CERTIFIED ETHICAL HACKER Modul 1 - Pengenalan Etika Hacking

Oleh : -Fressy Nugroho, MT-Cyb3rL4bD0s Security Team

LAPORAN INVESTIGASI PENCURIAN DATA

AKTIVITAS EXPLOITASI KEAMANAN INTERNET DI INDONESIA

AKSI HACKING PADA HALAMAN ADMIN WEBSITE FAKULTAS SAINTEK UIN MALANG

Istilah penting dalam aktivitas hacking• Hack Value : Nilai berharga bisa berupa uang, suatu hal yang bersifat

penting seperti reputasi dari target.

• Exploit : Suatu metode atau teknik yang digunakan untuk menguji vulnerability

sistem.

• Vulnerability : Kelemahan dalam sistem, organisasi, software, dll. yang dapat memicu

pengungkapan data, terambilnya data, hingga penghilangan data.

• Target of Evaluation : Sistem atau organisasi yang akan diserang oleh hacker

• Zero-day Attack : Exploit yang belum pernah dipublish sebelumnya dan belum pernah

ada publikasi mengenai cara menanggulanginya.

• Daisy Chaining : Hubungan berantai yang digunakan oleh hacker untuk menyembunyikan dirinya dalam jaringan internet, sehingga hacker tersebut sulit dilacak keberadaannya

Elemen di dalam keamanan Informasi• Integrity

Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Karena ketika melewati jaringan internet, sebenarnya data telah berjalan sangat jauh melintasi berbagai negara. Pada saat perjalanan tersebut, berbagai gangguan dapat terjadi terhadap isinya, baik hilang, rusak, ataupun dimanipulasi oleh orang yang tidak seharusnya.

• Availability Keamanan atas ketersediaan layanan informasi.

• Authenticity Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh pengguna adalah asli milik orang tersebut, begitu juga dengan server dan sistem informasi yang diakses.

• Non-repudiationMenjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak dapat di tolak bahwa mereka telah mengirim atau menerima sebuah file yang mengakomodasi perubahan nilai dari data tersebut.

Vektor Serangan dalam sistem Informasi

Motif, Tujuan dan Metode dari kegiatan hacking

• Tujuan dari attacker/hacker biasanya didasari untuk mengganggu aktivitas bisnis yang sedang berjalan, mencuri data dan informasi, manipulasi data (ex mengubah nilai siakad), dan untuk balas dendam.

• Motif hacker biasanya berasal dari gagasan bahwa sistem yang diserang menyimpan data atau melakukan proses yang sangat penting dan bernilai sehingga sistem informasi tersebut menjadi target dari para hacker.

Motif, Tujuan dan Objektif dari Kegiatan Hacking

• Objektif dari hacker adalah dengan mencoba berbagai tool, metode,dan teknik serangan untuk mengexploitasi kelemahan sistem komputer atau kebijakan keamanan agar tujuan dan motivasi hacker tersebut tercapai.

Ancaman Sistem Informasi

• Ancaman dari Alam Ex Bencana Alam, Gempa Bumi, Banjir, Badai

• Ancaman dari sumber daya fisik 1. Kehilangan atau kerusakan sumber daya komputer2.Sabotase3.Pembobolan perangkat fisik (Server, Router, atau FireWall)

• Ancaman dari Manusia Ex Hacker, orang dalam, sosial engginering, kurangnya kewaspadan dari admin dan user sehingga menyebabkan kebocaran informasi

Ancaman Sistem Informasi dari sisi manusia dapat dibagi:

• Ancaman dari Jaringan1. Information gatherig2.Sniffing dan evasdroping3.Spoofing4.Session hijaking dan man-in-the-midle-attack5.Sql-Injection6.ARP Poisoning7.Password Gathering

Ancaman Sistem Informasi dari sisi manusia dapat dibagi:• Ancaman dari Host

1.Serangan Malware2.Target Footprinting3.Serangan untuk mendapatkan password (password gathering)4.Denial Of Service (service mematikan atau merusak/flooding)5.Eksekusi kode berbahaya (Shell code injection)6.Unathorized Akses7.Privelage Escalation8.Serangan Backdor

Ancaman Sistem Informasi dari sisi manusia dapat dibagi:• Ancaman dari Aplikasi

1.Validasi data/input2.Serangan Otentifikasi dan Otorisasi3.Manajemen konfigurasi4.Penyingkapan Informasi5.Masalah dalam management sesi (ex cache dan cookies)6.Serangan Buffer Overflow yang menyebabkan overload Resource7.Serangan kriptografi8.Manipulasi Parameter 9. Kesalahan penanganan masalah dan manajemen pengecualian10.Masalah dalam logging dan auditing sistem

Hacker vs Ethical Hacker• Hacker

1.Mampu membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu keuntungan. Sebagai contoh : Virus, Pencurian Kartu Kredit, Kode Warez, Pembobolan Rekening Bank, Pencurian Password E-mail/Web Server. Serangan Otentifikasi dan Otorisasi, Pencurian Informasi Pribadi.

2.Bisa berdiri sendiri atau berkelompok dalam bertindak.3.Mempunyai website, forum atau channel dalam IRC yang

tersembunyi, hanya orang-orang tertentu yang bisa mengaksesnya.

4.Mempunyai IP address yang tidak bisa dilacak. (terkadang jika hacker tersebut profesional)

5.Kasus yang paling sering ialah Carding yaitu Pencurian Kartu.

Hacker vs Ethical Hacker• Ethical Hacker

1.Mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs yang sangat complex. Sebagai contoh : jika seorang hacker mencoba menguji suatu situs dipastikan isi situs tersebut tak akan berantakan dan mengganggu yang lain. Biasanya hacker melaporkan kejadian ini untuk diperbaiki menjadi sempurna. Bahkan seorang hacker akan memberikan masukan dan saran yang bisa memperbaiki kebobolan system yang ia masuki.

2.Memahami dan memiliki pengetahuan yang lebih di bidang arsitektur jaringan, sistem operasi dan pemrograman.

3.Hacker mempunyai etika serta kreatif dalam merancang suatu program yang berguna bagi siapa saja.

4.Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius atas nama ilmu pengetahuan dan kebaikan.

5.Seorang hacker akan selalu memperdalam ilmunya dan memperbanyak pemahaman tentang sistem operasi, jaringan dan pemrograman.

Klasifikasi Hacker1.Script Kiddies : Merupakan hacker pemula yang memiliki sedikit pengetahuan

dan menggunakan tools buatan orang lain, biasanya tidak dapat mengembangkan serangan dan pertahanan.

2.Black Hats : Tipikal hacker yang berbahaya dan jahat, biasanya dimotivasi oleh uang, balas dendam, kriminal, teroris, aktivis, dll.

3.White Hats : Merupakan tipikal ethical hacker yang memiliki skill dan pengetahuan teknik hacking untuk membantu pertahanan terhadap penyerangan-penyerangan dan membuat sistem lebih secure/aman. Sering kali disebut dengan Konsultan Sekuriti, Analist, atau Engineer.

4.Grey Hats :  Ini merupakan hacker yang tidak ada batasan baik atau jahat, terkadang melakukan penyerangan, tetapi terkadang menjadi konsultan keamanan, bisa saja dikarenakan mereka butuh uang, tergantung pekerjaan apa yang mereka dapat.

5.Cyber Terrorist : TIpikal hacker jahat, biasanya secara organisasi/group, mereka menyebarkan ancaman-ancaman untuk tujuan tertentu (agama, politik, nasionalis, atau aktivis)

6.State-sponsored Hackers : Merupakan hacker terlatih yang dibiayai oleh negara atau pemerintah biasanya bertujuan untuk mata-mata dan perang cyber (cyber warfare). Mereka adalah hacker yang memilikikemampuan tinggi dan banyak uang karena disponsori oleh negara.

Klasifikasi Hacker7. Hacktivist : Merupakan salah satu black hat, mereka menyerang sambil

menyebarkan suatu pesan khusus. Melalui deface website, serangan DoS, dll. 8. Corporate Hackers : Tipikal hacker yang menyerang properti intelektual dan

data penting suatu perusahaan. Tujuan mereka adalah untuk mendapatkan informasi mengenai kompetitor suatu perusahaan.

Tahapan Hacking1. Footprinting

Melakukan pencarian sistem yang dapat dijadikan sasaran, mengumpulkan informasi terkait sistem sasaran dengan memakai search engine, whois, dan DNS zone transfer.

2. ScanningMencari pintu masuk yang paling mungkin dari sistem sasaran yang sudah ditetapkan. Hal ini dapat dilakukan dengan ping sweep dan port scan.

3. EnumerationMelakukan telaah intensif terhadap sistem sasaran dengan mencari user account yang sah, sumber daya jaringan dan sharing-nya serta aplikasi yang dipakai, sehingga diketahui titik lemah dari proteksi yang ada.

4. Gaining AccessBerusaha mendapatkan data lebih banyak lagi untuk mulai mengakses sistem sasaran. Hal ini dilakukan dengan cara mengintip dan merampas password, menebak password serta melakukan BufferOverflow

5. Escalating PrivilegeSetelah berhasil masuk ke sistem sasaran, dilakukan usaha untuk mendapatkan privilege tertinggi (administrator atau root) sistem dengan cara password cracking atau exploit memakai get admin, sechole atau lc_messages.

6. Piffering Melakukan pengumpulan informasi lagi untuk mengidentifikasi mekanisme akses ke trusted sistem, mencakup evaluasi trust dan pencarian cleartext password di registry, config file dan user data

Tahapan Hacking7. Covering Tracks

Setelah kontrol penuh terhadap sistem diperoleh, usaha untuk menutup atau menghilangkan jejak menjadi prioritas,  meliputi pembersihan network log dan penggunaan hide tool seperti macam– macam root kit dan file streaming.8.Creating Backdoors Membuat pintu belakang pada berbagai bagian dari sistem, yang dapat dipakai untuk masuk kembali ke sistem secara mudah dan tidak terdeteksi.

9. Denial of Service (DoS)Bila semua usaha di atas gagal, penyerang dapat melumpuhkan layanan yang ada pada sistem sasaran sebagai usaha terakhir.

SEKIAN DAN TERIMA KASIH

“the quieter you become, the more you are able hear..,”

-Backtrack Linux

Happy Hunting and Good Luck