan, dirinya dan Katon bukanlah berasal dari keluarga berpunya. Untuk main internet saja kesulitan. Akan tetapi, karena minatnya pada teknologi informasi, dia kini mulai mendapatkan impiannya.
Mengenal mereka secara pribadi, sosok-sosok misterius itu sesungguhnya manusia biasa dengan keahlian luar biasa, terlepas dari sisi baik dan buruk masing-masing.
Setelah sejumlah rangkaian percakapan dan pertemuan dengan para peretas, kemisteriusan dan kesan gelap yang menyelimuti mereka memudar. Ternyata tak satu pun peretas berpenampilan misterius dengan jaket bertudung hitam.
Mengenal mereka secara pribadi, sosok-sosok misterius itu sesungguhnya manusia biasa dengan keahlian luar biasa, terlepas dari sisi baik dan buruk masing-masing.