Thursday, July 18, 2013

Mengapa Sedemikian Mudah nge-Hack Account Facebook?


Apa betul seorang hacker bisa dengan mudah menjebol akun email atau Facebook seseorang? Kayaknya makin banyak kita jumpai remaja-remaja yang bangga bisa ngehack akun gadis yang telah menolaknya (kasihan ya orang IT itu, cuma bisa berani di dunia dia sendiri, diam-diam stalking dan menjebol akun Facebooknya).

Benarkah sistem pertahanan Facebook sedemikian lemah? Bukankah Facebook adalah tempat pakar-pakar IT nomor satu di dunia?

Berbicara tentang dunia keamanan komputer adalah bahan pembicaraan yang luar biasa luas. Untuk membawa satu halaman Facebook yang indah itu ke hadapan kita, dibutuhkan kerjasama dari berbagai macam sistem. Jaringan komputer sebagai infrastruktur, sistem operasi yang kita pakai (Windows, Mac, Linux), web browser (IE, Firefox, Chrome, Safari), aplikasi Facebook-nya sendiri, database yang bekerja mensuplai data, koneksi internet yang sedang kita pakai (LAN kantor, 3G modem, Free Wi-Fi nya Sevel, Warnet, dsb). Sekian banyak sistem itu tentu memiliki ratusan titik-titik kelemahan yang bisa dimanfaatkan oleh seorang hacker.

Tak perlu menjadi ahli keamanan untuk menjebol akun Facebook. Ini bukan berarti orang harus menjebol Facebook yang sedemikian canggih itu, tetapi orang bisa memanfaatkan titik-titik lemah yang lain. Dan memang seperti itulah cara hacker bekerja!

Penjaga warnet tamatan SMK itu juga bisa.
Di warnet, orang pasti buka Facebook kan? Yakin warnetnya jujur? Mungkin di PC itu dipasangi keylogger yang selalu merekam apa yang Anda ketikkan. Atau di server warnet dipasangi alat penyadap? Membuat kloning halaman e-banking dan menyajikannya kepada Anda halaman e-banking yang palsu tanpa Anda sadari? Seharusnya, warnet adalah tempat yang paling tidak terpercaya untuk browsing. Ironisnya, setiap orang datang ke warnet untuk Facebookan.

Di mal, saya selalu kecewa kalau di sana ada banyak Wi-Fi tapi tidak banyak yang free. Naluri gratisan saya selalu mencari-cari Free Wi-Fi dengan biaya sekecil mungkin. Masuk Starbucks, pesan kopi paling murah, lalu internetan seharian. Begitu kan? Saya juga sering gembira jika ada Wi-Fi yang kencang, gratis, dan tanpa password pengaman.

Lagi-lagi, siapa yang tahu Wi-Fi gratis itu punya siapa? Dengan membuat koneksi ke Wi-Fi, maka Anda akan melewatkan seluruh paket data anda melalui Wi-Fi itu. Kasusnya jadi kayak warnet. Seberapa percayakah Anda? Untrusted Network, kata Windows, memang harus selalu menjadi Untrusted Network. Tidak ada jaminan informasi yang Anda kirimkan melalui jaringan itu tidak disadap.

Ah, kan cuma Facebook yang ga terlalu penting?
Tunggu dulu, seberapa banyak dari teman-teman sidang pembaca yang budiman memakai password yang berbeda-beda? Saya kok yakin hampir semuanya memakai password yang sama untuk semua account. Ya email, Facebook, WordPress, Google, Paypal, dan bahkan mungkin e-banking! Sekali hacker menangkap satu password, dia akan mencobanya ke semua layanan. Habis semua lah.

Lalu yang pernah tahu teknik-teknik penyadapan akan bilang, lalu lintas data melalui HTTPS lebih aman daripada HTTP karena dienkripsi. Hacker yang menyadap meskipun bisa mendapatkan paket data tetap tidak bisa membaca data aslinya.

Mari kita lihat kelemahannya. Browser-browser modern memerlukan izin pengguna ketika akan menginisiasi koneksi HTTPS, kecuali untuk koneksi yang memiliki sertifikat HTTPS yang telah verified dan trusted, seperti Facebook. Saya, si hacker usil itu, akan membuat sertifikat palsu lalu mengirimkannya kepada calon korban. Di sini kelemahan psikologis-nya. Seberapa banyak dari kita yang membaca pesan penting di bawah ini?

Tentunya kita akan menekan tombol “Yes” kan? Padahal dialog ini akan menunjukkan detail sertifikat HTTPS yang ada palsu atau asli. Ketika korban menekan tombol “Yes”, koneksi HTTPS terenkripsi sudah tak ada artinya lagi. Hacker sudah bisa membaca data apapun yang lewat karena korban telah mempercayai sertifikat palsu si hacker.

Setelah ini (kalau sempat dan masih mood nulis topik sekuriti ini), kita akan bahas tentang phishing, teknik hacking yang sedang sangat populer karena memanfaatkan kelemahan psikologis dan ketidaktelitian pengguna. Email Yahoo! saya pernah sekali jebol, padahal saya sudah sangat teliti dan hapal dengan web-web phising ini.