Kebetulan dari salah satu forum undergound aku nemu deskripsi singkat dari salah satu hacker keren kita yg jelasin bagaimana cara melakukan defacement terhadap satu website. Nah disini yang bersangkutan jelasin pake teknik SQL Injection.
Nah bahasa gaulnya doi kayak gini:
(Om Defacer keren, aku pinjem deksripsi kamu yaa)
Tahapan Defacement SQL İnjection Technique:
- Lw cari jendela gudang tu rumah... [SQLI Vulnerability]
- Masuk kedalam cari kunci pintunya.. [SQL Injection / Blind SQL Injection]
- Cari Dos penyimpanan kunci rumah [Admin tables / user tables]
- Nah dapat kuncinya, cek dulu, kuncinya ad nomornya enggak.. [ Hash / Plaintext ]. Lw dapat kunci yang ga ad nomornya.. maka tentukan panjang kuncinya [ Panjang Hash 32 = MD5 / Panjang Hash 128 = SHA1 etc]
- MD5 yah?? nah kita pergi ke tukang kunci d tokonya (web) [Hash Cracker]
- Si tukang kunci udah temuin nomornya... [Hash Cracked]
- Kembali kerumah korban [Target]
- Cari pintu masuk ke pusat kontrol rumah tersebut [Admin Page]
- Nah di pintu itu ad lubang kunci dan tempat input nomor [Username / Password]
- Masukin nah cocok... [ web owned ]
Lo udah masuk di dalam.. nah mw ngapain?? Deface?? ya udah d situ ad tempat penulisan berita.. lw ganti aj berita palsu itu udah d namain deface.
Gak seru ya?? mau yang lebih?? mau ganti tampilan seluruh Web??
- Nah lw cari garasi rumah tersebut... [tempat Upload file]
- Lw telpon teman lw suru bawain perlengkapan Bongkar Rumah [WebShell]
- Dan jangan lupa sekotak kaleng cat dan pilox buat defaced [ POC a.k.a HTML bikinan low buat deface.. ]
- Teman lw dah datang... bawa truk FUSO *whatever
- Nah lo kembali lewat pintu depan rumah [Kunjungi Web]
- Tapi alamat [url] web di tambahin alamat tempat teman lw naruh perlengkapan bongkar rumah
- Oke lw dah masuk webshell loe.. dari perlengkapan itu lo ambil Pilox lw dan taruh d ruang utama rumah [webroot].. [upload] [index.php/default.aspx/index.html]
- Ganti cat ruangan utama [index.php] dengan POC loe ...
- udah?? nah coba masukin rumah tersebut secara wajar… tedeng..!!! yang nampil POC loe
Aksi Defacement
Nah sekarang perhatikan, dari deskripsi diatas kawan2 pasti melihat bahwa aksi defacement adalah blackhacking yang merusak (cracking) merubah laman suatu website setelah dapet akses admint. Hal tersebut dapat ditangkap, selain gambaranstep-step dari teknik injection yang dipaparkan si TS termasuk cara doi mengumpamakan kegiatan defacement sama seperti kegiatan pembobolan rumah orang yang sifatnya sudah pasti kriminalitas.
Padahal.. coba perhatikan paragraph dibawah ini.
Disatu sisi ada pendapat yang sampai ke aku dari seorang pakar yang berpengalaman, bahwa defacement bisa jadi adalah salah satu cara yang paling gentle untuk menunjukkan kalau kalian pernah mengakses satu system. Dari situ si sysadmin mengetahui bahwa ada bug di systemnya, kalau hanya sebatas kena crack dia bisa berkilah bahwa yang terjadi adalah system fault karena malu mengakui bahwa systemnya terkena hack. Sebaliknya si Defacer muncul sebagai ‘target’ yang mungkin akan balik dikejar2 korban nya dengan mempelajari log untuk mengetahui teknik sang defacer, si defacer dituntut untuk semakin inovativ dalam teknik hacking berikutnya dan mampu menutup jejaknya agar tidak terdeteksi korban. Dari ungkapan ini, tidak akan terlihat seolah defacement adalah kriminalitas bukan? Melainkan bagaimana kegiatan defacement menjadi suatu metode untuk menciptakan inovasi dalam hacking computer.
Persoalan lain hari ini, defacement sering diidentikkan dengan pencapaian seorang newbie (script kiddies), dan katanya kalau sudah elite gak lagi demen ngedeface. Sementara itu, tidak sedikit juga dari para hacker berpengalaman dengan skill luarbiasa yang masih melakukan aksi defacement dengan menampilkan teknik-teknik berbeda tentunya yang kemudian membuat terkagum-kagum para newbie, hingga mereka selalu tertarik untuk melakukan defacement.
Nah kalau kalian baca catatan FB ku ‘Refleksi untuk Para Defacer’ atau cerita ku ‘Casper_SPY dan Garuda Defacer’ aku sering mengidentikan defacement sebagai cara para hacktivists untuk menyampaikan aspirasi bukan sebatas showoff dengan pesan ‘hackedbyme’.
Hacking Computer
Sekarang kita mengambil satu kasus lain yaitu banyaknya buku-buku beredar di pasaran yang mendeskripsikan hacking sebagai kegiatan mengakses sistem orang lain tanpa diketahui pemiliknya. Padahal motif dari hacking itu sendiri adalah untuk mengetahui kelemahan suatu sistem, nah gimana caranya kita tahu bahwa satu sistem tidak secure kalau tidak dengan ‘testing’.
Jadi ternyata permasalahannya adalah bukan pada hasil dari suatu aksi melainkan pada motif dari aksi itu sendiri. Kenapa kalian sampai mengakses system orang lain? Lalu sampai melakukan defacement?
Lalu jangan lupa ketika kalian membuat suatu tutorial hacking apakah itu defacement dengan menampilkan POC nya, kalian bertanggungjawab atas seberapa dalam si penikmat tutorial memahami bahwa aksi kalian adalah suatu aksi untuk menciptakan suatu inovasi dalam hacking computer.
Aku juga ingin mengingatkan kepada para penulis tutor atau para penulis buku tentang hacking stuffs, bahwa kalian sesungguhnya terbebani secara moral dalam mencerdaskan anak bangsa dari informasi yang kalian sampaikan untuk proses belajar mereka. Jangan sebatas mengatakan bahwa “segala bentuk penyimpangan bukan tanggungjawab penulis,” kenapa tidak diganti dengan mengingatkan kepada pembaca bahwa “esensi berbagi informasi adalah menebar Ilmu dan manfaatkanlah ilmu-ilmu tersebut untuk kebaikan”…
Semoga kalian dapat menangkap makna tulisan ini, kembalikan lah 'image hacker' dan makna 'hacking computer' kepada yang seharusnya...
Bahwa HACKER adalah para INOVATOR dalam aksi-aksi mereka!!!!
Baca konten-konten menarik Kompasiana langsung dari smartphone kamu. Follow channel WhatsApp Kompasiana sekarang di sini: https://whatsapp.com/channel/0029VaYjYaL4Spk7WflFYJ2H