Minggu, 02 Desember 2007

SOCIAL ENGINEERING

Social Engineering adalah istilah yang digunakan terhadap cara-cara untuk mendapatkan informasi (seperti password, ID) dari seseorang tanpa melakukan penetrasi terhadap sistem komputer. Umumnya cara yang dilakukan tidak langsung menanyakan informasi yang diinginkan tetapi dengan cara mengumpulkan kepingan informasi yang jika sendiri-sendiri kelihatannya tidak bersifat rahasia. Modal yang digunakan bukan teknologi yang canggih tetapi penampilan yang menarik, suara yang bersahabat, pujian, atau bisa juga dengan cara melakukan tekanan agar lawan bicara menjadi panik dan menjadi irasional atau lupa terhadap prosedur yang seharusnya dijalankan.

Social engineering “modern” kini digunakan dalam e-mail spam , phishing , pharming , maupun dalam forum chatting , dengan tujuan untuk mendapatkan informasi-informasi pribadi para korbannya, pencurian identitas maupun sebagai sarana untuk menyebarkan virus, worm , trojan horse , bot atau berbagai malicious code lainnya. Yang justru mengerikan, sifat anonymity yang sangat dimungkinkan dalam rimba maya, seakan membuat tabir penyamaran para social engineer ini semakin sempurna, dan sulit dilacak.
Free Image Hosting at www.ImageShack.us

Para social engineer menggunakan teknik-teknik yang memanfaatkan naluri negatif manusia, seperti rasa takut, keserakahan dan seksualitas untuk memanipulasi seseorang guna membuka informasi (biasanya dengan sukarela) atau memberikan akses terhadap sistem informasi perusahaan.

Metode-metode

Berusaha mengendalikan seorang individu guna melengkapi tugasnya bisa menggunakan beberapa metode. Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.

Metode kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

Social Reverse-Engineering adalah efek kebalikan dari Social Engineering, anda mungkin bertanya-tanya... apa sih hebatnya social reverse-engineering?

Reverse social engineering

Suatu metode yang maju dan final dalam mendapatkan informasi yang melanggar hukum ini dikenal sebagai “reverse social engineering”. Hal ini terjadi ketika seorang hacker menciptakan suatu personal yang muncul dan berada dalam suatu posisi kewenangan sehingga pekerja akan memintanya informasi dibandingkan dengan cara lainnya. Jika diteliti, direncanakan dan dilakukan dengan baik, serangan reverse social engineering mungkin menawarkan suatu kesempatan yang lebih baik bagi hacker untuk mendapatkan data yang berharga dari pekerja; namun, hal ini mensyaratkan suatu bentuk persiapan, penelitian, dan pra-hacking yang besar agar berhasil.

Social reverse-engineering adalah suatu kejadian yang hampir mirip dengan social engineering tetapi, anda tidak merusak atau melemahkan system/network tersebut, melainkan oleh si admin itu sendiri. SE atau yang lebih dikenal dengan Social Engineering bersifat membuka peluang anda untuk terdeteksi jauh lebih besar (bahkan lebih besar daripada anda melakukan penetrasi system dari jauh). Sedangkan Social Reverse-Engineering anda tidak perlu melakukan penetrasi system dari jauh atau meminta informasi berharga kepada SysAdmin dikarenakan kelalaian atau ketidak tahuan dari SysAdmin tersebut.

Sosial engineering secara garis besar dapat dibedakan menjadi dua kategori, yaitu memanfaatkan kemampuan teknologi atau faktor kelemahan manusianya. Serangan pertama yang dikenal pula dengan sebutan computer based social engineering bertumpu pada kemampuan teknologi untuk mengecoh seseorang agar memberikan informasi rahasia yang memungkinkan penyerang mendapat akses ke dalam jaringan komputer.

Teknik kedua adalah teknik yang paling murah dan paling populer. Teknik ini berdasarkan hubungan kepercayaan dan penipuan, menggunakan teknologi membujuk, memuji, intimidasi, berpura-pura sebagai atasan si korban, atau teknik lain. Prinsipnya seperti ditulis Dorothy E. Denning dalam bukunya Information Warfare and Security adalah dengan cara mengeksploitasi "segala cara yang memungkinkan komunikasi satu lawan satu", termasuk bertatap muka langsung, telefon, atau email. Tentu saja semuanya harus didukung kualitas omong gombal yang jempolan.

Cara pengumpulan informasi yang lebih hebat lagi menggunakan teknik dumpster diving atau teknik memulung sampah. Bagaimana sampai begitu berharganya sampah kantor? Pernahkah Anda melihat rekan kerja atau karyawan Anda atau bahkan Anda sendiri menuliskan user ID dan password pada lembaran post-it? Coba bayangkan kalau lembaran kecil ini menjadi sampah. Pasti ada orang yang girang memungutnya. Sampah berupa lembaran buku telefon dan kertas salah cetak berisi organigram kantor akan memberi petunjuk mengetahui nama, lokasi karyawan, serta struktur jabatan. Kalau lembaran terbuang tadi berupa peraturan dan manual cara kerja, maka menolong penjahat memahami prosedur dan peraturan kantor, sehingga sangat mudah untuk meyakinkan karyawan lain bahwa dia betul-betul orang dalam yang paham aturan kantor.

Pendek kata, jangan pernah meremehkan informasi yang terbawa dalam sampah di kantor Anda. Sekali membuangnya, bisa jadi Anda akan menyesal berkepanjangan. Satu lagi yang harus diingat, sekali barang masuk kotak sampah, tindakan mengambil sampah adalah tindakan legal. Kenapa begitu? Dalam bukunya Theft and Dumpster Diving, Richards J. Heuer, Jr., menyebutkan aturan Supreme Court AS tahun 1988 bahwa sekali suatu barang masuk tempat sampah (dibuang), maka hak kepemilikannya akan otomatis hilang. Barangkali di Indonesia tak sejelas itu hukumnya, tapi rasanya sulit juga menang melawan pemulung yang benar-benar mengambil sampah.

Dumpster diving sebenarnya hanyalah salah satu dari beberapa teknik penipuan cerdas yang disebut sebagai social engineering. Teknik lain seperti yang dipraktikkan Stanley Rifkin antara lain direct approach (langsung meminta informasi ke seorang karyawan), spying and eavesdropping (mematai-matai dan nguping), technical expert (mengaku sebagai teknisi), support staff (berpura-pura sebagai pembantu umum di kantor), the voice of authority (mengitimidasi karyawan dengan bersuara mirip bos). Ada juga teknik lain yang disebut Reverse Social Engineering (RSE), si pelaku akan melakukan kerusakan pada komputer target, lalu dia datang sebagai penolong. Di saat itulah dia menjadi hero yang dipercaya, selanjutnya ulah si Rifkin bisa ditiru.

Ada beberapa contoh praktik social engineering.

  1. Teknisi telefon. Dengan mengaku sebagai teknisi telefon orang bisa bebas keluar masuk untuk memperbaiki kerusakan, termasuk membaca catatan kertas kecil di bawah telefon, keyboard, atau post-it yang tertempel.
  2. IT support. Seseorang bisa mengaku dari perusahaan tempat kantor Anda membeli komputer datang hendak memeriksa kondisi komputer baru, sebagai layanan customer support. Umumnya karyawan akan dengan senang hati meninggalkan mejanya dan membiarkan si tukang servis ini bekerja.
  3. Manajer. Dengan berpura-pura sebagai manajer menelefon bagian admin jaringan, setengah gusar bertanya kenapa dia tidak bisa login dengan password-nya. Lalu si manajer ini menginstruksikan untuk segera memberinya password baru.

Cara pencegahan

Kunci untuk mencegah social engineering masuk adalah dengan kesadaran penuh semua pihak dalam perusahaan, mulai level karyawan hingga manajemen, betapa pentingnya untuk waspada hal-hal kecil yang bisa menjadi lubang keluarnya rahasia perusahaan. Kesadaran bersama ini muncul dari proses edukasi dan policy keamanan data perusahaan. Meski sederhana, akan jauh lebih baik kalau perusahaan punya peraturan untuk menjaga data. Aturan main itu tidak harus mendetail, bahkan yang sederhana dan to the point akan jauh lebih mengena dan tidak membuat pusing karyawan.

Pemusnahan dokumen-dokumen sensitif sebaiknya secara terpusat, yang terpercaya personelnya. Dokumen-dokumen lama sebaiknya dimusnahkan secara reguler. Untuk sampah digital perlakukan lebih khusus. Letakkan secara terpisah tempat sampah untuk disket dan CD, pasang magnet di kotak sampah untuk menghapuskan data dari disket, bila diambil orang yang tidak berhak. Beri edukasi pada manajemen dan staf betapa bahayanya bila sampah tak terdeteksi. Terakhir, lakukan audit secara periodik setiap staf (termasuk cleaning service) ke mana dibuangnya sampah-sampah dari kantor.

Tetapi, juga harus diingat jangan sampai langkah-langkah waspada ini ditafsirkan berbeda oleh karyawan. Kalau tidak cermat, bisa-bisa menggiring karyawan pada perasaan bahwa mereka itu punya sifat mudah tertipu atau lebih parah, bodoh. Rasanya tak banyak orang yang suka dikatakan begitu. Salah satu tipsnya adalah dengan memberikan cerita-cerita studi kasus yang pernah terjadi, lebih bagus kalau baru saja kejadiannya. Cerita studi kasus ini bisa dimuat dalam newsletter internal, website intranet, atau di tempel pada papan pengumuman atau bisa juga dimasukkan dalam satu atau dua sesi dalam pelatihan.

Kelihatannya sepele, tapi banyak pakar yakin cara ini lebih efektif untuk membangun kesadaran. Kisah nyata kemalangan orang yang sembrono bisa menyadarkan orang menghadapi ancaman social engineering. Prinsipnya adalah tidak cukup meyuruh orang untuk melakukan ini itu, tanpa memberi tahu mereka kenapa harus melakukan hal-hal tersebut. Mudah-mudahan dengan demikian data perusahaan Anda lebih aman.

Film FIREWALL:

Social Engineering adalah teknik menipu orang lain dengan pemahaman akan kondisi psikologis dari target., jadi mau setebal apapun lapisan keamanan yang ada, sekuat apapun yang ada, susah untuk menahan serangan social engineering ini. soalnya musuh yang dihadapi bukan torjan, virus, script, adware, spyware atau keylogger, melainkan manusia itu sendiri..

Sinopsis :

Spesialis keamanan jaringan komputer, Jack Stanfield (Harrison Ford), bekerja pada Landrock Pacific Bank di Seattle. Bukan saja memiliki karier bagus , Jack juga menciptakan sistem keamanan komputer efektif - untuk melindungi kemungkinan dijebolnya jaringan oleh Hacker - dengan pendeteksi jaringan rumit, kode akses, dan firewall. Selain itu, hidupnya pun sempurna dengan didampingi istri yang cantik, Beth (Virginia Madsen), dua anak, dan rumah megah di depan pantai di luar kota. Tapi sayang, ada satu kekurangan dari kecanggihan sistem yang dibuat : Jack sendiri.
Kelemahan inilah yang dimanfaatkan oleh orang lain untuk melawannya. Adalah Bill Cox (Paul Bettany) yang telah mempelajari seluruh kehidupan Jack dan keluarganya sejak lama: dari memantau aktivitas online, menyadap percakapan telepon, tahu sejarah kesehatan, teman-teman, dan kode ID Keamanan guard di perumahan Jack. Dengan berhasil meng-Hack kehidupan Jack, Cox kini siap beraksi! Memimpin geng penjahat, Cox kini menyandera rumah dan keluarga Jack, lalu memaksa sang ayah untuk mencuri 100 juta dollar AS.

Dengan amat terpaksa dan demi keselamatan keluarganya, Jack harus membongkar semua sistem yang telah dipasang dan menerobos masuk jaringan. Tapi usaha Jack tak berjalan mulus. Karena kini bank tempat ia bekerja akan merger dan diambil alih oleh perusahaan keuangan besar Accuwest. Jack jadi harus mengeluarkan segala kemampuannya untuk mengakses dan memanipulasi data. Ia pun harus berhadapan dengan eksekutif Accuwest, Garry Mitchell (Robert Patrick). Sialnya lagi, semua peralatan telah dipindahkan ke pusat dan Jack harus menggunakan peralatan ala kadarnya untuk beraksi. He use Ipod and changed into a hard drive, cool!

Contoh Kasus Social Engineering dalam film Firewall:

Di awal film, pada saat itu Jack Stanfield dimata-matai oleh komplatan Bill Cox (hacker) berusaha mencari informasi dan identitas tentang Jack. Mereka berhasil menemukan informasi tentang Jack melalui berkas – berkas data diri Jack Stanfield yang dibuang ke dalam tong sampah. Dalam social enggineering ini disebut dumpster diving atau teknik memulung sampah. Setelah data korban ( Jack Stanfield ) terkumpul, mereka mejebak Jack Stanfield dalam sebuah situs penjudian online sehingga Jack harus mengalami kerugian sebesar $95000, padahal Jack tak pernah bermain judi.

Social Engineering kedua yang bisa saya tarik adalah, Jack menggunakan Mp3 sebagai hard drive, dan alat pencetak data dalam mesin fax untuk menangkap gambar nomor rekening dari layar server dan memindahkan ke Ipod dengan menggunakan program OCR dan mengubah ke data yang digunakan komputer kemudian menggunakan program penyatu dan melalui akses terminal transfer, rekening uang dapat dikirim., dengan kapasitas Ipod yang bisa menampung 10000 lagu, dengan harapan dia bisa mendapatkan 10000 rekening milik kliennya. Gabungan kedua alat itu ternyata membuahkan hasil. Usai beraksi, agar tidak meninggalkan jejak, disebarkanlah virus dalam jaringan komputer di kantor sehingga jaringan menjadi kacau.

Social Engineering ketiga yang bisa saya tarik adalah, pada saat Jack Stanfield membobol account rekening milik Bill Cox untuk mengembalikan uang yang sudah di transfer Jack pada sebelumnya. Dengan menggunakan HP Bobby ( Jack memfoto data – data account yang di pindahkan sebelumnya ke rekening Bill Cox menggunakan Hp Bobby ), Jack mengembalikan uang dari rekening Bill Cox ke rekening yang telah diambil. Hal ini dapat di lakukan Jack karena Jack lah yang menciptakan perangkat lunak akan system keamanan account di bank.

Daftar Pustaka

http://www.ebizzasia.com/0104-2003/columns,0104,02.htm

http://www.ebizzasia.com/0326-2005/feat,0326,02.htm

http://www.musicsentinel.com/index.php?option=com_content&task=view&id=25&Itemid=2

http://www.pikiran-rakyat.com/cetak/2007/012007/25/cakrawala/lain05.htm

http://id.wikipedia.org/wiki/Social_engineering_(keamanan)

http://www.oprekpc.com/forum/viewtopic.php?t=7799

http://sarang.kecoak.or.id/artikel/menghack.pdf

Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)