Kamis, 08 November 2012

Social Engineering

Kamis, November 08, 2012    No comments
Keamanan Komputer - Social Engineering

Tak perduli ada berapa banyak patch yang tersedia untuk sebuah sistem, atau firewall terbaru yang dirilis di pasar, tetap saja hal sederhana bisa menjadi jalur yang mengancam keamanan sistem komputer dan informasi di dalamnya. Coba disimak cerita berikut, yang benar-benar terjadi beberapa tahun lalu:
Sekelompok orang memasuki kantor sebuah perusahaan pengiriman yang cukup besar, dan keluar dengan informasi untuk mengakses SELURUH jaringan komputer perusahaan tersebut. Bagaimana hal itu bisa terjadi? Dengan mengumpulkan informasi sedikit demi sedikit, dari beberapa pegawai yang ditemui di perusahaan tersebut.
Sebelum mendatangi kantor tersebut, mereka mempelajari perusahaan itu, dan itu mereka lakukan dalam rentang waktu dua hari saja. Salah satu persiapan mereka adalah menghubungi departemen HRD. Dan hasilnya, mereka memiliki beberapa nama orang penting di perusahaan tersebut. Nama-nama yang bisa mereka pergunakan ketika berpapasan dengan pegawai yang bekerja di kantor tersebut, nama-nama penting yang jika di dengar oleh penjaga pintu depan akan membukakan pintu buat mereka, meski mereka tidak memiliki kartu pass. Di lantai ketiga, mereka mengatakan kalau kartu pass-nya tertinggal, lalu seorang pegawai yang baik hati membukakan pintu ke ruangan yang terbatas untuk orang-orang dengan akses keamanan tertentu saja yang boleh masuki.
Mereka tahu bahwa CFO perusahaan tersebut sedang tidak di tempat, jadi mereka dengan gampang memasuki kantor CFO perusahaan tersebut dan mengakses komputernya yang tidak diproteksi password. Dan mereka pun mendapatkan data seluruh data finansial perusahaan tersebut. Kemudian mereka berhasil mengumpulkan beberapa dokumen yang ditemukan di tempat sampah. Ya, mereka bahkan meminta seorang janitor (cleaning service, begitu) untuk membawakan tempat-tempat sampah yang ada di beberapa ruangan. Lalu mereka membawa pulang semua data dan dokumen itu.
Dari “markas” mereka, salah seorang sudah belajar meniru suara CFO (yang sedang keluar kota tadi), lalu menelpon system admin perusahaan tersebut, dengan suara yang terkesan terburu-buru dia meminta password untuk remote access dengan alasan lupa dan bahwa catatannya tertinggal di rumah. Setelah titik ini, yang mereka lakukan tinggal menggunakan teknik hacking yang “biasa saja” untuk mendapatkan akses tingkat super user ke dalam sistem komputer.
Jika diperhatikan, teknis hacking tidak digunakan sampai bagian akhir cerita di atas. Bagian-bagian sebelumnya memaparkan betapa sifat alami manusia yang bisa ditebak, dimanfaatkan demi tujuan tertentu. Dan sifat yang paling rentan adalah gampang percaya.
Tak perduli ada berapa banyak patch yang tersedia untuk sebuah sistem, atau firewall terbaru yang dirilis di pasar, tetap saja hal sederhana bisa menjadi jalur yang mengancam keamanan sistem komputer dan informasi di dalamnya. Coba disimak cerita berikut, yang benar-benar terjadi beberapa tahun lalu:
Sekelompok orang memasuki kantor sebuah perusahaan pengiriman yang cukup besar, dan keluar dengan informasi untuk mengakses SELURUH jaringan komputer perusahaan tersebut. Bagaimana hal itu bisa terjadi? Dengan mengumpulkan informasi sedikit demi sedikit, dari beberapa pegawai yang ditemui di perusahaan tersebut.
Sebelum mendatangi kantor tersebut, mereka mempelajari perusahaan itu, dan itu mereka lakukan dalam rentang waktu dua hari saja. Salah satu persiapan mereka adalah menghubungi departemen HRD. Dan hasilnya, mereka memiliki beberapa nama orang penting di perusahaan tersebut. Nama-nama yang bisa mereka pergunakan ketika berpapasan dengan pegawai yang bekerja di kantor tersebut, nama-nama penting yang jika di dengar oleh penjaga pintu depan akan membukakan pintu buat mereka, meski mereka tidak memiliki kartu pass. Di lantai ketiga, mereka mengatakan kalau kartu pass-nya tertinggal, lalu seorang pegawai yang baik hati membukakan pintu ke ruangan yang terbatas untuk orang-orang dengan akses keamanan tertentu saja yang boleh masuki.
Mereka tahu bahwa CFO perusahaan tersebut sedang tidak di tempat, jadi mereka dengan gampang memasuki kantor CFO perusahaan tersebut dan mengakses komputernya yang tidak diproteksi password. Dan mereka pun mendapatkan data seluruh data finansial perusahaan tersebut. Kemudian mereka berhasil mengumpulkan beberapa dokumen yang ditemukan di tempat sampah. Ya, mereka bahkan meminta seorang janitor (cleaning service, begitu) untuk membawakan tempat-tempat sampah yang ada di beberapa ruangan. Lalu mereka membawa pulang semua data dan dokumen itu.
Dari “markas” mereka, salah seorang sudah belajar meniru suara CFO (yang sedang keluar kota tadi), lalu menelpon system admin perusahaan tersebut, dengan suara yang terkesan terburu-buru dia meminta password untuk remote access dengan alasan lupa dan bahwa catatannya tertinggal di rumah. Setelah titik ini, yang mereka lakukan tinggal menggunakan teknik hacking yang “biasa saja” untuk mendapatkan akses tingkat super user ke dalam sistem komputer.
Jika diperhatikan, teknis hacking tidak digunakan sampai bagian akhir cerita di atas. Bagian-bagian sebelumnya memaparkan betapa sifat alami manusia yang bisa ditebak, dimanfaatkan demi tujuan tertentu. Dan sifat yang paling rentan adalah gampang percaya.

Kevin David Mitnick aka The Condor, ialah hacker pertama yang terkenal dengan aksinya yang satu ini. bahkan dia pernah menjadi top ten most wanted oleh CIA, FBI, dan agensi yang lainnya. Mitnick dibesarkan di Los Angeles dan bersekolah di Sekolah Tinggi Monroe. Ia mendaftar di Pierce College dan USC(University of Southern California). Ia bekerja sebagai resepsionis pada Stephen S. Wise Temple untuk sementara waktu. Setelah pengejarannya dipublikasi, FBI menangkap Kevin Mitnick pada bulan Januari 1995 di apartemennya di kota Raleigh, North Carolina atas tuduhan penyerangan terhadap pemerintahan.

sumber :
http://ngemeng.com/artikel/social-engineering/
http://id.wikipedia.org/wiki/Kevin_Mitnick

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)