INTRODUCTION TO ETHICAL HACKING Defiana Arnaldy deffarnaldyyahoo com

  • Slides: 43
Download presentation
INTRODUCTION TO ETHICAL HACKING Defiana Arnaldy deff_arnaldy@yahoo. com

INTRODUCTION TO ETHICAL HACKING Defiana Arnaldy deff_arnaldy@yahoo. com

Overview Understanding hacker objectives Outlining the differences between ethical hackers and malicious hackers Examining

Overview Understanding hacker objectives Outlining the differences between ethical hackers and malicious hackers Examining how the ethical hacking process has come about Understanding the dangers that your computer systems face Starting the ethical hacking process

Hacker vs Cracker vs Security Professional Sama-sama menggunakan tools yang sama Perbedaan sangat tipis

Hacker vs Cracker vs Security Professional Sama-sama menggunakan tools yang sama Perbedaan sangat tipis (fine line): itikad dan pandangan (view) terhadap berbagai hal Contoh: Probing / (port) scanning sistem orang lain boleh tidak?

HACKERS Hacker. Noun. 1. A person who enjoys learning the detail of computer systems

HACKERS Hacker. Noun. 1. A person who enjoys learning the detail of computer systems and how to stretch their capabilities as opposed to most users of computers, who prefer to learn only the minimum amount necessary. 2. One who programs enthusiastically or who enjoys programming rather than theorizing about programming. (Guy L. Steele, et al. The Hacker’s Dictionary)

HACKERS Traditionally, a hacker is someone who likes to tinker with software or electronic

HACKERS Traditionally, a hacker is someone who likes to tinker with software or electronic systems. Hackers enjoy exploring and learning how computer systems operate. They love discovering new ways to work electronically. Recently, hacker has taken on a new meaning — someone who maliciously breaks into systems for personal gain. Technically, these criminals are crackers (criminal hackers).

HACKERS Hacker adalah sebutan untuk orang atau sekelompok orang yang memberikan sumbangan bermanfaat untuk

HACKERS Hacker adalah sebutan untuk orang atau sekelompok orang yang memberikan sumbangan bermanfaat untuk dunia jaringan dan sistem operasi, membuat program bantuan untuk dunia jaringan dan komputer. Hacker juga bisa di kategorikan perkerjaan yang dilakukan untuk mencari kelemahan suatu system dan memberikan ide atau pendapat yang bisa memperbaiki kelemahan system yang di temukannya.

CRACKERS Cracker adalah sebutan untuk orang yang mencari kelemahan system dan memasukinya untuk kepentingan

CRACKERS Cracker adalah sebutan untuk orang yang mencari kelemahan system dan memasukinya untuk kepentingan pribadi dan mencari keuntungan dari system yang di masuki seperti: pencurian data, penghapusan, dan banyak yang lainnya. Crackers break into (crack) systems with malicious intent. They are out for personal gain: fame, profit, and even revenge. They modify, delete, and steal critical information, often making other people miserable.

Hats Based on old-style western films White hats The ‘good guys’ – ethical hackers

Hats Based on old-style western films White hats The ‘good guys’ – ethical hackers Black hats The ‘bad guys’ – hackers / crackers Grey (gray) hats: Possibly good guys Michael Jones Introduction to Ethical Hacking 8

Komentar tentang hacker Hackers are like kids putting a 10 pence piece on a

Komentar tentang hacker Hackers are like kids putting a 10 pence piece on a railway line to see if the train can bend it, not realising that they risk de-railing the whole train (Mike Jones)

Hacking Methodology Target acquisition and information gathering. Casing the establishment, footprinting, scanning, enumeration Initial

Hacking Methodology Target acquisition and information gathering. Casing the establishment, footprinting, scanning, enumeration Initial access Privileges escalation Covering tracks

Hirarki / Tingkatan Hacker � Elite Ciri-ciri : mengerti sistem operasi luar dalam, sanggup

Hirarki / Tingkatan Hacker � Elite Ciri-ciri : mengerti sistem operasi luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global, melakukan pemrogramman setiap harinya, effisien & trampil, menggunakan pengetahuannya dengan tepat, tidak menghancurkan data-data, dan selalu mengikuti peraturan yang ada. Tingkat Elite ini sering disebut sebagai ‘suhu’. � Semi Elite Ciri-ciri : lebih muda dari golongan elite, mempunyai kemampuan & pengetahuan luas tentang komputer, mengerti tentang sistem operasi (termasuk lubangnya), kemampuan programnya cukup untuk mengubah program eksploit.

Hirarki / Tingkatan Hacker � Developed Kiddie Ciri-ciri : umurnya masih muda (ABG) &

Hirarki / Tingkatan Hacker � Developed Kiddie Ciri-ciri : umurnya masih muda (ABG) & masih sekolah, mereka membaca tentang metoda hacking & caranya di berbagai kesempatan, mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya, umumnya masih menggunakan Grafik User Interface (GUI) & baru belajar basic dari UNIX tanpa mampu menemukan lubang kelemahan baru di sistem operasi. � Script Kiddie Ciri-ciri : seperti developed kiddie dan juga seperti Lamers, mereka hanya mempunyai pengetahuan teknis networking yang sangat minimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.

Hirarki / Tingkatan Hacker � Lammer Ciri-ciri : tidak mempunyai pengalaman & pengetahuan tapi

Hirarki / Tingkatan Hacker � Lammer Ciri-ciri : tidak mempunyai pengalaman & pengetahuan tapi ingin menjadi hacker sehingga lamer sering disebut sebagai ‘wanna-be’ hacker, penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software pirate, mencuri kartu kredit, melakukan hacking dengan menggunakan software trojan, nuke & Do. S, suka menyombongkan diri melalui YM channel, dan sebagainya. Karena banyak kekurangannya untuk mencapai elite, dalam perkembangannya mereka hanya akan sampai level developed kiddie atau script kiddie saja.

Cracker tidak mempunyai hirarki khusus karena sifatnya hanya membongkar dan merusak

Cracker tidak mempunyai hirarki khusus karena sifatnya hanya membongkar dan merusak

Contoh Kasus Hackers & Akibatnya 1. Pada tahun 1983, pertama kalinya FBI menangkap kelompok

Contoh Kasus Hackers & Akibatnya 1. Pada tahun 1983, pertama kalinya FBI menangkap kelompok kriminal komputer The 414 s(414 merupakan kode area lokal mereka) yang berbasis di Milwaukee AS. Kelompok yang kemudian disebut hacker tersebut melakukan pembobolan 60 buah komputer, dari komputer milik Pusat Kanker Memorial Sloan-Kettering hingga komputer milik Laboratorium Nasional Los Alamos. Salah seorang dari antara pelaku tersebut mendapatkan kekebalan karena testimonialnya, sedangkan 5 pelaku lainnya mendapatkan hukuman masa percobaan. 2. Digigumi (Grup Digital) adalah sebuah kelompok yang mengkhususkan diri bergerak dalam bidang game dan komputer dengan menggunakan teknik hexadecimal untuk mengubah teks yang terdapat di dalam game. Contohnya : game Chrono Trigger berbahasa Inggris dapat diubah menjadi bahasa Indonesia. Oleh karena itu, status Digigumi adalah hacker, namun bukan sebagai perusak.

Contoh Kasus Hackers & Akibatnya 3. Pada hari Sabtu, 17 April 2004, Dani Firmansyah,

Contoh Kasus Hackers & Akibatnya 3. Pada hari Sabtu, 17 April 2004, Dani Firmansyah, k nsultan Teknologi Informasi (TI) PT Danareksa di Jakarta berhasil membobol situs milik Komisi Pemilihan Umum (KPU) di http: //tnp. kpu. go. id dan mengubah nama-nama partai di dalamnya menjadi nama-nama “unik”, seperti Partai Kolor Ijo, Partai Mbah Jambon, Partai Jambu, dan lain sebagainya. Dani menggunakan teknik SQL Injection(pada dasarnya teknik tersebut adalah dengan cara mengetikkan string atau perintah tertentu di address bar browser) untuk menjebol situs KPU. Kemudian Dani tertangkap pada hari Kamis, 22 April 2004.

Akibat yang Ditimbulkan oleh Hacker dan Cracker Hacker : membuat teknologi internet semakin maju

Akibat yang Ditimbulkan oleh Hacker dan Cracker Hacker : membuat teknologi internet semakin maju karena hacker menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer ataupun dalam sebuah software, membuat gairah bekerja seorang administrator kembali hidup karena hacker membantu administrator untuk memperkuat jaringan mereka. Cracker : merusak dan melumpuhkan keseluruhan sistem komputer, sehingga data-data pengguna jaringan rusak, hilang, ataupun berubah.

Perbedaan Hackers & Crackers HACKERS : 1. Mempunyai kemampuan menganalisa kelemahan suatu sistem atau

Perbedaan Hackers & Crackers HACKERS : 1. Mempunyai kemampuan menganalisa kelemahan suatu sistem atau situs. Sebagai contoh : jika seorang hacker mencoba menguji suatu situs dipastikan isi situs tersebut tak akan berantakan dan mengganggu yang lain. Biasanya hacker melaporkan kejadian ini untuk diperbaiki menjadi sempurna. Bahkan seorang hacker akan memberikan masukan dan saran yang bisa memperbaiki kebobolan system yang ia masuki. 2. Hacker mempunyai etika serta kreatif dalam merancang suatu program yang berguna bagi siapa saja. 3. Seorang Hacker tidak pelit membagi ilmunya kepada orang-orang yang serius atas nama ilmu pengetahuan dan kebaikan. 4. Seorang hacker akan selalu memperdalam ilmunya dan memperbanyak pemahaman tentang sistem operasi.

Perbedaan Hackers & Crackers CRACKERS : 1. Mampu membuat suatu program bagi kepentingan dirinya

Perbedaan Hackers & Crackers CRACKERS : 1. Mampu membuat suatu program bagi kepentingan dirinya sendiri dan bersifat destruktif atau merusak dan menjadikannya suatu keuntungan. Sebagia contoh : Virus, Pencurian Kartu Kredit, Kode Warez, Pembobolan Rekening Bank, Pencurian Password E-mail/Web Server. 2. Bisa berdiri sendiri atau berkelompok dalam bertindak. 3. Mempunyai situs atau cenel dalam IRC yang tersembunyi, hanya orang tertentu yang bisa mengaksesnya. 4. Mempunyai IP yang tidak bisa dilacak. 5. Kasus yang paling sering ialah Carding yaitu Pencurian Kartu Kredit, kemudian pembobolan situs dan mengubah segala isinya menjadi berantakan. Sebagai contoh : Yahoo! pernah mengalami kejadian seperti ini sehingga tidak bisa diakses dalam waktu yang lama, kasus click. BCA. com yang paling hangat dibicarakan tahun 2001 lalu.

The Complexity of Ethics in Hacking Example: Someone reports to a company that their

The Complexity of Ethics in Hacking Example: Someone reports to a company that their website is vulnerable to (say) a SQL injection attack that could result in private data being accessed Company does nothing about it What is the ethical position? Michael Jones Introduction to Ethical Hacking 20

Studying Ethical Hacking • Strands: – Technical and Social • Technical: – E. g.

Studying Ethical Hacking • Strands: – Technical and Social • Technical: – E. g. , penetration testing • Social – E. g. , why people do it? • Sources – Practical experience – Research: academic articles, white papers, websites, blogs Michael Jones Introduction to Ethical Hacking 21

Being an Ethical Hacker Thinking like a (black hat) hacker, but not acting like

Being an Ethical Hacker Thinking like a (black hat) hacker, but not acting like one Understanding the motivation, commitment, attitudes Not being influenced by ‘sound bite’ psychology Required skills: Communication, technical, collaboration Michael Jones Introduction to Ethical Hacking 22

Aspects of Ethical Hacking A hacker wants to gain access to: Systems Data A

Aspects of Ethical Hacking A hacker wants to gain access to: Systems Data A hacker MAY want to destroy or modify systems and data There are many subtypes of hacker Michael Jones Introduction to Ethical Hacking 23

Hacker Subtypes Main subtypes: technical, social Access hackers Will focus on ways to gain

Hacker Subtypes Main subtypes: technical, social Access hackers Will focus on ways to gain access Subtypes: system, network, application Malicious hackers Will focus on ways to modify or destroy Subtypes: network Do. S, virus writers Hackers may migrate between subtypes Michael Jones Introduction to Ethical Hacking 24

The Hacking Business A network of hackers Access hackers Providing access mechanisms – e.

The Hacking Business A network of hackers Access hackers Providing access mechanisms – e. g. , via trojans, botnets Malicious hackers Providing modification mechanisms – e. g. , DDo. S, viruses Factors Acting as go-betweens with potential clients Michael Jones Introduction to Ethical Hacking 25

A Case Study In the UK, the biggest betting event is the Grand National

A Case Study In the UK, the biggest betting event is the Grand National In the weeks before the event, betting websites receive threats to their sites: E. g. , DDo. S attack threatened – blackmail What should the companies do? Michael Jones Introduction to Ethical Hacking 26

MMO Means Motive Opportunity In terms of the Internet, are ‘means’ and ‘opportunity’ relevant?

MMO Means Motive Opportunity In terms of the Internet, are ‘means’ and ‘opportunity’ relevant? Michael Jones Introduction to Ethical Hacking 27

Hacking and the ISO 7 Layer Model Hacking can operate at many levels: Hardware

Hacking and the ISO 7 Layer Model Hacking can operate at many levels: Hardware Network Systems software Application layer Social layer (not part of the ISO model) Michael Jones Introduction to Ethical Hacking 28

The Mindset of a Hacker Case study: PDF documents Problem: custom kerning required for

The Mindset of a Hacker Case study: PDF documents Problem: custom kerning required for some fonts Solution: allow PDFs to include code (e. g. , Java. Script) Question: how complete is the Java. Script sandbox provided by Adobe Reader? Question: what about older versions? Michael Jones Introduction to Ethical Hacking 29

Ethical Hacking: A Science Theory Modify theory Hypothesis Data Gathering and Analysis Experiment The

Ethical Hacking: A Science Theory Modify theory Hypothesis Data Gathering and Analysis Experiment The V Model of Scientific Method Michael Jones Introduction to Ethical Hacking 30

Why Hacking is a Science Classic scientific experiment: Controlling factors that influence a given

Why Hacking is a Science Classic scientific experiment: Controlling factors that influence a given result In a controlled environment Observation and measurement of cause and effect All these elements are inevitably part of a ‘hack’ To allow the hack to be demonstrated and/or repeated Michael Jones Introduction to Ethical Hacking 31

The Hacking Scientific Method Theory: anything that includes code can be compromised Hypothesis creation:

The Hacking Scientific Method Theory: anything that includes code can be compromised Hypothesis creation: Identifying and exploring the potential approach Experiment: Creating doctored files that compromise the system Michael Jones Introduction to Ethical Hacking 32

Induction and Deduction Induction Projecting from hypothesis to potential events Deduction Inferring a hypothesis

Induction and Deduction Induction Projecting from hypothesis to potential events Deduction Inferring a hypothesis from observed events A hack contains many elements of both Much exploration and experimentation at each stage ‘experiment’ stage is when the actual hack takes place Michael Jones Introduction to Ethical Hacking 33

Hacking and Business Intelligence Hacking is a specialisation of business intelligence Hacking: exploring someone

Hacking and Business Intelligence Hacking is a specialisation of business intelligence Hacking: exploring someone else’s data Business intelligence: exploring (mining) your own data Hacking and BI both need a scientific approach Compare with ‘traditional’ software development Michael Jones Introduction to Ethical Hacking 34

Dua Jenis Kegiatan Hacking 1. Social Hacking, yang perlu diketahui : informasi tentang system

Dua Jenis Kegiatan Hacking 1. Social Hacking, yang perlu diketahui : informasi tentang system apa yang dipergunakan oleh server, siapa pemilik server, siapa Admin yang mengelola server, koneksi yang dipergunakan jenis apa lalu bagaimana server itu tersambung internet, mempergunakan koneksi siapa lalu informasi apa saja yang disediakan oleh server tersebut, apakah server tersebut juga tersambung dengan LAN di sebuah organisasi dan informasi lainnya 1. Technical Hacking, merupakan tindakan teknis untuk melakukan penyusupan ke dalam system, baik dengan alat bantu (tool) atau dengan mempergunakan fasilitas system itu sendiri yang dipergunakan untuk menyerang kelemahan (lubang keamanan) yang terdapat dalam system atau service. Inti dari kegiatan ini adalah mendapatkan akses penuh kedalam system dengan cara apapun dan bagaimana pun.

Aturan Main Hackers • • • Di atas segalanya, hormati pengetahuan & kebebasan informasi.

Aturan Main Hackers • • • Di atas segalanya, hormati pengetahuan & kebebasan informasi. Memberitahukan sistem administrator akan adanya pelanggaran keamanan / lubang di keamanan yang anda lihat. Jangan mengambil keuntungan yang tidak fair dari hack. Tidak mendistribusikan & mengumpulkan software bajakan. Tidak pernah mengambil resiko yang bodoh – selalu mengetahui kemampuan sendiri.

Aturan Main Hackers • • • Selalu bersedia untuk secara terbuka / bebas /

Aturan Main Hackers • • • Selalu bersedia untuk secara terbuka / bebas / gratis memberitahukan & mengajarkan berbagai informasi & metoda yang diperoleh. Tidak pernah meng-hack sebuah sistem untuk mencuri uang. Tidak pernah memberikan akses ke seseorang yang akan membuat kerusakan. Tidak pernah secara sengaja menghapus & merusak file di komputer yang dihack. Hormati mesin yang di hack, dan memperlakukan dia seperti mesin sendiri.

Kode Etik Hackers 1. Mampu mengakses komputer tak terbatas dan totalitas. 2. Semua informasi

Kode Etik Hackers 1. Mampu mengakses komputer tak terbatas dan totalitas. 2. Semua informasi haruslah FREE. 3. Tidak percaya pada otoritas, artinya memperluas desentralisasi. 4. Tidak memakai identitas palsu, seperti nama samaran yang konyol, umur, posisi, dll. 5. Mampu membuat seni keindahan dalam komputer. 6. Komputer dapat mengubah hidup menjadi lebih baik.

Kode Etik Hackers 7. Pekerjaan yang di lakukan semata-mata demi kebenaran informasi yang harus

Kode Etik Hackers 7. Pekerjaan yang di lakukan semata-mata demi kebenaran informasi yang harus disebar luaskan. 8. Memegang teguh komitmen tidak membela dominasi ekonomi industri software tertentu. 9. Hacking adalah senjata mayoritas dalam perang melawan pelanggaran batas teknologi komputer. 10. Baik Hacking maupun Phreaking adalah satunya jalan lain untuk menyebarkan informasi pada massa agar tak gagap dalam komputer. Cracker tidak memiliki kode etik apapun

Web-web Hackers

Web-web Hackers

Summary Hacking is concerned with accessing data and systems to which the individual would

Summary Hacking is concerned with accessing data and systems to which the individual would normally not have access Hacking requires a scientific approach, and is based on technical, social, and collaborative skills These skills can be employed in the domains of ethical hacking and business intelligence Michael Jones Introduction to Ethical Hacking 41

Refferensi Dahlan Abdullah Email : dahlan@unimal. ac. id Web : http: //dahlan. unimal. ac.

Refferensi Dahlan Abdullah Email : dahlan@unimal. ac. id Web : http: //dahlan. unimal. ac. id Michael Jones. Introduction to Ethical Hacking

Selesai …

Selesai …