Hijacking adalah suatu kegiatan yang berusaha untuk memasuki
[menyusup] ke dalam sistem melalui sistem operasional lainnya yang dijalankan
oleh seseorang [pelaku: Hacker]. Sistem ini dapat berupa server,
jaringan/networking [LAN/WAN], situs web, software atau bahkan kombinasi dari
beberapa sistem tersebut. Namun perbedaanya adalah Hijacker menggunakan bantuan
software atau server robot untuk melakukan aksinya, tujuanya adalah sama dengan
para cracker namun para hijacker melakukan lebih dari para cracker, selain
mengambil data dan informasi pendukung lain, tidak jarang sistem yang dituju
juga diambil alih, atau bahkan dirusak. Dan yang paling sering dilakukan dalam
hijacking adalah Session Hijacking.
Pengertian Session Hijacking
Session hijacking merupakan aksi pengambilan kendali session
milik user lain setelah sebelumnya “pembajak” berhasil memperoleh autentifikasi
ID session yang biasanya tersimpan dalam cookies. Session hijacking menggunakan
metode Capture, Brute Forced atau Reserve Enggineered guna memperoleh ID
Session, yang untuk selanjutanya pembajak memegang kendali atas session yang
dimiliki oleh user lain tersebut selama session berlangsung.
Pengertian Cookies
Cookies merupakan file data yang ditulis ke dalam hard disk
komputer user / klien yang biasanya dilakukan oleh web server guna kepentingan
mengidentifikasikan user pada situs tersebut sehingga sewaktu user kembali
mengunjugi situs tersebut, situs itu akan dapat segera mengenalinya. Jadi dapat
dikatakan bahwa cookies merupakan semacam ID card user saat koneksi pada
situs-situs aktif melalui internet.Saat user mengunjungi situs yang ada
cookiesnya, server akan mencari informasi yang dibuat sebelumnya dan browser
membaca informasi di cookies dan menampilkannya.
Cara penggunaan cookies yang tidak baik juga dapat
mengakibatkan terjadinya SQL injection yang tidak perlu. Hal ini biasanya
terjadi jika user menggunakan cookies untuk mengakses web page tertentu, dimana
cookies tersebut dikirim sebagai parameter pada URL tanpa melalui proses
enksipsi terlebih dahulu. Untuk keperluan bisnis, seperti situs
amazon.com,e-bay.com, gramedia.com, cikalmart.com dan situs – situs yang
berbasis e-commerce lainnya banyak menggunakan fasilitas cookies yang tujuannya
dapat membantu menghubungkan data pembelian yang terdahulu ke basis data yang
berisi unique ID misalnya nomor kartu kredit yang digunakan oleh pengunjung
yang sudah menjadi member dan akan melakukan belanja online dan historikal
pembelian. Sehingga mampu merekomendasikan barang atau produk yang ditawarkan
dan yang sesuai dengan kebutuhan serta selera user.
Ini merupakan hal yang menarik, sehingga pembeli akan dengan
senang hati untuk kembali ke situs e- commerce yang ada melalui internet.
Situs-situs lain juga menggunakan cookies untuk mengetahui berapa orang yang
mengakses mereka setiap harinya. Sehingga angka yang dihasilkan oleh cookies
tersebut menunjukkan seberapa sibuknya situs mereka. Ada beberapa cara yang
dilakukan untuk dapat mengatasi dan memblok cookies, dimana pada masing-masing
browser, baik Netscape maupun IE dapat diatur untuk enable maupun disable
cookies. Misalnya IE, dapat diatur pada bagian Internet Options | Security.
HTTP merupakan protokol yang stateless, sehingga perancang
aplikasi mengembangkan suatu cara untuk menelusuri suatu state diantara
user-user yang koneksi secara multiple. Aplikasi menggunakan session untuk
menyimpan parameter-parameter yang relevan terhadap user. Session akan terus
ada pada server selama user masih aktif / terkoneksi. Session akan otomatis
dihapus jika user logout atau melampaui batas waktu koneksi. Karena sifatnya
ini, session dapat dimanfaatkan oleh seorang hacker untuk melakukan session
hijacking.
Istilah sesi pembajakan (session hijacking) umumnya
digunakan untuk menggambarkan proses sebuah koneksi TCP yang diambil alih oleh
sebuah rangkaian serangan yang sudah dapat diprediksi sebelumnya. Pada serangan
seperti itu, penyerang memperoleh kendali melalui koneksi TCP yang sudah ada.
Bila diterapkan pada keamanan aplikasi web, session hijacking mengacu pada
pengambilalihan sebuah session aplikasi web.
Aspek-aspek ketidakamanan (serangan) yang sering terjadi
antara lain :
1. Interruption
Suatu asset yang ada pada suatu sistem diserang sehingga
menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya
adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan.
2. Interception
Suatu pihak yang tidak berwenang mendapatkan akses pada
suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang
lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
3. Modification
Suatu pihak yang tidak berwenang dapat melakukan perubahan
terhadap suatu aset. Contohnya adalah perubahan nilai pada file data,
modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi
pesan yang sedang ditransmisikan dalam jaringan.
Istilah sesi pembajakan (session hijacking) umumnya
digunakan untuk menggambarkan proses sebuah koneksi TCP yang diambil alih oleh
sebuah rangkaian serangan yang sudah dapat diprediksi sebelumnya. Pada serangan
seperti itu, penyerang memperoleh kendali melalui koneksi TCP yang sudah ada.
Bila diterapkan pada keamanan aplikasi web, session hijacking mengacu pada
pengambilalihan sebuah session aplikasi web.
Dibuatkan sebuah ilustrasi berikut ini untuk mengetahui
bagaimana session hijacking dapat dilakukan, sehingga sejauh mana kelemahan
dari situs web yang kita gunakan untuk melakukan komunikasi atau bertukar data.
Pada waktu itu Fauziah berkenalan dengan Akbar melalui media internet yaitu
aplikasi chatting online. Keduanya saling bertukar informasi mengenai proses
bisnis yang mereka jalankan selama ini. Melalui email, Akbar ingin mengajak
Fauziah untuk melakukan pertemuan secara langsung untuk membahas semua rencana
bisnis yang akan mereka jalankan, akhirnya tiba waktunya mereka bertemu, tapi
pada kenyataannya Akbar tidak muncul, nah Fauziah berpendapat apakah chatting
online dan e-mail yang dia kirim tidak pernah sampai atau telah dilakukan
session hijacking oleh orang yang tidak bertanggung jawab? Ternyata e-mail
Fauziah telah dilakukan pembajakan oleh orang yang tidak bertanggung jawab
dengan cara membukanya melalui layanan eWebMail yang menggunakan java servlet.
Langkah yang dilakukan adalah menuju ke halaman cookie pal.
Cookie Pal adalah aplikasi shareware yang tersedia pada
http://www.kbura.net/. Digunakan untuk memonitor dan mengontrol cookie yang
dikirim oleh situs web pada suatu browser. Pada kotak pop-up itu terlihat bahwa
eWebMail mengirimkan cookie string yang panjang, dengan nama “uid” . Nilai
“uid” sepertinya di-encode dalam heksadesimal. Cookie ini menarik untuk
disimak, mengingat bahwa seringkali aplikasi web menggunakan cookie untuk
melewatkan session identifier selama berinteraksi dengan web. Mungkin cookie
ini juga semacam session identifier dari eWebMail. Langkah selanjutnya adalah
membersihkan browser dari semua cookie dan login ke eWebMail
sebagaifauziah_z2@ewebmailexample.com. Cookie “uid” di-set, dan segera kita
dapat melihat halaman inbox yang ternyata memiliki satu buah pesan email. Email
ini berasal dari service eWebMail.
Berikut adalah gambar dari ilustrasi tersebut :
Cara Pencegahan Yang Dapat Dilakukan
a. Dengan Cookie
Cookie ditangani melalui browser. Browser mengirimkan cookie
yang diperlukan ke web server bersama denganrequest HTTP jika sebelumnya ada
cookie yang diterima dari server yang sama. Browser terkenal, seperti Netscape,
Internet Explorer, dan Opera menangani cookie secara baik. Cookie lebih
menguntungkan daripada field tersebunyi.
Field tersebunyi selalu memerlukan halaman form HTML untuk
dikirim kembali ke server, sedangkan cookie tidak memerlukan form HTML
apapun.Segi kerugiannya adalah kebanyakan situs menggunakan cookie untuk
melacak tingkah laku user. Situs yang menampilkan banner iklan diketahui
melanggar privacy user dengan cara mengumpulkan informasi tentang user secara
berlebihan melalui pelacakan aktivitas user via cookie dan acuan-acuan HTTP.
Sayangnya, browser tidak memiliki mekanisme built-in yang memadai untuk secara
selektif hanya memilih cookie-cookie tertentu saja. Untuk maksud ini program
seperti Cookie Pal dapat digunakan sebagai alat bantu.
b. Dengan Field
Tersembunyi
Field tersembunyi di dalam form HTML dapat juga digunakan
untuk mengirimkan dan mengembalikan informasi antara browser dan web server.
Keuntungan field tersebunyi dibandingkan cookie adalah field tersebut tetap
dapat bekerja walaupun browser telah diatur untuk meno1.1. Latar Belakang
Masalah
Peniruan identitas yang sengaja dilakukan oleh para pembajak
merupakan usaha dan kemampuan yang dimiliki oleh seseorang untuk mengambil
identitas orang lain dan dapat mengendalikan semua aktifitas atau melakukan
remote oleh para pembajak. Dengan terjadinya Kasus pembajakan ini sudah banyak
masyarakat yang aktif di dunia internet atau jaringan mengalami hal ini lebih
kurang 750.000 – 800.000 orang untuk setiap tahunnya.
Hal itu karena hanya beberapa orang memahami resikonya dan
bahkan sedikit pula yang berusaha mencegah resiko-resiko tersebut. Ketika e-commerce
melebarkan sayapnya, pentingnya berusaha mendapatkan identitas seseorang secara
akurat pada internet menjadi hal yang sangat vital bagi kerahasiaan online
pelanggan dan pelaku bisnis.
2. LANDASAN TEORI
2.1. Pengertian Cookies
Cookies merupakan file data yang ditulis ke dalam hard disk
komputer oleh web server yang digunakan untuk mengidentifikasikan diri user
pada situs tersebut sehingga sewaktu user kembali mengunjungi situs tersebut,
situs itu akan dapat mengenalinya.
Cookies berfungsi untuk :
1. Membantu web
site untuk "mengingat" siapa kita dan mengatur preferences yang
sesuai sehingga apabila user kembali mengunjungi web site tersebut akan
langsung dikenali.
2. Menghilangkan
kebutuhan untuk me-register ulang di web site tersebut saat mengakses lagi
tersebut (site tertentu saja), cookies membantu proses login user ke dalam web
server tersebut.
3. Memungkinkan
web site untuk menelusuri pola web surfing user dan mengetahui situs favorit
yang sering dikunjunginya.
Cookies dapat dibedakan menjadi 2 jenis yaitu :
1. Non persistent
(session) cookies. Suatu cookie yang akan hilang sewaktu user menutup browser
dan biasanya digunakan pada 'shopping carts' di toko belanja online untuk
menelusuri item-item yang dibeli,.
2. Persistent
cookies. Diatur oleh situs-situs portal, banner / media iklan situs dan lainnya
yang ingin tahu ketika user kembali mengunjungi site mereka. (misal dengan cara
memberikan opsi ”Remember Me” saat login). File-file ini tersimpan di hardisk
user.
Kedua tipe cookies ini menyimpan informasi mengenai URL atau
domain name dari situs yang dikunjungi user dan beberapa kode yang
mengindikasikan halaman apa saja yang sudah dikunjungi. Cookies dapat berisi
informasi pribadi user, seperti nama dan alamat email, Akan tetapi dapat juga
user memberikan informasi ke website tersebut melalui proses registrasi. Dengan
kata lain, cookies tidak akan dapat "mencuri" nama dan alamat email
kecuali diberikan oleh user. Namun demikian, ada kode tertentu (malicious code)
yang dibuat misalnya dengan ActiveX control, yang dapat mengambil informasi
dari PC tanpa sepengetahuan user.
Untuk keperluan bisnis, seperti situs amazon.com,e-bay.com,
gramedia.com, cikalmart.com dan situs – situs yang berbasis e-commerce lainnya
banyak menggunakan fasilitas cookies yang tujuannya dapat membantu
menghubungkan data pembelian yang terdahulu ke basis data yang berisi unique ID
misalnya nomor kartu kredit yang digunakan oleh pengunjung yang sudah menjadi
member dan akan melakukan belanja online dan historikal pembelian. Sehingga
mampu merekomendasikan barang atau produk yang ditawarkan dan yang sesuai
dengan kebutuhan serta selera user. Ini merupakan hal yang menarik, sehingga
pembeli akan dengan senang hati untuk kembali ke situs e- commerce yang ada
melalui internet. Situs-situs lain juga menggunakan cookies untuk mengetahui
berapa orang yang mengakses mereka setiap harinya. Sehingga angka yang
dihasilkan oleh cookies tersebut menunjukkan seberapa
sibuknya situs mereka.
Ada beberapa cara yang dilakukan untuk dapat mengatasi dan
memblok cookies, dimana pada masing-masing browser, baik Netscape maupun IE
dapat diatur untuk enable maupun disable cookies. Misalnya IE, dapat diatur
pada bagian Internet Options | Security.
2.2. Pengertian Sesion
Hijacking
Aplikasi menggunakan session untuk menyimpan
parameter-parameter yang relevan terhadap user. Session akan terus ada pada
server selama user masih aktif / terkoneksi. Session akan otomatis dihapus jika
user logout atau melampaui batas waktu koneksi. Karena sifatnya ini, session
dapat dimanfaatkan oleh seorang hacker untuk melakukan session hijacking.
Session Hijacking
Session Hijacking Merupakan aksi pengambilan kendali session
milik user lain setelah sebelumnya “pembajak” berhasil memperoleh autentifikasi
ID session yang biasanya tersimpan dalam cookies. Session hijacking menggunakan
metode captured, brute forced atau reserve enggineered guna memperoleh ID
session, yang untuk selanjutnya memegang kendali atas session yang dimiliki
oleh user lain tersebut selama session berlangsung.
HTTP merupakan protokol yang stateless, sehingga perancang
aplikasi mengembangkan suatu cara untuk menelusuri suatu state diantara
user-user yang koneksi secara multiple. Aplikasi menggunakan session untuk menyimpan
parameter-parameter yang relevan terhadap user. Session akan terus ada pada
server selama user masih aktif / terkoneksi. Session akan otomatis dihapus jika
user logout atau melampaui batas waktu koneksi. Karena sifatnya ini, session
dapat dimanfaatkan oleh seorang hacker untuk melakukan session hijacking.
2.3. Aspek-aspek
ketidakamanan (serangan) yang sering terjadi antara lain
Interruption
Suatu asset yang ada pada suatu sistem diserang sehingga
menjadi tidak tersedia atau tidak dapat dipakai oleh yang berwenang. Contohnya
adalah perusakan/modifikasi terhadap piranti keras atau saluran jaringan.
Interception
Suatu pihak yang tidak berwenang mendapatkan akses pada
suatu aset. Pihak yang dimaksud bisa berupa orang, program, atau sistem yang
lain. Contohnya adalah penyadapan terhadap data dalam suatu jaringan.
Modification
Suatu pihak yang tidak berwenang dapat melakukan perubahan
terhadap suatu aset. Contohnya adalah perubahan nilai pada file data,
modifikasi program sehingga berjalan dengan tidak semestinya, dan modifikasi
pesan yang sedang ditransmisikan dalam jaringan.
3. PEMBAHASAN
Istilah sesi pembajakan (session hijacking) umumnya
digunakan untuk menggambarkan proses sebuah koneksi TCP yang diambil alih oleh
sebuah rangkaian serangan yang sudah dapat diprediksi sebelumnya. Pada serangan
seperti itu, penyerang memperoleh kendali melalui koneksi TCP yang sudah ada.
Bila diterapkan pada keamanan aplikasi web, session hijacking mengacu pada
pengambilalihan sebuah session aplikasi web.
Dibuatkan sebuah ilustrasi berikut ini untuk mengetahui
bagaimana session hijacking dapat dilakukan, sehingga sejauh mana kelemahan
dari situs web yang kita gunakan untuk melakukan komunikasi atau bertukar data.
Pada waktu itu Fauziah berkenalan dengan Akbar melalui media internet yaitu
aplikasi chatting online. Keduanya saling bertukar informasi mengenai proses
bisnis yang mereka jalankan selama ini. Melalui email, Akbar ingin mengajak
Fauziah untuk melakukan pertemuan secara langsung untuk membahas semua rencana
bisnis yang akan mereka jalankan, akhirnya tiba waktunya mereka bertemu, tapi
pada kenyataannya Akbar tidak muncul, nah Fauziah berpendapat apakah chatting
online dan e-mail yang dia kirim tidak pernah sampai atau telah dilakukan
session hijacking oleh orang yang tidak bertanggung jawab? Ternyata e-mail
Fauziah telah dilakukan pembajakan oleh orang yang tidak bertanggung jawab
dengan cara membukanya melalui layanan eWebMail yang menggunakan java servlet.
Langkah yang dilakukan adalah menuju ke halaman cookie pal .
Cookie Pal adalah aplikasi shareware yang tersedia pada
http://www.kbura.net/. Digunakan untuk memonitor dan mengontrol cookie yang
dikirim oleh situs web pada suatu browser. Pada kotak pop-up itu terlihat bahwa
eWebMail mengirimkan cookie string yang panjang, dengan nama “uid” . Nilai
“uid” sepertinya di-encode dalam heksadesimal. Cookie ini menarik untuk
disimak, mengingat bahwa seringkali aplikasi web menggunakan cookie untuk
melewatkan session identifier selama berinteraksi dengan web. Mungkin cookie
ini juga semacam session identifier dari eWebMail. Langkah selanjutnya adalah
membersihkan browser dari semua cookie dan login ke eWebMail sebagai
fauziah_z2@ewebmailexample.com. Cookie “uid” di-set, dan segera kita dapat
melihat halaman inbox yang ternyata memiliki satu buah pesan email. Email ini
berasal dari service eWebMail.
Berikut adalah gambar dari ilustrasi tersebut :
CARA PENCEGAHAN YANG DILAKUKAN ADALAH DENGAN
1. Dengan Cookie
Cookie ditangani melalui browser. Browser mengirimkan cookie
yang diperlukan ke web server bersama dengan request HTTP jika sebelumnya ada
cookie yang diterima dari server yang sama. Browser terkenal, seperti Netscape,
Internet Explorer, dan Opera menangani cookie secara baik. Cookie lebih
menguntungkan daripada field tersebunyi.
Field tersebunyi selalu memerlukan halaman form HTML untuk
dikirim kembali ke server, sedangkan cookie tidak memerlukan form HTML
apapun.Segi kerugiannya adalah kebanyakan situs menggunakan cookie untuk
melacak tingkah laku user. Situs yang menampilkan banner iklan diketahui
melanggar privacy user dengan cara mengumpulkan informasi tentang user secara
berlebihan melalui pelacakan aktivitas user via cookie dan acuan-acuan HTTP.
Sayangnya, browser tidak memiliki mekanisme built-in yang memadai untuk secara
selektif hanya memilih cookie-cookie tertentu saja. Untuk maksud ini program
seperti Cookie Pal dapat digunakan sebagai alat bantu.
2. Dengan Field Tersembunyi
Field tersembunyi di dalam form HTML dapat juga digunakan
untuk mengirimkan dan mengembalikan informasi antara browser dan web server.
Keuntungan field tersebunyi dibandingkan cookie adalah field tersebut tetap
dapat bekerja walaupun browser telah diatur untuk menolak semua cooklak semua
cookie.
Tidak ada komentar:
Posting Komentar