Defiana Arnaldy
Understanding hacker objectives Outlining the differences between ethical hackers and malicious hackers Examining how the ethical hacking process has come about Understanding the dangers that your computer systems face Starting the ethical hacking process
Sama-sama menggunakan tools yang sama Perbedaan sangat tipis (fine line): itikad dan pandangan (view) terhadap berbagai hal Contoh: Probing / (port) scanning sistem orang lain boleh tidak?
Hacker. Noun. 1.A person who enjoys learning the detail of computer systems and how to stretch their capabilities as opposed to most users of computers, who prefer to learn only the minimum amount necessary. 2.One who programs enthusiastically or who enjoys programming rather than theorizing about programming. (Guy L. Steele, et al. The Hacker’s Dictionary)
Traditionally, a hacker is someone who likes to tinker with software or electronic systems. Hackers enjoy exploring and learning how computer systems operate. They love discovering new ways to work electronically. Recently, hacker has taken on a new meaning — someone who maliciously breaks into systems for personal gain. Technically, these criminals are crackers (criminal hackers).
Hacker adalah sebutan untuk orang atau sekelompok orang yang memberikan sumbangan bermanfaat untuk dunia jaringan dan sistem operasi, membuat program bantuan untuk dunia jaringan dan komputer. Hacker juga bisa di kategorikan perkerjaan yang dilakukan untuk mencari kelemahan suatu system dan memberikan ide atau pendapat yang bisa memperbaiki kelemahan system yang di temukannya.
Cracker adalah sebutan untuk orang yang mencari kelemahan system dan memasukinya untuk kepentingan pribadi dan mencari keuntungan dari system yang di masuki seperti: pencurian data, penghapusan, dan banyak yang lainnya. Crackers break into (crack) systems with malicious intent. They are out for personal gain: fame, profit, and even revenge. They modify, delete, and steal critical information, often making other people miserable.
Based on old-style western films White hats The ‘good guys’ – ethical hackers Black hats The ‘bad guys’ – hackers / crackers Grey (gray) hats: Possibly good guys Michael Jones Introduction to Ethical Hacking 8
Hackers are like kids putting a 10 pence piece on a railway line to see if the train can bend it, not realising that they risk de-railing the whole train (Mike Jones)
Target acquisition and information gathering. Casing the establishment, footprinting, scanning, enumeration Initial access Privileges escalation Covering tracks
Elite Ciri-ciri : mengerti sistem operasi luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global, melakukan pemrogramman setiap harinya, effisien & trampil, menggunakan pengetahuannya dengan tepat, tidak menghancurkan data-data, dan selalu mengikuti peraturan yang ada. Tingkat Elite ini sering disebut sebagai ‘suhu’. Semi Elite Ciri-ciri : lebih muda dari golongan elite, mempunyai kemampuan & pengetahuan luas tentang komputer, mengerti tentang sistem operasi (termasuk lubangnya), kemampuan programnya cukup untuk mengubah program eksploit.
Developed Kiddie Ciri-ciri : umurnya masih muda (ABG) & masih sekolah, mereka membaca tentang metoda hacking & caranya di berbagai kesempatan, mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya, umumnya masih menggunakan Grafik User Interface (GUI) & baru belajar basic dari UNIX tanpa mampu menemukan lubang kelemahan baru di sistem operasi. Script Kiddie Ciri-ciri : seperti developed kiddie dan juga seperti Lamers, mereka hanya mempunyai pengetahuan teknis networking yang sangat minimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.
Lammer Ciri-ciri : tidak mempunyai pengalaman & pengetahuan tapi ingin menjadi hacker sehingga lamer sering disebut sebagai ‘wanna-be’ hacker, penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software pirate, mencuri kartu kredit, melakukan hacking dengan menggunakan software trojan, nuke & DoS, suka menyombongkan diri melalui YM channel, dan sebagainya. Karena banyak kekurangannya untuk mencapai elite, dalam perkembangannya mereka hanya akan sampai level developed kiddie atau script kiddie saja.
1. Pada tahun 1983, pertama kalinya FBI menangkap kelompok kriminal komputer The 414s(414 merupakan kode area lokal mereka) yang berbasis di Milwaukee AS. Kelompok yang kemudian disebut hacker tersebut melakukan pembobolan 60 buah komputer, dari komputer milik Pusat Kanker Memorial Sloan-Kettering hingga komputer milik Laboratorium Nasional Los Alamos. Salah seorang dari antara pelaku tersebut mendapatkan kekebalan karena testimonialnya, sedangkan 5 pelaku lainnya mendapatkan hukuman masa percobaan. 2. Digigumi (Grup Digital) adalah sebuah kelompok yang mengkhususkan diri bergerak dalam bidang game dan komputer dengan menggunakan teknik teknik hexadecimal untuk mengubah teks yang terdapat di dalam game. Contohnya : game Chrono Trigger berbahasa Inggris dapat diubah menjadi bahasa Indonesia. Oleh karena itu, status Digigumi adalah hacker, namun bukan sebagai perusak.
3. Pada hari Sabtu, 17 April 2004, Dani Firmansyah, k nsultan Teknologi Informasi (TI) PT Danareksa di Jakarta berhasil membobol situs milik Komisi Pemilihan Umum (KPU) di dan mengubah nama-nama partai di dalamnya menjadi nama-nama “unik”, seperti Partai Kolor Ijo, Partai Mbah Jambon, Partai Jambu, dan lain sebagainya. Dani menggunakan teknik SQL Injection(pada dasarnya teknik tersebut adalah dengan cara mengetikkan string atau perintah tertentu di address bar browser) untuk menjebol situs KPU. Kemudian Dani tertangkap pada hari Kamis, 22 April 2004.
Hacker : membuat teknologi internet semakin maju karena hacker menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer ataupun dalam sebuah software, membuat gairah bekerja seorang administrator kembali hidup karena hacker membantu administrator untuk memperkuat jaringan mereka. Cracker : merusak dan melumpuhkan keseluruhan sistem komputer, sehingga data-data pengguna jaringan rusak, hilang, ataupun berubah.
HACKERS : 1. Mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs. Sebagai contoh : jika seorang hacker mencoba menguji suatu situs dipastikan isi situs tersebut tak akan berantakan dan mengganggu yang lain. Biasanya hacker melaporkan kejadian ini untuk diperbaiki menjadi sempurna.Bahkan seorang hacker akan memberikan masukan dan saran yang bisa memperbaiki kebobolan system yang ia masuki. 2. Hacker mempunyai etika serta kreatif dalam merancang suatu program yang berguna bagi siapa saja. 3. Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius atas nama ilmu pengetahuan dan kebaikan. 4. Seorang hacker akan selalu memperdalam ilmunya dan memperbanyak pemahaman tentang sistem operasi.
CRACKERS : 1. Mampu membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu keuntungan. Sebagia contoh : Virus, Pencurian Kartu Kredit, Kode Warez, Pembobolan Rekening Bank, Pencurian Password /Web Server. 2. Bisa berdiri sendiri atau berkelompok dalam bertindak. 3. Mempunyai situs atau cenel dalam IRC yang tersembunyi, hanya orang- orang tertentu yang bisa mengaksesnya. 4. Mempunyai IP yang tidak bisa dilacak. 5. Kasus yang paling sering ialah Carding yaitu Pencurian Kartu Kredit, kemudian pembobolan situs dan mengubah segala isinya menjadi berantakan. Sebagai contoh : Yahoo! pernah mengalami kejadian seperti ini sehingga tidak bisa diakses dalam waktu yang lama, kasus clickBCA.com yang paling hangat dibicarakan tahun 2001 lalu.
Example: Someone reports to a company that their website is vulnerable to (say) a SQL injection attack that could result in private data being accessed Company does nothing about it What is the ethical position? Michael Jones Introduction to Ethical Hacking 20
Strands: – Technical and Social Technical: – E.g., penetration testing Social – E.g., why people do it? Sources – Practical experience – Research: academic articles, white papers, websites, blogs Michael Jones Introduction to Ethical Hacking 21
Thinking like a (black hat) hacker, but not acting like one Understanding the motivation, commitment, attitudes Not being influenced by ‘sound bite’ psychology Required skills: Communication, technical, collaboration Michael Jones Introduction to Ethical Hacking 22
A hacker wants to gain access to: Systems Data A hacker MAY want to destroy or modify systems and data There are many subtypes of hacker Michael Jones Introduction to Ethical Hacking 23
Main subtypes: technical, social Access hackers Will focus on ways to gain access Subtypes: system, network, application Malicious hackers Will focus on ways to modify or destroy Subtypes: network DoS, virus writers Hackers may migrate between subtypes Michael Jones Introduction to Ethical Hacking 24
A network of hackers Access hackers Providing access mechanisms – e.g., via trojans, botnets Malicious hackers Providing modification mechanisms – e.g., DDoS, viruses Factors Acting as go-betweens with potential clients Michael Jones Introduction to Ethical Hacking 25
In the UK, the biggest betting event is the Grand National In the weeks before the event, betting websites receive threats to their sites: E.g., DDoS attack threatened – blackmail What should the companies do? Michael Jones Introduction to Ethical Hacking 26
Means Motive Opportunity In terms of the Internet, are ‘means’ and ‘opportunity’ relevant? Michael Jones Introduction to Ethical Hacking 27
Hacking can operate at many levels: Hardware Network Systems software Application layer Social layer (not part of the ISO model) Michael Jones Introduction to Ethical Hacking 28
Case study: PDF documents Problem: custom kerning required for some fonts Solution: allow PDFs to include code (e.g., JavaScript) Question: how complete is the JavaScript sandbox provided by Adobe Reader? Question: what about older versions? Michael Jones Introduction to Ethical Hacking 29
Michael Jones Introduction to Ethical Hacking 30 Theory Hypothesis Experiment Data Gathering and Analysis Modify theory The V Model of Scientific Method
Classic scientific experiment: Controlling factors that influence a given result In a controlled environment Observation and measurement of cause and effect All these elements are inevitably part of a ‘hack’ To allow the hack to be demonstrated and/or repeated Michael Jones Introduction to Ethical Hacking 31
Theory: anything that includes code can be compromised Hypothesis creation: Identifying and exploring the potential approach Experiment: Creating doctored files that compromise the system Michael Jones Introduction to Ethical Hacking 32
Induction Projecting from hypothesis to potential events Deduction Inferring a hypothesis from observed events A hack contains many elements of both Much exploration and experimentation at each stage ‘experiment’ stage is when the actual hack takes place Michael Jones Introduction to Ethical Hacking 33
Hacking is a specialisation of business intelligence Hacking: exploring someone else’s data Business intelligence: exploring (mining) your own data Hacking and BI both need a scientific approach Compare with ‘traditional’ software development Michael Jones Introduction to Ethical Hacking 34
1. Social Hacking, yang perlu diketahui : informasi tentang system apa yang dipergunakan oleh server, siapa pemilik server, siapa Admin yang mengelola server, koneksi yang dipergunakan jenis apa lalu bagaimana server itu tersambung internet, mempergunakan koneksi siapa lalu informasi apa saja yang disediakan oleh server tersebut, apakah server tersebut juga tersambung dengan LAN di sebuah organisasi dan informasi lainnya 1. Technical Hacking, merupakan tindakan teknis untuk melakukan penyusupan ke dalam system, baik dengan alat bantu (tool) atau dengan mempergunakan fasilitas system itu sendiri yang dipergunakan untuk menyerang kelemahan (lubang keamanan) yang terdapat dalam system atau service. Inti dari kegiatan ini adalah mendapatkan akses penuh kedalam system dengan cara apapun dan bagaimana pun.
Di atas segalanya, hormati pengetahuan & kebebasan informasi. Memberitahukan sistem administrator akan adanya pelanggaran keamanan / lubang di keamanan yang anda lihat. Jangan mengambil keuntungan yang tidak fair dari hack. Tidak mendistribusikan & mengumpulkan software bajakan. Tidak pernah mengambil resiko yang bodoh – selalu mengetahui kemampuan sendiri.
Selalu bersedia untuk secara terbuka / bebas / gratis memberitahukan & mengajarkan berbagai informasi & metoda yang diperoleh. Tidak pernah meng-hack sebuah sistem untuk mencuri uang. Tidak pernah memberikan akses ke seseorang yang akan membuat kerusakan. Tidak pernah secara sengaja menghapus & merusak file di komputer yang dihack. Hormati mesin yang di hack, dan memperlakukan dia seperti mesin sendiri.
1. Mampu mengakses komputer tak terbatas dan totalitas. 2. Semua informasi haruslah FREE. 3. Tidak percaya pada otoritas, artinya memperluas desentralisasi. 4. Tidak memakai identitas palsu, seperti nama samaran yang konyol, umur, posisi, dll. 5. Mampu membuat seni keindahan dalam komputer. 6. Komputer dapat mengubah hidup menjadi lebih baik.
7. Pekerjaan yang di lakukan semata-mata demi kebenaran informasi yang harus disebar luaskan. 8. Memegang teguh komitmen tidak membela dominasi ekonomi industri software tertentu. 9. Hacking adalah senjata mayoritas dalam perang melawan pelanggaran batas teknologi komputer. 10. Baik Hacking maupun Phreaking adalah satu- satunya jalan lain untuk menyebarkan informasi pada massa agar tak gagap dalam komputer. Cracker tidak memiliki kode etik apapun
Hacking is concerned with accessing data and systems to which the individual would normally not have access Hacking requires a scientific approach, and is based on technical, social, and collaborative skills These skills can be employed in the domains of ethical hacking and business intelligence Michael Jones Introduction to Ethical Hacking 41
Dahlan Abdullah Web : Michael Jones. Introduction to Ethical Hacking