Pada hari Sabtu saya menemukan sebuah twit menarik mengenai laman pencarian Google Indonesia teretas.

Wisnu Hendro W on Twitter

engineer spidi lagi keringetan. yg item spidi, yg normal non spidi pic.twitter.com/ffKVi4kU1s

Saya agak kesulitan mereproduksinya waktu itu karena saya tidak menggunakan jaringan Telkom. Lagipula, hari Sabtu dan Minggu saya gunakan untuk bersosialisasi dengan dunia nyata. Ya, sudah, saya memanfaatkan media untuk mencari tahu ada apa.

Dari cuplikan laman teretas, nampaknya peretasan dilakukan oleh sekelompok peretas. Kelompok ini menamakan dirinya Madleets. Kelompok peretas ini berasal dari Pakistan.

Tidak jelas apa maksud dan tujuan mereka melakukan peretasan kali ini. Kalau dari kasus peretasan Google Malaysia tahun lalu, seperti dikutip oleh TechCrunch, mereka nampaknya hanya ingin membuat pernyataan bahwa keamanan hanyalah ilusi.

Cara Kerja Peretasan

Yang pasti, bukan peladen Google yang teretas! Peladen yang super ketat itu sampai saat ini belum dilaporkan pernah ditembus. Mereka memanfaatkan kelemahan pihak ketiga untuk membelokkan lalu lintas Google Indonesia/Malaysia ke ke peladen mereka. Sehingga, setiap orang yang mengakses situs Google tersebut mengakses laman lain yang bukan disediakan oleh peladen Google.

Ada dua versi yang beredar di Internet mengenai kasus ini:

  1. Mereka melakukan pembajakan terhadap sebuah peladen iklan intrusif.
  2. Mereka melakukan pembajakan terhadap layanan DNS Indonesia.

Versi pertama ceritanya mulai tahun lalu perusahaan telko (telekomunikasi) melakukan praktik tidak etis dengan membelokkan pengguna ke situs iklan atau menginjeksi sebuah Javascript ke dalam laman situs-situs tertentu. Praktik ini dinamakan pengiklanan intrusif. Praktik tak etis ini dilakukan semenjak tahun lalu (2013). Selain tak etis, praktik ini rawan terkena jerat UU ITE.

Menurut versi ini, peladen yang bertugas untuk membelokkan pengguna ke laman iklan diretas. Hal ini mengakibatkan peladen tersebut mengarahkan pengguna ke tempat yang baru. Namun, Telkom membantah hal tersebut.

Menurut konfirmasi perusahaan ini, tidak ada sistem mereka yang dijebol. Justru situs lain yang menyediakan layanan DNS yang dijebol. Hal ini dibuktikan dengan adanya ISP-ISP lain yang turut merasakan hal yang sama. Maka kemungkinan kedua adalah memang terjadi pembajakan DNS.

Laman Registrar yang diretas menurut pengakuan Madleets. Sumber: https://www.facebook.com/Madleets/photos/a.444824632244577.103826.395549750505399/767009650026072/?type=1&theater

Laman Registrar yang diretas menurut pengakuan Madleets. Sumber: Facebook.

Menurut laman resmi Madleets di Facebook, mereka berhasil masuk ke panel kontrol DNS untuk Google Indonesia. Perlu dipahami, tidak jelas apakah klaim ini benar atau tidak. Namun, jika memang benar, apakah PANDI melakukan blunder?

Cuplikan Penjelasan PANDI mengenai rekanan Registrar.

Cuplikan Penjelasan PANDI mengenai rekanan Registrar.

Ternyata, PANDI telah membuat pernyataan bahwa semenjak 19 Oktober 2012 PANDI sudah tidak memegang domain ID. Mereka hanya mengurus domain GO.ID, MIL.ID, dan NET.ID. Untuk domain ID yang lain menggunakan rekanan:

  • Digital Registra Indonesia
  • Reseller.co.id
  • D-NET
  • INDOREG
  • JRI Registrindo
  • Nama Name Management
  • BeliDomain.co.id
  • CBN Registrar
  • Domainku.co.id
  • Merekmu
  • Radnet
  • IndosatM2

Bisa jadi, salah satu dari rekanan registrar tersebut telah terjebol. Dari klaim Madleets, nampaknya situs yang terjebol adalah panel kontrol domain yang menggunakan aplikasi panel kontrol domain SRS-X. Mereka memanfaatkan celah keamanan pada situs tersebut.

Ah, ini sudah menjurus kepada perusahaan tertentu. Saya berhenti di sini saja. Toh, saya cuma ingin kejelasan saja karena ini menyangkut integritas domain negara saya.

Nampaknya, inilah salah satu dampak dari perpindahan konsep ccTLD ke gTLD. Pengelola domain swasta diperbolehkan untuk ikut serta. Pengelolaan bertambah mudah. Namun, di satu sisi titik celah keamanan domain .ID bertambah lemah.

Tenang saja, Indonesia tidaklah sendirian. Semua lembaga resmi yang memiliki rekanan registrar mengalaminya. Bahkan ICANN sekalipun mesti menggantungkan nasibnya kepada keahlian masing-masing rekanan dalam melindungi sistem mereka masing-masing.

Pertanyaan Yang Timbul

Dari kasus peretasan ini ada beberapa pertanyaan yang timbul. Hal yang pertama mengenai diketemukannya praktik pengiklanan paksa. Timbul pertanyaan sebagai berikut:

Bolehkah perusahaan penyedia jaringan (Telko) membelokkan/menginjeksi skrip (membajak) laman situs yang hendak diakses?

Apakah status Negara Indonesia sebagai negara berdaulat melindungi Netralitas Jaringan (Net Neutrality)? Ini baru contoh kecil saja dari praktik kediktatoran perusahaan Telko. Bisa jadi, di masa mendatang Indonesia akan mencontoh negara Paman Sam yang mulai membeda-bedakan akses situs tertentu. Alias, bisa jadi, di masa mendatang perusahaan Telko akan meminta jatah preman agar situs tertentu bisa dialirkan dengan normal/mendapatkan prioritas lebih dibandingkan situs saingannya.

Munculnya rekanan-rekanan registrar mulai membuat saya mempertanyakan, apakah domain .ID masih domain Indonesia? Bagaimana komposisi kepemilikan asing dalam perusahaan-perusahaan tersebut? Apakah kini kita harus mengutip Romeo dalam bentuk digital, “apalah arti sebuah nama?” Entahlah, saya pun masih berkontemplasi untuk itu.

Pertanyaan yang lebih penting dari itu semua:

Seberapa siap Negara Kesatuan Republik Indonesia mengatur Internet-nya agar menyejahterakan rakyat banyak dan melindungi warga negaranya.

Untuk pertanyaan-pertanyaan tersebut, saya menyerahkan kepada mereka yang lebih ahli. Saya untuk saat ini hanya tertarik kepada hal-hal teknis.

Akhir Kata

Semua informasi dalam artikel ini belum tentu benar. Anda perlu mengonfirmasinya lebih lanjut. Hal ini karena tidak ada pernyataan resmi yang autoritatif yang membenarkan hal-hal ini.

Yang saya lakukan hanya mengumpulkan artikel-artikel di Internet yang menjelaskan mengapa peretasan itu dapat terjadi. Mereka membuat klaim-klaim tersebut dan saya menuliskannya sebagai bahan pertimbangan. Silakan Anda cari sendiri dan simpulkan sendiri.

Bacaan Lebih Lanjut