Pada pemilu 2004 lalu, ada sebuah kasus yang
cukup mengegerkan dan memukul telak KPU sebagai institusi penyelenggara Pemilu.
Tepatnya pada 17 April 2004 situs KPU diacak-acak oleh seseorang dimana
nama-nama partai peserta pemilu diganti menjadi lucu-lucu namun data perolehan
suara tidak dirubah. Pelaku pembobolan situs KPU ini dilakukan oleh seorang
pemuda berumur 25 tahun bernama Dani Firmansyah, seorang mahasiswa Universitas
Muhammadiyah Yogyakarta jurusan Hubungan Internasional.
Pihak Kepolisian pada awalnya kesulitan untuk
melacak keberadaan pelaku terlebih kasus seperti ini adalah barang baru bagi
Kepolisian. Pada awal penyelidikan Polisi sempat terkecoh karena pelaku
membelokan alamat internet atau internet protocol (IP address) ke Thailand
namun dengan usaha yang gigih, polisi berhasil meringkus tersangka ini setelah
bekerjasama dengan beberapa pihak seperti Asosiasi Penyelenggara jasa Internet
Indonesia (APJII) dan pihak penyedia jasa koneksi internet (ISP/Internet
Service Provider).
Dani Firmansyah, pembobol situs KPU
Kronologi Pembobolan Situs www.kpu.go.id
Xnuxer, nama panggilan Dani Firmansyah di dunia
bawah tanah (Underground), di tangkap Satuan Cyber Crime Direktorat Reserse
Khusus Kepolisian Daerah Metro Jaya pada tanggal 24 April 2004 sekitar pukul
17:20 di tempat kerjanya di kantor PT. Danareksa Jl. Merdeka Selatan,
Jakarta Pusat.
Jumat 16 April, Xnuxer mencoba melakukan tes
sistem sekuriti kpu.go.id melalui XSS (cross site scripting) dari IP
202.158.10.117, namun dilayar keluar message risk dengan level low (website KPU
belum tembus atau rusak). Hal itu ia kerjakan di kantornya di Gedung PT
Danareksa, Ia menjadi semakin penasaran sebab selama sehari penuh sistem
website KPU itu benar-benar tidak berhasil ditembus.
Sabtu 17 April 2004 pukul 03.12,42, Xnuxer
mencoba lagi melakukan penetrasi ke server tnp.kpu.go.id dengan cara SQL
Injection dan berhasil menembus IP tnp.kpu.go.id 203.130.201.134, serta
berhasil meng-up date tabel daftar nama partai pada pukul 11.23,16 sampai pukul
11.34,27. Teknik yang dipakai Xnuxer dalam meng-hack yakni melalui teknik
spoofing (penyesatan). Xnuxer melakukan serangan dari IP 202.158.10.117,
kemudian membuka IP Proxy Anonymous Thailand 208.147.1.1 sebelum msuk ke IP
tnp.kpu.go.id 203.130.201.134, dan berhasil membuka tampilan nama 24 partai
politik peserta pemilu. Nama ke-24 parpol peserta pemilu kemudian diubah
menjadi buah dan hewan. Seperti Partai Jambu, Partai Kolor Ijo, Partai
Wirosableng, Partai Kelereng, Partai si Yoyo, Partai Air Minum Kemasan Botol,
Partai Dukun Beranak, maupun Partai Mbah Jambon.
Dani juga sempat menyesatkan pelacakan petugas
dengan seolah-olah ia membobol situs KPU dari Warna Warnet di Jl Kaliurang Km
8, Yogyakarta. Dari penelusuran di Yogyakarta, polisi mendapatkan keterangan
pelaku merupakan hacker yang sudah pindah ke Jakarta sejak 1 April 2003.
Pelacakan untuk menangkap Dani dimulai polisi
dengan mempelajari log server KPU. Untuk mempermudah kerja, hanya log server
tanggal 16 dan 17 April yang diteliti. Itu pun tidaklah mudah sebab pada
tanggal 16 April terdapat 361.000 baris data orang-orang yang masuk ke situs
KPU ini. Lalu, pada tanggal 17 April saat sang cracker beraksi itu, ada 164.000
baris data tamu.
Dari penelusuran ini, terlihat bahwa penggantian
nama-nama partai di situs KPU berlangsung pada tanggal 17 April antara pukul
11.24 WIB sampai 11.34 WIB. Penelusuran juga mendapatkan dua buah nickname
pelaku yaitu "xnuxer" dan "schizoprenic".
Kesulitan pertama langsung terlihat karena
terlihat bahwa pelaku telah melakukan "penyesatan". Terlihat seakan
pelaku melakukannya dari Thailand dari alamat IP (Internet Protocol)
208.147.1.1. Polisi dan timnya tidak menyerah. Mereka melacak kegiatan nickname-nickname
tadi dari berbagai cara.
Secara tidak sengaja tim perburuan bertemu
dengan seseorang yang kenal dengan Dani di internet ketika sedang chatting.
Kemudian tim penyidik menemukan salah satu IP address di log KPU, ada yang
berasal dari PT. Danareksa. Lalu belakangan diketahui bahwa seseorang yang
diajak chatting dengan polisi untuk mencari informasi tentang Dani tersebut
adalah Fuad Nahdi yang memiliki asal daerah yang sama dengan Dani, dan
merupakan admin di Warna Warnet. “Jadi nickname-nya mengarah ke Dani dan IP
addres-nya mengarah ke tempat kerjanya Dani. Dari hasil investigasi, keluar
surat perintah penangkapan atas Dani Firmansyah yang berhasil dibekuk di
kantornya di Jakarta.
·
Modus dan Motif Pembobolan Situs KPU
Adapun modus dari tindakan Dani Firmansyah ini
adalah “Unauthorized Access to Computer System and Service” dan “llegal
Contents” dan dalam dunia underground sering disebut dengan nama “Deface” jenis “Half
of Page”.
Ketika Dani berhasil ditangkap kepada penyidik,
pria yang bekerja sebagai konsultan teknologi informasi (TI) PT. Danareksa itu
mengaku bahwa motif ia melakukan pembobolan situs KPU ini karena ia tertantang
dengan pernyataan Ketua Kelompok Kerja TI KPU Chusnul Mar’iyah di sebuah
tayangan televisi. Saat itu, Chusnul mengatakan sistem TI seharga Rp152 miliar
itu sangat aman dan tidak akan bisa ditembus hacker. Oleh karena itu, Dani
mengetes sistem keamanan server tnp.kpu.go.id dengan cara XSS atau Cross Site
Scripting dan SQL Injection.
·
Cyber Law Untuk Menjerat Dani Firmansyah
Pada saat Dani Firmansyah berhasil ditangkap,
Kapolda Metro Jaya pada saat itu Irjen Pol Makbul Padmanegara di Mapolda
mengatakan bahwa peristiwa tersebut adalah kasus kejahatan maya pertama yang
berhasil diungkap Satuan Cyber Crime yang belum terbentuk pada saat itu.
“Sah-sah saja bila ada orang yang memiliki kemampuan seperti keahlian Dani.
Tapi kalau masuk ke situs orang tanpa izin pemiliknya, itu jelas melanggar
hukum,” jelasnya.
Pada waktu itu, Indonesia belum memiliki
undang-undang khusus cyber (cyber law), sehingga Dani Firmansyah dijerat dengan
pasal-pasal UU No 36/1999 tentang Telekomunikasi, yang merupakan bentuk Lex
Specialis dari KUHP di bidang cyber crime. Ada tiga pasal yang menjerat adalah
sebagai berikut :
· Dani Firmansyah, hacker situs KPU dinilai terbukti melakukan
tindak pidana yang melanggar pasal 22 huruf a, b, c, Pasal 38 dan Pasal 50 UU
No 36 tahun 1999 tentang Telekomunikasi.
· Pada pasal 22 UU Telekomunikasi berbunyi :
Setiap
orang dilarang melakukan perbuatan tanpa hak, tidak sah atau memanipulasi :
a. Akses
ke jaringan telekomunikasi; dan atau
b. Akses
ke jasa telekomunikasi; dan atau
c. Akses
ke jaringan telekomunikasi khusus.
Unsur-unsur pasal ini telah terpenuhi dengan pembobolan situs KPU yang
dilakukan oleh Dani secara ilegal dan tidak sah, karena dia tidak memiliki hak
atau izin untuk itu.
· Selain itu Dani Firmansyah juga dituduh melanggar pasal 38 Bagian
ke-11 UU Telekomunikasi yang berbunyi “Setiap orang dilarang melakukan
perbuatan yang dapat menimbulkan gangguan fisik dan elektromagnetik terhadap
penyelenggara telekomunikasi.” Internet sendiri dipandang sebagai sebuah jasa
telekomunikasi.
Pasal ini juga bisa diterapkan pada kasus ini, sebab apa yang dilakukan oleh
Dani juga menimbulkan gangguan fisik bagi situs milik KPU.
Ancaman hukuman bagi tindakan yang dilakukan Dani Firmansyah adalah sesuai
dengan bunyi pasal 50 UU No 36/1999 tentang Telekomunikasi berbunyi “Barang
siapa yang melanggar ketentuan sebagaimana dimaksud dalam Pasal 22, dipidana
dengan pidana penjara paling lama 6 (enam) tahun dan atau denda paling banyak
Rp 600.000.000,00 (enam ratus juta rupiah).”