Setelah sekian lama saya tidak blogging. Kali ini saya mau share yang berhubungan dengan Password. tapi masih berhubungan dengan hacking hehehe. di sini saya hanya memberi sedikit refrensi, bukan tutorial. siapa tahu jadi ilmu yang bermanfaat. Apa itu password? pasti kawan sudah tau dong kalau password itu suatu kode untuk keamanan suatu akun. itu baru secara umum. tapi kalau Menurut definisi programmer? masih sidikit yang tahu hehehe. ini ) Kumpulan karakter atau string yang digunakan oleh pengguna jaringan atau sebuah sistem operasi yang mendukung banyak pengguna (multiuser) untuk memverifikasi identitas dirinya kepada sistem keamanan yang dimiliki oleh jaringan atau sistem tersebut. Sekarang Masuk ke Materi...
Password Cracking
password cracking adalah proses terpenting dalam hacking karna biasanya password – password yang di simpan di database atau data store dalam bentukenskripsi dan ini adalah salah satu proses hacking yang memakan waktu sangat lama jika kekuatan password sangat kuat.
Password Cracking sendiri punya banyak teknik tapi yang saya tahu dan yang saya jelaskan di sini cuma 3. Maklum ilmu saya sangat terbatas.
Dictionary Attack
Dictionary Attack adalah teknik Password Cracking dengan cara mencoba semua kata yang ada di dalam dictionary / kamus Biasanya Di Sebut WordList . WordList ini berisi kumpulan atau list kata – kata yang kemungkinan terkandung dalam password. Sistem kerjanya dari teknik ini adalah mencocokan hasil enkripsi. jadi kata – kata yang di dapat dari WordList di enkripsi lalu di cocokan dengan password yang berbentuk enkripsi juga.
Terus dari mana WordListnya?
WordList bisa di download dari internet, WordList ini kata – katanya bisa sampai ratusan maupun milyaran juta kata kata. tinggal di pilih aja yang sesuai kebutuhan atau bisa di buat dengan program, nah acuan dari wordlist yang di buat oleh program ini adalah hasil SOCENG atau Social Engineering danFootprinting (Informasi Sistem )
Brute Force Attack
Brute Force adalah teknik Password Cracking dengan cara mencoba secara random. keuntunganya adalah dapat memecahkan password yang sangat kuat tapi membutuhkan algoritma program Brute Force yang hebat dan Waktu yang sangat lama. Sistem Kerjanya adalah merangkai kata kata dari A – Z , 0 – 9 bahkan ada juga program brute force yang merangkai huruf, kata, dan simbol. selanjutnya dari rangkaian kata tersebut akan di enkripsi lalu di cocokan.
Rainbow Table Attack
Rainbow Table Attack adalah teknik Password Cracking dengan cara mencari password enkripsi di dalam dictionary / kamus. Rainbow attack terdapat enkripsi dan textplain di dalam kamusnya sedangkan dictionary attack hanya textplain yang terdapat di dalam kamus. keuntunganya adalah proses pencarian password lebih cepat karna enkripsi sudah di lakukan pada saat pembuatan dictionary / kamus. semakin banyak list dictionary semakin banyak juga kemungkinan password terpecahkan. karna sistemnya seperti mencari record di database. contoh:
Seorang tukang Bakso ingin memcahkan sandi yang dia dapatkan dengan susah payah. enkripsi password yang di dapatkan si tukang bakso ini adalah f4dba068279755c2b6c6fa8bdca2e640 kemudian si tukang bakso ini mencari jasa penyedia rainbow table di internet. dan penyedia jasa pun menDecrypt kan password untuk si tukang bakso ini. dan akhirnya si tukang bakso mendapatkan password yang sudah di decrypt ” adminpengenbakso “
Demikianlah article yang saya buat, semoga dapat bermanfaat. mohon maaf kalau ada kekurangan ataupun kesalahan.
Pyrokinesis adalah kemampuan psikis untuk mempercepat dari getaran alami dari atom dalam hal untuk mengubah suhu, mungkin ke titik pengapian jika terbakar.Pada tingkat rendah, yang bisa bergerak lilin kembali dan sebagainya.Pada tingkat yang lebih tinggi, orang bisa memadamkan api atau membuat menyala lagi hanya menggunakan pikiran.Pyrokinesis adalah salah satu kekuatan lebih berlatih seperti telekinesis.Ini bisa berguna juga, untuk pemanasan orang atas atau pengaturan hal-hal api.Beberapa metode pelatihan yang diposting di bawah ini.Pyrokinesis juga dikenal sebagai Panas Manipulasi atau Api Manipulasi.
Setelah memulai pyrokinesis, saat Anda akan merasa sangat dingin atau panas.Jangan khawatir Anda tidak akan mendapatkan sakit dan itu akan berlalu setelah satu minggu.
Pelatihan Pyrokinetic
Ilustrasi
Merasa Nyaman Dengan Api
Cobalah melihat, merasakan panasnya.Mencoba mendapatkan tangan Anda lebih dekat untuk itu, wicking panas pergi, kemudian pindah lebih dekat.
Dancing Flame
The Dancing Latihan api akan memungkinkan kita untuk memadamkan dan / atau api menyala lagi dengan tidak lebih dari gelombang tangan.Pertama, kita menyalakan korek api.Sekarang kita membuat terowongan antara pikiran dan api.Sekarang akan (perintah) api untuk turun.Berkonsentrasi keras.Akhirnya, dengan kemauan yang cukup dan konsentrasi, api akan membakar keluar.Sekarang kita telah melakukan bagian yang mudah.Bagian yang sulit adalah mendapatkan bara untuk menyala lagi.Sekarang akan (perintah) api nyaris tak terlihat (yang keluar) untuk tumbuh.Membuat kenaikan api, dan panas dan panas.Setelah beberapa saat, dengan cukup kekuatan kemauan dan konsentrasi, pertandingan mati akan menyala merah.Kami telah menguasai hanya ukuran api pertandingan, though.Our tujuan baru harus menguasai api yang lebih besar.
PSI Ball
Ini bukan pelatihan Pyrokinesis tetapi Anda harus mampu melakukan dengan sangat baik untuk dapat melakukan Pyrokinesis.Untuk membuat psi bola menggunakan gesekan dari menggosok tangan Anda bersama-sama, setelah Anda cukup baik berhenti menggunakannya dan hanya pergi ke langkah berikutnya.Berikutnya memiliki tangan Anda dalam bentuk cakar dan mulai menempatkan tangan Anda bersama-sama dalam bentuk bola, tidak cukup menyentuh, kemudian mengambil mereka terpisah dan terus melakukan itu.Setelah itu Anda harus program ini.Anda harus memikirkan kata-kata, bau, suara, gambar, dan segala sesuatu yang terjadi dengan hal tertentu (ex. api, cahaya, dll).Ini memberitahu bola psi apa yang harus dilakukan.Terakhir Anda harus membayar itu.Ini adalah di mana Anda membuat shell energi di sekitarnya.
Api Psi-Ball (Ilustrasi)
Fire Fuse
Konversi energi Anda menjadi energi termal sangat sederhana, hanya memvisualisasikan energi yang diubah menjadi panas.
Heating Up
Anda dapat melakukan ini dengan termometer atau hakim.Peningkatan panas sendiri, memvisualisasikan partikel di udara mempercepat, bergerak lebih cepat, melepaskan energi lebih dan lebih.Setelah ini, Anda memvisualisasikan sebuah termometer akan lebih tinggi dan lebih tinggi sampai menghancurkan.Kemudian, pikirkan oven memanas ruang ini.Setelah itu, memvisualisasikan sebuah bara kecil menangkap ruang menjadi api kecil.Kemudian, visualisasikan itu api kecil semakin besar dan besar dan lebih besar sampai api unggun besar di kepala Anda.Gunakan salah satunya untuk melakukan hal ini.Ia bekerja lebih baik bila Anda melakukan semua dari mereka.Di tempat cukup kecil setelah pelatihan yang cukup itu akan terbakar.
Dancing Flame (latihan lainnya)
Hanya berkonsentrasi pada bergerak dalam arah tertentu, membuatnya bergerak dalam satu arah, kemudian yang lain, membuatnya berputar, membuatnya bergerak off dari lilin dan berputar dalam sebuah lingkaran api, membuatnya berputar ke arah lain, membuatnya lebih besar, maka lebih kecil, kemudian dimasukkan oleh membayangkan itu akan keluar.Kemudian cobalah untuk menyala lagi itu.Ini mungkin tidak menyala lagi pada awalnya, tapi setelah beberapa minggu, harus mulai bekerja.Secara teori, Anda bisa juga super-panas api, atau membuatnya berputar dalam cincin menyala.
Internal Temperature
Pertama, Anda harus memikirkan diri sendiri dan udara di sekitar Anda membakar intens.Kemudian bayangkan semua udara di sekitar Anda meledak menjadi Anda membuat diri Anda lebih panas.
Push Energi
Berikut adalah cara yang dapat memadamkan api.Anda membuat banyak energi di tangan Anda, dan kemudian menyodorkannya pada api.
Membuat Api
Dapatkan posisi yang nyaman dengan apa-apa di pikiran Anda, tidak ada suara, tidak ada untuk mengalihkan perhatian Anda.Kemudian cangkir tangan Anda dengan salah satu dari yang lain yang memiliki gelembung udara di antara mereka (lubang menunjuk samping tidak sampai) semua panas akan meninggalkan sebaliknya ...Visualisasikan energi mengalir melalui tangan, berdenyut dengan energi ...kemudian, memvisualisasikan partikel udara bergerak lebih keras, memukul tempat di antara tangan saya bahkan lebih memadamkan energi sana ...kemudian memvisualisasikan termometer naik sampai menghancurkan ...setelah itu, membayangkan oven memanaskan ruang di antara tangan saya ...kemudian membayangkan bara kecil yang ditiup pada ... semakin besar, bersinar lebih dan lebih ...kemudian membayangkan api kecil semakin besar menjadi api besar sampai hanya itu api besar adalah dalam pikiran ..
Temperature Rise (Area)
Untuk memulai, berdiri dalam posisi santai, tutup mata Anda, dan fokus.Bayangkan udara di sekitar Anda tampak bergelombang karena panas di daerah.Cobalah untuk merasakan panas pada tubuh Anda, bayangkan diri Anda sangat panas dan berkeringat.Anda juga bisa membayangkan sebuah peningkatan termostat.Ini bisa menaikkan suhu di daerah sedikit.
Pembakaran: Kemampuan untuk membakar, menghanguskan dan makhluk hangus dan objek dengan sentuhan.
Api Penyerapan: Kemampuan untuk menyerap api ke tubuh tanpa membahayakan.
Api pemadam: Karakter dapat memadamkan api kecil sekitar nya.
Pyrokinesis: Kekuatan mental untuk mengontrol dan memanipulasi api.
Peringatan: Berhati-hatilah ketika Mencoba salah satu teknisi di halaman ini.Luka bakar dapat terjadi jika digunakan salah!
Proses Pemikiran
Sebuah Oven memanaskannya ruang atas.
Flint dan Baja membuat api.
Sebuah bara dalam beberapa materi mudah terbakar (ex. kain).
Termometer naik.
Molekul-molekul akan lebih cepat dan lebih cepat dan memukul ruang lebih keras.
Energi yang mengalir melalui lengan Anda.
Berdenyut energi di jari Anda (ketika saya memiliki energi yang cukup yang sebenarnya berdenyut).
Dan band energi pergi dari benda panas (ex. lampu, tubuh manusia) dan pergi ke dalam ruang (band bergerak lebih cepat dan lebih cepat menuju ruang).
Bergegas partikel udara ke dalam ruang memberi dari energi ke tempat mentransfer panas.
Uap atau asap mengepul dari tangan Anda karena rasa panas tersebut.
Sebelum beranjak ke port port-an dan melangkah kepemahaman tentang Port Scanner, terlebih dahulu mungkin anda harus mengerti juga apa itu IP (Internet Portocol) dan kemudian apa itu Proxy.
Jika ada penjelasan yang salah atau kurang benar dalam tulisan ini, saya memohon maaf dan dengan sangat harap Anda para pakar di dunia maya, mau meluruskan tulisan dari seorang penghuni kampung di lereng merapi ini. Saya hanyalah seorang pemula atau newbie.
Sejauh pengetahuan dan pemahaman saya, IP ataupun Proxy merupakan suatu alamat yang dipergunakan untuk terhubung di dunia maya. Oleh sebab itu, IP maupun Proxy hanya bisa digunakan untuk satu alamat dan memiliki nomor yang tidak sama satu sama lain. Anda bisa menggunakan IP yang sama dengan komputer yang berbeda namun anda tidak mungkin bisa memiliki IP yang dimiliki atau digunakan oleh orang lain. Maksudnya adalah jika anda ingin memiliki IP pribadi maka anda harus mendaftarkan IP tersebut dengan nomor alamat yang berbeda sama sekali dengan milik orang lain. Akan tetapi IP anda bisa digunakan oleh banyak komputer atau orang, tentunya dengan persetujuan anda. Kalau proxy bisa oleh banyak IP. Ini mirip dengan alamat rumah kita di dunia nyata. Sedangkan Proxy mirip dengan PO Box. Komputer >> IP >> Proxy .
Mengenai Proxy silahkan dilihat penjelasan saya di sini.
Lalu apa hubungannya IP atau Proxy dengan Port. Walaupun anda sudah memiliki alamat rumah yang jelas dan terdaftar di dunia maya, anda tidak akan bisa terhubung ke dunia maya atau internet jika anda tidak me
mbuka satu pun pintu yang ada di rumah anda. Berbeda dengan rumah di dunia nyata, Anda memiliki ratusan bahkan ribuan Pintu yang bisa dibuka dan ditutup semau anda. Pintu inilah sesungguhnya yang dinamakan dengan Port. Ya Port adalah pintu bagi rumah internet anda.
Dengan demikian anda harus terhubung ke dunia internet, baik itu lewat IP atau Proxy, harus juga memiliki Port yang terbuka. Lihat contoh IP atau Proxy berikut:
64.246.26.165:80
Nah, angka atau nomor alamat Proxy atau IP yang terdaftar di dunia maya dan dapat digunakan untuk keperluan berjalan-jalan atau berlari di dunia tersebut adalah yang barisan depan (64.246.26.165). Karena kalau hanya dengan alamat saja anda tidak mungkin bisa berkelana atau menerima tamu, coba bayangkan jika seluruh rumah anda tertutup rapat tanpa pintu atau jendela, maka anda akan terisolasi didalamnya, tidak akan pernah bisa bepergian atau menerima tamu. Anda hanya bisa berkomunikasi dengan orang-orang yang berada dalam rumah itu sendiri (kalau di komputer ya lewat jaringan LAN).
Jika anda sudah membuka pintu dibagian rumah anda, kadang para tamu pun kebingungan karena saking banyaknya pintu yang ada dirumah anda. Tidak mudah mengetahui pintu mana yang terbuka atau tertutup di dunia maya. Oleh sebab itu anda harus mempublikasikan atau memberitahu tamu anda jika anda ingin tamu anda tidak kesasar atau gagal menjadi tamu dan membagi-bagikan kue kesukaan anda (ini misalnya lho).
Dengan demikian Port atau pintu anda harus dikasih tahu mana yang terbuka. Angka 80 di belakang titik dua itulah yang disebut dengan Port atau pintu. Tentunya port tersebut harus dalam keadaan terbuka. 64.246.26.165:80 = IP:Port = Proxy:Port
Alamat = IP = Proxy, Pintu atau Jendela = Port.
Lalu apa itu Port Scanner dan Port Scanning?
Seorang tamu atau pengunjung yang ingin masuk ke dalam suatu alamat, tetapi kepingin tahu mana saja pintu yang terbuka (anda pemilik rumah bisa saja membuka lebih dari satu port tetapi yang diberitahukan ke tamu hanya satu port semisal anda membuka port di pintu ke 80, 5000, 5050, 3128, 8080, tetapi anda hanya memberitahu pengunjung bahwa pintu ke 80 terbuka tanpa memberi tahukan yang lainnya. Pengunjung juga sebenarnya tidak perlu tahu pintu ke berapa yang terbuka, karena pengunjung tanpa mengetahui pintu mana yang terbuka, tetapi kalau sudah melihatnya ya langsung saja bisa masuk.
Seorang pengunjung, misalnya, karena alasan tertentu (pengen masuk lewat jalan belakang, atau karena pintu yang terbuka sudah penuh sesak dengan pengunjung atau tamu yang berkeliaran keluar masuk), ingin masuk tidak lewat pintu utama. Karena banyaknya pintu dalam sebuah rumah, ia tidak ingin menghabiskan waktu dengan mengetuk satu-persatu pintu (jumlahnya ribuan), sehingga ia tahu mana yang tidak terkunci atau terbuka. Dengan suatu ide kecil, ia membeli atau mencuri, atau meminta, atau mencari di tempat penyediaan gratis, sebuah robot yang bisa digunakan untuk mencari, mengetuk dan mengetahui pintu mana yang tidak terkunci alias terbuka. Ya robot itu adalah Port Scanner. Robot bisa diterjemahkan dengan Software. Dan proses untuk mencari dan menemukan itulah yang disebut dengan Port Scanning.
Saya sudah lumayan panjang menuliskan apa itu Port, Apa itu Port Scanner dan Apa itu Port Scanning. Teori tanpa praktek hanya akan mengendap di ingatan “sementara anda”, pengalaman adalah ingatan “hidup”, dengan demikian lebih baik Kamu mencoba (Di Sarankan hehehe).
setelah kemarin saya membahas Art of Social Engineering. kali ini saya akan menshare tentang SQL injection, cara untuk defacing web. berikut penjelasanya.Dalam dunia information technology (IT) kata hacker adalah sesuatu yang tidak asing lagi ditelinga kita. Hacking dapat digolongkan ke dalam cybercrime mengingat bahwa adanya akses secara tidak sah terhadap sistem komputer dan tidak jarang pula terjadi perusakan data maupun intersepsi secara tidak sah terhadap suatu sistem database. Namun, jika dulu Hacker yang dulu dipandang sebagai penjahat, pencuri atau pembobol suatu system komputer sekarang sudah bergeser , keberadaan hacker yang identik dengan aktifitas underground kini sudah mulai menampakan diri , sebagai contoh dinegara negara maju , perusahaan perusahaan besar yang mempunyai system komputer yang besar sudah mulai menyewa hacker – hacker untuk mencari kelemahan kelemahan system mereka. Ada beberapa teknik yang dilakukan para hacker diantaranya adalah SQL Injection.Tehnik hacking sql injection mulai mencuat kepermukaan semenjak dijebolnya situs KPU pada pemilu putaran pertama kemarin oleh Dani Firmansyah atau Xnuxer , dengan teknik ini beliau dapat masuk sebagai web administrator tanpa susah payah scan port – port yang terbuka , tanpa terdeteksi oleh firewall dan tanpa tool ke situs tersebut yang konon system yang seharga 152 milyar itu keamanannya berlapis lapis . Teknik ini memungkinkan kita masuk ke suatu system yang terproteksi sebagai siapa saja dengan hanya mengetahui username tanpa harus mengetahui passwordnya bahkan kita juga bisa login tanpa perlu mengetahui username dan password sama sekali.Teknik ini dianggap sebagai teknik tantangan utama bagi seorang hacker untuk menembus jaringan karena setiap jaringan mempunyai sistem keamanan yang berbeda-beda serta menunjukkan sejauh mana kemampuan operator jaringan, sehingga apabila seorang hacker dapat masuk ke dalam jaringan tersebut dapat dikatakan kemampuan hacker lebih tinggi dari operator jaringan yang dimasuki.Cara Kerja
Attack dilakukan dilapisan basis data dan aplikasinya.
Attack dilakukan berbentuk penyisipan instruksi-instruksi SQL berupa karakter-karakter khusus atau karakter-karakter logika dalam password.
JENIS-JENIS CELAH KEAMANAN SQL INJECTIONKarakter-karakter Kontrol Tidak Disaring secara Benar ~ Incorrectly filtered escape characters.Bentuk injeksi ini muncul pada saat user memasukkan karakter-karakter string yang tidak difilter dan dapat dilewatkan dalam pernyataan SQL.Ilustrasinya :- SQL Umum :
statement := “SELECT * FROM users WHERE name = ‘” + userName + “‘;”-Di User Name dan Password :Input User : a’ or ‘t’='t Instruksi SQL : SELECT * FROM users WHERE name=’a'OR’t'=’t';-Delete Table SQL :Input User : a’;DROP TABLE users; SELECT * FROM data WHERE name LIKE ‘%’: Instruksi SQL : SELECT * FROM users WHERE name = ‘a’;DROP TABLE users; SELECT * FROMDATAWHERE name LIKE’%';Bentuk Penanganan yang Tidak Benar ~ Incorrect type handling. Bentuk ini akan muncul pada saat user memasukkan karakter string dengan tipe data yang tidak sama atau tipe data string tersebut tidak periksa batasannya oleh programmer.Contoh :
statement := “SELECT * FROM data WHERE id = ” + a_variable + “;” dan 1;DROP TABLE users maka SELECT * FROMDATAWHERE id = 1;DROP TABLE users;Celah Keamanan berada didalam Server Basis Datanya ~ Vulnerabilities inside the database server.Biasanya celah keamanan bisa terjadi dalam software server database itu sendiri, seperti: MySQL Server didalam salah satu instruksi fungsi SQL berikut :mysql_real_escape_string().Bagian ini yang biasanya penyerang berhasil menembus dengan memasukkan karakter-karakter string biasa maupun karakter string kosong.Penyamaran SQL Injection ~ Blind SQL InjectionInjeksi ini biasanya dilakukan terhadap aplikasi web, yang hasil attack-nya tidak ditampilkan secara langsung namun disamarkan dalam bentuk halaman lain.
Respon Logika Kondisi ~ Conditional ResponsesSalah satu teknik untuk mengevaluasi statement logika pada tingkat aplikasi yang sama pada layer.Contoh :
SELECT booktitle FROM booklist WHERE bookId = ‘OOk14cd’AND1=1Hasilnya : Berupa halaman web normal.SELECT booktitle FROM booklist WHERE bookId = ‘OOk14cd’AND1=2Kesalahan Logika ~ Conditional ErrorsPemaksaan ini akan mengakibatkan database error untuk mengevaluasi pernyataan yang menyebabkan error apabila pernyataan WHERE adalah true.Contoh :
SELECT 1/0 FROM users WHERE username=’Ralph’Jeda Waktu ~ Time DelaysPemaksaan ini mengakibatkan engine database SQL menjalankan proses secara terus-menerus samapai beberapa lama ataupun berdasarkan jeda waktu yang diinjeksikan terhadap query tersebut.Untuk mengetahui lebih dalam tentang cara kerja SQL Injection dapat anda pelajari disini http://www.unixwiz.net/techtips/sql-injection.htmlSebagai administrator ada beberapa cara yang mungkin dapat membantu mengatasi SQL injection ada beberapa cara, antara lain :
Untuk variable berupa angka yang di lewatkan pada URL address(metode get) misal http://www.contoh.org?pid=30 , pid di parsing ke integer terlebih dahulu sebelum masuk ke query. (semua ini berlaku juga untuk metode post)
Atau bisa juga sebelum masuk ke query, variable dengan metode get di lewatkan ke fungsi mysql_escape_string untuk mengubah variable sebagai string yang tidak akan di eksekusi. bentuknya $pid = mysql_escape_string($_GET['pid']).
Database yang di publish di front, baiknya di set read only pada user databasenya, kecuali pada bagian yang membutuhkan write ke database.
Buat fungsi untuk filter kata2 update,delete,insert,grant dll dalam variable yg masuk dalam query.
Social engineering dipopulerkan oleh seoranghacker terkenal bernama Kevin Mitnick pada era tahun 1990-an. Social engineering merupakan sebuah teknik mendapatkan informasi penting dari korban dengan cara memperdaya korban dengan memanfaatkan kelemahan interaksi social korban. Menurut Bernz, social engineering adalah seni dan ilmu bagaimana mendapatkan orang untuk memenuhi apa yang kita inginkan. Menurut Palumbo, social engineering adalah sebuah trik psikologi yang digunakan oleh hacker dari luar pada pengguna sah dari sebuah system komputer untuk mendapatkan informasi yang dibutuhkan agar mendapatkan akses ke system komputer. Pada dasarnya, tujuan dari social engineering sama dengan hacking pada umumnya: mendapatkan akses yang tidak diotorisasi ke dalam system atau informasi untuk melakukan tindakan illegal, penyerangan jaringan, mata-mata industri, pencurian identitas,atau menyerangsistem atau jaringan komputer. Umumnya, perusahaan yang menjadi target adalah perusahaan-perusahaan besar seperti perusahaan telekomunikasi, militer, lembaga pemerintah, lembaga financial, rumah sakit, dan sebagainya. Menurut Sarah Granger, serangan melalui social engineering mempunyai dua level: secara fisik dan secara psikologi. Serangan secara fisik dilakukan dengan berbagai macam, seperti datang langsung ke tempat kerja, menggunakan telepon, sampah-sampah dan bahkan secara online. Pelaku dapat saja berpura-pura sebagai pegawai maintenance gedung, konsultan, dan bahkan pegawai perusahaan itu sendiri yang mempunyai akses ke dalam organisasi. Pelaku kemudian mencari password, memasang perangkat penyadap di jaringan, dan sebagainya, dan kemudian menyerang system atau jaringan dari luar. Cara lain adalah dengan cara memperhatikan pekerja yang sedang memasukkan password kemudian mencuri password tersebut. Menurut Joan Goodchild, ada berbagai trik yang digunakan oleh penyerang dengan memanfaatkan kelemahan social korban. Beberapa di antaranya adalah berikut ini.
1. Sepuluh derajat pemisah
Salah satu cara untuk mendapat informasi dengan memanfaatkan social engineering adalah dengan menggunakan telepon. Namun sebelum mendapatkan informasi penting dari korban, pelaku akan terlebih dahulu mendapatkan informasi sepotong demi sepotong sampai akhirnya sampai ke korban. Informasi tersebut diperoleh satu per satu dari orang-orang di sekeliling korban. Pelaku bias saja bertanya terlebih dahulu kepada petugas keamanan, petugas kebersihan, supir, bawahan, rekan kerja, dan seterusnya hingga sampai kepada korban. Menurut Sal Lifrieri, seorang pension New York City Police Department, kemungkinan ada sepuluh tahap yang dilakukan oleh pelaku sebelum akhirnya sampai ke korban, Korban mungkin saja orang kesepuluh yang didekati oleh pelaku.
2. Mempelajari bahasa perusahaan target
Setiap organisasi memiliki budaya dan bahasa sendiri dalam berkomunikasi dan memiliki istilah-istilah atau singkatan-singkatan yang digunakan ketika berkomunikasi satu dengan yang lainnya. Misalnya, perusahaan kimia akan terbiasa berbicara dengan istilah-istilah kimia, perusahaan obat-obatan akan terbiasa berbicara dalam istilah-istilah obat-obatan, dan sebagainya. Karena itu sebelum melakukan penyerangan, pelaku akan mempelajari terlebih dahulu bahasa organisasi. Sehingga pada saat melakukan penyerangan, korban akan mudah percaya karena pelaku berbicara dalam bahasa organisasi yang dikenal akrab oleh korban.
3. Meminjam musik “nada tunggu” perusahaan
Teknik ini dilakukan dengan memanfaatkan musik “nada tunggu telepon” yang digunakan organisasi. Sebelum melakukan aksinya, pelaku terlebih dahulu menelepon organisasi, tujuannya agar mendapatkan kesempatan untuk mendengarkan musik “nada tunggu” perusahaan tersebut dan digunakan untuk mengelabui karyawan lain. Berikutnya, pelaku akan menelepon karyawan yang menjadi target. Ketika sedang menelepon, pelaku pura-pura ada telepon yang masuk ke linenya dan target disuruh menunggu. Pada saat menunggu tersebut, pelaku akan memutar musik “nada tunggu” yang sudah direkamnya. Hal ini akan membuat target merasa bahwa pelaku menelepon dari internal perusahaan dan merupakan pegawai perusahaan. Sehingga, ketika diminta informasi penting yang rahasia, target akan memberikan tanpa rasa curiga.
4. Menyamarkan nomor telepon
Teknik ini dilakukan dengan cara menyamarkan nomor telepon yang digunakan untuk menelepon korban. Korban akan melihat nomor telepon itu adalah nomor telepon dalam perusahaan atau perusahaan yang dikenal, tetapi sebenarnya telepon berasal dari pelaku. Teknik ini dapat mengecoh korban karena korban akan mengira bahwa telepon berasal dari orang yang tepercaya. Bila korban menelepon balik ke nomor tersebut, maka telepon akan disambungkanke nomor yang benar. Karenanya, korban akan mudah percaya dan memberikan informasi-informasi penting yang rahasia.
5. Menggunakan isu berita
Berita-berita yang ada di surat kabar atau TV digunakan oleh pelaku untuk memperdaya korban. Sebagai contoh, jika berita utama “adanya bank yang terkena likudasi”, maka pelaku akan menelepon atau mengirimkan email ke karyawan bank yang bersangkutan untuk memberikan informasi-informasi penting yang rahasia.
6. Memanfaatkan kepercayaan pada website jejaring social
Saat ini ada banyak website jejaring social yang mempunyai banyak pengguna seperti Facebook, Myspace, Twitter, dan lain-lain. Para pengguna percaya kepada website tersebut. Kepercayaan itu dimanfaatkan pelaku dengan cara mengirimkan email palsu kepada pengguna jejaring social tersebut yang isinya bahwa website tersebut dalam perbaikan dan mohon memperbaiki akun dengan cara mengklik link yang disertakan. Ketika mengklik link tersebut, korban akan dibawa ke website palsu. Jika tidak sadar, korban akan memberikan informasi penting yang rahasia di website palsu tersebut.
7. Memanfaatkan Kesalahan Ketik
Ketika berselancar di internet, seringkali orang salah ketik alamat URL dan tidak terlalu teliti memperhatikannya. Pelaku kemudian menyiapkan website palsu dengan alamat URL yang mirip dengan alamat website aslinya. Akibatnya, ketika ada pengunjung yang salah ketik dan masuk ke website palsu tersebut, secara tidak sadar akan memberikan informasinya yang penting.
8. Menyebarkan berita bohong untuk mempengaruhi harga saham
Teknik ini dilakukan dengan cara menyebarkan berita bohong yang dapat mempengaruhi harga saham perusahaan. Sebagai contoh, informasi tentang kesehatan Bill Gates akan dapat membuat harga saham Microsoft turun. Pelaku akan membeli sejumlah saham dari perusahaan tertentu, kemudian mengirimkan email yang berisi isu yang dapat membuat harga saham dalam perusahaan tersebut akan naik, misalnya isu bahwa perusahaan tersebut akan dibeli oleh perusahaan yang lebih besar. Ketika orang banyak termakan isu tersebut, maka orang akan memburu saham perusahaan bersangkutan dan harga sahamnya akan naik secara drastic. Pada saat harga naik, maka pelaku akan melepas sahamnya.
Seperti sudah disinggung diatas, social engineering memiliki dua level: fisik dan psikologis. Karena itu, dalam usaha untuk meningkatkan sistem keamanan komputer, maka kedua aspek ini harus diperhatikan. Satu hal yang sering dilupakan oleh organisasi adalah cara membuat prosedur untuk menangani serangan terhadap social engineering. Perusahaan dapat saja menghabiskan dana besar untuk membeli perangkat keras dan perangkat lunak, antivirus, dan sebagainya untuk meningkatkan keamanan sistem, namun itu semua akan mubazir jika mengabaikan pencegahan terhadap serangan social engineering. Oleh karena itu, organisasi harus membuat sebuah kebijakan untuk pencegahan serangan terhadap social engineering. Menurut Sarah Granger, beberapa kebijakan yang dapat dibuat, antara lain:
1. Pencegahan serangan fisik
Salah satu cara untuk menanggulangi serangan social engineering adalah memiliki sistem keamanan secara fisik. Setiap orang yang masuk dan keluar gedung harus memiliki ID yang diperiksa dan diverifikasi tanpa terkecuali. Sistem pemeriksaan dan verifikasi tersebut harus memastikan bahwa tidak ada orang yang masuk ke dalam gedung yang tidak memiliki otoritsasi. Dokumen-dokumen penting dan rahasia harus disimpan dalam laci-laci dokumen yang terkunci dan tidak dapat diakses secara fisik oleh orang yang tidak berhak. Dokumen-dokumen penting yang ingin dibuang ke tempat sampah harus dihancurkan terlebih dahulu. Demikian juga, perangkat penyimpanan yang ingin dibuang harus dikosongkan dari data-data yang mungkin digunakan untuk tujuan yang tidak baik.
2. Mewaspadai pihak yang mengaku rekanan perusahaan
Dalam melakukan penyerangan, sering kali pelaku berpura-pura sebagai pihak lain yang merupakan rekanan dari perusahaan, seperti pengelola gedung, pegawai telepon, pegawai cleaning service, jasa kurir, dan sebagainya. Pelaku meminta informasi tertentu dengan alasan untuk keperluan pekerjaan yang dilakukan oleh pelaku. Karena tidak curiga, karyawan akan memberikan informasi yang diminta. Dengan cara itu, pelaku dapat dengan mudah memperdaya korbannya. Untuk mencegah hal seperti ini terjadi, perusahaan harus mengingatkan karyawan agar berhati-hati jika ada pelaku yang mengaku dari pihak rekanan organisasi mulai meminta informasi tertentu yang tidak biasa.
3. Training, training dan retraining
Orgaisasi harus melatih, melatih, dan kembali melatih karyawan mulai dari help desk sampai seluruh tingkat paling tinggi dalam organisasi. Menurut Naomi Fine, President dan CEO dari Pro-Tec Data, organisasi harus melatih karyawan cara mengindentifikasi informasi yang dipertimbangkan sebagai informasi rahasia dan memahami betul bahwa mereka bertanggung jawab untuk melindunginya. Organisasi harus menanamkan bahwa keamanan sistem computer merupakan bagian dari pekerjaan semua pegawai, sekalipun pegawai itu memiliki pekerjaan yang tidak berhubungan dengan komputer sama sekali. Setiap orang dalam organisasi harus betul-betul memahami mengapa sangat penting menjaga informasi rahasia dan manfaatnya bagi organisasi serta memberi mereka tanggung jawab untuk ikut menjaga keamanan jaringan. Semua pegawai harus detraining untuk menjaga data rahasia mereka dengan aman dan menyertakan mereka dalam kebijakan sistem keamanan perusahaan.
4. Berpikir layaknya penyerang
Sebagai seorang pegawai perusahaan, kebanyakan pegawai dilatih untuk melayani pelanggan atau orang lain dengan baik. Hal ini menyebabkan pegawai menjadi terbiasa ingin membantu orang lain. Akibatnya, ketika ada pelaku meminta informasi, pegawai tanpa curiga memberikannya tanpa banyak bertanya. Oleh karena itu, dalam lingkungan sistem informasi, karyawan perlu dilatih untuk berpikir layaknya pelaku dan selalu harus curiga kepada pihak lain yang meminta informasi yang tidak lazim. Karyawan perlu dilatih untuk curiga pada permintaan informasi yang kadang-kadang disertai dengan intimidasi, buru-buru, pura-pura telah melakukan kesalahan, dan sebagainya. Dengan melatih kewaspadaan tersebut, perusahaan tidak akan mudah diserang.
5. Merespons serangan terhadap Social Engineering
Setiap kali karyawan mendeteksi adanya kemungkinan serangan social engineering, maka organisasi harus memberikan response yang cukup dan secepatnya. Organisasi harus mempunyai prosedur untuk menanggulangi serangan social engineering dan menunjuk tim atau personalprosedur untuk menanggulangi jika dideteksi adanya serangan. Social engineering harus menjadi perhatian nagi organisasi. Menurut Mitnick, organisasi dapat saja membeli teknologi dan layanan untuk meningkatkan keamanan sistem atau jaringan organisasi, namun sistem atau jaringan tersebut masih tetap berisiko ditembus dengan metode-metode social engineering. Oleh karena itu, social engineering harus menjadi prioritas organisasi untuk dibenahi dalam upaya meningkatkan keamanan sistem informasi organisasi. sumber : http://www.binushacker.net/
