Konfigurasi-Instalasi

Kamis, 17 Desember 2015

Teknik Hacking



Hacking merupakan sebuah kegiatan ilegal yang biasanya dilakukan oleh orang-orang yang kurang bertanggung jawab untuk mendapatkan sesuatu informasi dari korban yang dituju tanpa ada izin dari sang korban tersebut. Kecuali White Hat Hacker yang memang dibayar untuk mengetes dan melaporkan kerentanan dari suatu sistem.

Jika kamu adalah pemula atau ingin menjadi seorang hacker, sebaiknya kamu harus memahami jenis-jenis serangan Hacking yang biasa dilakukan oleh parapentester. Berikut ini 9 Teknik Hacking Yang Wajib Kamu Ketahui :

1. DNN (Dot Net Nuke)

DNN adalah metode yang juga disebut Portal Hacking.

2. SQL Injection

Yang paling umum dan paling berbahaya. Ini adalah teknik kode injeksi yang mengeksploitasi kerentanan keamanan di beberapa software komputer. Terjadi pada tingkat database aplikasi (seperti query).

3. JavaScript Injection

Javascript Injection adalah fasilitas yang kita dapat memasukkan sendiri kode javascript ke dalam website, baik dengan memasukkan kode ke address bar, atau dengan menemukan sebuah XSS (Cross Site Scripting) kerentanan dalam website. Umumnya digunakan dalam spoofing juga.

4. Spoofing Attack

Sebuah serangan spoofing adalah situasi di mana satu orang atau program berhasil menyamar sebagai lain dengan memalsukan data dan dengan demikian mendapatkan sebuah keuntungan yang tidak sah.

5. Phishing

Phishing adalah cara mencoba untuk memperoleh informasi seperti username, password dan rincian kartu kredit dengan menyamar sebagai entitas terpercaya dalam sebuah komunikasi elektronik.

6. Cross Site Scripting

Cross-site Scripting (XSS) adalah teknik serangan yang melibatkan kode penyerang ke pengguna contoh browser.

7. Man In The Middle Attack

Ini adalah bentuk menguping aktif di mana penyerang membuat koneksi independen dengan korban dan pesan relay antara mereka, membuat mereka percaya bahwa mereka berbicara langsung kepada yang lain melalui koneksi pribadi, padahal sebenarnya seluruh percakapan dikendalikan oleh penyerang.

8. DNS Poisoning

Ini adalah keamanan atau data integritas kompromi dalam Domain Name System (DNS). Kompromi terjadi ketika data diperkenalkan ke dalam cache nama DNS server database yang tidak berasal dari sumber otoritatif DNS.

9. DOS Attack

Ini adalah upaya untuk membuat sumber daya komputer tidak tersedia untuk diakses oleh pengguna lain.
Share:

Social Engineering, Metode Hacking Paling Dasar dan Efektif



Definisi Social Engineering

Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.

Social Engineering ini bisa terjadi karena banyak faktor, diantaranya adalah faktor kecerobohan seorang user dalam mengelola passwordnya atau bisa juga seorang hacker berpura-pura menjadi orang yang berkepentingan dalam sebuah sistem dan seolah-olah memerlukan password, akses ke jaringan, peta jaringan, konfigurasi sistem dan semacamnya untuk suatu keperluan tertentu.

Jika kamu pernah menonton film Who Am I, maka diakhir cerita kamu akan diperlihatkan pada teknik paling dasar dari hacking yaitu Social Engineering.

Faktor Utama Dalam Social Engineering

Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

Metode Dalam Social Engineering

Metode #1

Metode pertama adalah metode yang paling dasar dalam social engineering, dengan meminta penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Metode #2

Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Contoh :
Seseorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.

Metode #3

Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.

Ilustrasi Social Engineering

Adapun metode yang berbasis interaksi sosial dapat diilustrasikan dari kisah Master Social Engineering yang melegenda yaitu Kevin Mitnick, cerita yang dikisahkan Mitnick sendiri pada sebuah forum online Slasdot.org. berikut ini ceritanya:

“Pada satu kesempatan, saya ditantang oleh seorang teman untuk mendapatkan nomor (telepon) Sprint Foncard-nya. Ia mengatakan akan membelikan makan malam jika saya bisa mendapatkan nomor itu. Saya tidak akan menolak makan enak, jadi saya berusaha dengan menghubungi Customer Service dan perpura-pura sebagai seorang dari bagian teknologi informasi. Saya tanyakan pada petugas yang menjawab apakah ia mengalami kesulitan pada sitem yang digunakan. Ia bilang tidak, saya tanyakan sistem yang digunakan untuk mengakses data pelanggan, saya berpura-pura ingin memverifikasi. Ia menyebutkan nama sistemnya.”

“Setelah itu saya kembali menelepon Costumer Service dan dihubungkan dengan petugas yang berbeda. Saya bilang bahwa komputer saya rusak dan saya ingin melihat data seorang pelanggan. Ia mengatakan data itu sudah berjibun pertanyaan. Siapa nama anda? Anda kerja buat siapa? Alamat anda dimana? Yah, seperti itulah. Karena saya kurang riset, saya mengarang nama dan tempat saja. Gagal. Ia bilang akan melaporkan telepon-telepon ini pada petugas keamanan.”

“Karena saya mencatat namanya, saya membawa seorang teman dan memberitahukannya tentang situasi yang terjadi. Saya meminta teman itu untuk menyamar sebagai ‘penyelidik keamanan’ untuk mencatat laporan dari petugas Customer Service dan berbicara dengan petugas tadi. Sebagai ‘penyelidik’ ia mengatakan menerima laporan adanya orang berusaha mendapatkan informasi pribadinya pelanggan. Setelah tanya jawab soal telepon tadi, ‘penyelidik menanyakan apa informasi yang diminta penelepon tadi. Petugas itu bilang nomor Foncard. ‘penyelidik’ bertanya, memang berapa nomornya? Dan petugas itu memberikan nomornya. Oops. Kasus selesai.”

Tips Menghindari Social Engineering

  • Jika bertemu dengan orang yang baru dikenal jangan mudah percaya, dan jangan langsung membagi informasi  pribadi begitu saja.
  • Belajar dari pengalaman orang lain, baik melalui buku, internet, dll.
  • Pelatihan dan sosialisasi dari perusahaan ke karyawan dan unit-unit terkait lainnya mengenai pentingnya mengelola keamanan informasi.
  • Organisasi atau perusahaan mengeluarkan sebuah buku saku berisi panduan mengamankan informasi yang mudah dimengerti dan diterapkan oleh pegawainya untuk mengurangi insiden-insiden yang tidak diinginkan.
  • Jangan asal membuka email maupun pesan yang memiliki attachment, baik berupa gambar maupun file lainnya. Lakukan cross check terlebih dahulu terhadap sumber attachment tersebut.
Share:

Contact us

Nama

Email *

Pesan *