HACKING FOR BEGINNER
Penulis : wiranggaleng Jasakom -
Apa sih hacker itu sebenarnya ? Bagaimana menjadi hacker ? Tulisan ini akan menjelaskan banyak hal kepada anda seputar “Hacker”
v\:* {behavior:url(#default#VML);} o\:* {behavior:url(#default#VML);} w\:* {behavior:url(#default#VML);} .shape {behavior:url(#default#VML);} st1\:*{behavior:url(#ieooui) } <!–
/* Font Definitions */
@font-face
{font-family:Courier;
panose-1:2 7 4 9 2 2 5 2 4 4;
mso-font-charset:0;
mso-generic-font-family:modern;
mso-font-format:other;
mso-font-pitch:fixed;
mso-font-signature:3 0 0 0 1 0;}
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;
mso-font-charset:2;
mso-generic-font-family:auto;
mso-font-pitch:variable;
mso-font-signature:0 268435456 0 0 -2147483648 0;}
@font-face
{font-family:”TimesNewRoman\,Italic”;
panose-1:0 0 0 0 0 0 0 0 0 0;
mso-font-charset:0;
mso-generic-font-family:roman;
mso-font-format:other;
mso-font-pitch:auto;
mso-font-signature:3 0 0 0 1 0;}
@font-face
{font-family:TimesNewRoman;
panose-1:0 0 0 0 0 0 0 0 0 0;
mso-font-charset:0;
mso-generic-font-family:roman;
mso-font-format:other;
mso-font-pitch:auto;
mso-font-signature:3 0 0 0 1 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-parent:”";
margin:0in;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:”Times New Roman”;
mso-fareast-font-family:”Times New Roman”;}
a:link, span.MsoHyperlink
{color:blue;
text-decoration:underline;
text-underline:single;}
a:visited, span.MsoHyperlinkFollowed
{color:purple;
text-decoration:underline;
text-underline:single;}
pre
{margin:0in;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.0pt;
font-family:”Courier New”;
mso-fareast-font-family:”Times New Roman”;}
span.GramE
{mso-style-name:”";
mso-gram-e:yes;}
@page Section1
{size:8.5in 11.0in;
margin:1.0in 1.25in 1.0in 1.25in;
mso-header-margin:35.4pt;
mso-footer-margin:35.4pt;
mso-paper-source:0;}
div.Section1
{page:Section1;}
/* List Definitions */
@list l0
{mso-list-id:1906328941;
mso-list-type:hybrid;
mso-list-template-ids:-1572719500 1079035266 67698691 67698693 67698689 67698691 67698693 67698689 67698691 67698693;}
@list l0:level1
{mso-level-start-at:0;
mso-level-number-format:bullet;
mso-level-text:-;
mso-level-tab-stop:.5in;
mso-level-number-position:left;
text-indent:-.25in;
font-family:”Times New Roman”;
mso-fareast-font-family:”Times New Roman”;}
ol
{margin-bottom:0in;}
ul
{margin-bottom:0in;}
–>
HACKING FOR BEGINNER
Dari newbie untuk newbie
Penulis: wiranggaleng
Tulisan ini sebenarnya sudah lama sekali ingin saya buat. Pada awalnya muncul setelah iseng-iseng membaca komentar pembaca di website-website hacker, ikut-ikutan nangkring di channel carder dan hacker, dan ikutan beberapa milis hacker. Entahlah, ada semacam rush yang membuat saya ingin sekali membuat satu tulisan tentang hacking walaupun saya sangat awam sekali tentang bidang yang satu ini. Anyway, saya harap tulisan ini ada manfaatnya.
ETHICS, ETIQUETTE, ETIKA!!
Tanpa bermaksud beringgris-ingris ria, judul di atas terinspirasi begitu saja waktu lagi kuliah keamanan sistem informasi dalam asuhan Mr. GBT. Soalnya tiap kali ia mengajarkan teknik baru yang biasa dilakukan oleh seorang hacker dalam melakukan aksinya, ia pasti berkata: Ingat, ETIKA!!
Kadang-kadang saya suka senyum-senyum sendiri melihat komentar-komentar di semua medium komunikasi hacker baik itu website, milis, maupun iRC. Yang paling sering saya temui adalah komentar yang kurang lebih seperti ini: “wah bagus nih trik hacknya, gw newbie, buat mas-mas yang jago-jago, ajarin gue dong, kirim aja ke email newbie@newbie.org”, “Bagi-bagi dong tekniknya, jangan pelit”, atau yang paling parah “ayo kita rampok bule-bule itu”.
Atau kadang-kadang ada juga perang komentar dengan saling mencela. Ada pihak yang merasa gerah dengan pihak lain yang menurut mereka lamer, atau script kiddies rese. Sementara pihak yang dibilang lamer justru merasa orang-orang ini yang rese dan sok jago. Ternyata komunitas yang menamakan diri mereka hacker ini sangat sensitif dalam hal ego. Jadi saya pernah ambil kesimpulan, hati-hati kalo ngomong di media nya hacker. Salah-salah anda bisa dianggap megaloman atau lamer yang sok jago.
Yang lucu dan sampai saat ini saya tidak mengerti adalah tata cara/etika ketika mengunjungi beberapa channel hacker (mungkin tidak semua, atau karena sayanya yang bego). Semula saya mengira channel hacker ini akan penuh dengan diskusi dan sharing teknik-teknik hacking. Namun kenyataan yang sering saya temui adalah kesunyian pada channel-channel tersebut walaupun saya lihat banyak yang sedang online. Saya pernah mencoba memancing dengan mengatakan “hi, saya newbie”. Pesan yang saya dapat balik adalah “so what?”. Terus sunyi lagi. Can anybody tell me why? I just don’t get it. Bukannya ini harusnya jadi ruang chatting bukan diam-diaman.
So, What’s a Hacker anyway?
Kelihatannya bagi orang-orang yang maniak komputer, atau computer geek, hacker adalah istilah yang sangat seksi seperti halnya mungkin Che Guevara atau ideologi kiri bagi para aktivis muda. Dua-duanya mencerminkan pemberontakan terhadap kemapanan, perlawanan terhadap penindasan, anti status quo, pejuang kebebasan dstnya. Semua orang ingin menjadi hacker. Tapi, apa sih sebenarnya hacker atau hacking itu?
Berikut adalah beberapa definisi hacker yang dapat saya temui:
HACKER. noun. 1. A person who enjoys learning the details of computer systems
and how to stretch their capabilities – as opposed to most users of computers, who
prefer to learn only the minimum amount necessary. 2. One who programs enthusiastically
or who enjoys programming rather than theorizing about programming.
(Guy L. Steele, et al., The Hacker’s Dictionary)
hacker /n./
[originally, someone who makes furniture with an axe] 1. A person who enjoys
exploring the details of programmable systems and how to stretch their capabilities,
as opposed to most users, who prefer to learn only the minimum necessary. 2.
One who programs enthusiastically (even obsessively) or who enjoys programming
rather than just theorizing about programming. 3. A person capable of appreciating
hack value. 4. A person who is good at programming quickly. 5. An expert
at a particular program, or one who frequently does work using it or on it; as in `a
Unix hacker’. (Definitions 1 through 5 are correlated, and people who fit them congregate.)
6. An expert or enthusiast of any kind. One might be an astronomy
hacker, for example. 7. One who enjoys the intellectual challenge of creatively
overcoming or circumventing limitations. 8. [deprecated] A malicious meddler
who tries to discover sensitive information by poking around. Hence `password
hacker’, `network hacker’. The correct term for this sense is cracker.
Hackers are like kids putting a 10 pence piece on a railway line to see if the train
can bend it, not realising that they risk de-railing the whole train
(Mike Jones: London interview).
Dari sekian banyak definisi tentang hacker, menurut saya yang paling menarik adalah definisi terakhir dari Jones, karena definisi inilah yang paling umum dan paling merepresentasikan seorang hacker. Hacker itu seperti seorang anak kecil yang karena rasa ingin tahunya yang besar ia terus mencoba-coba sesuatu yang menarik perhatiannya. Bisa diilustrasikan sperti seorang anak kecil yang meletakkan koin 100 perak dijalur kereta api untuk melihat apakah kereta bisa membengkokkan koin tersebut, tapi tidak sadar apa yang dilakukannya mungkin saja bisa membuat kereta itu keluar dari jalurnya.
Saya juga suka berpikir bahwa hacker itu seperti seorang filosof. Bagi anda yang pernah membaca buku dunia sophie, kelompok hacker mungkin adalah salah satu kelompok orang-orang yang tidak ikut-ikutan nyaman seperti orang kebanyakan terlena dalam bulu-bulu kelinci. Mereka tetap mempertahankan rasa keingintahuan seorang anak kecil terhadap dunia. They keep the curiosity of a boy in their heart.
Perlu dicatat, bahwa kegiatan hacker tidak terbatas pada urusan bobol-membobol komputer atau jaringan. Seorang programmer yang sangat antusias bikin program tanpa bug, atau seorang bocah yang sangat antusias mengoverclock komputernya dengan segala kemungkinan yang ada justru mungkin adalah arti dari hacker yang sesungguhnya.
Kategori atau Tingkatan Hacker
Menarik apa yang dikatakan S’to dalam bukunya Seni Internet Hacking tentang proses hacking. Di situ ia menolak ketaklidan terhadap langkah-langkah yang tampaknya mulai agak menjadi baku dalam tiap buku atau artikel hacking. Saya setuju dengan pendapat ini. Jika hacking adalah seni, maka upaya membakukan seni justru mematikan seni itu sendiri. Anda yang pernah menonton film Dead Poet Society pasti akan mengerti benar hal ini.
Dengan pemikiran yang sama, saya juga tidak terlalu setuju dengan pengkategorian hacker. Siapa yang punya hak untuk bilang hacker yang ini guru, yang itu coder, yang lainnya lagi whacker. Contoh pengkategorian level ini bisa anda lihat di http://hscool.netclub.ru/levels.html. Mungkin orang yang tidak terlalu jago pemrograman, bisa aja melakukan pembobolan suatu situs online banking. Saya pernah mendengar ada yang berhasil mendapatkan informasi pelanggan BCA hanya dengan membuat suatu web yang persis mirip situs BCA tapi dia menamakannya clickbca.com. nama yang rada-rada mirip dengan klik-bca.com.
Jika dipaksa untuk membuat kategori, saya lebih memilih dua kategori. Hacker dan Cracker. Walaupun terkadang perbedaannya sangat tipis sekali. Ini disebabkan adanya dua mainstream pemikiran filosofi hacker dalam intrepetasi mengenai etika
Perdebatan ini muncul dibanyak topik. Seperti misalnya menurut kalangan computer underground, probing ke sistem lain sah-sah saja karena mereka sebenarnya sedang membantu administrator sistem tersebut dengan menunjukkan kelemahan sistem mereka. Akan tetapi industri keamanan komputer justru menganggap ini tidak etis dengan mengemukakan analogi senangkah anda jika ada seseorang yang mencoba-coba membobol jendela dan pintu rumah anda dengan alasan sedang menguji keamanan rumah anda.
Sebuah email yang dipampang pada sebuah website (http://www.bemuzed.com/elmorian/philosophy/files/DH_Hacking) tentang hacking mungkin mengilustrasikan ini dengan baik sekali. Dalam email itu dibahas mengenai apakah hak seorang untuk memuaskan rasa ingin tahunya lebih penting daripada hak orang lain untuk memiliki privasi.
I never did what I did for money…
Anyway, menurut saya semuanya harus dikembalikan kepada hati nurani. Walaupun anda mungkin berbusa-busa mempertahankan alasan anda tetapi jika deep down inside alasan sebenarnya adalah untuk kepentingan pribadi anda atau mengambil hak orang lain untuk diri anda sendiri, maka saya bisa katakan anda adalah cracker. Prinsip utamanya adalah: jangan lakukan terhadap orang lain apa yang anda tidak ingin orang lain lakukan terhadap anda. Sedikit justifikasi dari saya: korupsi adalah mengambil hak publik/hak individu lain untuk diri sendiri. Jika itu premisnya, maka mungkin anda bisa ambil kesimpulan sendiri tentang apa sebenarnya hacker dan aktivitasnya.
Hacker sejati tidak pernah melakukannya untuk uang. Masuk dalam kategori ini adalah programmer-programmer open source dan orang-orang gila di komputer seperti Linus Torvalds, RMS (www.stallman.org), Steve Jobbs atau Bill Gates (walaupun mungkin banyak yang tidak setuju dua orang terakhir saya masukkan kategori ini). Frasa “I never did it for money” saya ambil dari perkataan Steve Jobbs dalam film dokumenter tentang Silicon Valley.
Hacker = High Skills?
Kadang-kadang memang tidak diperlukan skill yang tinggi untuk melakukan suatu aktivitas hacking. Aktivitas hacking lebih banyak membutuhkan kreatifitas, rasa penasaran, keinginan untuk mencoba-coba, kemampuan belajar cepat, dan logika yang terlatih.
Saya akan memberikan suatu contoh yang mungkin cukup mengilustrasikan hal ini. Di situs www.hackthissite.org (situs ini sangat direkomendasikan sebagai tempat belajar yang paling asyik untuk memulai hobbi hacking anda) ada suatu contoh kasus (bagian realistic mission) di mana kita ditantang untuk menghack sebuah website yang mereview popularitas sebuah local band bernama Uncle Arnold’s Band Review. Berikut adalah pesan tantangan tersebut:
Ok. Si HeavyMetal meminta kita untuk menjadikan bandnya pada urutan pertama pada situs Uncle Arnold’s Band Review karena dia sudah terlanjur taruhan dengan seorang temannya bahwa band nya akan berada pada urutan pertama akhir tahun ini.
Berikut adalah tampilan website Uncle Arnold’s Band Review:
Bisa kita lihat, Raging Inferno sekarang berada pada urutan kedua. Perlu banyak (mungkin ribuan) kali vote dengan nilai 5 untuk menaikkan peringkat.
Percaya atau tidak, rate tingkat kesulitan untuk menghack tantangan ini adalah easy. Nah, bikin penasaran kan?. Kalau mudah, mengapa saya tidak bisa? Setelah mencoba-mencoba mengamati, penyelesaiannya memang sangat mudah. Tidak perlu jago php apalagi membuat program exploit untuk mentakeover server.
Seperti kata S’to dalam bukunya, biasakan melihat source code dari halaman website yang akan kita hack lalu cari kode inti, artinya bukan kode kosmetik untuk formatting tampilan. Ok. Mari kita lihat sama-sama..
<a href=”http://www.raginginferno.com”>Raging Inferno</a></b><br>This is a self-proclaimed “hardcore” metal band pretty much covering older slayer songs and nintendo game with added high-pitched screaming. I give these guys an F.<br><i>The average rating of this band is 4.1381040382311. How would you rate it?</i><form action=”vote.php”><input type=”hidden” name=”id” value=”0″><select name=”vote”><option value=1>1<option value=2>2<option value=3>3<option value=4>4<option value=5>5</select> <input type=”submit” value=”vote!”></
Kode di atas adalah kode yang berhubungan dengan voting pada band raging inferno. Kita lihat, kata-kata intinya adalah pada variabel id, vote, yang akan di parse ke vote.php. Dengan sedikit pengetahuan php kita akan langsung bisa menerka bahwa mungkin saja nilai-nilai dari variabel ini bisa langsung kita masukkan tanpa melalui program melainkan lewat address bar sehingga memungkinkan kita memasukkan nilai vote yang sangat jauh lebih besar dari 5. Perhatikan, kemungkinan ini bisa saja terjadi kalau program php tersebut tidak menggunakan validasi input. Jadi, gimana kalo misalnya kita masukkan alamat seperti ini ke address bar?
http://www.hackthissite.org/missions/mission1/vote.php?id=0&vote=1000000000
Jadi untuk memecahkan masalah ini kita hanya perlu sedikit pengetahuan tentang cara kerja php.
Contoh Kasus 2: (MailBombing)
Misalnya kita punya shell di salah satu layanan public shell yang bisa kita buang kapan saja kita mau karena toh kita bisa saja bikin lagi yang baru. Terus setelah kita cek ternyata layanan ini memungkinkan kita untuk mengirimkan email dan mengekseskusi script perl. Gimana kalo kita bikin script kecil-kecilan pake perl?
#! /usr/local/bin/perl
for ($loop=0; $i < 10 ; $loop++)
{
system(“/usr/sbin/sendmail siapa@aja.net < mailsampah”);
}
Apa yang dilakukan program di atas? Orang yang baru belajar pemrograman pun pasti ngerti apa yang dilakukan program di atas karena syntax nya yang sangat intuitif (ini hebatnya perl). Kita bikin suatu program perulangan hingga 10 kali untuk melakukan aksi sendmail dengan isi mail adalah isi dari file mailsampah. Mudah bukan?
Ok. Ternyata shellnya ga ada fasilitas perl. Tapi ada dukungan php. Kenapa tidak kita buat programnya dalam php? Intinya adalah be creative!!!
So you wanna be a hacker?
Tentu saja. Semua computer geek pasti tertarik untuk menjadi seorang hacker. Tapi perlu diingat hacking bukanlah maling atau seseorang yang kalo di milis-milis luar negeri disebut hat-ass. Hacker sejati tidak pernah melakukan hacking untuk uang atau membuat sengsara orang lain. It’s all about curiosity, fun, and freedom of expression. Untuk kita yang pemula-pemula ini memang lebih baik belajar lebih banyak tentang filosofi hacking dari para pendahulu kita. Saya punya contoh betapa hacking yang sesungguhnya kadang-kadang tidak ada kaitannya sama sekali dengan urusan-urusan bobol-membobol. Artikel di http://www.stallman.org/articles/on-hacking.html mungkin bisa memberikan gambaran yang lebih baik.
Apa aja yang kita butuhkan untuk menjadi seorang Hacker?
Mungkin kita akan sukses menjadi hacker yang baik kalo kita mengikuti algoritma yang saya ambil dari http://fringe.davesource.com/Fringe/Hacking/Philosophy/Hacking_Algorithm-Funny. Ada baiknya saya tuliskan kembali di sini:
void main()
{
for(i = 0 knowledge; i < infinite knowledge; i++)
while(you don’t know how something works)
{
Read(Your Brain, i);
Experiment(Your Brain, i);
Learn(Your Brain, i);
}
}
Dan tidak lupa satu lagi, English!! Karena akan susah sekali belajar hacking kalo kita tidak mengerti bahasa inggris…
Final Word: Seperti kata Iwan Fals, yok kita Galang Rambu Anarki!! But with peace…
Bibliography:
- www.stallman.org
- Keamanan Sistem Informasi berbasis Internet – Budi Rahardjo
- Seni Internet Hacking – S’to
- Dan masih banyak lagi yg lainnya
– AUTOHACKING
