1. INSTUTISI PENGELOLAAN INTERNET/WEB
Walaupun riset tentang internet diawali dari proyek ARPANET dan berkembang dari kolaborasi penelitian institusi militer dan pendidikan, namun infrastruktur dan teknologi internet saat ini bisa dikatakan bukan milik suatu institusi atau perorangan ataupun negara. Sekarang internet merupakan sebuah enterprise kolaboratif dan kolektif yang terbuka. Ada sejumlah organisasi atau lembaga yang memiliki pengaruh terhadap perkembangan internet serta menjadi guide atas perkembangan internet dan web, diantaranya adalah :
World Wide Web Consortium (W3C)
Awalnya dibentuk dari Laboratorium Ilmu Komputer MIT oleh Tim Berners-Lee dan Al-Vezza. W3C saat ini bertangggungjawab terhadap perkembangan dari berbagai protokol dan standar yang terkait dengan Web. Seperti misalnya standarisasi HTML, XML, XHTML dan CSS diatur oleh W3C. Saat ini W3C masih dipimpin oleh Berners-Lee. Website W3C dapat diakses pada URL: http://www.w3c.org
Internet Engineering Task Force (IETF)
Merupakan badan yang bertanggungjawab terhadap masalah teknis dari perkembangan teknologi internet. IETF bertugas mengkaji berbagai teknologi terkait untuk kemudian distandarkan menjadi sebuah request for comment (RFC). IETF fokus pada evolusi dari internet dan menjamin proses tersebut berjalan dengan smooth.
Internet Architecture Board (IAB)
IAB bertanggung jawab dalam mendefiniskan backbone internet.
Internet Society (ISOC)
Dibentuk dari berbagai organisasi, pemerintahan, non-profit, komunitas, akademisi maupun para professional. Kelompok ini bertanggungjawab dalam membuat kebijakan tentang internet, dan memantau lembaga lain seperti IETF.
APJII dan PANDI
Dua nama tersebut merupakan institusi yang mengatur pengelolaan internet untuk wilayah Indonesia. Meraka adalah APJII (Asosiasi Penyelenggara Jasa Internet Indonesia) dan PANDI (Pengelola Nama Domain Internet Indonesia).
2. Pemerintahan (Aspek Hukum)
Bila kita cermati, terdapat 2 (dua) hal pada saat kita membahas hukum atau aturan di bidang internet yakni infrastruktur dan konten (materi). Pemerintah telah mengeluarkan kebijakan di bidang infrastruktur, yakni peraturan hukum tentang telekomunikasi dan penyiaran serta ketentuan tentang frekuensi radio dan orbit satelit.
Sementara itu pada bagian konten (materi), pemerintah telah mengeluarkan banyak peraturan yang berhubungan dengan pemanfaatan internet sebagai media informasi antaralain tentang perlindungan konsumen, perbankan, asuransi, hak kekayaan intelektuan, pokok pers, ketentuan pidana perdata (kata kuncinya adalah “informasi”).
Meski berbeda, internet ternyata “tunduk” pada ketentuan hukum yang sudah ada (di dunia nyata). Tidak satu ruanganpun di internet yang bebas dari aturan hukum. Kita ambil contoh setelah terjadinya ledakan bom di JW Marriott dan Ritz Carlton Jakarta. Sejauh ini, pada awalnya aturan hukum yang mengatur hal tersebut sudah dinyatakan di dalam UU No. 36 Tahun 1999 tentang Telekomunikasi, khususnya Pasal 21 yang menyebutkan, bahwa penyelenggara telekomunikasi dilarang melakukan kegiatan usaha penyelenggaraan telekomunikasi yang bertentangan dengan kepentingan umum, kesusilaan, keamanan dan ketertiban umum. Dalam penjelasannya yang tertera pada UU Telekomunikasi tersebut disebutkan, bahwa penghentian kegiatan usaha penyelenggaraan telekomunikasi dapat dilakukan oleh pemerintah setelah diperoleh informasi yang patut diduga dengan kuat dan diyakini bahwa penyelenggaraan telekomunikasi tersebut melanggar kepentingan umum, kesusilaan, keamanan , atau ketertiban umum.
Prosedur yang ditempuh oleh pemerintah dalam pengiriman surat adalah sudah sesuai dengan ketentuan peraturan perundang-undangan yang berlaku, yaitu selain sebelumnya sudah mengadakan konsultasi dengfan para stake holder, juga sudah mendasarkan pada berbagai pertimbangan dan tetap selektif serta tidak ada maksud pemerintah untuk sembarangan melakukan pembatasan untuk memperoleh akses informasi melalui jasa internet tanpa alasan dan dasar hukum yang jelas, karena terbukti media internet banyak menunjukkan manfaat yang konstruktif terkecuali penayangan film Fitna melalui media internet tersebut dan juga penayangan informasi-informasi lain yang substansinya patut diduga kuat dan diyakini bertentangan dengan kepentingan umum, keamanan, kesusilaan dan ketertiban umum .
3. Prinsip Dasar Keamanan Web
Pengamanan, merupakan sebuah kata yang mutlak ketika kita mencoba membangun sebuah website. website akan menjadi percuma ketika dibuat sangat "molek", namun tidak serta merta memberikan keamanan bagi admin dan penggunanya. Dalam pengamanan dikenal dengan beberapa tingkat dan tipe. Tingkat dan tipe yang diperlukan untuk aplikasi kita akan berbeda-beda bergantung bagaimana aplikasi itu bekerja, tipe dan nilai data yang disimpan, jumlah resiko yang biasa dihadapi, usaha, serta biaya yang dipakai untuk menghasilkan aplikasi yang aman. Misalnya, pengamanan yang dibutuhkan untuk web perorangan akan sangat berbeda dibanding untuk situs perusahaan atau situs e-commerce.
Tentu saja, situs yang berbau komersil akan lebih ketat pengamanannya dibanding situs personal biasa. Berikutnya, kita akan belajar beberapa jejak yang menjadi prinsip dasar keamanan website.
A. Faktor-Faktor Timbulnya Serangan
1. Scripting
Kesalahan dalam scripting pembuatan web adalah hal terbanyak yang dimanfaatkan oleh para attacker, sehingga rata-rata web yang berhasil diserang melalui lubang ini. Kelemahan-kelemahan scripting yang ditemukan pada proses vulnerabilities scanning misalnya, XSS, SQL Injection, PHP Injection, HTML Injection, dan lain sebagainya. Begitu pula pada CMS semisal Mambo, Joomla, WordPress, dan lainnya. CMS tersebut memiliki banyak komponen pendukung di internet yang bisa kita download, install dan konfigurasi. Sehingga sangat memungkinkan sekali terdapat bug pada scriptingnya. Langkah terbaik tentunya melakukan pembedahan (oprek) terhadap script serta melakukan pengujian sebelum komponen tersebut kita gunakan pada web yang sebenarnya. Pengujian bisa dilakukan melalui localhost pada komputer dengan menginstall PHP, apache, dan mySQL, atau menginstall software semisal WAMP ataupun XAMPP yang merupakan paket all in one. Untuk mengatasi hal tersebut sebaiknya kita harus mulai belajar dan memahami scripting-scripting secara bertahap, baik HTML, PHP, javascript, dan sebagainya. CMS tersebut sebenarnya cukup aman, namun komponen tambahan yang tidak dibuat dengan baik, tentu saja bisa menimbulkan masalah besar bagi sistem secara keseluruhan.
2. Lubang pada Situs Tetangga.
Ini merupakan salah satu faktor yang jarang mendapat perhatian. Sebagian webmaster kadang tidak begitu peduli ketika web lain yang satu hosting dihacked. Mereka berpikiran, Ah, toh bukan web saya yang kena. Padahal justru di sinilah letak kesalahannya.
Logikanya, misal web kita ditempatkan pada perusahaan hosting A. itu artinya web kita bertetangga dengan web milik orang lain yang berada dalam 1 hosting. Jika web tetangga tersebut memiliki celah fatal, sehingga attacker bisa menanam program yang dijadikan backdoor. Dengan backdoor inilah attacker bisa masuk ke dalam web kita bahkan web lainnya. Bukan itu saja, tidak mustahil attacker melakukkan defacing massal, termasuk web kita tentunya.
3. Hosting yang Bermasalah
Pada beberapa kasus justru tempat hosting yang bermasalah menjadi sebab dihackednya banyak situs yang berada di bawah pengelolaannya. Pernah terjadi situs milik sebuah perusahaan dideface. Kemudian setelah diperbaiki, dideface lagi. Kemudian lapor ke admin perusahaan hosting, justru balik menyalahkan pemilik situs dengan alasan yang nggak masuk akal. Kenyataannya, justru web hosting itu yang nggak pernah di administrasi dengan baik, jarang diupdate, dan jarang dipatch, sehingga mudah terkena serangan. Dengan model pengelolaan yang seperti ini jangan berharap web kita akan aman. Karena itu, pastikan tempat hosting yang digunakan benar-benar memperhatikan tingkat keamanan bagi pelanggannya.
4. CONTOH PERMASALAHAN
THE SYRIAN ELECTRONIC ARMY
SYRIAN ELECTRONIC ARMY (SEA), juga dikenal sebagai Prajurit Elektronik Suriah, adalah kumpulan hacker komputer yang mendukung pemerintah Presiden Suriah Bashar al-Assad. Menggunakan serangan denial of service, perusakan, dan metode lainnya, terutama menargetkan kelompok oposisi politik dan situs barat, termasuk organisasi berita dan kelompok hak asasi manusia. Tentara Elektronik Suriah adalah publik pertama, tentara maya di dunia Arab untuk secara terbuka melancarkan serangan cyber pada lawan-lawannya, meskipun sifat yang tepat dari hubungan dengan pemerintah Suriah tidak jelas.
Filsafat dan gaya
Perwakilan diduga berpangkat tinggi untuk SEA mengatakan kepada The Daily Dot bahwa "Kami hanya pemuda Suriah yang ingin membela negara mereka terhadap media promosi yang penuh kebohongan dan dibuat laporan berita" tentang Suriah. Nada SEA dan gaya bervariasi dari yang serius dan terbuka politik atas laporan ironis dimaksudkan sebagai humor sering kritis atau menunjuk: SEA memiliki "Exclusive: Teror mencolok # AS dan # Obama Tanpa malu-malu in Bed dengan Al-Qaeda" tweeted dari akun twitter dari 60 Menit, dan pada Juli 2012 diposting "Apakah Anda pikir Saudi dan Qatar harus menjaga dana gerombolan bersenjata di Suriah untuk menggulingkan rezim? # Suriah," dari akun twitter Al Jazeera sebelum pesan itu dihapus. Dalam serangan lain, anggota SEA menggunakan akun twitter BBC Weather Channel untuk memposting judul, "stasiun cuaca Saudi turun karena kepala di-tabrakan dengan unta." Seorang komentator mencatat bahwa "[SEA] relawan mungkin termasuk diaspora Suriah,. Beberapa hacks mereka telah menggunakan sehari-hari bahasa Inggris dan meme reddit Setelah Washington Post reporter Max Fisher disebut lelucon mereka tidak lucu, salah satu hacker yang terkait dengan kelompok mengatakan kepada Wakil wawancara" pembenci gonna benci. ""
Serangan
SEA mengklaim bertanggung jawab atas mengotori atau mengorbankan ratusan website yang berpendapat tersiar kabar bermusuhan dengan pemerintah Suriah. Ini termasuk situs-situs berita seperti BBC News, Associated Press, National Public Radio, Al Jazeera, Financial Times, The Daily Telegraph, The Washington Post, penyiar satelit Suriah Orient TV, dan berbasis di Dubai TV al-Arabia, serta hak-hak organisasi seperti Human Rights Watch. Target SEA lainnya termasuk aplikasi VoIP, seperti Viber, dan Tango.
Hal ini juga memposting pesan pro-pemerintah di Facebook, dan meluncurkan kampanye spamming untuk menyebarkan nya halaman Facebook messages.The Presiden Barack Obama dan mantan Presiden Prancis Nicolas Sarkozy adalah di antara mereka yang telah ditargetkan oleh kampanye spam.
Sebuah serangan pada kantor berita Associated Press, di mana tweet palsu mengklaim Gedung Putih telah dibom dan Presiden Barack Obama cedera, menyebabkan US $ 136.500.000.000 dip pada indeks S & P 500 pada tanggal 23 April 2013.
Kelompok ini dilaporkan menggunakan taktik phishing untuk mendapatkan informasi yang cukup untuk berkompromi account. Pada minggu pertama Mei 2013, akun Twitter dari The Onion dikompromikan oleh KLHS, setelah serangan phishing menargetkan Karyawan Onion menyebabkan akun yang sedang dikompromikan.
Selain perusakan high-profile dan serangan terhadap sasaran publik, SEA juga melakukan pengawasan untuk menemukan identitas dan lokasi pemberontak Suriah. Pemantauan elektronik ini juga dilaporkan meluas ke pekerja bantuan asing.
Timeline serangan terkenal
- Juli 2011: University of California Los Angeles situs dirusak oleh hacker SEA "The Pro".
- September 2011: Website Universitas Harvard dirusak dalam apa yang disebut karya seorang "kelompok atau individu yang canggih". Homepage Harvard diganti dengan gambar Presiden Suriah Bashar al-Assad, dengan pesan yang mengatakan "Tentara Elektronik Suriah Were Here".
- April 2012: Tentara Elektronik Suriah menurunkan blog resmi dari situs media sosial LinkedIn. Halaman ini diarahkan bukan ke situs yang mendukung Bashar al-Assad.
- Agustus 2012: The akun Twitter dari kantor berita Reuters adalah hacked oleh KLHS. 22 tweet dikirim dengan informasi palsu tentang konflik di Suriah. Selain itu, situs berita Reuters dikompromikan, dan laporan palsu telah diposting tentang konflik ke blog wartawan Reuters itu.
- 23 April 2013: SEA The membajak akun Twitter Associated Press dan palsu mengklaim Gedung Putih telah dibom dan Presiden Barack Obama terluka.
- Mei 2013:. Akun Twitter dari Onion itu dikompromikan oleh SEA, dengan phishing akun Google Apps karyawan The Onion ini [15]
- Mei 2013: Kabar ITV akun Twitter London hacked pada 24 Mei 2013 oleh KLHS. Aplikasi Android dari British Penyiar Sky News juga hack pada 26 Mei 2013 di Google Play Store.
- 17 Juli 2013, server Truecaller diduga menyusup ke oleh Tentara Elektronik Suriah. Kelompok ini mengklaim pada pegangan twitter yang telah pulih 459 gibs database, terutama karena versi lama dari Wordpress diinstal pada server. Para hacker juga merilis TrueCaller dugaan tuan ID database, username, dan password melalui tweet lain. Pada tanggal 18 Juli 2013, Truecaller mengeluarkan pernyataan di blog-nya menyatakan bahwa server mereka memang hack, tetapi mengklaim bahwa serangan itu tidak mengungkapkan password atau informasi kartu kredit.
- 23 Juli 2013: server Viber diduga menyusup ke oleh SEA juga. Situs web dukungan Viber diganti dengan pesan dan screenshot seharusnya data yang diperoleh selama gangguan itu.
- 15 Agustus 2013: Layanan Iklan Outbrain adalah hacked oleh SEA melalui serangan spearphishing. Hal ini memungkinkan mereka untuk menempatkan pengalihan ke situs-situs The Washington Post, Time, dan CNN.
- 27 Agustus 2013: NYTimes.com telah DNS yang diarahkan ke sebuah halaman yang menampilkan pesan "Hacked by SEA" dan Twitter registrar domain berubah.
- 28 Agustus 2013: Twitter telah pendaftaran DNS yang hack untuk menunjukkan KLHS sebagai Admin dan kontak Tech, dan beberapa pengguna melaporkan bahwa CSS situs telah dikompromikan
- 29-30 Agustus 2013: The New York Times, Huffington Post, dan Twitter yang tertabrak KLHS. Seseorang, yang mengklaim berbicara untuk kelompok, telah melangkah maju untuk mengikat serangan ini dengan kemungkinan meningkatnya aksi Militer AS dalam menanggapi al-Assad menggunakan senjata kimia. Sebuah operasi diri dijelaskan SEA mengatakan kepada ABC News dalam sebuah pertukaran e-mail: "Ketika kita hack media yang kita tidak menghancurkan situs tetapi hanya mempublikasikan di atasnya jika mungkin, atau mempublikasikan sebuah artikel [yang] berisi kebenaran apa yang terjadi di Suriah ... Jadi jika serangan peluncuran USA di Suriah kita dapat menggunakan metode menyebabkan kerugian, baik bagi perekonomian AS atau lainnya. "
- 2-3 September 2013 Pro-Suriah hacker masuk ke situs internet untuk merekrut Korps Marinir AS, posting pesan yang mendesak tentara AS menolak pesanan jika Washington memutuskan untuk melancarkan serangan terhadap pemerintah Suriah. Situs, www.marines.com, lumpuh selama beberapa jam Senin dan diarahkan ke pesan tujuh kalimat "disampaikan oleh SEA" - singkatan dari Tentara Elektronik Suriah.
- 30 September 2013: SEA hack website perusahaan berita AS Global Post, menargetkan account mereka resmi twitter dan website (globalpost.com). SEA resmi mengumumkan hack melalui akun twitter mereka, membaca: "Berpikir dua kali sebelum Anda mempublikasikan informasi untrusted [sic] tentang Tentara Elektronik Suriah" dan "Kali ini kami hack website Anda dan akun Twitter Anda, pada saat Anda akan mulai mencari baru job "
- 28 Oktober 2013: Dengan mendapatkan akses ke akun Gmail dari Organizing for Action staf, SEA diubah URL singkat di akun Facebook dan Twitter Presiden Obama untuk menunjuk pada sebuah propaganda video yang 24 menit di YouTube.
- 9 November 2013: SEA hack situs VICE, yang merupakan situs web ada berita afiliasi / dokumenter / blog yang telah difilmkan berkali-kali di Suriah dengan sisi pasukan Rebel. Ketika login ke vice.com Anda diarahkan ke apa yang tampaknya menjadi homepage KLHS.
- 12 November 2013: SEA hack halaman Facebook Matius Van Dyke, seorang veteran Perang Sipil Libya dan berita pro-pemberontak reporter.
- 1 Januari 2014: SEA hack Facebook dan Twitter halaman resmi untuk Skype serta blog situs resmi, mereka memposting gambar hubungannya dengan SEA serta pos lain mengatakan pengguna untuk tidak menggunakan Microsoft layanan e-mail Outlook-sebelumnya dikenal Hotmail-mengklaim bahwa Microsoft menjual informasi pengguna kepada pemerintah.
- 11 Januari 2014: SEA hack halaman @ XboxSupport Twitter dan tweet diarahkan ke situs web kelompok.
- 22 Januari 2014: SEA terus hacks pada Microsoft. Hacking resmi Microsoft Office Blog. Mereka diposting beberapa gambar dan tweeted tentang serangan itu.
- 23 Januari 2014: SEA hack akun resmi Twitter CNN dan diposting dua pesan, termasuk foto Flag Suriah terdiri dari kode biner. Para Tweets telah dihapus oleh CNN dalam waktu 10 menit.
- 3 Februari 2014: SEA hack situs-situs eBay dan Paypal Inggris. Salah satu sumber mengatakan hacker mengatakan itu hanya untuk menunjukkan dan bahwa mereka mengambil data.
- 6 Februari 2014: SEA hack DNS dari Facebook. Sumber mengatakan rincian kontak pendaftar dipulihkan dan Facebook menegaskan bahwa tidak ada lalu lintas ke situs web dibajak, dan bahwa tidak ada pengguna jaringan sosial yang terpengaruh.
- 14 Februari 2014: SEA hack website Forbes dan akun Twitter mereka.
- 26 April 2014: SEA hack situs Interstate Baterai.
- 26 April 2014: SEA hack situs web konferensi RSA.
Sumber :
http://anshar507.blogspot.com/2013/06/pengelolaan-website.html
http://en.wikipedia.org/wiki/Syrian_Electronic_Army
Silahkan salin/pasang embed link di bawah ini bila Anda ingin memasangnya di situs yang Anda inginkan: