Setelah masa pilkada selesai, hasil “Quick Count” bertebaran di dunia maya yang tentunya tidak dapat dijadikan acuan hasil penghitungan suara “Real Count”. Sayangnya situs KPU down dan ini dapat berakibat buruk pada proses demokrasi di Indonesia.

Lantas, mulai bermuculan spekulasi seputar insiden website tersebut. Mulai dari adanya manipulasi penghitungan suara, dan hingga akhirnya dari pihak KPU sendiri menyatakan bahwa situsnya memang sengaja dimatikan untuk mencegah serangan hacker. Alasan ini tentu tidak dapat diterima begitu saja, baik secara teknis maupun secara umum.

Apa Yang Sebabkan Situs KPU Down ?

Beberapa pakar menyatakan bahwa situ KPU down disebabkan adanya serangan zombie yang melancarkan DDoS. Alasan ini memang lebih masuk akal, walaupun belum tentu benar 100%. Ini masih dugaan dari para pakar tersebut.

Berdasar pemantauan kami, baik website http://kpu.go.id maupun http://jabar.kpu.go.id memang tidak memiliki anti DDoS dan belum memakai firewall.

Karena website KPU merupakan website dengan misi kritis, seharusnya website tersebut menggunakan pengamanan berlapis (Multi Layered Firewall). Disamping itu, website KPU juga belum menggunakan SSL (Secure Socket Layer).

Pertama yang harus kita pahami disini adalah, website KPU merupakan front end dari infrastruktur teknologi informasi mereka. Sedangkan penghitungan suara dilakukan di sistem backend untuk dapat kemudian di tampilkan di situs-situs KPU, Jika KPU melakukan update penghitungan suara dengan cara batch (upload data hasil penghitungan suara secara manual dari backend) maka, peretasan website KPU hanya akan berdampak pada frontend.

Oleh karena itu, tidak alasan untuk khawatir terhadap manipulasi hasil penghitungan suara KPU. Hanya saja, jika situs KPU down, maka akan menimbulkan prasangka di masyarakat. Dan jika tidak di tangani secara cepat, kepercayaan masyarakat terhadap proses demokrasi yang berlangsung akan merosot.

Berikut profil teknologi yang dipakai di website KPU Pusat dan KPU Jawa Barat.

Situs Web KPU Pusat

Situs KPU.GO.ID menggunakan platform Joomla, OS Server Debian (?), dan berjalan pada web server Apache 2.4. Website KPU Pusat tidak terdeteksi adanya teknologi pengamanan website atau Web Firewall.

teknologi situs web kpu pusat
Selain keamanan website, kami tidak melihat adanya anti DDoS untuk situs tersebut walaupun ada penggunaan Max CDN. Adapun platform CMS Joomla, menurut pengalaman kami lebih sering terdapat kerentanan dan juga scriptnya tidak se efisien platform CMS wordpress (seperti yang kami pakai disini).

Ketidak efisienan Joomla, jangankan terkena DDoS, jika situs ramai di kunjungi saja dapat sebabkan website tidak dapat di akses. Ini bukannya kami meragukan adanya serangan siber ke situs KPU, akan tetapi kami meragukan situs KPU down atau tidak bisa diakses karena aksi peretasan.

Kami juga melihat adanya keanehan pada situs web KPU Pusat, yakni ada penggunaan program periklanan dari doubleclick.net dan ini harus segera di investigasi.

Website pemerintahan tidak boleh di monetasi dengan program periklanan, dan bisa saja kita berspekulasi bahwa ada kemungkinan oknum di KPU yang berusaha untuk mendapatkan keuntungan pribadi. Setidaknya, hal tersebut dapat menyebabkan ketidak profesionalan dalam mengelola website jika terus dibiarkan.

Situs Web KPU JABAR

Website ini menggunakan platform CMS WordPress yang sebetulnya cukup efisien. Hanya saja, kami tidak melihat penggunaan cache, anti DDoS, SSL, dan lagi-lagi Firewall untuk keamanan website. Selain itu, Website KPU Jawa Barat ini memiliki size 896 KB yang mana menurut pengalaman kami 10x lipat dari website pada umumnya.

Website KPU Jawa  Barat masih menggunakan Platform CMS WordPress versi 4.4.3, sedangkan saat ini versi terbaru wordpres adalah 4.9. Ini sangat kritis!

 

profil teknologi situs web kpu jawa barat
Selain itu, themes avada di pertengahan tahun 2017 pernah terdapat kerentanan Cross-Site Scripting (XSS). Ini menunjukkan kualitas developer themes tersebut. Untuk mencegah terjadinya peretasan, website KPU Jawa Barat harus pasang firewall dan juga monitoring keamanan website.

Ada beberapa hal yang sebabkan website tersebut menjadi berat, selain gambar pada revolution slider di themes WP Avada yang mereka pakai, seperti plugin Woo Commerce. Hal tersebut dapat membebani kinerja database. Ada baiknya KPU Jabar menggunakan Wordrpress plus Divi Builder, untuk merampingkan website, sehingga dapat diakses lebih cepat.

Beberapa user name admin di Website KPU Jawa Barat (3 nama pengguna) juga terpapar. Ini dapat menjadi celah penerobosan ke dashboard admin website.

Bagaimana Cara Mengamankan Website ?

Situs website KPU memiliki skala besar, baik dari sisi platform, server, dan jaringan. Selain harus menggunakan teknologi website, website juga harus memiliki pencadangan. Situs cadangan ini berguna untuk menjaga keberlangsungan operasional situs website. Sehingga, jika terjadi serangan atau masalah, website tetap dapat di akses oleh publik.

Untuk skala KPU, baik situs cadangan maupun situs operasional harus otomatisasi orkestrasi cloud. Website harus menggunakan sistem kontainerisasi agar mudah di rollback jika terjadi masalah pada fitur baru. Ini merupakan konsep transformasi digital secara teknis.

Jika kita perhatikan, anggaran untuk website pemerintahan selama ini baru berfokus pada pembuatan website, pembaruan website dan jasa maintenance website. Keamanan website memerlukan monitoring dari waktu ke waktu, dan ini membutuhkan jasa pengelolaan website secara holistik.

Secara umum untuk menjaga kelancaran akses website sekaligus mengamankan, berikut beberapa faktor yang dapat kami sampaikan.

Pemilihan Platform
Pemilihan platform website merupakan hal yang paling awal perlu dipertimbangkan. Harap kita tidak memandang platform opensource hanya untuk hal gratisan, namun lebih pada efisiensi dan kecepatan. Seperti yang kami jelaskan di atas, antara Joomla dengan WordPress (WP), memang masih lebih ‘ringan’ WP, akan tetapi WP dapat menjadi berat jika kita tidak efisien dalam mengelola plugin yang dipakai.

Seperti pada situ KPU Jawa Barat yang memakai themes Avada, dengan segudang plugin dari developer lainnya. Tentu suatu saat akan ada inefisiensi pada sistem karena ada perbedaan versi. Oleh karena itu, kami menyarankan untuk menggunakan DIVI plugin dari elegant themes agar lebih ringan, efisien dan stabil.

Update, Update dan Update!
Sebetulnya di platform WordPress, ada beberapa plugin security yang dapat langsung melakukan update jika tersedia, dan ini otomatis. Cara ini dapat menghemat banyak waktu dan mencegah terjadinya peretasan saat ada celah kerentanan yang muncul. Semakin cepat kita tambal atau update kerentanan tersebut, semakin kecil resiko website di terobos oleh peretas.
Perlindungan DDos dan Firewall
Selain memakai SSL, situs website juga harus memiliki perlindungan DDoS dan Firewall. Seperti teknik zombie, mereka telah menanam script pada sebuah website. Akibatnya, bandwidth situs website dapat terkuras, biaya hosting cloud dan biaya jaringan dapat meledak.

Disamping itu, Firewall dan DDoS selain dapat mencegah serangan (sebetulnya ini adalah usaha paling mininmal dalam standardisasi sebuah website, dalam skala apapun) juga dapat membantu melakukan monitoring bandwidth serta perilaku yang tidak biasa. Teknologi tersebut ada yang gratis dan banyak tersedia.

Namun, untuk skala pemerintahan, ada baiknya untuk menghubungi konsultan IT untuk pengamanan website yang lebih komprehensif. Website skala besar harus memiliki firewall berlapis apalagi jika ada koneksi dengan sistem backend.

Web Cache
Cache web (atau cache HTTP) berfungsi untuk penyimpanan sementara (cache) dokumen web, seperti halaman HTML dan gambar, untuk mengurangi lag server. Hal ini dapat mengurangi pemakaian bandwidth berlebihan dan dapat membantu teknologi perlindungan DDoS yang dipakai.
Situs Cadangan
Apapun skala bisnisnya, sebuah website setidaknya harus memiliki cadangan secara keseluruhan (file system dan database). Untuk website dengan misi kritis (di akses banyak orang selama 24 jam), downtime bukanlah pilihan. Oleh karena itu, website pemerintahan sebaiknya memiliki situs cadangan agar website dapat terus di akses walaupun sedang terjadi insiden.
Jika situs KPU memang tidak aman seperti yang kami jabarkan di atas, bisa saja halaman depan wesite KPU berubah menjadi “sesuatu”. Dalam insiden situs KPU down tersebut, mungkin saja banyak yang sudah berhasil masuk ke sistem website tersebut. Namun, ada kemungkinan para peretas “mera putih” juga ikut masuk ke dalam sistem untuk mempertahankan situs nasional tersebut.

Seluruh website pemerintahan sebaiknya mulai menganggarkan jasa manajemen website agar dapat terus di akses oleh masyarakat Indonesia. Mulailah rencanakan anggaran untuk lelang pengadaan jasa pengelolaan website agar insiden tersebut dapat ditekan lagi kemungkinan terjadinya.

 

Dapat kita bandingkan disini, bahwa website diberikan oleh penyedia jasa pembuatan website dengan biaya hanya Rp. 2.5 juta per tahun saja memiliki SSL, anti DDoS dan Firewall. Tentunya website pemerintahan dengan anggaran yang jauh lebih besar harus bisa lebih tangguh dari website yang lebih murah biayanya.

Sebetulnya pengamanan website merupakan hal yang standard untuk website skala apapun. Semoga sekarang kita dapat mengerti kenapa Situs KPU down dan bagaimana cara mencegahnya.

Semoga bermanfaat untuk mu Indonesia ku tercinta .. 

Pin It on Pinterest

Share This