Tuesday, March 21, 2017

SOCIAL ENGINEERING, ANCAMAN DALAM KEAMANAN APLIKASI PENGADAAN BARANG JASA PEMERINTAH BERBASIS WEB?


 

Perkembangan internet telah menjadi bagian tak terpisahkan dalam masyarakat modern saat ini. Internet telah membentuk sebuah dunia tersendiri layaknya bumi di tempat manusia berada. Dalam dunia maya ini, memanfaatkan beragam peralatan teknologi informasi dan komunikasi, para individu maupun kelompok masyarakat saling berinteraksi, bertukar pikiran, dan berkolaborasi yang membentuk suatu ekosistem baru. Salah satu ekosistem yang memanfaatkan dunia maya dalam interaksinya adalah ekosistem pengadaan barang jasa pemerintah. Berbagai aplikasi perangkat lunak berbasis web telah dikembangkan oleh Lembaga Kebijakan Pengadaan Barang Jasa Pemerintah (LKPP) untuk mempermudah proses pengadaan pemerintah yaitu Sistem Pengadaan Secara Elektronik (SPSE). SPSE terbagi menjadi beberapa sub sistem aplikasi seperti Sistem Informasi Kinerja Penyedia Barang/Jasa (SIKaP), E-Cataloque, Smart Report, Sistem Informasi Rencana Umum Pengadaan (SIRUP), dan aplikasi pendukung lainnya yang terus dikembangkan. 

Bertambahnya transaksi dan interaksi pada SPSE, meningkatkan nilai atau value sistem. Peningkatan value sistem membuatnya rawan terhadap serangan dari cyber crime (tindakan kriminal dunia maya). Apalagi LKKP berencana mengembangkan e-marketplace (e-commerce pemerintah) untuk mengikuti trend pengadaan masa depan yang transparan, akutanbel, dan simpel. Secara teknis aplikasi SPSE sudah dilengkapi keamanan jaringan berupa piranti keras dan piranti lunak canggih penangkal serangan seperti firewalls, anti virus, Intrution Detection System (IDS) and Intrusion Prevention System (IPS), dan lain sebagainya. Tetapi dalam dunia keamanan jaringan, Prof. Richardus Eko Indrajit pada bukunya yang berjudul Manajemen Keamanan Informasi dan Internet (hal. 88) mengatakan ada prinsip yang berbunyi “kekuatan sebuah rantai tergantung dari atau terletak pada sambungan yang terlemah” atau dalam bahasa asingnya “the strength of a chain depends on the weakest link”.  Pada keamanan jaringan yang menjadi “the weakest link” atau “komponen terlemah” adalah manusia. Karena tidak ada sistem yang berjalan tanpa interaksi manusia. Pada aplikasi SPSE interaksi manusia terjadi antara penyedia, kelompok kerja unit layanan pengadaan (Pokja ULP), Pejabat Pembuat Komitmen (PPK) dan admin layanan pengadaan secara elektronik (LPSE). Strategi menyerang komponen terlemah ini terbukti lebih mudah dan efektif.

Modus memanfaatkan kelemahan manusia ini dikenal dengan teknik Social Engineering (Rekayasa Sosial). Social engineering (wikipedia) adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Dengan perkembangan teknologi informasi, social engineering tidak hanya berbasis interaksi sosial tetapi juga berbasis interaksi web. Pada kasus cyber crime mengunakan teknik social engineering, hacker tidak perlu bersusah payah menembus keamanan sistem untuk mendapatkan informasi. Cukup memanfaatkan kelemahan manusia seperti kelalaian, keingintahuan, kecerobohan, ketidaktahuan, ketidakwaspadaan, dan sebagainya. Jika diibaratkan 1 manusia 1 celah, maka dengan metode social engineering jumlah celah keamanan sistem sama dengan jumlah manusia yang ada dalam ekosistem tersebut.

Beberapa metode penipuan yang biasa digunakan dalam social enggineering adalah sebagai berikut:
  1. Baiting adalah teknis dimana pelaku sengaja meninggalkan media penyimpanan yang isinya malware. Misalnya saja sengaja meninggalkan USB/CD disuatu tempat yang pasti ditemukan oleh targetnya. Ketika si penemu mengambilnya dan lalu mengaksesnya maka tanpa sengaja malware terinstal kedalam komputernya.
  2. Phising. Menggunakan media komputer dan smartphone melalui email, pesan singkat melalui sms/WA/line/BBM/telegram, pop up windows dengan berpura pura dari pihak yang sah atau sumber yang dapat dipercaya, isinya berupa pernyataan tipuan yang akan membujuk usernya untuk melakukan tindakan misalnya membuka attachment, mengupload file, menjalankan file exe dan lain-lain.
  3. Spear Phishing. Sama seperti metode phishing, namun yang ini spesifik untuk suatu orang atau organisasi tertentu saja, tujuannya untuk mendapatkan data-data pengguna atau rahasia penyedia.
  4. Pretexting adalah teknik penyerangan dengan menggunakan skenario yang telah dirancang sedemikian rupa sehingga korban membocorkan rahasia atau melakukan tindakan tertentu. Skenario diperlukan karena korban tidak akan serta-merta memberikan informasi rahasia dalam keadaan normal. Untuk membuat sebuah skenario rekayasa, sebelumnya diadakan penelitian mengenai lingkungan target. Informasi-informasi yang biasa digunakan dalam skenario rekayasa antara lain jadwal kegiatan, tanggal lahir, nomor identitas, dan lain-lain. Semua informasi dan skenario tersebut dibuat untuk menanamkan rasa kepercayaan dalam pemikiran target.
  5. Teknik Pretext bisa digunakan untuk memancing target memberikan informasi berharga dalam dunia pengadaan, misalnya data penyedia (data suplier/distributor pendukung, data organisasi perusahaan penyedia) dan data pokja/PPK/admin LPSE. Teknik ini bisa juga digunakan untuk berpura-pura sebagai rekan kerja, pimpinan, Aparat Pengawasan Intern Pemerintah (APIP), Aparat Penegak Hukum (APH) atau pihak lain agar target percaya kepada pelaku. Dari teknik pelaku bisa memerintahkan target untuk melakukan transaksi palsu, transfer ke rekening tertentu, atau perbuatan merugikan lainnya. Yang diperlukan untuk melakukan teknik pretext hanyalah menyiapkan jawaban yang mungkin ditanyakan target, dan menjawab pertanyaan tersebut dengan meyakinkan. Dalam beberapa kasus, pelaku menggunakan nada bicara yang lebih meyakinkan dan lebih mengintimidasi, dan berpura-pura sebagai atasan dari pelaku. 
  6. Quid Pro Quo berarti sesuatu untuk sesuatu. Penyerang akan menelpon secara acak kepada suatu perusahaan dan mengaku berasal dari technical support dan berharap user menelpon balik untuk meminta bantuan. Kemudian, penyerang akan “membantu” menyelesaikan masalah mereka dan secara diam-diam telah memasukkan malware ke dalam komputer target. Dalam beberapa kasus juga pelaku akan memberikan iming-iming berupa hadiah atau fasilitas untuk memperlancar aksinya.
  7. Diversion Theft atau yang sering dikenal dengan Corner Game adalah pengalihan yang dilakukan oleh professional yang biasanya dilakukan pada bidang transportasi atau kurir. Dengan meyakinkan kurir bahwa pelaku adalah pihak legal, pelaku dapat mengubah tujuan pengiriman suatu barang ke tempat yang dikehendakinya.
Dalam melaksanakan aksinya, pelaku social engineering biasanya menggabungkan beberapa teknik serangan untuk meningkatkan keberhasilan dalam melancarkan aksinya. Aksi penipuan dalam dunia pengadaan mayoritas menggunakan teknik pretexting atau teknik gabungan pretexting dan quid pro quo.
  • Pretexting. Beberapa kasus dimana pokja ULP dihubungi via telepon oleh seseorang yang mengaku dari Kuasa Pengguna Anggaran (KPA) pada Satuan Kerja Perangkat Daerah (SKPD)/Satuan Kerja (Satker). Meminta daftar semua rekanan yang mendaftar beserta contact person-nya dengan alasan bahwa daftar itu dibutuhkan untuk membandingkan data yang ada dengan daftar blacklist. Pada beberapa kasus juga oknum tertentu berpura-pura sebagai APH atau APIP dan meminta data penyedia yang mengikuti tender pada pokja ULP karena alasan keperluan penyidikan/pemeriksaan dan disertai ancaman menghalangi proses hukum/audit apabila data tidak diberikan.
  • Pretexting dan quid pro quo. Pada suatu provinsi di Indonesia, pada tahun 2015 terjadi penipuan yang mengatasnamakan pokja ULP dengan janji bisa memuluskan jalannya sebagai pemenang lelang dengan syarat meminta imbalan sejumlah uang. Modusnya dengan mengirimkan undangan pembuktian kualifikasi ke e-mail salah satu penyedia yang mengikuti paket e-tendering. Pihak rekanan tersebut langsung menghubungi contact person yang tertera dalam undangan dan oleh pelaku diyakinkan akan menjadi pemenang lelang apabila mentransfer sejumlah uang.
  • Pretexting dan quid pro quo. Beberapa waktu lalu marak beredar melalui e-mail undangan bimtek dan ujian sertifikasi PBJB berbasis komputer palsu mencantumkan nomor telpon dan email pelaku (phising). Biasa dalam surat peserta dipersyaratkan wajib mentransfer sejumlah uang ke oknum yang kadangkala disertai dengan iming-iming bantuan laptop, modem dan kelulusan hasil ujian ataupun pemberian sertifikat yang mengatasnamakan LKPP. 
Dari kasus diatas kita dapat melihat bahwa penipuan memanfaatkan teknik social engineering sudah merambah dalam dunia pengadaan barang jasa pemerintah. Walaupun masih menyerang melalui interaksi sosial komunikasi. Seiring bertambahnya transaksi pengadaan pemerintah yang memanfaatkan teknologi informasi khususnya aplikasi SPSE, serangan juga juga akan berkembang ke dalam interaksi internet. Bukan tidak mungkin seorang hacker/cracker membuat suatu website tipuan (phising) baik itu website LKPP dan SPSE (INAPROC) untuk menarik user agar memasukan alamat user id-password e-mail dan SPSE dengan di iming – imingi suatu hadiah (quid pro quo). Pokja ULP/PPK mungkin akan ditawarkan pelatihan online (e-learning LKPP) dilengkapi sertifikat online, penyedia akan ditawarkan dapat ditingkatkan status kinerjanya pada aplikasi SIKaP dan untuk admin LPSE ditawarkan pelatihan atau perbaikan/upgrade aplikasi SPSE.

Salah satu penipuan secara profesional yang mungkin dilakukan oleh kriminal dunia maya pada pengadaan pemerintah adalah metode diversion theft. Hal ini sering terjadi pada dunia e-commerce dimana pelaku social enginnering mendapatkan informasi invoice, nomor resi/faktur pengiriman dan informasi lainnya melalui e-mail dan akun pembeli atau penjual yang sudah direntas menggunakan metode social enginnering lainnya. Dimana pelaku akan mengambil barang tersebut langsung ke pihak gudang jasa pengiriman atau mengalihkan alamat pengirimannya dengan menunjukan nomor resi/faktur pengiriman dan invoice yang sudah diperoleh kepada karyawan atau kurir jasa pengiriman. Pada pengadaan pemerintah yang menggunakan e-purchasing dimana aplikasi memuat surat pesanan elektronik dan informasi lainnya. Apabila pelaku sudah memiliki user id-password e-mail dan e-purchasing PPK, maka pelaku tersebut mudah dalam melakukan diversion theft. Pelaku  yang sudah memiliki akun e-mail dan e-purchasing PPK akan meminta pengalihan alamat pengiriman pada paket pengadaan e-purchasing. Pengalihan pengiriman dapat dilakukan dari awal pengiriman dengan melakukan perubahan alamat pengiriman kepada penyedia e-purchasing menggunakan email PPK yang sudah direntas. Atau mengalihkan/mengambil barang langsung ke jasa pengiriman atau kurir menggunakan nomor resi/faktur, surat pesanan dan informasi lainnya terdapat dalam e-mail dan akun e-purchasing PPK.

Begitu juga dengan aplikasi SIKaP yang berkonsep crowdsourcing yang dalam implementasi awalnya akan mengkolaborasi seluruh entitas pengadaan di internal pemerintah. Semua pelaku pengadaan dapat berkontribusi menggambarkan kinerja penyedia dalam SIKaP sehingga penyedia yang memang berkinerja dapat diangkat reputasinya. Dengan konsep ini maka akun PPK dan pokja ULP dalam SPSE menjadi bertambah valuenya dalam aplikasi SPSE karena akan menjadi salah satu akun yang memberikan penilaian dan melakukan verifikasi kinerja penyedia. Dengan memanfaatkan akun pokja ULP dan PPK maka pelaku social enggineering dapat memanfaatkannya untuk perbuatan kriminal dengan memperjual belikan penilaian dan verifikasi menggunakan akun pokja ULP dan PPK untuk meningkatkan rating kinerja penyedia.

Dalam membangun sistem keamanan dalam aplikasi berbasis web, LKPP sebagai pengelola SPSE nasional menurut saya perlu memperhatikan security awareness bagi pengguna SPSE khususnya PPK dan pokja ULP yang kedepan memiliki posisi penting dalam pengadaan barang pemerintah berbasis web. Karena dalam keamanan suatu sistem tidak hanya memperhatikan aspek teknis namun juga aspek non-teknis yang berhubungan dengan sistem secara langsung seperti manusia. PPK dan pokja ULP dapat memiliki pemahaman security awareness yang baik terhadap serangan mengunakan metode social engineering. Dimana dalam social engineering, pelaku seringkali sulit dijerat secara hukum karena akses ke sistem menggunakan akun pengguna yang sah. Dengan terbentuknya security awareness pada pengguna SPSE (pokja ULP dan PPK) akan menghasilkan pengetahuan baru tentang keamanan sistem komputer dan munculnya sikap kehati-hatian untuk mengamankan data dan informasi yang dimiliki. Dalam membangun security awareness yang baik pada aplikasi SPSE diharapkan LKPP menciptakan sebuah privacy and security policy yang tetap memberi kenyamanan kerja kepada para pengguna akun SPSE (pokja ULP dan PPK) tanpa harus memperlakukan manusia seperti mesin.

Artikel ini sudah pernah di muat di majalah "e-PROCUREMENTnews" edisi 3.

1 comment:

E-BOOK KOMPETENSI PBJ

Dalam pelaksanaan pengadaan barang/jasa pemerintah, pengelola pengadaan tidak hanya cukup mengetahui dan memahami Peraturan Presiden No...