“Ajarin saya hacking dong”, ini adalah pesan yang banyak diterima oleh orang di bidang security (termasuk saya). Kalau diberi link website atau buku mengenai computer security, mereka biasanya akan menjawab “bingung mulai dari mana”, atau mau praktis “pusing om, langsung aja ajarin gimana cara hacking facebook om”. Saya sebenarnya bingung: “hacking” itu seperti apa sih di kepala orang itu?
Contents
Maling vs Hacking
Saya akan skip dulu segala macam definisi mengenai “hacking”, “cracking”, dsb. Anggap saja “hacking” itu adalah yang dilakukan orang jahat, menjebol sesuatu. Sekarang saya ambil analogi dunia nyata: Jason mau membobol ke suatu gedung/bangunan/rumah/hotel dan saya bandingkan hal ini dengan hacking.
Kalo Jason (yang bukan siapa-siapa) ini pernah dengar tentang maling legendaris bernama Freddie, lalu tiba-tiba mengirim pesan via email “jebolin apartemen itu dong Freddie, saya mau masuk kamar 413 tempat mantan saya”. Kira-kira Freddie mau nggak? Logikanya: ngapain memenuhi permintaan Jason, apalagi Anda nggak bayar. Nah sekarang masuk akal nggak kalo ada yang minta ” hack kampus saya dong” atau “Mas, hack FB mantan saya dong”.
Singkatnya: “Emangnya kamu siapa? buat apa saya melanggar hukum buat kamu?” Lebih lucu lagi kalo mereka berusaha menjatuhkan dengan kata-kata seperti “ah ternyata mas Freddie nggak jago”. Sekali lagi “emangnya kamu siapa? emangnya penting pendapat kamu?”
Andaikan Freddie ini cuma mau membantu memandu saja dari jauh. Jason langsung bertanya: “Mas Freddie gimana caranya masuk ke rumah itu”, Freddie melihat pagernya dan bilang “ya lompatin aja, nggak terlalu tinggi” (nggak tinggi untuk ukurang skill Freddie), lalu Jason akan bilang “nggak bisa mas lompat segitu”. Freedie menjawab “ya belajar lompat dong”. Sama aja dengan: “gimana caranya jebol website anu”, dan dijawab “gampang, itu ada sql injection karena pake joomla versi lama”, lalu tanya lagi “sql injection itu apaan mas? caranya gimana?”. Ya tentunya jawabannya: “belajar dong“.
Andaikan berhasil masuk ke rumah, Jason ini masih nanya terus: “Mas Freddie, gimana caranya bawa barang ini semua, gimana caranya ngubah digital photo frame ini biar ganti jadi foto saya, gimana caranya nyari brankas tersembunyi di rumah ini?” dan segudang pertanyaan lainnya. Bisa dibayangkan Freedie akan bingung menjawab: kalau mau bawa barang, punya kendaraan atau nggak? bisa ngangkutnya atau nggak? digital photo framenya merk apa? brankas yang dicari seperti apa? rumahnya layoutnya gimana?
Ini seperti script kiddies yang berhasil masuk ke situs orang lalu nanya: “mas gimana cara ganti homepagenya biar ada tulisan bahwa saya berhasil ngehack”. Kalau dijawab “Edit HTMLnya dong”, nanti yang nanya bingung: “yang diedit file mana mas?edit pake apa mas? terus saya nggak ngerti HTML”.
Atau mau analogi lain lagi? bagaimana kalo misalnya Freddie ini dukun. Apakah Jason akan berhasil minta ke sembarang dukun “mbah, tolong santetin mantan saya dong?” Atau bisakah langsung sang dukun ini diminta mentransfer seluruh ilmunya dalam sekejap? “enak aja lu tong, gua puasa 40 hari 40 malem buat dapetin ilmunya”. Sudah baca buku atau lihat film Harry Potter? bahkan Wizard aja perlu bertahun-tahun belajar magic.
Defacing Website
Kadang saya tidak mengerti mengapa aksi-aksi yang menurut saya pathetic (menyedihkan) tapi dianggap keren oleh sebagian orang, misalnya tindakan mencoret-coret dinding rumah orang. Hacking website yang biasanya dilakukan oleh script kiddies tidak jauh dari itu: mencoret-coret website orang lain.
Di dunia nyata ada banyak tempat yang bisa dengan gampang Anda corat-coret. Seperti misalnya beberapa aksi memalukan yang dilakukan oleh orang Indonesia di luar negeri. Di dunia maya juga ada banyak situs yang kurang diamankan dan mudah dicorat-coret.
Kira-kira 90% situs yang diretas oleh para pemula ini biasanya memakai software populer seperti WordPress dan Joomla tapi lupa/tidak diupdate, baik itu software utama maupun pluginnya. Yang dilakukan kebanyakan script kiddies adalah mencari target yang memang lemah (kadang bisa saja situs negara, situs kepolisian atau situs apapun yang jarang diupdate), serupa dengan orang yang sekedar berkeliling blok, mencari rumah yang tidak dijaga, lalu dicoret-coret.
Sebagai catatan, hacker yang profesional biasanya malah tidak meninggalkan jejak apa-apa atau berusaha mendapatkan uang dari temuan mereka. Mereka akan mencuri data, atau malah menjadikan situs yang diretas untuk menjadi alat penyebaran malware.
Carding
Carding ini sudah ada sejak jaman dulu, bahkan sebelum jaman internet menjadi populer. Inti dari carding adalah menggunakan kartu kredit orang lain. Dulu info kartu kredit ini didapat dari sumber-sumber offline, tapi dengan adanya Internet dan begitu banyaknya data yang disimpan di server, maka data-data ini bisa didapatkan dari berbagai server.
Kalau defacing hanya bertujuan untuk “nampang”, carding ini sudah lebih jauh: ingin mendapatkan materi tertentu. Melakukan carding ini seperti menjadi pencopet. Kalau ditanya “Siapa yang mau jadi pencopet?” sepertinya sedikit yang akan angkat tangan, tapi kalo diganti “Siapa yang mau carding?” tiba-tiba jadi banyak.
Beberapa orang yang berada di bisnis carding ini memang bisa menjadi kaya. Ini yang levelnya kakap, menjual ribuan kartu kredit. Sebagian besar hanya mendapatkan hasil kecil. Ini bisa juga dibandingkan dengan kejahatan lain seperti narkoba, level atas bisa kaya, sedangkan level bawah dapetnya sedikit dengan risiko tinggi. Jika Anda memang tertarik pada kejahatan semacam itu, silakan hubungi orang-orang di bidang itu.
Nasihat saya begini: kalo Anda memang punya skill, kerja di bidang security gajinya besar tanpa risiko ditangkap polisi. Kalau Anda orang yang beragama dan percaya pada pahala (atau karma, atau semacam itu) maka sebaiknya Anda melaporkan bug security ke pemilik website. Anda akan membantu banyak orang, bukan cuma pemilik website, tapi semua orang yang datanya mungkin akan dicuri.
Pikirkan juga ini: ketika Anda menggunakan kartu kredit orang, mereka harus repot menghubungi bank dan kadang butuh berhari-hari untuk menyelesaikan masalahnya. Di dalam kebanyakan kasus uang nasabah digantikan oleh bank, tapi bagaimana jika kartu itu dibutuhkan dalam keadaan darurat?
Hacking Facebook?
Sekarang ke pertanyaan yang sangat sering diajukan: soal hacking facebook, BBM, email, atau apapun yang lain yang populer. Sebagian orang berpikir bahwa ada jalan belakang (backdoor) untuk masuk ke account FB siapapun yang hanya diketahui oleh hacker ternama.
Pertama: kalau ada backdoor, ngapain saya kasih tau ke Anda? Saya punya beberapa opsi jika menemukan bug di Facebook (atau layanan yang lain):
- Saya laporkan ke Facebook, dapet duit bounty (bisa ribuan/puluhan ribu USD), dan Facebook akan memperbaiki bugnya
- Saya jual ke pihak ketiga (entah itu mafia/FBI/NSA), dan tentunya nggak akan saya kasih tau siapapun (karena kalo saya kasih tau, pembeli bug itu bisa membunuh saya)
- Saya simpan sendiri, risikonya ada orang lain yang nemu bug yang sama. Orang itu bisa saja mengambil langkah 1, 2, ataupun 3
Nah, pertanyaannya: buat apa saya ngasih tau ke Anda, orang asing yang nggak saya kenal? apa untungnya buat saya?
Memang pernah ada beberapa bug Facebook yang memungkinkan mengambil alih account orang, tapi bug ini segera ditutup ketika dilaporkan atau diketahui Facebook.
Why is it as soon as someone finds out you're into security they 1)assume you can hack Facebook 2)ask you to hack someone's Facebook 😐
— invictus (@__invictus_) December 17, 2015
Tentu ada saja cara mengambil alih account Facebook, tapi biasanya melibatkan social engineering, atau melakukan exploit tertarget ke orang pemilik account itu. Contohnya:
- Menipu target supaya mengklik link tertentu dan di link itu ditanya ulang login/password FB-nya
- Menginstall keylogger di komputer target
- Mengambil alih email target agar bisa menggunakan fitur reset password di FB (ambil alih email ini merupakan masalah lain lagi)
- Password reset via SMS, Anda perlu orang dalam perusahaan telekomunikasi untuk menangkap SMSnya.
Lalu mau ngapain?
Kalo keinginan Anda untuk hacking hanya ingin mengubah website atau ngehack facebook orang, maka Anda akan bingung setelah itu ngapain?
Andaikan saja sudah berhasil mencapai target Anda: mau mendeface website: lalu berikutnya apa? Kalau Anda mendeface website, dalam hitungan jam (atau maksimum hari) websitenya dikembalikan dan dipatch. Ini sama seperti melompati pagar rumah orang lalu menuliskan grafiti yang kemudian gampang dicat ulang, lalu pagarnya diperbaiki.
Kalau Anda mengambil alih account FB orang lain untuk apa? Anda mau mencuri rahasianya? mau posting sebagai orang itu? paling-paling orang itu bakal membuat account baru, menghubungi teman-temannya bilang kalo accountnya sudah dihack.
Kalau Anda berhasil mengubah nilai di sistem akademik: memangnya tidak ada hardcopy bukti ujian Anda dari dosen? Memangnya dosen tidak curiga kalau tiba-tiba nilai Anda jadi sangat bagus? Andaikan tidak ketahuanpun, Anda tetap saja tidak dapat ilmu dari mata kuliah itu.
Kalau Anda terus-terusan carding, apakah suatu saat tidak akan tertangkap? Mau jadi pencopet terus?
Jadi Hacking itu ngapain?
Ada banyak definisi Hacking di Wikipedia dan ada kontroversi penggunaan definisi ini. Definisi yang banyak dipakai adalah yang masuk dalam Cybercrime (sebagian orang lebih ingin agar ini disebut sebagai Cracking), sedangkan saya sendiri lebih suka definisi hacker culture: In this controversy, the term hacker is reclaimed by computer programmers who argue that it refers simply to someone with an advanced understanding of computers and computer networks.
Dalam praktiknya: kalo kita punya pemahaman yang mendalam mengenai komputer dan jaringannya, maka melakukan cracking akan mudah dilakukan. Programmer yang memahami SQL bisa diajari SQL injection dalam hitungan menit, programmer C yang handal bisa diajari buffer overflow dalam hitungan jam. Network administrator yang baik bisa diajari berbagai teknik scanning jaringan dalam hitungan menit sampai jam (memakai nmap, metasploit, dsb).
Inti dari hacking adalah belajar untuk memahami semua yang berkaitan dengan komputer dan jaringan.
Cara belajarnya bagaimana?
Pertama perlu saya peringatkan bahwa bagi kebanyakan orang, hacking ini bisa sangat membosankan.
Tidak ada satu cara belajar yang cocok buat semua orang. Tapi saya ingin menekankan: pelajarilah dasarnya, karena banyak hacker wannabe yang akhirnya malah jadi korban.
Kadang seseorang cuma benar-benar ingin tahu cara cepat buat sesuatu dan cuma mau belajar satu dua hal. Contohnya seseorang yang ingin cepat bisa membongkar kunci gembok akan langsung beli dan memakai snap gun, sedang yang tekun akan belajar teknik secara manual lockpicking supaya lebih paham.
Di contoh kasus snap gun, orang bisa langsung tahu kalo itu gampang dipakai. Di dunia online, ada ribuan program dan website yang berusaha menipu hacker wannabe. Misalnya banyak website yang isinya “download program ini untuk menghack account FB teman Anda”. Yang didapatkan bisa:
- Program yang malah minta username dan password Anda (justru account Anda yang dihack)
- Malware (menginstall backdoor di komputer Anda, yang mungkin malah mengambil isi rekening Bank/Paypal Anda)
Jadi hal paling dasar yang perlu diketahui adalah: memakai komputer (dari mulai menginstall program, membaca manual, dsb), memakai search engine (supaya bisa mencari sendiri). Anda kemudian bisa membaca topik security dasar baik itu dari buku maupun website.
Kalau ingin langsung praktik untuk aplikasi web, Anda bisa mendownload: Damn Vulnerable Web Application (DVWA). Ini contoh aplikasi web yang vulnerable (sengaja ada lubangnya). Kalau Anda bahkan belum bisa mengikuti petunjuk untuk menjalankan aplikasi ini (baru menjalankan, belum membongkar), berarti ilmu dasar komputer Anda masih kurang.
Alternatif lain DVWA (yang juga mengajarkan network scanning, dsb) adalah VulnHub. Di situ ada banyak virtual machine beserta tugas yang harus Anda lakukan. Dulu ada list tantangan lain sejenis yang cukup lengkap, tapi saya belum menemukan versi lain yang sudah diupdate.
Berikutnya jika Anda ingin tantangan legal, Anda bisa ikut CTF. Semua link tulisan saya mengenai CTF bisa dibaca di http://yohan.es/ctf/. Tantangan lain adalah dengan ikut program bug bounty. Dalam program bug bounty, kita mencari bug di aplikasi orang yang sudah ada (dan biasanya populer, seperti FB, Twitter, Uber) dan jika berhasil maka kita bisa mendapatkan hadiah (bisa hanya masuk ke hall of fame, bisa dapet uang). Ini tidak mudah karena kebanyakan bug sederhana sudah ditemukan, tapi jika bisa menemukan bug baru, Anda akan sangat senang.
Ketika Anda baru bisa membobol sebuah situs ataupun program, jangan langsung merasa Anda sudah sangat hebat. Pikirkan juga bahwa ada orang yang membuat tool-tool yang Anda pakai, dan menemukan berbagai teknik yang Anda gunakan dan yang menuliskan tutorial sehingga Anda bisa melakukannya. Tiap program di Kali Linux yang Anda pakai, tiap Exploit yang ada di Metasploit dibuat oleh orang, dan tiap hal itu butuh waktu berjam-jam, berhari-hari dan bahkan mungkin berbulan-bulan untuk membuatnya.
Jadi jangan cuma bercita-cita bisa membobol situs, tapi bercita-citalah yang lebih tinggi. Minimal sebarkanlah lagi ilmu yang sudah Anda terima dalam bentuk tulisan. Kalau mampu membuat tools, buatlah tools dan sebarkan.
Happy Hacking!
Ribet ah, ajarin dunk
Hahaha.. sarkasme saya nih mas :p
http://cafelinux.info/news/menjadi-hacker-dengan-sekali-browsing
Tulisan kakak sangat berbobot dan rapi!
Saya sangat tertarik dengan tulisan kakak!
Tampilan web yang sederhana dan “enak” untuk dibaca untuk tulisan kakak!
Salam dari seorang pelajar yang sangat berantusias dalam mempelajar ilmu yang mainstream dan anti-mainstream yang di mana saling berbagi.