Jumat, 29 Agustus 2008

11 Kejadian Hacking Terkeren sepanjang 2007

11 Kejadian Hacking Terkeren sepanjang 2007
10 08 2008

Meskipun sedikit terlambat untuk kami menuliskannya, tetapi tulisan yang dibuat oleh Kelly Jackson Higgins yang merupakan Senior Editor pada Dark Reading yang berjudul asli The Five Coolest Hacks of 2007 dan dirilis penghujung tahun 2007 (31 Desember 2007) berisi 5 kegiatan hacking terkeren selama 2007 cukup menarik untuk kami ulas disini, dan baru 2 hari yang lalu dia kembali merilis 6 Kegiatan Hacking terkeren lainnya di 2007 dengan menambahi bagian 2 (lanjutan) dan diberi judul The Coolest Hacks of 2007 - Part II. Berikut adalah 11 hacking terkeren yang terjadi sepanjang tahun 2007 yang diulas di situs Dark Reading

1. Hacking Car Nagivation system

Ditemukannya celah pada suatu sistem navigasi kendaraan yang memungkinkan attacker untuk melakukan injeksi pesan ke sistem atau melakukan serangan DOS. Andrea Barisani, security engineer odari Inverse Path, dan Daniele Bianco, hardware hacker dari Inverse Path, membuat suatu alat untuk melakukan hacking terhadap sistem navigasi berbasis satelit yang menggunakan Radio Data System-Traffic Message Channel (RDS-TMC) untuk menangkap trafik pesan “broadcasts” dan “emergency” . RDS-TMC sangat populer digunakan sebagai sistem navigasi kendaraan di Eropa.

(Penulis melihat video demo kedua hacker ini saat berkesempatan menghadiri konferensi hack in the box tahun lalu di malaysia, mereka menunjukkan bagaimana mereka mengubah pesan yang terdapat pada sistem navigasi, sebgai contoh jalur A yang tidak macet di tampilkan macet baik oleh kerusuhan, huru-hara bahkan ada ancaman bom :) )

2. WiFi ’sidejacking’

Adalah Robert Graham yang merupakan CEO Errata Security, mengejutkan semua pengunjung pada event Blackhat USA di Las Vegas dan mengkloning email GMAIL para pengunjung yang menggunakan jaringan WIFI. Graham, mengambil URL Dan cookies mereka dengan tools yang dia beri nama hamster.

(Teknik ini akan terus menjadi bahasan menarik sampai awal tahun 2008)

3. Eighteen-wheelers

Merupakan salah satu jenis hacking RFID, Para peneliti dari PacketFocus Security Solutions mengatakan jika mereka menemukan bahwa mereka bisa melakukan “scan” dan melakukan hacking label “electronic product code” (EPC) dari suatu produk yang di transportasikan oleh truk/trailer berukuran besar (18 roda). Informasi didalamnya tidak hanya jenis produk, tetapi lebih berbahaya lagi adalah berisi “inventory” dan “shipment-tracking”, dan bisa dibayangkan bila jatuh ketangan pesaing. Hal ini dimungkinkan terjadi karena truk/trailer pengangkut itu berhenti di beberapa tempat tertentu.

4. ‘Hacking capitalism’

Seperti diungkapkan oleh David Goldsmith dari matasano pada event Black Hat USA (agustus 2007), bahwa aplikasi yang di buat untuk Transaksi finansial (FIX; financial information exchange) vulnerable terhadap serangan Denial of service, session-hijacking, dan man-in-the middle attacks melalui internet . Goldsmith tidak menjelaskan detil kelemahan yang dia dan temannya temukan pada FIX dan meminta pihak finansial untuk memeriksa dan mengamankan aplikasi tersebut.

5. iPhone

iPhone merupakan salah satu karya yang “fenomenal”, kemunculannya menimbulkan banyak sekali ide-ide baru, mulai dari bypass yang dilakukan terhadap AT&T, sampai kepada payload khusus iPhone yang dirilis oleh Metasploit.com. HD Moore mengatakan dengan adanya “payloads” iphone yang ditambahkan pada Metasploit dapat membuat para peneliti untuk menciptakan exploits untuk iphone. Payload ini juga memberikan contoh bagaimana untuk menciptakan “shellcode” baru di iPhone.

Part II

1. Hacked highway signs
Banyak kejadian di 2007 yang mengakibatkan “highway signs” berubah menampilkan tulisan yang tidak seharusnya, seperti di Sydney, Australia akhir tahun lalu saat di Jembatan Roseville menampilkan tulisan “You have been 1337 h4×0r3d…Police now target’g sign hackers”. Dan masih banyak kejaian lainnya yang di dokumentasikan di Youtube.

2. Cross-site printing
Seorang peneliti mengeluarkan “proof of concept” untuk hacking intranet printer menggunakan Javascript secara remote. Jenis serangan ini mengharuskan target untuk mengunjungin website yang mengandung kode javascript tersebut. Kemudian attacker dapat menggunakan perintah HTTP POST untuk mencetak menggunakan printer jaringan internal milik target, bahkan berkemungkinan mengirimkan fax.

3. Burnt by your toaster
Seorang ahli dari israel, merubah “toaster” (pemanggang roti) menjadi hacker, Adalah Dr.shalev yang menyebut “crazy toaster” miliknya ini mampu melakukan hacking kesebuah komputer setelah terhubung ke jaringan (wireless) dan disertai beberapa kode yang dia buat yang nantinya akan mengeksploitasi sistem komputer yang ada.

4. Unused but abused browsers
Nathan McFeters and Billy Rios menemukan bahwa mereka bisa menggunakan/membuat Internet Explorer untuk mengirimkan data URL ke Firefox yang “idle” dan tidak berjalan pada suatu komputer. Celah ini diakibatkan oleh kesalahan dari sistem operasi dalam memperlakukan URL, dan ini mengakibatkan attacker dapat berkomunikasi menggunakan browser dan aplikasi apa saja yang mengenali URL untuk berhubungan dengan program lainnya yang seharusnya tidak bisa (idle atau tidak berjalan). URL itu sendiri dapat menjadi perintah (command) di operating system tersebut.

5. Bluetooth-sniffing via a USB stick
Aktifitas ini memungkinkan untuk mendapatkan session dari komunikasi yang dilakukan oleh bluetooth device, lalu dikombinasikan dengan bluetooth PIN-hacking tool (btcrack) maka attacker dapay mengakses data terenkripsi dan mengambil alih peralatan bluetooth tersebut.

6. Hacking the taxi
Billy Chasen yang merupakan software engineer berhasil mengambil alih akses administrasi dari suatu taksi dalam perjalanannya menaiki taksi di kota Newyork, Chasen berhasil berinteraksi dengan “error message”, kemuadian mengakses “FILE” dari “touch screen yang tersedia”, dia juga berhasil terhubung ke internet menggunakan dial-up, yang menjadi berbahaya adalah bahwa para penumpang menggunakan komputer ini untuk membayar dan informasi seperti itu kemungkinan disimpan secara lokal, apalagi dengan kemungkinana dia bisa menginstall aplikasi secara online (sebagai contoh keylogger yang akan mengirimkan secara rutin ?) .

Tidak ada komentar: