Ketika Teknologi Menjadi Tak Berdaya - eBizzAsia Mei 2005
Volume III No 26 - Mei 2005
Social Engineering
Ketika Teknologi Menjadi Tak Berdaya Ada banyak cara orang menembus keamanan sistem informasi perusahaan, salah satu yang dianggap paling potensial, adalah social engineering . Apa dan bagaimana mengantisipasinya?
Beberapa tahun lalu, ada sekelompok orang yang berhasil menyusup ke dalam sebuah perusahaan perkapalan besar di AS dan keluar sambil membawa kunci untuk masuk ke seluruh jaringan komputer perusahaan. Bagaimana mereka melakukannya? Dengan mendapatkan sejumlah kecil data akses, yang dikumpulkan bit demi bit , dari sejumlah karyawan di perusahaan itu. Pertama, mereka mempelajari perusahaan itu selama dua hari penuh sebelum berupaya menjejakkan kakinya di perusahaan itu. Mereka mendapatkan seluruh data nama karyawan kunci dengan menghubungi bagian human resource . Kemudian, mereka berpura-pura kehilangan kunci pass pintu utama, dan dengan sedikit sandiwara mereka berhasil memperdayai seorang karyawan untuk membukakan pintu buat mereka. Melenggang sampai ke secured area di lantai tiga, sekali lagi mereka “kehilangan” ID card -nya, tersenyum pada salah seorang karyawan di lantai tersebut, dan dengan sukarela si karyawan membukakan pintu buat mereka. Para penyusup pun tahu bahwa pejabat CFO perusahaan tengah berada di luar kota , sehingga mereka dengan mudah menyelinap ke dalam ruang kerjanya, dan mendapatkan data keuangan dari komputer si CFO yang tidak terlindungi. Mereka pun mengais sampah-sampah yang dibuang perusahaan, mencari segala jenis dokumen perusahaan “yang tidak digunakan lagi.” Bahkan, mereka meminta bantuan petugas cleaning service untuk memasukkan “sampah-sampah” berharga itu ke dalam plastik dan membawanya ke luar gedung. Upaya mereka tidak berhenti sampai di situ. Mereka mempelajari suara sang CFO, dan mengontak perusahaan melalui telepon dengan berpura-pura sebagai CFO. Dengan gaya yang meyakinkan, mereka pun berhasil mendapatkan password jaringan milik CFO dari pihak perusahaan. Dari situ,
http://www.ebizzasia.com/0326-2005/feat,0326,02.htm (1 of 6)7/30/2005 8:41:35 PM
Ketika Teknologi Menjadi Tak Berdaya - eBizzAsia Mei 2005
mereka menggunakan teknik-teknik hacking untuk mendapatkan akses super-user ke dalam jaringan perusahaan. Kisah ini bukanlah adegan film spionase. Ini merupakan kisah nyata yang diceritakan kembali oleh Kapil Raina, seorang pakar security dari Verisign, mengenai sekelompok konsultan jaringan yang melakukan audit security atas permintaan CFO perusahaan tanpa sepengetahuan karyawan lainnya. Tak secuil pun mereka diberikan petunjuk oleh sang CFO, namun mereka berhasil mendapatkan seluruh akses yang dibutuhkan dengan teknik social engineering .
Lebih berbahaya daripada hacking Istilah social engineering ini sesungguhnya sudah lama didengungkan. Para pakar security mendefinisikan social engineering sebagai “suatu seni dan ilmu untuk membuat orang lain memenuhi keinginan Anda.” Sementara, perusahaan riset Gartner Inc. memberikan definisi yang mungkin sedikit lebih lugas: “memanipulasi orang atau sekelompok orang untuk membobol sistem security sebuah perusahaan atau seorang konsumen.” Para pelakunya dikenal dengan istilah social engineer s, yang tentunya Anda maklum bahwa makna social di sini jauh dari hal-hal yang terkait dengan kegiatan sosial. Alih-alih, para social engineer ini tak lain merupakan para hacker profesional yang memiliki kemampuan lebih untuk menciptakan kondisi psikologis, yang mampu mempengaruhi calon korban untuk memenuhi keinginan mereka. Dalam perkembangannya, teknik-teknik social engineering ini tidak cuma diwujudkan dalam upayaupaya fisik, seperti cerita di atas. Muncul dan berkembang luasnya teknologi Internet, membuat teknik ini juga diterapkan dalam moda komunikasi melalui e-mail maupun IRC ( internet relay chat ). Bahkan, situs-situs blog pun kini kabarnya mulai dimanfaatkan para social engineer sebagai sarana untuk menjalankan misi gelapnya. Social engineering “modern” kini digunakan dalam e-mail spam , phishing , pharming , maupun dalam forum chatting , dengan tujuan untuk mendapatkan informasi-informasi pribadi para korbannya, pencurian identitas maupun sebagai sarana untuk menyebarkan virus, worm , trojan horse , bot atau berbagai malicious code lainnya. Yang justru mengerikan, sifat anonymity yang sangat dimungkinkan dalam rimba maya, seakan membuat tabir penyamaran para social engineer ini semakin sempurna, dan sulit dilacak. Tak pelak, Gartner pun menempatkan social engineering sebagai risiko security terbesar yang dihadapi perusahaan-perusahaan besar maupun pengguna Internet selama sepuluh tahun mendatang. Rich Mogull, research director for information security and risk , Gartner, mengatakan bahwa social engineering menimbulkan masalah lebih besar ketimbang tindakan hacking maupun cracking secara elektronis. “Manusia, pada dasarnya, sukar diprediksi dan rentan terhadap manipulasi dan persuasi. Berbagai penelitian memperlihatkan bahwa http://www.ebizzasia.com/0326-2005/feat,0326,02.htm (2 of 6)7/30/2005 8:41:35 PM
Ketika Teknologi Menjadi Tak Berdaya - eBizzAsia Mei 2005
manusia memiliki sejumlah kecenderungan sifat tertentu, yang dapat dieksploitasi dengan tindakan manipulasi yang terencana,” ujar Mogull.
Para social engineer menggunakan teknik-teknik yang memanfaatkan naluri negatif manusia, seperti rasa takut, keserakahan dan seksualitas untuk memanipulasi seseorang guna membuka informasi (biasanya dengan sukarela) atau memberikan akses terhadap sistem informasi perusahaan. Menurut dia, saat ini, pencurian identitas merupakan masalah utama karena semakin banyak kriminal yang “menemukan kembali trik-trik tipuan gaya lama” dengan memanfaatkan teknologi baru. “Mereka menggunakan social engineering untuk merampas identitas seseorang, apakah itu untuk memetik keuntungan, atau untuk memperoleh informasi lebih jauh mengenai sebuah perusahaan. Hal ini tidak hanya merupakan tindak pelanggaran terhadap perusahaan, tapi juga privasi pribadi seseorang,” tutur Mogull lebih lanjut.
Setan penggoda Contoh mutakhir taktik social engineering yang memanfaatkan rasa khawatir atau takut korbannya adalah modus operandi penyebaran worm Win32.Sober melalui unsolicited e-mail . Tak tanggungtanggung, biro penyelidik federal AS, FBI, dicatut namanya oleh sang penyebar worm. Dalam e-mail tersebut, ‘FBI' seolah-olah menuduh si penerima e-mail telah melakukan tindak kejahatan cyber (cyber crime), dan memintanya untuk menjawab pertanyaan “investigatif” yang diajukan ‘FBI'. Isinya emailnya: “we have logged your IP-address on more than 40 illegal Websites. Important: Please answer our questions! The list of questions are attached.” Tentunya Anda tahu apa isi attachment e-mail tersebut. FBI, dalam rilisnya, yang dikeluarkan pada awal tahun ini, menegaskan bahwa pihaknya tidak akan pernah melakukan praktik pengiriman unsolicited e-mail kepada publik. Ironis, di tengah gencargencarnya upaya FBI untuk melawan internet fraud, para hacker malah memanfaatkan kampanye ini untuk menebarkan worm maupun virus. Para social engineer pun tak jarang memanfaatkan segala sesuatu yang berbau seksual. Masih ingat kasus penyebaran worm berbasis Visual Basic yang memanfaatkan nama petenis cantik asal Rusia, Anna Kournikova? Dengan iming-iming gambar seksi sang petenis, si calon korban digiring untuk mengklik attachment e-mail dengan ekstensi file jpeg.vbs berisi worm tersebut. Meski sudah banyak orang yang waspada, namun toh si penyebar virus yakin bahwa dari sekian banyak orang itu, pasti http://www.ebizzasia.com/0326-2005/feat,0326,02.htm (3 of 6)7/30/2005 8:41:35 PM
Ketika Teknologi Menjadi Tak Berdaya - eBizzAsia Mei 2005
ada yang karena memang berotak ngeres atau karena tidak ketahuannya bakal mengklik attachment tersebut. Yang lebih tidak manusiawi adalah, modusnya memanfaatkan kesusahan orang lain untuk keuntungan diri sendiri. Seperti yang diberitakan ZDNet Australia , Rob Forsyth, managing director Sophos Australia, mengungkapkan beredarnya scam e-mail berbahaya yang mengincar para penganggur atau pencari kerja di Australia. Menurut dia, si calon korban menerima e-mail berisi iklan lowongan pekerjaan yang seolah-olah berasal dari bank Credit Suisse. E-mail tersebut meminta si penerima untuk mengunjungi suatu situs Web yang nyaris merupakan replika dari situs asli Credit Suisse. Bedanya, situs aspal ini berisi sebuah form aplikasi untuk ‘lowongan pekerjaan.' Forsyth mengakui bahwa situs tiruan ini begitu sempurna, yang bahkan para pakar sekalipun membutuhkan waktu cukup lama untuk memastikan bahwa situs ini sesungguhnya palsu. “Kami membutuhkan waktu cukup lama untuk menentukan bahwa situs itu palsu. Sebenarnya tidak ada terobosan baru, hanya saja mereka menggunakan kombinasi teknologi secara cerdas,” ujar Forsyth. “Mereka mengincar orang-orang di masyarakat yang sangat membutuhkan pekerjaan. Orang-orang seperti inilah yang sangat rentan terhadap upaya semacam itu.” Teknik social engineering tak selalu harus muncul dalam bentuk upaya penyusupan secara fisik maupun dengan memanfaatkan teknologi Internet. Seringkali, teknik ini digunakan pada saat yang tak terduga. Terkadang, dari obrolan biasa atau basa-basi pun si social engineer bisa mengorek informasi yang sangat penting. Misalkan saja, seorang social engineer mengontak seorang sales representative sebuah produk tertentu. Setelah menanyakan segala sesuatu mengenai produk yang pura-pura akan dibelinya, si social engineer pun mulai membuka obrolan santai. Mungkin, suatu saat ia melontarkan ucapan seperti ini: “Putra-putri saya pasti akan menyukai produk ini. Saya punya putra berusia dua tahun bernama Tono, dan putri berusia delapan tahun bernama Tini. Omong-omong Anda sudah berputra?” Si sales representative , mungkin dengan dalih melayani pelanggan sebaik-baiknya, otomatis secara ramah menjawab: “Oh ya, saya punya putra usia empat tahun bernama Komeng.” Kelihatannya obrolan ini terkesan tidak berbahaya. Tapi, di perusahaan-perusahaan yang tidak menerapkan kebijakan pembuatan password yang ketat, para karyawannya seringkali menjadikan nama putra-putri mereka sebagai password . Memang, hal semacam ini kesannya untung-untungan saja. Tapi, setidaknya, sang social engineer bisa memperbesar peluangnya untuk mendapatkan satu password yang valid, katakanlah dari seribu berbanding satu menjadi seratus berbanding satu. Dalam hal ini, si social engineer tidak langsung menanyakan password , ataupun hal-hal lain yang terkait dengan sistem komputer. Alih-alih, ia membangun relasi dengan calon korbannya. Kalaupun tidak berhasil mendapatkan password yang diinginkannya, setidaknya ia sudah dapat ‘satu pegangan' yang bisa dimanfaatkan di kemudian hari. Bak setan penggoda, seorang social engineer akan berupaya menyerang korbannya dari depan, belakang, kiri, kanan, atas maupun bawah. Dalam kondisi seperti itu, teknologi terbaik sekalipun http://www.ebizzasia.com/0326-2005/feat,0326,02.htm (4 of 6)7/30/2005 8:41:35 PM
Ketika Teknologi Menjadi Tak Berdaya - eBizzAsia Mei 2005
mungkin tak sanggup memberikan perlindungan yang dibutuhkan. Bahkan Kevin Mitnick, mantan hacker dan seorang social engineer ulung serta penulis buku “The Art of Deception: Controlling the Human Element of Security” , berani mengatakan bahwa percuma saja sebuah perusahaan menghabiskan uang jutaan dolar untuk mendapatkan perangkat keras maupun piranti lunak terbaru untuk melindungi jaringan perusahaan, kalau si penyusup dengan mudah meyakinkan salah seorang karyawan perusahaan untuk membeberkan rincian username dan password log-in -nya. “Sebagai penyerang, saya akan mencari titik terlemah dimana saya dapat memperoleh akses. Suatu program security terdiri atas manusia, proses dan teknologi. Perusahaan Anda bisa saja kuat di salah satu sisi, katakanlah teknologi. Tapi, bisa saja manusianya tidak terlatih untuk mengenali dimana si penjahat akan menyerang. Sang penyerang sudah pasti akan mencari cara termudah untuk masuk,” ujar Mitnick.
Masih bisa diperangi Para social engineer memang terbilang sangat licin dan sulit tertangkap. Namun, bukan berarti mereka tidak mungkin diperangi. “Sesungguhnya semua ini terkait dengan masalah proses bisnis,” tegas Mogull dari Gartner. Dalam hal ini, menurut dia, perusahaan perlu menerapkan proses-proses untuk menekan dampak social engineering , dan selanjutnya, membangun suatu kultur security dan akuntabilitas dalam perusahaan. Mogull mengungkapkan, salah satu cara untuk menguji kultur security perusahaan adalah melakukan kuis sederhana. Pikirkan bagaimana reaksi seorang karyawan ketika seorang tak dikenal masuk ke dalam suatu ruangan kerja yang luas, duduk di salah satu meja kosong, dan mulai mengutak-utik komputer si empunya meja, papar Mogull. Selanjutnya, Anda pun perlu menanyakan tiga hal: pertama , apakah salah satu karyawan Anda mencurigai kejadian ini? Kedua , apakah ada karyawan Anda yang berinisiatif melaporkannya? Ketiga, apakah ada karyawan Anda yang tahu bagaimana dan kepada siapa melaporkan kejadian itu? “Jika Anda merasa tidak yakin kalau karyawan Anda bakal bisa mengambil tindakan terhadap potensi pembobolan keamanan itu, Anda perlu mengambil beberapa tindakan nyata untuk memperbaiki budaya security perusahaan Anda,” ujar Mogull. Langkah pertama, dan tindakan yang paling penting, menurut Mogull adalah mengedukasi pengguna mengenai kebijakan security perusahaan, atau sekurangnya-kurangnya bagian-bagian dari kebijakan yang terkait langsung dengan pekerjaan pengguna. “Anda pun harus meningkatkan kepedulian karyawan Anda mengenai ancaman social engineering itu sendiri,” ujar Mogull. Sependapat dengan Mogull, Mitnick pun menegaskan pentingnya penegakan kebijakan security , yang mencakup pertahanan terhadap teknik-teknik penetrasi yang memanfaatkan social engineering . Bahkan, ia menyarankan agar para karyawan yang memiliki tugas dan fungsi yang berbeda-beda itu dilatih untuk waspada terhadap berbagai jenis serangan. Misalnya, seorang resepsionis kecil kemungkinan menghadapi jenis serangan social engineering sama dengan yang dihadapi para mobile worker maupun seorang satpam. http://www.ebizzasia.com/0326-2005/feat,0326,02.htm (5 of 6)7/30/2005 8:41:35 PM
Ketika Teknologi Menjadi Tak Berdaya - eBizzAsia Mei 2005
Tapi, bukan jaminan suatu organisasi yang memiliki kepedulian yang tinggi sekalipun terbebas dari ancaman para social engineer . Sebagai contoh, pada tahun 1994, seorang hacker Perancis menelepon kantor FBI di Washington, dengan berpura-pura menjadi seseorang dari perwakilan FBI di kedutaan besar AS di Paris. Ia pun berhasil meyakinkan lawan bicaranya untuk menjelaskan bagaiman cara menghubungkan diri dengan sistem phone conferencing milik FBI. Hasilnya, dalam kurun waktu tujuh bulan, ia membuat tagihan telepon FBI membengkak sebesar 250.000 dolar. Intinya, seorang penegak hukum yang terlatih sekalipun bisa dikelabui seorang social engineer ulung. Namun, hingga sejauh ini, kebijakan security yang jelas dan meningkatkan awareness masih merupakan cara terbaik untuk menangkal ancaman social engineering . Yang pasti, seperti yang telah ditegaskan Mitnick, teknologi bukanlah segalanya untuk menghadapi ancaman seperti itu. Teknologi apapun bentuknya masih akan tetap membutuhkan interaksi manusia. Selama titik lemah ada pada manusianya, teknologi secanggih apa pun menjadi tak berdaya menghadapi serbuan para social engineer. aa grafis: gunawan © 2003 - 2005 eBizzAsia. All rights reserved.
http://www.ebizzasia.com/0326-2005/feat,0326,02.htm (6 of 6)7/30/2005 8:41:35 PM
