1

BAB I

PENDAHULUAN

1.1 Latar belakang

Berdasarkan hasil survei Asosiasi Penyelenggara Jasa Internet Indonesia

(APJI) dan Polling Indonesia jumlah pengguna internet di Indonesia pada tahun 2018

bertambah 27,91 juta (10,12%) menjadi 171,18juta jiwa. Jumlah tersebut mencakup

64.8 persen dari total populasi penduduk Indonesia yang tercatat sebanyak 264,16

juta orang. Jika di bandingkan di tahun 2017, mengalami peningkatan 10, 12%

persen atau sebanyak 27.910.00 jiwa. Dari jumlah tersebut aktivitas yang dilakukan

pengguna internet beragam, seperti pada Gambar 1.1. Teracatat pengguna internet di

Indonesia untuk melakukan transaksi pembayaran online, diantaranya melalui ATM

sebesar 36.7% atau 48,7 juta jiwa, bayar ditempat sebesar 14,2% atau 18,8 Juta jiwa,

internet banking sebesar 7,5% atau 9,9 Juta, kartu kredit 2,5% atau 3,3 juta jiwa,

SMS banking sebesar 1,6% atau 2,1 juta jiwa, E-money sebesar 0,7% atau 928 ribu

jiwa.

Sumber: APPJII, 2016

Gambar 1. 1.Data Pengguna internet di tahun 2019

2

Sumber: Id-SIRTII/CC, 2016

Gambar 1. 2 Jumlah serangan website di Indonesia

Menurut data id-SRTII/CC, jumlah serangan terhadap website di Indonesia dapat dilihat

pada gambar 1.2, dimana pada tahun 2016 negara Indonesia menjadi negara paling banyak

diserang dengan sumber serangan yang berasal dari Amerika Serikat. Data pada gambar

menunnjukkan bahwa dari 135.672.984 jumlah total serangan,terdapat 13,218 serangan

website dengan domain website yang paling banyak diserang yaitu .ac.id. Hal ini

menunjukkan bahwa Negara indoesia perlu mengamankan setiap celah kerentanan website

yang berdomain ac.id, karena menjadi domain yang paling banyak di serang. Untuk itu

perlunya penangan dan pencegahan terhadap website ittelkom-pwt.ac.id, mengingat

website dengan domain .ac.id paling banyak mendapatkan serangan.

3

Sumber: ID-SIRTI/CC, 2018

Gambar 1. 3 Data Keamanan Cyber

Dari semua serangan pada Gambar 1.3, malware yang paling banyak menyerang

keamanan internet di Indonesia sebanyak 36.423.773 aktivitas. Disebutkan, pemantauan

aktivitas malware tersebut berkaitan juga dengan anomali lalu lintas data pada Intrusion

Detection System (IDS) yang digunakan Id-SIRTII/CC setiap bulannya. Aktivitas malware

paling rendah berlangsung pada Januari yaitu sebanyak 75.214 serangan dan aktivitas

tertinggi terjadi di bulan Maret, yaitu sebanyak 24.312812 aktivitas. Total dari seluruh

aktivitas malware yang terdeteksi, sebanyak 37,72% berkaitan dengan serangan DOS,

20,93% merupakan exploit, 18% adalah trojan atau berkaitan dengan aktivitas trojan, 15%

tercatat sebagai bad unknown dan sisanya tercatat sebagai adware, shell code, cnc, misc

attack, network scan, dan web application attack (jawa pos.com :2018).

Contoh kasus peretasan situs tiket.com yang dilakukan seorang pemuda berinisial

SH berusia 19 tahun yang hanya memerlukan waktu 10 hari pada bulan Oktober 2016. Dari

keterangan pelaku, mengaku telah berhasil membobol 4.600 situs di antaranya situs polri,

situs milik pemerintah pusat dan daerah serta beberapa situs luar negeri dan ojek online.

SH melakukan akses server citilink secara illegal dengan menggunakan username dan

password milik travel agen Tiket.com dengan tujuan mendapatkan kode booking tiket

pesawat, setelah mendapatkan kode booking dia menjual kembali tiket melalui facebook.

Atas peretasan ini, pihak maskapai penerbangan dan situs penyedia jual-beli tiket online

4

mengalami kerugian sekitar Rp 4 miliar lebih. Dari hasil penjualan tersebut, pelaku

mendapatkan keuntungan sebesar Rp.1.973.784.434.00. Ahli digital forensic, Ruby

Alamsyah, menjelaskan, bahwa cara HK dan kawan-kawan membobol situs tiket online

sangat simple yaitu dengan menemukan data berupa username dan password situs itu.

Setelah mendapatkan data itu mereka lantas membeli tiket dari maskapai penerbangan dan

menjualnya lewat media sosial dengan harga miring. Mereka mengambil keuntungan 50

persen dari harga tiket yang dijual. Menurutnya apa yang mereka lakukan ini sangat

simple. Dengan kata lain mereka hanya memanfaatkan informasi pengetahuan serta tools

yang ada. Kebetulan pengelola/admin situs-situs tersebut memang tidak aware terhadap

aspek security yang cukup tinggi, sehingga gampang dibobol. Hal ini mungkinkan

dikarenakan pengamanan server jual-beli tiket online tersebut memang rendah. Berbeda

misalnya dengan kegiatan membobol tingkat tinggi. Pertas mahir membobol serta mahir

menghilangkan jejak-jejaknya. "Terbukti juga mereka (HK) melakukan kegiatan ini dan

mudah ditangkap penegak hukum," kata dia (penegak hukum). Ada dua tahapan untuk

melakukan pembobolan seperti yang dilakukan HK. Yaitu information gathering dan

scanning. Dengan dua tahapan ini maka informasi bisa didapatkan dan akhirnya

dieksploitasi. Menurut Ruby pengetahuan mengenai hacking sudah terbuka luas di internet.

Selain ilmunya ada juga tools-nya, hingga forum secara terbuka. "Banyak anak-anak muda

sama kayak dia (HK), pintar, tetapi banyak yang tidak sadar akan risiko dan bahwa tidak

boleh melanggar aturan," demikian Ruby menjelaskan.[1]

Contoh kasus kedua di Jember, terdapat kasus cybercrime terkait dengan

peretasan/hacking terhadap situs Presiden Republik Indonesia. Berdasarkan analisis

internet forensik yang dilakukan terkait kasus website “presidensby.info” terdapat beberapa

fakta yang mungkin dapat dijadikan sebagai bukti hukum atau memperjelas beberapa

bagian kronologis terjadinya kasus ini (sebagai informasi, internet forensik artinya teknik

pencarian informasi dengan memanfaatkan artifak-artifak atau informasi/data yang masih

tersimpan di internet yang dapat digunakan untuk mengungkap suatu kasus

hukum/cybercrime). Pelaku dalam istilahnya hanya “mencorat-coret tembok” pada laman

website presidensby.info dengan bertuliskan “Hacked by MJL007” yang artinya “diretas

oleh MJL007” dengan teks berwarna hijau dan logo “Jemberhacker Team” berwarna putih.

Website presidensby.info sendiri merupakan nama alias dari website presidenri.go.id yang

berada pada sebuah alamat VirtualHost yang sama di mesin ber-IP8 203.130.196.114.

5

Mesin ini di hosting di jaringan PT Telkom Indonesia. Selain presidensby.info dan

presidenri.go.id, sebuah situs dengan VirtualHost lain yang pernah ditempatkan pada web

server mesin ini adalah paskibrakaindonesia.com. Dari informasi mirror “defacing” di

zone-h, juga menunjukkan bahwa IP yang statusnya defaced itu bukan IP mesin server

yang sebenarnya (203.130.196.114), tetapi IP Mesin salah satu Server Hosting lain dengan

alamat IP 210.247.249.58[2].

Berdasarkan kedua kasus sudah terjadi, target attacker adalah sistem informasi

yang dimiliki oleh perusahaan dan orang penting, namun memiliki kelemahan pada

security sistem informasi nya. Kerahasiaan pivacy sistem harus dijaga dari publikasi yang

dapat mengancam keamanan sistem. Untuk mengamankan web server dari serangan

hacker maka sebaiknya pemilik web server melakukan self test terhadap server mereka

sendiri. Melalui self test ini, para pemilik webserver akan mengetahui letak kerentanan dari

sistem yang ada. Salah satu framework self test ini adalah penetration test. Metode ini

sama dengan aktivitas hacking namun dilakukan secara legal. Penetration test (pentest)

merupakan metode yang efektif untuk menguji kerentanan sistem. Penetration test adalah

proses mencoba untuk mendapatkan akses ke dalam sebuah sistem tanpa ada pengetahuan

tentang username, password dan akses lainya. Contoh dari penetrasi yang sukses akan

mendapatkan atau menghancurkan dokumen-dokumen rahasia, basis data dan informasi

lain yang dilindungi. Pengujian terhadap aplikasi web dengan framework penetration

testing merupakan framwork yang komprehensif untuk mengidentifikasi kerentanan sistem.

Dalam pengujian penetrasi ada beberapa framework yang sering dipakai seperti

Information System Security Assessment Framework (ISSAF), Open Web Application Security

Project (OWASP VERSI 4), dan Open Source Security Testing Methodology Manual

(OSSTMM).

Website ittelkom-pwt.ac.id merupakan website official untuk mempromosikan

kampus Institut Teknologi Telkom Purwokerto kepada masyarakat, baik didalam negeri

maupun di luar negeri. Kegiatan dan aktivitas dari kampus Institut Teknologi Telkom

Purwokerto menjadi data atau informasi yang sangat penting untuk di jaga dari serangan-

serangan yang bertujuan untuk merusak citra dan kemajuan Institut Teknologi Telkom

Purwokerto. Contoh sederhana alasan perlunya melindungi website ittelkom-pwt.ac.id

yaitu, jika informasi seputar jadwal pendaftaran mahasiswa baru di Institut Teknologi

Telkom Purwokerto diubah/di deface akan mengurangi peminat pendaftarn mahasiwa baru

6

dan membuat kekeliuraan tentang jadwal pendaftaran. Kemudian data informasi dalam

website ittelkom-pwt.ac.id juga mempublis kualitas Institut Teknologi Telkom Purwokerto

yang jika di deface/diubah akan mengurangi kepercayaan masyarakat tentang kualitas

Institut Teknologi Telkom Purwokerto.

Dari penjelasan di atas maka penulis mengambil topik penelitian yang berjudul

“Penerapan Framework ISSAF Dan OWASP Versi 4 Untuk Uji Kerentanan Website

ittelkom-pwt.ac.id”. Penetration test yang menggunakan framework ISSAF dan OWASP

VERSI 4, diharapkan dapat melakukan tata kelola, pengaturan, dan perbaikan sistem

informasi di Institut Teknologi Telkom Purwokerto. Dimana dalam penelitian ini

framework implementasi penetration test yang komprehensif dalam mengidentifikasi

kerentanan sistem untuk digunakan pengujian terhadap sistem informasi Institut Teknologi

Telkom Purwokerto yaitu ISSAF (Information System Security Assessment Framework)

dan OWASP VERSI 4(Open Web Application Security Project). Keduanya dipilih karena

bersifat open source, bebas digunakan oleh siapa saja, dan merupakan kerangka kerja

terstruktur yang mengkategorikan penilaian keamanan sistem informasi dalam berbagai

domain dan rincian kriteria evaluasi atau pengujian khusus untuk masing-masing domain.

Framework ISSAF yang dikeluarkan oleh OSSISG (Open System Security Information

Group) memiliki langkah-langkah utama pengujian penetrasi yang mudah untuk dipahami

oleh siapa pun. OSSISG menyatakan framework ISSAF sebagai framework yang

terekomendasi dalam mengontrol keamanan. Pada pengujian website framework ISSAF

lebih menguji kepada infodomain, IP target, alamat domain dan DNS. Sedangkan pada

Framework OWASP VERSI 4 lebih menginjection target server dan melakukan otentikasi

kerusakan serta memanajemen. OWASP yang dikeluarkan oleh OWASP Foundation, yaitu

sebuah organisasi non-profit (amal) di Amerika Serikat yang berdiri pada tahun 2004[3].

1.1 Rumusan Masalah

Berdasarkan latar belakang diatas maka dapat dirumuskan permasalahan sabagai

berikut:

1. Bagaimana mengidentifikasi celah kerentanan pada Sistem Informasi Institut

Teknologi Telkom Purwokerto?

2. Bagaimana hasil pengujian dan analisis kerentanan web server menggunakan

framework ISSAF dan OWASP VERSI 4?

7

1.2 Tujuan Penelitian

Dari rumusan masalah yang telah disebutkan di atas, maka tujuan penulisan penelitian

ini ini adalah sebagai berikut :

1. Mengetahui celah kerentanan yang ada pada Website ittelkom-pwt.ac.id

2. Mengetahui hasil pengujian dan analisis pengujian web server menggunakan

metode ISSAF dan OWASP VERSI 4

1.3 Manfaat Penelitian

Manfaat dalam penelitian ini adalah:

1. Manfaat yang diharapkan dengan adanya penelitian ini dapat membantu untuk

mengetahui kerentanan Website ittelkom-pwt.ac.id dalam meningkatkan keamanan

dan fungsionalitas website ittelkom-pwt.ac.id.

2. Manfaat bagi penulis dapat menambah pengetahuan dalam security network yang

dapat diimplimentasikan didalam dunia kerja.

1.4 Batasan Masalah

Batasan masalah dalam objek penelitian adalah:

1. Metode penetration test diterapkan pada pemodelan web server situs resmi

www.ittelkom-pwt.ac.id

2. Penelitian yang dilakukan terbatas pada pengujian keamanan web server

dengan domain ittelkom-pwt.ac.id menggunakan framework ISSAF dan

menggunakan OWASP VERSI 4 fokus pada Authentication Testing,

Authorization Testing, dan Session Management Testing.