DefianaArnaldy deff arnaldy@yahoo · Hacker adalah sebutan untuk orang atau sekelompok orang yang...

[email protected]

Understanding hacker objectives Outlining the differences between ethical hackers and malicious hackers

Examining how the ethical hacking process has come about

Understanding the dangers that your computer systems face

Starting the ethical hacking process

Sama‐samamenggunakan tools yang sama Perbedaan sangat tipis (fine line): itikad danpandangan (view) terhadap berbagai hal

Contoh: Probing / (port) scanning sistem orang lain bolehtidak?

Hacker. Noun. 1. A person who enjoys learning the detail of computer

systems and how to stretch their capabilities as opposed to most users of computers, who prefer to learn only the minimum amount necessary.

2. One who programs enthusiastically or who enjoys programming rather than theorizing about programming.

(Guy L. Steele, et al. The Hacker’s Dictionary)

Traditionally, a hacker is someone who likes to tinkerwith software or electronic systems. Hackers enjoyexploring and learning how computer systemsoperate. They love discovering new ways to workelectronically.

Recently, hacker has taken on a new meaning —someone who maliciously breaks into systems forpersonal gain. Technically, these criminals arecrackers (criminal hackers).

Hacker adalah sebutan untuk orang atausekelompok orang yang memberikan sumbanganbermanfaat untuk dunia jaringan dan sistem operasi,membuat program bantuan untuk dunia jaringandan komputer.Hacker juga bisa di kategorikan perkerjaan yangdilakukan untuk mencari kelemahan suatu systemdan memberikan ide atau pendapat yang bisamemperbaiki kelemahan system yang ditemukannya.

Cracker adalah sebutan untuk orang yangmencari kelemahan system dan memasukinya untukkepentingan pribadi dan mencari keuntungan darisystem yang di masuki seperti: pencurian data,penghapusan, dan banyak yang lainnya.

Crackers break into (crack) systems withmalicious intent. They are out for personal gain:fame, profit, and even revenge. They modify,delete, and steal critical information, oftenmaking other people miserable.

Based on old‐style western films White hats The ‘good guys’ – ethical hackers

Black hats The ‘bad guys’ – hackers / crackers

Grey (gray) hats: Possibly good guys

Michael Jones Introduction to Ethical Hacking 8

Hackers are like kids putting a 10 pence piece on a railway line to see if the train can bend it, not realising that they risk de‐railing the whole train (Mike Jones)

Target acquisition and information gathering. Casing the establishment, footprinting, scanning, enumeration

Initial access Privileges escalation Covering tracks

EliteCiri‐ciri : mengerti sistem operasi luar dalam, sanggupmengkonfigurasi & menyambungkan jaringan secara global,melakukan pemrogramman setiap harinya, effisien & trampil,menggunakan pengetahuannya dengan tepat, tidakmenghancurkan data‐data, dan selalu mengikuti peraturanyang ada.Tingkat Elite ini sering disebut sebagai ‘suhu’.

Semi EliteCiri‐ciri : lebih muda dari golongan elite, mempunyaikemampuan & pengetahuan luas tentang komputer, mengertitentang sistem operasi (termasuk lubangnya), kemampuanprogramnya cukup untuk mengubah program eksploit.

Developed KiddieCiri‐ciri : umurnya masih muda (ABG) & masih sekolah, merekamembaca tentang metoda hacking & caranya di berbagaikesempatan, mencoba berbagai sistem sampai akhirnya berhasil &memproklamirkan kemenangan ke lainnya, umumnya masihmenggunakan Grafik User Interface (GUI) & baru belajar basic dariUNIX tanpa mampu menemukan lubang kelemahan baru di sistemoperasi.

Script KiddieCiri‐ciri : seperti developed kiddie dan juga seperti Lamers, merekahanya mempunyai pengetahuan teknis networking yang sangatminimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojanuntuk menakuti &menyusahkan hidup sebagian pengguna Internet.

LammerCiri‐ciri : tidak mempunyai pengalaman & pengetahuantapi ingin menjadi hacker sehingga lamer sering disebutsebagai ‘wanna‐be’ hacker, penggunaan komputermereka terutama untuk main game, IRC, tukar menukarsoftware pirate, mencuri kartu kredit, melakukanhacking dengan menggunakan software trojan, nuke &DoS, suka menyombongkan diri melalui YM channel, dansebagainya. Karena banyak kekurangannya untukmencapai elite, dalam perkembangannya mereka hanyaakan sampai level developed kiddie atau script kiddiesaja.

1. Pada tahun 1983, pertama kalinya FBI menangkap kelompok kriminalkomputer The 414s(414 merupakan kode area lokal mereka) yang berbasisdi Milwaukee AS. Kelompok yang kemudian disebut hacker tersebutmelakukan pembobolan 60 buah komputer, dari komputer milik PusatKanker Memorial Sloan‐Kettering hingga komputer milik LaboratoriumNasional Los Alamos. Salah seorang dari antara pelaku tersebutmendapatkan kekebalan karena testimonialnya, sedangkan 5 pelakulainnyamendapatkan hukumanmasa percobaan.

2. Digigumi (Grup Digital) adalah sebuah kelompok yang mengkhususkan diribergerak dalam bidang game dan komputer dengan menggunakan teknikteknik hexadecimal untuk mengubah teks yang terdapat di dalam game.Contohnya : game Chrono Trigger berbahasa Inggris dapat diubah menjadibahasa Indonesia. Oleh karena itu, status Digigumi adalah hacker, namunbukan sebagai perusak.

3. Pada hari Sabtu, 17 April 2004, Dani Firmansyah, k nsultan TeknologiInformasi (TI) PT Danareksa di Jakarta berhasil membobol situs milikKomisi Pemilihan Umum (KPU) di http://tnp.kpu.go.id dan mengubahnama‐nama partai di dalamnya menjadi nama‐nama “unik”, seperti PartaiKolor Ijo, Partai Mbah Jambon, Partai Jambu, dan lain sebagainya. Danimenggunakan teknik SQL Injection(pada dasarnya teknik tersebut adalahdengan cara mengetikkan string atau perintah tertentu di address barbrowser) untuk menjebol situs KPU. Kemudian Dani tertangkap pada hariKamis, 22April 2004.

Hacker : membuat teknologi internet semakin maju karenahacker menggunakan keahliannya dalam hal komputeruntuk melihat, menemukan dan memperbaiki kelemahansistem keamanan dalam sebuah sistem komputer ataupundalam sebuah software, membuat gairah bekerja seorangadministrator kembali hidup karena hacker membantuadministrator untukmemperkuat jaringanmereka.

Cracker : merusak dan melumpuhkan keseluruhan sistemkomputer, sehingga data‐data pengguna jaringan rusak,hilang, ataupun berubah.

HACKERS :1. Mempunyai kemampuan menganalisa kelemahan suatu sistem

atau situs. Sebagai contoh : jika seorang hacker mencoba mengujisuatu situs dipastikan isi situs tersebut tak akan berantakan danmengganggu yang lain. Biasanya hacker melaporkan kejadian iniuntuk diperbaiki menjadi sempurna.Bahkan seorang hacker akanmemberikan masukan dan saran yang bisa memperbaikikebobolan system yang ia masuki.

2. Hacker mempunyai etika serta kreatif dalammerancang suatuprogram yang berguna bagi siapa saja.

3. Seorang Hacker tidak pelit membagi ilmunya kepada orang‐orangyang serius atas nama ilmu pengetahuan dan kebaikan.

4. Seorang hacker akan selalu memperdalam ilmunya danmemperbanyak pemahaman tentang sistem operasi.

CRACKERS :1. Mampu membuat suatu program bagi kepentingan dirinya sendiri dan

bersifat destruktif atau merusak dan menjadikannya suatu keuntungan.Sebagia contoh : Virus, Pencurian Kartu Kredit, Kode Warez,Pembobolan Rekening Bank, Pencurian Password E‐mail/Web Server.

2. Bisa berdiri sendiri atau berkelompok dalam bertindak.3. Mempunyai situs atau cenel dalam IRC yang tersembunyi, hanya orang‐

orang tertentu yang bisa mengaksesnya.4. Mempunyai IP yang tidak bisa dilacak.5. Kasus yang paling sering ialah Carding yaitu Pencurian Kartu Kredit,

kemudian pembobolan situs dan mengubah segala isinya menjadiberantakan. Sebagai contoh : Yahoo! pernah mengalami kejadianseperti ini sehingga tidak bisa diakses dalam waktu yang lama, kasusclickBCA.com yang paling hangat dibicarakan tahun 2001 lalu.

Example: Someone reports to a company that their website is vulnerable to (say) a SQL injection attack that could result in private data being accessed

Company does nothing about it

What is the ethical position?


• Strands:– Technical and Social

• Technical:– E.g., penetration testing

• Social– E.g., why people do it?

• Sources– Practical experience– Research: academic articles, white papers, websites, blogs


Thinking like a (black hat) hacker, but not acting like one

Understanding the motivation, commitment, attitudes Not being influenced by ‘sound bite’ psychology

Required skills: Communication, technical, collaboration


A hacker wants to gain access to: Systems Data

A hacker MAY want to destroy or modify systems and data

There are many subtypes of hacker


Main subtypes: technical, social Access hackers Will focus on ways to gain access Subtypes: system, network, application

Malicious hackers Will focus on ways to modify or destroy Subtypes: network DoS, virus writers

Hackers may migrate between subtypesMichael Jones Introduction to Ethical Hacking 24

A network of hackers Access hackers Providing access mechanisms – e.g., via trojans, botnets

Malicious hackers Providing modification mechanisms – e.g., DDoS, viruses

Factors Acting as go‐betweens with potential clients


In the UK, the biggest betting event is the Grand National

In the weeks before the event, betting websites receive threats to their sites: E.g., DDoS attack threatened – blackmail

What should the companies do?


Means Motive Opportunity In terms of the Internet, are ‘means’ and ‘opportunity’ relevant?


Hacking can operate at many levels: Hardware Network Systems software Application layer Social layer (not part of the ISO model)


Case study: PDF documents Problem: custom kerning required for some fonts Solution: allow PDFs to include code (e.g., JavaScript)

Question: how complete is the JavaScript sandbox provided by Adobe Reader?

Question: what about older versions?



Theory

Hypothesis

Experiment

Data Gathering and Analysis

Modify theory

The V Model of Scientific Method

Classic scientific experiment: Controlling factors that influence a given result In a controlled environment Observation and measurement of cause and effect

All these elements are inevitably part of a ‘hack’ To allow the hack to be demonstrated and/or repeated


Theory: anything that includes code can be compromised

Hypothesis creation: Identifying and exploring the potential approach

Experiment: Creating doctored files that compromise the system


Induction Projecting from hypothesis to potential events

Deduction Inferring a hypothesis from observed events

A hack contains many elements of both Much exploration and experimentation at each stage ‘experiment’ stage is when the actual hack takes place


Hacking is a specialisation of business intelligence

Hacking: exploring someone else’s data Business intelligence: exploring (mining) your own data

Hacking and BI both need a scientific approach Compare with ‘traditional’ software developmentMichael Jones Introduction to Ethical Hacking 34

1. Social Hacking, yang perlu diketahui :informasi tentang system apa yang dipergunakan oleh server, siapapemilik server, siapa Admin yang mengelola server, koneksi yangdipergunakan jenis apa lalu bagaimana server itu tersambunginternet, mempergunakan koneksi siapa lalu informasi apa saja yangdisediakan oleh server tersebut, apakah server tersebut jugatersambung dengan LAN di sebuah organisasi dan informasi lainnya

1. Technical Hacking,merupakan tindakan teknis untuk melakukan penyusupan ke dalamsystem, baik dengan alat bantu (tool) atau dengan mempergunakanfasilitas system itu sendiri yang dipergunakan untuk menyerangkelemahan (lubang keamanan) yang terdapat dalam system atauservice. Inti dari kegiatan ini adalah mendapatkan akses penuhkedalam system dengan cara apapun dan bagaimana pun.

• Di atas segalanya, hormati pengetahuan &kebebasan informasi.

• Memberitahukan sistem administrator akanadanya pelanggaran keamanan / lubang dikeamanan yang anda lihat.

• Jangan mengambil keuntungan yang tidak fairdari hack.

• Tidak mendistribusikan & mengumpulkansoftware bajakan.

• Tidak pernah mengambil resiko yang bodoh –selalu mengetahui kemampuan sendiri.

• Selalu bersedia untuk secara terbuka / bebas /gratis memberitahukan & mengajarkan berbagaiinformasi &metoda yang diperoleh.

• Tidak pernah meng‐hack sebuah sistem untukmencuri uang.

• Tidak pernah memberikan akses ke seseorangyang akanmembuat kerusakan.

• Tidak pernah secara sengaja menghapus &merusak file di komputer yang dihack.

• Hormati mesin yang di hack, dan memperlakukandia seperti mesin sendiri.

1. Mampu mengakses komputer tak terbatas dantotalitas.

2. Semua informasi haruslah FREE.3. Tidak percaya pada otoritas, artinya memperluasdesentralisasi.

4. Tidak memakai identitas palsu, seperti namasamaran yang konyol, umur, posisi, dll.

5. Mampu membuat seni keindahan dalamkomputer.

6. Komputer dapat mengubah hidup menjadi lebihbaik.

7. Pekerjaan yang di lakukan semata‐mata demi kebenaran informasi yang harus disebar luaskan.

8. Memegang teguh komitmen tidak membela dominasi ekonomi industri software tertentu.

9. Hacking adalah senjata mayoritas dalam perang melawan pelanggaran batas teknologi komputer.

10. Baik Hackingmaupun Phreaking adalah satu‐satunya jalan lain untuk menyebarkan informasi pada massa agar tak gagap dalam komputer.Cracker tidak memiliki kode etik apapun

Hacking is concerned with accessing data and systems to which the individual would normally not have access

Hacking requires a scientific approach, and is based on technical, social, and collaborative skills

These skills can be employed in the domains of ethical hacking and business intelligence


DahlanAbdullahEmail : [email protected] : http://dahlan.unimal.ac.id

Michael Jones. Introduction to Ethical Hacking

DefianaArnaldy deff arnaldy@yahoo · Hacker adalah sebutan untuk orang atau sekelompok orang yang...

Documents

Transcript of DefianaArnaldy deff arnaldy@yahoo · Hacker adalah sebutan untuk orang atau sekelompok orang yang...