Hacking di Serial Phantom/Ghost/유령 (bagian 4)

Ini merupakan bagian terakhir dari seri posting ini yang membahas episode 15 sampai 20. Di akhir seri ini adegan hacking yang dilakukan semakin sedikit dan fokus lebih pada cerita. Walau demikian, adegan hackingnya tetap lebih meyakinkan dari “hacker wannabe” dengan tag yang sempat trending di masa setelah pemilu ini.

Fokus akhir cerita masih ke software security/antivirus yang diberi backdoor. Kasus ini sangat mungkin terjadi seperti dalam berita tentang antivirus Kaspersky yang dicurigai dipakai menghack NSA. Sebagai catatan: cerita tentang Kaspersky di dunia nyata bahkan lebih seru dari di film ini.

Ada bagian mereka mengambil rekaman dari dashcam mobil. Setahu saya tidak ada dashcam yang bisa menyimpan video sampai puluhan hari, apalagi yang diakses adalah SD card yang menempel di dash cam. Andaikan ada sistem yang bisa menyimpan jangka panjang, kemungkinan medianya adalah harddisk (atau data ditransmit ke server ketika sampai di garasi).

Ada adegan waktu koneksi internet tiba-tiba mati: program yang dilihat adalah PRTG Traffic Grapher yang cukup masuk akal. Penyebab trafficnya tiba-tiba berhenti agak kurang masuk akal yaitu DDOS, seharusnya tiba2 ada traffic besar. Kecuali ada bug di firewallnya yang justru mematikan koneksi ketika ada serangan.

Di dalam film ini juga digambarkan bahwa tidak semua hal bisa dihack secara remote, tapi harus datang ke tempat langsung. Ini memang benar, tidak semua sistem bisa dihack dari jauh jika tidak terhubung ke jaringan. Di kasus tertentu bahkan kita tidak tahu data apa yang harus diambil, jadi di film ini mereka membuat clone harddisk komputer target.

Di sini juga diceritakan tentang malware yang “tidak meninggalkan jejak”. Ini masuk dalam kategori “fileless malware“. Malware jenis ini memang ada walau masih cukup jarang. Malware jenis ini hanya ada ketika sedang aktif dan ketika komputer direstart/dimatikan, malware hilang, tidak ada jejaknya di disk. Kebanyakan malware ingin tetap ada ketika direstart, jadi biasanya kebanyakan malware adalah file based malware.

You have to catch them in the act

Berikutnya ketika mencari tahu situs terakhir yang dikunjungi, sang tokoh utama melihat ke Event Viewer. Perlu dicatat bahwa informasi di sini memang banyak, tapi jika tidak disetting khusus informasi situs terakhir yang dikunjungi tidak ada di sini. Dalam kasus ini ceritanya di PC ini sudah terinstall program jahat versi beta yang masih melog ke Event Log.

Ada juga kasus pembunuhan oleh gamer karena masalah game online. Kasus seperti ini sudah pernah terjadi beberapa kali di dunia nyata (contohnya ini), jadi cukup masuk akal.

Penggunaan steganografi juga dimunculkan lagi. Kali ini dipakai untuk menjebak seseorang sehingga tanpa password. Sebenarnya agak aneh menyembunyikan file dengan software steganografi tapi tanpa password.

Salah satu tokoh di film ini memiliki 10000 PC Zombie (bagian dari botnet). Definisi Zombie Computer dari wikipedia adalah: a computer connected to the Internet that has been compromised by a hacker, computer virus or trojan horse and can be used to perform malicious tasks of one sort or another under remote direction. Atau intinya: PC yang sudah diinfeksi malware dan bisa dikendalikan dari jauh. PC yang mereka kendalikan ini bisa digunakan untuk menyerang sistem lain.

Ada adegan tokoh jagoan film ini gantian mengirim malware ke tokoh jahat. Ketika menyadari ada yang aneh, si tokoh jahat segera mencabut koneksi internet (hal yang bijaksana) lalu melihat proses yang berjalan. Di sini terlihat nama prosesnya svch0st.exe (dengan angka 0, sedangkan proses Windows asli adalah svchost.exe dengan huruf o). Cara seperti ini sering digunakan oleh malware (variannya misalnya menggunakan spasi ekstra atau nama yang panjang)

Tentunya proses semacam ini perlu di-kill jika sudah ketemu. Software yang digunakan adalah Process Explorer dari Microsoft.

Kadang hacking tidak bisa dilakukan karena alasan teknis dan juga bisa bermasalah dengan hukum. Dalam film ini yang dilakukan adalah: pemerasan. Kadang cara ini memang lebih efektif dari hacking.

Dalam film ini juga beberapa kali tokohnya menghack display reklame LCD (videotron). Seberapa sulitkah ini? tidak sulit jika kita memang tahu targetnya. Contoh kejadian yang pernah ada di Indonesia adalah ketika film porno diputar di sebuah videotron. Intinya hanya perlu remote desktop (atau di kasus Indonesia memakai team viewer). Dan itu yang dilakukan di film ini.

Koneksi ke remote desktop

Sebagai catatan: banyak orang yang menjual akses shell/remote desktop ke berbagai sistem di forum-forum underground.

Hacking videotron

Ada kamera yang berisi SD Card yang memegang bukti penting dalam film ini. Katanya isi SD Cardnya kosong (sudah dihapus), tapi polisi bisa mengembalikan file yang terhapus. Sebenarnya ini masuk akal, yang tidak masuk akal adalah kamera dan SD Cardnya tidak dipakai selama setahun selama kameranya dipegang seseorang (kameranya tidak dipakai mengambil foto sama sekali). Ada banyak software file recovery yang bisa ditemui di internet untuk tujuan ini.

Ada satu bagian adegan yang agak kurang masuk akal dan sedikit mengganggu, tapi saya mengerti mereka membuat ini supaya ada sesuatu yang bisa dikenali penonton (logo H untuk Hades). Tokoh utama mengetik suatu perintah, lalu muncul sederetan teks tidak berguna (supaya keliatan keren, padahal itu hanya sekedar type sesuatu.js). Ini agak mirip tagar konyol yang sedang trending saat ini.

Ceritanya tokoh utamanya memiliki aplikasi (mungkin dengan bug zero day) yang mampu menghentikan segala jenis program (baik itu disk erase atau apapun). Lalu di akhir selalu muncul payload animasi yang sampai akhir film tidak diganti padahal ceritanya penggunaan logo ini mencurigakan sekali karena hacker yang membuatnya dianggap sudah mati.


Demikian akhir dari seri review serial TV Phantom ini. Secara umum ceritanya cukup baik. Ada beberapa bagian yang dibuat terlalu bertele-tele supaya jadi 20 episode. Secara umum ceritanya cukup cerah dan bersih. Tidak seperti Mr Robot yang terlalu gelap ada penggunaan drugs dsb. Bahkan di film ini tidak ada adegan ciuman.

Detail semua yang tampil di layar cukup diperhatikan. Software yang dipakai meyakinkan, dan bahkan listing assembly pun cukup masuk akal. Bahkan detail tanggal di listing program juga benar. Jumlah adegan hacking pun cukup banyak (setidaknya di awal seri ini). Mungkin di masa depan saya akan mencoba menonton ulang film lain untuk mereview adegan hackingnya.

Hacking di Serial Phantom/Ghost/유령 (bagian 3)

Mulai dari episode 7, jumlah hacking dan tool hacking yang muncul semakin sedikit, jadi untuk bagian 3 ini episode yang dibahas lebih banyak: dari 7 sampai 14. Ada laporan teknis yang muncul sekilas, dan dibuat cukup meyakinkan dengan screenshot program di dalamnya.

Ada juga adegan akuisisi data dari ponsel.

Sementara itu ketika mengakses komputer orang lain (secara tidak legal) dan butuh akses browser history, Yoo Kang-mi memakai BrowserHistorySpy.

Ada sedikit omongan teknis tentang ARP attack, tapi tidak detail diceritakan.

Dan software forensik sebelumnya masih muncul lagi

Dalam kecelakaan mobil, ditemukan USB flash drive dengan firmware ECU. Entah kenapa di Flash drive itu ada software WinHex. Tapi bisa saya pahami ini dibuat agar ceritanya berjalan dengan cepat. Tokoh utama membuka file itu dan menemukan kata-kata “ECU”.

Saya tidak tahu jenis mobil dsb, tapi mobil jenis tertentu memang bisa ditamper kontrolnya, bahkan dari jauh (jika mobil itu punya konektivitas wireless. Di Blackhat 2016 bahkan ada sesi Car Hacking Hands On.

Sayangnya waktu melakukan analisis firmware ECU, software yang dipakai masih ollydbg juga dan yang ditampilkan adalah program PE Windows. Ini juga bisa saya mengerti: di tahun tersebut hanya IDA Pro yang cukup bagus untuk melakukan reverse engineering firmware non x86, dan mereka tidak ingin membayar mahal hanya demi film tersebut.

Setelah itu ada aksi remote akses menggunakan software radmin.

Dan ada adegan keylogging juga. Tokoh utamanya melakukan keylogging sambil memonitor hasilnya realtime.

Ketika melakukan analisis cepat terhadap software beta, mereka membuka log file untuk melihat kelakuan program. Ini sangat masuk akal.

Seingat saya sisa film ini tidak banyak lagi hackingnya, jadi kemungkinan bagian berikutnya akan jadi bagian terakhir. Meskipun episode-episode ini kurang banyak hackingnya, tapi mereka tetap berusaha memasukkan program yang akurat jika memungkinkan. Ceritanya sampai titik ini juga masih cukup baik (penuh misteri dan kerja detektif).

Catatan dari Nonton Phantom: Waspada di Dunia Digital

Ceritanya masih nyambung dengan postingan Joe. Karena liburan panjang kali ini kualitas udara masih kurang baik dan panasnya juga minta ampun, kami memutuskan untuk menonton ulang kdrama Phantom tahun 2012 yang kami pernah nonton bareng di tahun 2013. Entah kenapa, walau namanya nonton ulang, misterinya masih terasa baru karena saya udah lupa semua siapa penjahatnya dan bagaimana mereka mengungkapkannya.

Waktu pertama kali nonton kdrama ini, saya belum jadi penggemar kdrama seperti sekarang, malahan dulu Joe yang ajakin nonton serial ini hehehe. Mana saya tahu dulu siapa itu So Ji Sub ataupun Lee Yeon He. Kdrama ini memang berbeda genrenya dengan kdrama yang biasanya saya tonton, tapi lebih mirip dengan serial dari Amerika. Ceritanya berkisah seputar upaya tim investigasi cyber untuk mengungkapkan kasus-kasus pembunuhan yang terjadi di dunia nyata makanya Joe mau nonton hehehe. Jadi kayak serial CSI Cyber.

Ceritanya banyak sisi teknis dan berusaha memecahkan misteri siapa pelaku kejahatannya, tapi dalam 20 episode ada 1 misteri besar dan beberapa misteri kecil-kecil yang berusaha mereka pecahkan. Jadi berbeda dengan drama genre romance yang tujuan akhirnya male lead jadian sama female lead, drama ini seperti beberapa drama dijadikan satu drama besar. Cocok buat jadi tontonan bareng pasangan biar gak sendirian nonton kdramanya hehehehe.

Memang sejak dunia digital sudah menjadi bagian dari kehidupan kita, orang jahat ya kepikiran aja gitu memanfaatkan celah yang ada untuk berbuat jahat. Dari beberapa episode yang sudah ditonton, saya ingin menuliskan beberapa hal yang perlu kita perhatikan supaya kita tidak menjadi korban dari dunia digital ini.

  1. Gantilah password/pascode secara berkala
  2. Gunakan password yang berbeda untuk account yang berbeda dan device yang berbeda
  3. Kalau kita punya access point di rumah, pastikan ada passwordnya, supaya gak sembarang orang bisa masuk ke komputer di rumah kita
  4. Jangan suka nulis hate comment di forum internet, walaupun kita pakai nama samaran, ada saja cara orang jahat menemukan identitas asli kita.
  5. Jangan buka attachment iming-iming gratisan kalau gak pernah subscribe ke layanan tersebut.
  6. Account e-mail menggunakan nama kita bisa diciptakan siapapun, jadi kalau menerima e-mail dari orang yang namanya kita kenal tapi kita tidak merasa memberitahu e-mail kita, tetap berhati-hati karena bisa jadi bukan orang yang kita kenal itu yang mengirimkan e-mail ke kita.

Ada beberapa kejanggalan dalam cerita kejahatan di Phantom ini. Misalnya, penjahatnya itu sampai beberapa episode gak ketangkap, tapi motifnya terkadang terlalu biasa saja. Kalau kata Joe: ya sebenarnya siapa saja bisa melakukan kejahatan digital dengan mudah, kalau dia agak cerdas maka dia bisa melakukannya supaya agak sulit dilacak. Tapi sebenarnya namanya kriminal sebagian besar melakukannya karena mereka mentalnya gak sehat. Jadi bisa saja karena stress mereka jadi fokus memikirkan dan menyusun rencana jahat yang susah untuk diusut. Sama saja dengan kejahatan non digital, polisi akan butuh waktu untuk menguraikan apa saja kemungkinan yang ada dan petunjuk mana yang nantinya akan membantu sampai ke penyelesaian masalah.

Dipikir-pikir, nonton film kok serius amat yah, ya begitu emang kalau nonton bareng enaknya bisa dibahas apa yang gak pas hehehehe. Karena nontonnya baru sampai episode 8, tulisannya nanti disambung kalau sudah selesai ditonton ulang semuanya.

Bedanya nonton yang sekarang dengan dulu, kalau dulu gak kenal ini aktornya main di mana saja, dan dulu kalau ada tulisan-tulisan hangeul muncul saya gak ngerti sama sekali, sekarang tentunya udah bisa sekalian latihan dikit-dikit dari apa yang sudah dipelajari. Ada bagusnya juga lupa endingnya bagaimana, jadi walaupun namanya nonton ulang, rasaya seperti baru nonton aja hehehe.

Hacking di Serial Phantom/Ghost/유령 (bagian 1)

Sebenarnya film drama Phantom ini sudah cukup lama (tahun 2012) dan sudah pernah saya tonton beberapa tahun sebelumnya, tapi karena sekarang Risna lagi rajin nonton drama korea kami jadi nonton lagi film ini. Saya akan membahas mengenai berbagai tool yang dipakai di serial ini. Beberapa konsep yang rumit yang tidak cukup ditulis di posting ini akan saya posting di posting yang lain.

Saya berusaha untuk tidak memberikan spoiler di posting ini, tapi ya mungkin saja tetap ada sedikit. Sebagai catatan: ini sekedar film fiksi, jadi banyak juga hal-hal yang kurang realististis supaya filmya lebih seru. Sama seperti adegan baku tembak atau kejar-kejaran mobil di berbagai film lain yang juga sering tidak masuk akal. Tapi meski demikian film ini cukup realistis dari segi software yang dipakai.

Posting bagian pertama ini hanya membahas Episode 1 sampai 3. Di tiap episode pemakaian komputer/toolnya bervariasi, jadi dalam tiap bagian posting ini saya tidak akan selalu membahas tiap 3 episode, bisa lebih bisa kurang.

Hal pertama yang menarik ketika Kim Woo-hyun mengcompile program custom. Dia secara manual mengetik: gcc -v .. dst. Padahal di situ ada Makefile, harusnya tinggal ketik “make” saja sudah cukup.

Compile program

Sementara itu Park Ki-young memakai metasploit dalam aksinya. Metasploit adalah software standar yang dipakai baik hacker maupun pentester untuk melakukan banyak hal (scanning system, eksploitasi sistem, membuat payload, dsb).

Metasploit

Ketika tim forensik menerima laptop barang bukti mereka tidak langsung mengakses komputernya. Sebelum analisis forensik dilakukan mereka membuat dulu “disk image”. Juga ditunjukkan harddisk laptop bersanding dengan harddisk target.

Cloning/imaging disk

Software yang dipakai adalah Image Master Forensic. Ini software yang benar-benar ada.

Image master forensic

Analisis kemudian dilakukan menggunakan software Encase yang sangat dikenal oleh kalangan Digital Forensik.

Encase

Di episode pertama ada juga beberapa software yang tidak saya kenal, misalnya software untuk mengakses kamera. Ada kemungkinan softwarenya adalah software lokal Korea.

Saya tidak mengenali software ini

Di sana mereka memiliki beberapa software yang lebih umum dibandingkan dengan yang kita pakai sehari-hari. Contohnya format dokumen yang umum bukan DOC tapi HWP (dari software Hangul Office). File dengan ekstensi HWP ini banyak muncul di film ini karena memang terkenal di kalangan pemerintah Korea Selatan.

Saya tidak bisa berbahasa Korea, jadi tidak tahu apakah terjemahannya 100% benar atau tidak, tapi secara umum penjelasanya cukup baik. Misalnya dikatakan bahwa Steganografi digunakan untuk menyembunyikan informasi di file gambar atau musik. Secara teori file apapun bisa, walau di file multimedia (gambar, video, suara) datanya bisa lebih tersembunyi karena ukuran filenya sudah besar.

Sebenarnya file apa saja bisa digunakan untuk steganografi.

Software yang digunakan dalam film ini adalah OpenStego

OpenStego

Beberapa software tampaknya dibuat custom, contohnya ketika Yoo Kang-mi mengedit data pasien, terlihat bahwa ikonnya merupakan ikon standar aplikasi .NET (C#/VB.NET) yang dibuat dengan visual studio.

Software custom

Bisa dibandingkan Ikon HIS di aplikasi tersebut dengan ikon aplikasi yang belum diganti di Visual Studio.

Ikon standar aplikasi dengan Visual Studio

Bukan cuma program GUI itu saja yang dibuat custom, program command line juga dibuat custom. Program pertama yang saya sebutkan ternyata di dalam cerita itu adalah untuk melakukan tracing. Saya agak tersenyum dia mengcompile pakai parameter -v (verbose) cuma supaya layarnya terlihat lebih penuh.

Ternyata program di screen capture pertama adalah REVERSE TRACER (ini tidak beneran ada)

Sebelum melakukan serangan, dilakukan recon dulu dengan nmap (GUI interface untuk nmap)

Scanning dengan GUI Nmap

Outputnya juga diperlihatkan

Ini targetnya server Linux. Nggak tau kenapa ke server itu, karena targetnya adalah user yang memakai Windows.

Yang jadi target port 9929, ini nggak masuk akal (port ini tidak standar digunakan).

bagian ini juga kurang masuk akal

Selain masalah tool, film ini juga kadang menjelaskan konsep tertentu. Misalnya di episode 3 ini dijelaskan tentang konsep Phishing attack. Dijelaskan juga contoh-contoh kenapa orang membuka attachment yang tidak dikenal di email.

Contoh email phishing

Sekian pembahasan kali ini. Saya tidak akan membahas dalam mengenai ceritanya: dari segi cerita, kadang ceritanya agak terlalu ribet/kurang masuk akal, tapi lumayan seru juga. Bagi saya ini cukup menarik karena mereka punya flashback ke tahun 1999/2000 di masa virus CIH, Melissa dan masalah Y2K. Nostalgia kembali ke masa kuliah saya. Bagian mengenai flashback masa lalu ini akan saya bahas di bagian berikutnya.