ArenaLTE.com - Telkomsel baru-baru ini telah mengalami peretasan yang membuat tampilan situs diubah, bahkan banyak dibumbui dengan perkataan makian dari sang peretas/ hacker. Namun demikian, sebenarnya apa sih teknik yang dilakukan peretas Telkomsel dalam penyerangannya.
Ada beragam cara dilakukan hacker untuk meretas situs resmi sebuah perusahaan. Bukan hanya alat bantu untuk meretas, kemampuan menganalisa keamanan dan kemahiran di bidang perangkat lunak pun menjadi hal yang diperlukan dalam pekerjaan ini.
Chairman lembaga riset keamanan cyber CISSReC, Pratama, mengungkapkan bahwa umumnya deface atau mengubah tampilan pada objek peretasan hanya ingin menunjukkan eksistensi si peretas atau kelompoknya.
Namun dalam kasus Telkomsel ini, peretas memilih tidak menyebutkan identitas mereka dan hanya memberikan semacam peringatan bagi Telkomsel untuk menurunkan tarif internet.
“Aspirasi yang disampaikan dengan cara meretas bisa saja akan banyak dilakukan dengan kejadian ini. Jadi motifnya tidak selalu ekonomi dan eksistensi,” tambah Pratama.
* Situsnya Diretas, Telkomsel Panen Komentar Lucu
* Situs Telkomsel Diretas Pelanggan Yang Tak Puas
Jika dilihat apa yang dilakukan hacker, bahkan sampai sempat membuat self-signed certificate, terindikasi bahwa hacker kemungkinan besar tidak hanya berhasil melakukan defacing terhadap web telkomsel, tetapi juga sudah mengambil alih server yang digunakan oleh web Telkomsel. Hal ini terlihat juga dari response tim dari pengelola web pun jika dilihat kurang cepat, masih dalam hitungan jam.
Menurut Pratama, metode yang paling banyak digunakan adalah kombinasi injection, brute force login password, sensitive information disclosure (roort directory, php.info). Bahkan tidak tertutup kemungkinan ada keterlibatan pihak Telkomsel sendiri.
Pratama juga menjelaskan ini bisa menjadi pelajaran bagi perusahaan besar dan instansi pemerintah bahwa sebenarnya web dimasa kini menjadi semacam kantor online yang sangat penting. Jadi harus dipastikan dijaga, sering dicek apakah ada log file yang mencurigakan.
Dia juga menyarankan bahwa akan sangat sulit apabila perusahaan dan instansi pemerintah dibiarkan sendiri mengurusi dan membuat standar keamanan seperti apa yang harus dibuat untuk memperkuat sistem mereka. Di negara-negara lain, badan siber akan memastikan infrastruktur kritis berjalan aman dan ini juga jadi pertimbangan ekonomi para investor.