Skenario Hacking Sistem E-Voting – part 02: Attacks of the Trojan

Dalam tulisan sebelumnya, telah didiskusikan kemungkinan serangan atas sistem e-voting menggunakan skenario Denial-of-Service (DoS) (Hapsara, 2011d). Sebuah serangan bergenre DoS yang terdistribusi di ribuan mesin dan yang dikoordinasi untuk menyerang sebuah target primer secara simultan dapat digunakan untuk melumpuhkan bahkan sebuah sistem yang sangat rigid. Jika dalam tataran bisnis virtual, baik e-banking maupun e-commerce, skenario ini menjadi salah satu concern yang menyedot banyak perhatian, maka untuk sebuah sistem yang safety-critical layaknya e-voting (Hapsara, 2011a, 2011b, 2011c), hal tersebut seharusnya menjadi parameter yang menentukan laik-tidak-nya sistem tersebut.

Lebih lanjut, skenario serangan terhadap sistem e-voting dapat pula dilakukan dengan memanfaatkan Trojan. Dalam dunia komputer, istilah Trojan merujuk pada kode program perusak yang disembunyikan dalam data atau program umum. Tidak seperti pada DoS, serangan dengan menggunakan Trojan bertujuan untuk mengambil alih kontrol atas sebuah mesin atau sistem. Setelah itu, Trojan akan mampu melakukan bentuk serangan lain yang lebih merusak, seperti: mencuri password, mengubah data, menjalankan program tertentu, dan lain-lain.

Beberapa skenario penggunaan Trojan telah dilaporkan oleh para peneliti di bidang e-voting. Weldemariam (Weldemariam, Kemmerer, & Villafiorita, 2009), antara lain, menjelaskan 4 (empat) skenario yang dapat digunakan untuk meng-ekspos sistem e-voting buatan ES&S, salah satu pabrikan sistem e-voting yang popular. Perlu diketahui bahwa ES&S menghadirkan fungsi verifikasi VVPAT (Voter-Verified Paper Audit Trail) dimana untuk setiap suara yang diberikan melalui sistem, akan dikeluarkan rekaman suara berupa kertas tercetak. Fungsi ini memberikan kesempatan kepada pemilih untuk memastikan suara yang tercatat dalam sistem adalah yang suara yang diberikan.

  • Changing the vote for an inattentive voter. Adakalanya pemilih tidak menyadari pentingnya fungsi verifikasi. Pemilih dengan karakteristik demikian biasanya melakukan proses pemberian suara secara normal dan setelah selesai tidak memeriksa apakah suara yang ia berikan telah terekam dengan baik dalam sistem. Trojan biasanya disimpan dalam sistem dan diaktivasi untuk: (1)memotong proses penyimpanan suara sesaat sebelum review suara ditampilkan dalam electronic ballot; (2)mengubah nilai suara yang telah diberikan menjadi nilai untuk kandidat lain. Skenario ini mengandalkan kecenderungan inattentive voters mengabaikan nilai suara akhir yang ditampilkan dalam electronic ballot, dan ketidaksesuaian suara pemilih dengan kertas rekaman suara tercetak. Skenario ini akan gagal jika pemilih menyadari ketidaksesuaian tersebut dan memutuskan untuk melakukan pemberian suara ulang. Jika hal ini terjadi, Trojan akan mendeteksi identitas pemilih dan menghentikan proses pengubahan nilai suara untuk sementara. Jika sebaliknya, maka nilai suara yang akan direkam adalah nilai yang telah diubah oleh Trojan. Yang demikian akan sulit untuk dideteksi apabila telah sampai pada proses perhitungan suara hingga akan sangat merugikan sebagaian kandidat. Algoritma serangan dengan skenario demikian lebih jelas digambarkan di bawah.

 Algoritma serangan menggunakan skenario changing the vote for an inattentive voter (Weldemariam, et al., 2009)

Legend: DRE (Direct Recording Electronic), RTAL (Real-Time Audit Log)

  • Changing the vote for a careful voter. Dalam skenario ini, pemilih diasumsikan melakukan proses pemberian suara normal dan mereka cukup berhati-hati dengan juga memperhatikan review yang ditampilkan dalam electronic ballot. Kelemahan yang diserang disini adalah kekurangmengertian pemilih tentang informasi yang disampaikan dalam kertas rekaman suara tercetak. Untuk itu, pengubahan nilai suara tidak dilakukan sebelum review nilai suara dalam electronic ballot melainkan sesudahnya. Ketidaksesuaian terjadi antara nilai suara yang di-review dengan kertas rekaman suara tercetak. Sama dengan yang terjadi dalam skenario sebelumnya, jika tidak perubahan nilai suara tidak terdeteksi sejak dini, maka suara tersebutlah yang akan ditabulasikan.
  • Canceling/completing the vote for a fleeing voter. Harus diakui bahwa penggunaan electronic ballot dalam proses pemungutan suara dapat menyebabkan ketidaknyamanan bagi sebagian pemilih. Hal ini dapat terjadi salah satunya akibat dipengaruhi kebiasaan dalam menggunakan paper ballot. Proses pemberian suara menggunakan electronic ballot yang berbelit-belit, keharusan untuk menunggu review nilai suara yang diberikan; menyebabkan sebagian pemilih memilih untuk tidak menyelesaikan proses pemberian suara. Pemilih yang demikian disebut sebagai fleeing voters, dan skenario ini memanfaat tipe pemilih ini. Perlu diketahui bahwa ES&S memiliki fitur alarm untuk memberitahu petugas di TPS bila seorang pemilih tidak menyelesaikan proses pemberian suaranya. Trojan dapat melakukan 2 (dua) hal disini: (1)jika pemilih memilih kandidat yang tidak diinginkan, membiarkan alarm berbunyi agar petugas TPS mengetahui proses pemberiaan suara belum selesai dan membuang suara yang belum dikonfirmasi; atau (2)jika pemilih memilih kandidat yang diinginkan, menghentikan alarm dan menyelesaikan proses pemberian suara hingga suara terekam.
  • Faking a fleeing voter to cancel a vote. Jika di skenario sebelumnya, serangan dilakukan dengan memanfaatkan fleeing voters, dalam skenario ini Trojan “memalsukan” fleeing voters. Pemilih yang memilih kandidat yang tidak diinginkan dan  telah melakukan pemberian suara normal akan disodorkan tampilan dalam electronic ballot yang menunjukkan bahwa seolah-olah suara mereka telah terekam. Sesungguhnya Trojan menahan suara pemilih tersebut hingga setelah pemilih meninggalkan TPS, Trojan akan mengaktivasi alarm. Petugas TPS akan menyangka bahwa pemilih tersebut adalah fleeing voter dan membuang suara yang belum dikonfirmasi tersebut. Algoritma untuk skenario ini digambarkan di bawah.

Algoritma serangan menggunakan skenario faking a fleeing voter to cancel a vote (Weldemariam, et al., 2009)

Empat buah skenario tersebut hanyalah sedikit dari puluhan skenario serangan terhadap sistem e-voting dengan memanfaatkan Trojan. Belum lagi bentuk-bentuk serangan yang berbasiskan perangkat keras yang telah banyak disenarai oleh para ahli e-voting sedunia. Pertanyaannya adalah, “Apakah kita masih berpikir bahwa penerapan e-voting akan sama mudahnya dengan penerapan e-banking ataupun e-commerce? Ataukah kita akan melakukan assessment yang hati-hati dan menyeluruh sebelum memutuskan untuk mendukung penerapan e-voting?”.

Jawabannya ada pada diri kita masing-masing. Terbungkus rapi bersama resikonya.

Referensi

Hapsara, M. (2011a). E-Voting bukanlah E-Banking ataupun E-Commerce. E-Voting Indonesia, 2011, from https://evotingindonesia.wordpress.com/2011/03/25/e-voting-bukanlah-e-banking-commerce/

Hapsara, M. (2011b). Imposing Transparency in Indonesia’s E-Voting System through Security by Design. Paper presented at the E-Indonesia Initiative, Bandung, Indonesia.

Hapsara, M. (2011c). Should We put Our Live in the Hand of Internet Voting? E-Voting Indonesia, from https://evotingindonesia.wordpress.com/2011/04/01/should-we-put-our-live-in-the-hand-of-internet-voting/

Hapsara, M. (2011d). Skenario Hacking Sistem E-voting – part 01: Denial of Service Attack. E-Voting Indonesia, from https://evotingindonesia.wordpress.com/2011/06/03/denial-of-service-e-voting/

Weldemariam, K., Kemmerer, R. A., & Villafiorita, A. (2009). Formal Analysis of Attacks for E-Voting System.

=====================================================

Disclaimer:

Anda diijinkan untuk mengunduh, menyalin, mengutip, medistribusikan artikel ini secara cuma-cuma dengan syarat mencantumkan e-voting indonesia sebagai sumber rujukan. Untuk korespondensi hubungi:

evotingindonesia@gmail.com

Author profile:

Manik Hapsara, Ph.D. – E-Voting Indonesia (kompasianamultiply)

=====================================================

Advertisements

Skenario Hacking Sistem E-Voting: Denial-of-Service Attack – part 01

E-voting sebagai sebuah sistem pemilihan umum memiliki implikasi yang kuat dalam kehidupan negara yang menerapkannya (Hapsara, 2011a2011b) sehingga digolongkan dalam Safety Critical System(McGaley & Gibson, 2003). Kelemahan dalam sebuah sistem e-voting sangat mungkin diekspos untuk menciptakan ketidak-percayaan masyarakat terhadap proses dan hasil pemilihan, yang dapat berujung pada pemilihan ulang. Ketidak-percayaan masyarakat yang berkelanjutan pada akhirnya dapat mempengaruhi stabilitas politik, ekonomi, dan sosial bangsa, dan membahayakan jalannya negara dan keselamatan rakyat.

Harus disadari bahwa kelemahan sistem e-voting berasal dari teknologi yang mendasarinya, internet. Internet adalah sebuah sistem yang sangat rentan terhadap serangan keamanan. Kerentanan ini besifat fundamental dan merupakan karakteristik yang datang bersama desain dari internet itu sendiri. Lebih penting lagi, lubang-lubang keamanan tersebut telah menjadi rahasia umum yang diketahui seluruh dunia. Hingga tidak berlebihan jika para ahli dan peneliti keamanan jaringan masih mempertanyakan reliabilitas e-voting, terlebih mengingat pentingnya sistem tersebut sebagaimana dijelaskan di atas.

“A secure internet voting system is theoretically possible, but it would be the firs secure networked application ever created in the history of computers.”

Bruce Schneier, founder of Counterpane Internet Security Inc.

[dikutip dari (Mercuri, 2002)]

Sedemikian rentan internet, hingga teknik dan prosedur ekploitasi kelemahannya tersebar di dalam jaringannya sendiri, adalah sebuah ironi yang menyedihkan. Denial-of-Service (DoS) attack, misalnya, informasi dan tutorial tentang jenis serangan ini tersedia lengkap di www.hackerstorm.com hinggawww.binushacker.net. Siapapun dapat mengakses informasi tersebut dan mempelajarinya secara cuma-cuma, dan lebih jauh lagi mempraktekkannya. Padahal DoS adalah salah satu jenis serangan atas jaringan yang terhubung dengan internet yang paling mematikan. Serangan DoS yang terkoordinir dengan baik dapat melumpuhkan bahkan sistem keamanan yang sangat rigid.

Denial-of-Service attacks pada dasarnya adalah serangan atas suatu sistem dengan tujuan memperlambat secara signifikan performa sistem tersebut, atau lebih buruk lagi berusaha untuk membuat sistem tersebut tidak berfungsi dengan cara memberi beban kerja yang terlalu besar. Peretas yang menggunakan teknik ini biasanya tidak berniat untuk memperoleh akses kedalam maupun kontrol atas sistem yang diserang, melainkan untuk mencegah (para) pengguna yang lain (legitimate user(s)) menggunakan sistem tersebut. Mereka melakukan ini dengan: (1)membanjiri (flood) sebuah jaringan sedemikian sehingga legitimate network traffic-nya terganggu; atau (2)merusak koneksi antar mesin sedemikian sehingga layanan yang diberikan oleh satu mesin tidak dapat diakses oleh mesin yang lain, atau sebuah mesin tidak dapat mengakses layanan yang diberikan oleh mesin manapun.

Bila DoS dilakukan oleh, bukan hanya 1 (satu) atau beberapa, mesin dalam jumlah yang sangat banyak yang dikoordinir sedemikian rupa, maka serangan DoS akan menjadi sangat mematikan. Dalam skenario Distributed DoS tersebut, terdapat 2 (dua) jenis korban: Primer, dan Sekunder. Korban Primer adalah target utama serangan, sedangkan korban Sekunder adalah sistem-sistem atau mesin-mesin yang ‘dikompromikan’ sedemikian sehingga peretas dapat menggunakan mereka untuk melancarkan serangan kepada korban Primer secara tidak langsung. Skenario demikian mempersulit proses deteksi serangan karena berasal dari banyak alamat IP.

Serangan DDoS diawali dengan menemukan dan secara sistematis memanfaatkan kerentanan ribuan sistem yang terhubung internet. Sekali DDoS dilancarkan maka akan sangat sulit menghentikan serangannya karena besarnya volume serangan. Penggunaan firewall mungkin dapat membantu menahan masuknya paket serangan kedalam sistem yang diserang, namun hal ini akan tetap mempengaruhi network traffic terutama di sisi penerima, sehingga legitimate users tidak dapat mengakses layanan yang seharusnya diberikan oleh sistem yang diserang. Usaha untuk melacak peretas juga akan sangat sulit, terlebih bila peretas melakukan spoofing atas paket serangan yang dikirim yang berarti alamat IP sumber serangan telah dirubah.

the internet is not safe for elections, due to its vast potential for disruption by viruses, denial-of-service flooding, spoofing, and other commonplace malicious intervention”

Peter Neumann, SRI International’s Computer Science Laboratory

[dikutip dari (Mercuri, 2002)]

Berikutnya, bayangkan jika scenario DDoS ini berhasil meretas usulan sistem e-voting untuk pemilihan presiden Indonesia 2014 nanti. Serangan dapat diinisiasi oleh siapapun: mulai dari kandidat presiden hingga teroris; mulai dari negara super power hingga komunitas peretas amatir. Pihak-pihak dengan dukungan finansial dan teknologi yang kuat, misalnya, dapat ‘membeli’ jasa beberapa peretas untuk mengganggu sistem e-voting Indonesia. Dari 3000 TPS di seluruh Indonesia, pihak tersebut dapat meminta para peretas untuk melakukan DDoS atas beberapa server yang menangani data pemilihan dari 50 TPS. Dengan bantuan media masa, 50 TPS tersebut dapat ‘terlihat’ sebagai 500 TPS. Hal demikian dapat memicu hilangnya kepercayaan masyarakat (loss of public confidence) atas sistem pemilihan dan hasilnya. Artinya, sangat mungkin muncul aspirasi untuk dilakukannya pemilihan ulang, yang berujung pada pembengkakan biaya dan perpanjangan waktu pemilu. Bila hal ini terjadi berulang-ulang, maka sangat mungkin terjadi political, economic and social unrest yang dapat membahayakan negara dan keselamatan rakyat. Pada akhirnya, teroris dengan tujuan menciptakan ketidakstabilan politik dan ekonomi; negara lain dengan tujuan menguasai Indonesia melalui pemerintah boneka; atau komunitas peretas amatir yang berpikir naïf bahwa nama mereka akan dikenang bila melakukan hal tersebut; siapapun itu, Indonesia selalu berada dalam pihak yang kalah. (Manik Hapsara)

Referensi

Hapsara, M. (2011a). E-Voting bukanlah E-Banking ataupun E-Commerce. E-Voting Indonesia, 2011, from https://evotingindonesia.wordpress.com/2011/03/25/e-voting-bukanlah-e-banking-commerce/

Hapsara, M. (2011b). Should We put Our Live in the Hand of Internet Voting? E-Voting Indonesia, fromhttps://evotingindonesia.wordpress.com/2011/04/01/should-we-put-our-live-in-the-hand-of-internet-voting/

McGaley, M., & Gibson, J. P. (2003). Electronic Voting: A Safety Critical System.

Mercuri, R. (2002). A Better Ballot Box? In S. M. Cherry (Ed.), IEEE Spectrum (pp. 46-50).

=====================================================

Disclaimer:

Anda diijinkan untuk mengunduh, menyalin, mengutip, medistribusikan artikel ini secara cuma-cuma dengan syarat mencantumkan e-voting indonesia sebagai sumber rujukan. Untuk korespondensi hubungi:

evotingindonesia@gmail.com

Author profile:

Manik Hapsara, Ph.D. – E-Voting Indonesia (kompasianamultiply)

=====================================================