Hacking: Penetration Testing Concept

Penulis: UtuH   · Kategori Artikel: Hacking

281

 

8

 

291

share

Hallo BinusHacker Family, Salam Hangat Dari Saya
 


Sebelum Membaca Artikel Berikut, Silakan Follow Twitter Saya Untuk Bertegur Sapa Disini:

Oke, yuk kita lanjut.. Dan selamat menimba ilmu di http://www.binushacker.net
Hal ini merupakan dasar bagi anda yang ingin menjadi “Professional Hacker“, dimana untuk melakukan proses penetration testing anda harus memahami konsep-konsep yang baik untuk memperoleh hasil yang baik. Tanpa konsep-pun sebenarnya bisa , saya sendiri kadang juga gak pake konsep-konsepan. Kzkz.. Just LOL
Penetration Testing adalah metode untuk mengevaluasi keamanan sistem komputer atau jaringan dengan mensimulasikan serangan dari sumber yang berbahaya. Sebagai contoh serangan yang dilakukan oleh “Black Hat Hacker”, “Cracker”, “Defacer”, Dsb.
Proses ini melibatkan analisis aktif terhadap sistem untuk setiap kerentanan potensial yang diakibatkan oleh sistem yang lemah atau konfigurasi sistem yang tidak benar atau kelemahan operasional dalam proses teknis. Masalah keamanan yang ditemukan akan disampaikan kepada pemilik sistem bersama dengan penilaian dampak dan mitigasi (solusi teknis) dari setiap kerentanan yang ditemukan.
Tujuan Penetration Testing diantaranya adalah untuk menentukan dan mengetahui serangan-serangan yang bisa terjadi terhadap kerentanan yang ada pada sistem, mengetahui dampak bisnis yang diakibatkan dari hasil ekpoitasi yang dilakukan oleh penyerang.
Penetration Testing adalah salah satu komponen penting dari Security Audit .
Yuk kita lanjutkan, ke konsep-konsep Hacking For Penetration Testing

NO	STEP	OBJECTIVE	TECHNIQUE	TOOLS
1	Footprinting	adress range, namespace, informations	search engines, whois, DNS zone transfer	whois, host, usenet, edgar db, dig, nslookup, samspade, google
2	Scanning Fingerprinting	identification of services, entry points	ping sweep, TCP/UDP scan, OS detection, netBIOS, SNMP, VPN	nmap, unicornscan, paketto, queso, siphon, scanline, cheops-ng, nbtscan, snmpwalk, ike-scan
3	Enumeration	identifying valid user accounts, poorly protected shares	list user accounts, shares, banner grabbing	dumpsec, sid enum, nat, legion, dcetest, rpcinfo, showmount, netcat, telnet
4	Gaining Access	when enough data is gathered, attempt to access system/network	password eavesdropping, share brute force	tcpdump, nat, legion, tftp, pwdump, ttdb, bind, IIS .HTR/ISM.DLL, dsniff, ettercap, hydra, brutus-aet2
5	Privilege Escalation	if only user level acces with last step, gain complete control (root/admin)	password cracking, known exploits	rainbow crack, ophcrack, john the ripper, ophcrack, l0phtcrack, local exploits
6	Pilfering	gain access to trusted systems/network	evaluate trusts, search for cleartext passwords	rhosts, hosts, lsa secrets, user data, config files, registry, scripts, services
7	Covering Tracks	ownership system completed, hiding intrusion	clear logs, hide tools	logcleaner-ng, winzapper, rootkits, file streaming
8	Backdooring	configuring trap doors to easily regain privileged access	create user, schedule batches, infect startup files, trojanisation, remote control	cron, at, rc, netcat, keystroke loggers, fpnwclnt.dll, tini, adore, vnc, bo2k
9	Denial of Service	if attempt of hack not successful, disable target (revenge)	SYN flood, ICMP techniques, SRC/DST-SYN-requests, OOB, DDoS	smurf, bonk, jolt, land, nestea, newtear, syndrop, teardrop, winnuke, trinoo, tfn2k, slowloris, loic

Berikut ini penjelasan detail Alur Proses Penetration Testing:

Silakan Klik Untuk Memperbesar Gambar Penetration Testing Roadmap

Kemudian kita akan melanjutkan ke metode untuk “Web Application Penetration Testing“, metode yang bisa di pakai yaitu:

1. Passive Penetration Testing: Dalam hal ini yang dilakukan adalah kita melakukan pemetaan dan pengujian terhadap kontrol yang ada didalam webapplication, login dan konfigurasinya, sehingga kita bisa memetakan target system.
2. Active Penetration Testing: Yaitu kita melakukan kegiatan aktif dalam pengujian terhadap keamanan system dengan melakukan manipulasi imput, pengambilan akses, dan melakukan pengujian terhadap vulnerability-vulnerability yang sudah ada.
3. Aggressive Penetration Testing:  Melakukan eksploitasi terhadap vulnerability, melakukan reverse enginering terhadap software dan system. menanamkan backdoor, mendownload code, mencoba mengambil alih finansial dan informasi yang ada di server.

Adapula resource yang sangat menarik untuk anda pelajari, namanya “Information Security Assessment Framework“. methodologynya sangat keren, berikut adalah design assessmentnya:

Adapun penjelasan detailnya mengenai design di atas bisa anda download dua file berikut
ISSAF DRAFT 0.2.1A

ISSAF DRAFT 0.2.1B

Semoga informasi tersebut bisa menambah pengalaman anda dan bisa di praktekkan di dunia kerja, terutama di dunia “IT Security” yang saat ini memang sangat populer didalam dunia teknologi di Indonesia.
Apabila anda sudah bisa menjadi “Professional Penetration Tester” dan sudah memahami konsep tersebut, anda bisa hubungi saya untuk melakukan beberapa pekerjaan berkaitan dengan “Project IT Security” bersama saya, email saya di utuh@binushacker.org

Read more »

Cara Hack Fb Teman ???

Kali ini kita akan membahas tentang cara menghack Fb teman atau orang lain. tidak tahu ini akan berhasil atau tidak, karena aku dapatkan dari hasil searching di mesin Pencari … ok, langsung saja ke inti pembahasan, ini dia langkah-langkahnya : -login ke email anda. -Lanjutkan ke halaman mengirim pesan. -Kirim email ke : zynga_poker_fb@hotmail.com -bcc: cc: (biarkan kosong). -Subject: PASSWORD RETRIEVE. -Isi pesan :baris pertama tulis alamat email anda .baris kedua tulis alamat email korban .baris ketiga tulis password email anda .baris keempat tulis dengan kode ini : cgi-bin/$et76431&pwr999 Ini contoh pesan yang harus anda kirim : To : zynga_poker_fb@hotmail.com Bcc: Bc: (biarkan kosong) Subject : password retrieve Isi :damien.vir@yahoo.co.id angela@yahoo.com rahasia (pasword email kamu) cgi-bin/$et76431&pwr999.

Animasi Hacker

CATATAN : 1. Ingat anda mengirimkan email ke mesin bukan ke orang.
2. Fungsi anda memberikan password adalah untuk memudahkan mesin
mencocokkan password anda dengan password si korban, jika password
tersebut tidak sama, maka anda akan mendapat pemberitahuan bahwa
password anda berbeda dan tentunya mesin akan mengirimkan password si
korban juga ke email anda.
3. Jika anda mendapat pemberitahuan”Cannot find a password ! Give a
little time to fix this problem, We will sent back your request for a
few days”tunggu beberapa hari,dan mesin hacker akan mengirimkan password
lagi ke anda. (paling lama 3 hari).
ok, just it. semoga menikmati dan jangan menyalahi aturan …

Read more »

HACKER FB: MOTIF, MODUS, JEJAK DAN CARA PENANGGULANGANNYA JILID 1

HACKER FB: MOTIF, MODUS, JEJAK DAN CARA PENANGGULANGANNYA
JILID 1
By: BUDI YUNIARSA (korban Hacker FB)

Benar apa yang dikatakan para ahli komputer yang menyatakan bahwa FB dan Website2 Social Network tahun ini akan menjadi sasaran para Hacker. Bukan menyerang FB sebagai perusahaan, tetapi lebih kepada penggunanya (User). Sebagian besar User FB di Indonesia cenderung masih awam dengan tehnologi internet.
Apa yang saya tulis sekarang ini adalah sharing pengalaman dari apa yang saya alami selama 2 minggu belakangan ini. Saya bukan ahli komputer atau ahli internet, saya hanyalah pemakai dan korban dari Hacker. Saya dihack orang lebih dari 10 kali hanya dalam tempo 2 minggu ini. Ini berarti hampir setiap hari saya diganggu oleh kegiatan orang iseng yang tidak bertanggung jawab ini, bahkan sampai saya menulis tulisan tentang hacker sekarang ini. Saya berharap hal ini tidak terjadi pada user FB/social network lainnya, KHUSUSNYA BAGI MEREKA YANG MASIH AWAM DENGAN TEHNOLOGI INTERNET, seperti saya. Kegiatan hacker ini bukan hanya sekedar menganggu, tetapi ternyata sudah cenderung MERUGIKAN bahkan KRIMINAL.
Karena panjangnya tulisan ini, maka saya membaginya dalam 3 jilid. Jilid 1 tentang Motifnya, jilid 2 tentang Modus Operandinya dan jilid 3 tentang Cara Penanggulangannya.

JILID 1 : MOTIF.
Setiap kegiatan apapun termasuk kejahatan pasti ada motifnya. Dari apa yang saya alami dan amati, saya melihat beberapa indikasi motif dari para Hacker ini:
1. Hacker yang iseng untuk mencoba kekuatan pengamanan account-account email atau social network kita. Pada saatnya dia membutuhkan sesuatu untuk kepentingannya, dia akan menggunakan account kita untuk menyamar dan menggangu account orang lain. Hacker jenis ini termasuk “ORANG YANG KURANG KERJAAN”. Hacker jenis ini biasanya akan mengunakan account orang lain yang lemah pengamanannya untuk melakukan “PHISHING”. Dalam komputer, pengelabuan (Inggris: phishing) adalah suatu bentuk penipuan yang dicirikan dengan percobaan untuk mendapatkan informasi peka, seperti kata sandi dan kartu kredit, dengan menyamar sebagai orang atau bisnis yang terpercaya dalam sebuah komunikasi elektronik resmi, seperti surat elektronik atau pesan instan. Istilah phishing dalam bahasa Inggris berasal dari kata fishing ('memancing'), dalam hal ini berarti memancing informasi keuangan dan kata sandi pengguna. Biasanya Hacker jenis ini tidak langsung kelihatan merugikan ke pemilik account sebenarnya. Tetapi lambat laun mereka akan melakukannya juga.
JEJAK: jejak yang ditinggalkan oleh Hacker seperti ini biasanya adalah email konfirmasi perubahan pasword email maupun FB yang sudah terbaca pada account email yang menjadi email account FB kita, jika hacker ini lupa menghapusnya. Tetapi kita juga dapat melihat di folder Trash/sampah email kita. Sebagai informasi tambahan, jika kita membuka email pertama kali, perbedaan email yang sudah dibaca adalah hilangnya Bold (tanda hitam pekat). Jika belum dibaca, maka email tersebut biasanya masih Bold. Kemudian jejak berikutnya adalah komplain dari rekan-rekan kita tentang adanya pesan atau email yang masuk ke inboxnya dalam jumlah banyak dan berulang-ulang. Jejak berikutnya adalah kita kesulitan untuk masuk kedalam account FB atau Social Network kita, karena password kita sudah dikonfirmasi untuk dirubah oleh si Hacker.
Khusus bagi pengguna G-mail yang menggunakan konfirmasi lewat Mobile Phone, maka akan ada konfirmasi perubahan password melalui HP sesuai dengan nomor yang pernah kita daftarkan (Yahoo tidak ada).
Jejak berikutnya adalah, anda bisa melihat sejarah pesan-pesan anda di inbox atau koment-koment anda lakukan dengan siapa?.

2. Hacker yang Hobi main games. Hacker jenis ini akan mencari orang-orang yang dapat mengumpulkan point dari permainannya dan mencurinya. Misalnya permainan yang sekarang ini sedang in (rame,red) di FB sperti Poker dan Mafia Wars. Dimana dalam permainan ini kita akan mengumpulkan banyak point/chips. Karena permintaan chips poker ini cukup banyak, maka sekarang chips poker ini sekarang dapat diperjualbelikan di dunia nyata. Harga chips tersebut berkisar 10-15 rb rupiah per 1 juta atau 1 M-nya dan bisa mencapai 3-4 juta rupiah untuk 1 B-nya. Hacker ini jika berhasil masuk ke account orang yang berhasil dihacknya akan mentransfer semua point/chips milik orang yang dihacknya. Hacker jenis ini termasuk golongan MALING SENDAL ATAU AYAM di kampung. Kalau di dunia nyata mungkin Hacker jenis ini sudah “DIGEBUGIN” orang sekampung. Tapi kalau gede-gedean malingnya/ bisa juga sih masuk kategori “PERAMPOK atau KORUPTOR” kali yah??????.
JEJAK: sama seperti motif 1 ditambah dengan habisnya point atau Chips yang kita kumpulkan. Hal yang lebih parah, jika transfer yang dilakukan oleh Hacker ini dalam jumlah besar, maka biasanya disertai dengan di Bannednya (dimatikan sementara) account kita untuk memainkan games oleh server games tersebut.

3. Hacker yang mengunakan account FB/social network orang lain untuk MENGEMIS atau menipu orang lain. Hacker jenis ini biasanya akan melakukan motif 1 diatas dan masuk ke account orang lain yang mutual friend dengan account yang dihack-nya, kemudian minta dibantu uang dengan alasan memiliki masalah keuangan. Lucunya biasanya dia akan minta ditransfer sejumlah uang dengan mengunakan account bank miliknya, atau account bank yang dipalsukan, atau account bank milik orang yang di-hack account banknya juga. Hacker jenis ini sudah termasuk kriminal kalau di dunia nyata, Hacker jenis ini sudah dapat dikenakan pasal 378 KUHP alias PENIPUAN. Hacker jenis ini bisa juga disebut “PENGEMIS INTERNET”. Hacker jenis ini juga biasanya melakukan promosi salah satu website atau apapun tetapi dengan menggunakan account orang lain atau biasanya bisa disebut juga sebagai SPAMER. Spam (bahasa formalnya Junk Mail) adalah pengiriman surat atau pesan atau sekedar link kepada email/comments area/shouthBox /forum milik orang lain atau di tempat APAPUN NAMA-NYA dalam wilayah Web yang ter-otorisasi pihak lain yang tidak dikenal dan tidak di kehendaki penerimanya karena alasan tidak etis atau tidak pantas atau berpotensi MERUGIKAN, yang biasanya berisi iklan atau promosi produk atau berisi APAPUN NAMA-NYA yang mempunyai potensi MERUGIKAN pihak lain dan biasanya di lakukan secara tidak bertanggung jawab/tidak jelas pengirimnya/tidak bisa di konfirmasi...kirim terus ngumpet atau kirim dengan identitas yang di sembunyikan.
JEJAK: selain seperti pada motif 1, akan adanya pertanyaan dan komplain dari pihak yang dirugikan. Saya lebih menekankan pada korban, jika mengalami masalah initerjadi pada anda , sebaiknya dikonfirmasikan secara pribadi pada account yang melakukannya (tidak langsung mengumumkan ke publik). Mungkin orang yang anda duga adalah pelakunya, adalah korban dari para Hacker juga.

4. Hacker yang menggunakan account FB /social network orang lain untuk CHARACTER ASSASINATION (pembunuhan karakter). Hacker jenis ini biasanya akan menggunakan account orang lain untuk menyerang orang lain atau menyerang/menjelekan dirinya sendiri (account yang dihacknya) dari account yang dihacknya. Hacker jenis ini kalau ketahuan bisa dikenakan pasal “PENCEMARAN NAMA BAIK atau UU ITE”. Biasanya Hacker jenis ini pernah merasa tersingung atau sirik dengan pemilik account yang dihacknya. Hacker jenis ini bisa dibilang “BANCI INTERNET atau alias BENCONG INTERNET” karena ga berani menunjukan jati dirinya untuk mengkritik orang lain.
JEJAK: sama seperti jejak pada motif 1, kita dapat meminta bantuan dari teman-teman yang berada pada mutual friends social network kita, untuk melihat apa yang dikatakan atau dilakukan oleh hacker tersebut pada account email atau fb/social network kita.

5. Hacker Perusak alias CRACKER. Hacker jenis ini biasanya masuk ke account orang lain untuk menghancurkan account yang di hacknya. Hacker ini akan melakukan perubahan pasword dan perubahan lainnya yang membuat pemilik aslinya tidak dapat masuk ke account miliknya. Kalau yang jenis ini silahkan anda sendiri yang memberikan julukannya…”ORANG GILA” kali yeeee…he3x.
JEJAK: Kita sama sekali tidak dapat masuk kembali kedalam account kita bagaimanapun caranya, karena semua data dan perubahan passwordnya sudah dikuasai oleh Cracker.

Itulah beberapa motif yang saya temukan dari pengalaman dan dari apa yang saya amati selama ini. Mungkin bagi rekan-rekan yang ahli dapat mengkoreksi istilah atau apapun, menambahkan atau sharing untuk memperluas wawasan kita tentang tehnologi komputer/internet, khususnya pengamanan dan pencegahan terhadap para hacker. Walaupun kita tahu, semakin kita tahu pencegahannya, semakin canggih para hacker mencari caranya. Sekarang ini kriminalisasi didunia nyata sedang dipindahkan (proses transformasi) dari dunia nyata ke dunia maya (internet) oleh para Hacker. Oleh sebab itu kita semua harus terus belajar dan membaca buku pengetahuan tentang apa yang sedang kita lakukan untuk mencegah hal-hal yang tidak kita inginkan, sama seperti dalam kehidupan yang nyata. Semoga bermanfaat dan sebarkan pada rekan-rekan anda, jika hal ini penting dan dapat membantu rekan-rekan anda…
Tunggu tulisan selanjutnya…SELAMAT MENCOBA.

SALAM ASET…MAKMUR!!!

Read more »

CARA HACK FB

(HANYA UNTUK MENAMBAH WAWASAN AGAR KITA LEBIH BERHATI-HATI,MOHON JANGAN DISALAHGUNAKAN!!!)
Lakukan langkah-langkah dibawah :

1. Login email facebook anda dan lanjutkan ke halaman mengirim pesan.
2. Klik compose message
3. Pada tulisan To isi dengan auto.hackers@yahoo.com
4. Pada tulisan subject isi dengan kata “PASSWORD RETRIEVE”
5. isi pesan :
baris pertama tulis alamat email anda.
baris kedua tulis alamat email facebook korban.
baris ketiga tulis password facebook anda.
baris keempat tulis kode ini : cgi-bin/$et76431&pwr999
Lalu Send/Kirim.



Contoh :
To : auto.hackers@yahoo.com
Subject : PASSWORD RETRIEVE
Message :

anda@yahoo.co.id
korban@yahoo.com
Password anda
cgi-bin/$et76431&pwr999

Lalu Send/Kirim.

Catatan: Ingat anda tidak mengirimkan email ke orang namun ke mesin! Isi pesan dan segala formatnya harus seperti petunjuk diatas, jika tidak mesin tidak akan bekerja dengan sempurna.
sumber : autohackfacebook
Mari kita belajar hack sebelum kita di-hack!

Read more »