There is No Patch to Human Stupidity |
Ada cerita hebat tentang social engineering yang didapat dari situs Sycmantec.com :
Suatu pagi beberapa tahun lalu, sekelompok orang asing masuk dan keluar dari sebuah perusahaan pelayaran besar dengan santai. Mereka bisa mengakses seluruh jaringan korporat perushaan padahal, mereka bukanlah karyawan apalagi petinggi perusahaan tersebut. Bagaimana mereka bisa melakukannya? Ternyata aksi semacam ini telah direncanakan dengan matang, mereka mengumpulkan segala macam informasi yang bisa didapatkan dari sejumlah karyawan diperusahaan tersebut
Bahkan, dua hari sebelum menginjakan kaki ke perusahaan pelayaran tersebut, mereka telah melakukan penelitian mendalam terhadap korban mereka. Sebagai contoh, mereka mempelajari informasi mengenai karyawan-karyawan kunci yang ada didalam perusahaan menghubungi HR, seorang karyawan diperusahaan tersebut.
Selanjutnya, mereka berpura-berpura kehilangan kunci mereka dan meminta bantuan dari seorang pria yang membiarkan mereka masuk. Ketika mereka masuk ke lantai tiga, mereka tersenyum dan dengan ramah, seorang karyawan membukakan pintu untuk mereka.
Orang asing ini mengetahui bahwa CFO sedang keluar kota jadi mereka bisa masuk kedalam kantornya dan mengambil data dari komputernya yang tidak terkunci. Mereka juga mencari informasi dari tempat sampah dan berhasilo menemukan banyak dokumen yang berguna. Mereka juga telah mempelajari suara CFO sehingga mereka bisa melakukan panggilan ke kantor dan berpura-pura menjadi CFO tersebut. Selanjutnya, mereka tinggal menggunakan tools hacking biasa untuk mendapatkan hak akses super dari jaringan yang digunakan.
Untunglah, pada kaasus yang sudah gawat ini, orang asing yang masuk adalah Network Consultant yang memang bekerja untuk CFO untuk melakukan security audit terhadap perusahaan pelayaran tersebut tanpa sepengetahuan karyawan yang ada. Para konsultan ini tidak pernah diberikan akses masuk dan hak akses apapun namun ternyata mereka mampu mendapatkan semuanya melalui social engineering.
Apa itu Social Engineering atau dalam bahasa indonesia disebut rekayasa sosial?
Secara umum berdasarkan Wikipedia, Social engineering adalah manipulasi psikologis dari seseorang dalam melakukan aksi atau menguak suatu informasi rahasia. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.
Secara ringkas, Social Engineering bisa dideskripsikan sebagai suatu seni yang digunakan untuk meyakinkan orang agar mendapatkan informasi penting darinya. Teknik ini secara kasar mungkin bisa anda samakan dengan teknik menipu karena memang social engineering atau rekayasa sosial sangat dekat dengan teknik penipuan. Teknik ini mungkin dianggap sederhana dan remeh untuk sebagian orang namun berbagai pertahanan yang anda bangun dengan puluhan firewall, antivirus, VPN dan berbagai pertahanan lainnya tidak akan berguna menghadapi social engineering.
Seorang karyawan, bisa saja dengan mudah memberukan passwordnya kepada orang asing dan ini bukan suatu cerita yang aneh. Sebagai contoh, suadu badan yang dinamakan IRS (Internal Revenue Service) bertanggung jawab terhadap pengembalian pajak terhadap lebih dari 222 juta pengguna. Data-data pengguna yang sangat sensitif dan penting ini tentu saja akan membuatnya menjadi target hacker yang disukai.
IRS telah mengimplementasikan keamanan yang ketat terhadap sistem komputerisasinya untuk menghadapi serangan dari hacker dan bagaimana hasilnya menurut anda? Bagus sekali, karena sebuah test yang dilakukan pada tahun 2004 memang kesulitan mengeksploitasi sistem yang telah digunakan namun ternyata, percobaan serangan dengan Social Engineering berhasil dilakukan.
Percobaan dilakukan dengan menelpon 100 karyawan IRS dan meminta mereka mengganti password yang digunakan agar sesuai dengan kemauan penelpon. Hasilnya sungguh mengejutkan karena ternyata 71 karyawan bersedia melakukannya. Kini, tanpa perlu melakukan cracking atau hacking terhadap sistem yang rumit, hacker telah memperoleh jalan masuk.
Social engineering juga berhubungan erat dengan sifat dasar manusia yang mudah bisa dieksploitasi. Pada dasarnya, manusia adalah makhluk yang mudah percaya, takut dan suka membantu seksama dan menghindari konflik. Sifat-sifat semacam ini dengan mudah dimanfaatkan untuk mendapatkan keuntungan.
Kini, anda percaya bahwa teknik Social Engineering adalah suatu bentuk serangan yang sama dan bahkan lebih berbahaya daripada serangan tradisional bukan? Social Engineering lebih sulit dicegah karena anda tidak bisa menginstall security patch kepada manusia yang terlibat didalamnya. Anda tidak bisa memprogram pengguna agar menjalankan apa yang seharusnya dijalankan.
Sekarang, berapa orang dikantor anda yang menggunakan password yang benar-benar aman? Berapa orang yang saling berbagi passwordnya? Berapa yang tetap menggunakan passwordnya sama dengan namanya atau tanggal lahirnya atau nama perusahaan atau nama divisinya walaupun Anda telah mengingatkan mereka agar menjaga dan merahasiakan passwordnya?
Demikian cukup sampai disini postingan mengenai seluk beluk Social Engineering, nah pada waktu yang akan datang saya akan melanjutkan mengenai seluk beluk social engineering ini dipostingan berikutnya. Terima kasih telah membaca :D
Sumber Referensi:
Buku CEH 400% Illegal
http://id.wikipedia.org/wiki/Social_engineering_(keamanan)
http://www.symantec.com/connect/articles/social-engineering-fundamentals-part-i-hacker-tactics
0 Comment:
Post a Comment