Pages

Selasa, 03 Mei 2011

Cracker : Sebab Akibat dan Kepastian Hukum

Masih ingat kisah cracker Dani Firmansyah? Dani yang merupakan konsultan Teknologi Informasi (TI) PT Danareksa di Jakarta, pada 17 April lalu berhasil membobol situs (cracking) milik Komisi Pemilihan Umum (KPU) di http://tnp.kpu.go.id dan mengubah nama-nama partai di dalamnya menjadi nama-nama "unik", semisal Partai Kolor Ijo, Partai Mbah Jambon, Partai Jambu, dan sebagainya. Tak lama berselang, pada 22 April, Dani yang juga masih terdaftar sebagai mahasiswa semester 10 di fakultas Fisipol Universitas Mumammadiyah Yogya tersebut, berhasil dicokok oleh Satuan Cyber Crime Polda Metro Jaya. Kemudian pada 18 Juni, kasusnya dinyatakan telah sudah selesai di-BAP-kan dan telah diserahkan ke pihak pengadilan.

Pihak aparat kepolisian, yang dibantu oleh Asosiasi Penyelenggara Jasa Internet Indonesia (APJII) dan dikabarkan turut pula dibantu oleh mantan anggota komunitas maya underground Indonesia, memang selayaknya mendapatkan acungan jempol lantaran berhasil melakukan serangkaian investigasi yang kental dengan dunia teknologi informasi (TI). Sebutlah semisal melakukan analisa log server dan melakukan social engineering di sebuah chatroom. Aparat Kepolisian pun mencoba mengganjar Dani dengan ancaman hukuman yang berat, yaitu penjara selama-lamanya enam tahun dan / atau denda sebesar paling banyak Rp 600 juta rupiah. Hal tersebut berdasarkan Undang-undang (UU) no. 36 / 1999 tentang Telekomunikasi, khususnya pasal 22 butir a, b, c, pasal 38 dan pasal 50.

Jika kita mengacu pada klausul sebab-akibat, maka apa yang akan dihadapi Dani memang merupakan buah dari perbuatannya sendiri. Sebab dia "melakukan cracking", berakibat dirinya "diproses hukum". Simpel saja tampaknya. Tetapi jika kita memang mau konsisten dengan klausul sebab-akibat tersebut, maka kita harus paham pula bahwa perbuatannya tersebut notabene juga merupakan akibat dari suatu sebab yang telah ada sebelumnya. Maka pertanyaan yang selayaknya diajukan adalah, "ada sebab apa, yang berakibat pada berhasilnya aktifitas cracking ke situs KPU".


Motivasi

Menurut beberapa hasil pengamatan dan riset kami dari ICT Watch atas komunitas maya underground Indonesia, ada beberapa hal yang dapat menjadi sebab atas terjadinya suatu aktifitas cracking. Keempat hal tersebut kami istilahkan sebagai 3M + M2, yaitu Motivasi, Mekanisme, Momen + Miskonsepsi (Masyarakat dan Media-massa)".

Motivasi adalah adanya rangsangan yang berupa faktor pengaruh peer group, baik yang internal ataupun eksternal. Yang internal adalah, adanya motivasi dari dalam komunitas atau kelompok, seperti ajakan, hasutan ataupun pujian antar sesama rekan. Sedangkan yang eksternal, adalah motivasi yang berupa semangat bersaing antar kelompok, keinginan untuk menjadi terkenal, dan motivasi hacktivisme. Hacktivisme ini adalah suatu reaksi yang dilatar-belakangi oleh semangat para hacker ataupun cracker untuk melakukan protes terhadap suatu kondisi politik / sosial negaranya.

Tetapi jangan lupa, ada salah satu motivasi lain yang juga sifatnya eksternal, yaitu adanya semacam tantangan ataupun kepongahan dari pihak tertentu atas jaminan keamanan suatu sisten komputer. Hal tersebut dapat membangkitkan adrenalin rasa keingintahuan seorang cracker, yang memang sudah merupakan ciri khas yang inheren dalam komunitas maya underground. Lalu mekanisme yang dimaksud adalah terdapatnya server ataupun website yang lemah mekanisme pertahanannya lantaran tidak dilakukan update atau patched secara rutin dan menyeluruh. Hal tersebut sama saja dengan membuka "pintu belakang" seluas-luasnya, seolah memberikan kesempatan bagi para cracker untuk melakukan aksi deface mereka.

Hal tersebut juga didukung dengan tersedianya mekanisme sekunder yang berfungsi untuk mendeteksi kelemahan suatu sistem di Internet, yaitu berupa berbagai exploit software, yang tersedia di Internet dan dapat dengan mudah digunakan oleh para cracker yang tingkat pemula sekalipun.

Sedangkan momen di sini mengacu pada adanya suatu isu yang tengah menjadi sorotan masyarakat luas, sehingga cracker ketika menjalankan aksinya akan menumpang pada isu tersebut dengan tujuan agar aktifitas deface dapat turut terekspos dengan luas. Contohnya, yaitu pada tahun 2002 lalu ketika aktifitas deface sempat memanas, lantaran para cracker menumpang pada isu memanasnya hubungan diplomatik antara Indonesia dengan Australia.

Kemudian miskonsepsi atas keberadaan cracker dan akfititasnya di tengah masyarakat dan acapkali dipertegas oleh media massa, kerap dimanfaatkan oleh para cracker untuk menjadi terkenal atau memperkenalkan kelompoknya. Misalnya, memposisikan cracker sebagai tokoh yang heroik dan secara gegabah mempercaya klaim mereka bahwa aktifitas deface yang mereka lakukan dilandasai oleh faktor hacktivisme ataupun nasionalisme, merupakan sebuah miskonsepsi yang secara umum terjadi di tengah-tengah kita.


Sebab Akibat

Kalau ditengok dari Momen dan Miskonsepsi, tampaknya kedua faktor tersebut memang sudah "given" dari sono-nya. Momen Pemilihan Umum (Pemilu) 2004 memang merupakan sebuah perhelatan bangsa yang menyedot perhatian dari seluruh masyarakat Indonesia, sehingga memang pantaslah jika menjadi "tumpangan" para cracker ketika melakukan aksinya. Pun demikian dengan Miskonsepsi, yang merupakan faktor dengan kondisi "salah kaprah" di Indonesia. Tidak terlalu banyak yang bisa kita perbuat untuk meminimalisir terjadinya aksi deface, dengan mengutak-atik kedua faktor di atas. Tetapi untuk dua faktor lainnya, yaitu Motivasi dan Mekanisme, tampaknya "andil" KPU turut memiliki faktor yang kuat untuk memancing terjadinya aksi deface tersebut.

Menurut yang disampaikan oleh Dani, seperti dikutip oleh berbagai media massa nasional, motivasi pembobolan situs KPU itu sendiri adalah untuk mengetes sistem keamanan server penghitungan suara KPU. Masih menurut dia, kemampuan dirinya merasa tertantang setelah mendengar pernyataan Ketua Kelompok Kerja Teknologi Informasi KPU Chusnul Mar'iyah di sebuah tayangan televisi yang mengatakan bahwa sistem TI Pemilu yang bernilai Rp152 miliar, sangat aman dan tidak bisa tertembus hacker. Memang, faktanya beberapa pernyataan dari KPU berkaitan dengan sistem TI Pemilu tersebut kerap dikritik oleh beberapa pengamat, lantaran cenderung bernada over PD, alias percaya diri.

Dani kemudian menjajal sistem keamanan sistem TI Pemilu, dan ternyata dia menemukan suatu kelemahan di dalam sebuah server website dengan alamat http://tnp.kpu.go.id. Rupanya KPU lalai untuk melakukan update atau patched atas sistem di alamat tersebut. Adanya mekanisme yang "bolong" tersebutlah yang dimanfaatkan oleh Dani, dengan menggunakan teknik lawas diantranya berupa SQL Injection. SQL Injection itu sendiri, pada dasarnya teknik tersebut adalah dengan cara mengetikkan string atau command tertentu pada address bar di browser yang biasa kita gunakan. Address bar adalah tempat kita biasa mengetikkan nama suatu alamat website atau URL (uniform resource locator). Dengan demikian tampaknya Dani tidak perlu harus sampai masuk ke dalam server tersebut guna mengubah data atau tampilan pada website tersebut, tetapi cukup dengan cara "merogoh-rogoh" dari luarnya saja.

Dengan melihat dari hal di atas, maka sekali lagi, kalau kita memang ingin konsisten dengan klausul sebab-akibat, maka mungkin memang sudah semestinya Dani menanggung akibat dari yang disebabkannya. Tetapi kita pun harus memahami secara utuh, bahwa apa yang dilakukan Dani, sejatinya merupakan suatu akibat dari keberadaan sebab 3M + M2 di atas, termasuk keberadaan andil KPU itu sendiri di dalamnya. Rasanya memang agak kurang tepat apabila terdapat kasus cracking terhadap situs milik masyarakat atau didanai oleh uang masyarakat, pengelolanya kemudian buru-buru mengasosiasikan dirinya sebagai "pemilik rumah" yang menjadi korban, dan menyerahkan seluruh tanggung-jawab kepada si cracker.

Padahal sudah jelas, sejatinya pihak "pemilik rumah" tersebut adalah masyarakat, yang kemudian memberikan tanggung-jawab kepada pihak pengelola untuk mengurusnya. Dengan demikian, korban yang sesungguhnya pada kasus di atas adalah justru masyarakat itu sendiri, dan tanggung-jawab seyogyanya ditanggung-renteng bersama oleh si cracker dan si pengelola, tentunya dengan porsi dan kapasitas masing-masing.


Kepastian Hukum

Pertanyaan berikutnya adalah, "apakah seorang cracker dapat dikenakan sanksi hukum berdasarkan undang-undang (UU) di Indonesia". Menurut pendapat dan masukan dari tim ahli hukum ICT Watch, cracker memang bisa dituntut dengan menggunakan beberapa hukum yang ada. Misalnya yang telah dilakukan oleh aparat kepolisian seperti telah disampaikan pada bagian atas tulisan ini, yaitu menggunakan UU no. 36 / 1999 tentang Telekomunikasi. Sebenarnya masih ada hukum lain yang bisa dikenakan pada seorang cracker, seperti UU no. 19 / 2002 tentang Hak Cipta. Hukum tersebut bisa saja digunakan, karena tindakan yang dilakukan oleh cracker adalah melakukan pengubahan tampilan situs (karya cipta) tanpa izin pada pemilik ciptaan tersebut Kemudian cracker bisa pula dihadapkan pada UU Hukum Pidana, khususnya pada ketentuan mengenai "perbuatan yang meresahkan masyarakat".

Namun kemudian permasalahan yang timbul adalah, sejauh mana hukum yang ada dapat membuktikan kesalahan yang dilakukan oleh cracker tersebut. Dalam berbagai kasus pelanggaran ataupun kejahatan yang berbasis TI, barang bukti yang kerap diajukan adalah berbentuk data atau informasi elektronik, semisal log server, log percakapan di chatroom, tampilan situs yang terkena deface, e-mail, dan sebagainya. Faktanya, hukum di Indonesia belum mengakui bukti elektronik sebagai sebuah alat bukti pelanggaran atau kejahatan di hadapan pengadilan. Dengan demikian, penuntutan hukum kepada seorang cracker adalah satu hal, sedangkan pembuktian kesalahannya adalah hal lain.

Cara yang mungkin akan ditempuh oleh pihak kepolisian dan kejaksaan untuk "mensahkan" bukti elektronik tersebut di hadapan pengadilan adalah dengan adalah dengan cara memproses bukti elektronik tersebut hingga didapatkan hasil akhir dari sebuah sistem komputer. Logiknya adalah sederhana, yaitu input-process-output. Maka bukti elektronik tersebut dapat diubah perwujudannya dalam bentuk hardcopy, di-print misalnya, tanpa adanya modifikasi apapun dari manusia. Lalu untuk memperkuatnya, hardcopy tersebut bisa diserahkan kepada saksi ahli untuk dianalisa dan disampaikan tingkat akurasi dan kesahihannya di hadapan pengadilan. Tentu saja ini hal ini tidak mudah, karena pemahaman yang cukup tentang TI oleh para hakim, jaksa dan polisi untuk menganalisa barang bukti tersebut, mutlak diperlukan.

Selain itu, dengan rantai proses pembuktian yang relatif cukup panjang tersebut, bisa saja terdapat celah kelemahan yang dapat menggugurkan barang bukti yang ada. Jadi, proses persidangan Dani yang akan segera digelar, dapat menjadi wahana pembelajaran bagi kita bersama. Salah satunya adalah untuk menjawab pertanyaan "sejauh mana hukum dan aparat penegak hukum kita dapat mengatasi kejahatan berbasis TI".

0 komentar:

Posting Komentar