Pencurian Data pada Web Server
Internet memang memberi kita banyak kemudahan. Salah satunya dengan memanfaatkan web server. Pada web server kita dapat menyimpan data dan dokumen dan bisa kita akses kapanpun darimanapun dengan menggunakan akses internet. Menyimpan data di webserver banyak dilakukan karena membantu mobilitas kerja.Namun demikian, kemudahan itu tidak sesederhana dengan apa yang kita lihat. Data yang tersimpan pada web server memiliki potensi besar untuk dibaca bahkan dicuri oleh orang lain. Bagaimana jika data tersebut merupakan dokumen penting dari perusahaan yang tidak boleh diketahui oleh orang lain? Lebih-lebih jika perusahaan kompetitor menyewa seorang hacker untuk mencuri data di web server perusahaan kita. Bahaya.
Pertanyaannya adalah apakah pencurian ini bisa terjadi? Jawabannya memang relatif. Tetapi bukan berarti data tersebut dijamin tidak bisa diakses oleh orang yang tidak kita ijinkan. Dengan teknologi segala sesuatunya menjadi mungkin.
Di internet, pencurian data dapat dilakukan dengan cara yang cukup mudah, bahkan bisa dilakukan dengan menggunakan teknik dasar yang sederhana. Boleh percaya boleh tidak, orang dapat melakukan pencurian data hanya dengan menggunakan search engine. Tulisan berikutnya tidak bermaksud untuk mengajarkan cara untuk melakukan pencurian data, tetapi lebih kepada update knowledge agar kita dapat melakukan pencegahan pencurian data milik kita yang tersimpan dalam web server.
Dengan teknik berikut kita akan melakukan pengujian dengan apa yang dikenal oleh orang orang dari komunitas ’underground’ sebagai Teknik Traversal. Dalam konteks ini teknik traversal secara sederhana dapat diartikan sebagai ”melintas” suatu tempat. Tentunya tempat yang dimaksud adalah server penyimpan data. Mereka dapat menggunakan teknik traversal untuk mengembangkan kesempatan yang kecil menjadi kemungkinan yang jauh lebih besar.
Sebagai ilustrasi, dengan mengetahui bagaimana teknik traversal dapat melakukan pencurian data, mari kita buktikan apa yang dapat dilakukan oleh teknik ini. Kita dapat menggunakan search engine Google (www.google.com) untuk memulainya. Pada layar Google, ketikan query code berikut: intitle:index.of inurl:”/admin/*”. Dalam waktu sekejap, Google akan memberikan ribuan hasil pencarian berisi situs-situs yang menampilkan folder admin.
Gambar di atas adalah hasil dari query yang kita minta pada Google. Pilihlah salah satu URL tersebut lalu mengkliknya.
Tampilan yang dihasilkan merupakan direktori paling dasar dari result yang dihasilkan oleh teknik traversal. Mereka dapat eksplorasi tiap dan semua directory, subdirektori bahkan ke direktori admin untuk mencari file yang mereka inginkan. Dengan melakukan kombinasi dan modifikasi pada query pada engine Google mereka dapat lebih leluasa untuk berjalan-jalan pada situs target. Misalnya dengan mengganti kata “admin” menjadi “student” atau “public”.
Kelebihan lainnya dari teknik traversal ini akan mengijinkan mereka untuk memanfaatkan ‘cacat’ yang ada pada webserver dan berkeliling ke pohon direktori di luar direktori web server.
Sebagai contoh, jika web server terinstall di dalam direktori /var/www dan data publik ditempatkan di direktori /var/www/htdocs, secara default mereka yang melakukan serangan pada top level directory pada web server dapat melihat file yang ditempatkan di /var/www/htdocs. Pada keadaan normal, web server tidak akan menginjinkan orang untuk melihat file yang ditempatkan pada direktori /var atau direktori /var/www. Tapi dengan menggunakan kombinasi query, masih banyak web server yang menginjinkan mereka untuk berjalan-jalan di dalamnya.
Coba kita kita pilih salah satu URL link yang dihasilkan oleh Google. Kita dapat bereksplorasi di dalamnya bukan? Bahkan kita bisa masuk ke dalam subdirektori user. Cobalah dibayangkan saat ini Anda sedang ’berjalan-jalan’ pada web server milik sendiri dimana Anda menyimpan data-data penting di dalamnya.
Sekali lagi saya katakan bahwa dengan teknik yang sederhana seperti itu saja bisa melakukan pencurian data, apalagi jika mereka menggunakan teknik yang lebih tinggi. Jangankan data dalam web server, data yang ada didalam komputer pribadi kita pun bisa saja dicuri.
Sebagai informasi tambahan, di internet bahkan banyak sekali tools yang dapat dipergunakan untuk membantu melakukan pencurian data. Untuk lebih jelas tentang hal ini, ada baiknya Anda memperdalam pengetahuan mengenai web security. Dengan demikian kita bisa melakukan tindakan pencegahan pencurian data baik di web server maupun data di komputer pribadi kita. Untuk itu kita dapat mencari informasi dari situs yang terkait dengan web security.
Bagi Anda yang sering menyimpan data di web server (pengguna saja) sebaiknya mendiskusikan hal ini ke bagian technical support agar dapat melakukan pencegahan dari tindakan pencurian.
Rabu, 02 September 2009
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar