Teknik Mengcrack

 

Onno W. Purbo

 

Dalam tulisan ini saya coba ketengahkan beberapa teknik yang umumnya digunakan teman-teman untuk melakukan crack ke sistem komputer. Referensi-nya bisa dibaca di

 

• http://www.rootshell.com
  
• http://www.antionline.com/archives/documents/advanced/
  
• http://www.rootshell.com/beta/documentation.html
  
• http://seclab.cs.ucdavis.edu/papers.html
  
• http://rhino9.ml.org/textware/
  

 

Salah satu referensi menarik lainnya adalah artikel dari Front-line Information Security Team, "Techniques Adopted By 'System Crackers' When Attempting To Break Into Corporate or Sensitive Private Networks," fist@ns2.co.uk & http://www.ns2.co.uk

 

Lembaga apa saja sebetulnya yang biasanya rentan terhadap serangan cracker ini? Ada cukup banyak sebetulnya mulai dari:

 

• institusi finansial & bank
  
• Internet service provider (ISP)
  
• Perusahaan farmasi
  
• Lembaga pemerintah & pertahanan
  
• Perusahaan multinasional
  

 

Para cracker ini profile-nya seperti apa? Jika kita perhatikan baik-baik maka umumnya mereka adalah pria berusia antara 16-25 tahun. Mereka umumnya melakukan cracking untuk meningkatkan kemampuan cracking mereka atau untuk menggunakan resource yang ada di jaringan untuk keperluan pribadinya. Umumnya mereka ada opportunis yang secara untung-untung menscan sistem untuk melihat lubang dari sistem. Umumnya setelah berhasil memasuki sistem yang dimaksud kemudian mengambil akses administrator (root) dari sistem tersebut; kemudian membuat akses backdoor agar dikemudian hari dapat memasuki sistem tersebut lagi sambil menutup berbagai lubang security yang ada supaya cracker lain tidak bisa memanfaatkan sistem yang dia kuasai ini.

 

Sebelum memasuki berbagai teknik yang dipakai oleh para cracker untuk menguasai sistem ada baiknya kita melihat secara sepintas saja metoda apa saja yang digunakan oleh berbagai perusahaan ini untuk menyambungkan ke Internet. Secara sederhana umumnya berbagai perusahaan / instansi menyambung ke Internet menggunakan teknik-teknik firewall dan proxy server untuk akses bagi anggota / karyawan / siswanya agar bisa akses bersama melalui satu saluran komunikasi. Adapun hubungan ke Internet umumnya digunakan untuk hosting webserver, servis e-mail agar bisa berhubungan dengan dunia luar dan memberikan akses ke Internet bagi perusahaan / anggota / siswa.

 

Dalam setup jaringan komputer yang demikian umumnya webserver bukanlah tempat yang cukup menarik untuk di serang jika kita menginginkan akses ke informasi yang ada dalam corporate network. Kalaupun seorang cracker menyerang webserver umumnya digunakan untuk mengubah file yang ada untuk menjatuhkan citra perusahaan / lembaga. Bagi cracker yang berkeinginan untuk memasuki intranet corporate maka serangan akan dilakukan ke server e-mail karena biasanya server e-mail yang mempunyai saluran secara langsung ke dalam intranet untuk bertukar e-mail antara dunia intranet dan dunia internet. Bagi cracker yang cukup canggih maka serangan akan dilakukan pada router menggunakan scanner secara agresif terhadap protokol managemen SNMP yang akhirnya bisa mengubah router yang ada menjadi jembatan mereka memasuki intranet dari internet.

 

Setelah mengetahui berbagai modus yang ada di atas mari kita bahas sedikit lebih detail tentang cara mereka menyerang. Teknik pertama yang perlu dilakukan oleh para cracker ini adalah teknik 'cloak' yang pada dasarnya menyembunyikan diri pada saar menyerang agar administrator jaringan di ujung sebelah sana tidak menyadari bahwa mesin-nya sedang di serang. Teknik 'cloak' yang biasanya digunakan oleh para cracker ini adalah:

 

• Melakukan bouncing (melompat) dari mesin yang sebelumnya telah di serang melalui program telnet atau remote shell rsh.
  
• Melakukan bouncing (melompat) dari mesin yang menjalankan windows melalui software wingate mereka.
  
• Melakukan bouncing (melompat) dari server proxy yang salah di konfigurasinya.
  

 

Seorang cracker pada saat menyerang harus mengumpulkan banyak informasi tentang jaringan yang akan dia serang. Beberapa teknik yang umumnya digunakan untuk mengumpulkan informasi tersebut biasanya dijalankan di perangkat Unix (bukan windows) yang antara lain adalah:

 

• Menggunakan perangkat lunak nslookup dalm memberikan perintah 'ls <domain atau network>.
  
• Melihat file HTML di server Web anda untuk mengidentifikasi host lain di intranet anda.
  
• Melihat berbagai dokumen yang ada di server file (FTP) anda.
  
• Melakukan hubungan ke server mail anda menggunakan perintah 'telnet host 25' dan memberikan perintah 'expn <user>'.
  
• Mem-'finger' pengguna yang memiliki account di mesin yang terbuka di internet.
  

 

Selanjutnya adalah mengidentifikasi komponen jaringan apa saja yang di set sebagai komponen yang paling di percaya di jaringan intranet perusahaan tersebut. Biasanya mesin yang digunakan administrator atau server biasanya dipercaya sebagai mesin paling aman di jaringan. Untuk melihat mesin mana yang di anggap paling aman di jaringan biasanya para cracker ini start dengan melihat men-cek daftar export dari Network File System (NFS) ke directory /usr/bin, /etc dan /home dimesin mana saja dilakukan operasi NFS tersebut. Jika bisa mengakses webserver maka bisa juga mengeksploitasi kelemahan Common Gateway Internet (CGI) untuk mengakses file /etc/hosts.allow.

 

Setelah melihat mesin mana yang dianggap paling aman / paling bisa dipercaya di jaringan intranet yang ingin kita serang. Langkah selanjutnya adalah mengidentifikasi kelemahan mesin-mesin tersebut. Ada beberapa program yang umumnya bersifat public domain & bisa secara mudah + gratisan di ambil di internet yang bisa digunakan untuk melakukan operasi tersebut, beberapa diantara program di Linux untuk keperluan tersebut adalah ADMhack, mscan, nmap & banyak scanner kecil. Biasanya agar administrator mesin tidak mengetahui bahwa kita melakukan scanning tersebut maka program ini di sembunyikan di balik program 'ps' atau 'netstat'. Jika router di institusi / lembaga lawan tersebut ternyata mengaktifkan kemampuan agar bisa dimanage jarak jauh menggunakan protokol SNMP maka cracker yang lebih canggih bisa mengaktifkan teknik scanning SNMP yang bisa menguasai router tersebut.

 

Beberapa hal yang biasanya di cek pada saat melakukan scanning pada sebuah alat di jaringan komputer antara lain adalah:

 

• Scan port TCP dari sebuah mesin.
  
• Melihat servis RPC yang dijalankan menggunakan portmapper.
  
• Melihat daftar export melalui nfsd.
  
• Melihat daftar directory yang di share melalui samba / netbios.
  
• Melakukan banyak finger untuk mengidentifikasi account default.
  
• Scan kelemahan Common Gateway Interface (CGI).
  
• Identifikasi kelemagan berbagai software server yang dijaankan di mesin seperti, sendmail, IMAP, POP3, RPC status & RPC mountd.
  

 

Setelah mengetahui kelemahan sistem, cracker tinggal mengambil alih sistem sistem dengan menjalankan program dari jauh untuk mengeksploit kelemahan software daemon server untuk memperoleh akses administrator / root dari mesin anda. Setelah cracker berhasil memperoleh akses ke peralatan yang lemah tadi maka cracker umumnya melakukan operasi pembersihan 'clean up' terhadap file log agar tidak terlihat oleh si administrator mesin tentang apa yang dilakukan oleh si cracker. Kemudian cracker akan memasang software / program yang diperlukan untuk membuat 'backdoor' agar dikemudian hari dapat mengakses sistem tersebut. Memasang .rhosts file di /usr/bin agar dikemudian hari dapat menjalankan program di mesin yang sudah dikuasai menggunakan perintah rsh & csh dari jauh saja.

Pada titik ini sebetulnya mesin sudah dikuasai tinggal dimanfaatkan saja. Ada banyak hal yang bisa dilakukan oleh cracker dalam memanfaatkan mesin yang sudah dia kuasai, antara lain:

 

• Menjadikan jembatan antara Internet dengan intranet network.
  
• Menginstalasi sniffer untuk melihat traffic yang sedang berjalan di LAN Corporate network di situ bisa dilihat berbagai password, nomor kartu kredit kalau tidak dilindungi. Program cpm di http://www.cert.org/ftp/tools/cpm mungkin bisa membantu memperbaiki interface yang dipasangi sniffer ini.
  
• Yang paling sial kalau cracker menjalankan perintah 'rm –rf /&' karena mesin akan hancur lebur. Anda akan membutuhkan waktu beberapa jam s/d beberapa bulan untuk memperbaikinya kalau anda tidak pernah memback-up setting anda. Hal ini akan sangat berbahaya jika dijalankan di mesin-mesin yang menjalankan operasi 'mission critical' misalnya server di perbankan dll.
  

 

Modul 1
Network scanning

dan probing dengan NMAP

TUJUAN PEMBELAJARAN:

1. Mengenalkan pada mahasiswa tentang konsep Scanner dan Probing
   
2. Mahasiswa memahami konsep layanan jaringan dan port numbering
   
3. Mahasiswa mampu menganalisa kelemahan jaringan menggunakan software scanning yang ada
   

 

DASAR TEORI

Server tugasnya adalah melayani client dengan menyediakan service yang dibutuhkan. Server menyediakan service dengan bermacam-macam kemampuan, baik untuk lokal maupun remote. Server listening pada suatu port dan menunggu incomming connection ke port. Koneksi bisa berupa lokal maupuan remote.

Port sebenarnya suatu alamat pada stack jaringan kernel, sebagai cara dimana transport layer mengelola koneksi dan melakukan pertukaran data antar komputer. Port yang terbuka mempunyai resiko terkait dengan exploit. Perlu dikelola port mana yang perlu dibuka dan yang ditutup untuk mengurangi resiko terhadap exploit.

Ada beberapa utility yang bisa dipakai untuk melakukan diagnosa terhadap sistem service dan port kita. Utility ini melakukan scanning terhadap sistem untuk mencari port mana saja yang terbuka, ada juga sekaligus memberikan laporan kelemahan sistem jika port ini terbuka.

Port Scanner merupakan program yang didesain untuk menemukan layanan (service) apa saja yang dijalankan pada host jaringan. Untuk mendapatkan akses ke host, cracker harus mengetahui titik-titik kelemahan yang ada. Sebagai contoh, apabila cracker sudah mengetahui bahwa host menjalankan proses ftp server, ia dapat menggunakan kelemahan-kelemahan yang ada pada ftp server untuk mendapatkan akses. Dari bagian ini kita dapat mengambil kesimpulan bahwa layanan yang tidak benar-benar diperlukan sebaiknya dihilangkan untuk memperkecil resiko keamanan yang mungkin terjadi.

 

Netstat

    Nenstat merupakan utility yang powerfull untuk menngamati current state pada server, service apa yang listening untuk incomming connection, interface mana yang listening, siapa saja yang terhubung.

 

Nmap

Merupakan software scanner yang paling tua yang masih dipakai sampai sekarang.

 

.

 

Scanning NMAP dengan TCP packet

efore Nmap will scan a device, it checks to be sure the device is really on the network. If the scan is to a local device, then Nmap performs a simple ARP to the device to determine if it's alive. If the target station is on a different subnet, then Nmap uses a combination of an ICMP echo request and an out-of-order TCP ACK:

 

 

Macam-macam teknik scan :

 

-sS (TCP SYN scan)

Paling populer dan merupakan scan default nmap. SYN scan juga sukar terdeteksi, karena tidak menggunakan 3 way handshake secara lengkap, yang disebut sebagai teknik half open scanning. SYN scan juga efektif jarena dapat membedakan 3 tate port, yaitu open, filterd ataupun close. SYN scan bekerja dengan mengirimkan paket SYN seakan menunggu respon dari client untuk membuka koneksi. SYN/ACK respon menunjukkan apakah port dalam keadaan listening (open), sementara RST (reset) menunjukkan port dalam keadaan close. Jika client tidak merespon dalam selang waktu tertentu atau client mengirim pesan destination ICMP error, maka port client itu, maka client port dinyatakan dalam state filtered.

 

-sN; -sF; -sX (TCP Null, FIN, and Xmas scans)

Salah satu statement RFC menyebutkan bahwa bila suatu paket sepanjang tidak mengandung SYN, RST dan ACK, maka bila korban mengembalikan RST, maka port berarti tertutup dan tidak merespon sama sekali berartiterbuka. Nmap menggunakan 3 flag berikut : FIN, PSH dan URG. Jika tidak ada respon berarti open|filtered. Bila ter-filtered akan diperoleh reply ICMP unreachable error (type 3, code 1, 2, 3, 9, 10, or 13).

Null scan (-sN)

Tidak mengeset bit manapun pada flag tcp (tcp flag header 0)

FIN scan (-sF)

Mengeset hanya bit TCP FIN.

Xmas scan (-sX)

Mengeset flag FIN, PSH, and URG flags, seperti 'pohon natal'

 

-sA (TCP ACK scan)

Scan tipe ini berbeda karena tidak digunakan untuk menentukan apakah port tersebut terbuka tau tertutup. Scan ini hanya menunjukkan apakah state korban terfiltered atau unfiltered. Jika terfiltered, maka port mana yang terfiltered.

ACK scan bekerja dengan mengirimkan paket TCP dengan flag ACK. Jika unfiltered, korban mengirim RST, yang artinya korban menerima paket ACK, namun, status port bisa open atau close. Bila korban tidak merespon, atau mengirim paket ICMP error (type 3, code 1, 2, 3, 9, 10, or 13), maka korban diberi status filtered.,

 

-sT (TCP Connect scan)

Scan tipe ini tergantung dari OS korban, sehingga cukup rskan dipakai. Connect scan mirip dengan SYN scan, dengan full 3 way handshake. Karena itu sering disebut sebagai full connect scanning. Ini artinya bahwa korban akan melakukan logging scanning jenis ini, karena itu scanning jenis ini mudah terdeteksi

 

-sU (UDP scan)

Pada tipe ini, yang dikirim adalah paket UDP. Bila korban mengirimkan paket ICMP port unreachable, maka artinya port tertutup (close). Jika tidak ada respon, tidak selalu brarti port terbuka (open). Mungkin firewall atau packet filtering router berada didepan korban.

 

 

TUGAS PENDAHULUAN

• Sebutkan langkah dasar yang biasa dipakai untuk melakukan proses hacking !
  
• Sebutkan cara pemakaian software nmap dengan menggunakan tipe scanning:
  
  • TCP Connect scan
    
  • TCP SYN Scan
    
  • TCP FIN scan
    
  • TCP Xmas Tree scan
    
  • TCP null scan
    
  • TCP ACK scan
    
  • UDP scan
    
  • OS fingerprinting
    

 

 

 

 

PERCOBAAN

 

NMAP 1

1. Pastikan nmap terinstal pada komputer anda,jika belum ambil source code pada server yang telah disediakan dan lakukan installasi.
   
2. Catat versi nmap yang terinstall di komputer anda. Dengan perintah :
   

   # rpm -qa | grep nmap
   

3. Bagi kelompok menjadi 3. Masing-masing kelompok memeliki range subnet berbeda.
   
4. Kerjakan perintah ini :
   

   # nmap -h
   

   Catat paling tidak 3 scan teknik nmap
   

5. Untuk mengirim SYN scan, ketik :
   

   # nmap =sS -v <no_IP_tujuan>
   

   Catat hasilnya. Hasil ini menunjukkan port yg terbuka.
   

6. Sekarqang kirim SYN scan ke komputer lain dalam satu range serangan. Catat hasilnya. Apakah ada perbedaan dengan hasil scanning sebelumnya? Jika iya, sebutkan ! Tujuannya hanya sebagai pembanding.
   
7. Mintalah pada komputer yg discan untuk menjalankan scanning pada diri sendiri. Cocokkan dengan hasil scanning nmap.
   

   # nmap localhost
   

   Salin hasilnya dan bandingkan. Sama atau tidak ? Mengapa?
   

8. Sekarqang kirim SYN scan ke komputer lain dalam range serangan berbeda. Apakah anda berhasil ? Catat hasilnya.
   
9. Nmap dapat mengscan range IP tertentu, sehingga kita tidak perlu menulis satu persatu. Untuk melakuakn SYN scan pada rang terterntu, tulis :
   

   # nmap -sS -v 10.252.10.201-211
   

10. Coba juga perintah ini untuk melakukan pengecekan pada satu subnet :
    

    # nmap -sS -v 10.252.10.0/24
    

11. Sekarang coba tambah parameter dari nmap sehingga nmap dapat menscan layanan http saja. Petunjuk, gunakan help dari nmap pada bagian port. Http bekerja pada port 80. Tentunya sebelumnya mintalah rekan anda menyalakan service http.
    

 

NMAP 2

 

12. Sekarang mari kita coba berbagai opsi nmap yang ada. Yaitu ACK, XMAS, FIN scan

13. Jalankan tcpdump dengan perintah :

# tcpdump host <no_ip_penscan> and <no_ip_discan> > filexx.txt

14. Buka terminal linux baru, kemudian lihat hasilnya di tcpdump

15. Coba kirim FIN scan ke komputer lain dalam area anda. Lihatlah trafik yang     dibangkitkan oleh FIN scan nmap. Respon apa yang diberikan oleh komputer yang     menerima scan FIN ini ?

#nmap -sF -v <no_IP_discan>

Lihat dari hasil filexx.txt dan hasil scan nmap.

Lihat help dari tcpdump jika anda ingin mengetahui arti baris-barisnya.

16. Coba kirim XMAS scan ke komputer yang tadi menerima FIN scan. Apa     hasilnya?

Anda akan melihat bahwa hasil scannya terfiltered. Apa arinya?

17. Coba kirim ACK scan ke komputer yang sama. Apakah komputer tersebut     memberikan respon ? Respon apa ?

Anda akan melihat bahwa hasil scannya ter-unfiltered. Apa artinya?