Saturday, April 8, 2017

[Blogging Talk] Bagaimana Cara Agar Blog Terhindar dari Hacking Part 1


Beberapa waktu lalu, kita dihebohkan dengan beberapa kawan beauty blog yang blognya terkena cracking oleh orang-orang tak bertanggung jawab. Tentunya ini bukan berita bagus untuk kita yang berkecimpung di dunia blogging. Selain bikin ati ketar-ketir tentang keamanan blog, juga bikin nggak bisa tidur karena takut suatu hari blog kita nggak bisa dibuka. Adaawwhh, gamao, Kakakk!

Ohya, saya lebih menyukai istilah cracking ketimbang hacking untuk mendefinisikan tindakan peretasan sistem yang merugikan orang lain. FYI, hacking adalah orang yang memahami sisi keamanan sistem (blog bisa disebut sebagai sistem) dan menggunakannya untuk kepetingan yang baik semisal membuat laporan keamanan sistem. Lalu cracking adalah orang yang mempunyai kemampuan hacker, tetapi menggunakan kemampuan itu untuk kepentingan pribadi dan cenderung merugikan orang lain.

Well, kembali ke masalah blogging tadi. Saya di sini turut menyesal dan sedih, mangkel, jengkel, marah, kecewa terhadap oknum tak bertanggung jawab yang nge-hack kawan-kawan blogger saya ini. Juga, melalui blog ini saya juga ingin mengkonfirmasi pengubahan alamat blog kawan-kawan yang terkena crack sebagai berikut:

1. Momzhak, berpindah/memiliki blog baru di sini.
2. Anisa, blog baru di sini.
3. Sekar Saraswati, blog baru di sini.
4. Tanoe, blog baru di sini.

List di atas ini saya dapat dari blog Arum (juga menulis postingan serupa) di sini. Saya pribadi sangat seneng kalau kawan-kawan blogger saya itu masih tetap ngeblog dan share sana-sini. Ini ngebuktiin bahwa cyber crime tidak akan membuat para passionate blogger patah semangat tidak ngeblog lagi. Tidak akan!

Meskipun nggak ngebikin patah semangat, tapi tetap saja, cyber crime itu hal yang sangat merugikan dan tidak berprikemanusiaan. Untuk itu, saya ingin sedikit membeberkan tentang celah-celah keamanan yang dapat disalah-gunakan oleh cracker untuk meretas sebuah blog. Saya ngobrolnya berdasarkan background saya di IT, tetapi saya berusaha untuk membuat bahasanya menjadi awam agar mudah dipahami oleh yang nggak paham IT sekalipun. Tujuan saya adalah supaya para blogger-blogger di luar sana sedikit melihat lebih jauh, membuka mata lebih lebar bahwa jangan hanya pelajari cara ngeblend eyeshadow atau bikin teknik strobing makeup, tapi pelajari juga keamanan blog supaya kita juga punya power untuk mengentaskan cyber crime.

Di sini, saya dibantu sama Mas Galih, seseorang yang punya kemampuan hacking tingkat tinggi tetapi ogah disebut hacker. Saya termasuk orang beruntung yang bisa menyela kesibukan beliau untuk diajak ngobrol chit-chat soal celah keamanan sistem. :)). Yuk simak obrolan kami.


  • Bicara soal blogging, kita telah mengetahui ada dua platform 'gajah' yang ada di pasaran. Ialah Blogspot.com dan Wordpress. Kira-kira manakah yang lebih bagus dari sisi keamanan?
Kalau dari sisi keamanan, tidak ada yang lebih bagus atau lebih jelek. Karena sama-sama nggak aman (loh??). Hanya kalau dari sisi customisasi, Wordpress bisa lebih unggul karena bisa formatnya dapat diubah-ubah oleh kita sesuka hati. Selain itu, format konten juga dapat diselaraskan semau kita. Sedangkan blogger lebih simpel dan nyaman dipakai pemula, meskipun customisasinya lebih sedikit.

  •  Wait wait, Blogspot dan Wordpress nggak aman?

Ya, sebagai penggiat sekuriti sistem, kita harus berpikir bahwa semua sistem itu pada dasarnya tidak aman. Bahkan Google sendiri pernah menyatakan bahwa akun gMail memiliki  celah hole. Belum lagi kalau Google melakukan pindah server. Yang mana di setiap pindah server tersebut selalu menjadi celah harta karun bagi para cracker-cracker di dunia untuk melakukan pembobolan. Kita memang harus berpikir paling buruk ketika ngobrolin soal keamanan sistem, karena dengan demikian kita dapat mengupayakan agar sistem lebih baik lagi. Lebih aman lagi. Ibarat penjahat, kita juga harus bisa berpikir seperti penjahat supaya tidak dijahati.

Tetapi kembali lagi ke masalah keamanan Google, tidak perlu khawatir karena pihak Google pasti selalu belajar untuk menyesuaikan keamanan sistem. Contohnya pengguna gMail. Jika terjadi cracking di akun Google, 95% adalah kelalaian pengguna atau pemanfaatan celah-celah tidak aman oleh cracker.

  • Kelalaian pengguna atau celah seperti apa saja Mas Galih?

1. Google Cookies

Cookies di sini bukan cookies yang manis-manis itu. Tetapi cookies adalah semacam tanda pengenal/jejak yang kamu buat ketika login/browsing ke situs tertentu. Apakah kamu pernah memperhatikan, misal kamu habis melihat catok murah-murah di toko online, kemudian setiap kali kamu berkunjung ke situs lain, iklan yang muncul juga catok murah-murah? Atau kamu habis melihat harga tiket ke Bali, terus setiap kali kamu lihat iklan selalu muncul iklan harga tiket ke Bali? Nah, itulah tujuan cookies. Google mencatat setiap aktifitas browsing kamu, mencatat minat dan preferensi kamu untuk menentukan tayangan iklan.

Nah, Google cookies juga menyimpan session login kamu. Misal nih, kamu habis login, lalu kamu nggak sengaja mengdownload atau menginstal atau mengeklik link tertentu yang ternyata adalah program hijack yang dapat membaca id login kamu. Maka yasudah deh, password kamu bisa bablas. :(.

Untuk mengatasi hal ini, rajin-rajinlah menghapus cookies browser. Untuk Google Chrome, kamu dapat melakukan langkah-langkah ini:
- Klik pengaturan/customize and control Google Chrome di pojok kanan atas di bawah tombol exit (X)
- Pilih More Tools - Clear browsing data
- Silahkan centang: Browsing History, Cookies, Cached, dan password
- Kemudian klik Clear browsing data. Selesai.


Atau, kalau kamu males ngebersihin cookies, tinggal gunakan private browsing/Incognito windows ajah.

2. Plugin/add on yang mengandung malware

Apakah kamu pernah menginstal automatic downloader di browser kamu? Nah itu adalah salah satu contoh penggunaan plugin. Saya sampaikan: berhati-hatilah dalam menginstal plugin. Misalnya tema dan fitur-fitur tambahan (yang nggak penting-penting banget) di browser. Kalau kita kurang aware, bisa jadi di dalam plugin itu telah ada malwareMalware bukanlah virus, tetapi adalah sebuah program untuk mencuri data. Datanya dapat berupa tulisan, hasil unggah, bahkan password kamu. Bayangkan kalau password kamu dicuri. Hwaw.

Ada baiknya browsing dulu tentang contoh-contoh plugin yang mengandung malware. Saya pernah berpengalaman menginstal Youtube downloader, ternyata dulu dia punya malware. Setiap kali membuka browser, dia akan membuka halaman tertentu. Biasalah, modus cari duit masa kini. Semacam spamming begitu. Kemudian saya test pakai firebug (sebuah tools untuk mengetahui adanya malware, dll), lalu ketahuanlah bahwa malwarenya berasal dari Youtube downloader.

So, kalau tiba-tiba browser kamu suka membuka halaman-halaman nggak jelas dan terus menerus. Bisa jadi itu malware. Segera kembalikan browser kamu ke pengaturan awal. Dan segera ganti password akun-akun penting.

3. Theme Blogger

Berhati-hatilah dengan tema blogger, terutama yang free. Terkadang dalam theme telah ditanam script yang terlindung/protected tetapi ada dan berbahaya. Misal sebuah Javascript yang terdapat dalam file .xml yang kamu download dari situs-situs penyedia tema gratisan ternyata punya kemampuan mencuri cookies dan mentransfernya ke tempat lain. Memang agak susah untuk mengecek pencurian cookies, apalagi kaitannya dengan tema blogger.

Tips yang dapat dilakukan adalah: Googling nama theme yang kamu download + malware. Jika halaman yang kamu temukan memiliki bermacam kecurigaan, tinggalkan dan jangan pakai tema itu sebagus apapun hasilnya. Akan sangat beruntung kalau Google sudah mempunyai direktori theme-theme yang mengandung malware. Sayangnya belum banyak. :(

Berlanjut ke part 2 di sini.


Mas Galih / Dyan Galih Nugroho adalah penggiat IT sejak tahun 2001. Empat belas tahun pengalamannya dihabiskan untuk pemerhati mobile dev, riset & dev dan security. Saat ini bekerja di PT. Gamatechno Indonesia di subdivisi riset & development. Pernah aktif di Twitter @belajarandroid. Coret-coretan tentang android dapat disimak di ca.dyangalih.com. Hobi: bersumbang ria di Happy Puppy, pethakilan di sela-sela gaming, pro-gamer dan ngoprek wisata server. Website pribadi di Dyangalih.com

+Andhika Lady Maharsi

0 komentar:

Post a Comment