Kasus Pembobolan Situs KPU
Kasus Pembobolan Situs KPU~Pada pemilu 2004 lalu, ada sebuah kasus yang cukup mengegerkan dan memukul telak KPU sebagai institusi penyelenggara Pemilu. Tepatnya pada 17 April 2004 situs KPU diacak-acak oleh seseorang dimana nama-nama partai peserta pemilu diganti menjadi lucu-lucu namun data perolehan suara tidak dirubah. Pelaku pembobolan situs KPU ini dilakukan oleh seorang pemuda berumur 25 tahun bernama Dani Firmansyah, seorang mahasiswa Universitas Muhammadiyah Yogyakarta jurusan Hubungan Internasional dan juga seorang konsultan Teknologi Informasi (TI) yang bekerja di PT Danareksa di Jakarta.
Dalam aksinya itu, Danny berhasil menembus kunci internet protocol (IP) PT Dana Reksa dan dari situlah Dani berhasil menembus server KPU tersebut. Sebelum berhasil menembus server KPU, pada hari jumat 16 April, Dani mencoba melakukan tes sistem pengamanan kpu.go.id melalui XSS (Cross Site Scripting) dari IP 202.158.10.117, namun dilayar keluar message risk dengan level low (website KPU belum tembus atau rusak). XSS merupakan salah satu jenis serangan injeksi code (code injection attack). XSS dilakukan oleh penyerang dengan cara memasukkan kode HTML atau client script codelainnya ke suatu situs. Serangan ini akan seolah-olah datang dari situs tersebut. Akibat serangan ini antara lain penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, atau menyimpan aplikasi berbahaya. Ia menjadi semakin penasaran sebab selama sehari penuh sistem website KPU itu benar-benar tidak berhasil ditembus.
Sabtu 17 April 2004 pukul 03.12,42, Dani mencoba lagi melakukan penetrasi ke server tnp.kpu.go.iddengan cara SQL Injection dan berhasil menembus IP tnp.kpu.go.id 203.130.201.134, serta berhasil meng-up date tabel daftar nama partai pada pukul 11.23,16 sampai pukul 11.34,27. Teknik yang dipakai Xnuxer dalam meng-hack yakni melalui teknik spoofing (penyesatan). Xnuxer melakukan serangan dari IP 202.158.10.117, kemudian membuka IP Proxy Anonymous Thailand 208.147.1.1 sebelum msuk ke IPtnp.kpu.go.id 203.130.201.134, dan berhasil membuka tampilan nama 24 partai politik peserta pemilu. Nama ke-24 parpol peserta pemilu kemudian diubah menjadi buah dan hewan. Seperti Partai Jambu, Partai Kolor Ijo, Partai Wirosableng, Partai Kelereng, Partai si Yoyo, Partai Air Minum Kemasan Botol, Partai Dukun Beranak, maupun Partai Mbah Jambon.
No
|
Sebelum Serangan
|
Setelah
Serangan
|
1
|
Partai Nasional Indonesia Marhaenis
|
Partai Jambu
|
2
|
Parai Buruh Sosial Demokrat
|
Partai Kelereng
|
3
|
Partai Bulan Bintang
|
Partai Cucak Rowo
|
4
|
Partai Merdeka
|
Partai Si Yoyo
|
5
|
Partai Persatuan Pembangunan
|
Partai Mbah Jambon
|
6
|
Partai Demokrat Kebangsaan
|
Partai Kolor Ijo
|
7
|
Partai Perhimpunan Indonesia Baru
|
Partai Dukun Beranak
|
8
|
Partai Nasional Banteng Kemerdekaan
|
Partai Wiro Sablenk
|
9
|
Partai Demokrat
|
Partai Air Minum Kemasan Botol
|
No
|
Sebelum Serangan
|
Setelah
Serangan
|
10
|
Partai Keadilan dan Persatuan
Indonesia
|
Partai Dibenerin dolo webnya
|
11
|
Partai Penegak Demokrasi Indonesia
|
Partai Jangan Marah ya..
|
12
|
Partai Persatuan Nahdatul Ummah
Indonesia
|
Partai Jambu
|
13
|
Partai Amanat Nasional
|
Partai Jambu
|
14
|
Partai Karya Peduli Bangsa
|
Partai Jambu
|
15
|
Partai Kebangkitan Bangsa
|
Partai Jambu
|
16
|
Partai Keadilan Sejahtera
|
Partai Jambu
|
17
|
Partai Bintang Reformasi
|
Partai Jambu
|
18
|
Partai Demokrasi Indonesia Perjuangan
|
Partai Jambu
|
19
|
Partai Damai Sejahtera
|
Partai Jambu
|
20
|
Partai Golkar
|
Partai Jambu
|
21
|
Partai Patriot Pancasila
|
Partai Jambu
|
22
|
Partai Sarikat Indonesia
|
Partai Jambu
|
23
|
Partai Persatuan Daerah
|
Partai Jambu
|
24
|
Partai Pelopor
|
Partai Jambu
|
Dani juga sempat menyesatkan pelacakan petugas dengan seolah-olah ia membobol situs KPU dari Warna Warnet di Jl Kaliurang Km 8, Yogyakarta. Dari penelusuran di Yogyakarta, polisi mendapatkan keterangan pelaku merupakan hacker yang sudah pindah ke Jakarta sejak 1 April 2003.
Pelacakan untuk menangkap Dani dimulai polisi dengan mempelajari log server KPU. Untuk mempermudah kerja, hanya log server tanggal 16 dan 17 April yang diteliti. Itu pun tidaklah mudah sebab pada tanggal 16 April terdapat 361.000 baris data orang-orang yang masuk ke situs KPU ini. Lalu, pada tanggal 17 April saat Dani beraksi, ada 164.000 baris data tamu. Dari penelusuran ini, terlihat bahwa penggantian nama-nama partai di situs KPU berlangsung pada tanggal 17 April antara pukul 11.24 WIB sampai 11.34 WIB. Penelusuran juga mendapatkan dua buah nickname pelaku yaitu “xnuxer” dan “schizoprenic”.
Kesulitan pertama langsung terlihat karena terlihat bahwa pelaku telah melakukan “penyesatan”. Terlihat seakan pelaku melakukannya dari Thailand dari alamat IP (Internet Protocol) 208.147.1.1. Polisi dan timnya tidak menyerah. Mereka melacak kegiatan nickname-nickname tadi dari berbagai cara.
Secara tidak sengaja tim perburuan bertemu dengan seseorang yang kenal dengan Dani di internet ketika sedang chatting. Kemudian tim penyidik menemukan salah satu IP address di log KPU, ada yang berasal dari PT. Danareksa. Lalu belakangan diketahui bahwa seseorang yang diajak chatting dengan polisi untuk mencari informasi tentang Dani tersebut adalah Fuad Nahdi yang memiliki asal daerah yang sama dengan Dani, dan merupakan admin di Warna Warnet. “Jadi nickname-nya mengarah ke Dani dan IP addres-nya mengarah ke tempat kerjanya Dani. Dari hasil investigasi, keluar surat perintah penangkapan atas Dani Firmansyah yang berhasil dibekuk di kantornya di Jakarta.
Danny mengaku perbuatannya adalah iseng dan penasaran atas pernyataan pejabat KPU tentang sistem keamanan IT milik KPU tersebut. Sehingga memang tidak ada niat jahat terhadap tindakannya itu, tetapi tujuannya hanya sekedar mengingatkan saja.
Dalam nota pembelaan yang dibacakannya sendiri, Dani Firmansyah, mengibaratkan situs KPU sebagai rumah yang terbakar. Terdakwa hacker situs KPU itu menyebut tindakannya telah mencegah timbulnya “kebakaran yang lebih besar”. Kebakaran tersebut, ujar Dani, bisa terjadi karena adanya celah keamanan yang tidak ditutup. Dani mengibaratkan aksi hack-nya sebagai tindakan masuk lewat jendela untuk menyelamatkan rumah yang terbakar. Akibat perbuatannya, Dani melanjutkan, KPU kemudian memperbaiki keamanan situs mereka. "Apa yang saya lakukan adalah kontribusi saya sebagai warga negara yang baik," tutur Dani di hadapan Majelis Hakim
Majelis Hakim Pengadilan Negeri Jakarta Pusat yang diketuai Hamdi SH, pada persidangan Kamis 23 Desember 2004, menetapkan vonis 6 bulan 21 hari kepada Dani Firmansyah. Hukuman didasarkan pada UU RI No. 36 Thn. 1999 tentang Telekomunikasi Pasal 22 c jo. Pasal 38 jo Pasal 50 dan Subsider pasal 406 KUHP (Menghancurkan dan merusakkan barang).
Analisa Kasus :
Kasus pembobolan situs KPU yang terjadi pada tahun 2004 merupakan contoh kasus dari Unauthorized Access to Computer System and Service, adalah kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Kejahatan ini terjadi karena lemahnya pengamanan sistem jaringan komputer sehingga para pelaku bisa dengan mudah masuk ke dalam sistem tersebut. Selain lemahnya pengamanan sistem jaringan komputer. Dasar hukum yang dipakai di Indonesia untuk kasus Unauthorized Access to Computer System and Service adalah :
a. Pasal 406 Kitab Undang Undang Hukum Pidana ( KUHP )
Barang siapa dengan sengaja dan melawan hukum menghancurkan, merusakkan, membikin tak dapat dipakai atau menghilangkan barang sesuatu yang seluruhnya atau sebagian milik orang lain, diancam dengan pidana penjara paling lama dua tahun delapan bulan atau pidana denda paling banyak empat ribu lima ratus rupiah.
b. Pasal 30 Undang Undang Informasi dan Transaksi Elektronik tahun 2008
- Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.
- Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.
- Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan melanggar, menerobos, melampaui, atau menjebol sistem pengamanan. (cracking, hacking, illegal access).
c. Pasal 35 Undang Undang Informasi dan Transaksi Elektronik tahun 2008
Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan Informasi Elektronik dan/atau Dokumen Elektronik dengan tujuan agar Informasi Elektronik dan/atau Dokumen Elektronik tersebut dianggap seolah‐olah data yang otentik.
d. Pasal 46 Undang Undang Informasi dan Transaksi Elektronik tahun 2008
- Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (1) dipidana dengan pidana penjara paling lama 6 (enam) tahun dan/atau denda paling banyak Rp.600.000.000,00(enam ratus juta rupiah).
- Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (2) dipidana dengan pidana penjara paling lama 7 (tujuh) tahun dan/atau denda paling banyak Rp.700.000.000,00(tujuh ratus juta rupiah).
- Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 30 ayat (3) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp.800.000.000,00(delapan ratus juta rupiah).