Teknik Mengcrack
Dalam
tulisan ini saya coba ketengahkan beberapa teknik yang umumnya digunakan
teman-teman untuk melakukan crack ke sistem komputer. Referensi-nya bisa dibaca
di
- http://www.rootshell.com
- http://www.antionline.com/archives/documents/advanced/
- http://www.rootshell.com/beta/documentation.html
- http://seclab.cs.ucdavis.edu/papers.html
- http://rhino9.ml.org/textware/
Salah satu referensi menarik lainnya adalah artikel dari
Front-line Information Security Team, "Techniques Adopted By 'System
Crackers' When Attempting To Break Into Corporate or Sensitive Private
Networks," fist@ns2.co.uk & http://www.ns2.co.uk
Lembaga apa saja sebetulnya yang biasanya rentan terhadap
serangan cracker ini? Ada cukup banyak sebetulnya mulai dari:
- institusi finansial & bank
- Internet service provider (ISP)
- Perusahaan farmasi
- Lembaga pemerintah & pertahanan
- Perusahaan multinasional
Para
cracker ini profile-nya seperti apa? Jika kita perhatikan baik-baik maka
umumnya mereka adalah pria berusia antara 16-25 tahun. Mereka umumnya melakukan
cracking untuk meningkatkan kemampuan cracking mereka atau untuk menggunakan
resource yang ada di jaringan untuk keperluan pribadinya. Umumnya mereka ada
opportunis yang secara untung-untung menscan sistem untuk melihat lubang dari
sistem. Umumnya setelah berhasil memasuki sistem yang dimaksud kemudian
mengambil akses administrator (root) dari sistem tersebut; kemudian membuat
akses backdoor agar dikemudian hari dapat memasuki sistem tersebut lagi sambil
menutup berbagai lubang security yang ada supaya cracker lain tidak bisa
memanfaatkan sistem yang dia kuasai ini.
Sebelum
memasuki berbagai teknik yang dipakai oleh para cracker untuk menguasai sistem
ada baiknya kita melihat secara sepintas saja metoda apa saja yang digunakan
oleh berbagai perusahaan ini untuk menyambungkan ke Internet. Secara sederhana
umumnya berbagai perusahaan / instansi menyambung ke Internet menggunakan
teknik-teknik firewall dan proxy server untuk akses bagi anggota / karyawan /
siswanya agar bisa akses bersama melalui satu saluran komunikasi. Adapun
hubungan ke Internet umumnya digunakan untuk hosting webserver, servis e-mail
agar bisa berhubungan dengan dunia luar dan memberikan akses ke Internet bagi
perusahaan / anggota / siswa.
Dalam
setup jaringan komputer yang demikian umumnya webserver bukanlah tempat yang
cukup menarik untuk di serang jika kita menginginkan akses ke informasi yang
ada dalam corporate network. Kalaupun seorang cracker menyerang webserver
umumnya digunakan untuk mengubah file yang ada untuk menjatuhkan citra
perusahaan / lembaga. Bagi cracker yang berkeinginan untuk memasuki intranet
corporate maka serangan akan dilakukan ke server e-mail karena biasanya server
e-mail yang mempunyai saluran secara langsung ke dalam intranet untuk bertukar
e-mail antara dunia intranet dan dunia internet. Bagi cracker yang cukup
canggih maka serangan akan dilakukan pada router menggunakan scanner secara
agresif terhadap protokol managemen SNMP yang akhirnya bisa mengubah router
yang ada menjadi jembatan mereka memasuki intranet dari internet.
Setelah
mengetahui berbagai modus yang ada di atas mari kita bahas sedikit lebih detail
tentang cara mereka menyerang. Teknik pertama yang perlu dilakukan oleh para
cracker ini adalah teknik ‘cloak’ yang pada dasarnya menyembunyikan diri pada
saar menyerang agar administrator jaringan di ujung sebelah sana tidak
menyadari bahwa mesin-nya sedang di serang. Teknik ‘cloak’ yang biasanya
digunakan oleh para cracker ini adalah:
- Melakukan bouncing (melompat) dari mesin yang sebelumnya telah di serang melalui program telnet atau remote shell rsh.
- Melakukan bouncing (melompat) dari mesin yang menjalankan windows melalui software wingate mereka.
- Melakukan bouncing (melompat) dari server proxy yang salah di konfigurasinya.
Seorang
cracker pada saat menyerang harus mengumpulkan banyak informasi tentang
jaringan yang akan dia serang. Beberapa teknik yang umumnya digunakan untuk
mengumpulkan informasi tersebut biasanya dijalankan di perangkat Unix (bukan windows)
yang antara lain adalah:
- Menggunakan perangkat lunak nslookup dalm memberikan perintah ‘ls <domain atau network>.
- Melihat file HTML di server Web anda untuk mengidentifikasi host lain di intranet anda.
- Melihat berbagai dokumen yang ada di server file (FTP) anda.
- Melakukan hubungan ke server mail anda menggunakan perintah ‘telnet host 25’ dan memberikan perintah ‘expn <user>’.
- Mem-‘finger’ pengguna yang memiliki account di mesin yang terbuka di internet.
Selanjutnya
adalah mengidentifikasi komponen jaringan apa saja yang di set sebagai komponen
yang paling di percaya di jaringan intranet perusahaan tersebut. Biasanya mesin
yang digunakan administrator atau server biasanya dipercaya sebagai mesin
paling aman di jaringan. Untuk melihat
mesin mana yang di anggap paling aman di jaringan biasanya para cracker ini
start dengan melihat men-cek daftar export dari Network File System (NFS) ke
directory /usr/bin, /etc dan /home dimesin mana saja dilakukan operasi NFS
tersebut. Jika bisa mengakses webserver maka bisa juga mengeksploitasi
kelemahan Common Gateway Internet (CGI) untuk mengakses file /etc/hosts.allow.
Setelah
melihat mesin mana yang dianggap paling aman / paling bisa dipercaya di
jaringan intranet yang ingin kita serang. Langkah selanjutnya adalah
mengidentifikasi kelemahan mesin-mesin tersebut. Ada beberapa program yang
umumnya bersifat public domain & bisa secara mudah + gratisan di ambil di
internet yang bisa digunakan untuk melakukan operasi tersebut, beberapa
diantara program di Linux untuk keperluan tersebut adalah ADMhack, mscan, nmap
& banyak scanner kecil. Biasanya agar administrator mesin tidak mengetahui
bahwa kita melakukan scanning tersebut maka program ini di sembunyikan di balik
program ‘ps’ atau ‘netstat’. Jika router di institusi / lembaga lawan tersebut
ternyata mengaktifkan kemampuan agar bisa dimanage jarak jauh menggunakan
protokol SNMP maka cracker yang lebih canggih bisa mengaktifkan teknik scanning
SNMP yang bisa menguasai router tersebut.
Beberapa
hal yang biasanya di cek pada saat melakukan scanning pada sebuah alat di
jaringan komputer antara lain adalah:
- Scan port TCP dari sebuah mesin.
- Melihat servis RPC yang dijalankan menggunakan portmapper.
- Melihat daftar export melalui nfsd.
- Melihat daftar directory yang di share melalui samba / netbios.
- Melakukan banyak finger untuk mengidentifikasi account default.
- Scan kelemahan Common Gateway Interface (CGI).
- Identifikasi kelemagan berbagai software server yang dijaankan di mesin seperti, sendmail, IMAP, POP3, RPC status & RPC mountd.
Setelah
mengetahui kelemahan sistem, cracker tinggal mengambil alih sistem sistem
dengan menjalankan program dari jauh untuk mengeksploit kelemahan software
daemon server untuk memperoleh akses administrator / root dari mesin anda.
Setelah cracker berhasil memperoleh akses ke peralatan yang lemah tadi maka
cracker umumnya melakukan operasi pembersihan ‘clean up’ terhadap file log agar
tidak terlihat oleh si administrator mesin tentang apa yang dilakukan oleh si
cracker. Kemudian cracker akan memasang software / program yang diperlukan
untuk membuat ‘backdoor’ agar dikemudian hari dapat mengakses sistem tersebut.
Memasang .rhosts file di /usr/bin agar dikemudian hari dapat menjalankan
program di mesin yang sudah dikuasai menggunakan perintah rsh & csh dari
jauh saja.
Pada
titik ini sebetulnya mesin sudah dikuasai tinggal dimanfaatkan saja. Ada banyak
hal yang bisa dilakukan oleh cracker dalam memanfaatkan mesin yang sudah dia
kuasai, antara lain:
- Menjadikan jembatan antara Internet dengan intranet network.
- Menginstalasi sniffer untuk melihat traffic yang sedang berjalan di LAN Corporate network di situ bisa dilihat berbagai password, nomor kartu kredit kalau tidak dilindungi. Program cpm di http://www.cert.org/ftp/tools/cpm mungkin bisa membantu memperbaiki interface yang dipasangi sniffer ini.
- Yang paling sial kalau cracker menjalankan perintah ‘rm –rf /&’ karena mesin akan hancur lebur. Anda akan membutuhkan waktu beberapa jam s/d beberapa bulan untuk memperbaikinya kalau anda tidak pernah memback-up setting anda. Hal ini akan sangat berbahaya jika dijalankan di mesin-mesin yang menjalankan operasi ‘mission critical’ misalnya server di perbankan dll
by : Onno
W. Purbo
0 komentar:
Posting Komentar