Teknik paling awal sekali yang harus dilakukan oleh
seorang hacker sebelum serangan di lakukan adalah melakukan proses
footprinting, atau dalam bahasa keren-nya intelejen awal tentang segala sesuatu
yang berkaitan dengan target yang dituju. Dengan cara ini seorang penyerang
akan memperoleh profile / postur keamanan yang lengkap dari organisasi /
jaringan yang akan di serang.
Pada
dasarnya ada empat (4) langkah utama yang biasanya dilakukan untuk melakukan
intelejen awal untuk melihat scope & situasi target sasaran. Langkah ini
dikenal sebagai footprinting, yaitu:
Step 1: Menentukan Scope Aktifitas /
Serangan.
Step 2: Network Enumeration.
Step 3: Interogasi DNS ( Domain ).
Step 4: Mengintai Jaringan.
Step
1: Menentukan Scope Aktifitas / Serangan
Pada tahapan 1 ini, kita perlu memperoleh sebanyak
mungkin informasi yang berkaitan dengan lokasi, anak-anak perusahaan, berita
merger / akusisi, nomor telepon, kontak person & e-mail address mereka,
masalah privasi & kebijakan keamanan yang di terapkan, link ke berbagai
situs Web lain yang berhubungan. Cara yang biasa dipakai ada cukup banyak,
misalnya, menggunakan wget (Linux) atau Teleport Pro & mengcopy / me-mirror
seluruh Web untuk di analisis. Lihat di dekat kode-kode “<”, “!” , “-“ di
file HTML untuk informasi yang anda butuhkan. Coba monitoring berbagai mailing
list & lihat posting yang berasal dari @target-anda.com.
Bagi sistem administrator yang ingin melawan hal ini, ada
baiknya membaca-baca RFC 2196 Site Security Handbook yang bisa di download dari
http://www.ietf.org/rfc/rfc2196.txt.
Step
2: Network Enumeration.
Network enumeration dilakukan untuk melihat domain yang
digunakan oleh sebuah organisasi. Seni mencari informasi tsb cukup seru,
terutama untuk mengetahui domain yang digunakan oleh sebuah perusahaan,
contoh-nya Telkom – mereka menggunakan telkom.net.id, telkom.co.id,
telkom.go.id, telkom.net hmm bagaimana mengetahui sekian banyak domain &
Point of Contact (PoC)-nya? Biasanya kita menggunakan software whois untuk
membuka berbagai informasi yang berkaitan dengan registrar, organisasi, domain,
network & point of contact. Software whois biasanya ada di Linux. Bahaya
latent, jika registrar domain tidak berhati-hati bisa jadi terjadi pencurian
domain (domain hijack) dengan cara menyaru sebagai point of contact dan
memindahkan domain tsb ke tangan orang lain.
Step
3: Interogasi DNS ( Domain Name )
Setelah kita mengetahui domain yang berkaitan dengan
organisasi sasaran, selanjutnya kita perlu mencek hubungan alamat IP (IP
address) & domain / hostname yang digunakan. Cara paling sederhana adalah
melakukan interogasi Domain Name System (DNS). Beberapa software yang biasanya
digunakan untuk melakukan interogasi DNS tersedia secara mudah di Linux,
seperti nslookup, dig, host yang dapat secara sepesifik menginterogasi Name
Server (NS), Mail Exchanger (MX), Host Info (HINFO) maupun semua informasi yang
ada dengan parameter ANY.
Proses yang paling cepat untuk memperoleh semua informasi
yang dibutuhkan adalah dengan menggunakan zone transfer di DNS. Jika operator
DNS-nya tidak pandai, kita dapat melakukan zone transfer DNS dengan mudah
menggunakan perintah “host –l –v –t any target-domain.com”.
Bagi para system administrator, ada baiknya berhati-hati
dengan adanya kemungkinan penyerang yang akan menginterogasi DNS anda. Setting
zone transfer ke secondary server / query DNS harus dibatasi & dijaga
melalui xfernets directive di named (BIND 8.0). Jika ada baiknya di firewall
semua hubungan inbound TCP pada port 53; hanya hubungan UDP port 53 yang
diijinkan.
Step
4: Mengintai Jaringan.
Setelah mengetahui daftar alamat IP (IP address) dari
berbagai host yang ada di target anda. Langkah selanjutnya adalah memetakan
topologi jaringan, baik yang menuju ke target sasaran maupun konfigurasi
internal jaringan target. Biasanya kita mengunakan software seperti traceroute
(Linux / UNIX) atau tracert (Windows) untuk melakukan pemetaan jaringan. Yang
paling seru adalah bagaimana melakukan traceroute untuk menembus pertahanan
firewall; kadang dapat di tembus dengan mengirimkan paket traceroute pada port
UDP 53 (DNS query), misalnya melalui perintah traceroute –S –p53.
Bagi system administrator, teknik Intrusion Detection menjadi
penting untuk dikuasai untuk menjaga adanya penyerang yang masuk dan melakukan
pemetaan jaringan internal kita. Salah satu program Intrusion Detection yang
gratis & baik adalah http://www.snort.org
yang dibuat oleh Marty Roesch.
Mudah-mudahan
tulisan sederhana ini, dapat memberikan inspirasi bagi para penyerang maupun
para sistem administrator dalam menangkal intelejen yang dilakukan para
penyerang di Internet.
No comments :
Post a Comment