Kategori
Security

Tahapan Hacking

Overview

Informasi sudah menjadi sebuah komoditas yang sangat penting di era saat ini, sampai banyak orang mengistilahkan “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi dengan cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Pengelolaan data informasi yang lebih baik akan membuat sebuah organisasi mengetahui bagaimana perkembangan organisasi yang bekerja dalam bidangnya. Sebuah tolak ukur akan informasi akan membuah terus bisa dilakukan evaluasi dalam kurun waktu jangka yang di tentukan. Maka dari itu, tujuan dari sistem informasi secara umum adalah sebagai dasar agar perusahaan mengerti dan mengetahui sampai manakah kemajuan sebuh perusahaan mampu berjalan dalam bidang bisnisnya.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Ketika suatu informasi tidak terproteksi dengan baik, yang mengakibatkan akses informasi oleh pihak yang tidak berkepentingan, maka hal tersebut dapat disebut dengan kebocoran informasi atau keamanan. Konsekuensi terhadap kebocoran tersebut dapat berakibat fatal. Bagi bisnis perusahaan, kebocoran umumnya dapat diikuti dengan denda finansial, masuknya permasalahan ke ranah hukum, reputasi dan bisnis yang anjlok. Sedangkan bagi perorangan, kebocoran berarti pencurian identitas dan merugikan riwayat finansial ataupun peringkat kreditnya. Proses pemulihan dari kebocoran informasi, mungkin akan membutuhkan waktu bertahun-tahun dengan biaya yang dikeluarkan tidak sedikit. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.

Statistik Keamanan Informasi

Berdasarkan Laporan Tahunan Cybersecurity (Annual Cybersecurity Report – ACR) Cisco® (NASDAQ: CSCO) 2017, lebih dari sepertiga perusahaan yang sudah mengalami security breach atau pembobolan keamanan pada 2016 dan sebagai akibatnya mereka pun kehilangan setidaknya 20 persen dari jumlah pelanggan, kesempatan bisnis dan pemasukan. Sembilan puluh persen dari perusahaan tersebut kini meningkatkan teknologi perlindungan dari ancaman cybersecurity dengan memisahkan fungsi IT dan security (38 persen), menambahkan pelatihan kesadaran keamanan bagi karyawan (38 persen) dan menjalankan teknik mitigasi risiko (37 persen). Laporan Cisco telah melakukan survei terhadap hampir 3.000 chief security officer (CSO) dan security operations leader di 13 negara yang tergabung dalam Security Capabilities Benchmark Study, sebagai bagian dari Cisco ACR. Sedangkan menurut situs breachlevelindex.com bahwa kebocoran atau kehilangan data sejak tahun 2013 hingga saat ini menunjukkan angka yang sangat fantastis yakni berjumlah 9.198.580.293, yang mana hanya 4% dari data tersebut adalah data yang terenkripsi.

Metode Hacking

Sebelum peretas menemukan celah keamanan sistem, dengan menggunakan metode ini harapannya dapat menemukan celah terlebih dahulu sehingga celah tersebut bisa kita tutup. sehingga akan menghindarkan kita dari risiko buruk kegagalan sistem.

Selanjutnya adalah kita bisa mengetahui apa yang akan dilakukan oleh hacker ketika celah keamanan telah diketahui, sehingga kita bisa melakukan tindakan pencegahan sebelum eksploitasi terjadi. Hal yang bisa dilakukan untuk mencegah hal tersebut adalah membuat kebijakan keamanan teknologi informasi atau IT Security Policy.

Ada lima tahapan dari proses phase of hacking, secara garis besar yaitu

a. Reconnaissance atau Pengintaian

b. Scanning atau Pemindaian

c. Gaining Access atau Mendapatkan Akses

d. Maintaining Access atau Mempertahankan Akses

e. Clearing Tracks atau Membersihkan Jejak.

Berikut penjabaran secara garis besar tentang metode atau tahapan masuk kedalam sebuah sistem jaringan :

    1. Reconnaissance atau Pengintaian adalah sebuah tahap awal sebelum hacker melakukan serangannya. Tahapan ini merupakan tahapan yang sangat penting dan sangat mempengaruhi keberhasilan dari penyerangan yang dilakukan. Pada tahap ini hacker akan berusaha mendapatkan sebanyak mungkin informasi dari target.
      Tahapan ini biasanya membutuhkan waktu yang tidak sedikit apalagi jika target merupakan sebuah instansi besar yang memiliki sistem keamanan yang tinggi. Bagian dari tahapan ini bisa saja menggunakan teknik social engineering atau cara lain yang biasa digunakan pada tahapan ini juga adalah dumpster.
      Aplikasi yang digunakan pada tahap ini adalah : IP Tracking, digunakan untuk mendapatkan ip address hingga lokasi korban. Salah satu website penyedia layanan tersebut adalah ipsaya.com, Social media cara ini merupakan paling mendasar dimana proses pengumpulan informasi korban dilakukan dengan mengumpulkan informasi mendasar dari sang korban, seperti dari Facebook,Twitter atau Instagram pribadi korban.

Tahapan reconnaissance atau pengintaian ini dibagi menjadi 2 kategori yaitu aktif dan pasif.

    • Pengintaian Pasif berarti hacker tidak berinteraksi secara langsung dengan target. Cara yang digunakan pada tipe ini biasanya dengan memanfaatkan informasi-informasi target yang tersedia secara publik, social engineering, atau bahkan dumpster. Pengintaian secara aktif biasanya memiliki kecepatan yang tinggi dan banyaknya informasi yang didapatkan. Namun pada pengintaian secara aktif berarti target “mengetahui” atau paling tidak memiliki gambaran mengenai siapa saja yang pernah menanyakan informasi tersebut sehingga jika tidak dipergunakan dengan bijak dan hati-hati bisa saja hal ini membawa target pada sebuah kesimpulan siapa yang melakukan serangan padanya.
    • Pengintaian Aktif berarti hacker berinteraksi langsung dengan targetnya. Bisa saja dengan cara menggunakan tools untuk melakukan pencarian port-port yang terbuka, host yang bisa di akses via jaringan publik, lokasi perangkat-perangkat jaringan, topologi jaringan dari target, sistem operasi yang digunakan dan informasi-informasi lainnya yang berguna untuk meningkatkan kemungkinan keberhasilan penyerangan.
      Tahapan pengintaian yang digunakan atau dipilih tentu saja mempengaruhi seberapa banyak informasi dan seberapa cepat informasi tersebut didapatkan. 
  2. Scanning atau Pemindaian, tahapan selanjutnya atau terkadang juga menjadi bagian dari tahapan reconnaissance adalah tahapan scanning atau pemindaian. Pada tahapan ini hacker menggunakan semua informasi yang sudah didapatkan pada tahap sebelumnya lalu mencoba memperdalam informasi tersebut. 
    Hacker bisa saja mendapatkan informasi-informasi yang penting seperti gambaran mengenai sistem, router hingga firewall dengan tools yang sangat standar seperti yang ada di sistem operasi windows traceroute. Tools lain seperti port scanner dapat mendeteksi port-port yang terbuka maupun yang ter-filter. Dari informasi ini hacker bisa mengetahui service-service apa saja yang berjalan di target. Salah satu cara paling dasar dari serangan ini adalah dengan menutup SEMUA port yang memang tidak digunakan, dan merubah beberapa port yang sudah diketahui secara umum misal yang paling sering adalah merubah port SSH dari 22 menjadi port lain yang tidak umum. 
    Tools yang paling sering digunakan adalah vulnerability scanners, yang bisa mencari dari ribuan vulnerability yang sudah diketahui pada target. Hal ini tentu saja menjadi sebuah keuntungan tersendiri bagi hacker karena hacker hanya butuh satu pintu untuk masuk ke sistem targetnya, di lain pihak hal ini menjadi sebuah pekerjaan yang berat bagi seorang IT professional karena ia dituntut untuk dapat mengamankan sebanyak mungkin celah keamanan dari sistem yang dijaganya. Organisasi yang sudah menerapkan IPS/IDS juga harus tetap waspada, karena hacker yang baik dan benar tentu saja dapat dan akan menggunakan teknik-teknik untuk dapat menghindari hal tersebut dalam tiap langkah yang ia gunakan.
    Aplikasi yang digunakan adalah Nessus Remote Security Scanner software ini digunakan untuk mengetahui celah keamanan sebuah jaringan. Memang, Nessus bukanlah sebuah program open source lagi, namun namun Nessus masih bebas digunakan secara gratis. NMAP didesain mengetahui port-port yang terbuka atau tidak terfilter dengan baik. Bahkan, para administrator jaringan menggunakan untuk mengetahui kemananan jaringannya sendiri. Nmap akan memetakan berbagai informasi penting dalam jaringan, antara lain informasi host, service, sistem operasi, tipe paket yang dikirim, firewall, dan lainnya.
  3. Gaining Access atau Mendapatkan Akses. Pada tahap ini proses hacking yang sebenarnya akan mulai dilakukan. Hacker menggunakan berbagai kelemahan yang sudah ditemukan pada tahap pertama maupun kedua untuk mencoba mendapatkan akses ke sistem target. Walaupun hacker bisa menyebabkan kerusakan yang cukup besar tanpa perlu mendapatkan akses ke sistem tapi tetap saja dampak dari sistem yang diaksesk oleh pihak yang tidak sah (unauthorized) memiliki dampak yang sangat besar pula. Sebagai contoh, serangan DDOS (Distributed Denial of Service) dapat menghabiskan semua resource yang ada dan bisa mengakibatkan berhentinya service yang ada pada sistem target. 
    Hacker bisa mendapatkan akses ke sistem secara offline, via LAN, atau bahkan via akses internet. Hacker bisa saja menggunakan teknik seperti spoofing untuk meng-exploit sistem dengan cara berpura-pura menjadi user yang sah (legitimate) atau sistem yang lain. Dengan cara ini hacker bisa mengirimkan paket data yang didalamnya terdapat bug bagi sistem target sehingga ketika  paket data tersebut diproses oleh sistem target maka hacker bisa saja dengan mudah mendapatkan akses secara ilegal ke sistem target. 
    Hacker dikatakan berhasil melakukan gaining access (mendapatkan akses) saat hacker berhasil mendapatkan akses baik itu ke sistem operasi atau aplikasi pada komputer atau jaringan dari target. Hacker bisa saja mendapatkan akses pada level sistem operasi, aplikasi atau pada level jaringan target. Saat hacker sudah berhasil mendapatkan salah satu akses dari sistem target selanjutnya adalah bagaimana hacker bisa escalate privileges (meningkatkan hak akses) agar bisa mendapatkan akses penuh ke sistem target.
    Aplikasi yang digunakan adalah John the Ripper adalah hack tools yang cukup terkenal yang biasa digunakan untuk meng-crack suatu password dengan cepat dan tersedia pada banyak platfom, antara lain UNIX, Windows, DOS, BeOS, dan OpenVMS. Tujuan utama dari John The Ripper adalah untuk mendeteksi kelemahan password pada sistem UNIX (termasuk Linux). John The Ripper merupakan program yang dapat membantu administrator menentukan kelayakan suatu password. Namun John The Ripper juga digunakan oleh pihak-pihak yang tidak berkepentingan untuk mendapatkan password seorang user. SQLi Dumper merupakan tools komplit untuk mencari kelemahan suatu web, dimana tools ini juga dapat digunakan untuk mencuri database dari web tersebut.
  4. Maintaining Access atau Mempertahankan Akses. Saat hacker mendapatkan akses ke sistem target dengan hak akses admin/root maka hacker dapat dengan leluasa menggunakan baik itu sistem tersebut atau bahkan semua resource yang ada sesuai keinginannya, dan yang pasti juga dapat menggunakan sistem sebagai batu loncatan untuk menyerang sistem lain yang terhubung dengan sistem yang sudah berhasil di-compromised. Atau bisa saja hacker tidak terlalu banyak melakukan aktifitas hanya untuk menjaga agar administrator tidak mengetahui bahwa sistemnya sudah ter-compromised. Kedua kemungkinan tersebut tersebut tetap saja dapat memberikan kerusakan yang tidak kecil. Sebagai contoh, hacker bisa saja memasang sniffer untuk menangkap atau merekam semua lalu lintas trafik yang ada termasuk akses Telnet maupun FTP (File Transfer Protocol) ke sistem lain lalu kemudian mengirimkan informasi tersebut kemanapun sesuai keinginannya. 
    Hacker yang memilih untuk tetap menjaga agar tidak terdeteksi oleh administrator akan menghapus bukti atau jejak cara ia masuk ke sebuah sistem. Topik ini selanjutnya akan dibahas pada postingan selanjutnya. Hacker juga biasanya akan menanam backdoor atau trojan agar selanjutnya ketika ia ingin masuk lagi ke sistem maka tidak perlu lagi melakukan tahapan-tahapan sebelumnya atau dalam arti lain ketika hacker ingin masuk kembali ke sistem yang sudah pernah ia masuki sebelumnya ia dapat dengan mudah masuk kembali ke sistem tersebut. Hacker juga bisa memasang rootkit pada level kernel untuk mendapatkan akses penuh terhadap komputer atau server target. Rootkits akan mendapatkan akses pada level sistem operasi sedangkan untuk mendapatkan akses pada level aplikasi biasanya digunakan trojan horse. Baik rootkits maupun trojan horse harus diinstall secara lokal pada komputer atau sistem target. Pada sistem operasi windows, kebanyakan trojan horse akan meng-install dirinya sendiri sebagai service yang berjalan pada sistem lokal dengan hak akses administrator.
    Aplikasi yang digunakan Backdoor adalah perangkat lunak yang digunakan untuk mengakses sistem, aplikasi, atau jaringan tanpa harus menangani proses autentikasi. Backdoor dapat membantu user yang membuat backdoor (peretas) dapat masuk ke dalam sistem tanpa harus melewati proses autentifikasi. Backdoor juga dapat diartikan sebagai mekanisme yang digunakan untuk mengakses sistem atau jaringan. Rootkits adalah kumpulan software yang dirancang untuk menyembunyikan proses, file dan data system yang berjalan dilatar belakang dari sebuah Operating system. Rootkit ini bekerja layaknya hantu. Bekerja pada system tanpa diketahui keberadaannya, dan jika rootkit ini menyembunyikan malware, computer kamu bisa diserang tanpa kamu ketahui. Virus Rootkit (berisi malware) sangat sulit dideteksi secara akurat 100% dari program antivirus removal sekalipun. Untuk itu berhati–hatilah saat menancapkan falsdisk yang sudah terinfeksi Rootkit kedalam computer.
  5. Clearing Track Pada fase ini hacker berusaha untuk menyembunyikan jejak masuk ke dalam sistem. Caranya dengan memanipulasi file log yang ada pada sistem. Kemudian merubah rule dari sistem agar dirinya tetap tidak terdeteksi padahal ada di dalam sistem.
    Aplikasi yang digunakan VPN (Virtual Private Network) sebuah cara aman untuk mengakses local area network yang berada pada jangkauan tertentu, dengan menggunakan internet atau jaringan umum lainnya untuk melakukan transmisi data paket secara pribadi. salah satu fungsi adanya vpn adalah keamanan dalam berkomunikasi atau dalam pertukaran data, juga tidak memungkinkan pihak lain untuk menyusup ke traffic (lalu lintas jaringan) yang tidak semestinya. Incognito incognito browsing itu adalah penelusuran di google yang tersembunyi, maksudnya tersembunyi adalah riwayat dan cookies nya tidak akan di catat dan akan hilang jika sudah keluar dari tab tersebut, jadi tidak akan ada yang tahu kita sedang menelusuri apa.

Reconnaissance vs Footprinting

Reconnaissance adalah sebuah fase persiapan sebelum (attacker) melakukan penyerangan, dimana kegiatan intinya adalah mengumpulkan informasi sebanyak mungkin mengenai sasaran. Teknik ini akan menyertakan network scanning baik melalui jaringan internal atau external yang tentu saja tanpa mengantongi ijin.

Footprinting adalah fase untuk menemukan blueprint dari jaringan keamanan suatu organisasi melalui pendekatan medotologis, artinya merangkai apa yang ditemukan sehingga mendapatkan gambaran yang jelas tentang sistem keamanan sasaran (apakah mereka menggunakan internet, ISP nya siapa, backbone nya, wireless SSID nya, metode pengamanan wirelessnya, Ada di channel berapa, dimana lokasi nya, berapa mesin yang aktif, menemukan port yang terbuka, mendeteksi sistem operasi, network map dll). Hampir 90% waktu seorang attacker digunakan untuk menemukan profile dari sasaran, sisanya 10 % untuk meluncurkan serangan itu sendiri.

Tools Reconnaissance & Footprinting

  • Readnotify untuk melakukan track email ( apakah email tersebut akfif, melakui mana saja dll)
  • Whois ( menemukan registrant website, dimana dihosting, alamat contactnya , alamat telp, dll)
  • Nslookup
  • Samspade script (bisa melakukan scan alamat, crawl website, browse web, traceroute, s-lang command, decode url, parse email headers dll)
  • Google untuk menemukan apakah ada internal link dari sasaran ( tidak jarang ada intranet organisasi yang di broadcast juga ke internet namun dengan di cover oleh login untuk masuk)
  • www.archive.org untuk menemukan kapan web dari sasaran di launch untuk pertama kali, update nya sampai dengan sekarang ini. Untuk sasaran personal bisa menggunakan http://people.yahoo.com atau www.intellius.com (mencari lokasi kediaman, tanggal lahir, lokasi terakhir dll.)
  • Google Map untuk mencari lokasi organisasi sasaran.
  • Melalui Jobsite misalnya jobsdb bisa diketahui mereka butuh pekerja apa, informasi hardware,  informasi software dll. Jadi misalnya mereka posting butuh karyawan untuk network dengan spesifikasi CCNA, MCDBA maka bisa kita asumsikan mereka menggunakan infrastruktur Cisco, Database SQL
  • Waybackmachine.com > Semacam archive dari website
  • Dan lain-lain

Sumber lain menyebutkan dari fase hacking ada 9 langkah, yaitu

Berikut merupakan pelengkap penjabaran dari yang belum diatas dibagian atas terkait dengan fase hacking :

Enumerasi 

Enumeration adalah proses mengekstrak user nama, machine name, network resource, share dan service yang sudah didapat dari target. Umumnya informasi yang didapat diekstrak bisa diperoleh dari server seperti DNS, SMPT Mail, SNMP, Net Bios, NTP dan LDAP.

Tahapan mendapatkan informasi dari korban seperti halnya dengan tahapan awal hacking, tetapi dengan enumerasi aktifitas pembobolan menjadi lebih aktif, ini dikarenakan Hacker langsung berhubungan dengan komputer korban. Karena langsung berhubungan dengan korban, aktifitas ini sangatlah beresiko bagi hacker yang belum berpengalaman dan sangat mudah dideteksi oleh keamanan Firewall & IDS, jadi enumerasi lebih cocok pada hacker tingkat lanjut.

Enumerasi biasanya dilakukan oleh orang yang berada dalam satu jaringan atau LAN (Local Area Nerwork), ini dikarenakan Enumerasi membutuhkan koneksi yang rawan blocking, terkadang Enumerasi dilakukan berdasarkan protokol yang digunakan dalam LAN.

Informasi-informasi yang bisa didapat oleh Hacker dengan Enumerasi sebatas mengenai Jaringan Drive Sharing, sumber daya, nama-nama pengguna yang terdapat dalam sharing folder, dan informasi Service. Jika ingin mendapatkan informasi lebih layaknya IP Address, Open Port (listening port), alamat korban dll.

Escalation Privilege 

Setelah mendapatkan akses koneksi ke computer Host, langkah selanjutnya adalah menaikkan hak akses dari user menjadi administrator (di windows) atau root (di linux). Jika tahap 4 sudah berhasil dilewati, maka untuk tahap ini sangat mudah dilakukan. Walaupun memiliki kata sandi yang kuat namun tetap bisa di bobol dengan tools “Rainbow crack, jhon the ripper, ophcrack, l0phcrack, getadmin, sechole, pipe3” menjadi lebih mudah dilakukan.

Pilfering

Jika sudah mendapatkan akses level yang lebih tinggi. Maka, langkah selanjutnya adalah membuat data-data Host yang tershare atau terbuka bebas untuk umum pada jaringan internet/local. Tujuannya adalah satu, yaitu memudahkan kita untuk tidak mengulangi langkah awal hingga nomor 6 sesuai dengan gambar diatas, dan jaga-jaga agar kita tidak lepas koneksi dengan korban jika korban tiba-tiba berhenti online. Inilah tahap yang paling dicari, yaitu mendapatkan akses langsung ke data-data computer korban.

Backdooring 

Backdoor adalah sebuah tahap dimana hacker berkeinginan untuk selalu melakukan koneksi pada system yang telah ter Hijacked (Terkuasai) selamanya. Sistem yang ter Hijacked bisa disebut computer zombie.

Konfigurasi pada system yang paling sering menjadi sasaran adalah area “start up” dan area windows di \C:\Windows dengan melakukan penyamaran nama atau bentuk. Banyak cara yang dilakukan untuk melakukan backdooring ini. Bisa dengan menggunakan (Cron, at, rc, netcut, keystroke loggers, fpn wcint dll, tini, adore, vnc, bo2k, Radmin, dll). Atau yang paling sering adalah Keyloggers / Keystroke adalah suatu software yang disebut sebagai Spy/Malicious Program. Fungsinya adalah merekam setiap ketukkan keyboard pada form-form/bentuk-bentuk sensitive pada sebuah web, seperti halaman login. Meskipun tidak Online, keystroke/keyloggers ini tetap merekam dan jika suatu saat Online maka dengan diam-diam ia akan mengirimkan hasil log tersebut kepada email hacker pada port yang telah dibuka oleh hacker sebelumnya di system Host.

Backdooring juga sering menggunakan prinsip client and server. Ini disebut sebagai Trojan. Dimana client adalah hacker dan server adalah Host.

Tujuannya, ia bisa menguasai computer zombie selamanya.

Denial of Service

Adalah upaya melakukan pelumpuhan sistem komputer korban. Denial of Service (DoS) attack merupakan sebuah usaha (dalam bentuk serangan) untuk melumpuhkan sistem yang dijadikan target sehingga sistem tersebut tidak dapat menyediakan servis-servisnya (denial of service). Cara untuk melumpuhkan dapat bermacam-macam dan akibatnya pun dapat beragam. Sistem yang diserang dapat menjadi “hang” , tidak berfungsi, atau turun kinerjanya (beban CPU tinggi).

Serangan denial of service berbeda dengan kejahatan pencurian data atau kejahatan memonitor informasi yang lalu lalang. Dalam serangan DoS tidak ada yang dicuri. Akan tetapi, serangan DoS dapat mengakibatkan kerugian finansial. Sebagai contoh apabila sistem yang diserang merupakan server yang menangani transaksi e-commerce, maka apabila server tersebut tidak berfungsi, transaksi tidak dapat dilangsungkan. Bayangkan apabila sebuah bank diserang oleh bank saingan dengan melumpuhkan outlet ATM (Anjungan Tunai Mandiri, Automatic Teller Machine) yang dimiliki oleh bank tersebut.

Ref : [1][2][3][4][5][6][7]