Tiga Serangan yang Pernah Terjadi pada Cloud Database

Cloud computing

Pada dunia digital seperti sekarang cloud computing sudah ada dimana-mana. Cloud computing tidak hanya solusi teknis yang dapat mengurangi biaya infrastruktur, tetapi juga model bisnis yang dapat dijual dan disewakan [4]. Dalam berbagai kasus pengguna menggunakan cloud tanpa mengetahui bagaimana menggunakannya. Hal ini menimbulkan sejumlah ancaman keamanan yang terkait dengan cloud computing. Cloud computing didefinisikan oleh US National Institute of Standards and Technology (NIST). Mereka mendefinisikan cloud computing sebagai model untuk dapat akses jaringan on-demand yang ada dimana-mana ke kumpulan sumber daya computing yang dapat dikonfigurasi (misalnya jaringan, server, penyimpanan, aplikasi, dan layanan)[2]. Skema cloud computing secara sederhana bisa dilihat pada Gambar 1. Skema Cloud Computing[3].

Gambar 1. Skema Cloud Computing [3]

Cloud computing terbagi menjadi 3 jenis, pada artikel ini pembahasan akan fokus kepada cloud computing platform as a service yaitu cloud database. Berdasarkan jenisnya cloud computing terbagi ke dalam beberapa jenis seperti pada Gambar 2. Jenis Cloud Computing [5].

Gambar 2. Jenis Cloud Computing [5]

Cloud database

Cloud computing tidak hanya mempengaruhi teknologi tetapi juga masuk ke dalam lingkup database. Semakin berkembangnya teknologi cloud computing, maka permintaan layanan database juga bisa semakin banyak. Cloud database merupakan database yang dapat diakses oleh client dari cloud service yang didistribusikan ke user melalui internet oleh cloud provider. cloud database membantu penyimpanan data yang semula menggunakan hard driver, CD ataupun hardware lainnya. Dengan menggunakan cloud data hanya perlu disimpan pada remote database yang telah disediakan oleh pihak ketiga [1], [2]. terdapat dua cara cloud database, yang pertama adalah menjalankan database pada server bersama di layanan cloud. Kedua adalah cloud database yang disediakan oleh penyedia cloud yang menghosting database dan menyediakan akses ke pengguna. Pengguna dapat memilih database sesuai dengan kebutuhan setiap penyedia layanan.[11]

  1. Untuk mode virtual machine image, pengguna cloud database dapat membeli ruang server dari penyedia, karena pengguna dapat menjalankan database pilihan pengguna dan mengunggah virtual machine image dengan salinan database yang optimal. Hal ini dapat dilakukan dengan membuat cloud database dengan mudahnya karena vendor sudah membuatnya dengan sederhana dan mudah untuk dipahami. Edisi oracle 11 g enterprise bisa untuk go image di layanan web Amazon EC2. Seseorang dapat membuat cloud database dengan oracle untuk microsoft azure, dengan cara yang sama.
  2. Penyedia layanan cloud database juga memiliki layanan DBaaS. Salah satu keuntungan dari mode cloud database ini yaitu semuanya menjadi tanggung jawab dari penyedia layanan. Pengguna hanya membayar berdasarkan penggunaan saja.
  3. Penyedia hosting cloud database bekerjasama dengan pihak ketiga. Misalnya MongoDB tersedia di layanan web Amazon dan juga Azure. Konsol yang disediakan oleh penyedia layanan cloud membantu mengakses dan menggunakan database. penguna dapat membuat cloud database, backup dan memantau operasi.
Gambar 3. Cloud Database [11]

Hal yang berkaitan dengan keamanan sistem informasi adalah yang berkaitan dengan jaringan komputer dan data yang ditransfer melalui jaringan komputer tersebut. Beberapa ancaman bisa terjadi dan dapat menyebabkan kerugian yang cukup besar, hal ini harus disadari oleh setiap individu yang terlibat dalam pemakaian cloud database. Oleh karena itu, setiap individu sudah seharusnya mengetahui ancaman apa saja yang mungkin terjadi dan pernah terjadi, dan bagaimana hal itu dapat terjadi.

Serangan-serangan yang pernah terjadi pada cloud database

Ancaman serangan dan contoh kasus serangan yang mungkin dan pernah terjadi pada cloud database  adalah sebagai berikut:

  1. Denial Of Services Attack [6], [7]

DOS merupakan serangan yang paling mudah dipasang dan yang paling merusak, namun seiring berjalannya waktu serangan tersebut telah dapat diatasi dengan efisien, beberapa penyedia cloud sudah mengatasi infrastuktur cloud guna mencegah ataupun mengurangi serangan ini. namun beberapa solusi belum dapat mendeteksi secara sempurna semua kemungkinan serangan. Tujuan dari serangan ini adalah mencegah pengguna menikmati layanan yang diberikan oleh server. Server melayani permintaan pengguna selama 24 jam, namun apabila terkena serangan ini pengguna tidak bisa menikmati layanan server. Pada kasus di bidang keamanan, tidak ada solusi yang sempurna, akhirnya biasanya bermuara pada kompromi yang ditentukan oleh administrator sistem. Serangan ini adalah serangan favorit para attacker untuk melumpuhkan layanan dari sebuah host yang terhubung ke internet sementara. Hampir setiap situs besar menjadi korban serangan ini.

Serangan ini pernah terjadi pada server Dyn DNS. Pada Jumat(21/10/2016) Jam 07.10 UTC menyebabkan sejumlah layanan online besar menjadi lambat bahkan tidak dapat diakses. serangan ini terbilang cukup fatal karena server Dyn DNS digunakan oleh banyak nama besar seperti GitHub, Twitter, Spotify, dan lain-lain. Serangan ini merupakan serangan paket data yang menyerang ke server membuat server semakin melambat, bahkan jika terlalu besar mengakibatkan server tumbang. Menurut laporan Ars Technica serangan ini terjadi dua kali, namun pihak Dyn dapat mengatasi masalah tersebut.

Pada  tahun 2000,  serangan DDOS terjadi pada beberapa situs web terkenal seperti Amazon mengalami “downtime” selama beberapa jam. Ada lagi serangan yang pernah dilancarkan pada tahun 2002 ketika 9 dari 13 root DNS server diserang dengan menggunakan DDoS yang sangat besar yang disebut dengan “Ping Flood”. Beberapa server pada tiap detiknya mendapatkan lebih dari 150.000 request paket ICMP. Tetapi serangan hanya berlangsung selama setengah jam sehingga lalu lintas internet tidak terlalu terpengaruh oleh serangan tersebut. Setidaknya tidak membuat kerusakan yang fatal.

  1. Ransomware [8],[9]

Ransomware merupakan jenis malware yang dapat menyandra sistem , paling sering dengan mengenkripsi atau mencuri data, dan melakukan pemerasan. Serangan ransomware yang diamati menargetkan kerentanan pada database MongoDB. Peneliti keamanan menyebut serangan ini sebagai ‘ransack’, dan memperkirakan lebih dari 40.000 database terkena dampak dalam dua minggu pertama. Penelitian menunjukkan bahwa server Elasticsearch, yang telah dianggap rentan sehingga bisa diakses melalui internet publik, terkena serangan ransomware WannaCRYptO. Terdapat 2.515 server Elasticsearch yang harus ditebus, sebanyak 34.298 kasus Elasticsearch yang rentan masih terbuka. Pada hari selanjutnya, jumlah server yang terkena meningkat lebih dari 5.000. sebagian besar adalah server ElasticSearch yang rentan terbuka di Amazon Web Services (AWS).

Selain itu menurut website [9], Toni Casala menemukan keadaan ransomware. Seluruh operasi perusahaan dijalankan dari layanan aplikasi hosting di perusahaan cloud yang terkelola di California, dari QuickBooks sampai Microsoft Office dan Outlook. Karyawannya menggunakan Citrix untuk terhubung ke cloud, dan aplikasi hosting perusahaan memetakan cloud sebagai hard drive pengguna. Menurutnya bekerja pada cloud sangat menyenangkan karena dapat menjaga agar komputernya tetap kosong, dengan layanan yang sangat murah, jika dibandingkan menggunakan biaya dengan lebih banyak staf IT. Selain itu, jika membutuhkan support, mereka responsif. Tetapi sebelum malam tahun baru, seorang karyawan membuka lampiran email yang tampaknya merupakan faktur. Tiga puluh menit kemudian, tidak ada seorangpun di perusahaan casala yang dapat mengakses 4000 file milik perusahaan yang tersimpan di cloud drive. Setiap satu folder memiliki tulisan “help decrypt” yang pada dasarnya penyerang meminta tebusan. Penyedia cloud mengatakan masih membutuhkan waktu hampir seminggu untuk memulihkan semua file yang disandera. Malware tersebut juga mengganggu operasi bagi pelanggan lain di server yang sama. Meskipun perusahaannya memiliki back up harian.

Tetapi malware yang mengacak-acak file mereka sejenis ransomware yang disebut TeslaCrypt, berisi kelemahan pengkodean yang memungkinkan perusahaan keamanan dan antivirus membantu korban mendekripsi file tanpa membayar uang tebusan. Terdapat forum bantuan Bleeping Computer yeng telah membuat Tesla Decoder, yang memungkinkan korban untuk mendekripsi file yang dikunci TeslaCrypt.

  1. SQL Injection [10]

Injeksi SQL merupakan salah satu teknik dalam melakukan web hacking untuk menggapai akses pada sistem database yang berbasis SQL. Teknik ini memanfaatkan kelemahan dalam bahasa pemrograman scripting pada SQL dalam mengolah suatu sistem database. Hasil yang ditimbulkan dari teknik ini adalah membawa masalah baru yang cukup serius. Salah satu penyebab terjadinya serangan ini adalah tidak adanya penanganan terhadap karakter-karakter  tanda petik satu (‘) dan double minus (–) yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL. Sehingga seorang hacker dapat menyisipkan perintah kedalam suatu parameter maupun form. Serangan ini memungkinkan seseorang dapat login ke sistem tanpa memiliki account. Memungkinkan juga seseorang dapat merubah, menghapus, ataupun menambahkan data yang berada dalam database. Bahkan dapat mematikan database tersebut, sehingga tidak dapat memberi layanan pada web server.

Apa yang perlu dilakukan?

Untuk mencegah dan mengatasi permasalahan yang terjadi  adalah dengan cara meningkatkan awareness mengenai keamanan informasi dan data yang dimiliki. Jika data yang dimiliki adalah berharga maka perlu dilakukan antisipasi dan keamanan yang baik. Beberapa diantaranya yang bisa dilakukan dalah dimulai dengan memilih penyedia cloud yang benar-benar terpercaya dan memiliki keamanan informasi yang cukup baik. Misalnya dalam kasus SQL injection maka bisa dengan menjadikan variabel get menjadi absolute integer. Dengan menambahkan variabel get berisi enkripsi md5 yang divariasi dengan url. Dengan melakukan enkripsi password ataupun merubah algoritma autentikasi login khusus untuk form login, atau juga dengan memfilter inputan yang masuk.[10]. Begitu pula dengan ransomware, dengan memiliki backup dan mengupdate sistem secara berkala. Berhati-hati terhadap fraud yang mencurigakan. Kasus ini hanya beberapa yang terjadi, dan mungkin banyak kejadian yang lain yang menimbulkan akibat yang lebih parah. Maka sangat penting menumbuhkan awareness terhadap keamanan informasi di era serba digital seperti saat ini.

Melihat kacamata hukum bagi penjahat dunia digital di Indonesia

Indonesia merupakan negara hukum, setiap tindakan kejahatan ada UU yang mengaturnya, salah satunya di dunia cyber. Beberapa peraturan berikut yang  sesuai dengan kejahatan yang dilakukan di atas dan dapat menjerat pelaku peretasan adalah sebagai berikut:

Undang-undang yang mengatur mengenai peretasan

UU nomor 11 tahun 2008 tentang informasi dan transaksi elektronik dan UU no 19 tahun 2016 tentang perubahan UU No 11 tahun 2008. [12],[13].

  1. pasal 30 ayat (1,2, dan 3) yaitu :

    (1) Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik orang lain dengan cara apa pun.

    (2) Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik dengan cara apa pun dengan tujuan untuk memperoleh Informasi Elektronik dan/atau Dokumen Elektronik.

    (3) Setiap orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik orang lain dengan cara apapun dengan melanggar, menerobos, melampaui atau menjebol sistem pengamanan.

    Maka berdasarkan pasal 30 (1) UU-11-2008 tindak pidana apabila memenuhi unsur sebagaimana maksud dalam pasal 30 ayat (1) adalah dengan ancaman pidana maksimum 6 tahun denda maksimum Rp. 400.000.000 Pasal 46 [1] .

    Maka berdasarkan pasal 30 (2) UU-11-2008 tindak pidana apabila memenuhi unsur sebagaimana maksud dalam pasal 30 ayat (2) adalah dengan ancaman pidana maksimum 7 tahun denda maksimum Rp. 600.000.000 Pasal 46 [2] .

    Maka berdasarkan pasal 30 (3) UU-11-2008 tindak pidana apabila memenuhi unsur sebagaimana maksud dalam pasal 30 ayat (3) adalah dengan ancaman pidana maksimum 8 tahun denda maksimum Rp. 800.000.000 Pasal 46 [3] .

  2. Pasal 31 Ayat (1, dan 2) yaitu :

    (1) Setiap orang dengan sengaja dan atau tanpa hak atau melawan hukum melakukan intersepsi atau penyadapan atas informasi elektronik dan/atau dokumen elektronik dalam suatu komputer dan/atau sistem elektronik tertentu milik orang lain.

    (2) Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan intersepsi atas transmisi informasi elektronik atau dokumen elektronik yang tidak bersifat publik dari, ke, dan didalam suatu komputer dan/atau sistem elektronik tertentu milik orang lain, baik yang tidak menyebabkan adanya perubahan, dan/atau penghentian informasi elektronik dan/atau dokumen elektronik yang sedang ditransmisikan.

    Maka berdasarkan pasal 31 (1) dan (2) UU-11-2008 tindak pidana apabila memenuhi unsur sebagaimana maksud dalam pasal 31 ayat (1) dan (2) adalah dengan ancaman pidana maksimum 10 tahun denda maksimum Rp. 800.000.000 Pasal 47 .

  3. Pasal 32 Ayat 1 yaitu :

    Setiap orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apapun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu informasi elektronik dan atau dokumen elektronik milik orang lain atau milik publik. Perbuatan tersangka yang melakukan tindak pidana cracking melalui botnet telah memenuhi unsur subjektif

    Pasal 32 ayat (1) dan pasal 32, maka berdasarkan Pasal 48 UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik : Setiap orang yang memenuhi unsur sebagai mana dimaksud dalam Pasal 32 ayat (1) dipidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp. 2.000.000.000,00 (dua miliar rupiah).

  4. Pasal 33 :

    Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan tindakan apapun yang berakibat terganggunya sistem elektronik dan atau mengakibatkan sistem elektronik menjadi tidak bekerja sebagaimana mestinya.

    Berdasarkan Pasal 49 UU Nomor 11 Tahun 2008 tentang Informasi dan Transaksi Elektronik, setiap orang yang sebagaimana dimaksud dalam Pasal 33, dipidana dengan penjara paling lama 10 (sepuluh) tahun dan/atau denda paling banyak Rp. 10.000.000.000,00 (sepuluh miliar rupiah).

Referensi :

[1]. Aurora, Indu dan Gupta, Anu, “Cloud Database: A Paradigm Shift In Databases”. (2012)

[2]. Saputro, Yama Fresdian Dwi, “Cloud Database”. (2007)

[3]. Akande, Akinlou Olumide, “ Towards the Development of a Framework to Increase The Cloud Computing Readiness of Financial Institution in South Africa”, (2013)

[4]. Dhali, Salauddin, “A Studi on Cloud Computing Adoption of Small and Medium Enterprises”, 2015.

[5]. Sinambela, Josua M, “Cloud Computing Security”. (2013)

[6]. ___________, https://www.winnetnews.com/post/sekelompok-hacker-telah-lakukan-serangan-ddos-ke-server-dyn-dns (diakses 18 Oktober 2017)

[7]. Bonguet, Adrien dan Belaiche, Martine, “A Survey of Denial-of-Service and Distributed Denial of Service Attacks and Defenses in Cloud Computing” (2017)

[8]. ____________, https://devops-indonesia.com/serangan-ransomware-butuh-keamanan/, Mei 2017 (diakses 18 Oktober 2017)

[9]. ___________, (https://krebsonsecurity.com/2016/01/ransomware-a-threat-to-cloud-services-too/) diakses 18 Oktober 2017)

[10]. Oktariani, “ Keamanan Data Pada Cloud Storage” (2011)

[11]. _________, http://sqlserver2014tutorial.com/tag/cloud-database/ (diakses 8 November 2017)

[12]. UU ITE NO 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik.

[13]. UU No 19 Tahun 2016 Tentang perubahan UU No 11 Tahun 2008.

 

Leave a Reply

Your email address will not be published. Required fields are marked *