Hack “Parking Place” Gunadarma.

2 8 M a y 0 8

Ini cerita nyata, tidak direkayasa hanya saya beri sedikit rasa agar enak dibaca.

Setelah hampir 2 tahun saya menjalani hari-hari di UG singkatan untuk Universitas Gunadarma, saya tergugah untuk turut membantu si Admin dari gunadarma dalam mengamankan sistem kampus dari serangan Hacker/Cracker/Attacker yang tidak bertanggung jawab. Attacker bisa saja menyerang kampus ini suatu saat karena banyak sekali celah - celah keamanan yang tidak di tutup oleh admin dari kampus ini.
Walau sampai saat ini saya belum pernah mendengar ada korban akibat ulah Attacker.

Tapi ini suatu hal yang berbahaya!!!??? baik untuk Gunadarma dari segi keamanan atau pun untuk mahasiswa.

Pasalnya sang admin dapat dibuat tidak berkutik dan tidak berdaya kalau para attacker tau celah ini, karena attacker dapat melakukan aksi ini dengan sangat cepat, anonymouse, pada waktu yang tidak tertentu(bebas).

Dari pengamatan saya, Hacker jahat/Attacker dapat melakukan serangan dengan model DIRECT ataupun RANDOM terhadap account mahasiswa & dosen UG.

Serangan dapat dilakukan dengan :

Jumlah Attacker: 1-2 orang
Teknik Serangan: Social Engineering , Session Hijacking, SQL injection, Brute Force.
Target: Account mahasiswa, dosen & staf.
Titik serangan: Pada Jam masuk kuliah 08.00-15.00 WICC (Waktu Izul Cyber Cafe).

Berdasarkan pecobaan langsung yang saya lakukan terhadap account saya sendiri di Gunadarma.

Account yang dapat di serang ialah account mahasiswa yang bernama.

S E P E D A - M O T O R

Weks..

Iya sepeda motor.

Adapun Proof of Concept dari serangan yang dilakukan attacker ialah :

[ Langkah 1 ].

Attacker masuk ke sistem kampus dengan tampang melas di alamat berikut.

http://www.ANGKOT-D11.gunadarma.ac.id /E/DPR/GD1/2/3/4/5/front_end/ PARKING_PLACE.php.

Keterangan alamat URL:
Naik ANGKOT D11, turun di Univ. Gunadarma, kampus E, melewati Halaman DPR(Dibawah Pohon Rindang) kami biasa menyebut, karena disana memang banyak pepohonan dan enak untuk duduk-duduk, lalu melewati gedung 1,2,3,4,5 baru sampai di direktori halaman belakang dan celah ada di file bernama PARKING_PLACE.php maksudnya halaman parkir.

[ Langkah 2 ].

Attacker dapat melakukan social enginering terhadap operator/low admin disanan (PAK SATPAM), tapi dengan password “SELAMAT SIANG” saja maka user bisa langsung masuk dan melihat-lihat script siapa tau ada username yang bagus/ lemah (maksud : pilih-pilih MOTOR yang keamanannya kurang).
gak nyambung social enginering pake Password!! emang ada!!!???

:)

Oke lanjut.

[ Langkah 3 ].

Memilih target yang diinginkan dari ratusan account, modal celingak-celinguk doank.
seperti yang saya tulis di atas celah yang paling lemah berada pada script di file PARKING_PLACE.php di barisan paling akhir (Lantai atas maksudnya, karena biasanya tidak ada satpam, karena satpam cuma dipintu keluar doank, nunggu ada yang ngasih uang parkir).
Huh..Dasar.

[ Langkah 4 ].

Gunakan sedikit algoritma untuk membuka kunci stang yang biasanya dikunci, setelah lalu hidupkan motor, dan turun melewati jalan berkelok2.
BRUmm…brumm…

[ Langkah 5 ].

Nah tadinya saya pikir disini yang agak merepotkan, di langkah 4 ini, yaitu bagaimana keluar dari sistem Gunadarma ini dengan membawa account yang sudah kita pecahkan algoritmanya.

Tetapi setelah saya searching dengan UNCLE GOOGLE ternyata saya menemukan banyak script untuk melakukan SQL Injection guna keluar dari sistem Gunadarma plus dengan melewati sistem keamanannya, soalnya ada Form yang harus diisi untuk dapat keluar (SATPAM).
tapi dengan modal sebaris script, yaitu dengan script berikut, script yang cukup terkenal di dunia per-HACKing & CRACKing -an.

‘RP.”=’1000′+’Terima-kasih-Pak’.

Maka setelah itu attcker bisa langsung bablas keluar melewati gerbang di depan halaman DPR(Dibawak Pohon Rindang). Tanpa perlu membersihkan jejak, tanpa perlu mengecek Log.

???

Hem.. berbahaya…!!

Yah begitulah kira -kira gambaran kejadian Serangan Pencurian sepeda motor milik mahasiswa, dosen ataupun staf Universitas Gunadarma yang dapat terjadi jika tidak diadakan pembenahan pada bagian Security dalam hal pemberian amanat atan mandat kepada PAK-SATPAM yang dengan mudah menerima uang RP.1000 DOANK untuk membiarkan motor keluar dari tempat parkir, tanpa memeriksa STNK atau SIM pengguna sepeda motor yang ingin masuk atau keluar Parkiran Motor.

Sekian teknik HACKING dari saya semoga dibaca oleh Bapak/IBU yang bertanggung jawab dalam hal ini, yang mempunyai kewajiban untuk melakukan peringatan kepada SATPAM - SATPAM yang saat ini bekerja di Kampus.

Untuk mahasiwa yang membawa Sepeda-Motor mulailah berhati-hati kalau tidak mau Account anda yang satu itu dicuri oleh Attacker/Dedemit maya yang kayak’a semakin banyak, atau mungkin gak bawa motor aja, karena harga BBM juga akan naik.

Sekiann…………..

Leave a Comment


This will not be published