Riset UNPAR: Banjir Serangan Siber, Jangan Abaikan Pembaruan Aplikasi

Perusahaan keamanan siber Surfshark menempatkan Indonesia pada peringkat 3 dunia sebagai negara yang paling banyak terkena pengaruh dampak pelanggaran kebocoran data pada laporan Kuartal 3 tahun 2022 setelah Rusia yang menempati peringkat pertama, disusul Perancis. Pertama kalinya tahun ini Indonesia masuk dalam daftar 10 negara yang paling terpengaruh insiden pelanggaran data yang dilansir berkala oleh perusahaan keamanan siber tersebut.

Nama Indonesia masuk dalam laporan tersebut pertama kali pada perilisan data berkala perusahaan keamanan siber Surfshark untuk laporan pemantauan Kuartal 2 tahun 2022. Indonesia menempati peringkat 8 dunia untuk negara yang paling banyak terkena pengaruh dampak pelanggaran data dengan 902.141 data informasi akun yang bocor di dunia maya. Pada Kuartal 3 tahun 2022 agregatnya melonjak 1470% menjadi 13,260,289 akun bocor.

Surfshark mencatat sejak 2004 terdapat 15,3 miliar data pribadi pengguna internet yang bocor di dunia maya. Dalam rentang waktu yang sama terdapat 134 juta data pribadi warga negara Indonesia yang bocor di dunia maya.

Pelanggaran data adalah insiden di mana data informasi akun pengguna yang disimpan pihak ketiga di dunia maya bocor dicuri lewat aksi peretasan. Surfshark menyoroti insiden kebocoran data yang terjadi pada Kuartal 3 tahun 2022 yang paling mengkhawatirkan karena paling tinggi jika dibandingkan laporan Kuartal tahun-tahun sebelumnya. Sepanjang Kuartal 3 tahun ini ada 840 akun yang diretas setiap 1 menit, ada 1 dari 100 orang pengguna internet di dunia mengalami kebocoran data.

Situs berita tempo.co mencatat sepanjang tahun ini sejak Januari-September 2022 terjadi 7 kasus kebocoran data pribadi warga negara Indonesia di dunia maya. Yakni kebocoran data Bank Indonesia, data pasien rumah sakit, data pelamar kerja di PT Pertamina Training and Consulting (PTC), data 21 ribu perusahaan Indonesia, data 17 juta pelanggan PLN, data 26 juta riwayat pengguna IndiHome, serta 252 GB data pelanggan Jasa Marga Toll-Road Operator (JMTO). Kasus tersebut belum termasuk kebocoran data yang dilakukan oleh peretas yang menyebut dirinya Bjorka melalui situs breached.to yang mengklaim memiliki 1,3 miliar data proses registrasi SIM Card dan 105 juta data penduduk Indonesia yang ada di Komisi Pemilihan Umum (KPU).

Penelitian yang dilakukan oleh Pascal Alfadian Nugroho dari Informatika Universitas Katolik Parahyangan dan Hizkia Steven dari PT DNArtworks Komunikasi Visual sedikitnya memberikan gambaran penyebab sedemikian banyaknya kasus kebocoran data pengguna internet yang terjadi di Indonesia. Penelitian tersebut menemukan banyaknya pengelola situs di Indonesia yang enggan memperbarui aplikasi yang dipergunakan ke versi yang lebih baru yang lebih aman sehingga dikhawatirkan membahayakan keamanan data pengguna yang disimpan.

Kerentanan Sistem Keamanan Situs

Penelitian Pascal Alfadian Nugroho dan Hizkia Steven tersebut berjudul Measuring Unsupported Applications in Indonesia Popular Websites yang dipublikasikan pada Jurnal Ilmiah Teknik Elektro Komputer dan Informatika (JITEKI) volume 7 Nomor 1, April 2021. Penelitian tersebut mengukur 1.500 situs peringkat teratas di Indonesia yang rajin memperbarui aplikasi ke versi yang didukung pengembangnya untuk mengurangi kerentanan pada aksi peretasan dalam sistemnya.

Fokus penelitian ada pada kerentanan pada sistem kemananan situs yang sesungguhnya mudah diperbaiki asalkan pengelolanya rutin melakukan pemeliharaan. Pada bidang keamanan siber ada berbagai jenis metode untuk menyerang kerentanan tertentu dalam satu sistem kerja. Salah satunya serangan yang dilakukan dengan mengeksploitasi kelemahan sistem aplikasi.

Umumnya penyedia software secara berkala merilis pembaruan pada aplikasi untuk menambal kerentanan sistem yang ada. Sebagian besar penyedia software menyediakan fitur peningkatan ke versi yang lebih baru dengan cukup mengklik tombol saja. Namun dengan kemudahan tersebut, peneliti mendapati banyak pengguna yang tidak mau mengupgrade ke versi aplikasi yang lebih baru.

Sejumlah penelitian yang telah dilakukan menjadi pijakan peneliti. Diantaranya penelitian Demir dkk. (2021) yang meninjau 5,6 juta situs dalam waktu 18 bulan dari HTTPArchive untuk melihat versi perangkat lunak yang dipergunakan. Peneliti melakukan pemeriksaan serupa.

Peneliti memeriksa penggunaan versi perangkat lunak pada 1500 situs dalam rentang waktu satu hari. Situs yang diperiksa dipilih dari daftar situs populer yang banyak di akses di Indonesia yang ada dalam peringkat teratas situs pemeringkat Alexa. Sebagai contoh di antaranya situs berita seperti

okezone.com, tribunnews.com, grid.id, detik.com, kompas.com, sindonews.com, dan liputan6.com . Termasuk di dalamnya situs belanja daring seperti tokopedia.com.Selanjutnya dilakukan identifikasi aplikasi yang digunakan pada seluruh situs yang sudah dikumpulkan.

Identifikasi aplikasi dilakukan menggunakan Wappalyzer yakni pustaka digital pihak ketiga untuk mengidentifikasi aplikasi dan nomor seri yang dipergunakan. Wappalyzer melakukan deteksi dengan mengirim satu atau lebih permintaan HTTP ke URL target dan mencari sidik jari untuk mengidentifikasi aplikasi dan nomor versi. Dalam banyak kasus  Wappalyzer mungkin tidak mendeteksi nomor seri atau bahkan daftar lengkap aplikasi yang digunakan dalam satu situs  disebabkan terbatasnya informasi yang dapat dikumpulkan dari situs tersebut atau memang disengaja untuk menyembunyikan informasi tersebut dengan alasan keamanan. Sebagai contoh situs okezonecom menggunakan setidaknya dua aplikasi yakni comScore dan Bootstrap dengan versi yang tidak diketahui.

Peneliti selanjutnya mengelompokkan berdasarkan nama aplikasi dan versi yang saat ini didukung oleh penyedia piranti lunak tersebut. Untuk melakukannya dengan melihat manual di dokumentasi resmi setiap aplikasi yang dipergunakan dalam setiap situs yang diperiksa tersebut. Misalkan PHP memiliki laman khusus yang mencantumkan versi mana yang didukung dan kapan berakhir masa pakainya. Dokumen semacam itu masih tersedia untuk sebagian besar aplikasi yang diperiksa.

Langkah selanjutnya membandingkan versi yang dipergunakan dalam situs tersebut dengan versi yang masih didukung penyedia piranti lunak tersebut. Peneliti menyusun algoritma perbandingan dengan membaginya dalam 4 klasifikasi.

Yakni 

1) Tidak berversi karena tidak terdeteksi Wappalyzer sehingga tidak bisa dibandingkan, 

2) Non-konklusif yang berarti belum bisa dibandingkan karena tidak ditemukan dokumentasi yang memastikan dukungan penyedia pirnati lunak tersebut, 

3) Unspported berarti disimpulkan menggunakan aplikasi yang sudah tidak didukung lagi oleh penyedia piranti lunak, serta 

4) Didukung artinya aplikasi yang dipergunakan versi terbaru yang masih didukung oleh penyedia piranti lunak.

Deteksi Wappalyzer

Peneliti melakukan penelitian dengan melakukan pengumpulan nama domain 1500 situs terpopoler di Indonesia dan sekaligus deteksi aplikasi pada 9 Juli 2020. Awalnya pengambilan situs pada awal tahap penelitian dilakukan pada 2 Maret 2020, namun diputuskan untuk mengulanginya lagi pada 9 Juli 2020 dengan pertimbangan situasi pandemi Covid-19 yang membuat sebagian besar masyarakat tinggal di rumah dan mengakses internet lebih banyak.

Pada saat melakukan deteksi Wappalyzer, sejumlah situs membutuhkan waktu terlalu lama menyebabkan skrip kadang berhenti merespon dan tidak dapat melakukan pendeteksian. Diantaranya pada situs bppt.go.id, free-power-point-templates.com, garuda-indonesia.com, dan jatimprov.go.id deteksi Wappalyzer membutuhkan waktu terlalulam. Dalam situasi tersebut, eksekusi skrip terpaksa dihentikan dan diulang kembali dengan cara manual.

Hasil penelitian diperoleh sebagai berikut. Dari 1500 URL yang terdeteksi oleh Wappalyzer, peneliti mendapati 1.439 identifikasi yang dinyatakan berhasil. Peneliti mendapati secara keseluruhan terdapat 12.762 aplikasi yang dipergunakan dari hasil deteksi Wappalyzer  pada 1500 situs tersebut. Sebagian besar aplikasi tidak dapat ditentukan nomor versinya, kemungkinan pengelola situs sengaja menyembunyikan dengan alasan keamanan untuk mencegah serangan. Tidak ada korelasi antara peringkat situs dengan jumlah aplikasi yang tidak didukung.

Untuk 10 situs terpopuler yang diperiksa peneliti, sebagian besar aplikasi yang digunakan tidak bisa dideteksi versinya. Sementara aplikasi yang terdeteksi ada yang menggunakan versi yang sudah lagi tidak didukung oleh penyedia piranti lunak tersebut. Aplikasi terbanyak yang digunakan tapi dengan versi yang sudah tidak didukung pada 10 aplikasi teratas tersebut adalah Bootstrap, Font Awesome, jQuery, dan PHP.

Kesimpulan dan Saran

Peneliti mengumpulkan aplikasi yang paling banyak dipergunakan di 1500 situs yang dideteksi tersebut. Berikut hasilnya.

Server populer yang paling banyak dipergunakan adalah Nginx dan Apache. Nginx sering digunakan sebagai proxy web yang menangani antarmuka HTTP, sedangkan server sebenarnya berada di belakangnya. Hanya 20 persen situs yang menggunakan Nginx yang masih didukung penggunaannya.

Aplikasi bahasa skrip yang paling banyak digunakan adalah PHP dan WordPress. Hanya setengah situs yang menggunakan PHP memakai versi yang didukung. Sementara pengguna WordPress mau tidak mau menggunakan versi terbaru karena kebijakan penyedianya yang ketat yang mewajibkan penggunaan versi terbaru.

Pustaka JavaScript yang paling banyak dipergunakan adalah jQuery, jQuery Migrasi, dan Bootstrap. Sementara dari situs yang dideteksi, hanya separuh situs yang menggunakan versi jQuery dan Bootstrap yang masih mendapat dukungan. Mayoritas bertahan dengan versi lama.

Penelitian yang dilakuan pada 1500 situs teratas menurut pemeringkatan Alexa untuk pengunjung Indonesia ditemukan lebih dari setengahnya atau 63 persen aplikasi yang dipergunakan pada situs tersebut merupakan versi yang tidak lagi didukung pengembangnya. Ada beberapa aplikasi yang dipergunakan kendati masih versi lama, tapi dinilai tidak menimbulkan terlalu banyak resiko keamanan. Diantaranya Nginx yang sebagian besar dipergunakan hanya sebagai proxy serta Bootstrap yang dipergunakan sebagai pustaka frontend; keduanya tidak menimbulkan terlalu banyak risiko keamanan. Khusus pada WordPress, peneliti menilainya berhasil mendorong penggunanya untuk terus memperbarui penggunaan versi terbaru  yang mendapat dukungan penuh pengembang.


Sumber : https://unpar.ac.id/riset-unpar-banjir-serangan-siber-jangan-abaikan-pembaruan-aplikasi/

Comments