Metodologi hacking-“Kalau besar mau jadi apa, nak?”. Pertanyaan tersebut mungkin pernah juga ditanyakan kepada anda semasa kecil, jika ditanyakan pada akan sekarang, jangan heran kemungkinan jawabannya adalah ingin menjadi Hacker!!!. Lho kok bukan menjadi presiden, dokter, insinyur, atau pilot? (Seperti cita-cita anda waktu dulu). Tentunya tidak ada yang salah dengan cita-cita tersebut, kita juga mengalami ketertarikan pada suatu hal.
Kisah nyata atau fiktif?
Hacking pada film-film, mungkin telah sering anda lihat dan menimbulkan pertanyaan, benarkah dalam dunia nyata hacker benar-benar mampu melakukan transfer ilegal, mengatur lalu lintas seenak hati? Ternyata memang mungkin saja terjadi.
Logikanya, jika suatu dapat dilakukan secara legal, maka dapat dilakukan secara ilegal juga! Tergantung tangan siapan yang mengatur, inti proses hacking adalah mengubah otoritas seseorang yang seharusnya tidak berwenang menjadi memiliki wewenang untuk melakukan hal tersebut.
Kevin Mitnick adalah salah satu hacker yang keluar masuk penjara karena telah melakukan pencurian kartu kredit dan akses ilegal jaringan (Tidak tanggung-tanggung korbannya adalah perusahaan besar seperti Motorola dan Sun Microsystems).
Tetapi juga, tidak sedikit hacker yang menyumbangkan pengetahuannya bagi keamanan komputer dan kemajuan teknologi. Maka timbul pertanyaan selanjutya : hacker itu baik atau jahat?
Mengenali hacker dari topi.
Definisi hacker sendiri merupakan kontroversi untuk sebagian orang. Merujuk pada keamanan komputer, hacker didefinisikan sebagai seseorang yang fokus pada mekanisme keamanan. Seorang hacker digambarkan sebagai seseorang yang memiliki keahlian yang tinggi dalam pemrograman dan sistem komputer. Tetapi, yang dipopulerkan adalah dalam bentuk tindakan heboh oleh media masa dan hiburan, yaitu menampilkan hacker sebagai sosok yang masuk menjebol sistem jaringan dan komputer secara ilegal hanya dnegan mengetik pada keyboard dengan kecepatan tinggi.
Sang hacker kemudian sanggup melakukan tindakan-tindakan sakti seperti mengalihkan satelit, melakukan transfer jutaan dollar, sampai mendaratkan pesawat presiden dibulan (Khusus contoh yang ini mungkin disebuah film fiksi 30 tahun mendatang). Tidak heran bagis ebagian orang, menganggap sosok hacker adalah seorang penjahat tinggi yang patut dijebloskan ke penjara Alcatraz atau setidaknya LP Cipinang.
Beruntunglah kemudian terbentu Hacker Ethic atau etika hacker, yang membawa pengertian hacker pada pengertian positif, yang mana mengakui bahwa menerobos ke sistem komputer secara ilegal adalah perbuatan buruk, tetapi menemukan dan mengeksploitasi mekanisme keamanan merupakan tindakan yang legal dan tentunya bermanfaat bagi pengembang sistem keamanan lebih lanjut.
Kelompok hacker yang menganut hacker ethnic dikenal dengan sebutan White Hat (Topi Putih), dapat bekerja sendiri ataupun bekerja sama dengan client untuk mengamankan sistem mereka.
Dan mungkin anda pat menebak, kelompok lainnya yang mendapat peran antagonis adalah kelompok hacker dengan sebutan Black Hat (Topi Hitam), yang tidak mengindahkan etika. Black Hat melakukan eksploitasi sistem untuk kepentingan pribadi ataupun kepentingan politik.
Sebagai penengah, dikenal juga sebutan Gray Hat (Topi Abu-abu) yang merupakan kombinasi antara White Hat dab Black Hat. Umunya kelompok ini tidak bermaksud menyerang suatu sistem secara sengaja, tetapi eksploitasi yang mereka lakukan adakalanya dapat mengakibatkan kerugian.
Vulnerability.
Untuk melakukan proses hacking, anda perlu mengetahui dasar atau fundamental dari hacking itu sendiri. Perlu anda ketahui bahwa sebagian besar hacking terjadi karena hacker berhasil memanfaatkan kelemahan sistem.
Kelemahan atau dikenal dengan istilah Vulnerability ini, menimbulkan berbagai ancaman pada sistem. Bentuk-bentuk ancaman tersebut sedemikian banyak dan tidak jarang membuat paranoid para sistem administrator. Beberapa bentuk metode ancaman tersebut adalah :
1. Serangan pada password.
Login adalah pintu utama untuk masuk ke dalam sistem, karena itu seharusnya pemilik sistem mmiliki kuci yang unik untuk membkanya. Jika kunci digunakan tidak unik dan mudah dibuat, maka pintu yang vital ini dapatditembus hanya dengan menembak-nebak ataupun menggunakan berbagai kombinasi kemungkinan.
Brute force attack, sesuai dengan namanya, menggunakan metode menebak password dengan brutal, yaitu menggunakan berbagai kombinasi kemungkinan.
2. Social Engineering.
Metode menyusupi sistem dengan memanfaatkan faktor psikologis korban, kadang tanpa melakukan keahlian teknis. Contoh metode social engineering sering anda lihat pada kehidupan sehari-hari. Pernahkah anda melakukan sms/telpon yang menyatakan anda mendapatkan hadiah tertentu, dan untuk itu anda harus memberikan sejumlah uang atau informasi yang bersifat confidential? Jika anda mengalami hal-hal seperti ini, perlu waspada, seorang social engineer sedang mencari mangsa!
Contoh social engineering diatas tidak hanya dapat menggunakan media sms/telephone, juga dapat menggunakan media e-mail. Jngan cepat percaya hanya dngan melihat alamat email karena alamat email sangat mudah dipalsukan, jika ragu, lebih baik anda melakukan cross-check dan meihat apakah isi email tersebut ujung-ujungnya hanya menguntungkan pihak tertentu.
Social engineering juga sering dilakukan dengan teknik phising diinternet, seperti melakukan modifikasi link atau website. Berdasarkan survey, korban dengan teknik phising cukup banyak dan menimbulkan banyak kerugian.
3. Man-In-The-Middle.
Dua orang yang sedang asik berkomunikasi menukar informasi melalui seuah jalur, tidak disangka bahwa seorang hacker telah mencegat pesan yang lalu lalang. Hacker tersebut kemudian dapat membaca, memodifikasi, dan mengirimkan kembali pesan yang telah berubah tersebut kepada korban. Seragan ini disebut dengan Man-In-The-Middle.
4. Sniffing.
Mirip dengan metode Man-In-The-Middle, metode sniffing mengambil paket data yang lewat. hanya saja sniffing bersikap pasif dan tidak melakukan modifikasi terhadap paket tersebut, meainkan mengambil dan menganalisa.
5. Web Defacement.
Serangan ini umumnya tidak berbahaya, “Hanya” mengubah tampilan web, tetapi tetap tergolong sebagai tindak perusakan (Vandalisme). Web defacement kadang dilatarbelakangi oleh kepentingan [olitik atau agama.
Jika webdefacement berhasil menyerang sebuah web yang seharusnya memiliki keamanan tinggi (Seperti web dengan fasilitas transaksi online), tentunya akan dapat mengurangi kepercayaan pelanggan.
Metode ancaman lainnya adalah DDoS (Distributed Denial Of Service), trojan, Malware, Spoofing, Session Hijack, Injection, dan lain-lain yang akan dibahas pada artikel selanjutnya.
Metodologi Hacking.
Terdaat langkah-langkang yang umum dilakukan hacker yang dikenal sebagai metodologi untuk melakukan hacking. Walaupun bukan merupakan langkah yang harus diikuti atau selaludilakukan hacker, tetapi umunya menjadi acuan dasar dalam aksi mereka, metodologi tersebut adalah :
1. Discovery/Reconnaissance.
Reconnaissance dikenal juga dengan sebutan footprinting, yang bertujuan untuk mendapatkan informasi awal, seperti alamat IP, DNS Server, domain, tabel routing, sistem operasi, dan lain sebagainya.
Intinya adalah mendapatkan informasi detail sebanyak-banyaknya sebagai persiapan untuk melakukan langkah-langkah selanjutnya. Seluruh informasi tersebut tidak selalu diambil secara diam-dam. Tidak jarang perusahaan-perusahaan menyebar dokumentasi jaringannya sendiri yang dipublikasikan diinternet atau majalah-majalah.
Terdapat cukup banyak cara dan tools yang digunakan oleh hacker dalam reconnaissance, misalnya dengan melihat informasi register domain pada situs-situs, seperti whois.net, airin.net, dan sebagainya. Jika anda sering beraktifitas diinternet, jangan heran jika profil atau kegiatan anda dapat ditemukan dengan meudah oleh orang lain. Untuk itu, batasi untuk tidak menyebarkan informasi confidential anda.
2. Scanning.
Setelah mengenai sistem secara keseluruhan, hacker mulai mencari jalur penyusupan yang lebih spesifik. Jalur tersebut dapat berupa port. Port yang umum digunakan oleh sistem misalnya adalah port 80 untuk HTTP, port 21 untuk FTP, port 1433 untuk microsoft SQL server, port 3389 untuk terminal service, dan lain sebagainya.
Hal ini dikenal sebagai metode scanning. Beberapa tools yang umum digunakan antara lain adalah NMap, SolarWinds, Super Scan, Sam Spade, hping, War Ping, UDPScan, dan lain sebagainya.
Bagaimana pencegahaannya? anda dapat meminimalisasikan penggunaan port dan service yang tidak diperlukan, menggunakan firewall, serta melakukan monitoring terhadap jaringan secara periodik.
3. Enumeration.
Enumeration merupakan langkah lanjutan untuk mengambil informasi yang lebih detail. Informasi tersebut dapat berupa user-user, sharing folder, service yang berjalan termasuk dengan versinya (Service yang sering kali mendukung kelemahan yang sering dieksploitasi oleh hacker), dan lain sebagainya.
Disini, serangan mulai dilakukan dnegan berbagai cara, misalnya brute force attack ataupun sniffing paket data, man-inthe-middle, dan lain sebagainya. Utility untuk menganalisa paket data disebut dengan packet analyzer. Contohnya adalah Ethereal, tcpdump, ettercap, dan lain-lain.
4. Penetration.
Pada tahap ini, seorang hacker mengambil alih sistem setelah memperoleh informasi-informasi yang dibutuhkan. Bisa jadi hacker masuk tidak dengan hak administrator, tetapi mampu menyerang resource sehingga akhirnya mendapat hak akses administrator.
Bisa dikatakan, jika hacker bisa sampai masuk ketahap ini, berarti telah melewati pintu terpenting pertahanan sistem. Sayangnya, terkadang jebolnya pintu keamanan ini diakibatkan oleh kelalalian sistem itu sendiri.
Contohnya adalah penggunaan password yang lemah dan mudah ditebak, kesalahan pemrograman yang mengakibatkan terbukanya serangan dari luar. karen aitu, selain melakukan konfigurasi sitem dan jaringan yang baik, pengamanan dari sisi pemrograman juga sangat vital. Contohnya adalah melakukan validasi pada sisi server terhadap parameter input dari luar.
5. Evelation.
Setelah mampu mengkases sistem, maka hacker mengubah status privilege-nya setara dengan user yang memiliki hak penuh terhadap sistem, ataupun memiliki hak baca/tulis/eksekusi.
6. Pilter.
Dengan memperoleh kontrol penuh terhadap sistem, hacker leluasa untuk melakukan apa yang dikehendaki, seperti mengambil data yang confidential, baik dalam bentuk text file, database, dokumen,email, dan lain sebagainya.
7. Expansion.
Tidak hanya menyusup pada sutu sistem, hacker dapat memperluaspenyusupannya dengan memasuki sistem atau jaringan yang lain. Dalam tahap ini, seorang hacker melakukan lagi proses reconnaissance, scanning, dan enumeration dengan target sistem yang lain.
8. Housekeeping.
Hacker yang cerdik akan meninggalkan korban tanpa meninggalkan pesan, pada umumnya sistem mencatat event-event penting yang terjadi ke dalam log file yang dapat mendeteksi keberadaan hacker.
Dengan melakukan proses yang sering dikenal dengan sebutan covering track, hacker berusaha menghapus jejak dengan bersih. Walau tidak meninggalkan pesan, tetapi mungkin saja hacker pergi dengan meninggalkan kesan, yaitu sebuah backdoor atau jalan belakang untuk masuk kedalam sistem lagi! Backdoor dapat dibuat agar hacke rmasih dapat menyusup masuk wlaupun jalur sebelumnya telah ditutup.
Backdoor dapat diciptakan dengan membuat user yang memiliki kontrol penuh terhadap sistem, menginstal rootkit, menyebar trojan, ataupun meletakkan shell yang dapat dieksekusi secara remote.
Hacker, sebuah cita-cita?
tentunya menjadi hacker, seorang harus melalui proses belajar dan pengalaman yang cukup, selain tentu saja memerlukan kreatifitas dan tidak henti-hentinya mencari pengetahuan baru.
Lalu, apakah hacker telah menjadi sebuah profesi yang cukup mulia sehingga cita-cita menjadi hacker perlu didukung? yang jelas, keahlian seorang hacker patut dihargai. hanya saja bagi hacker yang memiliki motivasi yang kurang baik dan merusak, tampaknya keahlian tersebut telah disalah gunakan.
Kita dapat bercermin pada Bill gates (Pendiri Microsoft Corporation), Steve Jobs dan Steve Wozniak (Pendiri Apple Inc), mereka adalah sebagian contoh nama-nama yang mengawali karir mereka sebagai anak-anak muda yang memiliki keahlian tinggi dalam pemrograman dan sistem komputer, yang tentunya memiliki kapasitas seorang hacker.
Seandainya mereka milih untuk melakukan hal-hal yang merusak atau negatif lainnya, mungkin kita tidak akan pernah mendengar nama besar mereka seperti saat ini.