ANATOMY HACKING
Anatomi Suatu Serangan Hacking
1. Footprinting
Hacker mencari-cari sistem mana yang dapat disusupi. Footprintingmerupakan kegiatan pencarian data berupa:
· Menentukan ruang lingkup (scope) aktivitas atau serangan
· Network enumeratio
· Interogasi DNS
· Mengintai jaringan
Semua kegiatan ini dapat dilakukan dengan tools dan informasi yang tersedia bebas di Internet. Kegiatan footprinting ini diibaratkan mencari informasi yang tersedia umum melalui buku telepon. Tools yang tersedia untuk ini di antaranya:
a. Teleport Pro. Dalam menentukan ruang lingkup, hacker dapat men-download keseluruhan situs-situs web yang potensial dijadikan sasaran untuk dipelajari alamat, nomor telepon, contact person, dan lain sebagainya.
b. Whois for 95/9/NT. Mencari informasi mengenai pendaftaran domain yang digunakan suatu organisasi. Di sini ada bahaya laten pencurian domain (domain hijack).
c. NSLookup. Mencari hubungan antara domain name dengan IP address.
d. Traceroute 0.2. Memetakan topologi jaringan, baik yang menuju sasaran maupun konfigurasi internet jaringan sasaran.
2. Scanning
Menggunakan sebuah program yang secara otomatis akan mendeteksi kelemahan sistem keamanan sebuah jaringan komputer, misal port – port yang sedang aktif yang dapat dijadikan sebagai pintu masuk bagi hacker untuk melakukan aksinya. Kegiatan Scanning ini lebih bersifat aktif terhadap sistem-sistem sasaran. Di sini diibaratkan hacker sudah mulai mengetuk-ngetuk dinding sistem sasaran untuk mencari apakah ada kelemahannya.Scanning tool yang paling legendaris adalah nmap (yang kini sudah tersedia pula untuk Windows 9x/ME maupun DOS), selain SuperScan dan UltraScan yang juga banyak digunakan pada sistem Windows. Untuk melindungi diri dari kegiatan scanning adalah memasang firewall seperti misalnya Zone Alarm, atau bila pada keseluruhan network, dengan menggunakan IDS (Intrusion Detection System) seperti misalnya Snort.
Dasar Scanning PortMeskipun selama ini Nmap telah mengalami perkembangan fungsionalitas, namun ia bermula sebagai sebuah scanner port yang efisien, dan hal itu tetap menjadi fungsi utamanya. Perintah sederhana nmap <target>akan memeriksa lebih dari 1660 port TCP pada host <target>. Ketika banyak scanner port secara tradisional membagi seluruh port ke dalam status terbuka (open) atau tertutup (closed), Nmap lebih granular. Ia membagi port menjadi enam status : open, closed, filtered, unfiltered, open|filtered, or closed|filtered.Status ini bukan merupakan properti intrinsik dari port itu sendiri, namun menggambarkan bagaimana Nmap memandang mereka. Sebagai contoh, scan Nmap dari jaringan yang sama dengan target mungkin menampilkan port 135/tcp sebagai terbuka, sementara scan yang sama pada waktu dan opsi yang sama dari Internet mungkin menunjukkan bahwa port tersebut filtered.Enam status port yang dikenali Nmap a. openSebuah aplikasi secara aktif menerima koneksi paket TCP atau UDP pada port ini. Menemukan port terbuka ini seringkali merupakan tujuan utama scanning port. Orang dengan pikiran keamanan (security-minded) tahu bahwa setiap port terbuka merupakan celah untuk serangan. Penyerang dan pen-testers ingin mengeksploitasi port terbuka, namun administrator berusaha menutup atau melindungi mereka dengan firewall tanpa mengganggu user yang berhak. Port terbuka juga menarik bagi scan bukan keamanan karena mereka memberitahu layanan yang dapat digunakan pada jaringan. b. closedPort tertutup dapat diakses (ia menerima dan menanggapi paket probe Nmap), namun tidak ada aplikasi yang mendengarkan padanya. Mereka bermanfaat dengan menunjukkan bahwa host up pada alamat IP tersebut (host discovery, atau ping scanning), dan sebagai bagian deteksi SO. Oleh karena port tertutup dapat dijangkau, bermanfaat untuk mencoba scan di waktu yang lain jikalau port tersebut terbuka. Administrator mungkin perlu mempertimbangkan untuk memblok port tersebut dengan firewall. Lalu mereka akan muncul dalam status filtered, yang akan didiskusikan. c. filteredNmap tidak dapat menentukan apakah port terbuka karena packet filtering mencegah probenya mencapai port. Filter ini dapat dilakukan oleh device firewall, aturan pada router, atau software firewall pada host. Port ini membuat penyerang frustrasi karena mereka memberikan sedikit informasi.
Terkadang mereka menanggapi dengan pesan kesalahan ICMP misalnya tipe 3 kode 13 (tujuan tidak dapat dicapai: komunikasi dilarang secara administratif), namun yang lebih umum adalah filter yang hanya men-drop probe tanpa memberi tanggapan. Hal ini memaksa Nmap berusaha beberapa kali untuk memastikan probe tidak di-drop akibat jaringan yang padat. Hal ini sangat memperlambat proses scan. d. unfilteredStatus unfiltered berarti bahwa port dapat diakses, namun Nmap tidak dapat menentukan apakah ia open atau closed. Hanya scan ACK, yang digunakan untuk mengetahui aturan firewall, menggolongkan port ke dalam status ini. Pemeriksaan port unfiltered dengan tipe pemeriksaan lain seperti Window scan, SYN scan, atau FIN scan, dapat membantu mengetahui apakah port terbuka. e. open|filteredNmap menganggap port dalam status ini bila ia tidak dapat menentukan apakah port open atau filtered. Hal ini terjadi untuk jenis pemeriksaan ketika port terbuka tidak memberi respon. Tidak adanya tanggapan dapat pula berarti bahwa packet filter men-drop probe atau respon yang diberikan. Sehingga Nmap tidak dapat mengetahui dengan tepat apakah port terbuka atau difilter. Scan UDP, IP protocol, FIN, NULL, dan Xmas mengklasifikasikan port dengan cara ini. f. closed|filteredStatus ini digunakan ketika Nmap tidak dapat menentukan apakah port tertutup atau di-filter. Ia hanya digunakan pada scan idle ID IP.
3.Gaining Access
Gaining Access adalah tahap masuk ke dalam sistem. Ada dua kemungkinan akibat stage sebelumnya. Jika beribu enumerasi gagal sang hacker bisa langsung skip ke stage terakhir: Denial of Service dengan memenuhi service target dengan segelumit (halah) sebanyak-banyak request, sehingga server menjadi sibuk melayani request tersebut. Kalau terlalu sibuk bisa bikin service crash sampai yang paling parah si target bisa restart atau down. Tetapi kalau ternyata di stage sebelumnya salah satu enumerasi berhasil.
Gaining access bisa dengan mencari credentials login atau misalnya menginjeksi shellcode pada program/service yang vulnerable sehingga target bisa mengeksekusi binary yang kita inginkan pada systemnya (biasanya sih, prefer kalo target mengeksekusi /bin/sh atau /bin/bash untuk kita sehingga kita bisa dapat shell).Tetapi untuk contoh kali ini, berhubung di stage sebelumnya kita sudah mendapatkan credentials login (user dan password), mari kita masuk ke webdav menggunakan webdav client bernama Cadaver. Ternyata kita bisa ngapain aja di folder webdav ini.
4. BruteForce
Brute Force adalah salah satu cara yang digunakan cracker untuk menebak kata kunci (password) tertentu. Prosesnya dilakukan dengan cara menebak secara urutan sebuah kombinasi password mulai dari kombinasi angka 0 sampai , A sampai Z, dan seterusnya pada setiap digit kata kunci.Masalah yang ditimbulkan: Sebuah kata kunci yang berhasil ditebak dengan teknik Brute Force mengakibatkan akses ilegal terhadap sebuah akun. Jika yang berhasil ditebak adalan akun administrator (petinggi dalam sebuah sistem), maka bukan tidak mungkin sistem tersebut akan berpindah tangan (take over).Brute Force adalah teknik menembus sistem yang paling populer dan bsia digunakan di hampir semua sistem yang menggunakan sistem otentikasi berbasis kata kunci.Pencegahan/Penetralisir:
1. Buat kata kunci yang tidak mudah ditebak. Misalnya gabungan antara angka, huruf dan kombinasi karakter khusus seperti “&^%$#@*”.
2. Buat kata kunci dengan jumlah karakter tidak kurang dari 8. Makin panjang jumlah karakter yang digunakan, makin sulit dan butuh waktu untuk Brute Force bisa menebak sebuah kombinasi.
5. Escalating Privilege
Escalating Privilege mengasumsikan bahwa penyerang sudah mendapatkan logon access pada sistem sebagai user biasa. Penyerang kini berusaha menjadi admin (pada sistem Windows) atau menjadi root (pada sistem Unix/Linux). Teknik yang digunakan sudah tidak lagi dictionary attack ataubrute-force attack yang memakan waktu itu, melainkan mencuri password fileyang tersimpan dalam sistem dan memanfaatkan kelemahan sistem. Pada sistem Windows 9x/ME password disimpan dalam file .PWL sedangkan pada Windows NT/2000 dalam file.SAM. Bahaya pada tahap ini bukan hanya dari penyerang di luar sistem, melainkan lebih besar lagi bahayanya adalah orang dalam yaitu userabsah dalam jaringan itu sendiri yang berusaha menjadi admin atau root. Penyerang sudah berada dan menguasai suatu sistem dan kini berusaha untuk mencari informasi lanjutan (pilfering), menutupi jejak penyusupannya (covering tracks), dan menyiapkan pintu belakang (creating backdoor) agar lain kali dapat dengan mudah masuk lagi ke dalam sistem.
Escalating Privilege mengasumsikan bahwa penyerang sudah mendapatkan logon access pada sistem sebagai user biasa. Penyerang kini berusaha menjadi admin (pada sistem Windows) atau menjadi root (pada sistem Unix/Linux). Teknik yang digunakan sudah tidak lagi dictionary attack ataubrute-force attack yang memakan waktu itu, melainkan mencuri password fileyang tersimpan dalam sistem dan memanfaatkan kelemahan sistem. Pada sistem Windows 9x/ME password disimpan dalam file .PWL sedangkan pada Windows NT/2000 dalam file.SAM. Bahaya pada tahap ini bukan hanya dari penyerang di luar sistem, melainkan lebih besar lagi bahayanya adalah orang dalam yaitu userabsah dalam jaringan itu sendiri yang berusaha menjadi admin atau root. Penyerang sudah berada dan menguasai suatu sistem dan kini berusaha untuk mencari informasi lanjutan (pilfering), menutupi jejak penyusupannya (covering tracks), dan menyiapkan pintu belakang (creating backdoor) agar lain kali dapat dengan mudah masuk lagi ke dalam sistem.
6. Covering Tracks
Menghapus jejak terhadap aktivitas yang telah dilakukan, menghapus network log, history dan log-log yang lainnya. Tools yang dipakai antara lain: Dump Event Log, elsave.exe, WinZapper, Evidence Eliminator.
7. Creating Back Doors
Menghapus jejak terhadap aktivitas yang telah dilakukan, menghapus network log, history dan log-log yang lainnya. Tools yang dipakai antara lain: Dump Event Log, elsave.exe, WinZapper, Evidence Eliminator.
7. Creating Back Doors
Pintu belakang diciptakan pada berbagai bagian dari sistem untuk memudahkan masuk kembali ke sistem ini dengan cara membentuk user account palsu, menjadwalkan batch job, mengubah startup file, menanamkan service pengendali jarak jauh serta monitoring tool, dan menggantikan aplikasi dengan trojan. Bertujuannya agar nanti bisa masuk lagi ke sistem target dengan menanamkan trojan pada system target, membuat user tersembunyi, dan menaruhkan aplikasi pengendali.
8.DoS
Serangan Denial Of Service (DOS) adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
8.DoS
Serangan Denial Of Service (DOS) adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
Serangan-serangan lainnya akhirnya dikembangkan untuk mengeksploitasi kelemahan yang terdapat didalam sistem operasi layanan jaringan atau aplikasi untuk menjadikan sistem, layanan jaringan, atau aplikasi tersebut tidak dapat melayani pengguna, atau bahkan mengalami crash.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut :
1. Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
2. Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.
3. Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.
Penolakan layanan secara terdistribusi atau Distributed Denial of Service (DDOS) adalah salah satu jenis serangan Denial of Service yang menggunakan banyak host penyerang baik itu menggunakan komputer yang di dedikasikan untuk melakukan penyerangan atau komputer yang "dipaksa" menjadizombie untuk menyerang sebuah host target dalam sebuah jaringan. Serangan Denialof Service klasik bersifat "satu lawan satu", sehingga dibutuhkan sebuah host yang kuat baik itu dari kekuatan pemrosesan atau sistem operasi demi membanjiri lalu lintas host target sehingga mencegah klien yang valid untuk mengakses layanan jaringan pada server yang dijadikan target serangan. Serangan DDOS ini menggunakan teknik yang lebih canggih dibandingkan dengan serangan Denial of Service yang klasik, yakni dengan meningkatkan serangan beberapa kali dengan menggunakan beberapa buah komputer sekaligus, sehingga dapat mengakibatkan server atau keseluruhan segmen jaringan dapat menjadi tidak berguna sama sekali bagi klien.
