Sedang ramai di perbincangkan masalah keamanan cyber Indonesia di dunia maya, kejadian peretasan terhadap website pemerintah baik itu pusat maupun pemerintah daerah sudah lama terjadi namun sayangnya kita belum mau belajar dari kesemua itu untuk menjadikan bahan pertahanan bagi kita. Sederhananya bila telah terjadi penyerangan dan sistem kita dapat di retas berarti ada yang salah dalam sistem tersebut dan tentu itu bisa dijadikan pelajaran untuk pertahanan website kita selanjutnya.
Ada banyak pakar IT dan keamanan cyber di Indonesia, kalo saya hanya seorang tukang bubur kacang ijo yang tahu bagaimana mengolah kacang ijo menjadi bubur yang paling enak. Jadi tulisan ini berdasarkan kecamata saya sebagai seorang tukang bubur kacang ijo yang bisa di perhatikan atau bisa dibuang saja opini saya tentang Tranformasi Digital ini dan perjalanannya di Indonesia serta peretasan data yang merebak pula di Indonesia.
Tentu saja kalau ditanya pernahkah saya mengalami peretasan ? Jawabnya "Iya" namun dari pelajaran hasil peretasan itu saya mulai mencoba mencari jalan baru saat membuat aplikasi terutama aplikasi yang bersifat layanan publik. "Kalau di hack itu perasaannya gimana ?" , iya saya jawab malu .Perasaan campur aduk bila sebuah aplikasi yang kita buat telah mampu di acak-acak sama orang. Namun kembali lagi, saya harus mengakui bahwa aplikasi yang saya buat masih lemah, berarti saya harus mencari upaya untuk membuat aplikasi yang lebih baik lagi dari sisi pertahanannnya.
Ada banyak hal yang dapat di ambil pelajarannya oleh saya saat terjadi peretasan , yaitu :
- Jangan sesekali mempercayakan sebuah aplikasi layanan publik di bangun dengan menggunakan aplikasi open source yang siap pakai. Tentu saja ini cara termudah kita lakukan apalagi kalau lagi dikejar target ya menggunakan aplikasi open source siap pakai. Bila memang terpaksa sekali menggunakan aplikasi siap pakai yang berbasis open source jangan menggunakan layanan hosting yang tidak memiliki sistem pengamanan yang baik. Karena bisa saja dari sekian banyak klien yang terdapat pada sebuah hosting ada saja klien yang "nakal" menanamkan sesuatu entah itu "Fake Root" atau sebagainya. Cara terbaik adalah melakukan penyewaan VPS atau Cloud yang berdiri sendiri , memang harganyanya sedikit mahal dibandingkan oleh layanan hosting yang ada tapi , ini cara kita membuat pertahanan terhadap aplikasi yang kita buat. Masih masalah aplikasi siap pakai yang berbasis open source , berarti aplikasi itu tidak aman ? Jawabnya tidak , aplikasi siap pakai open source tentu sudah aman di gunakan buktinya website penyedia aplikasi itu aman-aman saja dari serangan. Lalu masalahnya dimana ? masalahnya kita masih secara umum melakukan instalasi nya , kita tidak melakukan pengecekan bagaimana sistem database yang akan kita gunakan saat menginstall dan menjalankan aplikasi tersebut. Para pengembang aplikasi opensource siap pakai tentu saja terus memperbaiki release aplikasinya setiap saat karena tentu saja hal itu dilakukan mengurangi terdapat bugs dan kesalahan pada aplikasi tersebut
- Pergunakan web engine yang memiliki proses keamanan yang cukup lumayan , seperti Nginx. Namun bukan berarti web engine yang lain tidak memiliki pertahanan yang baik , kembali lagi kepada sisi penyedia layanan harus mulai sering mempelajari kekurangan web engine yang digunakan seperti apache ataupun litespeed . Intinya jangan sampai terjadi sebuah bugs yang menimbulkan resiko terjadinya peretasan baik secara backdor ataupun penyerangan lainnya melalui Fake Root ataupun tools penetration lainnya.
- Tentukan bahasa pemrograman yang akan digunakan yaitu pemrograman yang tidak mampu berjalan pada sebuah path tertentu dalam sebuah website , karena mayoritas penyerangan dilakukan dengan menggunakan tools yang berfungsi mengunggah sebuah file yang dapat berjalan secara langsung dalam sebuah web engine. Saat ini beberapa pemrograman yang interface scriptnya berjalan sendiri dan tidak dapat berjalan pada sebuah path diantaranya seperti Ruby ataupun Python . Berbeda dengan java yang membutuhkan source server yang cukup lumayan besar karena sistem ekstrasi virtual untuk menjalankan sebuah class. Kejadian peretasan terjadi karena webengine masih mampu menjalankan sebuah script / file yang diunggah tersebut yang hasilnya secara otomatis seluruh path direktori yang berada pada root direktori aplikasi dapat dilihat secara terbuka dan tentu saja ini sangat berabhaya . Artinya sistem bisa diunduh secara keseluruhan bahkan yang lebih fatal lagi adalah di "DELETE".
