Senin, 18 Oktober 2010

SOCIAL ENGINEERING





LATAR BELAKANG

Sampai saat ini attacker atau cracker belum menunjukkan tanda-tanda akan mengakhiri usaha-usaha membobol sistem keamanan jaringan. Pencurian password, pengambilalihan account, merupakan hal yang sering terjadi di dunia cyber. Bukan hal yang sulit untuk melakukannya.Tapi banyak yang bertanya-tanya bagaimana cara Hecker dengan gampang mendapatkan Password User. Ada banyak cara untuk mendapatkan suatu password. Beberapa diantaranya tidak membutuhkan keahlian khusus. Salah satu cara yang umum dan paling sering digunakan  adalah “ Social Engineering”.
Dalam menangani hal itu, perusahaan-perusahaan maupun berbagai
organisasi telah banyak menghabiskan baik waktu, tenaga dan biaya untuk mempertahankan dan mengamankan sistem yang dimilikinya. Antara lain dengan melakukan pembelian berbagai macam hardware keamanan yang mahal seperti firewall, serta melakukan upgrading dan patching pada semua sistem operasi dan aplikasi yang digunakan. Selain itu juga dilakukan upgrading hardware karena setiap teknologi baru yang diimplementasikan juga menuntut hardware baru yang lebih canggih dan mahal dari sebelumnya. Perekrutan network administrator yang memiliki reputasi tinggi dalam menangani system keamanan jaringan merupakan solusi dari sisi SDM.
      Di balik semua sistem keaman dan prosedur-prosedur pengamanan yang ada masih terdapat faktor lain yang sangat penting, yaitu : manusia. Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak datadata penting perusahaan.



PENGERTIAN SOCIAL ENGINEERING
      Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon  atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh cracker ataupun hacker yang jahat untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
      Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
      Aktivitas social engineering dalam dunia TI juga tidak terlepas dari memanipulasi manusia yang berinterksi dengan komputer dengan menggunakan kombinasi dari berbagai teknik seperti memata-matai, mencuri, berbohong, memutar balikkan fakta, dan banyak lagi.
      Pelaku penyerangan dengan menggunakan social engineering biasanya tidak memerlukan seperangkat alat-alat canggih atau software yang dapat memecahkan kode-kode sulit. Yang diperlukan dalam proses penyerangan ini adalah pemahaman akan kondisi psikologis dari targetnya, dan tentunya juga kepandaian berbicara.

METODE YANG DIGUNAKAN
            Metode untuk melakukan social engineering bisa dibagi ke dalam dua cara yaitu secara fisik dan secara psikologi. Untuk metode social engineering  yang pertama adalah secara fisik, pada metode ini si penyerang beraksi  dengan mendatangi tempat kerja, melakukan hubungan telepon, memeriksa dari hasil sampah (mengambil sampah orang lain bukan merupakan pelanggaran hukum) atau dengan koneksi Internet.
Hal tersebut merupakan metode yang paling dasar dalam social engineering, dan dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah menekankan pada aspek psikologis dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.

LANGKAH-LANGKAH YANG DILAKUKAN
      Melakukan social engineering yang notabene hampir sama seperti penipuan biasa juga terdiri dari beberapa step proses. Proses-proses tersebut adalah sebagai berikut:
1.   Information  Gathering
Proses social engineering yang paling pertama dilakukan adalah mengumpulkan informasi. Para penyerang tersebut memiliki beribu-ribu variasi cara untuk mengumpulkan informasi dari targetnya. Proses ini dapat dilakukan dengan sesederhana mungkin seperti misalnya mengumpulkan informasi dari list telepon, ataupun sampai yang paling sulit dan detail sepertu nomor-nomor jaminan sosial, username password sebuah halaman site, dan banyak lagi.
2.   Develompent of Relationship
      Adalah sifat manusia yang paling mendasar untuk dapat mempercayai seseorang. Namun apa jadinya jika sifat yang sebenarnya baik tersebut dimanipulasi oleh orang-orang tertentu. Tentunya Anda akan banyak mengalami kesusahan bukan. Begitu pula dengan para hacker yang memanfaatkan jalur ini. Dengan memanfaatkan kepercayaan dari targetnya, ia masuk ke dalam jaringan kehidupan dan bisnis dari targetnya. Terkadang untuk memasukinya pun cukup gampang, hanya tinggal melakukan sesi peneleponan sekali, e-mail, chatting, kontak langsung, dan banyak lagi. Intinya setelah kepercayaan yang Anda dapat maka tahap berikutnya adalah informasi rahasia.
3.   Exploitation of Relationship
Setelah kepercayaan berhasil Anda dapat dan terjalin hubungan yang baik, langkah berikutnya adalah mulai mengeksploitasi hubungan tersebut. Cara mengeksploitasinya adalah dengan mengorek semua informasi penting yang dimiliki oleh target. Misalnya password, nomor kartu kredit, informasi gaji, informasi strategi penjualan, dan banyak lagi. Selain mengorek informasi, para hacker pada tahap ini juga sudah bisa melakukan aksi-aksinya seperti misalnya membuat account baru pada server, mengubah password milik target tanpa diketahuinya, dan banyak lagi.
                  4.   Execution to Achieve Objective
Proses-proses di atas terkadang perlu diulangi berkali-kali untuk mendapatkan suatu hasil yang pas. Maka dari itu, biasanya para hacker akan membuat sebuah siklus pada tahap ini. Siklus ini dapat menjadi umpan bagi proses-proses lainnya agar dapat berjalan dengan baik dan tercapai tujuan dari si penyerang tersebut.

TARGET  SERANGAN
                  Yang menjadi target untuk pengganggu keamanan jenis ini sudah barang tentu adalah manusia. Orang-orang yang memiliki sesuatu yang berharga yang dibutuhkan oleh penyerangnya tentulah merupakan target utama. Dalam dunia TI orang-orang yang memiliki informasi penting, baik di kepalanya maupun di komputernya adalah target utama dari social engineering. Tujuannya adalah untuk mengumpulkan informasi penting tersebut namun bukan darI komputernya, melainkan langsung dari penggunanya.
Beberapa sifat dasar manusia yang dapat mendukung terjadinya proses social engineering dengan mudah adalah terdiri dari enam jenis. Enam sifat tersebut adalah sebagai berikut:
a.      Reciprocation (Timbal Balik)
Rasa timbal balik merupakan sifat dasar manusia yang dapat dieksploitasi. Tidak hanya untuk kepentingan social engineering, untuk kepentingan marketing sifat ini pun sering kali digunakan dan kebanyakan berhasil. Biasanya jika seseorang telah memberikan sebuah umpan kepada targetnya, maka banyak di antara target tersebut yang tertarik oleh umpan tersebut.
b.      Consistency (Konsistensi)
Sikap dan respon manusia terhadap beberapa kejadian yang dialaminya terkadang konsisten dari manusia satu ke manusia lainnya. Misalnya ketika Anda mengajukan sebuah pertanyaan dan kemudian menunggu jawabannya, kebanyakan orang pasti akan merasakan kalau dirinya sedang ditunggu. Sifat-sifat yang mudah ditebak seperti inilah yang dapat digunakan oleh para hacker untuk mengeksploitasi targetnya
c.       Social Validation (Validasi Sosial)
Social validation merupakan sifat manusia yang sepertinya hampir mendekati bawah sadar atau reflek karena terkadang kita sendiripun tidak menyadari akan melakukan hal tersebut. Sifat social validation merupakan sifat meniru perbuatan seseorang yang dilakukan secara refl eks yang sering kali tidak disadari.
d.      Liking (Kesukaan)
Kebanyakan manusia akan mengatakan kata “ya” atau dengan kata lain setuju pada apa yang mereka sukai. Perlakuan manusia yang seperti ini berlaku pada semua benda dan semua kejadian yang terjadi di muka bumi ini. Salah satu yang paling menonjol adalah sifat suka pada orang-orang yang atraktif, misalnya orang-orang yang cantik, yang dianggap hebat, yang berprestasi, dan banyak lagi.

Atas dasar sifat yang satu inilah terkadang para hacker dapat mengeksploitasi Anda para manusia. Dengan memberikan sebuah umpan yang disuka oleh Anda, maka dengan mudahnya Anda membeberkan informasi pribadi yang sangat rahasia. Cara seperti ini tergolong sangat mudah dilakukan dan tingkat keberhasilannya cukup tinggi.
e.      Authority (Otoritas)
Hampir semua orang percaya bahwa jika para ahli dalam suatu bidang yang mengeluarkan pendapat, maka pastilah benar adanya. Para ahli tersebut dianggap seperti pemegang otoritas atau kekuasaan penuh akan pemutusan benar atau salahnya sesuatu. Sifat manusia yang satu ini memang tidak bisa disalahkan karena biasanya kepada siapa lagi mereka akan percaya kalau bukan pada ahlinya atau dengan kata lain orang yang memiliki otoritas.
f.        Scarcity (Kelangkaan)
Sifat dasar manusia yang satu ini memang paling terasa efeknya ketika terjadi. Sifat takut akan kekurangan atau kelangkaan dari sesuatu akan mengakibatkan berbagai hal pada diri manusia, baik itu hal negatif maupun juga hal positif. Paling tidak ada respon yang cukup signifi kan dari adanya sifat ini         pada   manusia.
Takut akan kehabisan cadangan makanan, takut akan kehabisan uang, takut akan kehabisan bahan bakar, takut akan kehilangan pekerjaan yang susah dicari, semua itu adalah ketakutan akan kekurangan atau kelangkaan dari sesuatu. Dan setelah menjadi takut, maka manusia lebih mudah dieksploitasi.

CONTOH-CONTOH SOCIAL ENGINEERING
Contoh I
 seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.

Contoh II
Customer service : “Halo selamat siang, dengan customer support ada yang bisa dibantu,”
                  Pelaku                    : “Halo saya mau tanya mengenai account internet    suami saya, dimana ya alamat yang digunakan untuk mendaftar account tersebut,”
                        Customer Service   :” Bisa minta nomor customer-nya Bu,”
Pelaku                    : ““Oh saya juga lupa, tetapi saya tahu e-mail-nya,                                testing123@abcd.com. Cepat ya Mas saya agak terburu-buru nih sudah diminta sama suami saya,”
Tanpa rasa curiga sang customer support langsung memberikan alamat lengkap dari pelanggannya tersebut berikut dengan nomor teleponnya. dan sesi penelponan pun berakhir. Pada minggu berikutnya datanglah seorang customer dengan beberapa pengacara ke kantor penyedia jasa tersebut. Ia melaporkan bahwa dirinya telah dicemarkan nama baiknya, telah dirusak rumah tangganya, dan telah difitnah oleh seorang wanita. Apa hubungannya wanita tersebut dengan penyedia jasa tadi? Ternyata wanita tersebut mendapatkan informasi alamat dan nomor telepon customer tadi dari sang customer support yang diteleponnya minggu kemarin.

MENCEGAH TERJADINYA SOCIAL ENGINEERING
   Sebenarnya bahaya social engineering susah-susah gampang untuk ditanggulangi, karena ini adalah masalah yang disebabkan oleh human error, semuanya tergantung pada masing-masing orang yang mengalaminya. Namun tentunya, ada beberapa cara yang dapat memudahkan para target serangan ini untuk mendeteksi dan meminimalisasi kemungkinan terjadinya serangan social engineering. Berikut ini adalah beberapa langkahnya:
1.      Membuat peraturan tertulis
Buatlah seperangkat peraturan tertulis untuk diikuti oleh para personal Anda yang bertujuan untuk menghalau, mencegah, dan mengurangi serangan social engineering ini. Revisilah selalu peraturan tertulis Anda ini secara berkala agar tidak ketinggalan jaman atau dapat menutup celah-celah baru yang sebelumnya memang tidak ada. Dan jangan lupa untuk selalu mendidik para staf di belakangnya karena staf yang terdidik dengan baik merupakan pertahanan yang kuat bagi serangan ini.
2.      Mendidik dan menghimbau
Didiklah para customer atau pengguna jasa Anda untuk dapat menerima dan mengikuti segala syarat yang tertulis dalam peraturan tersebut. Sadarkan mereka akan pentingnya prosedur ini untuk menjaga keamanan data dan informasi mereka sendiri.
3.      Prosedur password dan username
Buatlah sebuah prosedur yang dapat mengeliminasi pertukaran password dan username dalam segala proses. Buat agar semua sistem yang berhubungan dengan password dapat dilakukan secara otomatis dengan program atau perangkat komputer, tanpa adanya perantara manusia dalam keperluan password tersebut. Seperti misalnya membuat program reset password otomatis, halaman penentuan password yang dapat diakses langsung oleh pengguna, dan banyak lagi.


4.      Selektif dalam menjawab
Hindarilah penggunaan pertanyaan untuk petunjuk password karena ini juga dapat digunakan para hacker sebagai petunjuk untuk melakukan crack terhadap password Anda. Mereka memiliki berbagai macam cara untuk memecahkan misteri password Anda tersebut dengan sedikit penelitian.
5.      Menggunakan password yang bersifat unik
Gunakanlah password yang berisikan kata-kata yang tidak biasa diucapkan atau tidak ada relevansinya dengan kehidupan Anda. Misalnya jangan menggunakan tanggal lahir, nama kecil Anda, nama binatang peliharaan Anda, nama anggota keluarga, dan banyak lagi, karena hal ini bisa jadi sangat mudah dapat ditebak oleh penyerang.
6.      Hilangkan elemen manusia untuk hal-hal yang bersifat “high risk and high secure”
Jika memungkinkan hilangkan semua elemen manusia pada titik-titik yang penting untuk dijaga keamanannya, seperti misalnya menggunakan sistem token password yang dapat meng-generate nomor acak sebagai password, biometric, smard card, sistem location-based authentication, dan banyak lagi.
Sumber
·        Wanbule’sblog
·        Wikipedia.org
·        Scriptintermedia.com
·        Ilmukomputer.org



           


                 

Tidak ada komentar:

Posting Komentar