Analisis Internet Forensic kasus Website Presidensby.info
Oleh : Josua M Sinambela, S.T., M.Eng., CEH, CHFI, ECSA|LPT, ACE, CCNP, CCNA, CompTIA Security+
Sejak mulai diliputnya oleh berbagai media terkait perubahan situs presidensby.info, banyak rekan it’ers dan praktisi yang mencoba mengungkap kasus ini, meskipun menurut saya beberapa diantaranya belum memberikan kesimpulan atau informasi yg signifikan dalam pengungkapan kasus tersebut.
Saya akan mencoba menganalisis dengan cara yang lebih sederhana sebagai berikut :
Dari informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut tidaklah di “hacked” atau kenyataan bahwa tidak ada perubahan sama sekali pada mesin server presidensby.info, tetapi hanya terjadi perubahan penunjuk jalan (serangan di level DNS) menuju server tersebut ketika diakses pengguna oleh attacker. Pada saat terjadinya serangan, hal ini dibuktikan dengan akses ke situs yang sama dengan alamat domain berbeda yaitu presidenri.go.id tetap dapat berjalan dengan baik tanpa ada perubahan tampilan.
Secara teknikal, mesin server situs presidensby.info memiliki alias name (domain) presidenri.go.id
Lantas apa yang terjadi? .. hehe sabar dulu.. para pembaca
Saya coba ungkapkan beberapa fakta, meski mungkin tidak akan mendetail termasuk bagaimana cara saya mendapatkan informasi ini.
Sebenarnya persiapan serangan melalui pembelokan domain presidensby.info ke sebuah situs lain sudah dimulai sejak 8 Januari 2013. Ini tercatat di serial zone domain (presidensby.info) yang dibuat oleh attacker/pelaku pada sebuah server Hosting/DNS Lokal.
Berikut informasi zone domain presidensby.info yang dibuat oleh attacker.
presidensby.info MX 0 presidensby.info IN 14400
presidensby.info MX 0 presidensby.info IN 14400
presidensby.info MX 0 presidensby.info IN 14400 Sedangkan host kedua NameServer (id1.jaxxxxxnetwork.com dan id2.jaxxxxxnetwork.com) memiliki IP yang sama dengan mesin yang ditunjuk sebagai presidensby.info yaitu 210.247.249.58.
Server Hosting inilah yang memiliki virtual host untuk domain presidensby.info berisi halaman dengan Status Hacked by MJL007 dan Jember Hacker Team. Jadi konten halaman berjudul Hacked by MJL007 bukan terdapat pada mesin server presidensby.info atau presidenri.go.id yang beralamat di 203.130.196.114.
Untuk menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan Jember Hacker Team, tim digital forensic Polri seharusnya sudah melakukan investigasi dan data acquisition dari mesin hosting beralamat 210.247.249.58 tersebut, karena pada mesin tersebutlah terdapat system dan access log aplikasi server yang digunakan si pelaku untuk membelokkan penunjuk alamat domain presidensby.info. Jadi log server yang dianalis harusnya bukan pada server 203.130.196.114, melainkan mesin hosting beralamat 210.247.249.58. Dari mesin ini akan dapat diidentifikasi alamat yang digunakan pelaku, meskipun saat kejadian pelaku bisa saja menggunakan alamat-alamat palsu, biasanya sepandai-pandainya seseorang pelaku, tetap ada kesalahan (kecil) yang berakibat fatal yang mengungkap dirinya.
Selain dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka terhadap pemilik atau administrator domain dan hosting jaxxxxxnetwork.com juga wajib harus dilakukan investigasi. Karena jelas-jelas pelaku menggunakan subdomain jaxxxxxnetwork.com (id1 dan id2) sebagai tools pelaku.
Informasi dari whois untuk jaxxxxxnetwork.com menghasilkan informasi sbb:
Domain Name: jaxxxxxnetwork.COM
Registrant:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Creation Date: 15-Mar-2012
Expiration Date: 15-Mar-2013
Domain servers in listed order:
ph1.xxxxxxjahost.com
ph2.xxxxxxjahost.com
Administrative Contact:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Technical Contact:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Billing Contact:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Status:LOCKED
Note: This Domain Name is currently Locked. In this status the domain
name cannot be transferred, hijacked, or modified. The Owner of this
domain name can easily change this status from their control panel.
This feature is provided as a security measure against fraudulent domain name hijacking.
Informasi diataslah yang menjadi petunjuk tim IT Kepresidenan untuk menyatakan informasi bahwa pelaku menggunakan hosting lokal dari Bekasi, Jawa Barat.
Berikutnya pasti ada pertanyaan, bagaimana si pelaku merubah data Administrative Domain/Nameserver untuk domain presidensby.info tersebut, dari yang aslinya adalah
SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM
Menjadi
id1.jaxxxxxnetwork.com
id2.jaxxxxxnetwork.com
Terdapat beberapa kemungkinan bagaamana cara pelaku merubah data Nameserver pada Administrative Domain presidensby.info. Kemungkinan pertama, persis seperti kejadian tahun 2007, dimana server yang memiliki otoritas mengelola zone domain presidensby.info di serang sehingga memberikan alamat NS atau mendelegasikan NS ke server yang sudah dipersiapkan si pelaku. Kemungkinan berikutnya adalah pelaku mendapatkan akses ilegal yang menjadi account administrative/technical contact domain presidensby.info, sehingga dapat dengan mudah merubah NS yang menjadi otoritas domain tersebut.
Untuk memastikan hal tersebut, tentu saja administrative contact domain presidensby.info bisa dimintain keterangannya. Administrative/Technical Contact pengelola domain presidensby.info bisa dilihat dari info whois (per 12 Januari 2012) berikut:
Domain ID:D11564782-LRMS
Domain Name:PRESIDENSBY.INFO
Created On:20-Dec-2005 08:54:36 UTC
Last Updated On:11-Jan-2013 07:14:39 UTC
Expiration Date:20-Dec-2013 08:54:36 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:AUTORENEWPERIOD
Registrant ID:d5667830aacebee8
Registrant Name:Redaksi Situs Presiden
Registrant Organization:Redaksi Situs Presiden Republik Indonesia
Registrant Street1:Gedung Bina Graha Lt. 2
Registrant Street2:Jl. Veteran No, 16 Jakarta
Registrant Street3:
Registrant City:Jakarta Pusat
Registrant State/Province:DKI JAKARTA
Registrant Postal Code:10110
Registrant Country:ID
Registrant Phone:+62.213844363
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:[email protected]
Admin ID:d5667830aacebee8
Admin Name:Redaksi Situs Presiden
Admin Organization:Redaksi Situs Presiden Republik Indonesia
Admin Street1:Gedung Bina Graha Lt. 2
Admin Street2:Jl. Veteran No, 16 Jakarta
Admin Street3:
Admin City:Jakarta Pusat
Admin State/Province:DKI JAKARTA
Admin Postal Code:10110
Admin Country:ID
Admin Phone:+62.213844363
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:[email protected]
Billing ID:d5667830aacebee8
Billing Name:Redaksi Situs Presiden
Billing Organization:Redaksi Situs Presiden Republik Indonesia
Billing Street1:Gedung Bina Graha Lt. 2
Billing Street2:Jl. Veteran No, 16 Jakarta
Billing Street3:
Billing City:Jakarta Pusat
Billing State/Province:DKI JAKARTA
Billing Postal Code:10110
Billing Country:ID
Billing Phone:+62.213844363
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:[email protected]
Tech ID:d5667830aacebee8
Tech Name:Redaksi Situs Presiden
Tech Organization:Redaksi Situs Presiden Republik Indonesia
Tech Street1:Gedung Bina Graha Lt. 2
Tech Street2:Jl. Veteran No, 16 Jakarta
Tech Street3:
Tech City:Jakarta Pusat
Tech State/Province:DKI JAKARTA
Tech Postal Code:10110
Tech Country:ID
Tech Phone:+62.213844363
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:[email protected]
Name Server:SAHI78679.MERCURY.ORDERBOX-DNS.COM
Name Server:SAHI78679.VENUS.ORDERBOX-DNS.COM
Name Server:SAHI78679.EARTH.ORDERBOX-DNS.COM
Name Server:SAHI78679.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Dari info whois diatas diperoleh keterangan bahwa administrator domain saat ini (baru) adalah pemilik email [email protected]. Padahal saat sebelum dan beberapa hari sesudah serangan terjadi Administrative Contact tersebut adalah Sugeng Wibowo [email protected], dan Technical Contactnya dari techscape.co.id ([email protected]), seperti yang dibahas disini. Jadi ada kecurigaan yang terjadi adalah kemungkinan kedua.
Demikian sementara hasil analisis yang bisa saya sampaikan. Semoga bermanfaat bagi para pembaca dan it’ers.
Update: 2 Februari 2013
Setelah menganalisis dari berbagai sumber informasi, dapat saya simpulkan pelaku masih tergolong “culun” dan bisa saya katakan “bunuh diri” karena meninggalkan banyak jejak dan tanpa menggunakan teknik pengelabuan spt proxy luar seperti yang banyak dikhabarkan. Dari log server Hosting/DNS yang digunakan sebagai tools, teridentifikasi IP dari sekitar tempat dia bekerja/tinggal (IP pelanggan Telkom Speedy wilayah Jember 180.247.254.x)
PS: hayoo siapa bilang dari US? Mungkin juga info itu trik pemerintah/berwajib supaya pelaku tidak merasa ketahuan dan berusaha melarikan diri.
Dari berbagai media yang mempublikasikan terkait kejadian peretasan situs ini, ada beberapa informasi media perlu diluruskan misalnya atas berita di Kompas terkait cara polisi melaca peretas. Kemungkinan besar wartawan atau reporternya salah mengutip atau memahami informan (narasumbernya). Berikut beberapa pernyataan yang rancu dan saya coba koreksi/luruskan:
===kutipan kompas===
Menurut Ahmad Alkazimy dari lembaga keamanan jaringan komputer Indonesian Computer emergency Response Team (ID-CERT), tim polisi siber mendapatkan IP Address pelaku dari perusahaan penyedia jasa internet (internet service provider/ISP).
=================
JOSH:
Sebenarnya informasi bukan dari ISP, tetapi dari Pengelola Hosting. Ada dua pengelola hosting yang ikut membantu kepolisian, pemilik IP 210.247.249.58 (alvin) dan pemilik domain jatirejanetwork (eman). Seperti yang saya publish dicatatan blog saya 12 Januari lalu (sebenarnya infonya sudah saya ketahui per 10 januari, hanya saja sempat nulisnya baru 12 januari )
===kutipan kompas===
Dalam kasus ini, situs web www.presidensby.info menggunakan jasa ISP Jatireja Network. Jatireja Network melaporkan identitas pelaku dan sejumlah bukti digital. Begitu dilacak, IP Address itu berada di sebuah lokasi di Jember, Jawa Timur.
=================
JOSH:
Nah ini keliru lagi. www.presidensby.info tidak menggunakan jasa hosting (apalagi ISP) Jatireja Network. Tetapi di hosting/co-location di TELKOM. Server hosting jatirejanetwork digunakan sebagai tools (manipulasi DNS) oleh pelaku setelah sebelumnya mendapatkan akses ilegal ke server hosting tersebut.
Dari pengelola hosting inilah diperoleh access log dan aktifitas si attacker, termasuk IP yang digunakan mengakses server tersebut (teridentifikasi IP Telkom Speedy wilayah Jember spt yang saya sebut sebelumnya)
===kutipan kompas ===
Jika pelaku memalsukan IP Address untuk mengaburkan jejak, atau menumpang di IP Address komputer lain di luar negeri, menurut Ahmad hal ini masih bisa dilacak dari alamat Media Access Control (MAC Address).
MAC Address yang juga sering disebut ethernet address, physical address, atau hardware address, pada umumnya menempel di setiap perangkat komputer dan sulit untuk diubah karena telah dimasukkan ke dalam Read-Only Memory (ROM).
=================
JOSH:
MAC address tidak feasible/accessible dari Server atau jaringan yang berbeda broadcast domain. Jadi tentu saja tidak bisa digunakan sebagai media pelacakan dalam kasus ini (remote akses)
Bahkan MAC address juga saat ini sangat dimungkinan dimanipulasi (dirubah). Teknik teknik sederhana merubah mac address sudah didapatkan para pelajar SMK TI hingga Kuliahan
Oleh : Josua M Sinambela, S.T., M.Eng., CEH, CHFI, ECSA|LPT, ACE, CCNP, CCNA, CompTIA Security+
Sejak mulai diliputnya oleh berbagai media terkait perubahan situs presidensby.info, banyak rekan it’ers dan praktisi yang mencoba mengungkap kasus ini, meskipun menurut saya beberapa diantaranya belum memberikan kesimpulan atau informasi yg signifikan dalam pengungkapan kasus tersebut.
Saya akan mencoba menganalisis dengan cara yang lebih sederhana sebagai berikut :
Dari informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut tidaklah di “hacked” atau kenyataan bahwa tidak ada perubahan sama sekali pada mesin server presidensby.info, tetapi hanya terjadi perubahan penunjuk jalan (serangan di level DNS) menuju server tersebut ketika diakses pengguna oleh attacker. Pada saat terjadinya serangan, hal ini dibuktikan dengan akses ke situs yang sama dengan alamat domain berbeda yaitu presidenri.go.id tetap dapat berjalan dengan baik tanpa ada perubahan tampilan.
Secara teknikal, mesin server situs presidensby.info memiliki alias name (domain) presidenri.go.id
Lantas apa yang terjadi? .. hehe sabar dulu.. para pembaca
Saya coba ungkapkan beberapa fakta, meski mungkin tidak akan mendetail termasuk bagaimana cara saya mendapatkan informasi ini.
Sebenarnya persiapan serangan melalui pembelokan domain presidensby.info ke sebuah situs lain sudah dimulai sejak 8 Januari 2013. Ini tercatat di serial zone domain (presidensby.info) yang dibuat oleh attacker/pelaku pada sebuah server Hosting/DNS Lokal.
Berikut informasi zone domain presidensby.info yang dibuat oleh attacker.
presidensby.info MX 0 presidensby.info IN 14400
presidensby.info MX 0 presidensby.info IN 14400
presidensby.info MX 0 presidensby.info IN 14400 Sedangkan host kedua NameServer (id1.jaxxxxxnetwork.com dan id2.jaxxxxxnetwork.com) memiliki IP yang sama dengan mesin yang ditunjuk sebagai presidensby.info yaitu 210.247.249.58.
Server Hosting inilah yang memiliki virtual host untuk domain presidensby.info berisi halaman dengan Status Hacked by MJL007 dan Jember Hacker Team. Jadi konten halaman berjudul Hacked by MJL007 bukan terdapat pada mesin server presidensby.info atau presidenri.go.id yang beralamat di 203.130.196.114.
Untuk menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan Jember Hacker Team, tim digital forensic Polri seharusnya sudah melakukan investigasi dan data acquisition dari mesin hosting beralamat 210.247.249.58 tersebut, karena pada mesin tersebutlah terdapat system dan access log aplikasi server yang digunakan si pelaku untuk membelokkan penunjuk alamat domain presidensby.info. Jadi log server yang dianalis harusnya bukan pada server 203.130.196.114, melainkan mesin hosting beralamat 210.247.249.58. Dari mesin ini akan dapat diidentifikasi alamat yang digunakan pelaku, meskipun saat kejadian pelaku bisa saja menggunakan alamat-alamat palsu, biasanya sepandai-pandainya seseorang pelaku, tetap ada kesalahan (kecil) yang berakibat fatal yang mengungkap dirinya.
Selain dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka terhadap pemilik atau administrator domain dan hosting jaxxxxxnetwork.com juga wajib harus dilakukan investigasi. Karena jelas-jelas pelaku menggunakan subdomain jaxxxxxnetwork.com (id1 dan id2) sebagai tools pelaku.
Informasi dari whois untuk jaxxxxxnetwork.com menghasilkan informasi sbb:
Domain Name: jaxxxxxnetwork.COM
Registrant:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Creation Date: 15-Mar-2012
Expiration Date: 15-Mar-2013
Domain servers in listed order:
ph1.xxxxxxjahost.com
ph2.xxxxxxjahost.com
Administrative Contact:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Technical Contact:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Billing Contact:
N/A
Exxx Sxxxxxxx ([email protected])
Kp. Rxxx Bxxxxxxx Rt.01/04
Ds. Jxxxxxja – Cikrang Timur
Bekasi
Jawa Barat,17828
ID
Tel. +62.02198779xxx
Status:LOCKED
Note: This Domain Name is currently Locked. In this status the domain
name cannot be transferred, hijacked, or modified. The Owner of this
domain name can easily change this status from their control panel.
This feature is provided as a security measure against fraudulent domain name hijacking.
Informasi diataslah yang menjadi petunjuk tim IT Kepresidenan untuk menyatakan informasi bahwa pelaku menggunakan hosting lokal dari Bekasi, Jawa Barat.
Berikutnya pasti ada pertanyaan, bagaimana si pelaku merubah data Administrative Domain/Nameserver untuk domain presidensby.info tersebut, dari yang aslinya adalah
SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM
Menjadi
id1.jaxxxxxnetwork.com
id2.jaxxxxxnetwork.com
Terdapat beberapa kemungkinan bagaamana cara pelaku merubah data Nameserver pada Administrative Domain presidensby.info. Kemungkinan pertama, persis seperti kejadian tahun 2007, dimana server yang memiliki otoritas mengelola zone domain presidensby.info di serang sehingga memberikan alamat NS atau mendelegasikan NS ke server yang sudah dipersiapkan si pelaku. Kemungkinan berikutnya adalah pelaku mendapatkan akses ilegal yang menjadi account administrative/technical contact domain presidensby.info, sehingga dapat dengan mudah merubah NS yang menjadi otoritas domain tersebut.
Untuk memastikan hal tersebut, tentu saja administrative contact domain presidensby.info bisa dimintain keterangannya. Administrative/Technical Contact pengelola domain presidensby.info bisa dilihat dari info whois (per 12 Januari 2012) berikut:
Domain ID:D11564782-LRMS
Domain Name:PRESIDENSBY.INFO
Created On:20-Dec-2005 08:54:36 UTC
Last Updated On:11-Jan-2013 07:14:39 UTC
Expiration Date:20-Dec-2013 08:54:36 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:AUTORENEWPERIOD
Registrant ID:d5667830aacebee8
Registrant Name:Redaksi Situs Presiden
Registrant Organization:Redaksi Situs Presiden Republik Indonesia
Registrant Street1:Gedung Bina Graha Lt. 2
Registrant Street2:Jl. Veteran No, 16 Jakarta
Registrant Street3:
Registrant City:Jakarta Pusat
Registrant State/Province:DKI JAKARTA
Registrant Postal Code:10110
Registrant Country:ID
Registrant Phone:+62.213844363
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:[email protected]
Admin ID:d5667830aacebee8
Admin Name:Redaksi Situs Presiden
Admin Organization:Redaksi Situs Presiden Republik Indonesia
Admin Street1:Gedung Bina Graha Lt. 2
Admin Street2:Jl. Veteran No, 16 Jakarta
Admin Street3:
Admin City:Jakarta Pusat
Admin State/Province:DKI JAKARTA
Admin Postal Code:10110
Admin Country:ID
Admin Phone:+62.213844363
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:[email protected]
Billing ID:d5667830aacebee8
Billing Name:Redaksi Situs Presiden
Billing Organization:Redaksi Situs Presiden Republik Indonesia
Billing Street1:Gedung Bina Graha Lt. 2
Billing Street2:Jl. Veteran No, 16 Jakarta
Billing Street3:
Billing City:Jakarta Pusat
Billing State/Province:DKI JAKARTA
Billing Postal Code:10110
Billing Country:ID
Billing Phone:+62.213844363
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:[email protected]
Tech ID:d5667830aacebee8
Tech Name:Redaksi Situs Presiden
Tech Organization:Redaksi Situs Presiden Republik Indonesia
Tech Street1:Gedung Bina Graha Lt. 2
Tech Street2:Jl. Veteran No, 16 Jakarta
Tech Street3:
Tech City:Jakarta Pusat
Tech State/Province:DKI JAKARTA
Tech Postal Code:10110
Tech Country:ID
Tech Phone:+62.213844363
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:[email protected]
Name Server:SAHI78679.MERCURY.ORDERBOX-DNS.COM
Name Server:SAHI78679.VENUS.ORDERBOX-DNS.COM
Name Server:SAHI78679.EARTH.ORDERBOX-DNS.COM
Name Server:SAHI78679.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Dari info whois diatas diperoleh keterangan bahwa administrator domain saat ini (baru) adalah pemilik email [email protected]. Padahal saat sebelum dan beberapa hari sesudah serangan terjadi Administrative Contact tersebut adalah Sugeng Wibowo [email protected], dan Technical Contactnya dari techscape.co.id ([email protected]), seperti yang dibahas disini. Jadi ada kecurigaan yang terjadi adalah kemungkinan kedua.
Demikian sementara hasil analisis yang bisa saya sampaikan. Semoga bermanfaat bagi para pembaca dan it’ers.
Update: 2 Februari 2013
Setelah menganalisis dari berbagai sumber informasi, dapat saya simpulkan pelaku masih tergolong “culun” dan bisa saya katakan “bunuh diri” karena meninggalkan banyak jejak dan tanpa menggunakan teknik pengelabuan spt proxy luar seperti yang banyak dikhabarkan. Dari log server Hosting/DNS yang digunakan sebagai tools, teridentifikasi IP dari sekitar tempat dia bekerja/tinggal (IP pelanggan Telkom Speedy wilayah Jember 180.247.254.x)
PS: hayoo siapa bilang dari US? Mungkin juga info itu trik pemerintah/berwajib supaya pelaku tidak merasa ketahuan dan berusaha melarikan diri.
Dari berbagai media yang mempublikasikan terkait kejadian peretasan situs ini, ada beberapa informasi media perlu diluruskan misalnya atas berita di Kompas terkait cara polisi melaca peretas. Kemungkinan besar wartawan atau reporternya salah mengutip atau memahami informan (narasumbernya). Berikut beberapa pernyataan yang rancu dan saya coba koreksi/luruskan:
===kutipan kompas===
Menurut Ahmad Alkazimy dari lembaga keamanan jaringan komputer Indonesian Computer emergency Response Team (ID-CERT), tim polisi siber mendapatkan IP Address pelaku dari perusahaan penyedia jasa internet (internet service provider/ISP).
=================
JOSH:
Sebenarnya informasi bukan dari ISP, tetapi dari Pengelola Hosting. Ada dua pengelola hosting yang ikut membantu kepolisian, pemilik IP 210.247.249.58 (alvin) dan pemilik domain jatirejanetwork (eman). Seperti yang saya publish dicatatan blog saya 12 Januari lalu (sebenarnya infonya sudah saya ketahui per 10 januari, hanya saja sempat nulisnya baru 12 januari )
===kutipan kompas===
Dalam kasus ini, situs web www.presidensby.info menggunakan jasa ISP Jatireja Network. Jatireja Network melaporkan identitas pelaku dan sejumlah bukti digital. Begitu dilacak, IP Address itu berada di sebuah lokasi di Jember, Jawa Timur.
=================
JOSH:
Nah ini keliru lagi. www.presidensby.info tidak menggunakan jasa hosting (apalagi ISP) Jatireja Network. Tetapi di hosting/co-location di TELKOM. Server hosting jatirejanetwork digunakan sebagai tools (manipulasi DNS) oleh pelaku setelah sebelumnya mendapatkan akses ilegal ke server hosting tersebut.
Dari pengelola hosting inilah diperoleh access log dan aktifitas si attacker, termasuk IP yang digunakan mengakses server tersebut (teridentifikasi IP Telkom Speedy wilayah Jember spt yang saya sebut sebelumnya)
===kutipan kompas ===
Jika pelaku memalsukan IP Address untuk mengaburkan jejak, atau menumpang di IP Address komputer lain di luar negeri, menurut Ahmad hal ini masih bisa dilacak dari alamat Media Access Control (MAC Address).
MAC Address yang juga sering disebut ethernet address, physical address, atau hardware address, pada umumnya menempel di setiap perangkat komputer dan sulit untuk diubah karena telah dimasukkan ke dalam Read-Only Memory (ROM).
=================
JOSH:
MAC address tidak feasible/accessible dari Server atau jaringan yang berbeda broadcast domain. Jadi tentu saja tidak bisa digunakan sebagai media pelacakan dalam kasus ini (remote akses)
Bahkan MAC address juga saat ini sangat dimungkinan dimanipulasi (dirubah). Teknik teknik sederhana merubah mac address sudah didapatkan para pelajar SMK TI hingga Kuliahan