Lebih 100 web kerajaan ‘tak selamat’, apa risiko pada pengguna?

clint-patterson-dYEuFB8KQJk-unsplash

Semua status laman web yang disebutkan dalam artikel ini merujuk pada masa penulisan (Julai 2021).

Sekurang-kurangnya 175 daripada hampir 700 laman web kerajaan yang diteliti Malaysiakini dianggap “tidak selamat”, dengan pakar memberi peringatan ia boleh menyebabkan kebocoran data peribadi dan risiko keselamatan siber lain.

Audit oleh Malaysiakini dilakukan antara akhir Mei dan awal Julai di sekitar 700 laman web kerajaan yang menggunakan nama domain “gov.my”.

Laman web ini merangkumi tetapi tidak terhad kepada, kementerian, agensi dan jabatan yang berlainan di peringkat persekutuan dan negeri, majlis tempatan, pejabat tanah dan hospital.

 

Laman web dikenali sebagai “tidak selamat” apabila URL tertera “http” dan bukan “https”.

Amaran “tidak selamat” akan ditunjukkan di sebelah kiri bar URL pada pelayar web komputer desktop. Tanda amaran ⚠️ akan dipaparkan sekiranya menggunakan telefon pintar.

Terdapat 164 laman web kerajaan dengan Hypertext Transfer Protocol (HTTP) yang didapati “tidak selamat” oleh pelayar web utama seperti Chrome dan Firefox. Sebanyak 11 laman web HTTPS lain dianggap “selamat” tetapi ditandai (flagged) kerana mengandungi serangan pancingan data (pishing), perisian spam atau aktiviti “mudarat” (malicious) yang lain.

Laman web HTTP merangkumi Istana NegaraKementerian Pertahanan, dan laman penjejak Covid-19 Malaysia.

Akses ke laman web Kawasan Keselamatan Khas Pantai Timur Sabah (Esscom) akan memberi amaran kebocoran data peribadi. Jurucakap Esscom memberitahu Malaysiakini bahawa laman web itu sedang dalam penyelenggaraan dan akan beroperasi pada bulan Oktober.

Ketika dihubungi, beberapa agensi kerajaan dan pihak berkuasa tempatan mengatakan bahawa mereka sedang memperketat ciri keselamatan laman web mereka, termasuk meningkatkan dari HTTP ke Hypertext Transfer Protocol Secure (HTTPS).

Sebanyak 255 laman web HTTP pada mulanya dikesan dalam senarai. Sebanyak 91 daripadanya termasuk RTM,  Bahagian Istiadat dan Urusetia Persidangan Antarabangsa serta Unit Kerjasama Awam-Swasta di bawah Jabatan Perdana Menteri, selain Majlis Bandaraya Shah Alam, telah dinaik taraf menjadi HTTPS sejurus selepas Malaysiakini menghubungi pihak berkuasa masing-masing untuk mendapatkan komen.

Maklum balas mereka disertakan dalam jadual di bawah.

Beberapa laman web dalam jadual mudarat kerana ia akan cuba memasukkan perisian hasad (malware) dalam peranti pengguna, sementara yang lain mengandungi perisian spam atau serangan pancingan data

Negeri Nama HTTPS?  
Persekutuan Agensi Anti-Doping (Adamas)    
Persekutuan Bahagian Hal Ehwal Undang-Undang Jabatan Perdana Menteri    
Persekutuan Bahagian Kabinet, Perlembagaan Dan Perhubungan Antara Kerajaan (BKPP)    
Persekutuan Bahagian Pengurusan Hartanah (BPH) Jabatan Perdana Menteri    
Persekutuan Biro Pengaduan Awam (BPA) Jabatan Perdana Menteri    
Persekutuan Laman penjejak Covid-19 Malaysia    
Persekutuan Enjin SMS 15888    
Persekutuan Hospital Rehabilitasi Cheras    
Persekutuan Hospital Sultan Ismail    
Persekutuan Institut Kehakiman dan Perundangan (ILKAP)    

Sehingga 15 Jul 2021

 

Tak selamat jika tiada ‘s’

Semua maklumat yang dihantar dari pelayar web pengguna di laman web HTTP adalah dalam format teks.

Walau bagaimanapun, maklumat yang dihantar dalam HTTP terdedah kepada pemintasan.

“Sebagai panduan asas, secara umumnya tidak selamat untuk menghantar maklumat melalui laman web yang telah dilabelkan ‘tidak selamat’.

“Ini terutamanya jika maklumat itu sensitif, seperti nama pengguna, kata laluan, data peribadi, dan data kad kredit,” kata penulis blog teknologi Keith Rozario kepada Malaysiakini dalam satu wawancara.

Malaysiakini

 

Data peribadi pada laman web HTTP boleh dicuri oleh pihak lain seperti penggodam.

 

Beberapa laman web kerajaan didapati meminta maklumat sensitif seperti nama pengguna, kata laluan, fasa keselamatan, nombor MyKad, alamat dan maklumat untuk dihubungi melalui HTTP. [lihat link di bawah]

Bagi HTTPS pula, ia menyediakan penyulitan (encryption) hujung-ke-hujung (end-to-end) antara pelayar web (browser) dan pelayan (server).

Maklumat yang dihantar hanya dapat dinyahsulit (decrypted) dari salah satu hujung.

Walaupun penggodam masih dapat memintas data yang dihantar melalui internet awam, mereka akan mendapat teks yang tidak dapat dibaca.

Sebagai contoh, pada pelayar web Chrome, simbol “kunci” akan dipaparkan di sebelah kiri bar URL untuk laman web HTTPS.

Ketua aktivis Persatuan Pengguna Siber Malaysia, Mohd Fazli Azran menjelaskan bahawa HTTPS menyediakan tiga lapisan keselamatan – penyulitan data, integriti data dan pengesahan.

 

Sponsored Content:

Sertai Kelas Online Workshop On Cybersecurity – Asas Keselamatan Siber , 9 Okt 2021, Sabtu, 9 Am-1 Pm

 

Maklum balas dan borang daftar masuk ‘tidak selamat’

Terdapat lebih 100 laman web HTTP kerajaan yang meminta perincian peribadi atau daftar masuk ketika pengguna ingin mengemukakan maklum balas atau mengajukan aduan.

Ini termasuk laman web majlis tempatan, seperti Majlis Perbandaran Manjung dan Majlis Perbandaran Kemaman.

Begitu juga dengan laman web beberapa agensi persekutuan, sepertiLJabatan Bantuan Guaman, Suruhanjaya Integriti Agensi Penguatkuasaan (EAIC) dan Bahagian Hal Ehwal Undang-Undang (BHEUU) Jabatan Perdana Menteri, juga tidak mempunyai halaman maklum balas atau aduan yang selamat.

Perkhidmatan lain termasuk portal pembayaran cukai seperti e-Khidmat Johor, Majlis Perbandaran Bentong dan Pejabat Tanah dan Galian Melaka dan Terengganu.

Halaman daftar masuk untuk sistem dalaman di beberapa laman web, seperti sistem pertanyaan gaji dan slip gaji oleh Majlis Bandaraya Melaka dan Majlis Perbandaran Dungun untuk kakitangan mereka juga tidak selamat.

Perbadanan Tabung Pendidikan Tinggi Nasional (PTPTN) mempunyai laman web HTTP dan HTTPS, menghasilkan dua laman web Skim Simpanan Pendidikan Nasional (SSPN) yang hampir sama untuk penyimpannya. PTPTN telah memperbetulkan masalah tersebut dengan mengalihkan pengguna di laman web HTTP ke laman HTTPSnya setelah dihubungi oleh Malaysiakini untuk mendapatkan respons.

PTPTN mempunyai laman web HTTPS dan HTTP. Namun isu itu telah ditangani.

 

PTPTN mempunyai laman web HTTPS dan HTTP. Namun isu itu telah ditangani.

 

Kadang-kadang, laman web kerajaan mungkin menggunakan HTTPS di halaman utama tapi tidak pada halaman lain laman web itu. Sebagai contoh, Penggerak Belia Tempatan Sepang mempunyai HTTPS pada halaman utama tetapi menggunakan HTTP yang “tidak selamat” pada halaman borang yang memerlukan pengguna memasukkan pelbagai maklumat peribadi.

“Laman web HTTP kerajaan seperti ini mungkin tidak sah, kemungkinan dikendali oleh penggodam. Mungkin berbahaya atau seseorang boleh mencuri dan memanipulasi data anda,” jelas perunding kanan keselamatan siber Razwan Mokhtar.

 

sub head: Halaman HTTP statik juga boleh memudaratkan

Bagi kebanyakan laman web HTTP lain yang dikumpulkan oleh Malaysiakini, halaman aduan atau maklum balas mereka adalah selamat. Sebagai contoh, Majlis Bandaraya Petaling Jaya (MBPJ) mempunyai sistem pengaduan dan pembayaran yang selamat walaupun halaman utamanya ditandai sebagai “tidak selamat”.

Sementara itu, sebahagian besar jabatan dan agensi kerajaan, hospital dan beberapa majlis tempatan lainnya, akan mengarahkan pengguna yang ingin menyampaikan maklum balas atau mengemukakan aduan ke Sistem Pengurusan Aduan Awam terpusat (SISPAA) yang selamat.

Lembaga Kenaf dan Tembakau Negara (LKTN) adalah kes khas di mana halaman HTTPS dan HTTP boleh didapati di laman webnya.

Ketika dihubungi, jurucakap beberapa agensi kerajaan mengatakan bahawa HTTPS tidak diperlukan kerana ia tidak melibatkan transaksi.

Ini tidak bermaksud bahawa pelawat web selamat ketika berada di laman web HTTP statik yang tidak meminta maklumat peribadi atau melibatkan transaksi wang.Apa itu laman web statik?

 

Seorang penggodam dapat menggodam laman web dan secara tersembunyi memasukkan perisian hasad ke komputer pelawat laman web. Contoh perisian hasad yang terkenal termasuk penambang (miners) cryptocurrency atau pengguna dialihkan ke laman web yang serupa tetapi berniat mudarat untuk serangan pancingan data.Apa itu perisian hasad?Apa itu serangan pancingan data?

Video di bawah ini memberikan contoh yang menjelaskan bagaimana laman web HTTP statik dapat diserang atau dirampas dengan pelbagai cara.

 

Fazli mengatakan kebanyakan laman web HTTP statik kerajaan kurang berbahaya kerana kurang menarik bagi penggodam.

Ini kerana penggodam jahat tahu bahawa kebanyakan pengguna tidak akan menghabiskan masa yang lama di laman web ini, jelasnya.

Namun, dia menyatakan bahawa ada kemungkinan penggodam menyerang laman web tertentu yang popular.

 

Penelitian di semua laman web HTTP yang dikumpulkan oleh Malaysiakini dengan VirusTotal, alat analisis dalam talian untuk mengesan perisian hasad, menandakan laman web Majlis Daerah Mersing untuk serangan pancingan data dan laman web Majlis Bandaraya Shah Alam untuk perisian spam.

Laman web Majlis Daerah Mersing ditandai oleh VirusTotal mempunyai serangan pancingan data

 

Laman web Majlis Daerah Mersing ditandai oleh VirusTotal mempunyai serangan pancingan data

Sementara itu, hasil semakan di kebanyakan laman web dalam senarai Malaysiakini menunjukkan bahawa ia bebas dari serangan perisian hasad dan pancingan data yang berniat jahat.

 

Adakah pertukaran dari HTTP ke HTTPS tugas mudah?

Beralih dari HTTP ke HTTPS tidak dapat dilakukan dengan hanya menaip “S” pada URL.

Meskipun demikian, menurut Fazli, prosesnya “tidak sukar”.

Apa yang diperlukan oleh laman web adalah membeli Secure Sockets Layer (SSL) yang sah dari penyedia sijil SSL danApa itu SSL?

Fazli juga mengesyorkan kepada orang ramai untuk menggunakan pelanjutan (extension) pelayar ‘HTTPS Everywhere’ yang meningkatkan keselamatan pelayar web dengan menyulitkan (encrypting) komunikasi pengguna dengan banyak laman web utama.

Namun, Razwan mengatakan bahawa penukaran itu bukanlah tugas yang mudah, terutama kerana melibatkan ratusan laman web kerajaan.

Dia mengatakan bahawa sistem dalam talian yang besar biasanya memerlukan lima tahun untuk dibangunkan dan beberapa sistem mungkin bukan milik agensi kerajaan.

Dengan demikian, dia berharap masyarakat dapat memahami cabaran dalam menagani masalah itu pada skala besar.

“Ini bukan satu laman web, tetapi ada proses untuk diterapkan. Sistem ini milik vendor, bukan milik jabatan kerajaan.

“Jika sistem milik vendor, badan kerajaan harus menyampaikan permintaan untuk tukar (dari HTTP ke HTTPS). Sekiranya pelayan (server) milik kerajaan, mereka dapat menyelesaikannya dengan segera,” kata Razwan, yang memiliki pengalaman dalam meningkatkan sistem keselamatan siber untuk kerajaan dalam kerjayanya selama 22 tahun.

Dia menambah bahawa agensi kerajaan harus mendapatkan perakuan keselamatan yang tepat, terutama yang disahkan oleh kerajaan, untuk laman web mereka.

Mengambil maklum potensi risiko mengunjungi laman web HTTP kerajaan, dia tidak menolak kemungkinan bahawa perkara itu terlepas daripada pertimbangan kerajaan.

“Mungkin ini adalah sesuatu yang terlepas pandang oleh kerajaan, ia tidak menyedari betapa pentingnya perkara ini,” tambahnya.

 

HTTPS tidak menjamin keselamatan

Bagaimanapun, perlu diambil perkiraan bahawa HTTPS di domain laman web tidak menjamin bahawa ia selamat. Antara lain, portal kerajaan negeri Kelantan, Suruhanjaya Perkhidmatan Pendidikan (SPP), dan Majlis Perbandaran Alor Gajah dilabel “mudarat” (malicious) oleh VirusTotal walaupun merupakan laman web HTTPS.

Portal HTTPS kerajaan negeri Perlis, Kedah dan Pahang, sistem Pembayaran Sewa PAKR Pahang, dan Majlis Perbandaran Selayang mengandungi serangan perisian spam atau pancingan data.

Ketika dihubungi, CyberSecurity Malaysia, sebuah agensi di bawah Kementerian Komunikasi dan Multimedia, merujuk Malaysiakini kepada Unit Pemodenan Tadbiran dan Perancangan Pengurusan Malaysia dan Agensi Keselamatan Siber Negara (Nacsa).

Mampu adalah unit yang diletakkan di bawah Jabatan Perdana Menteri yang ditugaskan untuk mendigitalkan dan mengubah sektor awam. Nacsa adalah agensi yang termasuk dalam Majlis Keselamatan Negara (MKN). Nacsa bertanggungjawab dalam hal keselamatan siber negara.

 

Mampu dan Nacsa tidak menjawab soalan yang dihantar oleh Malaysiakini mengenai keselamatan laman web kerajaan.

Berikutan penerbitan laporan ini, Pengerusi Suruhanjaya Komunikasi dan Multimedia Malaysia (MCMC) Fadhlullah Suhaimi Abdul Malek berkata kerajaan akan melakukan audit keselamatan siber terhadap 175 laman web tersebut.

Sementara itu, Menteri Komunikasi dan Multimedia, Saifuddin Abdullah berkata kerajaan memutuskan untuk mengambil usaha bersama bagi mengetatkan keselamatan siber.

 

Nasihat kepada orang ramai

Sekadar menaik taraf laman web ke status HTTPS bukanlah penyelesaian muktamad. Langkah-langkah lain dapat digunakan untuk menentukan tingkat keselamatannya seperti yang ditsorot oleh Fazli, yang juga bekas pemimpin Projek Keselamatan Aplikasi Web Terbuka (OWASP) Malaysia.

Antara lain, langkah-langkahnya termasuk menyiapkan firewall, pembersihan input pengguna, dasar kata laluan yang kuat, autentikasi dua faktor (2FA) atau autentikasi multi-faktor (MFA) dan membina aplikasi web berdasarkan standard OWASP Top 10.Apa itu pembersihan input pengguna?Apa itu standard OWASP Top 10?

Selain meningkatkan laman web kerajaan ke status HTTPS untuk meningkatkan kepercayaan masyarakat, Fazli juga menyarankan kerajaan untuk melakukan penilaian keselamatan secara rutin di laman webnya.

Dia juga mencadangkan sejumlah peruntukan disediakan untuk tujuan ini dan mendapatkan bantuan daripada syarikat perunding keselamatan untuk mengkaji dan memperbaiki laman web mereka.

Dia menyarankan agar pengguna yang mengakses laman web kerajaan mengesahkan kesahihan laman web itu dan memastikan bahawa SSL ada jika meminta daftar masuk atau maklumat peribadi.

Selain menyarankan pengguna untuk melengkapkan peranti mereka dengan perisian antivirus, dia meminta mereka menggunakan alat di bawah ini untuk memastikan keselamatan laman web.

  • VirusTotal
  • URLVoid
  • Google Transparency Report
  • IONOS
  • SSL Trust

Bagi Razwan (perunding kanan keselamatan siber), nasihatnya mudah: Jangan kunjungi mana-mana laman web yang menggunakan nama domain tanpa “https”.

 

Source: Newslab Malaysiakini

 

Ketahui Program Myclaaz untuk bulan Oktober 2021

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest

Subscribe to Newsletter

Join 60,000+ Subscribers

A flexible and unique experience for tuition and professional learning for both web and app-based platform.

Contact

© 2021 Myclaaz. All rights reserved. Proudly Created by Cloudix Digital.