Berhentilah Jadi Script Kiddie

Saya sering mau ketawa tapi juga merasa sedih, kasihan dan juga marah kalau liat ada posting tentang ajakan DDOS sebuah situs. Ketawa karena mereka berusaha men-DDOS situs yang dilindungi Cloudflare (atau cloud firewall lain) dan ketawa karena mereka memakai tools-tools tua yang parah. Kalau memilih target jangan malu-maluin lah, ibaratnya mau menyerang klub malam maksiat tapi yang diserang malah papan iklan klub malam tersebut di pinggir jalan.

Copy paste ajakan semacam ini sangat banyak yang beredar di Facebook/WA/Telegram

Di posting ajakan mereka biasanya juga diberikan daftar tool yang bisa dipakai. Saya lihat ada batch file yang sekedar melakukan ping, dan ada salah satu tool DDOS Android bahkan mengirimkan IMEI dan Device ID ke server yang diserang, jadi memudahkan untuk dilacak balik. Mereka ini benar-benar script kiddies yang memakai skrip yang bahkan tidak mereka mengerti.  Sebagai catatan “kiddie” di sini bukan menunjukkan umur, tapi skill yang seperti anak-anak.

Sebagai catatan ada banyak teknik DDOS yang menarik dan ada yang spesifik satu OS/server/aplikasi tertentu. Di tulisan ini DDOS yang saya maksud di sini hanya DDOS generik dengan ping (ICMP), UDP, dan request flooding.

Sedih dan kasihan karena ada yang sudah bertahun-tahun masih posting ajakan yang sama dan ilmunya nggak berubah. Sedih karena masih ditiru oleh generasi yang lebih muda. Merasa kasihan karena pulsa (untuk data) dan listrik dihabiskan untuk hal yang nggak berguna, dan saya merasa marah juga karena ini salah satu hal yang membuat Internet Indonesia jadi lambat.

Sedih kalo lihat orang posting output “ping” sekedar untuk menakut-nakuti orang

DDOS juga merupakan serangan yang pathetic, andaikan berhasil, meskipun tanpa perlindungan apapun DDOS itu sifatnya cuma sementara, ketika traffic DDOS berhenti maka situsnya kembali normal. Lebih konyol lagi kalau merasa berhasil men-DDOS sebuah situs karena sudah tidak bisa diakses dari komputernya, padahal hanya blok IP-nya penyerang yang diblokir firewall sementara orang lain masih bisa mengakses situs tersebut tanpa masalah.

Sebuah nama domain bisa memiliki banyak IP (misalnya dengan round-robin DNS), dan satu IP bisa ditangani banyak komputer. Ada yang masih belum paham kalau ada yang namanya anycast address/routing. Sebuah IP address bisa ditangani banyak komputer di lokasi berbeda. Ketika Anda memakai DNS google 8.8.8.8, bukan berarti ada satu komputer di dunia ini dengan IP 8.8.8.8, ada banyak komputer dengan IP yang sama.

Jadi kalaupun salah satu komputer itu bisa dibuat down di satu wilayah, di tempat lain masih baik-baik saja. Anda mungkin merasa berhasil membuat situs Israel down ketika diakses dari Indonesia tapi tetap baik-baik saja ketika diakses orang Amerika. Siapa sih orang Indonesia yang rajin akses situs Israel? Sementara itu bisnis Israel-Amerika tidak terganggu sama sekali.

Sebenarnya draft artikel ini sudah saya tulis sebelum DDOS terhadap KPU, jadi saya tadinya tidak membahas DDOS situs dalam negeri. Tapi karena beritanya sedang marak, saya tambahkan beberapa paragraf mengenai ini.

Kebanyakan DDOS yang berhasil adalah untuk mengganggu situs dalam negeri. Sebenarnya tidak ada alasan teknis kenapa DDOS tidak bisa dibendung, yang ada hanyalah alasan non teknis (politis, administratif, dan mungkin faktor lain).

Saya tidak akan membahas alasan politis ini karena meski diberitahu beberapa teori oleh beberapa orang, tapi ini di luar scope keahlian saya. Intinya: kalau Anda ikutan DDOS situs dalam negeri, kemungkinan Anda sedang membantu agenda politis pihak-pihak tertentu. Contohnya dalam kasus KPU kemungkinan ada yang ingin agar real count tidak segera keluar.

Alasan administratif contohnya: dananya belum keluar untuk membeli server, firewall, atau membayar pihak lain untuk proteksi DDOS. Ini bisa rumit karena masalah dana yang sudah harus dialokasikan jauh-jauh hari di awal tahun anggaran.

Jika server memang hanya ada di satu data center maka memang servernya bisa overload atau linknya saturated. Secara teknis, saat ini di Indonesia sudah ada beberapa provider yang menyediakan solusi anti DDOS, baik dengan peralatan (firewall), round-robin DNS ataupun anycast, jadi sebenarnya jika mau situs dalam negeri pun sudah bisa dilindungi dengan baik.

Kalau semua cara tersebut terlalu rumit/mahal, tidak ada salahnya juga mempublish ke CDN (Content Distribution Network)  luar negeri untuk data publik dan “read only” (seperti hasil pemilihan umum). Jangan dipandang sebagai “data indonesia diserahkan ke asing”, tapi sekedar seperti “hasil ujian nasional diumumkan di koran swasta”.

Mengenai orang teknis: saya kenal secara pribadi banyak orang ahli jaringan di Indonesia. Mereka memiliki kemampuan teknis untuk mengatasi masalah DDOS ini kalau mereka diberi kebebasan dalam banyak hal (pemilihan alat, data center, provider, staff, dsb). Jadi tidak ada masalah dengan mencari orang yang jagoan untuk mengatasi masalah DDOS ini.

Supaya jelas: saya tidak terlibat dengan KPU, baik secara langsung maupun tidak langsung (tidak pernah dihubungi atau menghubungi KPU, tidak punya kontak orang KPU, dsb). Posisi saya tidak di Indonesia (di Chiang Mai, Thailand sejak 11 tahun yang lalu). Semua pendapat di atas hanyalah pendapat pribadi, dan tidak untuk membela pihak manapun.

Kembali ke masalah script kiddie. Kalau sudah bertahun-tahun belajar “hacking” dan tahunya cuma DDOS dan carding. Saatnya berpikir ke depan: belajar lebih banyak lagi, atau berhenti saja, coba bidang lain. Jadi bagaimana caranya untuk maju?. Pertama jangan tambah parah dengan belajar Photoshop untuk membuat hoax, kalau belajar Photoshop untuk jadi designer profesional sih bagus.

Sadarilah hal pertama dalam hacking: berurusan dengan software. Semua yang dilakukan di depan komputer adalah memakai software. Software ini hasil dari pemrograman yang dilakukan oleh orang. Semua tool yang Anda pakai itu hasil program buatan orang lain. Semua website yang Anda kunjungi, Facebook, Google, dsb ada program di baliknya. Semua aplikasi di handphone Anda itu hasil program seseorang.

Kalau tidak memahami programming dan minimal bisa membuat program sederhana, maka Anda nggak akan bisa jadi hacker. Sampai di titik ini akan ada banyak script kiddies yang protes karena merasa hacking itu nggak perlu ilmu programming. Nah kalau ada yang merasa seperti ini berarti masih “buta komputer”. Sebagai catatan, sekedar mengubah skrip yang sudah ada (apalagi sekedar mengubah nama) belum bisa dianggap bisa programming.

Harapan saya adalah: semoga setelah belajar programming  Anda menemukan bahwa ternyata Anda punya bakat. Jika memang bisa ahli dalam programming, ada banyak kesempatan dalam maupun luar negeri dengan gaji yang besar dan uang ini legal.

Kemungkinan lain, Anda akan jadi hacker beneran dan membuat tool sendiri bukan sekedar memakai tool buatan orang lain. Harapannya Anda juga bisa melakukan hacking yang advanced, bukan hanya bengong membaca paper atau presentasi dari konferensi security.

Mungkin Anda mentok belajar programming karena memang tidak berbakat. Cobalah dalami bidang lain, misalnya networking. Jika bisa mendapatkan sertifikasi di bidang networking maka banyak pekerjaan gaji tinggi bisa didapatkan di dalam dan luar negeri.

Kalau masih tidak berbakat juga ya coba cari bidang lain.  Harapan saya sih supaya kalau Anda keluar dari dunia DDOS dan semacamnya, dunia akan sedikit lebih baik. Seperti jika preman tidak ada lagi di terminal bus.

Selamat belajar, dan semoga bisa mengupgrade diri dari script kiddie menjadi lebih baik lagi.

6 thoughts on “Berhentilah Jadi Script Kiddie”

  1. Terima kasih untuk artikel yang bermutu dan menegur para script kiddies yang malas. Sayangnya orang-orang yang menulis komentar adalah orang-orang yang tidak bisa mengenal mutu, dan hanya memberikan sampah. Jangan menyerah dalam menulis artikel-artikel bahasa Indonesia, walaupun komentar-komentar yang didapat tidak menyemangati, namun masih ada orang-orang yang sangat menghargai artikel ini.

  2. Tulisan-tulisan yang mudah dipahami dan sangat dekat dengan realita yang ada.
    Terus membuat tulisan yang bagus pak dan majukan RE di Indonesia ini,

Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.