Mr. Smith: Hello?
Caller: Hello, Mr. Smith. This is Fred Jones in tech support. Due to some disk space constraints, we’re going to be moving some user’s home directories to another disk at 8:00 this evening. Your account will be part of this move, and will be unavailable temporarily.
Mr. Smith: Uh, okay. I’ll be home by then, anyway.
Caller: Good. Be sure to log off before you leave. I just need to check a couple of things. What was your username again, smith?
Mr. Smith: Yes. It’s smith. None of my files will be lost in the move, will they?
Caller: No sir. But I’ll check your account just to make sure. What was the password on that account, so I can get in to check your files?
Mr. Smith: My password is tuesday, in lower case letters.
Caller: Okay, Mr. Smith, thank you for your help. I’ll make sure to check your account and verify all the files are there.
Mr. Smith: Thank You. Bye.[1]
——————————————————————
Percakapan diatas hanyalah sebuah contoh bagaimana seseorang bisa dengan mudah memperoleh informasi yang sangat penting (baca: berharga) yang seharusnya tidak diinformasikan kepada orang lain. Dengan memanfaatkan kelemahan sisi sosial dari manusia, seseorang yang tidak mahir dalam bidang teknis komputer pun bisa saja mendapatkan informasi login dan password suatu account. Security Issue ini terkait dengan apa yang disebut Social Engineering.
Twitter confidential corporate documents stolen by hacker..!![2]
Terlepas dari contoh percakapan diatas… Seorang hacker berkebangsaan perancis yang menyebut dirinya “Hacker Croll” memanfaatkan social engineering issue yang akhirnya berhasil mencuri data-data dari email account pribadi dari beberapa karyawan Twitter, termasuk data milik co-founder Twitter, Evan Williams. Akibatnya, dia juga memperoleh akses ke account salah satu karyawan Google Apps, dari sini kemudian ia mendapatkan ratusan dokumen rahasia perusahaan yang akhirnya bocor ke media, mulai dari catatan pertemuan eksekutif, surat-surat perjanjian dan catatan keuangan, kalender dan log telepon dari beberapa karyawan twitter.
Dokumen-dokumen yang berasal dari Google Apps, menimbulkan spekulasi bahwa terdapat celah-celah keamanan dalam aplikasi Google yang harus disalahkan. Namun, co-Founder Twitter Biz Stone menepis rumor itu dan menjelaskan bahwa insiden itu terkait dengan peristiwa hacking dari email seorang karyawan perusahaan sekitar bulan Juni tahun 2009. “We believe the hacker was able to gain information which allowed access to this employee’s Google Apps account which contained Docs, Calendars, and other Google Apps Twitter relies on for sharing notes, spreadsheets, ideas, financial details and more within the company.” Kata Stone di blog resmi Twitter.
TechCrunch, telah mewawancarai seseorang yang bertanggung jawab atas kejadian ini. Si “Hacker Croll”, ia menjelaskan bagaimana ia menggunakan social engineering untuk mendapatkan akses ke sejumlah besar data rahasia.
Semuanya dimulai dengan beberapa penelitian yang memakan waktu. Si hacker membangun profil Twitter sebagai sebuah perusahaan dan karyawan dari informasi yang tersedia secara bebas di Internet. Semakin profil ini bertambah besar dan lebih besar, data itu benar-benar membuatnya lebih mudah untuk mencari dan menemukan informasi lebih rinci mengenai individu, seperti pribadi mereka, alamat email, pekerjaan, hari ulang tahun, nama orang tua, nama binatang peliharaan, dsb.
Setelah memetakan semua info ini, Croll mencoba untuk menemukan titik lemah. Dimulai dari data pribadi account Gmail seorang karyawan. Kemudian memeriksa fitur reset password email orang tersebut, Google akan mengatakan bahwa instruksi reset password akan dikirim ke email sekunder, Google juga mencoba untuk membantu user dengan memperlihatkan email sekunder user dengan menampilkan isyarat visual: ******@h ******. com.
Dari petunjuk sederhana tersebut, sangat sepele bagi kebanyakan orang untuk menyadari bahwa alamat sekunder itu adalah alamat email yang berada pada domain hotmail.com dan bahkan lebih mudah bagi Hacker Croll untuk menentukan nama account, dengan asumsi bahwa orang-orang cenderung menggunakan nama pengguna yang sama untuk berbagai layanan yang berbeda, khususnya email. Hal berikutnya yang dia perhatikan adalah bahwa account Hotmail dalam keadaan tidak aktif, sebuah “fitur” yang ada di Hotmail.
Hal ini memungkinkan dia untuk mendaftar ulang account Hotmail, kemudian masuk ke email Hotmail untuk mereset password Gmail dan mendapatkan konfirmasi ulang link unik yang dikirimkan pada secondary email untuk konfirmasi reset password. Kini semua di bawah kekuasaannya. Begitu ia masuk ke account Gmail, Croll bahkan melangkah lebih jauh dan mencari pesan konfirmasi pendaftaran dari layanan lain.
Hal ini membantunya menentukan password yang kemungkinan besar digunakan oleh karyawan Twitter di Gmail sebelum dia reset, sekali lagi dengan mengasumsikan bahwa orang-orang menggunakan password yang sama di beberapa account. Dia kemudian menunggu untuk melihat apakah ia benar dan, tak lama setelah itu, ia melihat aktivitas di account Gmail. Ini berarti dia sekarang memiliki akses ke e-mail tanpa diketahui oleh pemiliknya.
Dengan menjelajahi pesan-pesan yang lebih lama, Croll mampu memperluas peta informasi tentang data-data personal perusahaan lain. Memanfaatkan data baru ini, ia akhirnya memiliki akses ke Gmail, Google Apps, AT & T, Amazon, PayPal, iTunes, MobileMe dan GoDaddy. Termasuk account berbagai karyawan Twitter, termasuk pendirinya Evan Williams dan Biz Stone.
Dari kasus diatas, bisa diketahui bahwa dalam mendapatkan akses dokumen-dokumen berharga dari Twitter si “Hacker Croll” tidak menggunakan tool-tool hacking atau memanfaatkan celah-celah keamanan yang ada pada suatu perangkat lunak yang ada di Twitter, melainkan dia dengan “sabar” mendapatkan informasi-informasi user di Twitter yang bergabung dengan profile jebakan yang telah dibuatnya. Selain itu juga bisa dilihat dari teknik “guessing” yang dipakainya untuk mendapatkan informasi login dari sebuah user yang mana password dan username sebelumnya telah ia dapatkan. Cara-cara seperti ini lebih terkait dengan Social Engineering Security Issue.
Belajar dari kasus diatas, menurut saya ada beberapa cara[3] yang bisa dilakukan oleh seorang pengguna situs jejaring sosial (Social Networking) untuk menghindari terjadinya illegal access antara lain:
- Pikirkan apa yang akan ditambahkan; menerima permintaan yang disediakan oleh teman baru dengan akses posting, foto, pesan dan informasi latar belakang tentang pribadi Anda. Perhatikan daftar teman dan pikirkan kembali siapa yang berhak mengakses barang pribadi anda.
- Cek pengaturan privasi. Facebook baru-baru ini melakukan pembaruan, mengatur privasi dari awal bisa sangat berarti.
- Alasan berada di Facebook. Apakah berbagi foto? Tetap berhubungan dengan orang lain? Berbagi link dan pembaruan aktivitas? Tanyakan diri sendiri apa yang ingin diperoleh dengan profil pribadi. Dengan demikian akan lebih memangkas informasi pribadi yang ada di publik.
- Cerdas tentang password. coba untuk tidak menggunakan password yang sama untuk seluruh akun. Pikirkan tipe pertanyaan keamanan yang dipasang dan di mana akan mengirim pembaruan tersebut.
- Waspada penggunaan komputer. Ketika masuk ke dalam suatu akun dari komputer yang berbeda-beda, periksa bahwa komputer tersebut tidak menyimpan alamat email ataupun password.
- Hati-hati dengan yang dikatakan. Sekali pembaruan status dan komentar diposting, setiap orang dapat melihat, menduplikasi dan memposting kembali di mana pun dan kapan pun. Apakah Anda ingin orang lain tahu bahwa Anda akan di rumah sendirian malam ini atau pergi liburan pekan depan?.
- Perhatikan serangan phising. Banyak usaha yang dilakukan untuk memperoleh log-in pengguna dan password dengan cara menipu pengguna dengan email Facebook palsu. Jangan pernah mengidahkan link email yang meminta untuk me-reset password. Kalau perlu untuk me-reset langsung saja ke halaman Facebook.
- Ambil langkah segera. Jika teman-teman mulai menerima spam atau pembaruan status yang muncul tetapi tidak dibuat oleh pengguna sendiri maka akun tersebut kemungkinan tersusupi. Segera lakukan perubahan password. Jika tidak bisa masuk ke akun pribadi, segera pergi ke link Help di bagian bawah Facebook dan klik Security untuk memberitahu Facebook.
- Lindungi perangkat mobile. Banyak ponsel yang memiliki akses langsung ke situs jejaring sosial, termasuk Facebook. Waspada terhadap siapapun yang mengakses ponsel dan pastikan akun yang dimiliki sudah log-out.
- Monitor aktivitas mencurigakan. Awasi aktivitas mencurigakan di dinding Anda, jejak berita dan kotak masuk Facebook. Jangan pernah mengklik link mencurigakan. Lihat lebih dekat, jika link yang dimaksud tidak otentik, jangan pernah mengkliknya.
- Dari kasus diatas juga bisa disimpulkan bahwa masalah klasik penggunaan kata sandi/nama user yang sama untuk layanan yang berbeda dapat menimbulkan ancaman keamanan yang besar. Jika saja si korban pada kasus diatas tidak menggunakan nama user yang sama pada account hotmail-nya, maka kejadian diatas mungkin saja tidak terjadi, karena si “Hacker Croll” akan kesulitan mendapatkan account email secondary (baca:Hotmail) yang digunakan Google untuk mengirim link unik untuk mereset password email. IMHO
Anymore, guys…?? Your contribution would be useful :^)
References:
[1] Melissa Guenther, LLC. 2001. Social Engineering – Security Awareness Series
[2] http://news.softpedia.com/news/Social-Engineering-Used-to-Compromise-Twitter-117172.shtml
[3] http://www.inilah.com/news/read/teknologi/2010/02/16/348072/10-tips-tetap-aman-di-facebook/