Skenario Hacking Sistem E-Voting: Denial-of-Service Attack – part 01

E-voting sebagai sebuah sistem pemilihan umum memiliki implikasi yang kuat dalam kehidupan negara yang menerapkannya (Hapsara, 2011a2011b) sehingga digolongkan dalam Safety Critical System(McGaley & Gibson, 2003). Kelemahan dalam sebuah sistem e-voting sangat mungkin diekspos untuk menciptakan ketidak-percayaan masyarakat terhadap proses dan hasil pemilihan, yang dapat berujung pada pemilihan ulang. Ketidak-percayaan masyarakat yang berkelanjutan pada akhirnya dapat mempengaruhi stabilitas politik, ekonomi, dan sosial bangsa, dan membahayakan jalannya negara dan keselamatan rakyat.

Harus disadari bahwa kelemahan sistem e-voting berasal dari teknologi yang mendasarinya, internet. Internet adalah sebuah sistem yang sangat rentan terhadap serangan keamanan. Kerentanan ini besifat fundamental dan merupakan karakteristik yang datang bersama desain dari internet itu sendiri. Lebih penting lagi, lubang-lubang keamanan tersebut telah menjadi rahasia umum yang diketahui seluruh dunia. Hingga tidak berlebihan jika para ahli dan peneliti keamanan jaringan masih mempertanyakan reliabilitas e-voting, terlebih mengingat pentingnya sistem tersebut sebagaimana dijelaskan di atas.

“A secure internet voting system is theoretically possible, but it would be the firs secure networked application ever created in the history of computers.”

Bruce Schneier, founder of Counterpane Internet Security Inc.

[dikutip dari (Mercuri, 2002)]

Sedemikian rentan internet, hingga teknik dan prosedur ekploitasi kelemahannya tersebar di dalam jaringannya sendiri, adalah sebuah ironi yang menyedihkan. Denial-of-Service (DoS) attack, misalnya, informasi dan tutorial tentang jenis serangan ini tersedia lengkap di www.hackerstorm.com hinggawww.binushacker.net. Siapapun dapat mengakses informasi tersebut dan mempelajarinya secara cuma-cuma, dan lebih jauh lagi mempraktekkannya. Padahal DoS adalah salah satu jenis serangan atas jaringan yang terhubung dengan internet yang paling mematikan. Serangan DoS yang terkoordinir dengan baik dapat melumpuhkan bahkan sistem keamanan yang sangat rigid.

Denial-of-Service attacks pada dasarnya adalah serangan atas suatu sistem dengan tujuan memperlambat secara signifikan performa sistem tersebut, atau lebih buruk lagi berusaha untuk membuat sistem tersebut tidak berfungsi dengan cara memberi beban kerja yang terlalu besar. Peretas yang menggunakan teknik ini biasanya tidak berniat untuk memperoleh akses kedalam maupun kontrol atas sistem yang diserang, melainkan untuk mencegah (para) pengguna yang lain (legitimate user(s)) menggunakan sistem tersebut. Mereka melakukan ini dengan: (1)membanjiri (flood) sebuah jaringan sedemikian sehingga legitimate network traffic-nya terganggu; atau (2)merusak koneksi antar mesin sedemikian sehingga layanan yang diberikan oleh satu mesin tidak dapat diakses oleh mesin yang lain, atau sebuah mesin tidak dapat mengakses layanan yang diberikan oleh mesin manapun.

Bila DoS dilakukan oleh, bukan hanya 1 (satu) atau beberapa, mesin dalam jumlah yang sangat banyak yang dikoordinir sedemikian rupa, maka serangan DoS akan menjadi sangat mematikan. Dalam skenario Distributed DoS tersebut, terdapat 2 (dua) jenis korban: Primer, dan Sekunder. Korban Primer adalah target utama serangan, sedangkan korban Sekunder adalah sistem-sistem atau mesin-mesin yang ‘dikompromikan’ sedemikian sehingga peretas dapat menggunakan mereka untuk melancarkan serangan kepada korban Primer secara tidak langsung. Skenario demikian mempersulit proses deteksi serangan karena berasal dari banyak alamat IP.

Serangan DDoS diawali dengan menemukan dan secara sistematis memanfaatkan kerentanan ribuan sistem yang terhubung internet. Sekali DDoS dilancarkan maka akan sangat sulit menghentikan serangannya karena besarnya volume serangan. Penggunaan firewall mungkin dapat membantu menahan masuknya paket serangan kedalam sistem yang diserang, namun hal ini akan tetap mempengaruhi network traffic terutama di sisi penerima, sehingga legitimate users tidak dapat mengakses layanan yang seharusnya diberikan oleh sistem yang diserang. Usaha untuk melacak peretas juga akan sangat sulit, terlebih bila peretas melakukan spoofing atas paket serangan yang dikirim yang berarti alamat IP sumber serangan telah dirubah.

the internet is not safe for elections, due to its vast potential for disruption by viruses, denial-of-service flooding, spoofing, and other commonplace malicious intervention”

Peter Neumann, SRI International’s Computer Science Laboratory

[dikutip dari (Mercuri, 2002)]

Berikutnya, bayangkan jika scenario DDoS ini berhasil meretas usulan sistem e-voting untuk pemilihan presiden Indonesia 2014 nanti. Serangan dapat diinisiasi oleh siapapun: mulai dari kandidat presiden hingga teroris; mulai dari negara super power hingga komunitas peretas amatir. Pihak-pihak dengan dukungan finansial dan teknologi yang kuat, misalnya, dapat ‘membeli’ jasa beberapa peretas untuk mengganggu sistem e-voting Indonesia. Dari 3000 TPS di seluruh Indonesia, pihak tersebut dapat meminta para peretas untuk melakukan DDoS atas beberapa server yang menangani data pemilihan dari 50 TPS. Dengan bantuan media masa, 50 TPS tersebut dapat ‘terlihat’ sebagai 500 TPS. Hal demikian dapat memicu hilangnya kepercayaan masyarakat (loss of public confidence) atas sistem pemilihan dan hasilnya. Artinya, sangat mungkin muncul aspirasi untuk dilakukannya pemilihan ulang, yang berujung pada pembengkakan biaya dan perpanjangan waktu pemilu. Bila hal ini terjadi berulang-ulang, maka sangat mungkin terjadi political, economic and social unrest yang dapat membahayakan negara dan keselamatan rakyat. Pada akhirnya, teroris dengan tujuan menciptakan ketidakstabilan politik dan ekonomi; negara lain dengan tujuan menguasai Indonesia melalui pemerintah boneka; atau komunitas peretas amatir yang berpikir naïf bahwa nama mereka akan dikenang bila melakukan hal tersebut; siapapun itu, Indonesia selalu berada dalam pihak yang kalah. (Manik Hapsara)

Referensi

Hapsara, M. (2011a). E-Voting bukanlah E-Banking ataupun E-Commerce. E-Voting Indonesia, 2011, from https://evotingindonesia.wordpress.com/2011/03/25/e-voting-bukanlah-e-banking-commerce/

Hapsara, M. (2011b). Should We put Our Live in the Hand of Internet Voting? E-Voting Indonesia, fromhttps://evotingindonesia.wordpress.com/2011/04/01/should-we-put-our-live-in-the-hand-of-internet-voting/

McGaley, M., & Gibson, J. P. (2003). Electronic Voting: A Safety Critical System.

Mercuri, R. (2002). A Better Ballot Box? In S. M. Cherry (Ed.), IEEE Spectrum (pp. 46-50).

=====================================================

Disclaimer:

Anda diijinkan untuk mengunduh, menyalin, mengutip, medistribusikan artikel ini secara cuma-cuma dengan syarat mencantumkan e-voting indonesia sebagai sumber rujukan. Untuk korespondensi hubungi:

evotingindonesia@gmail.com

Author profile:

Manik Hapsara, Ph.D. – E-Voting Indonesia (kompasianamultiply)

=====================================================

Advertisements

Author: Manik Hapsara

E-Voting Researcher University of New South Wales Canberra

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

w

Connecting to %s