Koordinasi antara Polri dan Biro Penyelidik Federal AS atau FBI melalui Internet Crime Complaint Center (IC3) membuahkan hasil. Tiga tersangka yaitu AN (21), ATP (21), dan KRS (21) ditangkap anggota Subdirektorat Kejahatan Siber Ditreskrimsus Polda Metro Jaya dan Polrestabes Surabaya, Minggu (11/3) di Surabaya, Jawa Timur.
Para tersangka adalah anggota komunitas Surabaya Black Hat (SBH). Anggota SBH diperkirakan mencapai ratusan orang. Mereka berhasil meretas sekitar 3.000 sistem elektronik dan situs di 44 negara. Mereka lalu meminta “tebusan” uang untuk mengembalikan seperti semula.
Kepala Subdirektorat Siber Ditreskrimsus Polda Metro Jaya Ajun Komisaris Besar Roberto Pasaribu mengungkapkan, tindakan para tersangka disebut penetration test (menguji keamanan sistem) yang dianggap lumrah di kalangan peretas.
Metode peretasan yang dipakai adalah SQL Injection. “Mereka mampu membobol suatu sistem hanya dalam lima menit,” kata Roberto, Selasa di markas Polda Metro Jaya.
Pakar forensik digital Ruby Alamsyah, Rabu (14/3), mengatakan, penetration test berarti audit keamanan secara langsung terhadap suatu sistem atau sebuah aplikasi teknologi informasi.
“Penetration test secara komersial sering dilakukan oleh perusahaan swasta atau konsultan. Misalnya, perusahaan A memiliki sistem tertentu atau sistem teknologi informasi. Mereka menyewa orang untuk melakukan penetration test. Mereka (orang sewaan) disuruh menguji sistem keamanan perusahaan seperti apa, kalau bolong di mana, dan bagaimana nambalnya,” ujar Ruby.
Namun, ia menegaskan, perbuatan anggota SBH yang ditangkap polisi itu adalah peretasan, bukan penetration test. Target mereka adalah mendapat akses ke server lalu mengambil alih server seolah-olah mereka sebagai pemilik server.
“Pemiliknya diperas untuk dikembalikan datanya atau agar situs webnya kembali berfungsi. Yang mereka lakukan adalah kriminal murni. Peretasan dengan motif ekonomi,” imbuhnya.
Menurut Ruby, SQL Injection adalah teknik peretasan yang sudah umum. Sebenarnya banyak sistem atau web site yang aman dari SQL Injection. Kebetulan saja tersangka mendapat situs web yang rentan. SQL Injection bukan teknik yang canggih. Banyak perangkat open source yang dipakai peretas pemula secara gampang.
Komunitas dunia maya
Kanit IV Subdit Kejahatan Siber Ditreskrimsus Polda Metro Jaya Komisaris Fian Yunus mengungkapkan, ada banyak komunitas lain seperti SBH. Sifat keanggotaan dalam komunitas peretas itu bersifat terbuka. Dalam komunitas itu pun ada anggota yang aktif dan pasif.
Menurut Fian, anggota komunitas yang mampu melakukan peretasan seperti ketiga tersangka itu mendapat pengakuan dari anggota lain. Apalagi mereka mampu membobol ribuan sistem.
Ruby membenarkan komunitas semacam SBH masih banyak yang lain. Nama black hat dipakai di seluruh dunia dan sebenarnya nama itu tidak berkonotasi negatif.
Komunitas seperti SBH adalah komunitas bawah tanah di bidang keamanan teknologi informasi atau peretasan.
“Jumlah anggotanya banyak. Tapi tidak semua anggotanya melakukan kejahatan. Pasti ada oknum,” katanya.
Sebelumnya, Kabid Humas Polda Metro Jaya Komisaris Besar Raden Prabowo Argo Yuwono, mengatakan, SBH punya 600-700 peretas. Setelah meretas, mereka mengirim surat elektronik untuk mengembalikan sistem dan situs harus membayar Rp 15 juta-Rp 25 juta melalui Paypal atau Bitcoin. Kalau tidak membayar, situs tidak bisa berfungsi,” katanya.
Tersangka, menurut Argo, memilih sasaran secara acak, baik perusahaan besar maupun kecil, serta situs milik Pemerintah AS. Anggota SBH meraup Rp 50 juta-Rp 200 juta per orang per tahun.
Tersangka dijerat Pasal 29 Ayat 2 juncto Pasal 45b, Pasal 30 juncto Pasal 46, Pasal 32 juncto Pasal 48 Undang-Undang Nomor 19 Tahun 2016 tentang ITE dengan ancaman maksimal 12 tahun penjara dan denda Rp 2 miliar.
Sama seperti di dunia nyata, dalam komunitas dunia maya pun ada anggota yang nakal atau bandel. Mereka inilah yang akhirnya berurusan dengan aparat hukum.