http://gajayanatvnews.com – Edisi perdana OpSec Field Test ini saya dedikasikan untuk sesuatu yang sering dianggap sepele, tetapi bisa menjadi pintu masuk bagi masalah serius yaitu cookies. Banyak orang mengira pop-up “terima cookies” di sebuah situs hanyalah formalitas belaka. Padahal, di balik notifikasi sederhana itu tersimpan potongan data kecil yang bisa dimanipulasi menjadi kunci akses. Melalui eksperimen live hacking dari sebuah soal pemula di picoCTF, saya ingin menunjukkan bahwa keamanan siber bukan hanya urusan peretas kelas berat, tetapi juga bisa dipahami dari hal-hal kecil yang ada di depan mata kita setiap hari.
Bagi yang belum familiar, CTF atau Capture The Flag adalah ajang sekaligus laboratorium pembelajaran keamanan siber. Konsepnya sederhana, ada tantangan, dan peserta diminta menemukan flag (kode rahasia) yang disembunyikan melalui celah keamanan, konfigurasi yang salah, atau trik sederhana lainnya. Sementara itu, OpSec Field Test sendiri saya buat sebagai rubrik khusus untuk menuliskan hasil “uji coba lapangan” seperti ini bukan sekadar teori, melainkan pengalaman langsung yang dapat dipahami oleh pembaca umum. Tujuannya agar masyarakat bisa melihat, “Oh, ternyata beginilah celah itu bisa dimanfaatkan.”
Sekarang mari kembali ke pembahasan cookie. Secara umum, cookie hanyalah file kecil yang menyimpan informasi agar sebuah situs dapat mengenali penggunanya misalnya status login, preferensi bahasa, atau isi keranjang belanja. Namun, jika cookie disusun dengan cara yang ceroboh, orang yang memiliki pengetahuan teknis dapat menyalahgunakannya. Bayangkan saja, apabila akses admin ditaruh begitu saja di cookie tanpa pengamanan memadai, siapa pun bisa melakukan decode, mengubah nilainya, lalu tiba-tiba mendapatkan akses penuh. Bagi pengguna awam hal ini mungkin terdengar mustahil, tetapi dalam praktiknya kesalahan sederhana semacam ini masih kerap terjadi.
Tantangan picoCTF yang saya hadapi kali ini cukup sederhana, sebuah situs dengan halaman login biasa. Petunjuk yang diberikan mengarah pada cookie sebagai kunci utama. Dengan membuka Developer Tools di browser, lalu melihat tab Application → Cookies, saya menemukan ada sebuah nilai cookie yang tampak mencurigakan. Bentuknya panjang, tersusun dari huruf besar, huruf kecil, angka, dan simbol “=”. Pola ini sudah sangat khas untuk sesuatu yang di-encode dengan Base64.
Base64 sendiri bukanlah enkripsi, melainkan hanya metode pengkodean untuk mengubah data biner menjadi teks agar mudah ditransmisikan. Proses ini bisa dibalik dengan sangat mudah, sehingga siapa pun dapat melakukan decode dan membaca isinya. Karena itu, Base64 tidak boleh digunakan untuk menyimpan informasi sensitif atau sebagai mekanisme keamanan.
Langkah selanjutnya adalah melakukan decode. Dengan alat bawaan browser atau situs konversi online (di sini saya menggunakan web yang bernama CyberChef untuk melakukan decode), nilai cookie tersebut dapat dibuka, dan hasilnya menampilkan informasi sederhana mengenai status pengguna. Dari sini tantangannya menjadi jelas, jika nilai itu bisa diubah, maka peran atau status pengguna juga bisa dimanipulasi. Saya kemudian mengedit informasi tersebut, melakukan encode kembali ke format Base64, dan menyimpannya kembali sebagai cookie di browser. Setelah halaman direfresh, perubahan langsung terasa akses situs pun berganti dan flag yang dicari muncul.
Proses ini memang terlihat singkat dan mudah. Namun, justru di situlah letak pelajarannya, kontrol akses yang hanya mengandalkan data di sisi klien (browser) bukanlah keamanan, melainkan ilusi. Siapa pun yang tahu cara melihat dan mengubah cookie bisa memanfaatkan celah tersebut.
Dari sebuah tantangan CTF sederhana ini, kita diingatkan bahwa encode tidak sama dengan encrypt, dan bahwa keputusan keamanan tidak seharusnya diserahkan kepada data yang bisa diubah pengguna. Dari tantangan sederhana ini, kita bisa melihat bahwa keamanan siber tidak selalu berkaitan dengan teknik yang rumit. Justru, kesalahan kecil seperti menyimpan status pengguna di cookie tanpa pengamanan dapat berakibat fatal. Hal-hal yang tampak sepele sering kali menjadi pintu masuk yang dimanfaatkan oleh pihak yang berniat jahat. Kesadaran inilah yang penting, baik bagi pengembang aplikasi maupun pengguna biasa, agar tidak terlena hanya karena tampilan sistem terlihat normal dan berjalan lancar.
Melalui OpSec Field Test, saya ingin mengajak pembaca untuk menyadari bahwa praktik keamanan siber bisa dipelajari dari kasus-kasus kecil semacam ini. Pesannya sederhana, jangan pernah menganggap remeh detail teknis, dan jangan mengira bahwa sesuatu yang sudah “dibungkus” otomatis aman. Pada akhirnya, disiplin dalam membangun dan menggunakan sistem digital adalah tameng terbaik yang kita miliki di tengah dunia maya yang semakin kompleks.
(Yohanes Capeliou Samudra)
