Daftar Isi. Daftar Gambar. Daftar Tabel. 1 Pendahuluan 1. 2 Apakah Hacking Statistik? 2

Transkripsi

1 Daftar Isi Daftar Isi Daftar Gambar Daftar Tabel i iii iv 1 Pendahuluan 1 2 Apakah Hacking Statistik? 2 3 Celah Keamanan Situs Berita Jumlah Pembaca Berita Kirim Berita Melalui Beri Komentar Pada Berita Membedakan Pengunjung Manusia dan Komputer Verifikasi Gambar Verifikasi Suara Perhitungan Matematika Teka-teki Logika Verifikasi Video Verifikasi Gambar ASCII Metode yang disarankan Pengelompokan Perilaku atasi Statistik Hacking Pengabaian Berdasarkan IP Address dan Waktu Pengabaian Berdasarkan Perilaku Serupa Secara Berulang Pengabaian Penyalahgunaan IP dan Domain Analisa Celah Keamanan Situs Berita Indonesia Analisa Keamanan Jumlah Pembaca Berita Celah Keamanan Jumlah Pembaca Berita Solusi Keamanan Jumlah Pembaca Berita Kirim Berita Melalui Celah Keamanan Kirim Berita Melalui Solusi Kemananan Kirim Berita Melalui Beri Komentar Pada Berita i

2 6.3.1 Celah Keamanan Beri Komentar Pada Berita Solusi Keamanan Beri Komentar Pada Berita Kesimpulan 15 Daftar Pustaka 16 ii

3 Daftar Gambar 4.1 Contoh Verifikasi Gambar Contoh Verifikasi Gambar ASCII Perhitungan Jumlah Pembaca di Kompas disetiap berita Perhitungan Jumlah Pembaca di Republika Online disetiap berita Berita Terpopuler di Kompas.com Berita Terpopuler di Republika Online Form Kirim Berita Melalui Detikcom Form Kirim Berita Melalui Vivanews Form Kirim Berita Melalui Kompas Detikcom script asli Detikcom script setelah dimodifikasi Hasil spamming dengan Detikcom Form Beri Komentar Detikcom Form Beri Komentar Republika Online Form Beri Komentar Vivanews Form Beri Komentar Kompas iii

4 Daftar Tabel 1 Perbandingan Berbagai Metode Pembeda Manusia dan Komputer.. 6 iv

5 Hacking Statistik - Eksploitasi Celah Keamanan Situs Berita Indonesia Yulrio Brianorman Mei 2010 Sekolah Tinggi Elektro dan Informatika - Institut Teknologi Bandung Abstrak Situs berita yang tersedia saat ini menyediakan berbagai layanan interaktif dengan pengunjung, diantara layanan interaktif yang disediakan adalah komentar pada setiap berita dan mengirim berita ke orang lain melalui dan menghitung jumlah yang membaca berita tersebut. Pada layanan ini terdapat celah keamanan yang dapat dipergunakan untuk melakukan Statistics Hacking. Hal ini menyebabkan berita yang tadinya tidak popular atau jarang pengunjung menjadi naik dratis jumlah pengunjungnya. Pada paper ini akan dibahas mengenai teknik pengamanannya. Ada 2 teknik yang akan digunakan. Pertama, teknik membedakan antara manusia dan computer. Kedua, teknik pengelompokan prilaku, contohnya mengantisipasi berulangnya perintah yang sama dari pengunjung dalam jangka yang berdekatan. Studi kasus yang diambil adalah situs-situs berita terkenal di Indonesia. 1 Pendahuluan Saat ini internet terus berkembang dan berusaha untuk mendapatkan pangsa pasar dari televisi, radio dan media cetak sebagai penyedia berita utama, situs-situs berita saat ini mengalami pertumbuhan yang luar biasa. Satu keuntungan dari berita internet yang memungkinkan perilaku yang lebih interaktif dibandingkan dengan media tradisional. Fasilitas interaktif yang diberikan situs berita seperti memberi komentar, mengirim berita ke teman melalui dan menghitung jumlah pembaca yang membaca berita tersebut bertujuan untuk mengukur minat pengunjung secara tidak langsung. 1

6 Fasilitas interaktif ini dapat menyebabkan kerentanan keamanan dalam sistem mereka. Misalkan pada situs berita Republika Online yang merupakan salah satu situs berita terkenal di Indonesia. Situs ini mengukur popularitas dari beritanya setidaknya dengan dua cara, yaitu: 1. Menghitung berapa kali berita tersebut dibaca. 2. Berapa jumlah komentar terhadap berita tersebut. Hal ini berhubungan dengan statistik berita yang Paling Banyak Komentar dan Paling Banyak di Baca. Fasilitas yang tampaknya tidak berbahaya sering dimanfaatkan oleh hacker statistik untuk mempengaruhi berita yang ditampilkan pada situs berita. Fasilitas yang sama juga dapat menyebabkan lonjakkan lalu lintas di internet sehingga mempengaruhi aksesibilitas dari situs tersebut kepada pengunjung lain. Permasalahan yang timbul adalah situs tidak hanya dikunjungi oleh manusia tetap juga oleh bukan manusia misalkan saja mesin atau komputer yang memiliki program untuk mengakses fasilitas interaktif tersebut. Jadi, situs perlu mekanisme yang memadai untuk membedakan pembaca manusia dari seorang pembaca bukan manusia. 2 Apakah Hacking Statistik? Definisi dari Hacking Statistik merupakan suatu proses di mana pengguna berhasil memodifikasi sistem statistik penggunaan. Hacking statistik secara eksplisit mengacu kepada situasi dimana fasilitas interaktif situs dimanfaatkan oleh pengguna untuk melakukan perubahan data statistik baik dengan cara yang wajar atau tidak wajar. 3 Celah Keamanan Situs Berita Fasilitas interaktif yang disediakan oleh situs berita dapat menjadi celah keamanan yang dapat dimanfaatkan oleh pengunjung jahat untuk mempengaruhi integritas data statistik dari situs tersebut. Pada bagian ini akan dibahas fasilitas interaktif serta kemungkinan celah keamanan yang terjadi. 3.1 Jumlah Pembaca Berita. Untuk mengetahui berapa jumlah pembaca yang membaca setiap berita maka terdapat fasilitas konter/penghitung berapa banyak halaman berita tersebut dibuka. Ke- 2

7 lemahan yang terjadi pada fasilitas ini biasanya adalah apabila pengunjung melakukan refresh pada halaman tersebut maka konter/penghitung akan bertambah terus tanpa mendeteksi apakah hal ini dilakukan oleh pengunjung yang sama. 3.2 Kirim Berita Melalui Apabila pengunjung merasa berita yang dibaca menarik dan ingin mengirimkan berita tersebut ke rekannya, maka biasanya situs berita menyediakan fasilitas Kirim Berita Melalui . Fasilitas ini bisa dimanfaatkan untuk melakukan spamming melalui , maka akan dieksplorasi apakah fasilitas ini mudah dimanfaatkan atau tidak. 3.3 Beri Komentar Pada Berita Untuk mengukur minat pengunjung terhadap berita yang ada pada situs, situs berita menyediakan fasilitas interaktif berupa pemberian komentar terhadap berita yang ada. Fasilitas ini sering dimanfaatkan para pengunjung jahat untuk melakukan spamming yaitu isi komentar berupa promosi barang atau situs. 4 Membedakan Pengunjung Manusia dan Komputer Hal utama yang perlindungan terhadap hacking statistik adalah situs mampu membedakan manusia dari komputer (atau program perangkat lunak). Dengan menggunakan program perangkat lunak maka fasilitas interaktif dapat dieksekusi secara berulang-ulang dan terus menerus. Membedakan antara manusia dan komputer adalah topik yang banyak dipelajari, dan terkait dengan masalah terkenal Turing Test. Penerapan Turing Test untuk masalah ini adalah untuk membedakan pengunjung manusia atau mesin atau program perangkat lunak, bahwa akan sulit untuk perangkat lunak untuk merespon secara akurat untuk tes turing. Tes turing ini membuat ketidaknyamanan bagi pengunjung awam atau pada umumnya, tapi merupakan alat pencegah yang efektif terhadap pengguna yang mencoba untuk melakukan tindakan yang sama beberapa kali. Ada berbagai jenis tes Turing yang tersedia, dari yang sederhana sampai yang cukup rumit. Berikut ini akan dijelaskan secara garis besar berbagai mekanisme dan membahas keunggulan serta kelemahannya 3

8 4.1 Verifikasi Gambar Dalam mekanisme ini, gambar yang ditampilkan berisi teks yang dikaburkan dengan menggunakan teknik distorsi gambar, seperti kabur, bentuk yang tidak teratur, bayangan dan segmen garis acak, kemudian pengunjung diminta untuk memasukan teks yang terdapat pada gambar. Mekanisme ini banyak digunakan oleh situs untuk membedakan manusia dan mesin. Namun algoritma Optical Character Recognition (OCR)[1] dapat menembus implementasi tes ini. Implementasi yang baru verifikasi gambar untuk melindungi terhadap algoritma OCR terbaru. Salah satu kelemahan dari pendekatan ini adalah pengunjung yang memiliki keterbasan pada penglihatan akan mengalami kesulitan. Gambar 4.1: Contoh Verifikasi Gambar. 4.2 Verifikasi Suara Dalam mekanisme ini, suara yang dimainkan oleh situs web, dan pengunjung diharapkan untuk menjawab pertanyaan pendek berdasarkan suara. Hal ini membuat perangkat lunak spamming secara signifikan menjadi lebih kompleks, karena harus menyertakan modul untuk membaca file suara, menguraikan kata-kata, dan kemudian kalkulasi jawabannya. 4.3 Perhitungan Matematika Dalam mekanisme ini, web menyajikan perhitungan matematika, dan pengunjung situs diharapkan untuk menghitung jawaban dari ekspresi matematika. Sebagai contoh, pertanyaan tantangan situs web mungkin: "Berapakah tujuh belas ditambah dua dikurang tiga belas?". Selain berbentuk kalimat ada juga yang berbentuk angka dan operator suara. Hal ini dianggap sebagai suatu bentuk yang relatif lemah dari Turing Test, meskipun dalam praktek mungkin aman karena "keamanan oleh ketidakjelasan". Kelemahan utama dari metode ini adalah kalkulator untuk menembus tes ini dapat dibuat cukup mudah untuk menerima ekspresi matematika dan beberapa elemen pengolahan bahasa alami. 4

9 4.4 Teka-teki Logika Mekanisme ini mirip dengan perhitungan matematika, namun yang ditampilkan kepada pengunjung adalah berupa teka-teki. Sebagai contoh pertanyaan mungkin seperti ini : Apa nama buah yang melengkung dan berwarna kuning? (Pisang) atau Apa nama buah yang berduri dan berwarna hijau? (Durian). Bentuk tes Turing sangat rentan terhadap serangan kamus, dan teka-teki logika mungkin memiliki jumlah yang terbatas. 4.5 Verifikasi Video Verifikasi video ini mirip dengan verifikasi suara, namun pada teknik ini video ditampilkan kepada pengguna situs web. Setelah video, sebuah pertanyaan tantangan mungkin: "Apakah yang dibicarakan orang mengenakan baju berwarna kuning?. Jawabannya dapat menjadi bentuk yang bebas, atau 4 pilihan disajikan kepada pengguna. Problem pada mekanisme ini adalah sistem operasi atau browser yang tidak bisa menampilkan video dan juga permasalahan lambatnya koneksi internet saat mengambil video dari server. 4.6 Verifikasi Gambar ASCII Turing tes ini mirip dengan verifikasi gambar, dengan perbedaan yang menyajikan gambar menggunakan karakter ASCII, sehingga terus dapat diakses oleh pengguna menggunakan browser berbasis teks. Gambar 4.2: Contoh Verifikasi Gambar ASCII. 4.7 Metode yang disarankan Metode-metode yang disajikan dalam Bagian 4,1-4,6 bervariasi di tingkat keberhasilan dalam hal membedakan manusia dari computer, serta bervariasi dalam derajat aksesibilitas. Pada bagian akan membandingkan metode-metode tersebut ke bentuk: 5

10 1. Kompabilitas Kultural / Intelektual 2. Kompabilitas Browser. 3. Kenyamanan. Berikut ini tabel rangkuman kompabilitas dan aksesibilitas[2] dari metode yang sudah dijelaskan. Metode Kultural Browser Kenyamanan Verifikasi Gambar Ya Tidak Ya Verifikasi Suara Tidak Tidak Tidak Perhitungan Matematika Ya Ya Ya Teka-teki Logika Tidak Ya Ya Verifikasi Video Tidak Tidak Tidak Verifikasi Gambar ASCII Ya Ya Ya Tabel 1: Perbandingan Berbagai Metode Pembeda Manusia dan Komputer. 5 Pengelompokan Perilaku atasi Statistik Hacking Pada bagian ini akan dibahas mengenai teknik lain untuk mencegah statistic hacking. Teknik yang digunakan oleh melakukan perhitungan dan analisa sehingga bisa mengabaikan perintah yang berulang dari pengunjung. 5.1 Pengabaian Berdasarkan IP Address dan Waktu Metode ini relatif mudah untuk diterapkan. Program akan mengabaikan perilaku sama yang dilakukan oleh pengunjung dari alamat IP tertentu dan pada jangka waktu tertentu, misalkan 1 menit, 1 jam atau 1 hari bergantung pada ketentuan yang berlaku pada aplikasi tersebut. 5.2 Pengabaian Berdasarkan Perilaku Serupa Secara Berulang Dalam hal ini, perilaku berdasarkan pada tindakan yang dilakukan dan dampak yang terjadi, terlepas dari alamat IP dan waktu. Misalkan pada situs terdapat fasilitas mengirim berita kepada teman melalui . Aplikasi seharusnya mendeteksi apakah proses pengriman berita tersebut ke itu sudah pernah dilakukan atau belum. Jika sudah maka aplikasi mengabaikan perintah pengiriman berita ke tersebut, sehingga tidak terjadi spamming terhadap tersebut dari situs berita. 6

11 Namun mekanisme ini bisa ditembus dengan mengirim ke yang berbedabeda. Jadi, sementara mekanisme ini tidak begitu baik, prinsip ini berbeda dengan pengabaian berdasarkan waktu dan alamat IP. 5.3 Pengabaian Penyalahgunaan IP dan Domain Administrator mempunyai daftar alamat IP dan Domain yang biasa dipergunakan untuk melakukan hacking statistik. Perhitungan statistik akan diabaikan bila IP dan Domain yang digunakan terdapat dalam black list. 6 Analisa Celah Keamanan Situs Berita Indonesia Pada bagian ini akan dibahas mengenai celah keamanan pada situs berita Indonesia. Adapun situs berita yang akan diamati celah keamanannya adalah: 1. Detikcom 2. Kompas 3. Republika Online 4. VIVAnews Fasilitas iteraktif yang akan diamati pada 4 situs berita tersebut adalah hal-hal yang sudah disebutkan pada bagian ke-3 yaitu Jumlah Pembaca Berita, Kirim Berita Melalui dan Beri Komentar Pada Berita. 6.1 Analisa Keamanan Jumlah Pembaca Berita Dari 4 situs berita yang diamati hanya ada 2 yang memiliki fasilitas interaktif ini, yaitu Kompas dan Republika Online, sedangkan Detikcom dan VIVAnews tidak memilikinya. Gambar 6.1: Perhitungan Jumlah Pembaca di Kompas disetiap berita. 7

12 Gambar 6.2: Perhitungan Jumlah Pembaca di Republika Online disetiap berita. Pada situs Kompas dan Republika Online jumlah pembaca menjadi parameter berita itu populer atau tidak, seperti terlihat pada Gambar 6.3 dan Gambar 6.4 Gambar 6.3: Berita Terpopuler di Kompas.com. 8

13 Gambar 6.4: Berita Terpopuler di Republika Online Celah Keamanan Jumlah Pembaca Berita Baik Republika Online dan Kompas proses perhitungan jumlah pembaca akan bertambah apabila pengunjung membuka halaman berita tersebut. Namun terdapat celah keamanan pada proses ini yaitu apabila pengunjung menekan tombol refresh pada browser maka perhitungan jumlah pembaca pun menjadi bertambah 1. Jika pengunjung menekannya secara berulang-ulang maka perhitungan pun tetap akan bertambah 1 sebanyak tombol refresh ditekan. Hal ini tentu menyalahi salah satu dari 3 prinsip Keamanan Informasi yaitu integritas. Sehingga berita yang tadinya tidak termasuk kedalam kategori terpopuler dengan script yang sederhana hacker statistik akan mampu mempengaruhi statistik jumlah pembaca pada berita tersebut Solusi Keamanan Jumlah Pembaca Berita Hal yang bisa dilakukan untuk mengatasi permasalahan ini adalah melakukan analisa terhadap perilaku berulang yang dilakukan oleh pengunjung, seperti yang telah dibahas pada bagian ke-5. Diantarnya yang bisa dilakukan adalah saat pengunjung membuka halaman tersebut maka aplikasi menanamkan sebuah cookies pada browser pengunjung, waktu kadaluwarsa cookies diatur sesuai dengan kebutuhan misalkan 1 jam, 1 hari, 1 minggu sehingga jika pengunjung melakukan refresh maka aplikasi mengecek apakah masih terdapat cookies yang valid? Proses perhitungan 9

14 jumlah pembaca tidak dilakukan jika masih terdapat cookies yang valid. Namun solusi ini masih bisa diatasi dengan mematikan fasilitas cookies pada browser. Solusi lain yang bisa dilakukan adalah menyimpan data pengunjung kedalam sebuah tabel pada database, data yang disimpan misalkan alamat IP dan waktu kunjungan. Jika pengunjung melakukan refresh maka aplikasi akan mengecek alamat IP dan waktu kunjung, kemudian dilakukan analisa apakah perilaku ini sesuatu yang wajar atau tidak. Jika menurut kriteria yang ditentukan ini merupakan sesuatu yang wajar maka perhitungan dilakukan. Namun metode ini memerlukan resources dan mempengaruhi performance. Ternyata cukup sulit juga untuk mengatasi celah keamanan pada bagian ini. Namun setidaknya 2 solusi diatas mampu membuat sulit hacker statistik untuk melakukan hacking statistik. 6.2 Kirim Berita Melalui Fasilitas ini berfungsi untuk mengirimkan berita yang sedang dibaca oleh pengunjung ke orang yang akan dikirim berita tersebut. Kirim Berita Melalui ini dimiliki oleh Detikcom, Vivanews dan Kompas, untuk Republika Online fasilitas ini tidak ada. Gambar 6.5: Form Kirim Berita Melalui Detikcom. 10

15 Gambar 6.6: Form Kirim Berita Melalui Vivanews. Gambar 6.7: Form Kirim Berita Melalui Kompas. 11

16 6.2.1 Celah Keamanan Kirim Berita Melalui Vivanews dan Kompas menggunakan captcha teks untuk membedakan pengunjung mesin atau manusia. Hal ini sudah cukup dibaik dibandingkan dengan Detikcom yang tidak melakukan verifikasi menggunakan captcha[3], meskipun jika mengacu pada penelitian Breaking a Visual CAPTCHA[4] maka captcha yang dipergunakan oleh Vivanews dan Kompas tergolong mudah untuk ditebak. Hal menarik yang ditemukan pada fasilitas Kirim Berita Melalui Detikcom karena terdapat celah keamanan yang bisa dimanfaatkan untuk melakukan spamming melalui fasilitas ini. Dengan melakukan teknik copy+paste seluruh source code halaman form pengiriman pada Detikcom maka ditemukan sebuah script pengiriman sebagai berikut : Gambar 6.8: Detikcom script asli. Dengan sedikit menambahkan proses looping pada script tersebut seperti dibawah ini maka proses spamming dapat dilakukan. Gambar 6.9: Detikcom script setelah dimodifikasi. Berikut ini bukti bawah fasilitas pada Detikcom bisa dimanfaatkan untuk spamming ke . Gambar 6.10: Hasil spamming dengan Detikcom Solusi Kemananan Kirim Berita Melalui Langkah pertama yang dilakukan Vivanews dan Kompas adalah dengan mengganti captcha yang dipergunakan agar lebih sulit untuk ditebak, sebagai referensi bisa digunakan captcha yang dikeluarkan oleh The Official CAPTCHA Site[3]. Untuk Detikcom sebaiknya menambahkan captcha pada form pengiriman berita serta mem- 12

17 perbaiki script pengiriman sehingga tidak mudah untuk dipergunakan untuk proses spamming. 6.3 Beri Komentar Pada Berita Fasilitas ini berfungsi untuk memberikan komentar pada berita yang ada. Fasilitas Beri Komentar Pada Berita dimiliki oleh seluruh situs berita Indonesia yang sedang dianalisa. Kompas dan Vivanews mengharuskan login terlebih dahulu sebelum pengunjung diperkenankan untuk memberikan komentar. Jadi pengunjung diharuskan untuk registrasi jika belum menjadi anggota dari kedua situs berita tersebut. Gambar 6.11: Form Beri Komentar Detikcom. 13

18 Gambar 6.12: Form Beri Komentar Republika Online. Gambar 6.13: Form Beri Komentar Vivanews. 14

19 Gambar 6.14: Form Beri Komentar Kompas Celah Keamanan Beri Komentar Pada Berita Celah keamanan yang ditemui dari keempat situs tersebut adalah apabila seluruh source code pada halaman form isian dikopikan ke file lain. Kemudian file tersebut diletakkan pada server lokal dan dilakukan proses pengiriman data maka server situs berita tetap memprosesnya. Hal ini bisa dimanfaatkan oleh hacker statistik untuk melakukan proses hacking statistik Solusi Keamanan Beri Komentar Pada Berita Hal yang bisa dilakukan untuk mengatasi pengiriman komentar melalui form yang berada diluar server situs berita adalah dengan mengecek berasal dari domain mana request tersebut berasal. Jika form isian komentar tidak berasal dari domain situs berita tersebut maka server akan menolak melakukan proses penambahan data komentar. Untuk Detikcom sebaiknya menambahkan captcha pada form isian beri komentar. 7 Kesimpulan Data statistik dari sebuah berita merupakan data yang penting untuk dijaga dalam hal integritasnya. Data ini mempengaruhi tren berita yang ada pada situs tersebut. Dari ke-4 situs berita yang diamati dapat diketahui bahwa Detikcom mempunyai celah keamanan yang lebih rawan dibandingkan situs yang lainnya. 15

20 Fasilitas interaktif lainya yang bisa diamati dari situs berita ini adalah terkoneksinya situs berita tersebut dengan berbagai situs jejaring sosial. Koneksi ini bisa dijadikan bahan pengamatan lebih lanjut untuk permasalahan hacking statistik. Daftar Pustaka [1] G. Mori and J. Malik, Recognizing objects in adversarial clutter: Breaking a visual captcha, vol. 1, 2003, p [2] A. Arora, Statistics hacking - exploiting vulnerabilities in news websites, International Journal of Computer Science and Network Security, vol. 7 no. 3 March 2007,. [3] The official captcha site, 2000, [Cited: May 2010, 17.] [4] G. Mori and J. Malik, Breaking a visual captcha, 2003, [Cited: May 2010, 17.] mori/research/gimpy/. [5] R. Datta, J. Li, and J. Z. Wang, Imagination: a robust image-based captcha generation system, in MULTIMEDIA 05: Proceedings of the 13th annual ACM international conference on Multimedia. New York, NY, USA: ACM, 2005, pp