Sebenarnya sudah lama sekali telkom mengadakan diskon besar-besaran untuk meraih
pelanggan sebanyak-banyaknya. Udah dulu promosinya. :D
Sama dengan bug-bug yang lainnya, konfigurasi default akan membuat pihak luar yang tidak
diinginkan seperti cracker dengan mudah mengeksploitasi secara besar-besaran sehingga
memanen username dan password menjadi sesuatu yang memungkinkan sekali untuk
dilakukan. Contoh bug yang buruk, yaitu username default dan password yang default.
Sebelum ngejabarin masalah teknisnya, berikut alat-alat yang diperlukan :
· Browser Internet ( mau yang banyak bugnya, maupun yang sedikit bugnya )
· Website dengan log system flat file
· Aplikasi Instant Messaging, ex : Yahoo Messenger ( Social Engineering )
· Internet Password Asterisk Reveal ( kalo belum punya download di SINI
Langkah Pertama
Silahkan anda baca artikel
di SINI
cara memasang log system flat file. Digunakan untuk mendapatkan alamat ip dari sang
korban.
Langkah Ke Dua
Inti dari artikel ini adalah pencarian user yang akan dijadikan korban. Anda bisa
menggunakan aplikasi IRC ataupun instant messaging yang lainnya. Alangkah baiknya anda
menggunakan aplikasi IRC, seperti mIRC ataupun yang lainnya, karena fasilitas whois yang
ada didalamnya mempermudah kita untuk segera mengetahui IP sang korban, tapi pada
beberapa kasus, adakalanya user yang advanced menggunakan anonymous proxy yang
tentunya menyembunyikan IP asli miliknya. Sehingga perlu teknik social engineering yang
lebih ampuh lagi. Berikut ada sedikit percakapan antara seseorang sebagai intruder dengan
sang korban menggunakan aplikasi yahoo messenger :
adiepatie (intruder) : dah liat situs ini belom, ilmuwebsite.com ???
Sang_korban : apaan tuh ?
adiepatie (intruder) : situs keren punya orang keren, ngebahas tentang berbagai artikel
mengenai kekerenan. Coba deh liat.
Sang_korban : coba, gw liat dulu. # kena!!
adiepatie ( intruder ) : gimana keren kan ? eh, gw off dulu yah. C U
*** Situs ilmuwebsite.com tersebut, merupakan sebuah contoh situs yang anda gunakan untuk
merecord ip sang korban. Anda bisa memasang log system flat file pada situs milik anda.
Dengan mengusahakan sang korban tertarik untuk mengunjungi situs yang telah dipasang
log system flat file.
Contoh IP yang sudah dilog dalam flat file,
Waktu: Fri, 06 Jul 2007 12:47:04 +0700 | IP asli: 125.161.2.85 |
Browser: Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90) | URL: / | Referrer: |
Proxy: | Koneksi:
Langkah Ketiga
Setelah mendapatkan alamat ip sang korban, yang perlu anda lakukan adalah membuka
browser, kemudian pada address bar isi dengan alamat ip yang telah anda dapatkan,
sebagai contoh yang saya dapatkan adalah http://125.160.#.# isikan username dengan
admin dan passwordnya admin. Jika anda beruntung, anda akan langsung dihadapkan
kepada halaman username ADSL dan tentunya password yang asterisk. Untuk membuka
password yang asterisk, anda cukup menggunakan Internet Password Asterisk Reveal.
Penanganan
Sebenarnya dengan mengganti password yang default pun itu sudah bisa mencegah teknik
seperti ini. Dan intinya password yang kuatlah yang susah untuk dimanfaatkan. Password
yang kuat ini memiliki lebih dari 8 digit, dan merupakan gabungan dari angka huruf dan
special character. Ex: ilmVw3851te --> bentuk lain dari ilmuwebsite
Sayangnya, telkom telah menerapkan system yang unique, sehingga account speedy tidak
bisa digunakan pada jaringan telepon yang berbeda. Dan tentunya anda tidak bisa men-take
over account yang sudah didapatkan. Mohon Maaf, artikel ini hanya sebagai contoh
pembelajaran.
Default password untuk setiap modem :
www.elitehackers.info/defaultpasslist.php