Sekarang
ini saya lihat banyak sekali bermunculan komunitas-komunitas pecinta internet
yang menamakan diri mereka “hacker”. Meski sebenarnya istilah itu kurang tepat
esensinya. Mereka rata-rata adalah anak muda yang masih labil dan ingin
menunjukkan eksistensinya di dunia internet, maka dari itu sebagian dari mereka
melakukan aksi hacking bahkan beramai-ramai unjuk gigi menunjukkan kebolehan
mereka. Bagi saya hal itu merupakan kabar baik karena bisa berarti anak-anak
muda sekarang makin cerdas dan kreatif, namun disisi lain juga disayangkan
karena kemampuan mereka tersebut digunakan untuk tujuan yang merusak. Aksi
hacking di internet sebenarnya mudah dilakukan, namun tidak semua orang (yang mampu)
mau melakukannya, lebih kepada alasan etika atau perasaan tidak ingin merusak
“aset” orang lain.
Baru-baru
ini saya melihat pada beberapa forum dan milis banyak yang menuliskan tentang
maraknya serangan hack pada website atau situs sekolah, dan konon katanya cukup
banyak website yang telah menjadi korbannya.
Seperti
kita ketahui sekarang ini website sekolah-sekolah di Indonesia rata-rata
dibangun dengan CMS Balitbang, CMS buatan lokal Indonesia yang cukup bagus
tampilannya meski masih banyak Bug dan celah keamanan di dalamnya.
Nah,
terkait dengan hal itu sengaja saya tuliskan artikel ini sebagai bentuk
keprihatianan saya atas musibah itu serta sedikit nanti saya tuliskan beberapa
tips untuk mengamankan website sekolah dari serangan hacker/cracker yang sedang
marak akhir-akhir ini.
v Berkembangnya Software untuk
Melakukan Hacker
Perlu
kita ketahui bahwa sekarang ini terus berkembang berbagai tool atau software
yang mampu digunakan untuk menembus sebuah web server maupun website secara
umum. Hal itu harus menjadi kewaspadaan kita semua. Tool-tool atau
aplikasi-aplikasi tersebut jika dikombinasikan akan menghasilkan kekuatan yang
ampuh untuk menembus sistem keamanan, mulai dari trik menemukan siapa pemilik
sebuah domain bahkan sebuah domain yang menggunakan proteksi privacy, juga bisa
diakali untuk menemukan pemiliknya hingga ke serangan yang lebih berat. Kemudian
juga semakin banyaknya orang yang mempelajari tentang:
- Trik menyadap password, dengan
contoh kasus teknik menyadap username dan PIN pada internet banking sebuah
bank.
- Trik untuk menguji error sehingga
sebuah website bisa dilakukan SQL Injection. Termasuk membuat error yang
disengaja pada sebuah website.
- Bagaimana melihat direktori sebuah
website yang sebenarnya disembunyikan dari umum.
- Memeriksa reputasi dan prestasi
sebuah website.
- Memeriksa apakah sebuah website
itu aman dikunjungi atau tidak.
- Mengekstrak banyak hal terlarang
dari sebuah website, mulai dari link, email, script, nomor telepon, dan
sebagainya.
- Menemukan halaman login admin yang
tidak terlihat untuk umum.
- Mencari tahu apakah sebuah website
menggunakan shared hosting atau private hosting.
- Melihat kelemahan keamanan pada
direktori CGI-BIN.
Dan
masih banyak lagi tool atau software yang bertebaran di internet dengan
berbagai kemampuan untuk menembus sistem keamanan suatu situs bahkan servernya.
v Bagaimana Mencegah dan
Mengamankan Website/Situs dari Hack
Untuk
mengamankan sebuah website, perhatian besar perlu kita berikan pada banyak hal,
mulai dari komputer tempat kita membangun website, tingkat keamanan web server
tempat hosting situs, teknologi yang digunakan untuk membangun dan melindungi
sebuah website, hingga kemampuan “tim security” dari penyedia webhosting untuk
menjaga file-file situs yang dihostingkan di perusahaannya.
Sebagai
gambaran, berikut ini saya cuplikkan beberapa tips yang dapat anda gunakan
untuk mengamankan website dari serangan hacker:
1.
Mengamankan Server
Pada
umumnya, hosting websites dilakukan pada ISP (Internet Service Provider) dengan
space tertentu, lalu kita melakukan upload website via FTP atau via CPANEL
(Control Panel). Webhosting inilah yang rawan dan mudah sekali dibobol oleh
Hacker di antaranya mengunakan teknik SQL Injection.
Saran
saya, jika memang anda atau lembaga anda berkenan sebaiknya gunakan Server
sendiri dan mengunakan VPS (Virtual Private Server). Dengan Server sendiri atau
Virtual Private Server bisa mengunakan berbagai proteksi terhadap kita secara
Customized dan optimal. Berbeda dengan Web Hosting, proteksi security dilakukan
terserah oleh ISP. Kelemahan proteksi inilah yang dimanfaatkan oleh Hacker
dengan melakukan Port Scanning untuk menemukan celah security yang bisa
ditembus untuk bisa masuk dan mengambil alih websites tersebut.
2.
Gunakan sistem yang sudah terpercaya
Mengunakan
system yang Stable yang sudah perfect systemnya (termasuk dalam memilih CMS
untuk membangun sebuah website) merupakan suatu keharusan. Jangan mengandalkan
paket CMS atau Web Builder dan langsung percaya dengan keamanannya, pelajari
sistemnya termasuk bagaimana mengcustomisasi seputar keamanannya. Dengan
begitu kemungkinan adanya celah keamanan juga dapat diminimalkan.
Banyaknya
software seperti CMS atau tool web builder dengan berbagai versi terutama versi
gratis/ free License/ Freeware yang dipublikasikan bebas di Internet, sehingga
semua orang (termasuk hacker) bisa ikut mempelajarinya dan menemukan celah
keamanan yang dapat mereka manfaatkan. Saran saya sebaiknya para pemakai
memilih web builder atau CMS dengan versi yang sudah dinyatakan Stable atau
minimal yang terus dikembangkan dan disempurnakan setiap waktu, sehingga jika
ditemukan celah keamanan anda dapat langsung meminta patch untuk menutup celah
tersebut, termasuk mendownload versi terbaru jika dirilis.
3.
Audit Server
Web
Administrator/ System Administrator harus melakukan Review, Testing, Simulasi
secara berkala terhadap keamanan pada Server yang dikelolanya. Bahkan bisa
bekerja sama dengan Hacker (White Hacker yang dapat dipercaya reputasinya)
untuk melakukan Audit terhadap implementasi Security.
Saran
saya, sebelum menentukan dimana website anda akan dibangun, sebaiknya carilah
banyak referensi tentang perusahaan webhosting yang ampuh dan terkenal aman
dalam menjaga website yang dikelolanya. Jangan tergiur harga murah jika
nantinya malah tidak aman.
4.
Teknologi Terbaik
Teknologi
dalam dunia webserver terus berkembang, saran saya pilihlah web server yang
mengunakan Hardware Security yang powerfull diantaranya yang memiliki fitur
Firewall, IDS (Intrusion Detection System) dan IPS (Intrusion Prevention
System). Contohnya mengunakan Fortigate, Cisco Series Security, 3Com Tipping
Point, dan lainnya. Dapat juga mengunakan software IDS seperti Black ICE
Countermeasures ataupun Distro Linux untuk security system seperti Smootwall,
Monowall, Customized Distro Linux, dan lainnya.
Sebagai
tambahan, sebaiknya gunakan juga fasilitas tambahan dalam mengelola website,
seperti: menggunakan fasilitas software maupun hardware security yang bisa
secara otomatis mengirimkan email (atau SMS) alert/warning jika system
mendeteksi adanya serangan dari hacker. Dengan begitu anda bisa segera Login
dan mengamankan file-file web anda.
