KNews.id – Jakarta – Peretas Pusat Data Nasional Sementara atau PDNS bisa leluasa memasuki sistem setelah berhasil menonaktifkan Windows Defender. Fitur keamanan berbasis Windows ini mulai mengalami gangguan sejak 17 Juni 2024 lalu. Setelah itu peretas menyebar sejenis file dan membuat seluruh sistem terganggu.
Kronologi ini diungkap oleh Badan Siber dan Sandi Negara atau BSSN. Pernyataan ihwal serangan bermula dari penonaktifan Windows Defender itu membuat kalangan pakar keamanan siber heran. Alfons Tanujaya, misalnya, mengatakan tidak seharusnya sekelas PDNS hanya dibekali Windows Defender.
“Karena performa Windows Defender itu kan basic, dan masa sekelas PDN enggak mampu pakai antivirus selain Windows Defender. Dan tidak ada proteksi tambahan lain seperti Firewall atau Cisco Pix gitu,” ujar Alfons saat dihubungi Tempo, Jumat, 28 Juni 2024.
Windows Defender diartikan juga sebagai Microsoft AntiSpyware, sejenis perangkat lunak dari Microsoft yang berfungsi melindungi sistem operasi Microsoft Windows dari perangkat pengintai atau serangan siber. Fitur keamanan yang satu ini juga menyediakan layanan gratis untuk proteksi, jadi tak semuanya berbayar.
“Sebenarnya mau dipakai Windows atau Linux atau yang lain, itu tak masalah. Tapi biasanya kebanyakan admin infrastruktur jaringan internet memakai Linux atau Mac,” ucap Alfons.
Menurut Alfons, seharusnya admin PDNS sekelas institusi besar paham dengan pengaturan keamanan untuk sistem lebih terproteksi atau aman.”Asalkan mereka (admin) menerapkan pengaturan yang konservatif, harusnya relatif sama tingkat keamanannya. Pengaturan konservatif ini macam-macam, misalnya menutup port yang tidak perlu, lalu monitoring akses, atau tidak mengaktifkan layanan lain, macam-macam lah,” ujar Alfons.
Lebih lanjut, Alfons menyayangkan kemampuan admin infrastruktur jaringan internet atau petugas keamanan di PDNS. Dalam bayangan dia, tugas yang diamanahkan untuk mengamankan sistem pemerintahan wajib dibekali dengan kemampuan yang sepadan. “Tapi kalau admin, harusnya tahu cara hardeningnya (proses pengamanan sistem dengan mengurangi permukaan kerentanan),” ucap Alfons.
Sebelumnya, Juru Bicara Badan Siber dan Sandi Negara (BSSN) Ariandi Putra mengatakan gangguan mulai terjadi sejak 17 Juni 2024. “BSSN menemukan adanya upaya penonaktifkan fitur keamanan Windows Defender yang terjadi mulai 17 Juni 2024 pukul 23.15 WIB sehingga memungkinkan aktivitas malicious dapat berjalan,” ujarnya pada 24 Juni 2024.
Ariandi menjelaskan ransomware bekerja dengan menonaktifkan Windows Defender (sistem keamanan) untuk mengizinkan file berbahaya terpasang pada sistem. Setelah itu, ransomware mulai masuk pada 17 Juni dan aktivitas mencurigakan mulai terdeteksi pada 20 Juni 2024 pukul 00.55 WIB.
“Tepatnya Windows Defender berhasil dilumpuhkan pada tanggal 20 Juni 2024 pukul 00.55 WIB sehingga tidak bisa lagi beroperasi,” ujarnya.
Adapun aktivitas mencurigakan dari penonaktifan Windows Defender tersebut adalah mengizinkan file malicious terpasang pada sistem, menghapus file penting, dan mematikan service yang sedang berjalan. Selain itu, file yang berkaitan dengan storage juga mulai dinonaktifkan dan tidak bisa berjalan, seperti VSS, Hyper V Volume, Virtual Disk dan Veeam vPower NFS.
