Kamis, 24 Februari 2011

Sebuah Kisah Nyata


Kisah berikut ini merupakan penuturan dari Kapil Raina, seorang ahli keamanan di VeriSign. Suatu pagi di beberapa tahun yang lalu, sekelompok orang berjalan memasuki sebuah perusahaan jasa pengiriman yang tergolong besar. Beberapa saat kemudian mereka berjalan keluar dari gedung itu dan telah berhasil mendapatkan hak akses ke sistem jaringan perusahaan tadi. Bagaimana mereka melakukannya ?

Pertama, mereka telah melakukan riset mengenai perusahaan itu selama dua hari sebelumnya. Sebagai contoh, mereka telah mempelajari nama-nama pejabat berpengaruh di perusahaan itu dengan cara menghubungi pihak HRD. Selanjutnya mereka pura-pura kehilangan kunci ketika berada di pintu depan perusahaan, dan ternyata seorang pria di perusahaan tadi membukakan pintu untuk mereka tanpa curiga. Untuk saat itu mereka telah berhasil memasuki gedung sasaran. Sesampai di lantai tiga yang merupakan secure area, mereka pura-pura kehilangan tanda identitas. Cukup melakukan akting kehilangan dengan bagus, tersenyum ke pekerja-pekerja yang ada di situ, dan salah seorang dari mereka kemudian membukakan pintu untuk mereka dengan ramah. Secure area ternyata belum mampu membendung langkah mereka.

Mereka sudah tahu bahwa saat itu pemimpin perusahaan sedang bertugas keluar kota, jadi mereka bisa dengan bebas memasuki ruang kantornya dan mendapatkan data finansial dari komputernya yang ternyata tidak terpassword sama sekali. Mereka kemudian memanggil petugas kebersihan dan meminta untuk meletakkan semua sampah perusahaan di suatu tempat di mana mereka nantinya bisa memeriksa karena beberapa karyawan ternyata suka menuliskan informasi rahasia ataupun password ke kertas lembar kerja yang tidak terpakai dan kemudian membuang begitu saja.

Selain hal-hal di atas, mereka pun telah mempelajari bagaimana cara dan gaya sang pemimpin berbicara, sehingga mereka mampu menelpon dan mengaku sebagai pemimpin perusahaan, yang sebenarnya sedang berdinas keluar kota, dan mengatakan sedang dalam keadaan terburu-buru dan lupa akan passwordnya. Sang admin pun tanpa rasa curiga dan tanpa merasa perlu melakukan proses verifikasi, segera memberikan apa yang dibutuhkan. Selanjutnya dengan berbekal berbagai informasi yang telah didapatkan, cukup dengan memakai teknik hacking standar mereka akhirnya bisa mendapatkan akses super-user di sistem jaringan perusahaan tersebut.

Dalam cerita ini, mereka sebenarnya dari pihak konsultan keamanan yang sedang melakukan audit keamanan atas permintaan pemimpin perusahaan tanpa memberitahukan sebelumnya kepada para pekerja. Mereka tidak pernah mendapat informasi sedikit pun mengenai perusahaan, para pekerja serta tidak mengenal secara dekat pemimpinnya, tapi mereka mampu mendapatkan semua akses yang diperlukan melalui social engineering.

Tidak ada komentar:

Posting Komentar