Dalam tulisan ini saya coba ketengahkan beberapa teknik yang umumnya
digunakan teman-teman untuk melakukan crack ke sistem komputer.
Referensi-nya bisa dibaca di
•
http://www.rootshell.com
•
http://www.antionline.com/archives/documents/advanced/
•
http://www.rootshell.com/beta/documentation.html
•
http://seclab.cs.ucdavis.edu/papers.html
•
http://rhino9.ml.org/textware/
Salah satu referensi menarik lainnya adalah artikel dari Front-line
Information Security Team, "Techniques Adopted By 'System Crackers' When
Attempting To Break Into Corporate or Sensitive Private Networks,"
fist@ns2.co.uk &
http://www.ns2.co.uk
Lembaga apa saja sebetulnya yang biasanya rentan terhadap serangan cracker ini? Ada cukup banyak sebetulnya mulai dari:
Para cracker ini profile-nya seperti apa? Jika kita perhatikan baik-baik
maka umumnya mereka adalah pria berusia antara 16-25 tahun. Mereka
umumnya melakukan cracking untuk meningkatkan kemampuan cracking mereka
atau untuk menggunakan resource yang ada di jaringan untuk keperluan
pribadinya. Umumnya mereka ada opportunis yang secara untung-untung
menscan sistem untuk melihat lubang dari sistem. Umumnya setelah
berhasil memasuki sistem yang dimaksud kemudian mengambil akses
administrator (root) dari sistem tersebut; kemudian membuat akses
backdoor agar dikemudian hari dapat memasuki sistem tersebut lagi sambil
menutup berbagai lubang security yang ada supaya cracker lain tidak
bisa memanfaatkan sistem yang dia kuasai ini.
Sebelum memasuki berbagai teknik yang dipakai oleh para cracker untuk
menguasai sistem ada baiknya kita melihat secara sepintas saja metoda
apa saja yang digunakan oleh berbagai perusahaan ini untuk menyambungkan
ke Internet. Secara sederhana umumnya berbagai perusahaan / instansi
menyambung ke Internet menggunakan teknik-teknik firewall dan proxy
server untuk akses bagi anggota / karyawan / siswanya agar bisa akses
bersama melalui satu saluran komunikasi. Adapun hubungan ke Internet
umumnya digunakan untuk hosting webserver, servis e-mail agar bisa
berhubungan dengan dunia luar dan memberikan akses ke Internet bagi
perusahaan / anggota / siswa.
Dalam setup jaringan komputer yang demikian umumnya webserver bukanlah
tempat yang cukup menarik untuk di serang jika kita menginginkan akses
ke informasi yang ada dalam corporate network. Kalaupun seorang cracker
menyerang webserver umumnya digunakan untuk mengubah file yang ada untuk
menjatuhkan citra perusahaan / lembaga. Bagi cracker yang berkeinginan
untuk memasuki intranet corporate maka serangan akan dilakukan ke server
e-mail karena biasanya server e-mail yang mempunyai saluran secara
langsung ke dalam intranet untuk bertukar e-mail antara dunia intranet
dan dunia internet. Bagi cracker yang cukup canggih maka serangan akan
dilakukan pada router menggunakan scanner secara agresif terhadap
protokol managemen SNMP yang akhirnya bisa mengubah router yang ada
menjadi jembatan mereka memasuki intranet dari internet.
Setelah mengetahui berbagai modus yang ada di atas mari kita bahas
sedikit lebih detail tentang cara mereka menyerang. Teknik pertama yang
perlu dilakukan oleh para cracker ini adalah teknik ‘cloak’ yang pada
dasarnya menyembunyikan diri pada saar menyerang agar administrator
jaringan di ujung sebelah sana tidak menyadari bahwa mesin-nya sedang di
serang. Teknik ‘cloak’ yang biasanya digunakan oleh para cracker ini
adalah:
• Melakukan bouncing (melompat) dari mesin yang sebelumnya telah di serang melalui program telnet atau remote shell rsh.
• Melakukan bouncing (melompat) dari mesin yang menjalankan windows melalui software wingate mereka.
• Melakukan bouncing (melompat) dari server proxy yang salah di konfigurasinya.
Seorang cracker pada saat menyerang harus mengumpulkan banyak informasi
tentang jaringan yang akan dia serang. Beberapa teknik yang umumnya
digunakan untuk mengumpulkan informasi tersebut biasanya dijalankan di
perangkat Unix (bukan windows) yang antara lain adalah:
• Menggunakan perangkat lunak nslookup dalm memberikan perintah ‘ls <domain atau network>.
• Melihat file HTML di server Web anda untuk mengidentifikasi host lain di intranet anda.
• Melihat berbagai dokumen yang ada di server file (FTP) anda.
• Melakukan hubungan ke server mail anda menggunakan perintah ‘telnet host 25’ dan memberikan perintah ‘expn <user>’.
• Mem-‘finger’ pengguna yang memiliki account di mesin yang terbuka di internet.
Selanjutnya adalah mengidentifikasi komponen jaringan apa saja yang di
set sebagai komponen yang paling di percaya di jaringan intranet
perusahaan tersebut. Biasanya mesin yang digunakan administrator atau
server biasanya dipercaya sebagai mesin paling aman di jaringan. Untuk
melihat mesin mana yang di anggap paling aman di jaringan biasanya para
cracker ini start dengan melihat men-cek daftar export dari Network File
System (NFS) ke directory /usr/bin, /etc dan /home dimesin mana saja
dilakukan operasi NFS tersebut. Jika bisa mengakses webserver maka bisa
juga mengeksploitasi kelemahan Common Gateway Internet (CGI) untuk
mengakses file /etc/hosts.allow.
Setelah melihat mesin mana yang dianggap paling aman / paling bisa
dipercaya di jaringan intranet yang ingin kita serang. Langkah
selanjutnya adalah mengidentifikasi kelemahan mesin-mesin tersebut. Ada
beberapa program yang umumnya bersifat public domain & bisa secara
mudah + gratisan di ambil di internet yang bisa digunakan untuk
melakukan operasi tersebut, beberapa diantara program di Linux untuk
keperluan tersebut adalah ADMhack, mscan, nmap & banyak scanner
kecil. Biasanya agar administrator mesin tidak mengetahui bahwa kita
melakukan scanning tersebut maka program ini di sembunyikan di balik
program ‘ps’ atau ‘netstat’. Jika router di institusi / lembaga lawan
tersebut ternyata mengaktifkan kemampuan agar bisa dimanage jarak jauh
menggunakan protokol SNMP maka cracker yang lebih canggih bisa
mengaktifkan teknik scanning SNMP yang bisa menguasai router tersebut.
Beberapa hal yang biasanya di cek pada saat melakukan scanning pada sebuah alat di jaringan komputer antara lain adalah:
• Scan port TCP dari sebuah mesin.
• Melihat servis RPC yang dijalankan menggunakan portmapper.
• Melihat daftar export melalui nfsd.
• Melihat daftar directory yang di share melalui samba / netbios.
• Melakukan banyak finger untuk mengidentifikasi account default.
• Scan kelemahan Common Gateway Interface (CGI).
• Identifikasi kelemagan berbagai software server yang dijaankan di
mesin seperti, sendmail, IMAP, POP3, RPC status & RPC mountd.
Setelah mengetahui kelemahan sistem, cracker tinggal mengambil alih
sistem sistem dengan menjalankan program dari jauh untuk mengeksploit
kelemahan software daemon server untuk memperoleh akses administrator /
root dari mesin anda. Setelah cracker berhasil memperoleh akses ke
peralatan yang lemah tadi maka cracker umumnya melakukan operasi
pembersihan ‘clean up’ terhadap file log agar tidak terlihat oleh si
administrator mesin tentang apa yang dilakukan oleh si cracker. Kemudian
cracker akan memasang software / program yang diperlukan untuk membuat
‘backdoor’ agar dikemudian hari dapat mengakses sistem tersebut.
Memasang .rhosts file di /usr/bin agar dikemudian hari dapat menjalankan
program di mesin yang sudah dikuasai menggunakan perintah rsh & csh
dari jauh saja.
Pada titik ini sebetulnya mesin sudah dikuasai tinggal dimanfaatkan
saja. Ada banyak hal yang bisa dilakukan oleh cracker dalam memanfaatkan
mesin yang sudah dia kuasai, antara lain:
• Menjadikan jembatan antara Internet dengan intranet network.
• Menginstalasi sniffer untuk melihat traffic yang sedang berjalan di
LAN Corporate network di situ bisa dilihat berbagai password, nomor
kartu kredit kalau tidak dilindungi. Program cpm di
http://www.cert.org/ftp/tools/cpm mungkin bisa membantu memperbaiki interface yang dipasangi sniffer ini.
• Yang paling sial kalau cracker menjalankan perintah ‘rm –rf /&’
karena mesin akan hancur lebur. Anda akan membutuhkan waktu beberapa jam
s/d beberapa bulan untuk memperbaikinya kalau anda tidak pernah
memback-up setting anda. Hal ini akan sangat berbahaya jika dijalankan
di mesin-mesin yang menjalankan operasi ‘mission critical’ misalnya
server di perbankan dll.