Teknik Mengcrack

Dalamtulisan ini saya coba ketengahkan beberapa teknik yang umumnya digunakanteman-teman untuk melakukan crack ke sistem komputer. Referensi-nya bisa dibacadi

• http://www.rootshell.com
• http://www.antionline.com/archives/documents/advanced/
• http://www.rootshell.com/beta/documentation.html
• http://seclab.cs.ucdavis.edu/papers.html
• http://rhino9.ml.org/textware/

Salahsatu referensi menarik lainnya adalah artikel dari Front-line Information SecurityTeam, "Techniques Adopted By 'System Crackers' When Attempting To BreakInto Corporate or Sensitive Private Networks," fist@ns2.co.uk & http://www.ns2.co.uk

Lembagaapa saja sebetulnya yang biasanya rentan terhadap serangan cracker ini? Adacukup banyak sebetulnya mulai dari:

• institusi finansial & bank
• Internet service provider (ISP)
• Perusahaan farmasi
• Lembaga pemerintah & pertahanan
• Perusahaan multinasional

Paracracker ini profile-nya seperti apa? Jika kita perhatikan baik-baik makaumumnya mereka adalah pria berusia antara 16-25 tahun. Mereka umumnya melakukancracking untuk meningkatkan kemampuan cracking mereka atau untuk menggunakanresource yang ada di jaringan untuk keperluan pribadinya. Umumnya mereka adaopportunis yang secara untung-untung menscan sistem untuk melihat lubang darisistem. Umumnya setelah berhasil memasuki sistem yang dimaksud kemudianmengambil akses administrator (root) dari sistem tersebut; kemudian membuatakses backdoor agar dikemudian hari dapat memasuki sistem tersebut lagi sambilmenutup berbagai lubang security yang ada supaya cracker lain tidak bisamemanfaatkan sistem yang dia kuasai ini.

Sebelummemasuki berbagai teknik yang dipakai oleh para cracker untuk menguasai sistemada baiknya kita melihat secara sepintas saja metoda apa saja yang digunakanoleh berbagai perusahaan ini untuk menyambungkan ke Internet. Secara sederhanaumumnya berbagai perusahaan / instansi menyambung ke Internet menggunakanteknik-teknik firewall dan proxy server untuk akses bagi anggota / karyawan /siswanya agar bisa akses bersama melalui satu saluran komunikasi. Adapunhubungan ke Internet umumnya digunakan untuk hosting webserver, servis e-mailagar bisa berhubungan dengan dunia luar dan memberikan akses ke Internet bagiperusahaan / anggota / siswa.

Dalamsetup jaringan komputer yang demikian umumnya webserver bukanlah tempat yangcukup menarik untuk di serang jika kita menginginkan akses ke informasi yangada dalam corporate network. Kalaupun seorang cracker menyerang webserverumumnya digunakan untuk mengubah file yang ada untuk menjatuhkan citraperusahaan / lembaga. Bagi cracker yang berkeinginan untuk memasuki intranetcorporate maka serangan akan dilakukan ke server e-mail karena biasanya servere-mail yang mempunyai saluran secara langsung ke dalam intranet untuk bertukare-mail antara dunia intranet dan dunia internet. Bagi cracker yang cukupcanggih maka serangan akan dilakukan pada router menggunakan scanner secaraagresif terhadap protokol managemen SNMP yang akhirnya bisa mengubah routeryang ada menjadi jembatan mereka memasuki intranet dari internet.

Setelahmengetahui berbagai modus yang ada di atas mari kita bahas sedikit lebih detailtentang cara mereka menyerang. Teknik pertama yang perlu dilakukan oleh paracracker ini adalah teknik ‘cloak’ yang pada dasarnya menyembunyikan diri padasaar menyerang agar administrator jaringan di ujung sebelah sana tidakmenyadari bahwa mesin-nya sedang di serang. Teknik ‘cloak’ yang biasanyadigunakan oleh para cracker ini adalah:

• Melakukan bouncing (melompat) dari mesin yang sebelumnya telah di serang melalui program telnet atau remote shell rsh.
• Melakukan bouncing (melompat) dari mesin yang menjalankan windows melalui software wingate mereka.
• Melakukan bouncing (melompat) dari server proxy yang salah di konfigurasinya.

Seorangcracker pada saat menyerang harus mengumpulkan banyak informasi tentangjaringan yang akan dia serang. Beberapa teknik yang umumnya digunakan untukmengumpulkan informasi tersebut biasanya dijalankan di perangkat Unix (bukanwindows) yang antara lain adalah:

• Menggunakan perangkat lunak nslookup dalm memberikan perintah ‘ls <domain atau network>.
• Melihat file HTML di server Web anda untuk mengidentifikasi host lain di intranet anda.
• Melihat berbagai dokumen yang ada di server file (FTP) anda.
• Melakukan hubungan ke server mail anda menggunakan perintah ‘telnet host 25’ dan memberikan perintah ‘expn <user>’.
• Mem-‘finger’ pengguna yang memiliki account di mesin yang terbuka di internet.

Selanjutnyaadalah mengidentifikasi komponen jaringan apa saja yang di set sebagai komponenyang paling di percaya di jaringan intranet perusahaan tersebut. Biasanya mesinyang digunakan administrator atau server biasanya dipercaya sebagai mesinpaling aman di jaringan.  Untuk melihatmesin mana yang di anggap paling aman di jaringan biasanya para cracker inistart dengan melihat men-cek daftar export dari Network File System (NFS) kedirectory /usr/bin, /etc dan /home dimesin mana saja dilakukan operasi NFStersebut. Jika bisa mengakses webserver maka bisa juga mengeksploitasikelemahan Common Gateway Internet (CGI) untuk mengakses file /etc/hosts.allow.

Setelahmelihat mesin mana yang dianggap paling aman / paling bisa dipercaya dijaringan intranet yang ingin kita serang. Langkah selanjutnya adalahmengidentifikasi kelemahan mesin-mesin tersebut. Ada beberapa program yangumumnya bersifat public domain & bisa secara mudah + gratisan di ambil diinternet yang bisa digunakan untuk melakukan operasi tersebut, beberapadiantara program di Linux untuk keperluan tersebut adalah ADMhack, mscan, nmap &banyak scanner kecil. Biasanya agar administrator mesin tidak mengetahui bahwakita melakukan scanning tersebut maka program ini di sembunyikan di balikprogram ‘ps’ atau ‘netstat’. Jika router di institusi / lembaga lawan tersebutternyata mengaktifkan kemampuan agar bisa dimanage jarak jauh menggunakanprotokol SNMP maka cracker yang lebih canggih bisa mengaktifkan teknik scanningSNMP yang bisa menguasai router tersebut.

Beberapahal yang biasanya di cek pada saat melakukan scanning pada sebuah alat dijaringan komputer antara lain adalah:

• Scan port TCP dari sebuah mesin.
• Melihat servis RPC yang dijalankan menggunakan portmapper.
• Melihat daftar export melalui nfsd.
• Melihat daftar directory yang di share melalui samba / netbios.
• Melakukan banyak finger untuk mengidentifikasi account default.
• Scan kelemahan Common Gateway Interface (CGI).
• Identifikasi kelemagan berbagai software server yang dijaankan di mesin seperti, sendmail, IMAP, POP3, RPC status & RPC mountd.

Setelahmengetahui kelemahan sistem, cracker tinggal mengambil alih sistem sistemdengan menjalankan program dari jauh untuk mengeksploit kelemahan softwaredaemon server untuk memperoleh akses administrator / root dari mesin anda.Setelah cracker berhasil memperoleh akses ke peralatan yang lemah tadi makacracker umumnya melakukan operasi pembersihan ‘clean up’ terhadap file log agartidak terlihat oleh si administrator mesin tentang apa yang dilakukan oleh sicracker. Kemudian cracker akan memasang software / program yang diperlukanuntuk membuat ‘backdoor’ agar dikemudian hari dapat mengakses sistem tersebut.Memasang .rhosts file di /usr/bin agar dikemudian hari dapat menjalankanprogram di mesin yang sudah dikuasai menggunakan perintah rsh & csh dari jauhsaja.

Padatitik ini sebetulnya mesin sudah dikuasai tinggal dimanfaatkan saja. Ada banyakhal yang bisa dilakukan oleh cracker dalam memanfaatkan mesin yang sudah diakuasai, antara lain:

• Menjadikan jembatan antara Internet dengan intranet network.
• Menginstalasi sniffer untuk melihat traffic yang sedang berjalan di LAN Corporate network di situ bisa dilihat berbagai password, nomor kartu kredit kalau tidak dilindungi. Program cpm di http://www.cert.org/ftp/tools/cpm mungkin bisa membantu memperbaiki interface yang dipasangi sniffer ini.
• Yang paling sial kalau cracker menjalankan perintah ‘rm –rf /&’ karena mesin akan hancur lebur. Anda akan membutuhkan waktu beberapa jam s/d beberapa bulan untuk memperbaikinya kalau anda tidak pernah memback-up setting anda. Hal ini akan sangat berbahaya jika dijalankan di mesin-mesin yang menjalankan operasi ‘mission critical’ misalnya server di perbankan dll.