Footprinting – Intelejen Awal Hacking

Onno W. Purbo

Teknik paling awal sekali yang harus dilakukan oleh seorang hacker sebelum serangan di lakukan adalah melakukan proses footprinting, atau dalam bahasa keren-nya intelejen awal tentang segala sesuatu yang berkaitan dengan target yang dituju. Dengan cara ini seorang penyerang akan memperoleh profile / postur keamanan yang lengkap dari organisasi / jaringan yang akan di serang.

Pada dasarnya ada empat (4) langkah utama yang biasanya dilakukan untuk melakukan intelejen awal untuk melihat scope & situasi target sasaran. Langkah ini dikenal sebagai footprinting, yaitu:

Step 1: Menentukan Scope Aktifitas / Serangan.

Step 2: Network Enumeration.

Step 3: Interogasi DNS (domain name).

Step 4: Mengintai Jaringan.

1. Menentukan Scope Aktifitas / Serangan

Pada tahapan 1 ini, kita perlu memperoleh sebanyak mungkin informasi yang berkaitan dengan lokasi, anak-anak perusahaan, berita merger / akusisi, nomor telepon, kontak person & e-mail address mereka, masalah privasi & kebijakan keamanan yang di terapkan, link ke berbagai situs Web lain yang berhubungan. Cara yang biasa dipakai ada cukup banyak, misalnya, menggunakan wget (Linux) atau Teleport Pro & mengcopy / me-mirror seluruh Web untuk di analisis. Lihat di dekat kode-kode “<”, “!” , “-“ di file HTML untuk informasi yang anda butuhkan. Coba monitoring berbagai mailing list & lihat posting yang berasal dari @target-anda.com.

Bagi sistem administrator yang ingin melawan hal ini, ada baiknya membaca-baca RFC 2196 Site Security Handbook yang bisa di download dari http://www.ietf.org/rfc/rfc2196.txt.

2. Network Enumeration.

Network enumeration dilakukan untuk melihat domain yang digunakan oleh sebuah organisasi. Seni mencari informasi tsb cukup seru, terutama untuk mengetahui domain yang digunakan oleh sebuah perusahaan, contoh-nya Telkom – mereka menggunakan telkom.net.id, telkom.co.id, telkom.go.id, telkom.net hmm bagaimana mengetahui sekian banyak domain & Point of Contact (PoC)-nya? Biasanya kita menggunakan software whois untuk membuka berbagai informasi yang berkaitan dengan registrar, organisasi, domain, network & point of contact. Software whois biasanya ada di Linux. Bahaya latent, jika registrar domain tidak berhati-hati bisa jadi terjadi pencurian domain (domain hijack) dengan cara menyaru sebagai point of contact dan memindahkan domain tsb ke tangan orang lain.

3. Interogasi DNS (domain name).

Setelah kita mengetahui domain yang berkaitan dengan organisasi sasaran, selanjutnya kita perlu mencek hubungan alamat IP (IP address) & domain / hostname yang digunakan. Cara paling sederhana adalah melakukan interogasi Domain Name System (DNS). Beberapa software yang biasanya digunakan untuk melakukan interogasi DNS tersedia secara mudah di Linux, seperti nslookup, dig, host yang dapat secara sepesifik menginterogasi Name Server (NS), Mail Exchanger (MX), Host Info (HINFO) maupun semua informasi yang ada dengan parameter ANY.

Proses yang paling cepat untuk memperoleh semua informasi yang dibutuhkan adalah dengan menggunakan zone transfer di DNS. Jika operator DNS-nya tidak pandai, kita dapat melakukan zone transfer DNS dengan mudah menggunakan perintah “host –l –v –t any target-domain.com”.

Bagi para system administrator, ada baiknya berhati-hati dengan adanya kemungkinan penyerang yang akan menginterogasi DNS anda. Setting zone transfer ke secondary server / query DNS harus dibatasi & dijaga melalui xfernets directive di named (BIND 8.0). Jika ada baiknya di firewall semua hubungan inbound TCP pada port 53; hanya hubungan UDP port 53 yang diijinkan.

4. Mengintai Jaringan.

Setelah mengetahui daftar alamat IP (IP address) dari berbagai host yang ada di target anda. Langkah selanjutnya adalah memetakan topologi jaringan, baik yang menuju ke target sasaran maupun konfigurasi internal jaringan target. Biasanya kita mengunakan software seperti traceroute (Linux / UNIX) atau tracert (Windows) untuk melakukan pemetaan jaringan. Yang paling seru adalah bagaimana melakukan traceroute untuk menembus pertahanan firewall; kadang dapat di tembus dengan mengirimkan paket traceroute pada port UDP 53 (DNS query), misalnya melalui perintah traceroute –S –p53.

Bagi system administrator, teknik Intrusion Detection menjadi penting untuk dikuasai untuk menjaga adanya penyerang yang masuk dan melakukan pemetaan jaringan internal kita. Salah satu program Intrusion Detection yang gratis & baik adalah http://www.snort.org yang dibuat oleh Marty Roesch.

Mudah-mudahan tulisan sederhana ini, dapat memberikan inspirasi bagi para penyerang maupun para sistem administrator dalam menangkal intelejen yang dilakukan para penyerang di Internet.