Jumat, 15 April 2011

BELAJAR HACKER



arti hacker Bagian 1 Hacking buat pemula Artikel ini ditujukan bagi pemula, dan disusun oleh pemula. Ditulis untuk pengetahuan semata. Untuk temen2 yg udah ahli, sok aja dilewat, tapi dibaca juga gpp…. Apa sebenarnya hacking itu? klo menurut pengertian gue, hacking adalah ngoprek. Yup, hacking adalah ngoprek, mempelajari sesuatu dengan keingintahuan (curiosity) yg tinggi, ngutak atik sesuatu, ‘ngudek-ngudek’ sampai ke ‘jeroannya’. Sesuatunya apa dong? ya terserah… bisa komputer, mobil, motor, mesin. Tapi masalahnya ada ngga ya hacker mobil, hacker motor, atau hacker pesawat terbang?? hehe… Walaupun saat ini hacking identik dengan ‘bobol-membobol’, tapi gue kurang setuju klo cuman bobol server orang doang!. Ada yang bilang ‘Hacking is Art’, trus dimana letak seninya dong? Mau tau pengertian hacking sebenarnya, coba baca artikel sebelumnya (How to Become A Hacker). Di situ dijelasin bahwa hacker berkaitan dengan kemahiran teknis serta kegemaran menyelesaikan masalah dan mengatasi keterbatasan. Contoh hacker pada saat ini yang sering-sering disebut adalah Linus Torvald (tau ngga? itu lho yang menciptakan Linux). Apa dia tukang bobol? belum tentu kan…. Pada artikel ini, gue pengen membagi pengalaman mengenai Hacking, walaupun sampai saat ini gue belum pernah nge-Hack ke server orang. Salah satu cara untuk mencoba simulasi Hack yaitu H3cky0uRs3lf! Buat komputer kita sebagai server (sekaligus belajar konfigurasi server) trus install program yg dibutuhkan. Misalnya klo mo Web Hacking, coba install Apache atau IIS. Atau kita sesuaikan dengan exploit yang udah kita dapet. Tapi lebih baik install Linux atau FreeBSD dulu di komputer pribadi, trus konfigurasi sebagai server, lalu simulasi Hack, setelah itu baru Hack Betulan… Apalagi klo di kost ada jaringan. Pro dan Kontra Hacking Pro Kontra Etika Hacking Semua informasi adalah free Jika semua informasi adalah free, maka tidak ada ladi privacy Aspek Security Intrusion adalah ilustrasi kelemahan sistem Tidak perlu menjadi pencuri untuk menunjukkan pintu yang tidak terkunci Idle Machines Hacking hanya pada idle machines idle machines milik siapa ? science education hanya membobol tapi tidak merusak “hacker wannabe” berpotensi sangat besar untuk merusak Okeh, sekarang waktunya melakukan aksi… 1. Fase Persiapan ~ Mengumpulkan informasi sebanyak-banyaknya - Secara Aktif : - portscanning - network mapping - OS Detection - application fingerprinting Semua itu bisa dilakukan menggunakan toolz tambahan seperti nmap atau netcat - Secara Pasif : - mailing-list (jasakom, newbie_hacker, hackelink, dsb) - via internet registries (informasi domain, IP Addres) - Website yang menjadi terget 2. Fase Eksekusi~ Setelah mendapatkan informasi, biasanya akan didapatkan informasi mengenai OS yg digunakan, serta port yang terbuka dengan daemon yg sedang berjalan. Selanjutnya mencari informasi mengenai vulnerability holes (celah kelemahan suatu program) dan dimanfaatkan menggunakan exploit (packetstromsecurity.org, milw0rm, milis bugtraq, atau mencari lewat #IRC).~ Mengekspolitasi Vulnerability Holes- compile eksploit -> local host -> $gcc -o exploit exploit.c $./exploit # hostname (# tanda mendapatkan akses root) remote host -> $gcc -o exploit exploit.c $./exploit -t www.target.com # (klo beruntung mendapatkan akes root) ~ Brute Force - Secara berulang melakukan percobaan otentifikasi. - Menebak username dan password. - Cracking password file ~ Social Engineering - Memperdayai user untuk memeberi tahu Username dan password - Intinya ngibulin user…. 3. Fase Setelah Eksekusi ~ Menginstall backdoor, trojans, dan rootkit ~ Menghapus jejak dengan memodifikasi file log agar tidak dicurigai admin ~ Menyalin /etc/passwd atau /etc/shadow/passwd Nah, intinya seh cara masuk ke server seseorang seperti fase diatas. Mencari informasi, temukan exploit, dan tinggalkan backdoor. Cuma masalahnya hacking bukanlah segampang cara-cara diatas. Itu hanyalah teori, banyak hal yang harus diperhatikan jika ingin mempraketekkan hacking ke server seseorang. Jangan sekali-kali mencoba2 hacking ke server orang tanpa memperhatikan anonimitas (apalagi klo connectnya lewat komputer pribadi tanpa menggunakan proxy). Ntar klo ketahuan bisa repot. Saran gue, cobalah pada mesin localhost dulu (komuter pribadi), klo terhubung ke LAN lebih bagus. Sediakan server yang khusus buat dioprek. Kalaupun pun ga terhubung ke jaringan, kita masih bisa menggunakan Virtual Machine menggunakan VMWare seperti yang nanti akan dibahas pada bagian 3! Referensi : -Hacking and Defense, Jim Geovedi, negative@magnesium.net -Network Defense, Jim Geovedi, negative@magnesium.net Diposting oleh eL-Note di 21:44 0 komentar $4000/Bulan dari Google AdSense Cosa Aranda melaporkan bahwa ia mendapatkan lebih dari $4000/bulan dari Google AdSense pada bulan November kemarin. Penghasilan tersebut ia dapatkan dari iklan AdSense yang dipasang pada blog-blog di jaringan Funponsel.com miliknya. Blog-blog tersebut memiliki tema yang bervariasi, tetapi yang paling populer adalah yang bertemakan teknologi dan juga koleksi lirik musik. Selain dari AdSense, Cosa juga mendapatkan lebih dari $80 pada bulan yang sama dari jaringan iklan Blogads. Untuk menangani jaringan blognya, Cosa mempekerjakan dua orang pegawai. Sedangkan untuk mencapai targetnya, dia mematok pembuatan tulisan di blognya sebanyak antara 3 sampai dengan 12 buah tulisan per hari untuk setiap blognya. Desain blog pada jaringan Funponsel mengingatkan saya pada Engadget dan blog-blog lain pada jaringan Weblogs Inc. milik Jason Calacanis yang beberapa waktu yang lalu telah dibeli oleh grup Time Warner. Mungkin Cosa memang meniru model bisnis dari Weblogs Inc.? Seperti halnya Weblogs Inc., pendapatan utama dari jaringan Funponsel sepertinya berasal dari penempatan iklan Google AdSense. Walaupun demikian, saya juga melihat ada beberapa iklan yang tidak berasal dari Google AdSense. Bagaimana Cosa mencapai ini semua? Saya rasa resepnya kira-kira seperti ini: Persistensi dalam menulis artikel sebanyak 1-2 lusin setiap harinya. Tulisan dibuat dalam Bahasa Inggris. Menurut pengamatan saya, blog yang berbahasa Inggris memiliki CTR 20-30 kali lebih tinggi daripada blog berbahasa Indonesia. Desain yang dioptimasi untuk penempatan AdSense dan iklan lainnya. Optimasi Mesin Pencari (SEO). Yang aktif mencari pendapatan dari Google AdSense di Indonesia tentunya bukan hanya Cosa. Para profesional Google AdSense ini berkumpul di forum Adsense-ID. Dalam sebuah postingnya, Cosa mengatakan bahwa ada anggota forum yang memiliki pendapatan per bulan sampai 5 digit. Sukses Cosa bukannya tanpa kontroversi. Blog Funponsel yang pernah menjadi anggota pengumpul blog Planet Terasi bukanlah blog yang populer di kalangan pembaca Planet Terasi. Penyebabnya kemungkinan besar adalah lusinan artikel dari Funponsel kerap kali memenuhi Planet Terasi. Mungkin ini yang menyebabkan Ronny Haryanto menghilangkan blog Cosa dari daftar blog yang diindeks oleh Planet Terasi. Karena itu Cosa meminta Ronny untuk menghapus Funponsel dari blog yang diindeks Planet Terasi. Jika jaringan Funponsel mendapat lebih dari $4000/bulan, tentunya ada banyak pengunjung yang mengklik iklan AdSense. Dari mana saja pengunjung ini? Menurut pengamatan saya, kemungkinan besar berasal dari mesin pencari seperti Google. Blog My Other Side of Stories yang merupakan blog paling populer di jaringan milik Cosa hanya memiliki tujuh orang pelanggan di Bloglines.com, menandakan blog ini hanya memiliki sedikit pelanggan tetap. Sebagai perbandingan, di Bloglines blog saya memiliki 113 pelanggan, sedangkan blog Enda Nasution memiliki 121 pelanggan. Dari blog saya ini, saat ini saya hanya mendapatkan kurang dari $10/bulan, sedangkan Enda pernah mengatakan pendapatannya melalui AdSense adalah sekitar $10-12/bulan (kalau tidak salah, dan mungkin sekarang sudah lebih banyak). Hal ini menandakan bahwa blog yang memiliki banyak pembaca rutin belum tentu memiliki pengunjung yang lebih banyak. Sayangnya, dari hasil membolak-balik forum AdSense-ID, saya belum dapat menemukan contoh situs lain yang layak selain situs-situs Cosa ini. Kebanyakan situs-situs yang saya temukan hanyalah situs-situs ‘klasik’ untuk ‘memancing’ pengunjung dari mesin pencari. Anda memiliki contoh yang lain? Dunia gemerlap memang selalu dekat dengan dunia hitam, begitu pula di Internet. Tak jarang para ‘profesional’ AdSense melakukan hal-hal yang tidak terpuji, misalnya membuat scraper sites, melakukan spamming dan sebagainya. Faktor etika inilah yang terlalu sering diabaikan dalam mendapatkan penghasilan di Internet. Untuk saat ini saya masih belum melihat adanya korelasi antara kualitas blog dan jumlah penghasilan, terutama di Indonesia. Jaringan blog milik Cosa mungkin sedikit banyak bisa dibilang merupakan pengecualian.Siapa yang ingin mengikuti jejak Cosa? Diposting oleh eL-Note di 21:34 0 komentar Tata Cara Memulai Jadi Hacker HaCkErZ Hacking or Hacker adalah seseorang yang tertarik untuk mengetahui secara mendalam mengenai kerja suatu system dan jaringan computer atou dalam istilahnya ‘Ngoprek’ alias utak-atik sesuatu sampai mendapatkan apa yang diinginkan. Hacking identik dengan bobo-membobol. Cara untuk belajar mensimulasi hack ialah H3cky0uRs3lf alias buat computer kita sebagai server (sekaligus belajar konfigurasi server) truz install program yang dibutuhkan misalx klo mau web Hacking, coba aza install Apache atau IIS. Atouw kita sesuaikan dengan exploit yang udah kita dapet. But lebih baik install Linux atau FreeBSD dulu di Computer pribadi, truz konfigurasi sebaggai server, lalu simulasi Hack, setelah itu baru Hack beneran … apalagi punya Jaringan sendiri … Oia… nie dia beberapa persiapan yang harus dilakukan bwat menjadi Hack : 1. Fase Persiapan Mengumpulkan Informasi sebanyak-banyaknya Secara Aktif : -Portscanning -network Mapping -OS Detection -Applications Fingerprinting (semua itu bias dilakukan menggunakan toolz tambahan seperti nmap atou netcat) Secara Pasif : -MaiList (jasakom, newbie, Hacker, Hackelink, etc) -Via Internet Registries (Informasi Domain, IP addres) -Website yang menjadi TARGET 2. Fase Eksekusi Setelah mendapatkan informasi, biasanya akan didapatkan informasi mengenai OS yang digunakan, serta port yang terbuka dengan daemon yang sedang berjalan. Selanjutnya mencari Informasi mengenai Vulnerability Holes (Celah kelemahan suatu Program) dan dimanfaatkan menggunakan Exploit (packetstromsecurity.org, milw0rm, milis bugtraq, atou mencari lewat #IRC). Mengexploitasi Vulnerability Holes compile eksploit -> local host -> $gcc –o exploit exploit. C $./exploit # hostname (# “tanda mendapatkan akses root”) Remote host -> $gcc –o exploit exploit.c $./exploit –t www.target.com # (klo beruntung dapetin akses root) Brute Force Secara berulang melakukan percobaan otentifikasi Menebak username dan password Cracking password file Social Engineering Memperdayai user untuk memberitahu Username dan Password >>>Intinya bwat ngebohongin User J 3. Fase setelah Eksekusi Menginstall backdoor, Trojans, dan rootkit Menghapus jejak dengan memodifikasi file log agar tidak dicurigai admin Menyalin/etc/password atou/etc/shadow/password <<>> JUntuk menjadi seorang Hacker sejati diperlukan modal mempelajari Jaringan sampai ke akar-akarnya. Klo mau download ilmunya di http://pandu.dhs.org atou http://www.bogor.net/idkf/ atou http://louis.idaman.com/idkf. Setelah mempelajari jaringan kemudian cari informasi sebanyak mungkin tentang kelemahan website yang akan diretas, untuk cari kelemahan tersebut cari diberbagai vendor misalx: http://www.sans.org/newlook/publications/roadmap.htm#3b tentang kelemahan dari system yang mereka buat sendiri. Agar cracker terlindungi pada saat melakukan serangan, teknik cloacking (penyamaran) dilakukan dengan cara melompat dari mesin yang sebelumnya telah di compromised (ditaklukan) melalui program telnet atau rsh. Pada mesin perantara yang menggunakan Windows serangan dapat dilakukan dengan melompat dari program Wingate. Selain itu, melompat dapat dilakukan melalui perangkat proxy yang konfigurasinya kurang baik. Setelah berhasil melompat dan memasuki sistem lain, cracker biasanya melakukan probing terhadap jaringan dan mengumpulkan informasi yang dibutuhkan. Hal ini dilakukan dengan beberapa cara, misalnya (1) menggunakan nslookup untuk menjalankan perintah ‘ls ‘ , (2) melihat file HTML di webserver anda untuk mengidentifikasi mesin lainnya, (3) melihat berbagai dokumen di FTP server, (4) menghubungkan diri ke mail server dan menggunakan perintah ‘expn ‘, dan (5) mem-finger user di mesin-mesin eksternal lainnya. Langkah selanjutnya, cracker akan mengidentifikasi komponen jaringan yang dipercaya oleh system apa saja. Komponen jaringan tersebut biasanya mesin administrator dan server yang biasanya di anggap paling aman di jaringan. Start dengan check akses & eksport NFS ke berbagai direktori yang kritis seperti /usr/bin, /etc dan /home. Eksploitasi mesin melalui kelemahan Common Gateway Interface (CGI), dengan akses ke file /etc/hosts.allow. Selanjutnya cracker harus mengidentifikasi komponen jaringan yang lemah dan bisa di taklukan. Cracker bisa mengunakan program di Linux seperti ADMhack, mscan, nmap dan banyak scanner kecil lainnya. Program seperti ‘ps’ & ‘netstat’ di buat trojan (ingat cerita kuda troya? dalam cerita klasik yunani kuno) untuk menyembunyikan proses scanning. Bagi cracker yang cukup advanced dapat mengunakan aggressive-SNMP scanning untuk men-scan peralatan dengan SNMP. Setelah cracker berhasil mengidentifikasi komponen jaringan yang lemah dan bisa di taklukan, maka cracker akan menjalan program untuk menaklukan program daemon yang lemah di server. Program daemon adalah program di server yang biasanya berjalan di belakang layar (sebagai daemon / setan). Keberhasilan menaklukan program daemon ini akan memungkinkan seorang Cracker untuk memperoleh akses sebagai ‘root’ (administrator tertinggi di server). Untuk menghilangkan jejak, seorang cracker biasanya melakukan operasi pembersihan ‘clean-up’ operation dengan cara membersihkan berbagai log file. Dan menambahkan program untuk masuk dari pintu belakang ‘backdooring’. Mengganti file .rhosts di /usr/bin untuk memudahkan akses ke mesin yang di taklukan melalui rsh & csh. Selanjutnya seorang cracker dapat menggunakan mesin yang sudah ditaklukan untuk kepentingannya sendiri, misalnya mengambil informasi sensitif yang seharusnya tidak dibacanya; mengcracking mesin lain dengan melompat dari mesin yang di taklukan; memasang sniffer untuk melihat / mencatat berbagai trafik / komunikasi yang lewat; bahkan bisa mematikan sistem / jaringan dengan cara menjalankan perintah ‘rm -rf / &’. Yang terakhir akan sangat fatal akibatnya karena sistem akan hancur sama sekali, terutama jika semua software di letakan di harddisk. Proses re-install seluruh sistem harus di lakukan, akan memusingkan jika hal ini dilakukan di mesin-mesin yang menjalankan misi kritis. Oleh karena itu semua mesin & router yang menjalankan misi kritis sebaiknya selalu di periksa keamanannya & di patch oleh software yang lebih baru. Backup menjadi penting sekali terutama pada mesin-mesin yang menjalankan misi kritis supaya terselamatkan dari ulah cracker yang men-disable sistem dengan ‘rm -rf /ealing the Network; How to Own the Box ( Syngress-2003).pdf 4.58megs htthe Exploits of Hackers Intruders and Deceivers (Wiley- Feb 2005).pdf 3.06megs http://rapidshare.de/files/985113/The_Art_of_Intrusion.pdf.html JThe Complete History of Hacking.pdf 135kbs http://rapidshare.de/files/2394847/The_Complete_History_of_Hacking.pdf..html JTricks of the Internet Gurus (April 1999).pdf 5.66megs http://rapidshare.de/files/2394924/Tricks_of_the_I-_Windows_XP_Hacks.chm.html <<>> Untuk menjadi seorang Hacker harus mempelajari tentang Networking, Programming, dan System Operasi, Internet.. JNetworking dimulai dari Pengetahuan dasar jaringan (konsep TCP/IP), komponen dasar jaringan, dan Topologi jaringan. Lebih lengkapnya datengin aza di www.ilmukomputer.com JProgramming yang terpenting ialah mempelajari ‘logika’ pemrograman, jadi lebih kerarah pemanfaatan logika, ada baiknya belajar algoritma, pengenalan flowchart atau bagan alur untuk melatih logika (teoritis) serta untuk prakteknya disarankan belajar pemrograman yang masih menomorsatukan logika/murni. Bahasa pemrograman yang harus dipelajari ialah seperti C, Perl, Phyton, Pascal, C++. Untuk memulai programming ialah kumpulkan semua documentasi, manual, how to …, FAQ, buku, dan xample”. Kemudian cari dan Install Software yang dibutuhkan. Jangan sekali-kali menggunakan program language seperti VisualBasic, atou Delphi karena tidak portable. Belum ada implementasi open-source dari bahasa-bahasa ini, jadi kamu akan terkurung di platform yang dipilih oleh Vendor (remember yach …menerima situasi monopoli seperti itu bukanlah cara HaCk3R) wajib juga mempelajari pemrogramman web karena dunia internet ialah dunia kamu, program language yang harus dipelajari bagi junior ialah mulai dari HTML sampe’ ke PHP. JSystem Operasi wajib dikuasai karena itu merupakan lingkungan kamu nantinya, perdalam cara kerja suatu operating system, kenali dan akrabkan diri. Operating system yang diperdalam ialah Linux atou BSD karena mereka bersifat “open source”. Buat pemula sebaiknya gunakan Linux karena baik system installasinya dan Graphical User Interfacenya lebih memudahkan kamu. Disarankan memakai distro Mandrake atou redhat. Menjadi seorang hacker yang bener-bener Profesional membutuhkan waktu tapi tergantung orangnya juga kalo orangnya bener-bener punya niat pengen jadi Hacker dan teruz mempelajari ilmu-ilmu Hacker dengan rajin, teliti, cepet, punya kemauan, so mungkin bbakal jadi seorang Hacker sejati dalam jangka waktu dua atou tiga bulan. Berbagi Add comment August 30th, 2008 isi isu hacker ini adalah blog yg m’bahas ttg isu keamanan diinternet? carding,cracking,phreaking,n phising Berbagi Add comment August 30th, 2008 GOOGLE HACK GoogleHack1 (Wednesday, 12 July 2006) - Kontribusi dari Webmaster - Terakhir diperbaharui () Saya yakin, semua dari kita pernah mencari sesuatu di www.google.comGoogle adalah mesin pencari di internet seperti yahoo, altavista dll.Berdasarkan apa yang saya rasakan dari sekian mesin pencari yang ada, google adalah yang paling pinter dan banyak membantu saya dalam beberapa hal.Mau tahu kepinteran bli google ini….??????Mari kita bahas setelah minum kopi hangat ini :)Maklum, lagi nggak enak badan Oks, mari kita mulai lagi Dalam tulisan ini saya coba menyampaikan option pencarian dalam google Option/kunci tersebut : 1. sesifik kata dan tipe file Dengan option ini kita dapat mencari file file atau kata kata yang kita masukan sebagai kunci. misal kita mau mencari file dengan type mdb, kita gunakan sebagai key : Filetype:mdb 2. Inurl Dengan option ini kita dapat mencari url url dengan domain tertentu misal kita mau mencari seluruh url dengan domain go.id yang mempunyai file login.asp kita gunakan key allinurl:.go.id/login.asp 3. Index of Option ini dapat membantu kita dalam mencari direktori index suatu halaman web. misal kita mencari direktori index dari cgi-bin kita gunakan key “Index of /cgi-bin” 4. Site Option site ini sangat membatu kita untuk mencari site site dengan top domain tertentu misal kita mau memcari site site dengan top domain id, kita gunakan key : site:.id 5. Intitle Option intitle ini dapat membantu kita mencari dokumen html dengan title tertentu misal kita mau mencari dokumen html dengan title belog, kita gunakan key : intitle:belog 6. Link Mungkin option ini yang paling banyak kita gunakan, option ini digunakan untuk mencari link link tertentu misal kita mau mencari link tentang Hacking Exposed Third Edition, kita gunakan key “Hacking Exposed Third Edition” Dari beberapa option diatas sebenarnya dapat kita kombinasikan sesuai dengan kebutuhan kita misal saya ambil contoh : kita tahu tentang exploit dari phpproject misalnya, maka untuk mencari target bisa kita gunakan key : “Powered by PHPProject” Contoh lain, misal kita mau mencari informasi password pada forum forum tertentu, maka sebagai key : allinurl:wwwboard/passwd.txt Dengan key diatas kita akan mendapatkan file passwd.txt yang tentunya sudah di enkripsi, tinggal kita deskripsi Contoh lain misalnya kita mau mencari site site yang mengandung hacking, phreaking, creaking kita cukup menggunakan kunci : +hacking +phreaking +creaking Oks, demikian dulu, saya harap tulisan ini hanya sebagai bahan untuk belajar dan bukan digunakan sebagai sarana untuk merusak jika ada yang menggunakan untuk merusak, bukan menjadi tanggungan penulis. nb : beberapa istilah diambil dari buku “Hacking Exposed Third Edition”

0 komentar:

Poskan Komentar

Social Icons

Note

Semoga Bermanfaat