Menu Close

Situs kepresidenan kena deface?

defaced
Pagi ini, pada halaman pertama di salah satu media cetak tertulis bahwa situs kepresidenan RI terkena deface dari group jember hacker. Dan ini membuat saya penasaran.
 
Beberapa data yang kita perlukan :

  • Data whois www.presidenri.go.id dan www.presidensby.info
  • Data lain yang berhubungan

 
Berikut adalah data whois www.presidensby.info yang saya ambil tanggal 9 Januari 2013 yang kemudian dirubah pada tanggal 10 Januari 2013.
domain_history_presidensby_info

UPDATE 12 January 2013 :
Dan data whois www.presidensby.info telah dirubah lagi pada tanggal 11 Januari 2013.
whois_history_12_jan_13
Dan yang membuat saya terganggu adalah selalu mempergunakan fasilitas email gratis, kali ini memakai nama akbardotinfo@gmail.com. Apakah susahnya merubah email tersebut menjadi admin@presidensby.info atau sesuatu yang lebih keren webmaster@presidensby.info / hostmaster@presidensby.info???
Kalau memang tidak memiliki space yang cukup untuk email ataupun jumlah email yang diijinkan, tinggal membuat email memakai GoogleApps, dengan quota 10GB untuk masing-masing user.
 
Berikut adalah data untuk DNS record www.presidensby.info :
dns_lookup_presidensby_info
 
Karena A recordnya mengarah ke IP 203.130.196.114, maka kita juga perlu data untuk IP tersebut.APNIC - Whois search

  • Rangkuman mengenai situs kepresidenan tanggal 9 Januari 2013 :
  •  Sebuah domain dengan extensi .info, bisa saja diperoleh dengan harga hanya $1.99/tahun, atau bisa juga diperoleh gratis. Hal ini tergantung yang mendaftarkan. Dan alasan pemakaian .info mungkin agar lebih mudah diingat orang ketika ingin mencari informasi. Walaupun di dunia internet extensi ini jarang dipergunakan.
  • Domain www.presidensby.info tersebut didaftarkan oleh seseorang dengan nama Sugeng Wibowo mempergunakan email idsugeng@yahoo.com  dan mempergunakan alamat Redaksi Situs Presiden Republik Indonesia
  • Isi dari www.presidensby.info sama dengan isi www.presidenri.go.id, hal ini kemungkinan sebagai backup atau mirroring. Karena ketika www.presidensby.info berubah halaman depannya alias terdeface, isi dari www.presidenri.go.id tidak berubah.
  • Dari informasi technical contactnya tanggal 9 Januari 2013 :Name: Techscape Communications
    Organization: http://www.techscape.co.id
    Address 1: 158-49 90th St. #888
    City: Howard Beach
    State: NY
    Zip: 11414
    Country: US
    Email : enom@techscape.co.id
    Domain yang berakhiran .co.id kok memakai alamat US ya???
  • Data Technical Contact pada tanggal 10 Januari 2013 telah diganti menjadi :
    Name: Sugeng Wibowo
    Organization: Redaksi Situs Presiden Republik Indonesia
    Address 1: Gedung Bina Graha Lt. 2
    Address 2: Jl. Veteran No, 16 Jakarta
    City: Jakarta Pusat
    State: DKI JAKARTA
    Zip: 10110
    Country: ID
    Phone: +62.213844363
    Email: idsugeng@yahoo.com
  • Situs kepresidenan www.presidenri.go.id dihost di IP 203.130.196.114 dan merupakan IP blok milik Telkom
  • Situs kepresidenan www.presidensby.info resolve ke 210.247.249.58

Selanjutnya mari kita melacak tempat situs kepresidenan www.presidensby.info didaftarkan  yaitu www.techscape.co.id.  Jika kita membuka www.techscape.com, kita akan diredirect ke www.techscape.co.id.
Berikut adalah tampilan situs www.techscape.co.id :
techscape.co.id
Jika kita membuka situs techscape.co.id, maka kita akan menemui sebuah hal yang janggal jika dihubungkan dengan sebuah situs kepresidenan, yaitu adanya title seperti ini : “Web Hosting – Domain Murah Indonesia – Domain Hosting Terbaik
Berikut adalah data whois techscape.co.id :
whois_techscape_coid
 
Berikut adalah data whois techscape.com :
whois_techscape_com
Berikut adalah data dns techscape.co.id :
dns_techscape_coid
Berikut adalah data dns techscape.com :
dns_techscape_com
 
Mengenai masalah alamat www.presidenri.go.id dan www.presidensby.info, sebenarnya sudah banyak dibahas di internet, dan salah satunya di Kompas pada tahun 2009.
data kompas 2009
 
Penjelasan singkat pada tanggal 9 Januari 2013 :

  •  Domain situs kepresidenan www.presidensby.info dan untuk orang sekelas presiden, didaftarkan di sebuah situs yang menawarkan Domain dan Web hosting Murah
  • Alasan terjadinya perubahan pada halaman depan situs www.presidensby.info katanya dikarenakan serangan pada DNS
    sumber : http://www.bisnis.com/articles/situs-presiden-di-hack-dns-server-bakal-dipindah-ke-indonesia
    bisnis
  • Serangan terhadap laman resmi Presiden Susilo Bambang Yudhoyono ini kemarin memang bukan peretasan (hacking) melainkan pengalihan alamat Internet Protokol atau IP Address. Pelakunya menggunakan sebuah hosting yang berlokasi di kawasan Bekasi, Jawa Barat. Sumber : http://www.presidenri.go.id/index.php/fokus/2013/01/10/8646.htmlpenjelasan_kepresidenanKalau benar pelakunya menggunakan hosting yang berlokasi di Bekasi, maka seharusnya sebentar lagi kita kan mendapatkan sebuah nama.

 
Update 12 Januari 2013 :

  • Sebuah penjelasan dari Josua M Sinambela mengenai pembelokan DNS oleh sebuah jasa hosting lokal yang akan membuka sudut pandang dan menambah pengetahuan Anda mengenai DNS
    Sumber : http://josh.rootbrain.com/blog/2013/01/12/analisis-internet-forensic-kasus-website-presidensby-info
    Situs kepresidenan yang beralamat di www.presidensby.info memakai DNS yang sama dengan jasa hosting pada saat terjadi pembelokan DNS, dan memakai IP 210.247.249.58  .
  • Secara singkat, saat kita ingin mengunjungi sebuah situs, maka komputer kita akan mencari resolver dan menghubungi root tempat domain atau alat situs yang kita tuju. Dikarenakan semua proses itu berhubungan dengan semua konputer atau mesin yang terhubung di dunia, makan akan agak sulit dijelaskan.
    Di bawah ini adalah gambaran sederhananya :
    Komputer <===> Internet <===> Resolver <===> Domain Registrar <===> DNS Server <===> Domain / Situs 
    Jadi, jika DNS Server tersebut dibagi tugas untuk melayani banyak jasa hosting, maka sebuah data akan bisa membuat konflik
    DNS Server ( sahi78679.mercury.orderbox-dns.com ) <===> www.presidensby.info
    DNS Server ( sahi78679.mercury.orderbox-dns.com ) <===> Jasa Hosting <===> membuat A entry yang sama dengan www.presidensby.info, maka dapat terjadi pembelokan maupun konflik.
  • Silakan coba memahami dengan membuka situs berikut : http://ip.robtex.com/210.247.249.58.html
  • dns
  • Sebuah trik sederhana untuk membuat kekacauan adalah dengan mendaftarkan diri pada tempat yang memakai DNS yang sama dengan www.presidensby.info, kemudian membuat account dengan mempergunakan URL www.presidensby.info atau bisa juga www.presidenri.go.id, dan membuat kontent yang baru atau berbeda maupun mengarahkan agar membuka ke situs lain.Atau agar Anda mudah untuk memahami, di sebuah kantor ada seorang Admin Keuangan, kemudian ada dua orang yang memberikan laporan dengan mempergunakan judul data yang sama, dengan isi berbeda. Maka Admin Keuangan tersebut akan bingung.
  • Jadi, masalahnya bukan berada di situs www.presidensby.info, melainkan karena ada orang iseng yang membuat duplikasi A record pada jasa hosting yang memakai DNS yang sama dengan situs www.presidensby,info
  • Masalah akan kembali muncul, selama DNSnya masih memakai DNS dari orderbox.

Info tambahan yang didapat tanggal 22 January 2013, adalah sebuah text di pastebin yang dibuat oleh @anon_indonesia berikut :

 

Leave a Reply

Your email address will not be published. Required fields are marked *