Posting ini merupakan lanjutan dari postingan Hacker: Criminal vs Professional sebelumnya.
Seorang hacker yang juga sebagai security professional mempunyai tugas berat ketika mengamankan network mereka. Terlebih dengan keberadaan para lamers dan script kiddies dengan semangat seorang cracker. Mereka ini sering menimbulkan background noise dengan aktifitas mereka dalam coba-coba. Siapa yang bisa memastikan apakah serangan yang terjadi hanyalah sebuah script sederhana atau sebuah awal dari serangan besar yang sangat fatal? Pada banyak kasus, tidak ada yang bisa. File logs sebuah situs mungkin saja penuh dengan catatan percobaan pembobolan pada hari itu, tapi diantara semua itu akan sangat luar biasa sulit untuk menentukan mana yang merupakan serangan serius, dan mana yang merupakan percobaan lubang keamanan. Masalahnya tidak ada yang punya cukup waktu dan data yang dapat digunakan untuk menentukan mana ancaman serangan yang serius, setidaknya tidak ada yang saya tahu. Dan luar biasanya banyak cracker menggunakan keunggulan ini.
How do the attacker do this? Sesuai dengan judul posting ini, saya mencoba menjelaskan bagaimana para pembobol memanfaatkan keunggulan mereka; dengan kemampuan saya yang terbatas tentu saja. Pada umumnya ada tiga tipe penyerangan, yaitu technical attacks, physical attack, dan social engineering attacks.
Technical attacks merupakan serangan yang benar-benar murni menggunakan kelemahan dan lubang keamanan dari software, protocol, atau konfigurasi yang bertebaran di dalam sistem, yang dieksploitasi untuk mendapatkan akses ke dalam sistem. Serangan semacam ini dapat datang dari mana saja di planet ini. Jika itu belum cukup hebat menurut anda, mereka biasanya terhubung secara berantai dengan berbagai sistem lainnya untk menyembunyikan sumber penyerangan yang sebenarnya. Tipe serangan ini merupakan yang paling umum di dunia saat ini, karena serangan ini dengan mudah dapat dibuat otomatis. Serangan seperti ini juga yang paling mudah untuk diatasi.
Phisical attacks menggunakan kondisi rentan yang berada disekeliling sistem. ini mungkin dilakukan dengan penggalian password atau konfigurasi yang telah dibuang atau secara diam-diam memasang key-logger (yang dapat memberikan mereka informasi mengenai apa saja yang diketik di keyboard) ke dalam sistem. Untuk melakukan phisical attack, harus berada ditempat dimana informasi berada, sesuatu yang sangat mengurangi risiko menurut saya. Saya rasa tidak akan cukup banyak cracker dari New York akan menyewa pesawat jet menyeberangi samudera untuk membajak network saya di Banjarmasin. Tipe serangan ini sedikit lebih sulit untuk diatasi tetapi jarang terjadi.
Social engineering attacks menggunakan pendekatan yang berbasis pada komunikasi dan interaksi. Dengan meyakinkan seseorang, melalui telpon atau bicara langsung, mereka bisa mendapatkan berbagai infomasi. Misalnya setelah menghubungi pusat layanan suatu perusahaan dan berpura-pura menjadi seorang pegawai baru, mereka mungkin akan mendapat informasi nomer telpon untuk dial-up modem bank, bagaimana mengkonfigurasi software, dan memperkirakan kemampuan teknisi keamanan yang mengelola sistem untuk menghalangi usaha mereka. Serangan seperti ini dilakukan menggunakan telpon setelah riset yang mendalam terhadap target. Serangan jenis ini sangat sulit untuk diatasi terutama bagi perusahaan besar karena semua orang pada umumnya punya keinginan untuk saling membantu satu sama lain, padahal mereka tidak tahu apa maksud sebenarnya dari lawan bicaranya. Dan karena serangan ini menggunakan telpon, serangan ini seperti technical attack dapat dilakukan dari tempat manapun di dunia sepanjang ada jaringan telpon. Kombinasinya dapat juga dilakukan dengan menghubungkan sambungan telponnya melalui beberapa host untuk menyembunyikan lokasi mereka.
Saat crackers menggunakan kombinasi dari jenis-jenis serangan ini, it’s almost a game over (hanya beberapa orang paling paranoid yang bisa bertahan menghadapi mereka).
Sebenarnya, untuk melakukan suatu penyerangan tidaklah sesederhana seperti yang telah dipaparkan di atas. Kalau melihat difilm mungkin pekerjaan menjadi hacker atau cracker terlihat sangat keren, cepat, dan mudah dimana seseorang dapat membuat sebuah virus baru hanya dalam satu malam. Hal yang harus dipahami adalah untuk melakukan penyerangan diperlukan usaha yang benar-benar luar biasa dan jujur saja hanya mereka yang benar-benar termotivasi yang akan mengambil cara paling berisiko. Pada kenyataannya, cracker selalu dan paling menyukai “low hanging fruit”, cara yang memiliki risiko terkecil untuk hasil yang paling baik. Biasanya mereka bergerak sendiri atau dalam kelompok kecil. Mereka tidak punya bantuan dana dari pemerintah, tidak juga terhubung dengan organisasi kriminal dunia. Apa yang mereka miliki sebenarnya hanyalah waktu luang dan rasa ingin tahu yang sangat luar biasa ekstrim besar, dan percayalah jika saya katakan, hacking takes a lot of time. Bahkan hacker dan cracker terbaik pun akan mengatakan bahwa permainan sebenarnya ada pada ketahanan mental dan kekuatan motivasi.
Beberapa cracker terbaik mungkin akan perlu waktu berbulan-bulan hanya untuk satu exploit. Pada saat sepertinya pekerjaan akan selesai, exploit yang disiapkan mungkin kurang memadai atau bahkan tidak berfungsi sama sekali!!(oh, no!!) Membobol suatu situs juga memilki kendala yang sama. Cracker mungkin menghabiskan berminggu-minggu untuk footprinting (mengenali sistem) suatu situs, hanya untuk mengetahui bahwa tidak ada cara biasa yang bisa dilakukan, maka tidak ada pilihan kecuali kembali ke awal perencanaan.
Dalam film, sepertinya industri semisal Hollywood mencoba untuk menutupi fakta ini. Benar juga sih, siapa yang mau melihat hacker atau cracker melakukan riset dan tes terhadap bug selama berminggu-minggu? Ini bukan kegiatan menegangkan yang seru untuk ditonton seperti aksi perampokan bank, lagi pula hal seperti ini bukan hal yang umum dilihat oleh orang awam. Dalam film tentang hacker, sutradaranya sepertinya mencoba menyiasati hal ini dengan beberapa efek visual dan efek pergerakan waktu atau sejenisnya. Beberapa contoh film bertema hacker misalnya Swordfish dan War Games. Film War Games mungkin yang paling mendekati kenyataan secara garis besar. Dalam film ini tokoh utama melakukan riset yang mendalam terhadap targetnya, mencoba berbagai pendekatan untuk melakukan penyerangan, dan pada akhirnya ketahuan lalu dikejar.
Sekarang pertanyaannya bagaimana jika…? Apa yang terjadi jika penyerangan dilakukan oleh orang yang benar-benar termotivasi dan benar-benar punya kemampuan? Apa yang akan terjadi jika mereka benar-benar punya keberanian dan keterampilan melakukan serangan yang fatal? hmm… bagaimana jika tiba-tiba sistem anda menjadi kacau.. atau situs anda diobok-obok.. atau email dan nomer telepon anda kebanjiran pesan sampai hank.. sepertinya anda harus ingat-ingat lagi, mungkin anda telah membuat kesal orang yang salah… hmm.. what if the target is.. you?
{inspirasi dari berbagai sumber yang tidak dapat disebutkan satu persatu}
