Vulnerability
Untuk melakukan proses hacking, Anda perlu mengetahui dasar atau fundamental dari hacking itu sendiri. Perlu Anda ketahui bahwa sebagian besar hacking terjadi karena hacker berhasil memanfaatkan kelemahan sistem. Kelemahan atau dikenal dengan istilah vulnerability ini, menimbulkan berbagai ancaman pada sistem. Bentuk-bentuk ancaman tersebut sedemikian banyak dan tidak jarang membuat paranoid para system administrator. Beberapa bentuk metode ancaman tersebut adalah:
1. Serangan pada Password.
Login adalah pintu utama untuk masuk ke dalam sistem, karena itu seharusnya pemilik sistem memiliki kunci yang unik untuk membukanya. Jika kunci yang digunakan tidak unik dan mudah dibuat, maka pintu yang vital ini dapat ditembus hanya dengan menebak-nebak ataupun menggunakan metode brute force attack. Brute force attack, sesuai dengan namanya, menggunakan metode menebak password dengan brutal, yaitu menggunakan berbagai kombinasi kemungkinan.
2. Social Engineering.
Metode menyusupi sistem dengan memanfaatkan faktor psikologis korban, kadang tanpa memerlukan keahlian teknis.Contoh metode social engineering sering Anda lihat pada kehidupan sehari-hari. Pernahkah Anda mendapatkan SMS/telepon yang menyatakan Anda mendapatkan hadiah tertentu, dan untuk itu Anda harus memberikan sejumlah dana atau informasi yang bersifat con? dential? Jika Anda mengalami hal-hal seperti ini, perlu waspada, seorang social engineer sedang mencari mangsa!
Contoh social engineering di atas tidak hanya dapat menggunakan media SMS/telepon, juga dapat menggunakan media e-mail. Jangan cepat percaya hanya dengan melihat alamat e-mail karena alamat e-mail sangat mudah dipalsukan, jika ragu, lebih baik Anda melakukan cross-check dan melihat apakah isi e-mail tersebut ujung-ujungnya hanya menguntungkan pihak tertentu.Social engineering juga sering dilakukan dengan teknik phishing di Internet, seperti melakukan modi? kasi link atau website. Berdasarkan survai, korban dari teknik phishing cukup banyak dan menimbulkan banyak kerugian.
3. Man-in-the-middle.
Dua orang sedang asyik berkomunikasi menukar informasi melalui sebuah jalur, tidak disangka bahwa seorang hacker telah mencegat pesan yang lalu lalang, hacker tersebut kemudian dapat membaca, memodi? kasi, dan mengirimkan kembali pesan yang telah berubah tersebut kepada korban. Serangan ini disebut dengan Man-in-the-middle.
4. Sniffing.
Mirip dengan metode Man-in-the-middle, metode snif? ng mengambil paket data yang lewat. Hanya saja sniffing bersikap pasif dan tidak melakukan mo? dikasi terhadap paket tersebut, melainkan mengambil dan menganalisisnya.
5. Web Defacement.
Serangan ini umumnya tidak berbahaya *hanya* mengubah tampilan web, tetapi tetap tergolong sebagai tindak perusakan (vandalisme). Web defacement kadang dilatarbelakangi oleh kepentingan politik atau agama.Jika web defacement berhasil menyerang sebuah website yang seharusnya memiliki keamanan tinggi (seperti website dengan fasilitas transaksi online), tentunya akan dapat mengurangi kepercayaan pelanggan. Masih banyak metode ancaman lain yang tidak cukup dibahas dalam kesempatan ini, seperti DDoS (Distributed Denial of Service), trojan, malware, spoo?ng, session hijack, injection, dan lain-lain
Metodologi Hacking
Terdapat langkah-langkah yang umum dilakukan hacker, yang dikenal sebagai metodologi untuk melakukan hacking. Walaupun bukan merupakan langkah yang harus diikuti atau selalu dilakukan hacker, tetapi umumnya menjadi acuan dasar dalam aksi mereka.Metodologi tersebut adalah:
1. Discovery/Reconnaissance.
2. Scanning.
3. Enumeration.
4. Penetration.
5. Elevation.
6. Pilfer.
7. Expansion.
8. Housekeeping.
Discovery/Reconnaissance
Reconnaissance dikenal juga dengan sebutan footprinting, yang bertujuan untuk mendapatkan informasi awal, seperti alamat IP, DNS Server, domain, tabel routing, system operasi, dan lain sebagainya. Intinya adalah mendapatkan informasi detail sebanyak-banyaknya sebagai persiapan untuk melakukan langkah selanjutnya. Seluruh informasi tersebut tidak selalu diambil secara diam-diam. Tidak jarang perusahaan – perusahaan menyebarkan dokumentasi jaringannya sendiri yang dipublikasikan di Internet atau majalah-majalah.Terdapat cukup banyak cara dan tools yang digunakan oleh hacker dalam reconnaissance, misalnya dengan melihat informasi register domain pada situs-situs, seperti whois.net, arin.net, dan sebagainya. Jika Anda sering beraktivitas di Internet, jangan heran jika pro?l atau kegiatan Anda dapat ditemukan dengan mudah oleh orang lain. Untuk itu, batasi untuk tidak menyebarkan informasi con? dential Anda.
Scanning
Setelah mengenali sistem secara keseluruhan, hacker mulai mencari jalur penyusupan yang lebih spesi?k. Jalur tersebut dapat berupa port. Port yang umum digunakan oleh sistem misalnya adalah port 80 untuk HTTP, port 21 untuk FTP, port 1433 untuk Microsoft SQL Server, port 3389 untuk Terminal Services, dan lain sebagainya.Hal ini dikenal sebagai metodologi scanning. Beberapa tool yang umum digunakan, antara lain adalah NMap, SolarWinds, SuperScan, Sam Spade, hping, War Ping, UDPScan, dan sebagainya.Bagaimana pencegahannya? Anda dapat meminimalisasikan penggunaan port dan service yang tidak diperlukan, menggunakan ?rewall, serta melakukan monitoring terhadap jaringan secara periodik.
Enumeration
Merupakan langkah lanjutan untuk mengambil informasi yang lebih detail. Informasi tersebut dapat berupa user-user, sharing folder, service yang berjalan termasuk dengan versinya (service sering kali mengandung kelemahan yang sering dieksploitasi oleh hacker), dan lain sebagainya.Di sini, serangan mulai dilakukan dengan berbagai cara, misalnya brute force attack ataupun snif? ng paket data, man-in-the-middle, dan lain sebagainya.Utility untuk menganalisis paket data disebut dengan Packet Analyzer. Contohnya adalah Ethereal, tcpdump, Ettercap, dan lain-lain.
Penetration
Pada tahap ini, seorang hacker mengambil alih sistem setelah memperoleh informasi informasi yang dibutuhkan. Bisa jadi hacker masuk tidak dengan hak administrator, tetapi mampu menyerang resource sehingga akhirnya mendapatkan hak akses administrator. Bisa dikatakan, jika hacker sampai masuk ke dalam tahap ini, berarti telah melewati pintu terpenting pertahanan sistem. Sayangnya, terkadang jebolnya pintu keamanan ini diakibatkan oleh kelalaian sistem itu sendiri.
Contohnya adalah penggunaan passwordyang lemah dan mudah ditebak, kesalahan pemrograman yang mengakibatkan terbukanya serangan dari luar. Karena itu,selain melakukan konfigurasi sistem dan jaringan yang baik, pengamanan dari sisi pemrograman juga sangat vital. Contohnya adalah melakukan validasi pada sisi server terhadap parameter input dari luar.
Elevation
Setelah mampu mengakses sistem, maka hacker mengubah status privilegenya setara dengan user yang memiliki hak penuh terhadap sistem, ataupun memiliki hak baca/tulis/eksekusi.
Pilfer
Dengan memperoleh kontrol penuh terhadap sistem, hacker leluasa untuk melakukan apa yang dikehendakinya, seperti mengambil data yang con? dential, baik dalam bentuk text ?le, database, dokumen, e-mail, dan lain sebagainya.
Expansion
Tidak hanya dengan menyusup pada suatu sistem, hacker dapat memperluas penyusupannya dengan memasuki sistem atau jaringan yang lain. Dalam tahap ini, seorang hacker melakukan lagi proses reconnaissance, scanning, dan enumeration dengan target sistem yang lain.
Housekeeping
Hacker yang cerdik akan meninggalkan korban tanpa meninggalkan pesan, pada umumnya sistem mencatat event – event penting yang terjadi ke dalam log ?le yang dapat mendeteksi keberadaan hacker. Dengan melakukan proses yang sering dikenal dengan sebutan covering track, hacker berusaha menghapus jejaknya dengan bersih. Walau tidak meninggalkan pesan, tetapi mungkin saja hacker pergi dengan meninggalkan kesan, yaitu sebuah backdoor atau jalan belakang untuk masuk ke dalam system lagi! Backdoor dapat dibuat agar hacker masih dapat menyusup masuk walaupun jalur sebelumnya telah tertutup. Backdoor dapat diciptakan dengan membuat user yang memiliki kontrol penuh terhadap sistem, menginstal rootkit, menyebar trojan, ataupun meletakkan shell yang dapat dieksekusi secara remote.
Hacker, Cita-cita Atau?
Tentunya untuk menjadi hacker, seseorang harus melalui proses belajar dan pengalaman yang cukup, selain tentu saja memerlukan kreativitas dan tidak henti-hentinya mencari pengetahuan baru. Lalu, apakah hacker telah menjadi sebuah profesi yang cukup *mulia* sehingga cita- cita menjadi hacker perlu didukung? Yang jelas, keahlian seorang hacker patut dihargai. Hanya saja bagi hacker yang memiliki motivasi yang kurang baik dan merusak, tampaknya keahlian tersebut telah disalahgunakan. Kita dapat bercermin pada Bill Gates (pendiri Microsoft Corporation), Steve Jobs, dan Steve Wozniak (pendiri Apple Inc), mereka adalah sebagian contoh nama-nama yang mengawali karir mereka sebagai anak-anak muda yang memiliki keahlian tinggi dalam pemrograman dan sistem komputer, yang tentunya memiliki kapasitas seorang hacker. Seandainya mereka memilih untuk melakukan hal-hal yang merusak atau hal negative lainnya, mungkin kita tidak akan mendengar nama besar mereka seperti saat ini. Penyerangan memang terkadang identik dengan aksi hacker. Tetapi, kemampuan tersebut belumlah sempurna jika hacker tersebut tidak mengetahui bagaimana untuk menahan serangan. Di kubu manakah Anda berada? Hanya Anda sendiri yang dapat menentukan.
Mengenali Hacker dari Topi
De? nisi hacker itu sendiri merupakan kontro versi untuk sebagian orang. Merujuk pada keamanan komputer, hacker dide? nisikan sebagai seseorang yang fokus pada mekanisme keamanan. Seorang hacker digambarkan sebagai seorang yang memiliki keahlian yang tinggi dalam system pemograman computer. Tetapi, yang dipopulerkan adalah dalam bentuk tindakan heboh oleh mediamasa dan dunia hiburan, yaitu menampilkan hacker sebagai sosok yang masuk menjebol sistem jaringan dan komputer secara illegal hanya dengan mengetik pada keyboard dengan kecepatan tinggi. Sang hacker kemudian sanggup melakukan tindakan-tindakan sakti seperti mengalihkan satelit, melakukan transfer jutaan dollar, sampai mendaratkan pesawat presiden di bulan (khusus contoh yang ini mungkin di sebuah ?lm ?ksi 30 tahun mendatang). Tidak heran bagi sebagian orang, menganggap sosok hacker adalah seorang penjahat tingkat tinggi yang patut dijebloskan ke penjara Alcatraz atau setidaknya LP Cipinang. Beruntunglah bahwa kemudian terbentuk Hacker Ethic atau Etika Hacker, yang membawa pengertian hacker pada pengertian yang positif, yang mana mengakui bahwa menerobos ke dalam system komputer secara ilegal adalah perbuatan buruk, tetapi menemukan dan mengeksploitasi mekanisme keamanan merupakan tindakan yang legal dan tentunya bermanfaat bagi pengembangan sistem keamanan lebih lanjut. Kelompok hacker yang menganut hacker ethic dikenal dengan sebutan White Hat (Topi Putih), dapat bekerja sendiri ataupun bekerja sama dengan client untuk mengamankan sistem mereka. Dan mungkin Anda dapat menebak, kelompok lainnya yang mendapat peran antagonis adalah kelompok hacker dengan sebutan Black Hat (Topi Hitam), yang tidak mengindahkan etika….
