Inilah Alasan Situs Pemerintah Indonesia Gampang Diretas

Beberapa hari yang lalu situs Sekretariat Kabinet RI dan juga situs Lemhannas diretas hacker. Bisa dibilang menjadi sambutan tahun baru yang cukup memalukan untuk pemerintah. Sebelum itu juga sudah sering website .go.id berterbaran di situs mirror zone-h.org. Kenapa sih situs Pemerintah RI kesannya kok gampang banget dibobol ?

Inilah beberapa faktor nya, menurut LinuxSec :

Situs Pemerintah

1. Belum Memakai Secure Hosting

Kadang website website pemerintahan masih numpang di shared hosting, shared hosting murahan pula. Akibatnya jadi rawan symlink. Sekuat apapun website nya, kalo hosting nya masih cupu, ya percuma. Tinggal cari web yang nge bug di satu server, lalu jumping deh.

Makanya jangan heran kalau kadang ada web pemerintah dihargai ratusan juta tapi security seluas pantat. Banyak yang masuk kantong daripada yang buat bener bener ke website.

2. Belum Menggunakan Secure Coding

CMS OpenSource macam WP dan Joomla memang memudahkan pembangunan website. Tapi CMS tersebut juga menjadi objek peretas untuk mencari eksploitasi. Itulah kenapa di exploit-db banyak sekali exploit untuk cms wp dan joomla. Apalagi kadang menggunakan CMS OpenSource, tanpa pengamanan samasekali. URL login masih default, lebih parah lagi password login juga default. Parah !

Lebih baik jika CMS Pemerintahan menggunakan codingan sendiri, toh mereka bayar mahal ke developernya, masa iya gaji ratusan juta pake cms gratisan. lol.

3. Jarang Melakukan Penetration Test

Web web pemerintahan kita bisa dibilang sangat sangat mengecewakan terutama dalam hal maintenance. Bahkan kita bisa melihat awal situs revolusi mental dirilis, code nyolong dari web barrack obama.

Bahkan banyak situs go.id terkesan dibuat asal asalan. Satu web sejuta bug. Vuln SQLi, Password tidak di hash, dan setelah login ternyata tidak ada filter upload nya, kita bisa mengupload backdoor php di form upload image.

4. Poor Patch Management

Ini terlihat sekali di kasus website pemerintahan kita. Saat berhasil masuk atau menemukan celah di website go.id , sebenarnya banyak juga defacer yang terlebih dahulu mengirim email ke webmaster agar segera memperbaiki celah di web nya. Namun alih alih diperbaiki, email saja tidak direspon. Itulah kenapa kadang si defacer memilih langsung drop db saja kalau bertemu web pemerintahan, karena merasa tidak dihargai.

5. Kesadaran SDM Masih Kurang

Keamanan situs maupun jaringan IT instansi pemerintah sebenarnya bukan hanya tanggungjawab admin semata. Para pengambil kebijakan di tataran atas juga bertanggung jawab sejak pembangunan situs dan jaringan IT. Pemilihan developer misalnya, bila pengambil kebijakan tak paham benar mana yang aman, bisa jadi developer dengan tawaran situs bertemplate wordpress mislanya, akan menang.

Akibatnya jelas, dengan template modifikasi Wordpress yang umum, celah keamanan lebih banyak dan terbuka. Bahkan di forum-forum internet peretas pemula di bagikan celah keamanan untuk banyak template, sehingga itu menjadi sasaran latihan melakukan deface sebuah situs.

Manusia sebagai pihak yang menjalankan sistem adalah kunci sejak proses perencanaannya. Oleh karena itu perlu dibangun sebuah usaha untuk meningkatkan kesadaran keamanan cyber untuk seluruh pegawai pemerintahan. Hal ini bisa menekan risiko terjadinya serangan pada situs pemerintah, dan meningkatkan keamanan jaringan IT yang ada di lembaga pemerintah.