Balas Dendam Kobarkan Hasrat Meretas
Remaja-remaja belia melakukan peretasan sebagai ajang eksistensi diri. Situs-situs pemerintah menjadi sasaran empuk sebab mereka banyak mengenali sejumlah kelemahannya.
Di dunia peretasan, Apep (14) menemukan eksistensinya. Remaja pendiam itu mendirikan dan mengetuai kelompok peretas bernama Evoush666Crew yang terdiri dari 6 orang. Tahun 2021 ini, bersama kelompoknya, setidaknya 40 situs pemerintah sudah menjadi korbannya.
Berkebalikan dengan keaktifannya di dunia peretasan, Apep (14), bukan nama sebenarnya, merasa tak punya kehidupan di dunia nyata. Remaja itu merasa sulit berteman karena sifatnya yang introvert. Ia juga harus sering berpindah kota karena pekerjaan orangtuanya.
Apep tak suka di sekolah. Ia juga tak nyaman di rumah karena hampir setiap hari mendengar orangtuanya bertengkar. Maka internet pun menjadi pelariannya. Dari situ, Apep mulai belajar meretas dan sekarang semakin menekuninya. Orangtuanya tidak pernah tahu kegemarannya itu.
”Saya mulai belajar meretas sejak kelas VI SD secara otodidak saja, dari internet. Sekarang sering meretas ya karena kegabutan (kebosanan) saya saja,” kata Apep yang saat ini tinggal di sebuah kota industri di Jawa Tengah itu, akhir September 2021 lalu.
Di forum peretas internasional Zone-H.Org, Apep menggunakan nama Kakegurai. Nama itu berasal dari anime Jepang berjudul Kakegurui yang bercerita tentang gadis remaja yang hobi berjudi di sekolah elite. Foto profil di sejumlah akun percakapannya pun gadis anime Jepang.
Ia baru terlihat aktif di forum peretas itu sejak Januari 2021. Namun, hingga Kamis (21/10/2021) ia terdata sudah melakukan 842 peretasan, 14 di antaranya situs pemerintah Indonesia. Sejumlah situs pemerintah kota di Nusa Tenggara Timur berada di jajaran korbannya.
Peretasan itu dia lakukan dengan model defacement (mengubah tampilan muka situs). Meskipun belum tentu melakukan pencurian data, peretasan model defacement setidaknya membuat situs sulit diakses. Pengelola situs juga bisa dibuat malu.
Para peretas belia seperti Apep gemar menandai situs yang berhasil mereka tembus dengan nama peretas mereka. Hal ini ibarat pendaki menancapkan bendera di puncak gunung yang berhasil dicapai. Apep pernah meretas situs Komisi Pemilihan Umum, Badan Pengawas Pemilu dan situs informasi Covid di sejumlah daerah dengan model defacement. ”Totalnya mungkin sekitar 2.000 situs, untuk Pemerintah Indonesia ya sekitar 220. Kebanyakan tidak saya catat sih,” katanya.
Balas dendam
Kegemaran Apep meretas situs pemerintah makin menjadi setelah merasa dicurangi oleh salah satu admin web pemerintah daerah. Peretasan situs pemerintah menjadi ajang balas dendamnya.
Saat itu, ia menemukan sebuah kerentanan (bug) di salah satu situs pemerintah daerah. Menggunakan injeksi SQL (structured query language, yaitu bahasa yang digunakan dalam pengolahan database), ia menebas indeks situs tersebut. Ia sengaja menyimpan cadangan data dengan maksud agar nantinya mudah mengembalikan situs seperti semula. Ia meninggalkan nomor Whatsapp laman situs tersebut dengan harapan dihubungi. Sesuai ekspetasinya, admin web tersebut menghubunginya dan memohon agar situsnya dikembalikan seperti semula.
Si admin web menjanjikan uang Rp 50.000 dalam bentuk pulsa. Apep menyanggupi. Ia memperbaiki kerentanan (patch) situs tersebut dan mengembalikan situs seperti semula. Namun, pulsa yang dijanjikan tak pernah datang. Sang admin web tidak pernah bisa dia hubungi lagi.
Apep memang mencoba mencari ”uang pulsa” dari keahliannya meretas. Ia bukan anak yang berkelimpahan dan sering kehabisan pulsa. Tawaran melakukan perbaikan kerentanan dengan upah Rp 50.000-Rp 100.000 akan ia sanggupi. Tentunya, setelah ia melakukan peretasan terlebih dulu yang mana merupakan pelanggaran hukum.
Ia merasa aman juga karena aplikasi Orbot yang dia gunakan. Aplikasi itu membuat alamat IP berganti setiap beberapa detik sekali sehingga keberadaannya sulit dilacak. Bocah itu mengaku tak takut pada hukum. Ia tahu betul anak di bawah umur tak bisa dijerat pidana atas aksi peretasan. ”Menurut undang-undang saya belum bisa diproses hukum. Jadi aman, ngapain takut. Paling digertak saja sama Polisi,” katanya.
Ia bahkan pernah nekat meretas situs salah satu kepolisian resor di Jawa Timur, tempatnya tinggal saat SD. Aksi itu terlacak oleh admin situs yang kemudian menghubunginya. Dia tak menanggapi.
Mudah diretas
Apep menilai keamanan situs pemerintah daerah di Indonesia lemah jika dibandingkan keamanan situs pemerintah negara-negara maju. ”Keamanan situs pemerintah kita masih 4 dari skala 10,” katanya.
Tiga jam adalah waktu paling lama ia butuhkan untuk meretas situs berdomain go.id di daerah. Adapun untuk meretas situs Pemerintah Amerika Serikat, ia menghabiskan waktu mencari kerentanan, itu pun gagal.
Dengan jam terbang yang lebih tinggi, Rami (20) belajar bertahun-tahun dan akhirnya mahir meretas situs pemerintah. Ia sudah belajar meretas sejak kelas III SD. Pemuda yang menggunakan nama Mr.RM19 di forum peretasan itu pernah ditangkap karena aksi peretasannya. Ia menjadi waspada.
Rami selalu curiga pada orang yang tak dia kenal. Ia akan memastikan identitas orang yang menghubunginya. Rami yang sudah aktif di Zone-H.Org sejak tahun 2019 itu tercatat sudah melakukan peretasan pada 3.054 situs, 132 di antaranya merupakan situs pemerintah dengan domain go.id.
Saat ini, tujuan Rami meretas lebih terarah. Peretasan, katanya, dapat menjadi sumber pendapatan sampingan. Ia sudah mulai mengarahkan peretasannya pada hactivist (gabungan kata hack dan activist) atau peretas aktivis yang menggunakan peretasan sebagai ajang protes pada pemerintah.
Di situs-situs pemerintah yang dia retas, Rami meninggalkan kritik terhadap kebijakan pemerintah. Di antaranya kritiknya terhadap kebijakan penanganan pandemi. ”Alasannya karena kita 80 persen sudah hidup di dunia internet. Juga tidak mungkin bagi saya turun ke jalan untuk menyatakan protes itu,” katanya.
Potensi
Skena peretas Indonesia terbilang semarak. Selain di forum internasional, forum-forum peretas dalam negeri pun bermunculan. Di Zone-Xsec.com, misalnya, terlihat puluhan peretas dan tim peretas bersaing untuk memperoleh peringkat teratas.
Indonesia juga mempunyai peretas yang cukup disegani di dunia internasional, yaitu HMei7 yang konon berada di 10 besar dunia untuk peretas dengan teknik defacement. Dalam catatan Zone-H.org, HMei7 telah meretas 294.497 situs dengan 178 di antaranya merupakan situs Pemerintah Indonesia selama 6 tahun terakhir. Banyak peretas dari seluruh dunia pun menggunakan nama yang mirip dengan HMei7, bisa jadi bentuk kekaguman atau sekadar mendompleng kepopuleran.
Meskipun melegenda, sosok HMei7 begitu misterius bahkan bagi kalangan peretas sekalipun. Tak seorang pun mengetahui identitasnya secara pasti. Konon, ia bisa menghadiri pertemuan peretas tanpa seorang pun tahu.
Banyaknya keahlian meretas belum dilihat sebagai potensi oleh pemerintah. Padahal, komunitas peretas bisa menjadi ”pasukan” Indonesia untuk meningkatkan keamanan siber nasional. Apalagi, saat ini Indonesia masih kekurangan ahli keamanan siber.
Mereka, misalnya, bisa diberi ruang untuk melakukan bug bounty hunter (pemburu kerentanan situs). Praktik ini sudah lazim dilakukan perusahaan-perusahaan multinasional dan negara-negara maju. Saat seseorang menemukan kerentanan sebuah situs, ia diberi imbalan. Tentu, peretasan yang merugikan perlu ditindak tegas. Namun, kebijakan pemerintah pun perlu mengarahkan potensi komunitas peretas untuk meningkatkan keamanan siber nasional.
Sejauh ini, kebijakan Pemerintah Indonesia belum memberi ruang bagi peretas untuk berkontribusi secara positif. Undang-undang Informasi dan Transaksi Elektronik (ITE) mengatur segala bentuk dan motif peretasan merupakan pelanggaran hukum. Bahkan, saat seseorang menginformasikan kerentanan situs, ia bisa dijerat secara hukum.
Rama (24) bersama sahabatnya, Katon Primadi (24), mendirikan komunitas Surabaya Black Hat. Menurut Rama, pemerintah belum memberi tempat yang leluasa bagi anak-anak yang memiliki minat di bidang teknologi informasi. ”Para peretas muda umumnya anak-anak pintar dari keluarga tak mampu. Seharusnya pemerintah justru perlu mengakomodasi pendidikan agar terarah,” kata Rama.
Saat ini, Katon bekerja pada bidang teknologi informasi, sedangkan Rama mendirikan usaha rintisan Kipa Indonesia, sebuah badan usaha manajemen bagi pengusaha kecil. Mereka juga tergabung dalam komunitas BRH Law Firm di Malang untuk mengantisipasi adanya persoalan hukum terkait aktivitas saat ini.