Jumat, Oktober 29, 2010

Hacking Facebook di Wireless Network dengan FireSheep dan Cara Mengatasinya

Penulis Day Milovich | Jumat, Oktober 29, 2010 | 14.34.00 |

Hacking facebook sering menjadi pertanyaan misterius, namun banyak yang belum mengerti metodenya. Salah satu cara yang cukup digemari (namun belum populer) adalah dengan cookies session hijacking. Logikanya sederhana: setiap menjalankan facebook (ataupun browsing dan membuka email) sebenarnya ada cookies yang tersimpan di komputer, yang berisi informasi login (ya, termasuk username dan password). Jika cookies ini "diterjemahkan" dan dipakai orang, maka orang itu bisa berperan sebagai diri Anda.
Bayangkan jika itu adalah account facebook yang berisi foto-foto pribadi, inbox perselingkuhan, hingga perjanjian bisnis. Apa pula yang terjadi jika itu informasi akun perbankan online, paypal. adsense, dll.?
Bersiaplah menerima resiko jaringan wireless.
Anda dapat membajak facebook orang lain, yang sedang menggunakan layanan wireless yang tidak ter-enkripsi. Biasanya layanan wireless seperti ini ada di kampus, mall, dan perpustakaan publik.
Hanya diperlukan WinPcap dan addons firefox bernama FireShip. Ups, besarnya 2,9 Mb. Hanya dengan klik satu tombol firesheep menghasilkan screen capture (tampilan layar) dari pemakai facebook lain yang sedang membuka facebook.
Saat saya mencoba menjalankan tutorial pembajakan ini, 15 account bisa didapatkan dengan mudah, kurang dari 15 menit. Tidak ada account yang saya bajak, karena, saya membukanya untuk "menguji" (penetration-test di jaringan) dan orang yang menyaksikan aksi ini adalah para pemilik account. Tidak sempat membuka inbox facebook ataupun email walaupun tinggal klik saja.
Anda dapat melihat aksi FireSheep dalam screenshot berikut:



Download WinPcap:
http://www.winpcap.org/install/default.htm
---
Download Firefox Addons FireSheep:
http://github.com/downloads/codebutler/firesheep/firesheep-0.1-1.xpi
(downloadnya lumayan, boss. sepertinya belum dipasang di situs mozilla firefox)

Warning: jangan mengusik privasi orang lain. Tujuan artikel ini adalah menunjukkan proses kerjanya, dan bagaimana cara mengamankan session cookies Anda.

Bisakah aksi ini dihindari?
Tentu saja bisa. Tidak mungkin kita mengawasi seluruh aktivitas pemakai facebook lainnya, yang sedang menggunakan sinyal wireless bersama. Cara terbaiknya adalah melindungi-diri.

Cara Menghindari Pembajakan Account Facebook di Wireless Network dengan Firesheep
1. Sebaiknya sebelum browsing di tempat publik, hapuslah history, cookies, site preferences, active logins, dll. Selanjutnya, lakukan private browsing.
- Buka Firefox > Tools > Clear Recent History (atau tekan Ctrl+Shift+Del) > pilih "Everything" > tekan tombol Clear Now
- Buka Firefox > Tools > Start Private Browsing (atau tekan Ctrl+Alt+P)
- mulailah browsing.

Mengapa perlu melakukan private browsing?
Private browsing tidak menyimpan History (jejak riwayat halaman yang pernah Anda kunjungi) dan Cookies tidak tersimpan, FireSheep menggunakan metode hijack dengan memanfaatkan cookies yang tersimpan.

2. Gunakan https, jangan http. Koneksi https adalah koneksi http yang sudah diamankan.
Untuk membuka Google, bukalah:
https://encrypted.google.com
jangan http://google.com/ dan jangan http://google.co.id

3. Gunakan koneksi SHH (login dengan PuTTy). Akses ini harus beli, namun Anda bisa mendapatkan SSH login jika mengerti caranya. Sangat aman.
4. Gunakan akses VPN (virtual private network) jika Anda bergerak di perusahaan komersial. Hargai nilai bisnis Anda dan kepercayaan dari konsumen.

5. Anda bisa manfaatkan addons firefox https everywhere secara gratis.

Download https everywhere:
https://addons.mozilla.org/en-US/firefox/addon/12714/
+ Install dan restart Firefox
+ Buka "Preferences" kemudian tambahkan nama-nama domain yang Anda setting agar "selalu" menggunakan koneksi https, seperti terlihat di screenshot berikut:



7. Amankan wireless. Bagi para penyedia layanan wireless,, amankan wireless Anda. Bagi para pemakai facebook, Anda berhak (sebagai konsumen dan pemakai layanan) untuk mempertanyakan keamanan wireless. Berhati-hatilah dengan keamanan account Anda. Banyak terjadi fitnah dan konflik karena account yang tidak aman. Secara, re-aktivasi account facebook yang sudah dibajak tidaklah semudah dulu.

Day Milovich,,
http://facebook.com/daymilovich
http://daymilovich.blogspot.com

Tidak ada komentar:

Posting Komentar

Anda bisa berkomentar tanpa perlu login.

 
Day Milovich (c) 2013. Diberdayakan oleh Blogger.