Hacker Beberkan "Kecurangan" Sistem IT KPU Menangkan Capres Tertentu

================================================================
" Security Audit Sistem IT KPU Pilpres 2014 "
==============================================
Perkenalkan. Nama saya . Tanpa nama belakang.
==============================================
Saya la!ir "i In"#nesia. Sebagai C$H% pr#&esi saya k#nsultan keamanan 'aringan k#mputer.
Baru ta!un ini saya mengikuti berita(berita "an ikut memili! "i Pemilu Presi"en In"#nesia.
Hari ini )* +uli ),-.. Saya membaca berbagai tulisan #rang. Banyak yang bertanya/ paka!
Pemilu Presi"en ),-. berlangsung "engan 'u'ur "an a"il0
Saya mungkin punya 'a1abannya. Mungkin. Tulisan saya mungkin men'a1ab pertanyaan.
Mungkin 'uga mala! membuka banyak pertanyaan baru.
Namun sebelumnya m#!#n maa&. Saya bukan penulis. M#!#n maa& 'ika ba!asa saya kurang
baik. Saya c#ba sampaikan "engan singkat "an e&ekti&.
Tulisan ini saya tu'ukan untuk an"a(an"a yang penasaran.
+uga untuk cal#n presi"en terpili!% pak +#k#1i. gar nanti sistem IT Pemilu ),-2 bisa lebi! baik
"ari sekarang. gar ti"ak a"a lagi yang teriak curang.
+uga untuk cal#n presi"en ti"ak terpili!% pak Prab#1#. Karena an"a pasti penasaran. +uga untuk
presi"en sekarang% pak SB3. Siapa ta!u% bapak 'uga penasaran.
+uga untuk para perancang "an a"min sistem IT Pemilu ),-./ 4a"en Sant#s#% Nanang In"ra%
Utian yuba% n"y Nugr#!#% 3#ga 5a!irsa% Mu!amma" Ha&i"6 "kk.
Tentunya 'uga untuk pa"a angg#ta KPU/ Husni Kamil Malik% 7erry Kurnia 4i6kiyansya!% I"a
Bu"!iati% Sugit Pamungkas "kk.
nggap sa'a ini sumbangan saya. Untuk ba!an pela'aran bersama. gar In"#nesia lebi! aman.
In"#nesia !ebat. In"#nesia bangkit.
8 pril ),-.
5i 8 pril ),-.. Saya mengamati a"a &en#mena menarik.
Hacker "an kracker 'uga punya !ak pili!. Punya !ak berp#litik. +uga punya !ak berkampanye
men"ukung n#m#r satu atau n#m#r "ua.
Begitu besar semangat para !acker "an kracker "alam Pemilu Presi"en ),-. ini. Sebagian besar
"ukung n#m#r "ua. 9alau 'uga a"a yang "ukung n#m#r satu.
Ini kesimpulan saya setela! meli!at begitu banyak iklan capres "i :##gle "an 3#uTube. Iklan
yang baik(baik sa'a. +uga iklan yang ti"ak baik(baik sa'a.
Pa"a!al ti"ak b#le! a"a iklan capres "i ke"ua situs ini. :##gle melarang iklan p#litik "i
In"#nesia. 5alam bentuk apapun. Namun...
Mereka pasti menya"ari kemampuan :##gle "alam menyaring "an membl#kir iklan terbatas.
Cela! ini yang "iekpl#itasi.
"a 'uga yang begitu bersemangat% banyak situs #rang "iretas% "iuba! 'a"i !alaman untuk
pr#m#si atau men'elekkan yang ti"ak "i"ukungnya.
Mereka berusa!a untuk mempengaru!i persepsi. Persepsi mempengaru!i !asil.
Usa!a mereka membuat saya bertanya. Selain menyebarkan in&#rmasi untuk mempengaru!i
presepsi% apa lagi yang bisa mereka lakukan0
5apatkan !acker "an kracker simpatisan capres meretas sistem IT KPU0 5an mempengaru!i
!asil secara langsung0 Saya menc#banya.
=====================================
Cela! Keamanan ; -/ $mail ngg#ta KPU
=====================================
Untuk mema!ami bagaimana cara ker'a sistem IT KPU saya perlu in&#rmasi "ari "alam. Saya
mulai "ari mencari alamat email angg#ta(angg#ta KPU.
Saya menemukan "#kumen ini semua alamat email k#misi#ner KPU yang akti& "igunakan a"a "i
"#kumen ini. $nam "ari tu'u! menggunakan email gratisan.
Saya 'a"i bertanya. Mengatur pemilu bukan peker'aan main(main. Kenapa gunakan email
gratisan yang mu"a! "iretas0 pa mungkin "isenga'a0
7erry Kurnia sepertinya a"ala! yang paling mu"a "ari tu'u! angg#ta KPU. Biasanya yang paling
mu"a a"ala! yang paling terlibat untuk urusan IT.
Saya kirimkan satu email p!is!ing ke 7erry. Ti"ak sampai "ua 'am% saya su"a! bisa akses "an
membaca semua email yang perna! "iterima "an "ikirimkan.
pa yang saya temukan membuat saya bingung. Saya yakin para angg#ta KPU% "an para
perancang sistem IT KPU bukan #rang sembarangan.
Namun mereka seperti membuat semuanya begitu mu"a! untuk se#rang yang punya niat seperti
saya untuk masuk ke sistem IT KPU.
=======================================================
Cela! Keamanan ; )/ Berkirim Username "an Pass1#r" "i $mail
=======================================================
Hal pertama yang saya lakukan ketika membuka b#ks email sala! satu angg#ta KPU a"ala!
mencari kata "pass1#r"". Saya sunggu! terke'ut.
Saya langsung "apat pass1#r" ke SI<=:. Sistem <#gistik.
Saya 'uga "apat pass1#r" ke 5r#pb#> yang "ipakai untuk simpan c#py "ata pemili! seluru!
In"#nesia.
5apat 'uga pass1#r" ke sistem real c#unt KPU. 3a. Ternyata KPU memiliki sistem real c#unt
yang enta! mengapa ti"ak "itampilkan "i 1ebsitenya se!ingga publik !arus meng!itung sen"iri
seperti "i 1ebsite ka1alpemilu.#rg.
5apat 'uga pass1#r" untuk mengel#la 1ebsite KPU. 5apat 'uga pass1#r" untuk SI5<IH%
sistem "ata pemili!. 5apat 'uga pass1#r" untuk banyak sistem lainnya.
Ini 'uga membuat saya bingung. Berbagai pass1#r" "ikirimkan begitu sa'a #le! a"min melalui
email. paka! ingin memu"a!kan !acker untuk masuk sistem0
Catatan/ Banyak pass1#r" "i screens!#t ini masi! "igunakan... +a"inya saya !i""en ya... Maa&
kalau 'a"i penasaran.
===========================================================
Cela! Keamanan ; */ "a :##gle 5#cs 5a&tar Username "an Pass1#r"
===========================================================
Betapa terke'utnya saya. $mail ini benar(benar "i luar l#gika "an cara berpikir saya. Saya
temukan satu email yang "ikirimkan #le! a"min sistem IT KPU kepa"a semua angg#ta KPU.
Isinya :==:<$ 5=CS "engan "a&tar semua pass1#r" sistem IT KPU.
Saya 'a"i benar(benar curiga% para a"min "an angg#ta KPU memang ingin memu"a!kan !acker
"an kracker untuk masuk ke sistem IT KPU.
palagi...
==============================================
Cela! Keamanan ; ./ P#la Pass1#r" Mu"a! 5itebak
============================================
Sebagai c#nt#!% ini pass1#r" SSH ke 1ebsite KPU yang perna! "igunakan/
?????????????????????????????????????
."m-n@,n'#lA1-1-k. Username/ kpua"min.
?????????????????????????????????????
?????????????????????????????????????
Pass1#r" r##t s!ellBMySC</ m*r"*k.-2.DE
????????????????????????????????????
Banyak pass1#r" sistem IT KPU menggunakan p#la yang sama. paka! agar mu"a! "iingat...
tau agar mu"a! "iretas. Maa& 'ika saya berpikir yang ti"ak(ti"ak% karena saya "ilati! untuk
mencermati p#la.
Cela! Keamanan
==================================================
; D/ Semua ngg#ta KPU Bisa $"it 5a&tar Pemili! Sesuka Hati
===================================================
Ini a"ala! Sistem 5ata Pemili! FSI5<IHG KPU. 5engan sistem ini KPU mengatur nama(nama
yang masuk ke 5a&tar Pemili! Sementara F5PSG "an 5a&tar Pemili! Tetap F5PTG.
Penambahan atau pengurangan nama-nama pemilih dapat dilauan dari sistem ini! Ini
rusial arena di Ind"nesia pemilih dapat memilih cuup berbeal undangan tanpa perlu
KTP!
Saya #rang a1am. Namun 'a"i pertanyaan besar untuk saya. +ika mau aman/ Kenapa semua
angg#ta KPU bisa e"it 5PT sesuka !ati0 Kenapa akses yang "iberikan #le! a"min ti"ak !anya
rea" #nly0
Keputusan !ak e"it ini% tentu sa'a keputusan "isenga'a% ti"ak mungkin kecelakaan% memberikan
ke1enangan sangat besar untuk setiap angg#ta KPU untuk bermain "engan 'umla! pemili!.
Mengurangi atau menamba!kan.
Bisa sa'a 'ika a"a angg#ta KPU yang k#munikasi "engan tim sukses cal#n presi"en tertentu% atau
'ika a"a !acker atau kracker pen"ukung cal#n presi"en tertentu yang masuk ke sistem seperti
saya... Bisa sa'a menamba!kan pemili! baru... atau mengurangi pemili! "i "aera!("aera!
tertentu.
Mereka yang belum bisa memili!% bisa "iberikan !ak untuk memili!. Mereka yang "iketa!ui
akan memili! cal#n tertentu% bisa "icabut !ak memili!nya... 5engan mu"a!. Sangat mu"a!.
palagi untuk setiap entri... Ti"ak a"a in&# atau l#g secara terbuka% siapa yang terak!ir
melakukan e"it apalagi e"it !ist#ry.
Cela! yang memba!agiakan... Bagi siapapun yang punya niat ti"ak baik.
Cela! Keamanan
==============================
; H/ Semua ngg#ta KPU Bisa $"it +umla! Pengiriman Kertas Suara Sesuka Hati
=============================
Sistem <#gistik FSI<=:G KPU. 5engan sistem ini KPU mengatur "istribusi surat suara ke semua
"aera! B TPS. Penamba!an atau pengurangan pengiriman kertas suara "apat "ilakukan "ari
sistem ini.
Pertanyaan saya mengenai SI<=: ini sama "engan SI5<IH.
Saya #rang a1am. Namun 'a"i pertanyaan besar untuk saya. +ika mau aman/ Kenapa semua
angg#ta KPU bisa e"it l#gistik pemilu seperti kertas suara sesuka !ati0 Kenapa akses yang
"iberikan #le! a"min ti"ak !anya rea" #nly0
Maa& kalau ini seperti mengulang. Keputusan ini% tentu sa'a keputusan "isenga'a% ti"ak mungkin
kecelakaan% memberikan ke1enangan sangat besar untuk setiap angg#ta KPU untuk bermain
"engan 'umla! kertas suara.
Bisa sa'a 'ika a"a angg#ta KPU yang k#munikasi "engan tim sukses cal#n presi"en tertentu% atau
'ika a"a !acker atau kracker pen"ukung cal#n presi"en tertentu yang masuk ke sistem seperti
saya... Bisa sa'a mengirimkan kertas suara lebi! ke "aera!("aera! tertentu. Sangat mu"a!.
palagi seperti "i SI5<IH... Untuk setiap entri... Ti"ak a"a in&# atau l#g secara terbuka% siapa
yang terak!ir melakukan e"it apalagi e"it !ist#ry.
=======================
presiasi/ Sistem Scan 7#rmulir C-
=======================
5alam membuat tulisan ini% saya merasa saya !arus a"il. +ika a"a cela! keamanan% saya
sampaikan. +ika a"a best practice yang "ilakukan% saya apresiasi.
Sistem scan &#rmulir C- yang "ibuat #le! tim KPU menurut saya sangat bagus. ntarmuka
aplikasi "i"esain se"er!ana% ti"ak banyak isian. Ini pastinya membantu meningkatkan
penggunaan sistem.
Presentasi C- "i 1eb pilpres),-..kpu.g#.i" 'uga bagus. Se"er!ana "an mu"a! "igunakan #le!
siapapun.
Pengel#laan C- ini membuat persepsi kalau pemilu berlangsung "engan 'u'ur "an a"il. Hampir
ti"ak mungkin mempengaru!i !asil pemilu 'ika scan C- su"a! terkumpul semua "i serIer KPU.
Namun saya punya pertanyaan. Pertanyaan cukup besar. "min membuat aplikasi real c#unt%
k!usus untuk pa"a angg#ta KPU "i alamat !ttp/BB-,*.)-.))@.**Binternal ( kenapa "ata ini ti"ak
"ibuka ke publik0............... "an <MT IP ini sekarang tela! "i Hapus #le! KPU
Kenapa memaksa publik untuk melakukan g#t#ng r#y#ng entri "ata "ari ratusan ribu &#rmulir
C-0 Pa"a!al real c#unt nya su"a! a"a...
Seke"ar pertanyaan sele1at sa'a. Mungkin a"a penilaian sen"iri...
Kesimpulan
Kembali ke pertanyaan a1al/ paka! Pemilu Presi"en ),-. berlangsung "engan 'u'ur "an a"il0
Saya ti"ak ta!u. Terlalu banyak "aera!% terlalu banyak TPS% terlalu banyak nama pemili! untuk
"apat mengeta!ui permainan "engan SI<=: atau SI5<IH.
Namun "ua !al yang pasti/
Pertama/ Siapapun yang bisa punya akses ke SI<=: "an SI5<IH "an punya niat untuk
memenangkan cal#n n#m#r satu atau n#m#r "ua% terutama sebelum bulan Mei ),-.% "an punya
kemampuan k##r"inasi "engan tim sukses "i lapangan FTPS TPS% "esa("esa mana sa'a yang
perlu "ilebi!kan kertas suara... Nama(nama apa sa'a yang perlu "itamba!kan atau "ikurangi "ari
sistemG "apat sangat mempengaru!i !asil Pemilu Presi"en ),-..
Ke"ua/ Sama sekali ti"ak sulit untuk mengakses semua sistem IT KPU. Mala! saya curiga...
Seperti "ibuat begitu mu"a! bagi !acker "an kracker yang ingin masuk. "a apa0
Sem#ga bukan kenapa(kenapa. Sem#ga cela!(cela! keamanan yang saya tulis "isini... "ala!
kesala!an yang ti"ak "isenga'a.
Karena siapa yang punya akses ke sistem IT KPU... Bisa mempengaru!i siapa yang terpili! 'a"i
presi"en.
Presi"en yang punya kuasa akan negara )D, 'uta pen"u"uk. nggaran ).,,, triliun. H,,.,,,
tentara. Perputaran uang !ampir -,.,,, triliun.
Karena kalau memang "isenga'a...
Sangat mu"a!... Bisa a"a ratusan... 4ibuan... Mungkin 'utaan pemili! "baru". Hasil kreasi "ari
mereka yang punya akses ke SI5<IH.
Bisa 'uga a"a ratusan... 4ibuan... Mungkin 'utaan kertas suara yang "kebetulan lebi!". Hasil
kreasi "ari mereka yang punya akses ke SI<=:.
Maa& 'ika tulisan ini 'a"i menimbulkan pertanyaan baru.
5emikian tulisan saya. Sem#ga ini berman&aat.
.
?Catatan kaki/ Saya se#rang !acker. Bukan kracker. Saya melakukan au"it ini karena penasaran.
Bukan karena a"a niat ti"ak baik.
Namun un"ang(un"ang In"#nesia ti"ak membe"akan. Untuk meng!in"ari kemungkinan
pi"ana... I 1is! t# remain an#nym#us.
Fsumber/ !ttp/BBau"it(kpu.bl#gsp#t.c#mG
=============================================
Quote:Original Posted By scareat2
dari analisa saya berkaitan rentannya IT KPU, disini saya akan sedikit menjelaskan
darimana permainan ini di mulai :
1 permainan Ini di mulai !"U# #"$I %&B&'U( P&)*OB'O%") +sangat beresiko
tinggi bermain saat pen,oblosan- , permainan dimulai dari Penetapan .PT dan logistik
Pemilu + Penggelembungan .PT dan 'ogistik di Pro/insi 'U(BU)0 %U"$" (elalui IT
KPU +tidak di semua pro/insi- yaitu .KI, !"TI( dan !"T&)0-
1 Ketika IT KPU di retas dan ketika pengiriman logistik di mulai, maka mobilisasi massa
di mulai ke lokasi2lokasi tersebut
3 untuk memuda4kan di buat peraturan bole4 memili4 dengan KTP saja +dibuat
simpang siur se4ingga membingungkan KPP%, +disni KPP% ga brani untuk nolak
pemili4 yang 4anya menggunakan KTP-
5 Ketika #ari pen,oblosan mobilisasi massa suda4 stay di lokasi masing2msing untuk
pen,oblosan
6 ketika 4ari peng4itungan %&(U" *'&"$, KPU bebas "udit, BUKTI2BUKTI
pendukung KPU bersi4 lengkap dan masyarakat ikut dilibatkan untuk meng4itung
dengan pola s,an *1
7 permasala4an tersebut tidak begitu saja 'olos karena ."T" dari BP% ternyata !"U#
berbeda dengan .PT yang ada di KPU, mungkin doi lupa ruba4 data di BP% kali yaa44
tolong taro pej8an gan
Quote:Original Posted By voidstatic
klo kabupaten ).U0" si4 8e ngerti tu memang bermasala4
4ttps:99idberitaya4oo,om9kasus2pi:5:31;13;4tml
4ttp:99888republika,oid9berita9pi152ka,au2balau
4ttp:99888beritasingkat,om91:152:<uga2papua4tml
jadi 8e ga 4eran,,
yang 8e 4eran knapa tu di gambar demo 4a,k, %%' keamanannya tanda tanya,=
soalnya klo %%'nya tanda tanya, 8e juga bisa demo 4al serupa,,ara garis besarnya
gini:
1 simpan 4alaman 8ebsite KPU yang ingin di,apture gambarnya
1 edit angka9konten dari 4alaman yang disimpan td menggunakan
notepad9sema,amnya sesuai dengan yg diinginkan dan simpan >ile dalam bentuk dan
>ormat s,ript p4p
3 install 8ebser/er tersera4, m8 pake 8amp,?amp,lamp,ato I*% di8indo8s ser/er
yang support p4p
5 taru4 4alaman p4p yang da4 diedit untuk dipasangkan pada 8eb ser/er
6 akti>kan >itur 4ttps di 8ebser/er n buat tanda tangan %%' sendiri
7 akti>kan sebua4 .)% ser/er tersera4 menggunakan Bind@98indo8s ser/er dan atur
ip 11<::1 menjadi domain pilpres1:15kpugoid
<atur pengaturan .)% menjadi ip ser/er bind@98indo8s ser/er td
;tinggal akses 4alaman di bro8ser dengan alamat pilpres1:15kpugoid dengan posisi
komputer tanpa internet setela4 itu tinggal s,reen s4ot de4
serti>ikat %%' yang tanda tanya biasa 8e sering temuin klo masa berlaku %%'nya 4abis
atau memakai %%' tanda tangan sendiri, jadi ada 1 kemungkinan
tu 8ebsite memang pemerinta49komin>o ga mampu bayar buat tanda tangan %%'nya jd
tu 8ebsite memang kena 4a,k,
ato tu s,reens4ot dibikin di 8ebser/er komputer lokal sperti garis besar yang da4 8e
terangin td
Quote:Original Posted By iyaakuceroboh
.PT di Banyak daera4 beda antara di 8eb A 4asil >inal rekap biar ga 4oa? sila4kan
donlod >inal rekap A liat .PT di 8eb KPU
Spoiler >or jumlah DPT jakarta di web
Spoiler >or jumlah dpt jakarta dari hasil final rekap
Spoiler >or jumlah dpt PAPUA dari hasil final rekap
Spoiler >or jumlah DPT PAPUA di web
============================================
..... P$MI<U Ke"epan "i Harapkan ke P$M$4INTH untuk lebi! baik "i segi IT "an In&#rmasi
serta keamanan sen"iri ... 'angan pakai $(MI< :4TISN Sama 1eb :ratisan .....
F bl#gsp#t..bla ( bla..... G
? Untuk Pemilu ),-. Biarla! C<=N Presi"en ke - 3ang akan menyelesaikannya% paka!
Berse"iaBMen#lak atau Memba1a ke +<U4 HUKUM B MK. Sebelum pasangan N# - "i lantik.
== KIT 4K3T IN5=N$SI " B$45$5 Pen"apat B=<$H NMUN T$TP STU "
IN5=N$SI ==
Cu#te
t#k#mapan
Kaskus Maniac 3ester"ay -,/.* ;)
!mm sem#ga a'a "a! ga ke'a"ian lagi gan
"an semua l#g#1# a'a
Quote:Original Posted By cheanizer
.engan segala kerenda4an 4ati bener yang di omongin agan di atas ba48a situsKPU
tidakla4 lebi4 4anya sebua4 papan pengumuman saja
(ereka memakai BP) untuk jaringan in>ormasi jumla4 suaranya Pun gitu 4arus di
,ross,ek dengan peng4itungan manual dengan men,o,okan 4asil *1 dari masing1
TP%
!adi merentas situs KPU tidak lain 4anyala4 seperti "B0 labil yang men,oret1 papan
pengumuman tidak mempengaru4i jumla4 suara
'agian %aya per,aya system KPU sendiri memang mumpuni beberapa rekan saya
ikut membangun dan mereka mengakui !adi saya ngak per,aya itu bener1 bisa di
masuki
sila4kan di ba,a di diskusi 4ttps:99m>a,ebook,om9storyp4p=sto;;17:35@31;<51
Ternyata ,uma >ans >anatik yang ngak ta4u besarnya dosa menyebar >itna4
Cu#te
!a1ari&a"!il
Kaskus H#lic 3ester"ay -,/.D ;*
Quote:Original Posted By tokomapan
4mm semoga aja da4 ga kejadian lagi gan
dan semua logo8o aja
ane se8 gan% agan tau arti leg#1# gak 0
leg#1# = let it g# 1#
Cu#te
Sta&yam
Kaskus ""ict 3ester"ay -,/.H ;.
kalau kaya gini lap#rnya kmn gan 0
Cu#te
glaciu6
ktiIis Kaskus 3ester"ay -,/.@ ;D
Quote:Original Posted By hawarifadhil
ane se< gan, agan tau arti lego8o gak =
lego8o C let it go 8o
let it g# 1#
baru tau ane gan
Cu#te
.-,.-,.-,.
Kaskus ""ict 3ester"ay -,/D- ;H
a"a mas !ekel%
Cu#te
krn1n-8
Ne1bie 3ester"ay -,/D) ;8
pan'ang #m%
aku baca pelan" "ulu .
Cu#te
kasakas
Ne1bie 3ester"ay -,/D* ;@
:ue #ga! untuk ngurusin H< P#litik ginian gan
3N: P$NTIN: :U$ :NT$N:
Cu#te
B#b <u!ut
ktiIis Kaskus 3ester"ay -,/DH ;2
c#ba "ilap#rkan ke yang ber1enang su!u *- "esember ),,, bt1 nice t!rea" su!u
Cu#te
r#b#tg#bl#g
Kaskus ""ict 3ester"ay -,/D8 ;-,
Quote:Original Posted By hawarifadhil
ane se< gan, agan tau arti lego8o gak =
lego8o C let it go 8o
<et it :# 9#.. sama kayak yang "i 7r#6en ya br#!
Cu#te
sempakb#s#k
ktiIis Kaskus 3ester"ay -,/D8 ;--
kan per!itungan suara "i KPU pake "ua serIer% untuk yg per!itangannya se"iri pake serIer yg
#&&line mana mungkin bisa "i!ack 1#ng #&&line
sumber / ane baca "i "etik s#ri link nya lupa
Cu#te
bubur.racun
Kaskuser 3ester"ay -,/D8 ;-)
masa si! secer#b#! ini....
saya c#ba searc! surat e"arannya%% emang bener alamatnya gratisan....
ini a"ala! terkait security IT P#licy nya.