Web Hacking
Apa itu Web Hacking?
Web hacking…, bukan hal baru lagi bagi jawara internet (
hacker ) baik aliran putih maupun aliran hitam ( cracker ). Apakah yang
dimaksud dengan web hacking? Untuk mendapatkan definisi kedua kata tersebut (
web dan hacking ) juga sebenarnya lumayan pusing. Secara semantik, web
didefinisikan menjadi Data yang direpresentasikan di world wide web ( Tim
Berners-Lee, James Hendler, Ora Lassila. Scientific American,May 2001). Adapun
hacking didefinisikan menjadi Tindakan di luar otoritas atau tindakan
mematahkan/membobol mekanisme keamanan sebuah sistem informasi atau sistem
jaringan
(Http://www.tsl.state.tx.us/ld/pubs/compsecurity/glossary.html). Jadi,
singkatnya web hacking dapat diartikan Tindakan menerobos mekanisme keamanan dari
suatu sistem yang direpresentasikan dalam world wide web.
Siapa yang
Melakukan Web Hacking?
Menerobos mekanisme keamanan suatu jaringan, bukanlah
tindakan yang gampang untuk dilakukan. Jadi, siapakah pelaku web hacking
tersebut? Seiring perkembangan internet yang benar-benar pesat dan diiringi
perkembangan security dan underground, membuat siapa saja dapat menjadi pelaku.
Tidak ada keharusan bahwa pelaku web hacking adalah orang yang pintar komputer
dan internet, atau lain sebagainya.
PENGELOMPOKAN HACKER
Black Hat Hacker
Black Hat Hacker
adalah jenis hacker yang menggunakan kemampuan mereka untuk melakukan hal-hal
yang dianggap melanggar hukum dan merusak. Ini adalah type hacker yang selalu
digambarkan dan mendapatkan berita dari media massa akibat ulah mereka.
Kelompok ini juga sering disebut sebagai cracker.
White Hat Hacker
White Hat Hacker
adalah jenis hacker yang menggunakan kemampuan mereka untuk menghadapi Black
Hat Hacker. Umumnya mereka adalah profesional-profesional yang bekerja pada
perusahan keamanan dan umumnya juga disebut sebagai security analys, security
consultant, dan istilah lainnya.
Grey Hat Hacker
Grey Hat Hacker
adalah jenis hacker yang bergerak di wilayah abu-abu, terkadang mereka adalah
White Hat Hacker namun mereka bisa berubah menjadi Black Hat Hacker.
Suicide Hacker
Hacker jenis ini
hanya mempunyai tujuan membuat kekacauan yang sebesar-besarnya tanpa rasa takut
dengan ancaman penjara 100 tahun sekalipun. Suicide hacker bisa disetarakan
dengan tindakan bom bunuh diri yang marak di jaman modern ini atau berbagai
tindakan terror dari teroris.
Mengapa Melakukan Web
Hacking?
Jika semua bisa menjadi pelaku web hacking, tentu Ada
alasan jika sampai melakukannya dan pertanyaan adalah Mengapa? Jika
pertanyaannya adalah Mengapa, biasanya jawabannya adalah Karena. Ada banyak
alasan orang melakukan web hacking, diantaranya adalah:
·
Wanna Be A
Hacker ( ingin menjadi seorang hacker ).
·
Mendapatkan
popularitas.
·
Ingin
mendapat pujian.
Kapan dan Dimana?
Internet merebak harum di Indonesia, bisa dikatakan mulai
pada hitungan tahun 90-an. Internet yang sebelumnya merupakan sebagai hal yang
mustahil untuk dirasakan oleh rakyat kelas bawah, semakin terjangkau dengan
laris manisnya bermunculan warnet (warung internet). Ada ujaran yang mengatakan
Kejahatan ada karena ada kesempatan. Ujaran tersebut mungkin belum dapat
ditujukan kepada pelaku web hacking. Dengan banyaknya kehadiran warnet bahkan
ada yang buka 24 jam, membuat web hacking dapat dilakukan kapan saja dan dimana
saja, tanpa harus menunggu waktu.
Bagaimana Web Hacking
Dilakukan?
Bagaimana seseorang melakukan web hacking? Internet sudah
hampir menjangkau segala sisi kehidupan yang ada di dunia ini. Informasi
mengenai web hacking dapat anda temukan dengan berselancar ke Google. Google,
search engine yang terkenal menjawab pertanyaan Bagaimana. Dengan memasukkan
kata (keyword) pada baris isian pencarian maka anda akan dibawa ke
tempat-tempat yang berhubungan dengan web hacking. Anda tinggal memilih dan
menyaringnya.
TAHAPAN AKTIVITAS HACKING
1.
Reconnaissance
Reconnaissance adalah tahap mengumpulkan data, di mana Hacker akan mengumpulkan data sebanyak-banyaknya mengenai target. Seperti tanggal lahir, nomor plat kendaraan, jenis komputer, nama anak, hobi, bahkan sampai rahasia dari target.
Reconnaissance masih dibagi menjadi 2, yaitu :
Reconnaissance adalah tahap mengumpulkan data, di mana Hacker akan mengumpulkan data sebanyak-banyaknya mengenai target. Seperti tanggal lahir, nomor plat kendaraan, jenis komputer, nama anak, hobi, bahkan sampai rahasia dari target.
Reconnaissance masih dibagi menjadi 2, yaitu :
·
Passive Reconnaissance : proses pengumpulan
informasi target tanpa melibatkan interaksi secara langsung dengan target.
·
Active Reconnaissance : kebalikan dari
passive, proses ini dilakukan dengan melibatkan interaksi secara langsung
dengan target. Active Reconnaissance merupakan langkah yang lebih berbahaya
dibandingkan dengan Passive Reconnaissance.
2.
Scanning
Scanning merupakan tanda dari dimulainya
sebuah serangan Hacker (pre-attack). Melalui Scanning ini, Hacker akan mencari
berbagai kemungkinan yang bisa digunakan untuk mengambil alih komputer korban.
Melalui informasi yang didapatkan pada tahapan Scanning, Hacker bisa mencari
"jalan masuk" untuk menguasai komputer korban.
3.
Gaining Access
Tahap ini merupakan tahap penerobosan
(penetration) setelah Hacker berhasil mengetahui kelemahan yang ada pada
komputer / system korban melalui tahapan Scanning.
4.
Maintaining Acces
Setelah mendapatkan akses ke
komputer korban, Hacker biasanya ingin tetap menguasai komputer tersebut. Untuk
itu, Hacker akan menanamkan backdoor, rootkit, trojan, dll. Untuk
mempertahankan kekuasaannya.
5.
Covering Tracks
Tahap ini merupakan tahap terakhir,
Hacker akan menutup jejak mereka dengan cara menghapus log file serta menutup
semua jejak yang mungkin ditinggalkan. Seperti kata-kata ini "Erase every
trace. Come anonymous and leave nothing behind." diambil dari film Bangkok
Dangerous.
Jenis serangan yang mungkin
terjadi pada web anda :
1.
Pembajakan
Password FTP
Di pertengahan 2009, maraknya satu
bentuk pembajakan password FTP yang disebut juga serangan “gumblar” atau
“martuz” , mempatenkan model pencurian ini menjadi salah satu cara yang paling
sering digunakan untuk melakukan hacking. Cara kerja gumblar atau martuz adalah
memodifikasi hasil pencarian Google sehingga setiap klik pada link yang tampil
di hasil pencarian akan diredirectkan ke situs penyedia badware.
Serangan ini mengambil keuntungan dari
sebuah fakta bahwa ada banyak PC yang miskin perlindungan di dunia. Dan
personal komputer tersebut nahasnya adalah milik webmaster yang informasi login
websitenya disimpan di personal komputer mereka. Karena itulah, lengkapi
personal komputer anda dengan perlindungan antivirus yang memadai untuk
pencegahan infeksi gumblar atau martuz di situs anda. Dan jangan sekali-kali
membookmark informasi login anda.
2.
Serangan
Remote File Inclusion (RFI)
Sebelum kemunculan gumblar atau
martuz, serangan RFI adalah satu bentuk ancaman terbesar. Prinsip kerja
serangan RFI adalah menipu sebuah website yang telah berjalan untuk mengcopy
kode dari website eksternal. Kode yang dicopy menyusup ke dalam script yang
dieksekusi, dan menjadi bagian di dalamnya. Sehingga, setiap script tersebut
dieksekusi kembali, sebaris kode tersebut juga ikut dieksekusi. Sebaris kode
tersebut fungsinya adalah untuk mendownload badware ke komputer pengakses.
Adapun indikasi serangan RFI adalah di akses log website anda akan tampil
koding seperti ini:
3.
Serangan
Local File Inclusion (LFI)
Serangan LFI hampir sama seperti RFI,
bedanya mereka mencoba untuk menipu sebuah halaman web agar menampilkan konten
dari file sistem server yang penting, yang seharusnya restricted dan tidak
boleh diakses. Cara menanggulangi serangan LFI adalah dengan melatih kemampuan
koding kita dan memperdalam pengetahuan tentang pembatasan .htaccess
4.
Serangan
Injeksi SQL
Pada dasarnya serangan ini sama dengan
RFI dan LFI, bedanya obyek yang diserang adalah halaman web yang menggunakan
Structured Query Language (SQL) untuk melakukan query dan memanipulasi
database, semisal MySQL. Cara kerjanya adalah dengan menanamkan komando SQL di
sebaris koding untuk menipu sistem agar membocorkan informasi rahasia.
5.
Password
Attack
Di samping gumblar, ada cara lain bagi
penyerang untuk mencuri password situs anda. Yaitu dengan berulang-ulang
mencoba untuk login dengan kombinasi user ID dan password yang berbeda,
berharap untuk menebak manakah yang benar.
Dalam
system security komputer, istilah Vulnerability merupakan suatu kelemahan yang
memungkinkan seseorang untuk masuk dan mendapatkan hak akses kedalam komputer
yang dituju(target). Biasanya vulnerability adalah kelemahan yang dikarenakan
kesalahan setting ataupun ataupun ketidaktahuan administrator.
Threat
adalah sebuah potensi serangan terhadap kemanan yang ada ketika terdapat suatu
keadaan yang memungkinkan, aksi, atau kejadian yang dapat menembus keamanan dan
dapat menyebabkan kerusakan. Sebuah threat adalah kemungkinan bahaya yang
timbul karena adanya kelemahan pada sistem.
Attack
adalah sebuah penyerangan pada sistem kemanan yang berasal dari suatu tindakan
yang disengaja untuk menyingkirkan security service dan melanggar aturan
keamanan pada sistem.
Exploit
adalah sebuah kode yang menyerang keamanan_komputer secara spesifik. Exploit
banyak digunakan untuk penentrasi baik secara legal ataupun ilegal untuk
mencari kelemahan (Vulnerability) pada komputer tujuan. Bisa juga dikatakan
sebuah perangkat lunak yang menyerang kerapuhan keamanan (security
vulnerability) yang spesifik namun tidak selalu bertujuan untuk melancarkan
aksi yang tidak diinginkan. Banyak peneliti keamanan komputer menggunakan
exploit untuk mendemonstrasikan bahwa suatu sistem memiliki kerapuhan.
Memang
ada badan peneliti yang bekerja sama dengan produsen perangkat lunak. Peneliti
itu bertugas mencari kerapuhan dari sebuah perangkat lunak dan kalau mereka
menemukannya, mereka melaporkan hasil temuan ke produsen agar produsen dapat
mengambil tindakan. Meskipun demikian, exploit kadang menjadi bagian dari suatu
malware yang bertugas menyerang kerapuhan keamanan.
Keamanan terdiri dari
tiga elemen yang disingkat sebagai CIA(confidentiality,integrity, dan
aviability).Serangan komputer adalah serangan terhadap salah satu elemen ini.
Anda tidak suka
jika seseorang mengutak-atik e-mail / rekening anda, atau hal-hal yang bersifat
pribadi dapat dilihat semua orang. Elemen ini disebut elemen Confidentiality
atau kerahasiaan.
Ketika anda
mengirim email, tentu akan jadi masalah ketika ternyata isinya diubah
seseorang, dari memuji karyawan menjadi memecat karyawan contohnya. Elemen ini
disebut elemen Integrity atau integritas.
Suatu data, tidak
boleh dirubah orang yang tidak berhak. Baik, anda khawatir dengan keamanan
email anda dan mematikan komputer anda. Apa yang terjadi? anda tidak dapat
dihubungi . Elemen ini biasanya dsebut elemen Aviability
(tersedia/ketersediaan) yang sangat penting.
Suatu sistem yang
diimpikan semua orang pasti sistem yang keamanannya tinggi,mudah digunakan
dengan fungsionalitas yang tinggi juga. Sayangnya, anda tidak mungkin mendapat
suatu sistem dengan ketiga hal diatas, karena ketiga hal itu dihubungkan dalam
bentuk segitiga. Anda dapat melihat hubungan ketiganya dari gambar dibawah ini
Menentukan letak
sistem bukan persoalan mudah, dan sangat tergantung situasi dan kondisi yang
ada. Yang harus anda lakukan adalah menentukan keseimbangan antara keamanan,
kemudahan dan fungsi. Komputer anda dijamin aman 100% jika anda mematikan
komputer tapi tindakan anda membuat anda tidak dapat menggunakan komputer
sebagaimana mestinya.
Tentu bukan ide
bagus. Anda bisa saja menaruh komputer di setiap ruangan, tanpa password,
setiap orang bisa langsung memakainya. Nyaman dan mudah tetapi bisa menjadi
tidak aman ketika salah satu komputer disalah gunakan.
Melihat gambaran
diatas, bisa disimpulkan bahwa posisi terbaik suatu sistem tidak dapat
ditentukan dan tergantung setiap kebutuhan yang berbeda-beda. Untuk sistem
perbankan, anda perlu menaruh sistem mendekati security, dan untuk rumahan bisa
mendekati posisi Easy to use (Kemudahan Penggunaan).
.bmp)
.bmp)
.bmp)
.bmp)
