Nama : 1. YASIR
2. YAYUK FEBRIANI
3. STEVY EDWARD
('
')('
')
PENDAHULUAN
Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak data-data penting perusahaan.
Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.
PEMBAHASAN
Sebagian besar artikel tentang topik social engineering mulai dengan beberapa bentuk definisi seperti “seni dan ilmu memaksa orang untuk memenuhi harapan anda. Suatu pemanfaatan trik-trik psikologis hacker luar pada seorang user legitimate dari sebuah sistem komputer atau mendapatkan informasi yang diperlukan (misalnya sebuah password) dari seseorang daripada merusak sebuah sistem.
Dalam kenyataannya, sosial engineering bisa menjadi berbagai dan semua hal-hal yang disebutkan di atas, tergantung dimana kita duduk atau mengambil posisi. Satu hal yang kelihatan disetujui semua orang adalah bahwa social engineering umumnya suatu manipulasi cerdas tentang tendensi kemanusiaan natural yang dipercaya dari seseorang.
Tujuan hacker adalah untuk mendapatkan informasi yang akan mengizinkan dia untuk mendapatkan akses yang tak terotorisasi (tak legal) pada sistem yang diinginkan dan informasi yang berlokasi pada sistem itu.
Sosial Engineering adalah nama suatu tehnik pengumpulan informasi dengan memanfaatkan celah psikologi korban. Atau mungkin boleh juga dikatakan sebagai “penipuan”. Sosial Engineering membutuhkan kesabaran dan kehati-hatian agar korban tidak curiga. Kita dituntut untuk kreatif dan mampu berpikiran seperti korban. Social Engineering merupakan seni “memaksa” orang lain untuk melakukan sesuatu sesuai dengan harapan atau keinginan anda. Tentu saja “pemaksaan” yang dilakukan tidak secara terang-terangan atau diluar tingkah laku normal yang biasa dilakukan korban.
Manusia cenderung untuk percaya atau mudah terpengaruh terhadap orang yang memiliki nama besar, pernah (atau sedang berusaha) memberikan pertolongan, dan memiliki kata-kata atau penampilan yang meyakinkan. Hal ini sering dimanfaatkan pelaku sosial engineering untuk menjerat korbannya. Seringkali sang pelaku membuat suatu kondisi agar kita memiliki semacam ketergantungan kepadanya. Sehingga tanpa kita sadari dia mengkondisikan kita dalam suatu masalah dan membuat seolah - olah hanya dialah yang bisa mengatasi masalah itu. Dengan demikian , tentu kita akan cenderung untuk menuruti apa yang dia instruksikan tanpa merasa curiga.
Sosial Engineering adakalanya menjadi ancaman serius. Memang sepertinya tidak ada kaitan dengan teknologi, namun sosial engineering tetap layak diwaspadai karena bisa berakibat fatal bagi sistem kita. Karena bagaimanapun juga suatu komputer tetap saja tidak bisa lepas dari manusia. Ya, tidak ada satu sistem komputerpun di muka bumi ini yang bisa lepas dari campur tangan manusia. Sehebat apapun pertahanan anda, jika anda sudah dikuasai oleh attacker melalui social engineering, maka bisa jadi anda sendirilah yang membukakan jalan masuk bagi sang attacker.
TARGET DAN SERANGAN
Metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Tujuan dasar social engineering sama seperti umumnya hacking, mendapatkan akses tidak resmi pada sistem atau informasi untuk melakukan penipuan, intrusi jaringan, mata-mata industrial, pencurian identitas, atau secara sederhana untuk mengganggu sistem atau jaringan. Target-target tipikal termasuk perusahaan telepon dan jasa-jasa pemberian jawaban, perusahaan dan lembaga keuangan dengan nama besar, badan-badan militer dan pemerintah dan rumah sakit. Boom internet memiliki andil dalam serangan-serangan rekayasa industri sejak awal, namun umumnya serangan terfokus pada entitas-entitas yang lebih besar. Menemukan teladan yang baik dan nyata dari serangan-serangan social engineering sangatlah sulit.
Organisasi-organisasi yang dijadikan sasaran tidak mau mengijinkan bahwa mereka dikorbankan (lebih-lebih, mengijinkan suatu terobosan security fundamental tidak hanya memalukan, ia mungkin merusak reputasi organisasi) atau serangan-serangan tidak terdokumentasi dengan baik sehingga tak seorangpun yang benar-benar yakin apakah ada suatu serangan social engineering atau tidak. Katakan saja mengapa organisasi dijadikan sasaran melalui social engineering – baiklah, ini seringkalil merupakan suatu cara yang lebih mudah untuk mendapatkan Akses melanggar hukum daripada berbagai macam bentuk hacking teknis.
Bahkan untuk orang-orang teknis, hal ini seringkali jauh lebih sederhana untuk sekedar mengangkat telepon dan meminta password seseorang. Dan yang paling sering, persis seperti itulah yang akan dilakukan oleh seorang hacker. Serangan-serangan social engineering berlangsung pada dua level: fisik dan psikologis. Pertama, kita memfokuskan pada setting fisik untuk serangan ini; tempat kerja, telepon, tempat sampah, dan bahkan on-line. Di tempat kerja, hacker bisa dengan mudah melewati pintu, seperti di dalam bioskop, dan berpura-pura menjadi seorang pekerja pemeliharaan atau konsultan yang memiliki akses pada organisasi.
Kemudian seorang penyusup menyelundup melalui kantor sampai dia menemukan suatu password baru yang tergeletak dan keluar dari bangunan dengan informasi di tangan lebih dari cukup untuk mengeksploitasi jaringan dari rumah setelah malam itu. Teknik lain untuk mendapatkan informasi adalah dengan berdiri di sana dan mengamati pekerja yang lalai mengetikkan password.
SOCIAL ENGINEERING DENGAN TELEPON
Jenis yang paling lazim dari serangan-serangan social engineering
dilakukan dengan telepon. Seorang hacker akan menelpon dan meniru
seseorang dalam suatu kedudukan berwenang atau yang relevan dan secara gradual menarik informasi dari user.
Hacker mampu berpura-pura mereka sedang menelpon dari dalam perusahaan dengan memainkan tipuan atau trik pada PBX atau operator perusahaan, sehingga pemanggil ID tidak selalu menjadi pertahanan terbaik. Ini merupakan trik PBX klasik, memelihara the Computer Security Institute: “’Hai, saya AT&T rep, Saya sedang macet. Saya perlu anda untuk menekan sebuah bunch tombol untuk saya.
Dan ini adalah bentuk yang lebih baik: “Mereka akan menelpon anda pada tengah malam: ‘Apakah anda sedang ditelpon dari Poso beberapa jam yang lalu? ‘Tidak.’ Dan mereka berkata, ‘baiklah, kami sedang menerima telepon yang benar-benar aktif sekarang ini, yaitu dari kartu telepon anda dan ini menuju ke Poso dan sebagaimana kenyataannya, anda mendapatkan sekitar Rp. 200,000 kembalian dari sesorang yang menggunakan kartu anda. Anda bertanggung jawab atas Rp. 200,000 itu, anda harus membayar nya Mereka akan berkata, ‘saya melakukan pekerjaan saya sesuai jalurnya dengan membebaskan biaya Rp. 200,000 untuk anda. Namun anda perlu memberitahukan nomor kartu AT&T anda dan PIN-nya dan kemuudian saya akan membebaskan biaya anda. Orang-orang jatuh karena hal ini.” (Computer Security Institute).
Bagian bantuan secara partikuler rentan karena mereka dalam posisi yang secara spesifik untuk membantu, suatu fakta yang mungkin dieksploitasi oleh orang-orang yang berusaha mendapatkan informasi yang melanggar hukum. Pekerja Bagian bantuan dilatih untuk ramah dan memberikan informasi, sehingga ia menjadi tambang emas bagi social engineering. sebagian besar pekerja bagian bantuan umumnya dididik dalam wilayah aman dan mendapatkan kenyamanan, sehingga mereka cenderung hanya menjawab pertanyaan dan terus melayani telepon berikutnya. Hal ini bisa menciptakan lubang keamanan yang besar.
Fasilitator dari suatu lembaga keamanan komputer sekarang ini, diilustrasikan rentan dari Bagian bantuan ketika dia menelpon sebuah perusahaan, menerima transfer, dan mencapai bagian bantuan. ‘Siapa pengawas yang menjalankan kewajibannya nanti malam? ‘Oh, pengawas nanti malam adalah Soraya.’ ‘Izinkan saya berbicara pada Soraya.’ [Dia dihubungkan pada Soraya.] ‘Hai Soraya, ada berita buruk?’ ‘Tidak, Mengapa?’ ‘Sistem-mu sedang down.’ Dia berkata, ‘Sistem saya tidak down, kami sedang berjalan baik-baik saja.’ Dia berkata, ‘Lebih baik kamu keluar dari sistem.’ Soraya keluar dari sistem. Dia berkata, ‘Sekarang sign in kembali.’ Soraya sign in kembali. Dia berkata, “Kita bahkan tidak melihat sebuah blip, kami melihat tidak ada perubahan.’ Dia berkata, ‘Sign off kembali. ‘Soraya melakukannya. ‘Soraya, sekarang aku harus masuk sign on sebagai kamu di sini untuk memperkirakan apa yang terjadi dengan ID kamu. Izinkan aku mengetahui ID user dan password-mu.’ Maka Pengawas senior ini memberitahukan dari Bagian bantuan ID user dan password-nya.” Sangat cerdas.
Suatu variasi tentang tema telepon adalah pembayaran telepon atau ATM. Hacker benar-benar bekerja keras dalam surfing dan mendapatkan nomor kartu kredit dan PIN dengan cara ini. (Itu terjadi pada salah satu teman saya di sebagian besar bandar udara di Amerika Serikat.). Orang-orang selalu berdiri di sekitar anjungan telepon di sekitar bandara, sehingga ia menjadi tempat yang paling beresiko.
DIVING DUMPSTER
Diving Dumpster juga dikenal sebagai sampah, adalah metode populer lain dari social engineering. Sejumlah informasi yang sangat besar bisa dikumpulkan melalui company Dumpster. Daftar berikut sebagai potensi kebocoran keamanan dalam tempat sampah kita: “Buku telepon perusahaan, grafik organisasi, memo, panduan kerja kebijakan perusahaan, kalender pertemuan, peristiwa-peristiwa dan peletakan jabatan, panduan kerja sistem, print-out data yang sensitif atau nama login dan password, print-out kode, disket dan tape sumber, kepala surat perusahaan dan formulir memo, dan perangkat keras lama.”
Sumber-sumber data ini menyediakan suatu jalur informasi yang kaya untuk para hacker. Buku telepon memberikan nama-nama pada para hacker dan jumlah orang untuk dijadikan target dan diimpersonasikan. Grafik-grafik organisasional berisi informasi tentang orang yang berada dalam posisi kewenangan organisasi. Memo menyediakan tidbit kecil dari informas yang bermanfaat guna menciptakan otentisitas. Panduan kebijakan memperlihatkan pada para hacker bagaimana aman atau tidak amannya sebuah perusahaan. Kalender sangat hebat –mereka mungkin memberitahu penyerang tentang pekerja mana yang keluar kota pada waktu-waktu tertentu. Panduan kerja sistem, data sensitif, dan sumber informasi teknis lainnya mungkin memberikan kunci-kunci pasti yang mereka perlukan untuk membuka jaringan. Akhirnya, perangkat keras yang lama, khususnya drive -drive keras, bisa direstorasi untuk menyediakan bentuk-bentuk informasi yang bermanfaat. (kita akan mendiskusikan bagaimana merapikan semua ini dalam penginstallan kedua dalam rangkaian ini, cukuplah dikatakan, pemotong adalah suatu tempat yang baik untuk memulainya.
SOCIAL ENGINEERING ON-LINE
Internet adalah lahan subur bagi para teknisi sosial yang ingin
mendapatkan password. Kelemahan utamanya adalah banyaknya user yang sering mengulangi pemanfaatan sebuah password sederhana pada setiap tranksaksi: Yahoo, Travelocity, Gap.com, dan sebagainya. Maka sekali seorang hacker memiliki satu password, dia mungkin bisa masuk ke dalam berbagai transaksi. Satu cara dimana seorang hacker diketahui mendapatkan jenis password ini adalah melalui suatu formulir on-line: mereka bias mengirimkan beberapa bentuk informasi perjudian kuda dan meminta user untuk menempatkan namanya (termasuk alamat e-mail –cara itu, dia bahkan mungkin mendapatkan password transaksi keseluruhan seseorang) dan password nya. Formulir ini bisa dikirimkan lewat e-mail.
Cara lain mendapatkan informasi on-line yang dilakukan seorang hacker adalah dengan berpura-pura menjadi administrator jaringan, mengirimkan e-mail melalui jaringan dan meminta password seorang user. Jenis serangan social engineering ini umumnya tidak bekerja dengan baik, karena user umumnya lebih sadar hacker ketika sedang online, namun ini menjadi sesuatu yang perlu diperhitungkan. Lebih jauh lagi, pop-up windows bisa diinstal oleh hacker untuk berpura-pura sebagai bagian suatu jaringan dan eminta user untuk memasukkan kembali username dan password untuk mengatasi beberapa bentuk masalah.
Sampai pada titik ini, sebagian besar user seharusnya tahu untuk tidak mengirimkan password dalam teks yang jelas, namun ia tidak pernah menyakitkan untuk memiliki suatu reminder ukuran keamanan sederhana dari administrator sistem. Bahkan lebih baik administrator sistem mungkin ingin mengingatkan user mereka untuk menunjukkan pasword dalam bentuk apapun kecuali percakapan langsung tatap-muka dengan anggota staf yang diberi wewenang dan dipercayai.
E-mail juga bisa digunakan sebagai sarana untuk mendapatkan akses lebih langsung pada suatu sistem. Misalnya, attachment surat yang dikirmkan dari seseorang yang otentik bisa membawa virus, worm dan trojan horses. Contoh yang baik dari hal ini adalah sebuah hack AOL yang didokumentasikan oleh VIGILANTe: “Dalam kasus itu, hacker memintaa dukungan teknologi AOL dan berbicara dengan person pendukung selama satu jam. Selama percakapan, hacker menyebutkan bahwa mobilnya dijual murah. Pendukung teknologi tertaarik sehingga hacker mengirimkan sebuah attachment e-mail ‘dengan sebuah gambar mobil.’ Sekalipun sebuah gambar mobil, surat tersebut mengeksekusikan suatu penyelundupan lewat jalan belakang yang membuka koneksi dari AOL melalui firewall.”
BERSAMBUNG KE POSTINGAN 2
