Posted in Uncategorized

Diary: Penetration Testing dan Legalitas

Beberapa hari ini beberapa forum di internet sedikit “hangat” dengan sebuah wawancara yang pada pokoknya berisi tentang cybercrime dan cybersecurity. Saya sendiri tidak mengetahui siapa yang mewawancara tersebut dan tidak ingin tahu siapa dia, begitupun dengan narasumber wawancara itu.

Sepintas saya membaca wawancara tersebut menjadi bingung sendiri, hendak dibawa kemana arah wawancara ini, apakah membahas cybercrime? apakah membahas cybersecurity? apakah teknis hacking? atau regulasi (cyber law)?. Kalau melihat secara keseluruhan, seperti semua aspek yang berkaitan dengan dunia underground ingin dirangkum dalam sebuah wawancara. Saya tidak akan menanggapi poin-poin mulai dari definisi hacker, komunitas hacker, dan whatever yang berhubungan dengan hacker. Saya hanya membahas sisi lain dari wawancara tersebut yang berkaitan dengan poin no. 8

Saya akan kutipkan isi (sekali lagi, saya malas membahas dan mengkritisi pribadi seseorang dalam wawancara tersebut) dari wawancara itu:

Bila kita berlatih membobol suatu sistem walau itu sistem kita sendiri dan walau tujuannya untuk menguji keamanan sistem kita sendiri maka hal itu sudah termasuk pelanggaran UU. Masalah ini karena pembuat UU secara tendensius melihatnya sebagai pelanggaran dan lupa memberikan pengecualian untuk hal yang sifatnya pengujian / pelatihan. Lalu bagaimana bangsa kita bisa pintar apabila untuk berlatih saja bisa beresiko tuntutan pidana?

Ada beberapa poin yang saya tangkap dari statement tersebut:

  1. Menguji sistem kita sendiri merupakan pelanggaran undang-undang (UU ITE?)
  2. Pembuat Undang-undang mempunyai tendensi dengan tidak memberikan pengecualian
  3. Akibat poin 1 dan poin 2 berlatih menguji sistem elektronik beresiko tuntutan pidana

Sayang sekali dalam wawancara tersebut tidak sedang membahas pasal atau bagian dari Undang-Undang mana, tapi saya menduga itu adalah Undang-Undang No. 11 Tahun 2008 Tentang Informasi dan Transaksi Elektronik (selanjutnya disebut UU ITE), khususnya Pasal 30 ayat 1 s.d. 3 UU ITE. Pada Pasal 30 UU ITE, terdapat pembatasan yang dikategorikan sebagai perbuatan pidana. Termasuk kategori pidana apabila tindakan akses ilegal tersebut kepada sistem elektronik milik orang lain. Dengan demikian, jika kita melakukan akses kepada sistem elektronik milik kita sendiri, tentu saja tidak akan dipidana, dan tentu saja tidak melanggar ketentuan Undang-undang. Selain itu, lha sistem elektronik kita sendiri mau kita apakan juga terserah kita, asal tidak mengganggu kepentingan umum, bukan?😀

Pengujian sistem elektronik sendiri, atau dalam bahasa teknis praktisnya adalah penetration testing (saya kaitkan dengan konteks wawancara tersebut) merupakan tindakan yang legal. Terdapat perbedaan cukup mendalam antara akses ilegal yang dilarang dalam UU ITE dibayangkan narasumber dengan penetration testing. Salah satu contohnya adalah dalam penetration testing terdapat Non-disclosure Agreement (NDA) antara pihak yang akan menguji sebuah sistem elektronik dengan pihak yang akan diuji. Ketika kedua belah pihak sepakat dengan isi NDA tersebut, maka saat itu juga hapus sifat pidananya. Andai kata tidak, maka mungkin saya dan teman-teman seprofesi saya sudah masuk penjara karena melakukan ilegal akses🙂.

UU ITE sendiri, sepanjang pengamatan saya, memberikan ruang khusus terhadap pengujian sistem elektronik. Berikut ini adalah pasal yang dimaksud:

Pasal 34

(1) Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum memproduksi, menjual, mengadakan untuk digunakan, mengimpor, mendistribusikan, menyediakan, atau memiliki:
a. perangkat keras atau perangkat lunak Komputer yang dirancang atau secara khusus dikembangkan untuk memfasilitasi perbuatan sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 33;
b. sandi lewat Komputer, Kode Akses, atau hal yang sejenis dengan itu yang ditujukan agar Sistem Elektronik menjadi dapat diakses dengan tujuan memfasilitasi perbuatan sebagaimana dimaksud dalam Pasal 27 sampai dengan Pasal 33.
(2) Tindakan sebagaimana dimaksud pada ayat (1) bukan tindak pidana jika ditujukan untuk melakukan kegiatan penelitian, pengujian Sistem Elektronik, untuk perlindungan Sistem Elektronik itu sendiri secara sah dan tidak melawan hukum.

Berdasarkan hal tersebut, ada beberapa hal yang tidak dapat dikatakan melanggar perundang-undangan, yaitu penelitan, pengujian, dan perlindungan sistem elektronik. Lalu letak tendensinya di mana?. Dengan demikian, dalam UU ITE sendiri pengujian terhadap sistem elektronik sendiri secara sah dan tidak melawan hukum dibenarkan.

Mojokerto, 7 Maret 2012

Sam. Bukan heker, cuma pensiunan operator warnet.

Tanggapan lain soal ini: http://www.sakitjiwa.net/2012/03/hacker-muda-dan-underground.html

10 thoughts on “Diary: Penetration Testing dan Legalitas

  1. Hahahaha, MOJOKERTO😆
    Mas, mau pake komputernya yang kosong yang mana? * di warnet*

    Masih membahas Si Mbak itu ya? Btw, seperti yang aku pernah bilang, ini kalau menurut aku ya, Si Mbak yang kalian bahas itu seolah terlihat sedang ingin menunjukkan eksistensi diri, tapi tidak bisa mengambil hati senior-seniornya, permainan egonya tinggi. Aku melihatnya seperti, “eh, aku ini intel lho…” atau “eh, aku ini kerja di BIN lho…”.
    Iya nggak sih?

    Kendalpayak,
    Devi – Penjaga Warung

  2. masih hangat memang, tapi di lain pihak pe-wawancara (she) cukup membuat lamunan.
    tidak perlu sampai ending kita sudah dapat menilai apa maksud dan tujuan (she).
    ketika source – resourcesnya ga jelas, topik pembahasan blur dan hanya terlihat maksud dan tujuan, secara ini sudah dibahas sebelumnya dan tidak ada kepentingan untuk membahasnya, just recognition & thinking about (she) whois(she).

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s