Berikut merupakan Daftar situs Template Blog yang saya dapatkan dan Kumpulkan dari Hasil Pencarian di Google.Jika anda berminat Untuk Mendownload Template Gratis Silahkan Kunjungi Langsung Situs Resminya dan Pilih mana Template Yang Anda Sukai.
Free Blogger Templates (Blogspot)
1.www.btemplates.com
2.www.bloggerbuster.com
3.http://blogtemplate4u.com/
4.www.freeblogger-templates.blogspot.com
5.www.blogger-templates.blogspot.com
6.www.finalsense.com
7.www.ourblogtemplates.com
8.www.bloggerstyles.com
9.www.eblogtemplates.com
10.www.blogspottemplate.com
Free WordPress Templates
1. www.prowordpressthemes.com
2. www.wordpresstemplates.com
3. wordpresstemplates.name
4. www.skinpress.com
5. www.wordpress.org
6. www.topwpthemes.com
7. www.blogohblog.com
8. www.templatesbrowser.com
9. www.wpskins.org
10. www.freewordpresstheme.info
Premium WordPress Templates
1. www.wordpressthemesmarket.com
2. www.wpcandy.com
3. www.web20-templates.com
5. www.wpremix.com
6. www.ithemes.com
7. www.wp-magazine.com
8. www.studiopress.com
9. www.wp-vybe.com
10. www.premiumwp.com
Bonus Daftar Template Blog..^_^
1. http://www.eblogtemplates.com/
2. http://www.jackbook.com/
3. http://www.indosmart.blogspot.com/search/label/template
4. http://www.magznetwork.com/
5. http://www.freetemplate.widarto.net
6. www.simplebits.com
Selasa, 23 Februari 2010
14 tokoh hacker yang disegani
Hacker adalah orang yang mempelajari, menganalisa, dan selanjutnya bila menginginkan, bisa membuat, memodifikasi, atau bahkan mengeksploitasi sistem yang terdapat di sebuah perangkat seperti perangkat lunak komputer dan perangkat keras komputer seperti program komputer, administrasi dan hal-hal lainnya , terutama keamanan.
Berikut beberapa profile 14 Hacker Terbaik Dunia untuk saat ini :
1. Kevin Mitnick
Kevin adalah hacker pertama yang wajahnya terpampang dalam poster “FBI Most Wanted”.Kevin juga seorang “Master of Deception” dan telah menulis buku yang berjudul “The Art of Deception”.Buku ini menjelaskan berbagai teknik social engineering untuk mendapatkan akses ke dalam sistem.
2. Linus Torvalds
Seorang hacker sejati, mengembangkan sistem operasi Linux yang merupakan gabungan dari “LINUS MINIX”.Sistem operasi Linux telah menjadi sistem operasi “standar” hacker.Bersama Richard Stallman dengan GNU-nya membangun Linux versi awal dan berkolaborasi dengan programmer, developper dan hacker seluruh dunia untuk mengembangkan kernel Linux.
3. John Draper
Penemu nada tunggal 2600 Herz menggunakan peluit plastik yang merupakan hadiah dari kotak sereal.Merupakan pelopor penggunaan nada 2600 Hz dan dikenal sebagai Phone Phreaker (Phreaker, baca: frieker)Nada 2600 Hz digunakan sebagai alat untuk melakukan pemanggilan telepon gratis.Pada pengembangannya, nada 2600 Hz tidak lagi dibuat dengan peluit plastik, melainkan menggunakan alat yang disebut “Blue Box”.
4. Mark Abene
Sebagai salah seorang “Master of Deception” phiber optik, menginspirasikan ribuan remaja untuk mempelajari sistem internal telepon negara. Phiber optik juga dinobatkan sebagai salah seorang dari 100 orang jenius oleh New York Magazine.
Menggunakan komputer Apple , Timex Sinclair dan Commodore 64.
Komputer pertamanya adalah Radio Shack TRS-80 (trash-80).
5. Robert Morris
Seorang anak dari ilmuwan National Computer Security Center yang merupakan bagian dari National Security Agencies (NSA).
Pertama kali menulis Internet Worm yang begitu momental pada tahun 1988.
Meng-infeksi ribuan komputer yang terhubung dalam jaringan.
6. Richard Stallman
Salah seorang “Old School Hacker”, bekerja pada lab Artificial Intelligence MIT.Merasa terganggu oleh software komersial dan dan hak cipta pribadi.Akhirnya mendirikan GNU (baca: guhNew) yang merupakan singkatan dari GNU NOT UNIX.Menggunakan komputer pertama sekali pada tahun 1969 di IBM New York Scintific Center saat berumur 16 tahun.
7. Kevin Poulsen
Melakukan penipuan digital terhadap stasiun radio KIIS-FM, memastikan bahwa ia adalah penelpon ke 102 dan memenangkan porsche 944 S2.
8. Ian Murphy
Ian Muphy bersama 3 orang rekannya, melakukan hacking ke dalam komputer AT&T dan menggubah seting jam internal-nya.Hal ini mengakibatkan masyarakat pengguna telfon mendapatkan diskon “tengah malam” pada saat sore hari, dan yang telah menunggu hingga tengah malam harus membayar dengan tagihan yang tinggi.
9. Vladimir Levin
Lulusan St. Petersburg Tekhnologichesky University.Menipu komputer CitiBank dan meraup keuntungan 10 juta dollar.Ditangkap Interpol di Heathrow Airport pada tahun 1995
10. Steve Wozniak
Membangun komputer Apple dan menggunakan “blue box” untukkepentingan sendiri.
11. Tsutomu Shimomura
Berhasil menangkap jejak Kevin Mitnick.
12. Dennis Ritchie dan Ken Thomson
Dennis Ritchie adalah seorang penulis bahasa C, bersama Ken Thomson menulis sistem operasi UNIX yang elegan.
13. Eric Steven Raymond
Bapak hacker. Seorang hacktivist dan pelopor opensource movement.Menulis banyak panduan hacking, salah satunya adalah: “How To Become A Hacker” dan “The new hacker’s Dictionary”.
Begitu fenomenal dan dikenal oleh seluruh masyarakat hacking dunia.Menurut Eric, “dunia mempunyai banyak persoalan menarik danmenanti untuk dipecahkan”.
14. Johan Helsingius
Mengoperasikan anonymous remailer paling populer didunia.
Berikut beberapa profile 14 Hacker Terbaik Dunia untuk saat ini :
1. Kevin Mitnick
Kevin adalah hacker pertama yang wajahnya terpampang dalam poster “FBI Most Wanted”.Kevin juga seorang “Master of Deception” dan telah menulis buku yang berjudul “The Art of Deception”.Buku ini menjelaskan berbagai teknik social engineering untuk mendapatkan akses ke dalam sistem.
2. Linus Torvalds
Seorang hacker sejati, mengembangkan sistem operasi Linux yang merupakan gabungan dari “LINUS MINIX”.Sistem operasi Linux telah menjadi sistem operasi “standar” hacker.Bersama Richard Stallman dengan GNU-nya membangun Linux versi awal dan berkolaborasi dengan programmer, developper dan hacker seluruh dunia untuk mengembangkan kernel Linux.
3. John Draper
Penemu nada tunggal 2600 Herz menggunakan peluit plastik yang merupakan hadiah dari kotak sereal.Merupakan pelopor penggunaan nada 2600 Hz dan dikenal sebagai Phone Phreaker (Phreaker, baca: frieker)Nada 2600 Hz digunakan sebagai alat untuk melakukan pemanggilan telepon gratis.Pada pengembangannya, nada 2600 Hz tidak lagi dibuat dengan peluit plastik, melainkan menggunakan alat yang disebut “Blue Box”.
4. Mark Abene
Sebagai salah seorang “Master of Deception” phiber optik, menginspirasikan ribuan remaja untuk mempelajari sistem internal telepon negara. Phiber optik juga dinobatkan sebagai salah seorang dari 100 orang jenius oleh New York Magazine.
Menggunakan komputer Apple , Timex Sinclair dan Commodore 64.
Komputer pertamanya adalah Radio Shack TRS-80 (trash-80).
5. Robert Morris
Seorang anak dari ilmuwan National Computer Security Center yang merupakan bagian dari National Security Agencies (NSA).
Pertama kali menulis Internet Worm yang begitu momental pada tahun 1988.
Meng-infeksi ribuan komputer yang terhubung dalam jaringan.
6. Richard Stallman
Salah seorang “Old School Hacker”, bekerja pada lab Artificial Intelligence MIT.Merasa terganggu oleh software komersial dan dan hak cipta pribadi.Akhirnya mendirikan GNU (baca: guhNew) yang merupakan singkatan dari GNU NOT UNIX.Menggunakan komputer pertama sekali pada tahun 1969 di IBM New York Scintific Center saat berumur 16 tahun.
7. Kevin Poulsen
Melakukan penipuan digital terhadap stasiun radio KIIS-FM, memastikan bahwa ia adalah penelpon ke 102 dan memenangkan porsche 944 S2.
8. Ian Murphy
Ian Muphy bersama 3 orang rekannya, melakukan hacking ke dalam komputer AT&T dan menggubah seting jam internal-nya.Hal ini mengakibatkan masyarakat pengguna telfon mendapatkan diskon “tengah malam” pada saat sore hari, dan yang telah menunggu hingga tengah malam harus membayar dengan tagihan yang tinggi.
9. Vladimir Levin
Lulusan St. Petersburg Tekhnologichesky University.Menipu komputer CitiBank dan meraup keuntungan 10 juta dollar.Ditangkap Interpol di Heathrow Airport pada tahun 1995
10. Steve Wozniak
Membangun komputer Apple dan menggunakan “blue box” untukkepentingan sendiri.
11. Tsutomu Shimomura
Berhasil menangkap jejak Kevin Mitnick.
12. Dennis Ritchie dan Ken Thomson
Dennis Ritchie adalah seorang penulis bahasa C, bersama Ken Thomson menulis sistem operasi UNIX yang elegan.
13. Eric Steven Raymond
Bapak hacker. Seorang hacktivist dan pelopor opensource movement.Menulis banyak panduan hacking, salah satunya adalah: “How To Become A Hacker” dan “The new hacker’s Dictionary”.
Begitu fenomenal dan dikenal oleh seluruh masyarakat hacking dunia.Menurut Eric, “dunia mempunyai banyak persoalan menarik danmenanti untuk dipecahkan”.
14. Johan Helsingius
Mengoperasikan anonymous remailer paling populer didunia.
Senin, 22 Februari 2010
nama-nama virus terkeren
Virus komputer, siapa yang tidak tahu tentang makhluk maya yang sering menyerang komputer ini. Ternyata, membuat virus itu bukan hanya masalah coding, menyerang dan membuat antivirusya. Ternyata, memikirka nama virus itu lumayan susah juga. Coba saja anda bayangkan, sampai saat ini sudah ada 1.000.000 lebih nama virus yang telah dipakai. Jadi jika anda ingin membuat virus, anda juga harus berusaha keras memikirkan nama dari virus buatan anda. Maklum, kan katanya nama adalah do’a.
Nah, dari sejuta nama virus yang ada tadi, shinyshiny memilih 10 nama terbaik dari virus-virus beken. ini daftarnya:
Fat Avenger
Deep Trhoat
Crazy Eddie
perfume.sorry
Die Hard 2
Polite
Cinderella
Kiss of Death
Mac Gyver
Dave
Nah, bagaimana meurut anda, nama virus terbaik untuk virus indonesia apa? saya beri nominasi ya.. silahkan dipilih di koment.
Rontokbro
brontok
blue fantasi
Lina
Lisa
geal-geol
siluman
my project
blender
batam hacker
Nah, dari sejuta nama virus yang ada tadi, shinyshiny memilih 10 nama terbaik dari virus-virus beken. ini daftarnya:
Fat Avenger
Deep Trhoat
Crazy Eddie
perfume.sorry
Die Hard 2
Polite
Cinderella
Kiss of Death
Mac Gyver
Dave
Nah, bagaimana meurut anda, nama virus terbaik untuk virus indonesia apa? saya beri nominasi ya.. silahkan dipilih di koment.
Rontokbro
brontok
blue fantasi
Lina
Lisa
geal-geol
siluman
my project
blender
batam hacker
cara-cara hack pasword
trik-trik hack pasword
[1]. Social Engineering
[2]. KeyLogger
[3]. Web Spoofing
[4]. Menghadang Email
[5]. Password Cracking
[6]. Session Hijacking
[7]. Menjadi Proxy Server
[8]. Memanfaatkan Kelalaian User Dalam Penggunaan Fitur
Browser
[9]. Googling
[1]. Social Engineering
Social Engineering adalah nama suatu tehnik pengumpulan informasi dengan memanfaatkan celah psikologi korban. Atau mungkin boleh juga dikatakan sebagai “penipuan” :P Sosial Engineering membutuhkan kesabaran dan kehati-hatian agar sang korban tidak curiga. Kita dituntut untuk kreatif dan mampu berpikiran seperti sang korban.
Social Engineering merupakan seni “memaksa” orang lain untuk melakukan sesuatu sesuai dengan harapan atau keinginan anda. Tentu saja “pemaksaan” yang dilakukan tidak secara terang-terangan atau diluar tingkah laku normal yang biasa dilakukan sang korban.
Manusia cenderung untuk percaya atau mudah terpengaruh terhadap orang yang memiliki nama besar, pernah (atau sedang berusaha) memberikan pertolongan, dan memiliki kata-kata atau penampilan yang meyakinkan. Hal ini sering dimanfaatkan pelaku social engineering untuk menjerat korbannya. Seringkali sang pelaku membuat suatu kondisi agar kita memiliki semacam ketergantungan kepadanya.Ya,tanpa kita sadari dia mengkondisikan kita dalam suatu masalah dan membuat ( seolah – olah hanya ) dialah yang bisa mengatasi masalah itu. Dengan demikian,tentu kita akan cenderung untuk menuruti apa yang dia instruksikan tanpa merasa curiga.
Sosial Engineering adakalanya menjadi ancaman serius. Memang sepertinya tidak ada kaitan dengan teknologi, namun sosial engineering tetap layak diwaspadai karena bisa berakibat fatal bagi sistem anda. Why?? Karena bagaimanapun juga suatu komputer tetap saja tidak bisa lepas dari manusia. Ya, tidak ada satu sistem komputerpun di muka bumi ini yang bisa lepas dari campur tangan manusia. sehebat apapun pertahanan anda, jika anda sudah dikuasai oleh attacker melalui social engineering, maka bisa jadi anda sendirilah yang membukakan jalan masuk bagi sang attacker.
[2]. KeyLogger
KeyLogger adalah software yang dapat merekam aktivitas user. Hasil rekaman itu biasa disimpan berupa teks atau gambar. KeyLogger bekerja berdasarkan ketukan keyboard user. Aplikasi ini mampu mengenali form-form sensitif seperti form password misalnya.
Ada cara aman untuk menghindari keyloger:
1. Gunakan password dengan karakter special seperti !@#$%^&*(){}[]. Kebanyakan keyloger akan mengabaikan karakter ini sehingga sang pelaku (pemasang keyloger) tidak akan mendapatkan password anda yang sebenarnya.
2. Persiapkan password dari rumah, simpan dalam bentuk teks. Saat ingin memasukkan password, tingal copy-paste ajah. Keyloger akan membaca password anda berdasarkan ketukan keyboard. Namun cara ini agak beresiko. Mengapa? karena saat anda melakukan copy, data anda akan tersimpan di clipboard. Saat ini banyak dijumpai software-software gratis yang bisa menampilkan data dalam clipboard.
[3]. Web Spoofing
Masih ingat kasus pecurian Account sejumlah nasabah Bank BCA? Ya, itulah salah satu contoh nyata dari Web spoofing. Inti dari tehnik ini ialah dengan memanfaatkan kesalahan user saat mengetikkan alamat situs pada address bar. Pada dasarnya, Web Spoofing adalah usaha untuk menipu korban agar mengira dia sedang mengakses suatu situs tertentu, padahal bukan.
Pada kasus bank BCA, pelaku membuat situs yang sangat mirip dan identik dengan situs aslinya sehingga sang korban yang terkecoh tidak akan merasa ragu mengisikan informasi sensitif seperti user name dan Passwordnya. Padahal, karena situs tersebut adalah situs tipuan, maka semua informasi berharga tadi terekam oleh webserver palsu, yaitu milik sang pelaku.
[4]. Menghadang Email
Menghadang email? Ya, dan sangat mudah untuk melakukan hal ini. Salah satu cara adalah dengan menggunakan mailsnarf yang terdapat pada utility dsniff. Cara kerja Mailsnarf adalah dengan menghadang paket data yang lewat di Internet dan menyusunnya menjadi suatu email utuh.
Dsniff dan mailsnift merupakan software bekerja atas dasar WinPcap (setara dengan libcap pada Linux) yaitu suatu library yang menangkap paket-paket data. Paket-paket yang ditangkap ini akan disimpan dalam bentuk file oleh Windump, sedangkan Dsniff dan MailSnarf bertindak lebih jauh lagi yaitu menganalisa paket-paket data ini dan menampilkan password (dsniff) atau isi email (mailsnarf).
[5]. Password Cracking
“Hacking while sleeping.” itulah ungkapan yang biasa dipakai oleh orang-orang yang melakukan password cracking. Mengapa? Karena pada umumnya dibuthkan waktu yang lama untuk melakukan pasword cracking. Bisa berjam-jam, bahkan berhari – hari! Semua itu tergantung dari target, apakah sang target menggunakan password yang umum, password memiliki panjang karakter yang tidak biasa, atau password memiliki kombinasi dengan karakter-karakter special.
Salah satu software yang biasa digunakan untuk melakukan hal ini ialah dengan mengunakan Brutus, salah satu jenis software remote password cracker yang cukup terkenal. Brutus bekerja dengan teknik dictionary attack atau bruce-force attack terhadap port-port http, POP3,ftp, telnet, dan NetBIOS.
Dictionary Attack bekerja dengan mencobakan kata-kata yang ada dalam kamus password. Sedangkan brute – force attack bekerja dengan mencobakan semua kombinasi huruf, angka, atau karakter.
Brute Force Atack bekerja sangat lambat dan membutuhkan waktu yang lama tergantung dari jenis spesifikasi komputernya dan panjang karakter passwordnya. Saat ini telah banyak situs yang menutup akses terhadap akses terhadap usaha login yang secara terus-menerus tidak berhasil.
Jika anda ingin melakukan password Cracking, silahkan pilih – pilih sendiri aplikasinya di halaman Member – spyrozone.tk.
[6]. Session Hjacking
Session hijacking dewasa ini semakin marak dikalangan para attacker. Session Hijacking biasa dilakukan dengan melakukan peniruan cookies. Jadi pada intinya, kita harus bisa meniru cookies sang korban untuk mendapatkan sesi loginnya.
Lalu bagaimana cara mendapatkan cookies sang korban?
1. Dengan analisa Cookies.
Cara ini relatif sulit dilakukan.
2. Mencuri Cokies.
Misalnya Sang Attacker ingin mendapatkan account si A. Sang Attacker bisa dengan mudah membuat semacam script Java Script yang disisipkan dalam email untuk dikirim ke korban.Saat korban membuka email itu, tanpa sadar cookiesnya akan dicuri dan direkam ke suatu webserver dengan memanfaatkan suatu script PHP.
Belakangan ini yang paling sering menjadi incaran adalah account Friendster. Ada yang menyisipkan suatu scipt lewat testimonial, ada yang menyisipkannya di profilnya sendiri untuk mencuri cookies sang korban dan lain sebagainya. Saya memiliki tips untuk ini:
1. Jangan menggunakan browser Internet Explorer
Saat ingin membuka profil orang lain, jangan menggunakan Internet Explorer. Catat alamat profil yang ingi anda lihat,logout terlebih dahulu dari account anda dan bersihkan semua cookies, baru kemudian bukalah profil Friendster tujuan.
2. Periksa Source CODEnya
Ketika menerima testimonial, periksa terlebih dahulu source codenya. Apakah disana terdapat script asing atau kata-kata yang identik dengan pembajakan seperti :
“HACKED”, “DEFACED”, “OWNED”.. dll..
Jika ragu-ragu……. reject ajah..
3. LogOUT tiba-tiba.
Waspada ketika tanpa suatu alasan yang jelas tiba-tiba anda logout dengan sendirinya dari account anda. Saat anda diminta memasukkan username dan password, lihat dulu addressbar anda! apakan anda sedang berada di situs yang semestinya atau tidak. Periksa source code halaman tersebut.Lihat pada form action, kemana informasi anda nantinya akan dikirim.
Sebenarnya session hijacking bisa dicegah jika saja sang penyedia layanan memperhatikan hal-hal berikut:
1. Menetapkan session identifier yang unik
2. Menetapkan sistem identifier berpola acak
3. Session identifier yang independen
4. Session identifier yang bisa dipetakan dengan koneksi
client side.
Fenomena lain adalah, hingga saat artikel ini diterbitkan, ternyata masih banyak dijumpai para user yang tidak melakukan sign out setelah membuka accountnya. Dengan demikian, orang lain yang mengunakan komputer itu dan membuka website yang sama dengan yang telah dibuka oleh orang pertama akan otomatis login ke account sang korban.
[7]. Menjadi Proxy Server
Kita bisa mengumpulkan informasi dengan menjadi proxy server bagi korban untuk dapat berselancar. Dengan menjadi proxy server, seluruh identitas sang peselancar bisa menjadi milik kita.
[8]. Memanfaatkan Kelalaian user dalam penggunaan fitur
browser
Setiap browser tentunya memiliki fitur yang ditujukan untuk kemudahan dan kenyamanan penggunanya dalam berselancar. Diantaranya ialah dengan adanya cache dan Password Manager.
Di Internet tentunya banyak suatu website yang isinya tidak berubah dalam beberapa hari (Contohnya spyrozone.tk ;) Nah, untuk situs yang seperti ini cache menjadi hal yang sangat berguna. Cache akan menyimpan file-file hasil browsing sehinga nantinya jika anda berkunjung lagi ke situs tersebut browser tidak perlu lagi melakukan download untuk kedua kalinya dari server sehingga setiap halaman situs yang telah anda buka sebelumnya akan terbuka dengan lebih cepat. Semua itu biasanya diatur oleh header time to live.
Lho, bagaimana dengan situs-situs penyedia berita yang selalu up to date? Untuk site yang seperti itu, time to live-nya akan di set=0 sehinga nantinya anda akan terus melakukan download setiap kali berkunjung.
Cukup nyaman bukan? Ya, tapi ancaman mulai timbul. Cobalah kini anda jelajahi opsi-opsi yang berkaitan dengan cache pada browser anda. Tentu anda bisa menemui bahwa ada fasilitas untuk menentukan berapa besarnya file temporary yang bisa disimpan di harddisk. Cari juga lokasi dimana file-file tersebut akan disimpan.
Coba anda buka folder tersebut, anda akan menemui file-file html & file-file gambar dari site-site yang sudah anda kunjungi. Pada Browser IE, anda bisa melihat lokasi file cache dengan menjelajahi menu Tools —> Internet options —> Settings
Lalu apa yang bisa didapatkan?? toh cuma file-file “sampah”?? Hmm… sekarang coba anda copy semua file yang ada di sana ke suatu folder. Lalu bukalah salah-satu file htmlnya. Jika itu komputer publik,anda bisa mengetahui situs apa saja yang telah diakses oleh oleh orang sebelum anda.
Hmm.. hanya dengan melihat file temporary anda bahkan bisa melihat password dan dll. Banyak saya temui situs yang menyimpan password dan menampilkannya pada url. Tentunya anda juga pasti sering membacanya di berbagai tutorial.
Kebanyakan browser pada saat ini memiliki fasilitas untuk menyimpan password. Misalnya saat meggunakan Mozilla Firefox, anda pasti sering menerima kotak dialog konfirmasi yang menanyakan apakah anda ingin password anda disimpan atau tidak oleh PasswordManager.Kebanyakan user cenderung untuk memilih opsi YES, entah itu dengan penuh kesadaran atau memang mereka tidak tau ( baca: tidak mau tau) apa maksud dari kotak dialog itu.
Orang lain yang kemudian mengunakan browser itu bisa dengan sangat mudah mendapatkan password korban dengan memasuki menu Tools —> Options —> Security –> Saved password.
Contoh lain adalah fasilitas wand password yang dimiliki oleh browser Opera. Saat anda memasukkan user name dan password pada suatu form dan menekan tombol submit, opera secara default akan meminta konfirmasi kepada anda apakah anda ingin browser menyimpan id dan password anda atau tidak. Lagi dan lagi… kebanyakan netter ceroboh, mereka cenderung untuk memilih opsi “YES”.
Lalu?? Orang lain yang kemudian menggunakan browser itu bisa melihat situs apa saja yang telah diakses oleh user, arahkan browser ke situs tersebut, letakkan cursor pada form isian user name, tekan [ALT]+[ENTER] dan BOOOMM!!!! Kenapa?? Jangan kaget dulu!! Hehehe.. form login akan otomatis terisi dengan user name korban lengkap dengan passwordnya ;D (It’s fun enough.. ;)
Ini hanya sebagian kecil contoh, jelajahi fitur-firtur browser lain!
[9]. Googling
Google.com. Banyak sudah situs yang runtuh, password dan nomor – nomor kartu kredit yang dicuri akibat dari ulah orang yang menyalahgunaan kesaktiannya ;) Dahulu, hal ini mudah dilakukan.Hanya dengan mengetikkan kata kunci tertentu yang berkaitan dengan user name dan password, anda bisa memanen ratusan password user melalui google. Tapi sekarang tampaknya anda harus gigit jari jika menggunakan cara diatas ;D
Jangan sedih dulu karena Google baru saja menelurkan produk barunya, yaitu Google Code Search. Ancaman baru mulai timbul, “si pintar” ini kini dapat meng-crawl hingga kepada archive file yang berada di public directory web server. Hati-hati yang punya kebiasaan untuk menyimpan informasi penting di dalamnya (password, dan info berharga lainnya) Sebaiknya mulai sekarang kebiasaan itu dihilangkan. Selalu proteksi folder-folder yang sensitif agar situs anda bisa hidup lebih lama. Kalo nggak… yach.. tunggu ajah ada orang yang memanfaatkan produk baru google ini untuk mengeruk informasi sensitif dari web server anda. dan jika itu sudah terjadi… maka bersiaplah.. “taman bermain” anda akan diambil alih olehnya..
10 vrus vbscript dengan rating teratas dan mematikan
Serangan virus jenis VBScript masih sangat tinggi, ini terbukti dari banyaknya laporan yang mengeluhkan perihal virus jenis script ini. Satu virus yang melesat tinggi ke urutan pertama adalah Discusx.vbs. Bila Anda masih ingat dengan virus ini, di Virus Top-10 edisi Maret 2008 yang lalu, virus Discusx.vbs berada di urutan 5, namun kali ini dia melesat naik ke urutan pertama. Berikut daftar selengkapnya:
1. Discusx.vbs
Virus VBScript yang satu ini, memiliki ukuran sekitar 4.800 bytes. Dia akan mencoba menginfeksi di beberapa drive di komputer Anda, termasuk drive flash disk, yang jika terinfeksi akan membuat file autorun.inf dan System32.sys.vbs pada root drive tersebut. Selain itu, ia pun akan mengubah caption dari Internet Explorer menjadi “.:iscus-X SAY MET LEBARAN! [HAPPY LEBARAN ?!]::.”.
2. Reva.vbs
Lagi, virus jenis VBScript yang lumayan banyak dikeluhkan oleh beberapa pembaca. Ia akan mencoba menyebarkan dirinya ke setiap drive di komputer Anda termasuk drive flash disk. Pada drive terinfeksi akan terdapat file reva.vbs, autorun.inf, dan shaheedan.jpg. Selain itu, ia pun akan mengubah halaman default dari Internet Explorer agar mengarah ke situs lain
3. XFly
PC Media Antivirus mengenali dua varian dari virus ini, yakni XFly.A dan XFly.B. Sama seperti kebanyakan virus lokal lainnya, ia dibuat menggunakan Visual Basic. Memiliki ukuran tubuh sebesar 143.360 bytes tanpa di-compress. Dan ia dapat menyamar sebagai folder, file MP3 WinAmp atau yang lainnya dengan cara mengubah secara langsung resource icon yang ada pada tubuhnya. Ini akan lebih mempersulit user awam dalam mengenalinya. Pada komputer terinfeksi, saat menjalankan Internet Explorer, caption-nya akan berubah menjadi “..:: x-fly ::..”, dan saat memulai Windows pun akan muncul pesan dari si pembuat virus pada default browser. Atau setiap waktu menunjukan pukul 12:30, 16:00, atau 20:00, virus ini pun akan menampilkan layar hitam yang juga berisi pesan dari si pembuat virus.
4. Explorea
Virus yang di-compile menggunakan Visual Basic ini hadir dengan ukuran sekitar 167.936 bytes, tanpa di-compress. Menggunakan icon mirip folder standar Windows untuk mengelabui korbannya. Virus ini akan menyerang Registry Windows Anda dengan mengubah default open dari beberapa extension seperti .LNK, .PIF, .BAT, dan .COM. Pada komputer terinfeksi, disaat-saat tertentu terkadang muncul pesan error, contohnya pada saat membuka System Properties.
5. Gen.FFE
Gen.FFE atau pembuatnya menamakan Fast Firus Engine merupakan salah satu program Virus Generator buatan lokal. Dengan hanya menggunakan program ini, tidak dibutuhkan waktu lama untuk dapat menciptakan virus/varian baru. Virus hasil keluaran program ini menggunakan icon mirip gambar folder standar bawaan Windows. Ia pun akan memblokir akses ke Task Manager, Command Prompt, serta menghilangkan beberapa menu di Start Menu. Ia juga akan membaca caption dari program yang aktif, apabila terdapat string yang berhubungan dengan antivirus maka program tersebut akan segera ditutup olehnya.
6. Hampa
Virus yang juga dibuat menggunakan Visual Basic dan ber-icon-kan folder ini memiliki ukuran tubuh sekitar 110.592 bytes, tanpa di-compress. Banyak sekali perubahan yang ia buat pada Windows, seperti Registry, File System, dan lain sebagainya, yang bahkan dapat menyebabkan Windows tidak dapat digunakan sebagaimana mestinya. Pada komputer yang terinfeksi oleh virus ini, saat memulai Windows akan muncul pesan dari si pembuat virus.
7. Raider.vbs
Virus jenis VBScript ini berukuran sekitar 10.000 bytes, jika file virus dibuka dengan Notepad misalnya, maka tidak banyak string yang bisa dibaca karena dalam kondisi ter-enkripsi. Pada Registry, ia pun memberikan pengenal dengan membuat key baru di HKLM\Software dengan nama sama seperti nama pada computer name, dengan isinya berupa string value seperti nama virus tersebut, Raider, serta tanggal komputer tersebut kali pertama terinfeksi.
8. ForrisWaitme
Virus yang dibuat dengan Visual Basic ini menggunakan icon mirip folder standar Windows untuk melakukan penyamarannya. Beberapa ulahnya adalah menukar fungsi tombol mouse kiri dengan kanan, menghilangkan menu Folder Options, membuat file pesan “baca saya.txt” pada drive terinfeksi, dan masih ada yang lainnya.
9. Pray
Virus lokal ini dibuat menggunakan Visual Basic. Kami mendapati 2 varian dari virus ini, untuk varian Pray.A tidak memiliki icon, sementara untuk varian Pray.B menggunakan icon mirip Windows Explorer. Jika komputer terinfeksi oleh virus ini, saat penunjuk waktu di komputer tersebut menunjukan pukul 05:15, 13:00, 16:00, 18:30, dan atau 19:45, virus ini akan menampilkan pesan yang mengingatkan user untuk melakukan shalat.
10. Rian.vbs
Virus VBScript ini memiliki ukuran 3788 bytes. Saat menginfeksi, ia akan menciptakan file baru autorun.inf dan RiaN.dll.vbs pada setiap root drive yang terpasang di komputer korban, termasuk Flash Disk. Komputer yang terinfeksi oleh virus ini, caption dari Internet Explorer akan berubah menjadi “Rian P2 Humas Cantiq
1. Discusx.vbs
Virus VBScript yang satu ini, memiliki ukuran sekitar 4.800 bytes. Dia akan mencoba menginfeksi di beberapa drive di komputer Anda, termasuk drive flash disk, yang jika terinfeksi akan membuat file autorun.inf dan System32.sys.vbs pada root drive tersebut. Selain itu, ia pun akan mengubah caption dari Internet Explorer menjadi “.:iscus-X SAY MET LEBARAN! [HAPPY LEBARAN ?!]::.”.
2. Reva.vbs
Lagi, virus jenis VBScript yang lumayan banyak dikeluhkan oleh beberapa pembaca. Ia akan mencoba menyebarkan dirinya ke setiap drive di komputer Anda termasuk drive flash disk. Pada drive terinfeksi akan terdapat file reva.vbs, autorun.inf, dan shaheedan.jpg. Selain itu, ia pun akan mengubah halaman default dari Internet Explorer agar mengarah ke situs lain
3. XFly
PC Media Antivirus mengenali dua varian dari virus ini, yakni XFly.A dan XFly.B. Sama seperti kebanyakan virus lokal lainnya, ia dibuat menggunakan Visual Basic. Memiliki ukuran tubuh sebesar 143.360 bytes tanpa di-compress. Dan ia dapat menyamar sebagai folder, file MP3 WinAmp atau yang lainnya dengan cara mengubah secara langsung resource icon yang ada pada tubuhnya. Ini akan lebih mempersulit user awam dalam mengenalinya. Pada komputer terinfeksi, saat menjalankan Internet Explorer, caption-nya akan berubah menjadi “..:: x-fly ::..”, dan saat memulai Windows pun akan muncul pesan dari si pembuat virus pada default browser. Atau setiap waktu menunjukan pukul 12:30, 16:00, atau 20:00, virus ini pun akan menampilkan layar hitam yang juga berisi pesan dari si pembuat virus.
4. Explorea
Virus yang di-compile menggunakan Visual Basic ini hadir dengan ukuran sekitar 167.936 bytes, tanpa di-compress. Menggunakan icon mirip folder standar Windows untuk mengelabui korbannya. Virus ini akan menyerang Registry Windows Anda dengan mengubah default open dari beberapa extension seperti .LNK, .PIF, .BAT, dan .COM. Pada komputer terinfeksi, disaat-saat tertentu terkadang muncul pesan error, contohnya pada saat membuka System Properties.
5. Gen.FFE
Gen.FFE atau pembuatnya menamakan Fast Firus Engine merupakan salah satu program Virus Generator buatan lokal. Dengan hanya menggunakan program ini, tidak dibutuhkan waktu lama untuk dapat menciptakan virus/varian baru. Virus hasil keluaran program ini menggunakan icon mirip gambar folder standar bawaan Windows. Ia pun akan memblokir akses ke Task Manager, Command Prompt, serta menghilangkan beberapa menu di Start Menu. Ia juga akan membaca caption dari program yang aktif, apabila terdapat string yang berhubungan dengan antivirus maka program tersebut akan segera ditutup olehnya.
6. Hampa
Virus yang juga dibuat menggunakan Visual Basic dan ber-icon-kan folder ini memiliki ukuran tubuh sekitar 110.592 bytes, tanpa di-compress. Banyak sekali perubahan yang ia buat pada Windows, seperti Registry, File System, dan lain sebagainya, yang bahkan dapat menyebabkan Windows tidak dapat digunakan sebagaimana mestinya. Pada komputer yang terinfeksi oleh virus ini, saat memulai Windows akan muncul pesan dari si pembuat virus.
7. Raider.vbs
Virus jenis VBScript ini berukuran sekitar 10.000 bytes, jika file virus dibuka dengan Notepad misalnya, maka tidak banyak string yang bisa dibaca karena dalam kondisi ter-enkripsi. Pada Registry, ia pun memberikan pengenal dengan membuat key baru di HKLM\Software dengan nama sama seperti nama pada computer name, dengan isinya berupa string value seperti nama virus tersebut, Raider, serta tanggal komputer tersebut kali pertama terinfeksi.
8. ForrisWaitme
Virus yang dibuat dengan Visual Basic ini menggunakan icon mirip folder standar Windows untuk melakukan penyamarannya. Beberapa ulahnya adalah menukar fungsi tombol mouse kiri dengan kanan, menghilangkan menu Folder Options, membuat file pesan “baca saya.txt” pada drive terinfeksi, dan masih ada yang lainnya.
9. Pray
Virus lokal ini dibuat menggunakan Visual Basic. Kami mendapati 2 varian dari virus ini, untuk varian Pray.A tidak memiliki icon, sementara untuk varian Pray.B menggunakan icon mirip Windows Explorer. Jika komputer terinfeksi oleh virus ini, saat penunjuk waktu di komputer tersebut menunjukan pukul 05:15, 13:00, 16:00, 18:30, dan atau 19:45, virus ini akan menampilkan pesan yang mengingatkan user untuk melakukan shalat.
10. Rian.vbs
Virus VBScript ini memiliki ukuran 3788 bytes. Saat menginfeksi, ia akan menciptakan file baru autorun.inf dan RiaN.dll.vbs pada setiap root drive yang terpasang di komputer korban, termasuk Flash Disk. Komputer yang terinfeksi oleh virus ini, caption dari Internet Explorer akan berubah menjadi “Rian P2 Humas Cantiq
teknik hacking pada aplikasi web
Ada beberapa teknik hacking pada web aplikasi diantaranya adalah sebagai berikut:
1. Hidden Manipulation
Field-field tersembunyi sering digunakan untuk menyimpan informasi tentang sesi klien, untuk menjaga kompleksitas database pada server side. Seorang klien biasanya tidak melihat field tersembunyi dan juga tidak berusaha untuk mengubahnya. Bagaimanapun juga memodifikasi form field sangatlah sederhana. Sebagai contoh , marilah kita anggap bahwa harga sebuah produk disimpan dalam field tersembunyi. Seorang hacker dapat mengubah harganya, seperti berikut ini :
* Membuka sebuah halaman html dengan HTML editor.
* Menempatkan sebuah field tersembunyi (contoh., “”)
* Memodifikasi nilainya dengan nilai yang berbeda (contoh. “”)
* Menyimpan file html ditempat itu dan mem-browse-nya.
* Mengklik tombol “buy” untuk menampilkan e-shoplifting melalui hidden manipulation.
2. Parameter Tampering (Perusakan Parameter)
Kegagalan untuk mengkonfirmasi kebenaran dari parameter-parameter Common Gateway Interface (CGI) yang tersimpan dalam hyperlink., dapat dengan mudah digunakan untuk mematahkan keamanan situs. Seperti di bawah ini :
Search.exe?template=result.html&q=security
Dengan mengganti parameter template, seorang hacker dapat memperoleh akses menuju file yang diinginkannya,
seperti /etc/passwd atau private key situs contoh : Search.exe?template=/etc/passwd&q=security
3. Cookie Poisoning
Umumnya Web aplikasi menggunakan cookie dengan tujuan untuk menyimpan informasi (user id, time stamp, dan lain-lain.) pada sisi klien. Sebagai contoh, ketika seorang user log ke beberapa situs, sebuah login CGI memvalidasi user name-nya dan password-nya dan mengeset sebuah cookie dengan identifier numerik-nya. Ketika user mengecek preference-nya kemudian, CGI yang lain (sebut saja, preferences.asp) me-retrive cookie dan menampilkan catatan-catatan user information sesuai dengan user-nya. Data-data yang tersimpan dalam cookie tidaklah aman, seorang hacker dapat memodifikasi-nya, jadi informasi yang terdapat pada cookie tersebut dapat dicuri dan dimanfaatkan oleh hacker.
III. Perampokan Acme Fashion, Inc.
Pada pertengahan th 1990an, ketika popularitas Web sedang menanjak, wakil manajer pemasarannya memutuskan untuk membuat situs www.acme-fashions.com bagi perusahaannya dan meletakkan dan meletakkan semua katalog di sana. Tim marketing kemudian sibuk membuat halaman HTML dan mengkonversi katalog-katalognya dalam bentuk elektronis.
Tetapi, begitu ada penjualan melalui situs Web tersebut, muncul juga keluhan-keluhan pelanggan. Kebanyakan keluhan ditujukan kepada departemen keuangan dan gudang. Departemen keuangan sering menerima keluhan mengenai produk yang dijual berharga lebih rendah daripada harga yang ditetapkan, padahal tidak ada diskon atau promosi yang ditawarkan. Karyawan di bagian pengiriman sering bingung sewaktu mereka mendapat order pengiriman dengan jumlah barang tertulis dalam angka negatif. Ketika kerugian hampir mencapai 100.000 dolar, akhirnya pihak direksi memanggil tim ahli sekuriti.
3.1. Melacak Masalah
Toko Web Acme – www.acme-fashions.com – telah menerapkan beberapa teknologi berikut ini:
Sistem Operasi Microsoft Windows NT 4.0
Web Server Microsoft Internet Information Server (IIS) 4.0
Katalog Online Template dan Active Server Page (ASP)
Database back-end Microsoft Access 2.0
Shopping Troli Shopcart.exe
Katalog HTML dibuat dengan menggunakan template dan Active Server Pages. Tim pemasaran pernah menggunakan FoxPro untuk database-nya dan menghasilkan halaman katalog HTML secara otomatis. Kemudian database Fox-Pro itu dikonversi ke dalam database Microsoft Access dan antarmukanya memakai ASP. Aplikasi trolli belanjanya, Shocart.exe, di setup pada server, serta template ASP didesain untuk menghasilkan HTML yang terhubung dengan aplikasi troli belanja. Troli belanja mengambil informasi produk dari HTML tersebut. Saat itu, kelihatannya semua cara itu sangat mempermudah dan mempercepat kesiapan toko elektronis dan bisa online sebelum deadline.
Shopcart.exe mempunyai sistem session management-nya sendiri, untuk menjalankan sesi troli belanja, yang bergantung pada cookie dan server-side session identifier. Karena tidak dimungkinkan untuk memodifikasi Shopcart.exe, tugas-tugas untuk memvalidasi input diserahkan ke JavaScript yang bekerja pada browser pelanggan.
3.2. Bahaya Tersembunyi pada Field-Field Tersembunyi
Setelah dipelajari ternyata ditemukan sebuah lubang pada cara penerapan sistem troli belanja. Dimana satu-satunya cara untuk menghubungkan harga dengan produknya melalui tag-tag tersembunyi pada halaman HTML. Gambar 3.1. menunjukkan halaman yang menampilkan baju-baju dan katalog di http://www.sceme-fashions.com.
Setiap baju memiliki hubungan dengan form penerimaan kuantitas baju yang dibeli dan terhubung juga dengan troli belanja. Pada kode HTML seperti yang diperlihatkan pada gambar 3.2. juga dapat ditemukan kelemahannya, yakni pada beberapa baris terakhir.
Source code berikut ini digunakan untuk memanggil Shopchart.Exe:
Quantity:
Sewaktu user mengklik tombol Buy, browser men-submit semua field input ke server, menggunakan request POST. Ada tiga field tersembunyi pada baris 2, 3, dan 4 dari kode tersebut. Nilai-nilainya juga terkirim bersama dengan request POST. Dengan demikian, sistem membuka suatu kelemahan pada tingkat aplikasi, karena user bisa saja memanipulir nilai dari field tersembunyi sebelum men-submit-nya ke form.
Untuk memahami situasi ini secara lebih baik, maka dapat kita perhatikan secara seksama request HTTP yang berasal dari browser ke server:
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com/shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image /gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset : iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-lengt: 65
PartNo=OS0015&Item=Acme+Shirts&Price=89.99&qty=1&buy.x=16&buy.y=5
Nilai dari field tersembunyi PartNo, Item dan Price di-submit dalam request POST ke /cgi-bin/shopcart.exe. Itulah cara satu-satunya Shopcart.exe mengambil harga, misalnya baju nomor OS0015. Browser menampilkan respon yang ditunjukkan pada Gambar 3.3.
Oleh karena request POST dikirim bersama dengan nilai yang bisa dimodifikasi pada field price, user pun bisa mengontrol harga baju tersebut. Request Post berikut ini menunjukkan bahwa harga baju yang semula 89.99 dolar diubah menjadi 0,99 dolar.
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com /shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-length: 64
PartNO=OS0015&Item=Acme+Shirts&Price=0.99&qty=1&buy.x=16&buy.y=5
Cara mudah untuk mengubah-ubah harga adalah dengan menyimpan halaman katalog, shirts2.asp, menampilkannya pada browser sebagai salinan lokal, shirts2.html, di hard disk user, mengedit file tersebut, dan mengubah – ubah kode HTMLnya. Gambar 3.4. menunjukkan bagaimana user menyimpan halaman tersebut.
User pertama-tama mengubah nilai pada field price pada baris . Perubahan berikutnya adalah pada link ACTION=dalm tag
. Link yang dituju adalah http://www.acme-fashions.com/cgi-bin/shopcart.exe. Gambar 3.5. menunjukkan file shirts2.html setelah memodifikasi harga menjadi 0,99 dolar.
Sekarang, jika user membuka file yang sudah dimodifikasi ini, shirts2.html, pada browser dan men-submit request untuk membeli pakaian, dan melihat window seperti ditunjukkan pada gambar 3.6.
Seperti yang dapat kita lihat, hal inilah yang membuat Acme-Fashions menderita kerugian. Setelah melakukan penelitian menyeluruh pada semua order dan transaksi, tim pemeriksa keamanan menemukan juga bahwa sejumlah besar ”pelanggan” bisa membeli barang dalam harga yang sangat rendah. Kata ”pelanggan” dalam konteks ini mengandung arti para hacker.
3.3. Mem-Bypass Validasi Client Side
Kesalahan lain yang ditemukan oleh tim peneliti keamanan adalah cara input divalidasi sebelum dilewatkan ke Shopcart.exe. Aplikasi Web terdiri dari banyak script dan komponen interaktif. Semua itu terutama untuk berinteraksi dengan user melalui form HTML pada browser. Bagian interaktif dari tiap komponen mengambil input dari form HTML dan memprosesnya pada server. Form HTML berciri generik bila berfungsi sebagai pengambil data, dan tak ada cara lain untuk menjamin validasi data di dalam form seperti itu. Misalnya, bila sebuah form HTML didesain untuk menerima tanggal, user bisa saja memasukkan tanggal seperti ini: 99/88/77 dan browser tidak mempedulikannya. Aplikasi harus memiliki mekanisme validasi inputnya sendiri untuk mem-filter input-input yang salah bentuk atau tidak sesuai dengan kriteria yang sudah ditentukan pada aplikasi. Validasi input untuk form HTML bisa dilakukan baik pada server-side dengan Perl, PHP, atau ASP, dll. Juga dapat dilakukan pada client-side dengan menggunakan bahasa script seperti JavaScript atau Vbscript.
Tim pengembangan Acme menyadari kebutuhan validasi input seperti itu. Tetapi, karena Shopcart.exe merupakan aplikasi yang berciri Prepackaged (tidak bisa dimodifikasi lebih lanjut), maka ia tidak bisa dimodifikasi untuk bisa menggabungkan validasi input dengan script client-side pada browser-nya sendiri, mungkin dengan tujuan untuk menghemat penggunaan CPU server, sehingga pekerjaan itu dijalankan oleh browser klien.
Namun, kenyataannya mekanisme client-side manapun bisa diubah-ubah dengan cara mengedit atau mengganti-ganti source code HTML yang diterima oleh browser. Tim penguji keamanan menemukan beberapa contoh validasi client-side yang digunakan pada www.acme-fashion.com. Gambar 3.7. menunjukkan validasi input sedang dijalankan pada sistem Acme. Seorang user berusaha membeli sejumlah ”-5” pakaian dan sebuah peringatan muncul bahwa user memasukkan nilai yang salah.
Berikut ini adalah kode JavaScript untuk memvalidasi input yang dipisahkan dari elemen-elemen HTML-nya.
function validate(e) {
if(isNaN(e.value) || e.value <= 0) {
alert (“Please enter a valid number”) ;
e.value = 1;
e.focus();
return false;
}
else {
return true;
}
}
:
:
Kode ini memastikan bahwa hanya angka positif saja yang diperbolehkan pada field qty. Tetapi, karena validasi ini dilakukan oleh script client-side, maka bisa dengan mudah di-bypass. Menonaktifkan eksekusi JavaScript dengan cara men-setting preferensi browser bisa membuat hacker mem-bypass validasi pada client-side. Jika kita memasukkan nilai apa saja yang diinginkan pada field-field input.
Gambar 3.8. menunjukkan bagaimana menonaktifkan JavaScript pada Netscape. Sekarang jika user memasukkan nilai ”-3”, browser akan mengeluarkan request POST berikut ini pada server.
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com /shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-length: 63
PartNo=OS0015&Item=Acme+Shirts&Price=-3&qty=1&buy.x=16&buy.y=5
Selanjutnya dapat kita lihat bagaimana request HTTP ini bisa mem-bypass seluruhnya validasi input pada client-side. Gambar 3.9. menunjukkan respon pada server.
Pada layar tampak bahwa user telah membuat pesanan untuk 5 baju masing-masing seharga 55,99 dolar, dan hari berikutnya membeli -3(minus 3) baju masing-masing seharga 89,99 dolar. Total biaya adalah 4,98 dolar. Kemampuan untuk meletakkan angka negatif pada jumlah pembelian bisa membuat si pembeli kegirangan. Kecacatan inilah yang menyebabkan karyawan pengiriman Acme menerima order jumlah item dengan angka negatif.
3.4. Menghadapi Masalah Baru pada Sistem yang Telah Diteliti
Sebelumnya, pihak direksi Acme sudah berhadapan dengan dan mengatasi masalah-masalah menyangkut pengubahan nilai harga barang selama belanja musim liburan yang baru lalu. Sepertinya hal itu belum cukup, sekarang Acme menghadapi masalah lagi. Kali ini berhubungan dengan pencurian kartu kredit. Pihak direksi memanggil lagi tim ahli keamanan komputer untuk menganalisis masalah tersebut.
Tim itu menemukan bahwa pada semua log di Web server selama bulan Agustus, tidak ada entri satu pun untuk tanggal 29 Agustus. Tim yakin bahwa hal itu disebabkan oleh hacker yang menghilangkan file C:\WINNT\ System32\ LogFiles\ W3SVC1\ ex20010829. log yang berisi data log untuk tanggal itu. Ukuran file-nya pun direduksi menjadi 0 byte. Ini menunjukkan bahwa hacker pasti sudah memasuki kontrol administratif pada server agar bisa menghapus log-log pada Web server IIS.
Karena tidak ada catatan yang bisa diteliti lebih lanjut, akhirnya tim tersebut hanya bisa berspekulasi mengenai penyebab serangan. Penyelidikan yang menyeluruh pada sistem hard disk menghasilkan bahwa file ”purchases.mdb” ada pada dua direktori.
C: \>dir purchases.mdb / s
Volume in drive C is ACMEFASHION
Volume Serial Number is 48CD-A4A0
Directory of C:\ACMEDATA
08/29/2001 08:13p 2,624,136 purchases.mdb
1 files(s) 2,624.136 bytes
Directory of C:\Inetpub\wwwroot
08/29/2001 08:33p 2,624,136 purchases.mdb
1 files(s) 2,624,136 bytes
Total Files Listed:
2 File(s) 5,248,272 bytes
0 Dir(s) 111,312,896 bytes free
Bagaimana file purchases.mdb bisa dikopi dari direktori C:\ACMEDATA ke C:\Inetpub\wwwroot? Administrator sistem di Acme Fashion menyatakan bahwa purchases.mdb dipakai untuk menampung informasi order pelanggan, termasuk nama, alamat pengiriman, alamat tagihan, iem yang dibeli dan kartu kredit yang digunakan untuk untuk membayar item-item tersebut. Pihak yang mendesain aplikasi meyakinkan direksi bahwa file database berada di luar root dokumen server (c:\inetpub\wwwroot0. Tim ahli keamanan menyimpulkan bahwa, karena salinan dari file purchase.mdb dibuat pada jam 11:33 p.m tanggal 29 Agustus 2001, telah terjadi penyalahgunaan kartu kredit oleh hacker. Hacker pasti telah menyalin file dari C:\ACMEDATA ke C:Inetpub\wwwroot dan men-download-nya pada browser menggunakan request http://www.acme-fashions.com/purchase.-mdb. Tetapi, ia rupanya lupa menghapus salinan file pada direrktori C:\Inetpub\wwwroot setelah men-download-nya.
3.5. Eksekusi Perintah Jarak Jauh
Kenyataan bahwa satu file bisa dikopi dari satu lokasi ke lokasi dan bahwa log-log Web server dihapus mengisyaratkan bahwa hacker berhasil menjalankan perintah-perintah eksekusi pada www.acme-fashions.com dan memiliki akses ke sana setingkat ”super-user” atau ”administrator”. Setelah mengevaluasi secara menyeluruh keamanan sistem operasi dan mengunci semua prosedur, tim menyimpulkan bahwa kelemahannya hampir pasti terletak pada error di kode program aplikasi. Masalah tersebut kemudian bermuara pada cacatnya validasi input pada kode program troli belanjanya sendiri. Gambar 3.10. menunjukkan bagaimana troli belanja berinteraksi dengan beragam elemen dari aplikasi Web.
Troli belanja dikendalikan oleh script Perl pusat, yaitu mywebcart.cgi. Semua sesi client-side dilacak dan diatur oleh mywebcart.cgi. Troli belanja mengambil informasi produk dari database products.mdb dan membawanya ke modul terminal checkout yang menangani pembayaran pelanggan yang kemudian disimpan pada purchase.mdb.
Gambar 3.11. menunjukkan halaman yang dihasilkan oleh mywebcart.cgi. Pada gambar dapat kita lihat bagaimana URL dikomposisi.
URL tersebut adalah:
http://www.acme-fashions.com/cgi -
bin/ mywebcart.cgi?Cust=0873&nextpage=shirts3.html&cid=03417
Elemen yang paling menarik pada URL ini adalah parameter-parameter yang dilewatkan berikut nilai-nilainya. Pada parameter nextpage melewatkan nilai ”shirts3.html”. Pada kode program Perl mywebcart.cgi, baris berikut ini mempunyai kelemahan:
$file = ”c: \inetpub\wwwroot\catalog_templates\” . $input { ‘nextpage’};
open (FILE, $file) || die “Cannot open $file\n”;
File mywebchart.cgi terkunci. Parameter nextpage dilewatkan ke fungsi Perl open() tanpa ada satupun validasi input. Seorang penyerang bisa menyisipkan simbol pipa “|” di belakang nilai yang ditentukan pada nextpage dan menyebabkan fungi open() bisa mengeksekusi perintah-perintah yang merugikan.
Request berikut ini menyebabkan mywebcart.cgi mengeksekusi perintah “dir c:\” pada www.acme-fashions.com:
http://www.acme-fashions.com/cgi -
bin/mywebcart.cgi?cust=0873&nextpage=;dir+c:\|&cid=03417
Pada titik ini kita bisa beranggapan bahwa hacker harus telah menjalankan tampilan daftar direktori penuh dengan perintah ”dir c;\|s”. Dari hasil yang tampak, si hacker mengetahui bahwa ada file purchase.mdb pada direktori C:\ACMEDATA. Selanjutnya ia menyalin file tersebut ke c:\inetpub\wwwroot kemudian men-download-nya menggunakan alamat http://www.acme-fashions.com/purchase.mdb. Gambar 3.13. dan 3.14. menunjukkan bagaimana file itu disalin dan akhirnya di-download.
Demonstrasi oleh para ahli keamanan ini menunjukkan adanya pelanggaran keamanan yang serius pada mywebcart.cgi. Bahkan saat ini, banyak model troli belanja yang terkenal dan dipakai orang memiliki kelemahan-kelemahan seperti itu.
3.6. Posmortem dan Pencegahan Lebih Lanjut
Acme Fashions, Inc., menderita banyak kerugian uang dan waktu oleh karena tiga kesalahan selama satu rentang waktu. Semua kesalahan itu muncul karena cacatnya bentuk validasi input dan karena kurang terintegrasinya data yang diterima dari Web browser.
Pertama, kecacatan itu disebabkan oleh penggunaan field-field tersembunyi secara tidak benar. Informasi penting seperti ID produk dan harga dilewatkan melalui field tersembunyi dalam form HTML. Kita tahu bahwa sewaktu respon HTML dikirim melalui browser web, server itu kehilangan kendali atas data yang dikirim. HTTP bersifat statis, dan server tidak bisa menentukan apakah data yang dikembalikan masih utuh atau sudah rusak. Field tersembunyi bisa dimanipulir pada client side dan dikirimkan kembali ke Web server. Jika server tidak mempunyai cara validasi input yang ketat atas informasi dari field tersembunyi, klien bisa merusak data dan tidak terkendali lagi oleh sistem. Untuk memproteksi sistem dari serangan integritas data seperti ini, developer situs Web harus mencegah pelewatan informasi melalui field tersembunyi. Sebaliknya, informasi seperti ini seharusnya diletakkan pada database di server, dan informasi itu dapat diambil dari database jika diperlukan.
Kesalahan kedua adalah menggunakan script client-side untuk menjalankan validasi input. Para developer sering tergoda untuk menggunakan JavaScript atau VBScript dalam menulis program pengeksekusian pada client-side dan membuang batasan-batasan yang ada pada server. Tetapi, script client-side sama rentannya dengan field tersembunyi dalam hal daya tahan dari perusakan data. Script client-side seharusnya hanya digunakan untuk melancarkan navigasi atau menambahkan interaktifitas dan daya tarik halaman Web. Seorang penyerang bisa dengan mudah melewatkan atau memodifikasi script client-side dan menghindari setiap bentuk pemeriksaan yang dilakukan oleh script tersebut. Dalam kasus Acme, penyerang bisa menyisipkan nilai kuantitas negatif dengan mudahnya dan melewati setiap bentuk batasan yang dijalankan oleh oleh JavaScript. Sama dengan hal itu, beberapa toko berbasis Web menjalankan operasi aritmatik pada client-side, misalnya menghitung total kuantitas dan harga dari sebuah order dari dalam form isian itu sendiri. Bagi pelanggan sendiri akan menjadi fitur yang menarik bila mereka bisa mengetahui harga yang sudah di-update pada browser tanpa perlu men-submit nilai ke server dan menunggu respon darinya. Tetapi, teknik ini harus dihindari dan aplikasi harus didesain untuk mengeksekusi validasi dan perhitungan pada server side sehingga penyerang tidak bisa memanipulir data.
Kelemahan yang terakhir disebabkan oleh sanitasi input yang lemah pada mywebcart.cgi. Sewaktu data dilewatkan oleh field dalam bentuk HTML ke fungi-fungsi yang rentan seperti open(), buanglah setiap kombinasi atau meta-karakter. Dua bentuk validasi input yang harus dilaksanakan ditujukan kepada: pertama, panjang data yang diterima (untuk mencegah serangan buffer overflow) dan kedua, meta-karakter. Dalam hal ini, Acme harus menyisipkan sanitasi input untuk menapis meta-karakter seperti ”&”, ”%”, ”$”, ”|”, dan ”<”.
Masalah keamanan lainnya yang terkait dengan sistem belanja e-commerce, secara umum meliputi informasi yang dipanggil dari file temporer pada server, mekanisme enkripsi yang buruk, eksposur file system directory, eskalasi privilege, disklosur informasi pelanggan, perubahan produk, perubahan order, dan penolakan terhadap layanan. Semua hal tersebut memberikan celah bagi terjadinya serangan. Masalah ini ditemukan pada beberapa aplikasi e-commerce.
IV. Menangkis Serangan pada Web Application
Para hacker biasanya mencari sebuah target yang mudah untuk di-hack dalam waktu yang singkat. Berikut ini adalah beberapa teknik yang dapat digunakan untuk menangkis serangan pada Web application.
* Akses ke situs dengan memanfaatkan SSL.
Hanya dengan menggunakan secure socket layer (SSL), situs akan memblok simple CGI scanners, tool-tool raw-interface mode dan worm-worm internet. Memanfaatkan SSL dapat dengan mudah dilakukan dengan cara membuat suatu konfigurasi server yang hanya bekerja pada SSL (biasanya pada port 443) dan memblok trafik menuju por 80. Jika dibutuhkan sebuah entry page dalam HTTP, maka ini mungkin dapat menggunakan sebuah server kecil yang akan mengalihkan ke alamat HTTPS.
* Menggunakan metoda ”HTTP post” seluas mungkin.
Menggunakan ”HTTP post” request mengurangi kemudahan dari penggunaan tool-tool raw-mode interface dan browser-browser untuk menyerang sebuah situs. Penyerang menggunakan tool-tool raw-mode interface untuk digunakan secara manual meng-craft sebuah POST request, yang sedikit lebih susah daripada sebuah GET request sederhana, karena mereka harus menghitung exact body lenght untuk header dari mandatory content-length. Untuk memanipulasi beberapa parameter values dengan menggunakan browser, penyerang harus menyimpan HTML source ke disk, lalu memodifikasinya, dan kemudian me-reload-nya kembali ke browser.
* Memanfaatkan HTTP Authorization pada semua content dari situs.
Ini merupakan metoda sederhana yang akan bekerja dengan baik melawan worm-worm internet, simple CGI scanner, dan akan berdampak pada tool-tool raw-mode interface. Server benar-benar akan menolak beberapa request yang tidak otentik. Untuk mengizinkan user anonim untuk bekerja pada situs, mungkin dapat dilakukan dengan cara mengeluarkan halaman entry point dari skema ini dan menulis user name dan password pada situs yang lainnya. Dengan kata lain ini mempunyai efek pada tool-tool sederhana. Semua tool yang tidak didukung otentikasi tidak akan bekerja pada situs ini. Termasuk worm-worm internet dan simple CGI scanner. Penyerang akan membutuhkan suatu data otentikasi HTTP pada setiap usaha penyerangannya. Ketika menggunakan tool-tool URL interface-mode, penyerang harus men-set parameter-parameter otentikasi HTTP ke nilai yang harus digunakan pada situs.
* “Menendang” para klien keluar dari aplikasi ketika terjadi error.
User-user reguler biasanya tidak membuat banyak kesalahan, setidak-tidaknya pada sesi yang sama. Jika sebuah situs mempunyai sebuah konsep aplikasi, dan jika klien dibutuhkan untuk melewati beberapa step untuk memperoleh sebuah sesi, maka mungkin saja terjadi upaya untuk memperoleh sesi yang invalid atau tidak syah dan ini bisa dideteksi sebagai sebuah serangan. Penyerang akan melakukan beberapa percobaan untuk memperoleh sebuah sesi selama beberapa kali, ketika ini terjadi maka sistem akan bekerja dan akan secara otomatis menolaknya untuk memasuki sebuah aplikasi.
Ada beberapa teknik hacking pada web aplikasi diantaranya adalah sebagai berikut:
1. Hidden Manipulation
Field-field tersembunyi sering digunakan untuk menyimpan informasi tentang sesi klien, untuk menjaga kompleksitas database pada server side. Seorang klien biasanya tidak melihat field tersembunyi dan juga tidak berusaha untuk mengubahnya. Bagaimanapun juga memodifikasi form field sangatlah sederhana. Sebagai contoh , marilah kita anggap bahwa harga sebuah produk disimpan dalam field tersembunyi. Seorang hacker dapat mengubah harganya, seperti berikut ini :
* Membuka sebuah halaman html dengan HTML editor.
* Menempatkan sebuah field tersembunyi (contoh., “”)
* Memodifikasi nilainya dengan nilai yang berbeda (contoh. “”)
* Menyimpan file html ditempat itu dan mem-browse-nya.
* Mengklik tombol “buy” untuk menampilkan e-shoplifting melalui hidden manipulation.
2. Parameter Tampering (Perusakan Parameter)
Kegagalan untuk mengkonfirmasi kebenaran dari parameter-parameter Common Gateway Interface (CGI) yang tersimpan dalam hyperlink., dapat dengan mudah digunakan untuk mematahkan keamanan situs. Seperti di bawah ini :
Search.exe?template=result.html&q=security
Dengan mengganti parameter template, seorang hacker dapat memperoleh akses menuju file yang diinginkannya,
seperti /etc/passwd atau private key situs contoh : Search.exe?template=/etc/passwd&q=security
3. Cookie Poisoning
Umumnya Web aplikasi menggunakan cookie dengan tujuan untuk menyimpan informasi (user id, time stamp, dan lain-lain.) pada sisi klien. Sebagai contoh, ketika seorang user log ke beberapa situs, sebuah login CGI memvalidasi user name-nya dan password-nya dan mengeset sebuah cookie dengan identifier numerik-nya. Ketika user mengecek preference-nya kemudian, CGI yang lain (sebut saja, preferences.asp) me-retrive cookie dan menampilkan catatan-catatan user information sesuai dengan user-nya. Data-data yang tersimpan dalam cookie tidaklah aman, seorang hacker dapat memodifikasi-nya, jadi informasi yang terdapat pada cookie tersebut dapat dicuri dan dimanfaatkan oleh hacker.
III. Perampokan Acme Fashion, Inc.
Pada pertengahan th 1990an, ketika popularitas Web sedang menanjak, wakil manajer pemasarannya memutuskan untuk membuat situs www.acme-fashions.com bagi perusahaannya dan meletakkan dan meletakkan semua katalog di sana. Tim marketing kemudian sibuk membuat halaman HTML dan mengkonversi katalog-katalognya dalam bentuk elektronis.
Tetapi, begitu ada penjualan melalui situs Web tersebut, muncul juga keluhan-keluhan pelanggan. Kebanyakan keluhan ditujukan kepada departemen keuangan dan gudang. Departemen keuangan sering menerima keluhan mengenai produk yang dijual berharga lebih rendah daripada harga yang ditetapkan, padahal tidak ada diskon atau promosi yang ditawarkan. Karyawan di bagian pengiriman sering bingung sewaktu mereka mendapat order pengiriman dengan jumlah barang tertulis dalam angka negatif. Ketika kerugian hampir mencapai 100.000 dolar, akhirnya pihak direksi memanggil tim ahli sekuriti.
3.1. Melacak Masalah
Toko Web Acme – www.acme-fashions.com – telah menerapkan beberapa teknologi berikut ini:
Sistem Operasi Microsoft Windows NT 4.0
Web Server Microsoft Internet Information Server (IIS) 4.0
Katalog Online Template dan Active Server Page (ASP)
Database back-end Microsoft Access 2.0
Shopping Troli Shopcart.exe
Katalog HTML dibuat dengan menggunakan template dan Active Server Pages. Tim pemasaran pernah menggunakan FoxPro untuk database-nya dan menghasilkan halaman katalog HTML secara otomatis. Kemudian database Fox-Pro itu dikonversi ke dalam database Microsoft Access dan antarmukanya memakai ASP. Aplikasi trolli belanjanya, Shocart.exe, di setup pada server, serta template ASP didesain untuk menghasilkan HTML yang terhubung dengan aplikasi troli belanja. Troli belanja mengambil informasi produk dari HTML tersebut. Saat itu, kelihatannya semua cara itu sangat mempermudah dan mempercepat kesiapan toko elektronis dan bisa online sebelum deadline.
Shopcart.exe mempunyai sistem session management-nya sendiri, untuk menjalankan sesi troli belanja, yang bergantung pada cookie dan server-side session identifier. Karena tidak dimungkinkan untuk memodifikasi Shopcart.exe, tugas-tugas untuk memvalidasi input diserahkan ke JavaScript yang bekerja pada browser pelanggan.
3.2. Bahaya Tersembunyi pada Field-Field Tersembunyi
Setelah dipelajari ternyata ditemukan sebuah lubang pada cara penerapan sistem troli belanja. Dimana satu-satunya cara untuk menghubungkan harga dengan produknya melalui tag-tag tersembunyi pada halaman HTML. Gambar 3.1. menunjukkan halaman yang menampilkan baju-baju dan katalog di http://www.sceme-fashions.com.
Setiap baju memiliki hubungan dengan form penerimaan kuantitas baju yang dibeli dan terhubung juga dengan troli belanja. Pada kode HTML seperti yang diperlihatkan pada gambar 3.2. juga dapat ditemukan kelemahannya, yakni pada beberapa baris terakhir.
Source code berikut ini digunakan untuk memanggil Shopchart.Exe:
Quantity:
Sewaktu user mengklik tombol Buy, browser men-submit semua field input ke server, menggunakan request POST. Ada tiga field tersembunyi pada baris 2, 3, dan 4 dari kode tersebut. Nilai-nilainya juga terkirim bersama dengan request POST. Dengan demikian, sistem membuka suatu kelemahan pada tingkat aplikasi, karena user bisa saja memanipulir nilai dari field tersembunyi sebelum men-submit-nya ke form.
Untuk memahami situasi ini secara lebih baik, maka dapat kita perhatikan secara seksama request HTTP yang berasal dari browser ke server:
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com/shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image /gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset : iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-lengt: 65
PartNo=OS0015&Item=Acme+Shirts&Price=89.99&qty=1&buy.x=16&buy.y=5
Nilai dari field tersembunyi PartNo, Item dan Price di-submit dalam request POST ke /cgi-bin/shopcart.exe. Itulah cara satu-satunya Shopcart.exe mengambil harga, misalnya baju nomor OS0015. Browser menampilkan respon yang ditunjukkan pada Gambar 3.3.
Oleh karena request POST dikirim bersama dengan nilai yang bisa dimodifikasi pada field price, user pun bisa mengontrol harga baju tersebut. Request Post berikut ini menunjukkan bahwa harga baju yang semula 89.99 dolar diubah menjadi 0,99 dolar.
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com /shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-length: 64
PartNO=OS0015&Item=Acme+Shirts&Price=0.99&qty=1&buy.x=16&buy.y=5
Cara mudah untuk mengubah-ubah harga adalah dengan menyimpan halaman katalog, shirts2.asp, menampilkannya pada browser sebagai salinan lokal, shirts2.html, di hard disk user, mengedit file tersebut, dan mengubah – ubah kode HTMLnya. Gambar 3.4. menunjukkan bagaimana user menyimpan halaman tersebut.
User pertama-tama mengubah nilai pada field price pada baris . Perubahan berikutnya adalah pada link ACTION=dalm tag
. Link yang dituju adalah http://www.acme-fashions.com/cgi-bin/shopcart.exe. Gambar 3.5. menunjukkan file shirts2.html setelah memodifikasi harga menjadi 0,99 dolar.
Sekarang, jika user membuka file yang sudah dimodifikasi ini, shirts2.html, pada browser dan men-submit request untuk membeli pakaian, dan melihat window seperti ditunjukkan pada gambar 3.6.
Seperti yang dapat kita lihat, hal inilah yang membuat Acme-Fashions menderita kerugian. Setelah melakukan penelitian menyeluruh pada semua order dan transaksi, tim pemeriksa keamanan menemukan juga bahwa sejumlah besar ”pelanggan” bisa membeli barang dalam harga yang sangat rendah. Kata ”pelanggan” dalam konteks ini mengandung arti para hacker.
3.3. Mem-Bypass Validasi Client Side
Kesalahan lain yang ditemukan oleh tim peneliti keamanan adalah cara input divalidasi sebelum dilewatkan ke Shopcart.exe. Aplikasi Web terdiri dari banyak script dan komponen interaktif. Semua itu terutama untuk berinteraksi dengan user melalui form HTML pada browser. Bagian interaktif dari tiap komponen mengambil input dari form HTML dan memprosesnya pada server. Form HTML berciri generik bila berfungsi sebagai pengambil data, dan tak ada cara lain untuk menjamin validasi data di dalam form seperti itu. Misalnya, bila sebuah form HTML didesain untuk menerima tanggal, user bisa saja memasukkan tanggal seperti ini: 99/88/77 dan browser tidak mempedulikannya. Aplikasi harus memiliki mekanisme validasi inputnya sendiri untuk mem-filter input-input yang salah bentuk atau tidak sesuai dengan kriteria yang sudah ditentukan pada aplikasi. Validasi input untuk form HTML bisa dilakukan baik pada server-side dengan Perl, PHP, atau ASP, dll. Juga dapat dilakukan pada client-side dengan menggunakan bahasa script seperti JavaScript atau Vbscript.
Tim pengembangan Acme menyadari kebutuhan validasi input seperti itu. Tetapi, karena Shopcart.exe merupakan aplikasi yang berciri Prepackaged (tidak bisa dimodifikasi lebih lanjut), maka ia tidak bisa dimodifikasi untuk bisa menggabungkan validasi input dengan script client-side pada browser-nya sendiri, mungkin dengan tujuan untuk menghemat penggunaan CPU server, sehingga pekerjaan itu dijalankan oleh browser klien.
Namun, kenyataannya mekanisme client-side manapun bisa diubah-ubah dengan cara mengedit atau mengganti-ganti source code HTML yang diterima oleh browser. Tim penguji keamanan menemukan beberapa contoh validasi client-side yang digunakan pada www.acme-fashion.com. Gambar 3.7. menunjukkan validasi input sedang dijalankan pada sistem Acme. Seorang user berusaha membeli sejumlah ”-5” pakaian dan sebuah peringatan muncul bahwa user memasukkan nilai yang salah.
Berikut ini adalah kode JavaScript untuk memvalidasi input yang dipisahkan dari elemen-elemen HTML-nya.
function validate(e) {
if(isNaN(e.value) || e.value <= 0) {
alert (“Please enter a valid number”) ;
e.value = 1;
e.focus();
return false;
}
else {
return true;
}
}
:
:
Kode ini memastikan bahwa hanya angka positif saja yang diperbolehkan pada field qty. Tetapi, karena validasi ini dilakukan oleh script client-side, maka bisa dengan mudah di-bypass. Menonaktifkan eksekusi JavaScript dengan cara men-setting preferensi browser bisa membuat hacker mem-bypass validasi pada client-side. Jika kita memasukkan nilai apa saja yang diinginkan pada field-field input.
Gambar 3.8. menunjukkan bagaimana menonaktifkan JavaScript pada Netscape. Sekarang jika user memasukkan nilai ”-3”, browser akan mengeluarkan request POST berikut ini pada server.
POST /cgi-bin/shopcart.exe/MYSTORE-AddItem HTTP/1.0
Referer: http://www.acme-fashions.com /shirtcatalog/shirts2.asp
Connection: Keep-Alive
User-Agent: Mozilla/4.76 [en] (Windows NT 5.0; U)
Host: www.acme-fashions.com
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, image/png, */*
Accept-Encoding:gzip Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: ASPSESSIONIDQQGQQKIG=ONEHLGJCCDFHBDHCPKGANANH; shopcartstore=3009912
Content-type: application/x-www-form-urlencoded
Content-length: 63
PartNo=OS0015&Item=Acme+Shirts&Price=-3&qty=1&buy.x=16&buy.y=5
Selanjutnya dapat kita lihat bagaimana request HTTP ini bisa mem-bypass seluruhnya validasi input pada client-side. Gambar 3.9. menunjukkan respon pada server.
Pada layar tampak bahwa user telah membuat pesanan untuk 5 baju masing-masing seharga 55,99 dolar, dan hari berikutnya membeli -3(minus 3) baju masing-masing seharga 89,99 dolar. Total biaya adalah 4,98 dolar. Kemampuan untuk meletakkan angka negatif pada jumlah pembelian bisa membuat si pembeli kegirangan. Kecacatan inilah yang menyebabkan karyawan pengiriman Acme menerima order jumlah item dengan angka negatif.
3.4. Menghadapi Masalah Baru pada Sistem yang Telah Diteliti
Sebelumnya, pihak direksi Acme sudah berhadapan dengan dan mengatasi masalah-masalah menyangkut pengubahan nilai harga barang selama belanja musim liburan yang baru lalu. Sepertinya hal itu belum cukup, sekarang Acme menghadapi masalah lagi. Kali ini berhubungan dengan pencurian kartu kredit. Pihak direksi memanggil lagi tim ahli keamanan komputer untuk menganalisis masalah tersebut.
Tim itu menemukan bahwa pada semua log di Web server selama bulan Agustus, tidak ada entri satu pun untuk tanggal 29 Agustus. Tim yakin bahwa hal itu disebabkan oleh hacker yang menghilangkan file C:\WINNT\ System32\ LogFiles\ W3SVC1\ ex20010829. log yang berisi data log untuk tanggal itu. Ukuran file-nya pun direduksi menjadi 0 byte. Ini menunjukkan bahwa hacker pasti sudah memasuki kontrol administratif pada server agar bisa menghapus log-log pada Web server IIS.
Karena tidak ada catatan yang bisa diteliti lebih lanjut, akhirnya tim tersebut hanya bisa berspekulasi mengenai penyebab serangan. Penyelidikan yang menyeluruh pada sistem hard disk menghasilkan bahwa file ”purchases.mdb” ada pada dua direktori.
C: \>dir purchases.mdb / s
Volume in drive C is ACMEFASHION
Volume Serial Number is 48CD-A4A0
Directory of C:\ACMEDATA
08/29/2001 08:13p 2,624,136 purchases.mdb
1 files(s) 2,624.136 bytes
Directory of C:\Inetpub\wwwroot
08/29/2001 08:33p 2,624,136 purchases.mdb
1 files(s) 2,624,136 bytes
Total Files Listed:
2 File(s) 5,248,272 bytes
0 Dir(s) 111,312,896 bytes free
Bagaimana file purchases.mdb bisa dikopi dari direktori C:\ACMEDATA ke C:\Inetpub\wwwroot? Administrator sistem di Acme Fashion menyatakan bahwa purchases.mdb dipakai untuk menampung informasi order pelanggan, termasuk nama, alamat pengiriman, alamat tagihan, iem yang dibeli dan kartu kredit yang digunakan untuk untuk membayar item-item tersebut. Pihak yang mendesain aplikasi meyakinkan direksi bahwa file database berada di luar root dokumen server (c:\inetpub\wwwroot0. Tim ahli keamanan menyimpulkan bahwa, karena salinan dari file purchase.mdb dibuat pada jam 11:33 p.m tanggal 29 Agustus 2001, telah terjadi penyalahgunaan kartu kredit oleh hacker. Hacker pasti telah menyalin file dari C:\ACMEDATA ke C:Inetpub\wwwroot dan men-download-nya pada browser menggunakan request http://www.acme-fashions.com/purchase.-mdb. Tetapi, ia rupanya lupa menghapus salinan file pada direrktori C:\Inetpub\wwwroot setelah men-download-nya.
3.5. Eksekusi Perintah Jarak Jauh
Kenyataan bahwa satu file bisa dikopi dari satu lokasi ke lokasi dan bahwa log-log Web server dihapus mengisyaratkan bahwa hacker berhasil menjalankan perintah-perintah eksekusi pada www.acme-fashions.com dan memiliki akses ke sana setingkat ”super-user” atau ”administrator”. Setelah mengevaluasi secara menyeluruh keamanan sistem operasi dan mengunci semua prosedur, tim menyimpulkan bahwa kelemahannya hampir pasti terletak pada error di kode program aplikasi. Masalah tersebut kemudian bermuara pada cacatnya validasi input pada kode program troli belanjanya sendiri. Gambar 3.10. menunjukkan bagaimana troli belanja berinteraksi dengan beragam elemen dari aplikasi Web.
Troli belanja dikendalikan oleh script Perl pusat, yaitu mywebcart.cgi. Semua sesi client-side dilacak dan diatur oleh mywebcart.cgi. Troli belanja mengambil informasi produk dari database products.mdb dan membawanya ke modul terminal checkout yang menangani pembayaran pelanggan yang kemudian disimpan pada purchase.mdb.
Gambar 3.11. menunjukkan halaman yang dihasilkan oleh mywebcart.cgi. Pada gambar dapat kita lihat bagaimana URL dikomposisi.
URL tersebut adalah:
http://www.acme-fashions.com/cgi -
bin/ mywebcart.cgi?Cust=0873&nextpage=shirts3.html&cid=03417
Elemen yang paling menarik pada URL ini adalah parameter-parameter yang dilewatkan berikut nilai-nilainya. Pada parameter nextpage melewatkan nilai ”shirts3.html”. Pada kode program Perl mywebcart.cgi, baris berikut ini mempunyai kelemahan:
$file = ”c: \inetpub\wwwroot\catalog_templates\” . $input { ‘nextpage’};
open (FILE, $file) || die “Cannot open $file\n”;
File mywebchart.cgi terkunci. Parameter nextpage dilewatkan ke fungsi Perl open() tanpa ada satupun validasi input. Seorang penyerang bisa menyisipkan simbol pipa “|” di belakang nilai yang ditentukan pada nextpage dan menyebabkan fungi open() bisa mengeksekusi perintah-perintah yang merugikan.
Request berikut ini menyebabkan mywebcart.cgi mengeksekusi perintah “dir c:\” pada www.acme-fashions.com:
http://www.acme-fashions.com/cgi -
bin/mywebcart.cgi?cust=0873&nextpage=;dir+c:\|&cid=03417
Pada titik ini kita bisa beranggapan bahwa hacker harus telah menjalankan tampilan daftar direktori penuh dengan perintah ”dir c;\|s”. Dari hasil yang tampak, si hacker mengetahui bahwa ada file purchase.mdb pada direktori C:\ACMEDATA. Selanjutnya ia menyalin file tersebut ke c:\inetpub\wwwroot kemudian men-download-nya menggunakan alamat http://www.acme-fashions.com/purchase.mdb. Gambar 3.13. dan 3.14. menunjukkan bagaimana file itu disalin dan akhirnya di-download.
Demonstrasi oleh para ahli keamanan ini menunjukkan adanya pelanggaran keamanan yang serius pada mywebcart.cgi. Bahkan saat ini, banyak model troli belanja yang terkenal dan dipakai orang memiliki kelemahan-kelemahan seperti itu.
3.6. Posmortem dan Pencegahan Lebih Lanjut
Acme Fashions, Inc., menderita banyak kerugian uang dan waktu oleh karena tiga kesalahan selama satu rentang waktu. Semua kesalahan itu muncul karena cacatnya bentuk validasi input dan karena kurang terintegrasinya data yang diterima dari Web browser.
Pertama, kecacatan itu disebabkan oleh penggunaan field-field tersembunyi secara tidak benar. Informasi penting seperti ID produk dan harga dilewatkan melalui field tersembunyi dalam form HTML. Kita tahu bahwa sewaktu respon HTML dikirim melalui browser web, server itu kehilangan kendali atas data yang dikirim. HTTP bersifat statis, dan server tidak bisa menentukan apakah data yang dikembalikan masih utuh atau sudah rusak. Field tersembunyi bisa dimanipulir pada client side dan dikirimkan kembali ke Web server. Jika server tidak mempunyai cara validasi input yang ketat atas informasi dari field tersembunyi, klien bisa merusak data dan tidak terkendali lagi oleh sistem. Untuk memproteksi sistem dari serangan integritas data seperti ini, developer situs Web harus mencegah pelewatan informasi melalui field tersembunyi. Sebaliknya, informasi seperti ini seharusnya diletakkan pada database di server, dan informasi itu dapat diambil dari database jika diperlukan.
Kesalahan kedua adalah menggunakan script client-side untuk menjalankan validasi input. Para developer sering tergoda untuk menggunakan JavaScript atau VBScript dalam menulis program pengeksekusian pada client-side dan membuang batasan-batasan yang ada pada server. Tetapi, script client-side sama rentannya dengan field tersembunyi dalam hal daya tahan dari perusakan data. Script client-side seharusnya hanya digunakan untuk melancarkan navigasi atau menambahkan interaktifitas dan daya tarik halaman Web. Seorang penyerang bisa dengan mudah melewatkan atau memodifikasi script client-side dan menghindari setiap bentuk pemeriksaan yang dilakukan oleh script tersebut. Dalam kasus Acme, penyerang bisa menyisipkan nilai kuantitas negatif dengan mudahnya dan melewati setiap bentuk batasan yang dijalankan oleh oleh JavaScript. Sama dengan hal itu, beberapa toko berbasis Web menjalankan operasi aritmatik pada client-side, misalnya menghitung total kuantitas dan harga dari sebuah order dari dalam form isian itu sendiri. Bagi pelanggan sendiri akan menjadi fitur yang menarik bila mereka bisa mengetahui harga yang sudah di-update pada browser tanpa perlu men-submit nilai ke server dan menunggu respon darinya. Tetapi, teknik ini harus dihindari dan aplikasi harus didesain untuk mengeksekusi validasi dan perhitungan pada server side sehingga penyerang tidak bisa memanipulir data.
Kelemahan yang terakhir disebabkan oleh sanitasi input yang lemah pada mywebcart.cgi. Sewaktu data dilewatkan oleh field dalam bentuk HTML ke fungi-fungsi yang rentan seperti open(), buanglah setiap kombinasi atau meta-karakter. Dua bentuk validasi input yang harus dilaksanakan ditujukan kepada: pertama, panjang data yang diterima (untuk mencegah serangan buffer overflow) dan kedua, meta-karakter. Dalam hal ini, Acme harus menyisipkan sanitasi input untuk menapis meta-karakter seperti ”&”, ”%”, ”$”, ”|”, dan ”<”.
Masalah keamanan lainnya yang terkait dengan sistem belanja e-commerce, secara umum meliputi informasi yang dipanggil dari file temporer pada server, mekanisme enkripsi yang buruk, eksposur file system directory, eskalasi privilege, disklosur informasi pelanggan, perubahan produk, perubahan order, dan penolakan terhadap layanan. Semua hal tersebut memberikan celah bagi terjadinya serangan. Masalah ini ditemukan pada beberapa aplikasi e-commerce.
IV. Menangkis Serangan pada Web Application
Para hacker biasanya mencari sebuah target yang mudah untuk di-hack dalam waktu yang singkat. Berikut ini adalah beberapa teknik yang dapat digunakan untuk menangkis serangan pada Web application.
* Akses ke situs dengan memanfaatkan SSL.
Hanya dengan menggunakan secure socket layer (SSL), situs akan memblok simple CGI scanners, tool-tool raw-interface mode dan worm-worm internet. Memanfaatkan SSL dapat dengan mudah dilakukan dengan cara membuat suatu konfigurasi server yang hanya bekerja pada SSL (biasanya pada port 443) dan memblok trafik menuju por 80. Jika dibutuhkan sebuah entry page dalam HTTP, maka ini mungkin dapat menggunakan sebuah server kecil yang akan mengalihkan ke alamat HTTPS.
* Menggunakan metoda ”HTTP post” seluas mungkin.
Menggunakan ”HTTP post” request mengurangi kemudahan dari penggunaan tool-tool raw-mode interface dan browser-browser untuk menyerang sebuah situs. Penyerang menggunakan tool-tool raw-mode interface untuk digunakan secara manual meng-craft sebuah POST request, yang sedikit lebih susah daripada sebuah GET request sederhana, karena mereka harus menghitung exact body lenght untuk header dari mandatory content-length. Untuk memanipulasi beberapa parameter values dengan menggunakan browser, penyerang harus menyimpan HTML source ke disk, lalu memodifikasinya, dan kemudian me-reload-nya kembali ke browser.
* Memanfaatkan HTTP Authorization pada semua content dari situs.
Ini merupakan metoda sederhana yang akan bekerja dengan baik melawan worm-worm internet, simple CGI scanner, dan akan berdampak pada tool-tool raw-mode interface. Server benar-benar akan menolak beberapa request yang tidak otentik. Untuk mengizinkan user anonim untuk bekerja pada situs, mungkin dapat dilakukan dengan cara mengeluarkan halaman entry point dari skema ini dan menulis user name dan password pada situs yang lainnya. Dengan kata lain ini mempunyai efek pada tool-tool sederhana. Semua tool yang tidak didukung otentikasi tidak akan bekerja pada situs ini. Termasuk worm-worm internet dan simple CGI scanner. Penyerang akan membutuhkan suatu data otentikasi HTTP pada setiap usaha penyerangannya. Ketika menggunakan tool-tool URL interface-mode, penyerang harus men-set parameter-parameter otentikasi HTTP ke nilai yang harus digunakan pada situs.
* “Menendang” para klien keluar dari aplikasi ketika terjadi error.
User-user reguler biasanya tidak membuat banyak kesalahan, setidak-tidaknya pada sesi yang sama. Jika sebuah situs mempunyai sebuah konsep aplikasi, dan jika klien dibutuhkan untuk melewati beberapa step untuk memperoleh sebuah sesi, maka mungkin saja terjadi upaya untuk memperoleh sesi yang invalid atau tidak syah dan ini bisa dideteksi sebagai sebuah serangan. Penyerang akan melakukan beberapa percobaan untuk memperoleh sebuah sesi selama beberapa kali, ketika ini terjadi maka sistem akan bekerja dan akan secara otomatis menolaknya untuk memasuki sebuah aplikasi.
Sejalan dengan kemajuan teknologi informatika yang demikian pesat, melahirkan internet sebagai sebuah fenomena dalam kehidupan umat manusia. Internet, yang didefinisikan oleh TheU.S. Supreme Court sebagai: "international network of interconnected computers" (Reno v. ACLU, 1997), telah menghadirkan kemudahan-kemudahan bagi setiap orang bukan saja sekedar untuk berkomunikasi tapi juga melakukan transaksi bisnis kapan saja dan di mana saja.
Saat ini berbagai cara untuk dapat berinteraksi di "dunia maya" ini telah banyak dikembangkan. Salah satu contoh adalah lahirnya teknologi wireless application protocol (WAP) yang memungkinkan telepon genggam mengakses internet, membayar rekening bank, sampai dengan memesan tiket pesawat. Beberapa waktu lalu, sebuah perusahaan penyedia jasa akses internet di Indonesia, berencana untuk mengembangkan televisi digital virtual studio untuk wilayah Indonesia dan beberapa negara Asia lainnya (Bisnis Indonesia, 07/07/2000). Televisi digital yang rencananya akan menyajikan informasi terkini di bidang keuangan, bisnis, teknologi informasi dan pasar modal selama 24 jam ini menggunakan jaringan internet dan satelit sebagai media operasionalnya.
Melihat perkembangan ini, para pengamat dan pakar internet berpendapat bahwa saat ini internet sedang memasuki generasi kedua, yang mana ciri-ciri dan perbandingannya dengan internet generasi pertama adalah sebagai berikut:
| sumber | internet generasi I | internet generasi II |
| tempat mengakses | didepan meja | dimana saja |
| sarana | hanya pc | peralatan apapun yang terhubung dengan internet |
| sumber pelayanan | storefront web | e-service otomatis |
| hubungan antar provider | persaingan ketat | transaksi |
| lingkup aplikasi | aplikasi terbatas | e-service modular |
| fungsi IT | IT sebagai aset | IT sebagai aset |
Pada perkembangannya, ternyata penggunaan internet tersebut membawa sisi negatif, dengan membuka peluang munculnya tindakan-tindakan anti-sosial dan perilaku kejahatan yang selama ini dianggap tidak mungkin terjadi. Sebagaimana sebuah teori mengatakan: "crime is a product of society its self", yang secara sederhana dapat diartikan bahwa masyarakat itu sendirilah yang melahirkan suatu kejahatan. Semakin tinggi tingkat intelektualitas suatu masyarakat, semakin canggih pula kejahatan yang mungkin terjadi dalam masyarakat itu.
Kejahatan yang lahir sebagai dampak negatif dari perkembangan aplikasi internet ini sering disebut sebagai cybercrime. Walaupun jenis kejahatan ini belum terlalu banyak diketahui secara umum, namun The Federal Bureau of Investigation (FBI) dalam laporannya mengatakan bahwa tindak kejahatan yang dapat dikategorikan sebagai cybercrime telah meningkat empat kali lipat sejak tiga tahun belakangan ini (Indonesian Observer, 26/06/2000), di mana pada tahun 1998 saja telah tercatat lebih dari 480 kasus cybercrime terjadi di Amerika Serikat ( http://emergency.com/cybrcm98.htm). Hal ini membuat lebih dari 2/3 warga Amerika Serikat memiliki perhatian serius terhadap perkembangan cybercrime, sebagaimana hasil polling yang dilakukan EDI, suatu perusahaan Amerika Serikat yang bergerak dibidang TI (Indonesian Observer, 26/06/2000).
Apakah Cybercrime itu?
Dalam beberapa literatur, cybercrime sering diidentikkan sebagai computer crime. TheU.S. Department of Justice memberikan pengertian computer crime sebagai:"…any illegal act requiring knowledge of computer technology for its perpetration, investigation, or prosecution". Pengertian lainnya diberikan oleh Organization of European Community Development, yaitu: "any illegal, unethical or unauthorized behavior relating to the automatic processing and/or the transmission of data". Andi Hamzah dalam bukunya Aspek-aspek Pidana di Bidang Komputer (1989) mengartikan: "kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal".
Dari beberapa pengertian di atas, computer crime dirumuskan sebagai perbuatan melawan hukum yang dilakukan dengan memakai komputer sebagai sarana/alat atau komputer sebagai objek, baik untuk memperoleh keuntungan ataupun tidak, dengan merugikan pihak lain. Secara ringkas computer crime didefinisikan sebagai perbuatan melawan hukum yang dilakukan dengan menggunakan teknologi komputer yang canggih (Wisnubroto, 1999).
Internet sebagai hasil rekayasa teknologi bukan hanya menggunakan kecanggihan teknologi komputer tapi juga melibatkan teknologi telekomunikasi di dalam pengoperasiannya. Apalagi pada saat internet sudah memasuki generasi kedua, perangkat komputer konvensional akan tergantikan oleh peralatan lain yang juga memiliki kemampuan mengakses internet.
Hal ini akan lebih jelas terlihat pada perkembangan tindak kejahatan yang berhubungan dengan penggunaan komputer sebagaimana ditunjukkan pada tabel dibawah ini:
| pra internet | internet generasi I | internet generasi II | |
| locus | terjadi pada satu sistem komputer atau local area network(LAN)dan wide area network(WAN) | selain pada masih satu sistem komputer LAN,wan terjadi juga di internet | cenderung hanya terjadi diinternet |
| sarana | perangkat komputer | menggunakan komputer yang terhubung dengan internet | menggunakan apapun yang terhubung dengan internet |
| sasaran | data dan program komputer | segala web content | segala web content |
| pelaku | menguasai penggunaan komputer | menguasai penggunaan internet | sangat menguasai penggunaan internet beserta aplikasinya |
| lingkup regulasi | regulasi lokal | regulasi lokal | sangat membuthkan regulasi global |
Tabel di atas memperlihatkan dua hal yang signifikan pada kejahatan di internet generasi kedua, yaitu pelaku dapat melakukan kejahatan tersebut di mana pun (mobile) dan dengan peralatan apapun. Hal inilah yang membuat penggunaan istilah cybercrime atau kejahatan di internet akan lebih relevan dibandingkan istilah computer crime.
Meskipun begitu, ada upaya untuk memperluas pengertian computer agar dapat melingkupi segala kejahatan di internet dengan peralatan apapun, seperti pengertian computer dalam The Proposed West Virginia Computer Crimes Act, yaitu: "an electronic, magnetic, optical, electrochemical, or other high speed data processing device performing logical, arithmetic, or storage functions, and includes any data storage facility or communications facility directly related to or operating in conjunction with such device, but such term does not include an automated typewriter or type-setter, a portable hand-held calculator, or other similar device" (http://www.cybercrimes.net/). Namun begitu, tetap saja pada prakteknya pemahaman publik akan pengertian computer adalah perangkat komputer konvensional (PC, Notebook, Laptop) yang biasa terlihat.
Berdasarkan beberapa literatur serta prakteknya, cybercrime memiliki karakter yang khas dibandingkan kejahatan konvensional, yaitu antara lain:
Perbuatan yang dilakukan secara ilegal, tanpa hak atau tidak etis tersebut terjadi di ruang/wilayah maya (cyberspace), sehingga tidak dapat dipastikan yurisdiksi hukum negara mana yang berlaku terhadapnya
Perbuatan tersebut dilakukan dengan menggunakan peralatan apapun yang bisa terhubung dengan internet
Perbuatan tersebut mengakibatkan kerugian materil maupun immateril (waktu, nilai, jasa, uang, barang, harga diri, martabat, kerahasiaan informasi) yang cenderung lebih besar dibandingkan kejahatan konvensional
Pelakunya adalah orang yang menguasai penggunaan internet beserta aplikasinya
Perbuatan tersebut seringkali dilakukan secara transnasional/melintasi batas negara
Beberapa Bentuk Cybercrime
Kejahatan yang berhubungan erat dengan penggunaan teknologi yang berbasis utama komputer dan jaringan telekomunikasi ini dalam beberapa literatur dan prakteknya dikelompokan dalam beberapa bentuk, antara lain:
Unauthorized Access to Computer System and Service
Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatu sistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga yang melakukan hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi internet/intranet.
Kita tentu tidak lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam database berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang e-commerce, yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini dalam beberapa waktu lamanya (http://www.fbi.org).
Illegal Contents
Merupakan kejahatan dengan memasukkan data atau informasi ke internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya adalah pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah, dan sebagainya.
Data Forgery
Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scriptless document melalui internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi "salah ketik" yang pada akhirnya akan menguntungkan pelaku.
Cyber Espionage
Merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data-data pentingnya tersimpan dalam suatu sistem yang computerized.
Cyber Sabotage and Extortion
Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku. Dalam beberapa kasus setelah hal tersebut terjadi, maka pelaku kejahatan tersebut menawarkan diri kepada korban untuk memperbaiki data, program komputer atau sistem jaringan komputer yang telah disabotase tersebut, tentunya dengan bayaran tertentu. Kejahatan ini sering disebut sebagai cyber-terrorism.
Offense against Intellectual Property
Kejahatan ini ditujukan terhadap Hak atas Kekayaan Intelektual yang dimiliki pihak lain di internet. Sebagai contoh adalah peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya.
Infringements of Privacy
Kejahatan ini ditujukan terhadap informasi seseorang yang merupakan hal yang sangat pribadi dan rahasia. Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.
Perang Melawan Cybercrime
Saat ini berbagai upaya telah dipersiapkan untuk memerangi cybercrime. The Organization for Economic Co-operation and Development (OECD) telah membuat guidelines bagi para pembuat kebijakan yang berhubungan dengan computer-related crime, di mana pada tahun 1986 OECD telah mempublikasikan laporannya yang berjudul
Computer-Related Crime: Analysis of Legal Policy. Laporan ini berisi hasil survey terhadap peraturan perundang-undangan Negara-negara Anggota beserta rekomendasi perubahannya dalam menanggulangi computer-related crime tersebut, yang mana diakui bahwa sistem telekomunikasi juga memiliki peran penting dalam kejahatan tersebut.
Melengkapi laporan OECD, The Council of Europe (CE) berinisiatif melakukan studi mengenai kejahatan tersebut. Studi ini memberikan guidelines lanjutan bagi para pengambil kebijakan untuk menentukan tindakan-tindakan apa yang seharusnya dilarang berdasarkan hukum pidana Negara-negara Anggota, dengan tetap memperhatikan keseimbangan antara hak-hak sipil warga negara dan kebutuhan untuk melakukan proteksi terhadap computer-related crime tersebut. Pada perkembangannya, CE membentuk Committee of Experts on Crime in Cyberspace of the Committee on Crime Problems, yang pada tanggal 25 April 2000 telah mempublikasikan Draft Convention on Cyber-crime sebagai hasil kerjanya ( http://www.cybercrimes.net), yang menurut Prof. Susan Brenner (brenner@cybercrimes.net) dari University of Daytona School of Law, merupakan perjanjian internasional pertama yang mengatur hukum pidana dan aspek proseduralnya untuk berbagai tipe tindak pidana yang berkaitan erat dengan penggunaan komputer, jaringan atau data, serta berbagai penyalahgunaan sejenis.
Dari berbagai upaya yang dilakukan tersebut, telah jelas bahwa cybercrime membutuhkan global action dalam penanggulangannya mengingat kejahatan tersebut seringkali bersifat transnasional. Beberapa langkah penting yang harus dilakukan setiap negara dalam penanggulangan cybercrime adalah:
Melakukan modernisasi hukum pidana nasional beserta hukum acaranya, yang diselaraskan dengan konvensi internasional yang terkait dengan kejahatan tersebut
Meningkatkan sistem pengamanan jaringan komputer nasional sesuai standar internasional
Meningkatkan pemahaman serta keahlian aparatur penegak hukum mengenai upaya pencegahan, investigasi dan penuntutan perkara-perkara yang berhubungan dengan cybercrime
Meningkatkan kesadaran warga negara mengenai masalah cybercrime serta pentingnya mencegah kejahatan tersebut terjadi
Meningkatkan kerjasama antar negara, baik bilateral, regional maupun multilateral, dalam upaya penanganan cybercrime, antara lain melalui perjanjian ekstradisi dan mutual assistance treaties
Minggu, 21 Februari 2010
Langganan:
Postingan (Atom)
