Home TEKNOLOGI TEKNOLOGI LEMAHNYA SISTEM KEAMANAN INTERNET DI INDONESIA KHUSUSNYA PAPUA
LEMAHNYA SISTEM KEAMANAN INTERNET DI INDONESIA KHUSUSNYA PAPUA
Sunday, 09 March 2014 18:24

Hacker. Apa yang pertama kali ada dipikiran anda ketika anda mendengarnya? Pembobol facebook, twitter dan media social lainnya? Pembobol rekening nasabah bank? Pembobol data-data rahasia pemerintahan? Atau seorang kriminal dunia maya? Apapun pengertian apa dan siapa hacker itu sendiri toh nyatanya tidak sedikit masyarakat yang mengartikan hacker kearah yang negatif, walaupun sebenarnnya mereka mempunyai alasan tersendiri tentang apa bagaimana dan mengapa mereka berprofesi seperti itu.

 

Pada umumnya hacker dibagi menjadi 3 genre, yaitu whitehat (topi putih), blackhat (topi hitam) dan grey hat(topi abu-abu). Hacker white melakukan kemampuan untuk kepentingan umum atau lebih kearah yang positif, hacker jenis ini biasanya bekerja di dinas pemerintah, pengajar, bank dan lain-lain. Hacker Blackhat adalah musuh dari hacker whitehat, mereka cenderung melakukan kemampuannya kearah yang negatif untuk kepentingan pribadi, mencari sensasi atau alasan lainnya. Sedangkan hacker grey hat adalah perpaduan antara hacker whitehat dan blackhat, mereka bekerja secara offensive maupun defensive.

Jika dilihat dari bagaimana mereka bekerja, bisa dibilang hacker adalah hantunya dunia maya, betapa tidak, karena bisa datang dan pergi kapanpun mereka mau selama si target terhubung dengan internet. Untuk melacaknya pun tidak mudah, karena hampir semua hacker ketika beraksi tidak pernah meninggalkan identitas baik nama ataupun IP komputernya. Karena biasanya mereka hanya menggunakan IP palsu dan nama samaran saja.

Akhir Februari 2014 lalu saya sempat mengikuti sebuah pelatihan sistem keamanan jaringan. Pelatihan non-ilegal ini mendidik seorang untuk menjadi seseorang yang berkompeten dalam bidang sistem keamanan jaringan yang kearah positif tentunya. Sebenarnya pelatihan seperti ini sudah pernah saya lakukan di tahun 2010 lalu di sebuah komunitas underground (bawah tanah) dunia maya di Yogyakarta. Walaupun secara teknis teknik yang digunakan masih sama namun secara materi mengalami peningkatan yang jauh lebih sulit dan lebih global. Misalnya, kita diharuskan untuk mampu membobol, mencuri data rahasia, dan mengamankan sebuah sistem keamanan kelas tinggi seperti GPS (global positioning system), dinas BUMN, perusahaan-perusahaan game besar semacam playstation dan sebagainya. Namun yang berbeda kali ini adalah kita diwajibkan untuk melakukan Cyberwar (perang dunia maya), membobol, mencuri data, dan melacak terorisme yang terfokus pada jaringan Al-Qaida. Sebuah hal yang belum pernah saya lakukan sebelumnya. Walaupun secara teknik kurang lebih masih sama. Agak mustahil memang, bagaimana mungkin 1 orang mampu melakukan hal aneh tersebut, tapi untuk kita tahu, dalam dunia maya tidak ada hal yang tidak bisa untuk di tembus.

Sebenarnnya bukan hal aneh jika materi yang diajarkan dan ujikan seperti itu karena peringkat hacker Indonesia menempati ranking 5 besar hacker terbaik dunia. Ditambah lagi dengan selentingan kabar yang saya dengar kalau Indonesia akan membuat Tentara Cyber atau Tentara Dunia Maya.

Pada ujian kala itu saat saya diuji tentang carding (kejahatan kartu kredit/rekening ATM, dsb), entah mengapa saya memilih wilayah Papua sebagai percobaan. Sebelum melakukannya saya harus mempersiapkan teknik-teknik yang akan saya gunakan, karena bukan tidak mungkin kalau teknik-teknik yang saya gunakan tidak berhasil. Setelah melakukan footprinting (pencarian informasi) dan scanning (pencarian celah), saya memilih target secara acak. Fokus target yang saya cari adalah seseorang yang biasa melakukan kegiatan transfer dengan menggunakan handphone atau gadgetnya (M-Banking). Teknik yang saya gunakan pertama kali adalah teknik man in the middle, teknik ini sendiri membutuhkan bantuan virus atau Trojan untuk mengontrol handphone sang target dari jarak jauh untuk memperoleh password rekeningnya. Setelah menunggu berjam-jam Trojan yang saya pasang hanya merekam kalau si target menggunakan handphonenya hanya untuk membuka facebook dan youtube saja. Walalupun saya mendapatkan email dan password facebooknya tapi tentu saja hal ini belum membantu saya untuk membobol rekeningnya karena password facebook dan password rekeningnya ternyata berbeda. Langkah pertama gagal. Langkah kedua saya menggunakan teknik phising dan sedikit social engineering yaitu dengan mengirim link palsu. Saya membuat sebuah pesan pesan ke inbox facebook target dimana seolah-olah pesan tersebut dari admin facebook resmi, padahal yang membuat itu adalah saya. Entah terkecoh atau tidak, Setelah saya menunggu berjam-jam ternyata link yang saya buat tidak dibuka oleh korban. Padahal Trojan saya masih merekam bahwa target masih asik bermain dengan facebooknya. Bisa jadi karena korban tidak melihat adanya pesan atau bisa jadi juga korban melihat tapi tidak tau apa arti dari pesan itu sendiri karena pesan yang saya buat dalam bahasa inggris. Ya apapun itu yang jelas langkah kedua saya gagal juga. Karena waktu yang tersisa sudah hampir habis, akhirnya saya pasrah dan berencana untuk tidak menyelesaikan ujian carding ini, tapi karena saya masih sangat penasaran, akhirnya saya menggunakan teknik menebak password secara acak tanpa menggunakan aplikasi, virus, Trojan, dan lain-lain. Sebelum menggunakan teknik ini sebenarnya saya sudah paham betul kalau teknik sangat hampir mustahil untuk sukses karena untuk menebak password yang hanya 5 karakter saja kemungkinan yang ada adalah 15.625 kemungkinan (hasil dari 5 pangkat 5). Ditambah lagi kalau kita 5 kali saja gagal maka rekening target akan mengalami reconfirm atau terblokir,tentu saja bukan hal itu yang saya inginkan. Tapi saya percaya tidak ada hal yang tidak mungkin di dunia maya.

Saya mulai menebak password korban dengan default password atau password yang biasa orang gunakan dalam media chat, media sosial termasuk ATM. Ketika saya memasukkan angka 12345 dan kode validasinya ternyata password yang saya masukkan adalah BENAR. Saya sangat heran karena teknik ini sulit untuk dikatakan berhasil apalagi dengan sekali percobaan saja yang hanya membutuhkan waktu beberapa detik saja karena terlalu banyak kombinasi dan kemungkinan yang ada. Karena kita hanya asal menebak tanpa bantuan aplikasi, virus, Trojan atau bantuan tambahan lainnya.

Dari contoh diatas dapat disimpulkan bahwa, sistem keamanan jaringan di rekening korban yang berdomisili di Papua itu masih sangat lemah. Banyak orang menggunakan password default seperti 12345, 123456, qwe123, nama pacar, tahun lahir, atau kombinasi lainnya untuk sebuah hal yang sangat berharga seperti password/PIN rekening ATM, facebook, twitter dan lain-lain. Dalam kasus ini sebenarnya Papua tidak sendiri karena wilayah lain di Indonesia seperti Jawa, Sumatra, Kalimantan, Sulawesi dan lain-lain masih sering melakukan hal yang sama yaitu memakai default password untuk hal yang privat dan penting bahkan untuk ATM.

Dari contoh kasus diatas yang dapat kita ambil pelajaran adalah jagalah apa yang seharusnya kita jaga, hindari menggunakan default password dan jangan mudah tertipu dengan link-link palsu yang apabila kita membukanya kita diwajibkan untuk memberikan email atau password apapun, karena logikanya kalau dia memang benar-benar dari admin maka sudah sewajarnya tahu password kita tanpa kita memberitahu terlebih dulu.

Dari : den_godex@hackermail.com

 

Share
 


Copyright by KOMAPO.