Mengelabui "Pengejar Hacker"

Mengelabui "Pengejar Hacker"
Sunday, May 16, 2004- Jumlah Klik [5523] ,

- Saya melihat kejanggalan dalam praktek pengejaran/penangkapan hacker yang menjebol situs web TNP KPU. Coba kita tinjau ulang data-data yang dimiliki oleh KPU:



Log dari Firewall yang berisi data source IP Address dan port, destination IP Address dan port, dan mungkin data-data lainnya yang tersimpan di TCP/IP header.
WWW Log dari web server yang berisi data IP Address pengunjung, tanggal dan jam berkunjung, browser yang digunakan, URL yang dibuka, ASP Session, cookies, dan mungkin data-data lainnya yang terkirim bersama HTTP header.
Router Log dari ISP CBN yang berisi data IP Address yang melakukan koneksi TCP/IP ke proxy anonymous Thailand.
Data-data log firewall kurang bermanfaat. Serangan telah teridentifikasi melalui port 80 HTTP. Data-data ini kurang mengarahkan pada si pelaku.

Dari data WWW Log, KPU memperoleh IP Address hacker dengan mencocokkan tanggal dan jam berkunjung serta URL yang berisi SQL Injection untuk mengubah nama partai. Ternyata IP Address ini adalah milik proxy server anonymous di Thailand. Untuk itu dibutuhkan data-data pengguna internet Indonesia yang sedang koneksi ke proxy server Thailand ini.

Dari log router CBN diperoleh data bahwa ada komputer yang terkoneksi ke proxy server di Thailand.

Sementara untuk log proxy server Thailand, tidak mungkin bisa diperoleh oleh "Tim Pengejar Hacker" karena proxy server Thailand ini memiliki sifat high anonymity. Maksudnya proxy server ini tanpa log, memiliki IP Address proxy yang berbeda dengan IP Address koneksi dimana IP Address koneksi berjumlah lebih satu. Untuk transparant proxy, mungkin saja cara yang digunakan "Si Pengejar" ini dapat berhasil. Namun untuk high anonymous proxy mustahil bisa memastikan bahwa tersangka adalah benar-benar "Sang Hacker".

Penggunaan software SocksChain dari Ufasoft yang menghubungkan sejumlah proxy server dapat mengakibatkan terhapusnya jejak Sang Hacker. Misalkan saja si pelaku mengakses dari Indonesia kemudian menggunakan proxy server di Belgia, menyambungnya ke proxy server di Argentina, Filipina, Thailand dan kemudian terkoneksi ke web server KPU. Tentu saja yang tercatat di log router adalah koneksi ke Belgia. Bagaimana bisa kita mengejarnya?

Akibatnya "Tim Pengejar Hacker" menempuh cara lain dengan melakukan social engineering pada sejumlah channel IRC yang sedang membahas masalah ini. Ditemukan bahwa sebuah nickname mengaku telah menjebol situs TNP. Setelah melalui proses "pengejaran" akhirnya tertangkaplah si pemilik nickname tersebut, yang nama aslinya Dani Firmansyah dengan bukti-bukti:

- Pengakuan dari yang bersangkutan.
- Log proxy server warnet tanggal 17/4 yang sudah dihapus.
- Percobaan scan port dari server danareksa ke web server di TNP.
- Log router CBN pernah koneksi dari server danareksa ke proxy server di Thailand.

Mungkinkah penangkapan "Sang Hacker" ini hanyalah sebuah rekayasa? Benarkah Dani Firmansyah pelakunya?

Saya menemukan sebuah "situs menarik" di search engine yang membahas masalah security KPU. Mungkin ada baiknya jika kita mengunjungi situs ini yang beralamat di:

http://tnpkpu.europe.webmatrixhosting.net/