CERTIFIED ETHICAL

HACKER
Modul 1 - Pengenalan Etika
Hacking

Oleh :
-Fressy Nugroho, MT
-Cyb3rL4bD0s Security Team

LAPORAN INVESTIGASI PENCURIAN

DATA

AKTIVITAS EXPLOITASI KEAMANAN

INTERNET DI INDONESIA

AKSI HACKING PADA HALAMAN ADMIN

WEBSITE FAKULTAS SAINTEK UIN
MALANG

Istilah penting dalam aktivitas hacking

Hack Value
penting

: Nilai berharga bisa berupa uang, suatu hal yang bersifat

seperti reputasi dari target.

Exploit
vulnerability

: Suatu metode atau teknik yang digunakan untuk menguji

sistem.

Vulnerability
dapat memicu

: Kelemahan dalam sistem, organisasi, software, dll. yang

pengungkapan data, terambilnya data, hingga

penghilangan data.

Target of Evaluation : Sistem atau organisasi yang akan diserang oleh hacker

Zero-day Attack
belum pernah

: Exploit yang belum pernah dipublish sebelumnya dan

ada publikasi mengenai cara menanggulanginya.

Daisy Chaining

: Hubungan berantai yang digunakan oleh hacker untuk

menyembunyikan dirinya dalam jaringan internet,

Elemen di dalam keamanan Informasi

Integrity
Bahwa informasi atau pesan dipastikan tidak dirubah atau berubah. Karena
ketika melewati jaringan internet, sebenarnya data telah berjalan sangat jauh
melintasi berbagai negara. Pada saat perjalanan tersebut, berbagai gangguan
dapat terjadi terhadap isinya, baik hilang, rusak, ataupun dimanipulasi oleh
orang yang tidak seharusnya.

Availability
Keamanan atas ketersediaan layanan informasi.

Authenticity
Menyatakan bahwa data atau informasi yang digunakan atau diberikan oleh
pengguna adalah asli milik orang tersebut, begitu juga dengan server dan sistem
informasi yang diakses.

Non-repudiation
Menjaga agar jika sudah melakukan transaksi atau aktifitas online, maka tidak
dapat di tolak bahwa mereka telah mengirim atau menerima sebuah file yang
mengakomodasi perubahan nilai dari data tersebut.

Vektor Serangan dalam sistem Informasi

Motif, Tujuan dan Metode dari kegiatan hacking

Tujuan dari attacker/hacker biasanya didasari untuk
mengganggu aktivitas bisnis yang sedang berjalan,
mencuri data dan informasi, manipulasi data (ex
mengubah nilai siakad), dan untuk balas dendam.
Motif hacker biasanya berasal dari gagasan bahwa
sistem yang diserang menyimpan data atau
melakukan proses yang sangat penting dan bernilai
sehingga sistem informasi tersebut menjadi target
dari para hacker.

Motif, Tujuan dan Objektif dari Kegiatan Hacking

Objektif dari hacker adalah dengan mencoba
berbagai tool, metode,dan teknik serangan untuk
mengexploitasi kelemahan sistem komputer atau
kebijakan keamanan agar tujuan dan motivasi
hacker tersebut tercapai.

Ancaman Sistem Informasi

Ancaman dari Alam
Ex Bencana Alam, Gempa Bumi, Banjir, Badai
Ancaman dari sumber daya fisik
1. Kehilangan atau kerusakan sumber daya komputer
2.Sabotase
3.Pembobolan perangkat fisik (Server, Router, atau FireWall)
. Ancaman dari Manusia
Ex Hacker, orang dalam, sosial engginering, kurangnya
kewaspadan
dari admin dan user sehingga menyebabkan kebocaran
informasi

Ancaman Sistem Informasi dari sisi manusia dapat dibagi:

Ancaman dari Jaringan
1. Information gatherig
2.Sniffing dan evasdroping
3.Spoofing
4.Session hijaking dan man-in-the-midle-attack
5.Sql-Injection
6.ARP Poisoning
7.Password Gathering

Ancaman Sistem Informasi dari sisi manusia dapat dibagi:

Ancaman dari Host
1.Serangan Malware
2.Target Footprinting
3.Serangan untuk mendapatkan password (password gathering)
4.Denial Of Service (service mematikan atau merusak/flooding)
5.Eksekusi kode berbahaya (Shell code injection)
6.Unathorized Akses
7.Privelage Escalation
8.Serangan Backdor

Ancaman Sistem Informasi dari sisi manusia dapat dibagi:

Ancaman dari Aplikasi
1.Validasi data/input
2.Serangan Otentifikasi dan Otorisasi
3.Manajemen konfigurasi
4.Penyingkapan Informasi
5.Masalah dalam management sesi (ex cache dan cookies)
6.Serangan Buffer Overflow yang menyebabkan overload Resource
7.Serangan kriptografi
8.Manipulasi Parameter
9. Kesalahan penanganan masalah dan manajemen pengecualian
10.Masalah dalam logging dan auditing sistem

Hacker vs Ethical Hacker

Hacker
1.Mampu membuat suatu program bagi kepentingan dirinya sendiri
dan bersifat destruktif atau merusak dan menjadikannya suatu
keuntungan. Sebagai contoh : Virus, Pencurian Kartu Kredit, Kode
Warez, Pembobolan Rekening Bank, Pencurian Password Email/Web Server. Serangan Otentifikasi dan Otorisasi, Pencurian
Informasi Pribadi.
2.Bisa berdiri sendiri atau berkelompok dalam bertindak.
3.Mempunyai website, forum atau channel dalam IRC yang
tersembunyi, hanya orang-orang tertentu yang bisa
mengaksesnya.
4.Mempunyai IP address yang tidak bisa dilacak. (terkadang jika
hacker tersebut profesional)
5.Kasus yang paling sering ialah Carding yaitu Pencurian Kartu.

Hacker vs Ethical Hacker

Ethical Hacker
1. Mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs yang
sangat complex. Sebagai contoh : jika seorang hacker mencoba menguji suatu
situs dipastikan isi situs tersebut tak akan berantakan dan mengganggu yang
lain. Biasanya hacker melaporkan kejadian ini untuk diperbaiki menjadi
sempurna. Bahkan seorang hacker akan memberikan masukan dan saran yang
bisa memperbaiki kebobolan system yang ia masuki.
2. Memahami dan memiliki pengetahuan yang lebih di bidang arsitektur jaringan,
sistem operasi dan pemrograman.
3. Hacker mempunyai etika serta kreatif dalam merancang suatu program yang
berguna bagi siapa saja.
4. Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius
atas nama ilmu pengetahuan dan kebaikan.
5. Seorang hacker akan selalu memperdalam ilmunya dan memperbanyak
pemahaman tentang sistem operasi, jaringan dan pemrograman.

Klasifikasi Hacker
1.Script Kiddies : Merupakan hacker pemula yang memiliki sedikit pengetahuan
dan menggunakan tools buatan orang lain, biasanya tidak dapat
mengembangkan serangan dan pertahanan.
2.Black Hats : Tipikal hacker yang berbahaya dan jahat, biasanya dimotivasi oleh
uang, balas dendam, kriminal, teroris, aktivis, dll.
3.White Hats : Merupakan tipikal ethical hacker yang memiliki skill dan
pengetahuan teknik hacking untuk membantu pertahanan terhadap
penyerangan-penyerangan dan membuat sistem lebih secure/aman. Sering kali
disebut dengan Konsultan Sekuriti, Analist, atau Engineer.
4.Grey Hats : Ini merupakan hacker yang tidak ada batasan baik atau jahat,
terkadang melakukan penyerangan, tetapi terkadang menjadi konsultan
keamanan, bisa saja dikarenakan mereka butuh uang, tergantung pekerjaan apa
yang mereka dapat.
5.Cyber Terrorist : TIpikal hacker jahat, biasanya secara organisasi/group,
mereka menyebarkan ancaman-ancaman untuk tujuan tertentu (agama, politik,
nasionalis, atau aktivis)
6.State-sponsored Hackers : Merupakan hacker terlatih yang dibiayai oleh
negara atau pemerintah biasanya bertujuan untuk mata-mata dan perang cyber
(cyber warfare). Mereka adalah hacker yang memilikikemampuan tinggi dan
banyak uang karena disponsori oleh negara.

Klasifikasi Hacker
7. Hacktivist : Merupakan salah satu black hat, mereka menyerang sambil
menyebarkan suatu pesan khusus. Melalui deface website, serangan DoS, dll.
8. Corporate Hackers : Tipikal hacker yang menyerang properti intelektual dan
data penting suatu perusahaan. Tujuan mereka adalah untuk mendapatkan
informasi mengenai kompetitor suatu perusahaan.

Tahapan Hacking
1. Footprinting
Melakukan pencarian sistem yang dapat dijadikan sasaran, mengumpulkan informasi terkait
sistem sasaran dengan memakai search engine, whois, dan DNS zone transfer.
2. Scanning
Mencari pintu masuk yang paling mungkin dari sistem sasaran yang sudah
ditetapkan. Hal ini dapat dilakukan dengan ping sweep dan port scan.
3. Enumeration
Melakukan telaah intensif terhadap sistem sasaran dengan mencari user account
yang sah, sumber daya jaringan dan sharing-nya serta aplikasi yang dipakai,
sehingga diketahui titik lemah dari proteksi yang ada.
4. Gaining Access
Berusaha mendapatkan data lebih banyak lagi untuk mulai mengakses sistem
sasaran. Hal ini dilakukan dengan cara mengintip dan merampas password,
menebak password serta melakukan BufferOverflow
5. Escalating Privilege
Setelah berhasil masuk ke sistem sasaran, dilakukan usaha untuk mendapatkan
privilege tertinggi (administrator atau root) sistem dengan cara password
cracking atau exploit memakai get admin, sechole atau lc_messages.
6. Piffering
Melakukan pengumpulan informasi lagi untuk mengidentifikasi mekanisme akses ke trusted
sistem, mencakup evaluasi trust dan pencarian cleartext password di registry, config file dan
user data

Tahapan Hacking
7. Covering Tracks
Setelah kontrol penuh terhadap sistem diperoleh, usaha untuk menutup atau
menghilangkan jejak menjadi prioritas, meliputi pembersihan network log dan
penggunaan hide tool seperti macam macam root kit dan file streaming.
8.Creating Backdoors
Membuat pintu belakang pada berbagai bagian dari sistem, yang dapat dipakai
untuk masuk kembali ke sistem secara mudah dan tidak terdeteksi.
9. Denial of Service (DoS)
Bila semua usaha di atas gagal, penyerang dapat melumpuhkan layanan yang ada pada
sistem sasaran sebagai usaha terakhir.

Happy Hunting
and Good
Luck KASIH
SEKIAN
DAN TERIMA

the quieter you become, the more you

are able hear..,
-Backtrack Linux