Menurut pengamatan dan pengalaman ane yang dudul ini, inti dari teknik social engineering adalah membuat 'target' mempercayai kita sepenuhnya... dan pada akhirnya ketika kita berusaha mendapatkan info2 yang dibutuhkan, maka target akan memberikan informasi2 yang dibutuhkan oleh kita... humm.. mungkin itu yang disebut "hacking the human side"
Humm.. bahasan selanjutnya ane mo coba memaparkan sedikit contoh soc. enigeering dalam dunia nyata maupun dunia maya.. :P
--------☼☼☼--------
HACKING THE HUMAN SIDE...-underground activity-
Satu alasan yang tak terbantahkan kenapa Kevin Mitnick aka The Condor menjadi seorang hacker legendaris adalah kemampuan dia dalam memaksimalkan teknik rekayasa sosial nya yang lebih dikenal dengan teknik Social Engineering. Dia paham betul bahwa dengan mengetahui cara pikir atau pola pikir seseorang, dia bisa mengekploitasi kelemahan tsb untuk mendapatkan banyak informasi sebanyak2nya. Keahlian Mitnick sebagai hacker tidak terbatas pada kemapuan teknis belaka.
Ia merupakan pada kemampuan teknis belaka. Ia merupakan seorang yang memahami betul bahwa keamanan sistem komputer terdiri dari aspek kebijakan organisasi, sumber daya manusia, proses yang terlibat serta teknologi yang digunakan. Seandainya ia seoarang pahlawan super kemapuannya utama Mitnick adalah seoarang yang mempraktekan ilmu social engginering alias rekayasa sosial. Ini adalah sebuah teknik mendapatkan informasi penting, semisal password, dengan memanfaatkan kelemahan manusiawi.
Kemampuan Mitnick paling baik diilustrasikan dalam cerita berikut, cerita yang dikisahkan Mitnick sendiri pada sebuah forum online Slasdot.org "Pada satu kesempatan, saya ditantang oleh seorang teman untuk mendapatkan nomor (telepon) Sprint Foncard-nya. Ia mengatakan akan membelikan makan malam jika saya bisa mendapatkan nomor itu. Saya tidak akan menolak makan enak, jadi saya berusahan dengan menghubungi Customer Service dan perpura-pura sebagai seorang dari bagian teknologi informasi. Saya tanyakan pada petugas yang menjawab apakah ia mengalami kesulitan pada sitem yang digunakan. Ia bilang tidak, saya tanyakan sistem yang digunakan untuk mengakses data pelanggan, saya berpura-pura ingin memverifikasi. Ia menyebutkan nama sistemnya." "Setelah itu saya kembali menelepon Costumer Service dan dihubungkan dengan petugas yang berbeda.
Saya bilang bahwa komputer saya rusak dan saya ingin melihat data seorang pelanggan. Ia mengatakan data itu sudah berjibun pertanyaan. Siapa nama anda? Anda kerja buat siapa? Alamat anda dimana? Yah, seperti itulah. Karena saya kurang riset, saya mengarang nama dan tempat saja. Gagal. Ia bilang akan melaporkan telepon telepon ini pada keamanan." "Karena saya mencatat namanya, saya membawa sorang teman dan memberitahukannya tentang situasi yang terjadi. Saya meminta teman itu untuk menyamar sebagai 'penyelidik keamaman' untuk mencatat laporan dari petugas Customer Service dan berbicara dengan petugas tadi. Sebagai 'penyelidik' ia mengatakan menerima laporan adanya orang berusaha mendapatkan informasi pribadinya pelanggan.
Setelah tanya jawab soal telepon tadi, 'penyelidik menyakan apa informasi yang diminta penelepon tadi. Petugas itu bilang nomor Foncard. 'penyelidik' bertanya, memang berapa nomornya? Dan petugas itu memberikan nomornya. Oops. Kasus selesai"
--------☼☼☼--------
0 komentar:
Posting Komentar