Ini Penjelasan Mengapa MadLeets Hacker Dengan Mudah Mendeface Google.co.id

Hari Raya Idul Adha, Minggu 05 Oktober dikejutkan dengan berita mengenai laman Google.co.id yang kena deface oleh sekelompok hacker yang mengatasnamakan diri sebagai MadLeets. Sekelompok hacker yang berasal dari pakistan ini diberitakan berhasil merubah tampilan laman Google Indonesia yang beralamat di www.google.co.id

Setelah dilakukan analisa, ternyata bukan server milik Google yang berhasil diretas seperti yang heboh diberitakan baik di media internet maupun di media-media sosial. Tetapi para peretas ini menggunakan teknik yang dinamakan dengan DNS Hijack. Ya, bukanlah perkara mudah untuk menjebol server Google yang sangat terkenal dengan sistem keamanan yang berlapis itu.

Sebelum Google.co.id, team MadLeets juga mengklaim pernah mengerjai laman Google Malaysia yang diduga juga menggunakan teknik yang sama (DNS Hijacked).

Nah, apa itu DNS Hijacked?. DNS Hijacked merupakan teknik mengalihkan alamat DNS suatu laman website ke laman website yang mereka (hacker) kehendaki. DNS atau Domain Name System sendiri merupakan sebuah sistem penamaan di internet yang berfungsi untuk mengubah alamat IP (berupa nomor) menjadi sebuah nama domain. Dalam kasus ini, MadLeets diduga kuat hanya mengubah alamat DNS google.co.id ke situs yang mereka inginkan.

Ini dibuktikan dengan DNS milik Google.Co.Id dengan IP 192.99.147.160 dialihkan ke domain host b0x1.madleets.com dengan IP 167.114.12.10, alamat IP google 192.99.147.160 pada waktu itu diketahui tetap dalam keadaan normal.

Memang, jika tidak di trace, sekilas laman Google.co.id terlihat seperti kena deface. Namun tidak demikian adanya. Apalagi hanya beberapa ISP tertentu saja yang mengalami hal demikian. Pengguna internet dengan ISP lainnya bisa mengakses www.google.co.id dengan normal.

Google.Co.Id Diduga Kena Deface Oleh Hacker MadLeets Kemarin.

Seperti yang dilaporkan oleh laman Kompas kemarin melalui forum Kaskus, hanya pengguna Telkom Speedy yang mengalami kejadian ini. Mengapa itu bisa terjadi?.

Seperti yang diketahui jika beberapa ISP di Indonesia seperti Telkom Speedy, Telkomsel dan XL menggunakan script pada beberapa laman internet milik mereka. Kode berupa java script tersebut biasanya dimanfaatkan oleh mereka untuk memuat konten periklanan terlebih dahulu sebelum pengguna menuju sebuah laman yang diinginkan sebenarnya.

Kuat dugaan jika MadLeets telah berhasil masuk ke server Telkom dan menyisipkan kode ke dalam script periklanan milik Telkom Speedy tersebut. Java script ini seharusnya mengalihkan pengguna internet ke laman iklan milik Telkom Speedy yang beralamat di sub domain cfs.u-ad.info. Ketika dilakukan trace, sub domain ini memang kepunyaan divisi iklan PT Telkom Indonesia.

Diduga kuat telah disusupi, akhirnya pengguna speedy yang akan mengakses alamat www.google.co.id, yang seharusnya mampir terlebih dahulu ke laman iklan milik Telkom Speedy di cfs.u-ad.info, malah langsung dialihkan peretas ke laman host.b0x1.madleets.com dengan tampilan google yang sudah di deface.

Disini dapat disimpulkan jika MadLeets bukan melakukan peretasan ke laman google.co.id langsung. Melainkan laman periklanan miliknya Telkom Speedy. Jadi, bukan perkara mudah peretas untuk membobol server Google walaupun setiap keamanan itu pasti ada celahnya.

Update: Google Indonesia menegaskan jika layanan Google untuk domain yang beralamat di www.google.co.id tidak dibajak. Melalui akun Twitter mereka di @Google_IDN, Google berkicau “Untuk waktu yang singkat, beberapa pengguna yang mengunjungi http://google.co.id diarahkan ke situs lain”. Sementara organisasi yang mengurus dan bertanggung jawab mengelola nama domain ini (google.co.id), telah mereka hubungi dan masalah telah selesai.

Sementara dari pihak Telkom, seperti yang dikutip dari laman kompas disini, gangguan akses terjadi bukan karena peretas berhasil masuk ke sistem DNS ISP seperti yang diberitakan sebelumnya. Yang dilakukan peretas adalah membobol domain lain dan melakukan update terhadap domain name server.