Curhat Hacker Tentang Keamanan KPU Dan Pilpres 2014

Assalamu'alaikum, sebelumya ane mau ucapkan selamat hari raya idul fitri, semoga pintu maaf dibukakan sebesar-besarnya. oke langsung aja gan. ini seorang hacker yang lagi curhat mengenai begitu lemahnya sistem keamanan KPU di bobol. selengkapnya simak dibawah ini.

Perkenalkan. Nama saya A. Tanpa nama belakang.
Saya lahir di Indonesia. Sebagai CEH, profesi saya konsultan keamanan jaringan komputer.
Baru tahun ini saya mengikuti berita-berita dan ikut memilih di Pemilu Presiden Indonesia.
Hari ini 23 Juli 2014. Saya membaca berbagai tulisan orang. Banyak yang bertanya: Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil?
Saya mungkin punya jawabannya. Mungkin. Tulisan saya mungkin menjawab pertanyaan. Mungkin juga malah membuka banyak pertanyaan baru.
Namun sebelumnya mohon maaf. Saya bukan penulis. Mohon maaf jika bahasa saya kurang baik. Saya coba sampaikan dengan singkat dan efektif.
Tulisan ini saya tujukan untuk anda-anda yang penasaran.
Juga untuk calon presiden terpilih, pak Jokowi. Agar nanti sistem IT Pemilu 2019 bisa lebih baik dari sekarang. Agar tidak ada lagi yang teriak curang.
Juga untuk calon presiden tidak terpilih, pak Prabowo. Karena anda pasti penasaran. Juga untuk presiden sekarang, pak SBY. Siapa tahu, bapak juga penasaran.
Juga untuk para perancang dan admin sistem IT Pemilu 2014: Raden Santoso, Nanang Indra, Utian Ayuba, Andy Nugroho, Yoga Dahirsa, Muhammad Hafidz dkk.
Tentunya juga untuk pada anggota KPU: Husni Kamil Malik, Ferry Kurnia Rizkiyansyah, Ida Budhiati, Sugit Pamungkas dkk.

Anggap saja ini sumbangan saya. Untuk bahan pelajaran bersama. Agar Indonesia lebih aman. Indonesia hebat. Indonesia bangkit.

7 April 2014
Di 7 April 2014. Saya mengamati ada fenomena menarik.
Hacker dan cracker juga punya hak pilih. Punya hak berpolitik. Juga punya hak berkampanye mendukung nomor satu atau nomor dua.
Begitu besar semangat para hacker dan cracker dalam Pemilu Presiden 2014 ini. Sebagian besar dukung nomor dua. Walau juga ada yang dukung nomor satu.
Ini kesimpulan saya setelah melihat begitu banyak iklan capres di Google dan YouTube. Iklan yang baik-baik saja. Juga iklan yang tidak baik-baik saja.
Padahal tidak boleh ada iklan capres di kedua situs ini. Google melarang iklan politik di Indonesia. Dalam bentuk apapun. Namun...
Mereka pasti menyadari kemampuan Google dalam menyaring dan memblokir iklan terbatas. Celah ini yang diekploitasi.

Ada juga yang begitu bersemangat, banyak situs orang diretas, diubah jadi halaman untuk promosi atau menjelekkan yang tidak didukungnya.
Mereka berusaha untuk mempengaruhi persepsi. Persepsi mempengaruhi hasil.
Usaha mereka membuat saya bertanya. Selain menyebarkan informasi untuk mempengaruhi presepsi, apa lagi yang bisa mereka lakukan?
Dapatkan hacker dan cracker simpatisan capres meretas sistem IT KPU? Dan mempengaruhi hasil secara langsung? Saya mencobanya.

Celah Keamanan # 1: Email Anggota KPU
Untuk memahami bagaimana cara kerja sistem IT KPU saya perlu informasi dari dalam. Saya mulai dari mencari alamat email anggota-anggota KPU.


Saya menemukan dokumen ini semua alamat email komisioner KPU yang aktif digunakan ada di dokumen ini. Enam dari tujuh menggunakan email gratisan.
Saya jadi bertanya. Mengatur pemilu bukan pekerjaan main-main. Kenapa gunakan email gratisan yang mudah diretas? Apa mungkin disengaja?
Ferry Kurnia sepertinya adalah yang paling muda dari tujuh anggota KPU. Biasanya yang paling muda adalah yang paling terlibat untuk urusan IT.
Saya kirimkan satu email phishing ke Ferry. Tidak sampai dua jam, saya sudah bisa akses dan membaca semua email yang pernah diterima dan dikirimkan.
Apa yang saya temukan membuat saya bingung. Saya yakin para anggota KPU, dan para perancang sistem IT KPU bukan orang sembarangan.
Namun mereka seperti membuat semuanya begitu mudah untuk seorang yang punya niat seperti saya untuk masuk ke sistem IT KPU.

Celah Keamanan # 2: Berkirim Username dan Password di Email
Hal pertama yang saya lakukan ketika membuka boks email salah satu anggota KPU adalah mencari kata "password". Saya sungguh terkejut.
Saya langsung dapat password ke SILOG. Sistem Logistik.


Saya juga dapat password ke Dropbox yang dipakai untuk simpan copy data pemilih seluruh Indonesia.



Dapat juga password ke sistem real count KPU. Ya. Ternyata KPU memiliki sistem real count yang entah mengapa tidak ditampilkan di websitenya sehingga publik harus menghitung sendiri seperti di website kawalpemilu.org.


Dapat juga password untuk mengelola website KPU. Dapat juga password untuk SIDALIH, sistem data pemilih. Dapat juga password untuk banyak sistem lainnya.
Ini juga membuat saya bingung. Berbagai password dikirimkan begitu saja oleh admin melalui email. Apakah ingin memudahkan hacker untuk masuk sistem?
Catatan: Banyak password di screenshot ini masih digunakan... Jadinya saya hidden ya... Maaf kalau jadi penasaran.

Celah Keamanan # 3: Ada Google Docs Daftar Username dan Password
Betapa terkejutnya saya. Email ini benar-benar di luar logika dan cara berpikir saya. Saya temukan satu email yang dikirimkan oleh admin sistem IT KPU kepada semua anggota KPU. Isinya GOOGLE DOCS dengan daftar semua password sistem IT KPU.
Saya jadi benar-benar curiga, para admin dan anggota KPU memang ingin memudahkan hacker dan cracker untuk masuk ke sistem IT KPU.
Apalagi...

Celah Keamanan # 4: Pola Password Mudah Ditebak
Sebagai contoh, ini password SSH ke website KPU yang pernah digunakan: 4dm1n80njol@w1w1k. Username: kpuadmin.
Password root shell/MySQL: m3rd3k41945!
Banyak password sistem IT KPU menggunakan pola yang sama. Apakah agar mudah diingat... Atau agar mudah diretas. Maaf jika saya berpikir yang tidak-tidak, karena saya dilatih untuk mencermati pola.

Celah Keamanan # 5: Semua Anggota KPU Bisa Edit Daftar Pemilih Sesuka Hati
Ini adalah Sistem Data Pemilih (SIDALIH) KPU. Dengan sistem ini KPU mengatur nama-nama yang masuk ke Daftar Pemilih Sementara (DPS) dan Daftar Pemilih Tetap (DPT).






Penambahan atau pengurangan nama-nama pemilih dapat dilakukan dari sistem ini. Ini krusial karena di Indonesia pemilih dapat memilih cukup berbekal undangan tanpa perlu KTP.


Saya orang awam. Namun jadi pertanyaan besar untuk saya. Jika mau aman: Kenapa semua anggota KPU bisa edit DPT sesuka hati? Kenapa akses yang diberikan oleh admin tidak hanya read only?

Keputusan hak edit ini, tentu saja keputusan disengaja, tidak mungkin kecelakaan, memberikan kewenangan sangat besar untuk setiap anggota KPU untuk bermain dengan jumlah pemilih. Mengurangi atau menambahkan.
Bisa saja jika ada anggota KPU yang komunikasi dengan tim sukses calon presiden tertentu, atau jika ada hacker atau cracker pendukung calon presiden tertentu yang masuk ke sistem seperti saya... Bisa saja menambahkan pemilih baru... atau mengurangi pemilih di daerah-daerah tertentu.

Mereka yang belum bisa memilih, bisa diberikan hak untuk memilih. Mereka yang diketahui akan memilih calon tertentu, bisa dicabut hak memilihnya... Dengan mudah. Sangat mudah.
Apalagi untuk setiap entri... Tidak ada info atau log secara terbuka, siapa yang terakhir melakukan edit apalagi edit history.
Celah yang membahagiakan... Bagi siapapun yang punya niat tidak baik.

Celah Keamanan # 6: Semua Anggota KPU Bisa Edit Jumlah Pengiriman Kertas Suara Sesuka Hati
Sistem Logistik (SILOG) KPU. Dengan sistem ini KPU mengatur distribusi surat suara ke semua daerah / TPS. Penambahan atau pengurangan pengiriman kertas suara dapat dilakukan dari sistem ini.




Pertanyaan saya mengenai SILOG ini sama dengan SIDALIH.
Saya orang awam. Namun jadi pertanyaan besar untuk saya. Jika mau aman: Kenapa semua anggota KPU bisa edit logistik pemilu seperti kertas suara sesuka hati? Kenapa akses yang diberikan oleh admin tidak hanya read only?
Maaf kalau ini seperti mengulang. Keputusan ini, tentu saja keputusan disengaja, tidak mungkin kecelakaan, memberikan kewenangan sangat besar untuk setiap anggota KPU untuk bermain dengan jumlah kertas suara.
Bisa saja jika ada anggota KPU yang komunikasi dengan tim sukses calon presiden tertentu, atau jika ada hacker atau cracker pendukung calon presiden tertentu yang masuk ke sistem seperti saya... Bisa saja mengirimkan kertas suara lebih ke daerah-daerah tertentu. Sangat mudah.
Apalagi seperti di SIDALIH... Untuk setiap entri... Tidak ada info atau log secara terbuka, siapa yang terakhir melakukan edit apalagi edit history.

Apresiasi: Sistem Scan Formulir C1




Dalam membuat tulisan ini, saya merasa saya harus adil. Jika ada celah keamanan, saya sampaikan. Jika ada best practice yang dilakukan, saya apresiasi.
Sistem scan formulir C1 yang dibuat oleh tim KPU menurut saya sangat bagus. Antarmuka aplikasi didesain sederhana, tidak banyak isian. Ini pastinya membantu meningkatkan penggunaan sistem.
Presentasi C1 di web pilpres2014.kpu.go.id juga bagus. Sederhana dan mudah digunakan oleh siapapun.

Pengelolaan C1 ini membuat persepsi kalau pemilu berlangsung dengan jujur dan adil. Hampir tidak mungkin mempengaruhi hasil pemilu jika scan C1 sudah terkumpul semua di server KPU.
Namun saya punya pertanyaan. Pertanyaan cukup besar. Admin membuat aplikasi real count, khusus untuk pada anggota KPU di alamat http://103.21.228.33/internal - kenapa data ini tidak dibuka ke publik?
Kenapa memaksa publik untuk melakukan gotong royong entri data dari ratusan ribu formulir C1? Padahal real count nya sudah ada...
Sekedar pertanyaan selewat saja. Mungkin ada penilaian sendiri...

Kesimpulan
Kembali ke pertanyaan awal: Apakah Pemilu Presiden 2014 berlangsung dengan jujur dan adil?
Saya tidak tahu. Terlalu banyak daerah, terlalu banyak TPS, terlalu banyak nama pemilih untuk dapat mengetahui permainan dengan SILOG atau SIDALIH.
Namun dua hal yang pasti. Pertama: Siapapun yang bisa punya akses ke SILOG dan SIDALIH dan punya niat untuk memenangkan calon nomor satu atau nomor dua, terutama sebelum bulan Mei 2014, dan punya kemampuan koordinasi dengan tim sukses di lapangan (TPS TPS, desa-desa mana saja yang perlu dilebihkan kertas suara... Nama-nama apa saja yang perlu ditambahkan atau dikurangi dari sistem) dapat sangat mempengaruhi hasil Pemilu Presiden 2014.

Kedua: Sama sekali tidak sulit untuk mengakses semua sistem IT KPU. Malah saya curiga... Seperti dibuat begitu mudah bagi hacker dan cracker yang ingin masuk. Ada apa?
Semoga bukan kenapa-kenapa. Semoga celah-celah keamanan yang saya tulis disini... Adalah kesalahan yang tidak disengaja.
Karena siapa yang punya akses ke sistem IT KPU... Bisa mempengaruhi siapa yang terpilih jadi presiden.

Presiden yang punya kuasa akan negara 250 juta penduduk. Anggaran 2.000 triliun. 600.000 tentara. Perputaran uang hampir 10.000 triliun.
Karena kalau memang disengaja...
Sangat mudah... Bisa ada ratusan... Ribuan... Mungkin jutaan pemilih "baru". Hasil kreasi dari mereka yang punya akses ke SIDALIH.
Bisa juga ada ratusan... Ribuan... Mungkin jutaan kertas suara yang "kebetulan lebih". Hasil kreasi dari mereka yang punya akses ke SILOG.
Maaf jika tulisan ini jadi menimbulkan pertanyaan baru.
Demikian tulisan saya. Semoga ini bermanfaat.
A.

Catatan kaki: Saya seorang hacker. Bukan cracker. Saya melakukan audit ini karena penasaran. Bukan karena ada niat tidak baik.

Namun undang-undang Indonesia tidak membedakan. Untuk menghindari kemungkinan pidana...

Siapapun Presidennya tetap bersatu den, jangan terpecah belah, Tetap jaga NKRI

Spoiler: sumbernya disini den

http://audit-kpu.blogspot.com/2014/07/security-audit-sistem-it-kpu-pilpres.html

ini ada

Spoiler: sanggahan dari

http://antifaker.wordpress.com/2014/07/24/fitnah-tak-ada-logika/

ini diambil dari cache karena sumber sudah dihapus oleh author blog tersebut.

Spoiler: baca lengkap

Verifikasi Lagi Fitnah ke KPU- blog dadakan Audit KPU- Ternyata FITNAH KACANGAN
Sudah membaca website ini?

http://audit-kpu.blogspot.com/2014/07/security-audit-sistem-it-kpu-pilpres.html


Review nyasar system KPU

Yang menjelaskan mengenai system KPU (Entah KPU yang dimaksud itu Komisi Pemilihan Umum atau KOMISI PENIPUAN ULUNG) hahahaha, satu lagi fitnah yang disebarkan untuk kalangan BODOH yang dikiranya akan mempan ke kita-kita guys saya jelaskan step by step ya



Ke 1. system yang ditampilan BUKAN syste KPU walaupun ada screenshotnya, saya jamin mata yang biasa bermain Photoshop akan mengetahuinya.




Di tim elite IT KPU hanya 1 yang bernama Dion, dan itu adalah koordinator di tim Perisai bangsa (Admin Ke 2 AFI)

Jelas fitnah ini memang ditujunkukan untuk menggunakan 1 batu untuk melempar 2 burung (semoga itu burungnya bang Ahmad Dani dan Pak Fadli Zon) mereka memaksudkan Dion diatas adalah mungkin koordinator tim AFI (Dion Kartasasmita Skom) saya check Google docs yang dimaksud, dan ternyata lagi-lagi, akun google docs tersebut baru dibuat ini kecerobohan dari fitnah yang mereka lontarkan, dan selalu dilakukan berulang-ulang apa ini KEBODOHAN atau KETERBELAKANGAN MENTAL? hehehehehehe, bagaimana mungkin (salah satu bagian dari system rekap KPU) sebuah system yang digunakan pada saat pilpres baru dibuat SETELAH PILPRES BERLANGSUNG?

Ke 2. System Rekap KPU.

perhatikan gambar ini?


Perhatiikan ini? jika anda biasa bermain photoshop, sekali melihat anda dapat melihat, bagaimana sang penulis A sang anonymous Indonesia membuat trik ini

Hehehehe sungguh BAHAN BUKTI kelas teri, disini kami menemukan banyak kejanggalan, anda bisa perhatikan garis di bawah address bar yang merupakan sambungan yang tidak rapi, dan sangat terlihat, lagipula, system di web KPU sudah TIDAK PERNAH menggunakan system ini seperti yang digambarkan, seperti yang teman-teman tau kami adalah relawan netral yang membangun pengaman system di KPU bukan?

Ke3. Passowrd dan login.
HARE GENE PAKAI PASSWORD DAN LOGIN ID? wah wah wah, anda ketinggalan jaman sekali petugas IT KPU yang bertugas sudah tidak pakai ID san passowrd bung, kami menggunakan micro chip di kartu identitas kami masing2 anda ketinggalan jaman sekali rupanya

Ke3. Jumlah pemilih dan penjelasan tidak memakai KTP.
Jumlah pemilih disystem KPU sejak awal sebelum pemilihan umum SUDAH DI ENTRY dan bahkan TIDAK DAPAT DI EDIT OLEH SIAPAPUN SETELAH DI SUBMIT, hal ini adalah untuk memperkecil kemungkinan penggelembungan suara (hal ini sudah pernah saya jelaskan ke Ketua kami (bpk Sofyan Wanandi) jadi sebenarnya ISU PENGGELEMBUNGAN SUARA adalah FITNAH apalagi dibumbui dengan isu HACKER KOREA dan CHINA yang memalsukan data C1, hahahahaha.


wahahahaha, kami tertawa melihat system KPU ciptaan penulis bernama A.



Soal diatas kami tak perlu mejelaskan ya teman-teman cukup perhatikan saja lambang KPU, dan garis2 kasar di sisinya EDITAN KACANGAN




Lelucon yang sangat ANEH

Anda ingin tau sumber ilustrasi yang di edit di atas?

cek ini : http://herisuryono.wordpress.com/2014/07/10/sistem-hitung-pilpres-kpu/

Ke 4. IP yang dituliskan: 103.21.228.33 INVALID, alias IP ASAL-ASALAN.

COBA KLIK DISINI buktikan apakah IP ini VALID?
http://103.21.228.33/internal

karena pihak teman kami di IT KPU mengatakan IP tersebut hanya digunakan untuk sandbox dan pengetesan saat system diuji coba pada 1 juli lalu dan tidak pernah digunakan untuk hal lain, (menjawab pertanyaan para pakar yang bilang IP ini AKTIF)
MAAF PARA MASTER IT, SAYA CUMA MENGULAS KALAU ADA YANG KURANG MAAF, MAKLUMLAH TIDAK TIDUR SELAMA 3 HARI!!

nah loh yang percaya isu dan fitnah ini siapa hayo? anda menyebarkannya? kalau iya anda ikut berdosa loh

Pelaku banyak mengcopy gambar dari blog sebelah lalu mengditnya, yang sebenarnya adalah Ilustrasi system di KPUD, yang sudah diganti ini yang tidak diketahui publik, bahwa system di KPU PUSAT yang digunakan sudah TIDAK LAGI SYSTEM LAMA, walaupun system ini dapat berintegrasi dengan syste lama yang masih digunakan di KPUD dan KPPS tapi untuk pemalsuan dan keleliruan seperti dituliskan di atas adalah BUALAN PEMFITNAH TANPA PENGETAHUAN alias OMDO.

Sidalih oh Sidalih…. kasihan sekali anda Sidalih dibawa2 namanya wahahahahahaha, sebelum menyebar fitnah, ada baiknya anda menyewa tim ahli mas, daripada cuma sia2 saja usaha anda capek-capek ngetik hehehehehehe, oh ya saya lupa, kan ngetik dan membuat fitnah saja ada bayarannya ya mas? beda sama kami yang memverifikasi tanpa di bayar harta duniawi, tapi kebahagiaan sejati dan berkah dari ALLAH swt, kasih sayang RAKYAT dan so pasti, Berkah yang HALALL

Sekali lagi, fitnah ini memang ceroboh dan hanya ditunjukan untuk digunakan ke sasaran orang yang tidak mengerti IT atau photo Editing, so saya rasa sih untuk SAHABAT ANTI FAKERS, SAHABAT dan PARA BUNDA, saya jamin 100% TIDAK AKAN PERCAYA anakn fitnah kelas teri yang bertebaran selama ini bukan?

nah loh yang percaya isu dan fitnah ini siapa hayo? anda menyebarkannya? kalau iya anda ikut berdosa loh

Yang percaya fitnah diatas, menggunakannya kembali sebagai fitnah, HANYALAH ORANG BODOH atau mungkin senang DIBODOH-BODOHI?

Anti Fakers Team
(Yoedha -Dash)

 

entah ini bener apa bukan,, saya ga terlalu mikirin.... yang penting ngeblog jalan teruss.

 

namanya curhat, kalau mau didengerin ya syukur kalau gak mau denger yah sudah. Memang masih banyak kekurang dari sistem teknologi pemerintahan Indonesia. Misalnya tidak menggunakan live website melainkan system mirroring HTTrack Website Copier (static html) agak jika dihack tinggal mengembalikan backup saja. Apalagi yang online system database seperti kpu kalau bisa dengan mudah diretas & manipulasi mau jadi apa negeri ini. Koar2 Indonesia maju, banyak SDM berkualitas tapi mana buktinya ?

 

jangan cepat menyimpulkan dan mempercayai langsung dari curhatan tersebut, perlu ada pertimbangan apakah benar atau tidaknya.

 

Kalau benar.. bisa menjadi PR untuk lebih menutup celah keamanan situs.

 

itu fakta atau opini ?

 

Wah daerah saya masuk data diatas gan, detail dari arif gunawan

 

wah bahaya yah, ngeri2 sedap..

 

betul sekali buat aden2 berdua. btw momod yang kasih link sanggahan diatas tersebut siapa ya? sepertinya blognya menghilang

 

walah iya kemarin malam saya tambahkan , kayanya menghapus jejak isinya bagus2 koq

 

tapi kenapa harus dihapus mas @ncang jika isinya memang benar.. kan bagus untuk mengatasi fitnah (kalau benar). tapi ada yang menarik lagi disini saya punya sanggahan blog yang ncang tawarkan

Spoiler: buat antifaker yg sok jago

http://antisokjago.blogspot.com/

 

Selesai juga bacanya..
Kalau memang ada manipulasi data ini namanya penipuan massal seluruh warga Indonesia. G habis pikir kalau memang benar, sebenere niat mereka itu untuk apa menjadi pemimpin negara ini sampai2 menghalalkan segala cara. Kalau mau memajukan negara kan bisa saling bahu membahu, bukan saling menjatuhkan.

 

Hehehe rakyat sudah pada pintar.. ga bakal termakan isu kaya gini..hahaha
siapapun presidenya kita dukung pastinya, sala, 3 jari.. Persatuan Indonesia

 

tau deh sama juga kayaknya itu yg ditawarkan sudah dihapus juga