KORUPSI BUKAN SEKEDAR TEORI!
DEFACE
Deface adalah mengganti tampilan dari sebuah surat dinas, biasanya pada bagian tanda tangan, dengan tujuan untuk mendapatkan komisi dari proyek atau kegiatan yang akan dilakukan, dengan mengatasnamakan pejabat yang berwenang. Tehnik deface bisa dilakukan dikarenakan terdapat kelemahan pada pejabat yang berwenang, misalnya kurang kontrol terhadap surat-surat yang keluar dan masuk. Untuk mendeface sebuah surat, yang dilakukan penyerang adalah membuka file ketikan surat yang bersangkutan dengan menggunakan software Microsoft office maupun Open Office, kemudian merubah form tanda tangan dengan namanya sendiri ataupun nama orang lain, sesuai dengan kebutuhan, kemudian menandatanganinya, dan menemui orang yang bersangkutan dengan surat itu, tanpa menyertakan pejabat asli yang bersangkutan, untuk kemudian melakukan negoisasi, dan jelas saja mengambil keuntungan dalam hal tersebut. Penyerang biasanya menggunakan variabel atas nama untuk mengelabui. Sebagai contoh, berikut saya sertakan sebuah
bentuk surat dinas yang sudah dideface dan sebelum dideface.
sebelum…
sesudah…
Surat ini sendiri asli ada dan saya dapatkan dari KP4. Ini membuktikan dengan
jelas, bahwa Korupsi Bukan Sekedar Teori.
Hmmm…? Ada pertanyaan…? “EH BLEK! Ente GIMANA??? Katanya UNCENCORRED? KOK DISENSOR!!! APA ITUH!!!!?”
weleh.. Percayalah, ini skenernya yang masalah pak! Betul! Skenernyah! Beneran! Belahlah dadaku! Sumpah demi ibu ente deh! Percayaalaaaahh!!!
SENI-FING
Adalah kependekan dari SENI-Fatal Ikut NGedengar, adalah Sengaja yang
di-"tidak sengajakan" mendengar pembicaraan pejabat-pejabat kantor untuk mendapatkan apa yang disebut UANG DENGAR. Disebut fatal, dikarenakan Sengaja yang di-"tidak sengajakan" tersebut (adduuuh… ga sengaja ngedengar.. "FATAL" deeee…), Ini dikarenakan kelemahan dari pejabat-pejabat kantor Indonesia yang pada umumnya memiliki skandal, proyek rahasia, atau dan lain sebagainya, yang suka dibicarakan dengan sesamanya, tapi tidak ingin diketahui orang lain. Nah, jika seseorang secara FATAL "tanpa sengaja" mendengar, biasanya diberi uang suap atau uang dengar.
gb : Pejabat Nyante - korban seni-fing.
SENI-FING sendiri dibagi menjadi dua yaitu :
Passive Seni-fing
Yaitu duduk saja dengan diam. Usahakan agar pejabat-pejabat tidak menyadari kehadiran anda, dan tanpa sadar mengeluarkan sesuatu yang penting, kemudian buatlah agar mereka menyadari kehadiran anda, dan mereka akan kaget. Kekagetan dan kegundahan mereka menghasilkan Uang Dengar. Lumayan buat beli rokok atau pulsa. Kadang-kadang bisa sampe beli hape.
Active Seni-fing
Jika Passive Seni-fing tidak bisa dilakukan karena mereka menyendiri. Cara yang perlu dilakukan adalah membuat agar kita masuk kedalam lingkungan pembicaraan mereka yang tersendiri tersebut. Salah satu caranya adalah dengan ARP Poisoning-Man in the middle attack.
ARP Poisoning (Alatnya Rusak Pak! Poisoning), adalah menggunakan salah satu alat yang terdapat disekitar mereka sebagai alasan dan "meracuni" mereka aga mengizinkan anda untuk berada di sekitar mereka dan mendengar pembicaraan yang sedang terjadi. Alasan yang umum dipake adalah alatnya rusak dan anda bisa memperbaikinya. Saat "memperbaiki" alat tersebut, buatlah lama sampai mereka tidak menyadari kehadiran anda dan berbicara sesuatu yang penting.
SENI-FING tidak hanya untuk mendapatkan uang dengar. Banyak paket data yang
lalu lalang berisi informasi penting yang bisa ditangkap, misalnya gosip mengenai Pacar Kasubdin, Selingkuhan Kepala Dinas, korban VIRUS flu Burung, kapan naik gaji, kecepatan koneksi bendahara ke kantor daerah, dan lain-lain, jadi tidak hanya untuk kejahatan semata.
CAR-DING
Diambil dari kata CAR yang berarti mobil dan DING! yaitu kependekan dari DINas Gue. Ding juga sering digunakan untuk akhiran ("Gue dah beli hape, DING!"), adalah kegiatan mem-preteli aksesoris mobil (dan kendaraan lain) dinas. Misalnya tape deck-nya dibawa pulang, speakernya dilego, Freon AC-nya buat kulkas pacar, Peleknya diganti pakek pelek bemo, dan lain-lain, sehingga arti keseluruhan dari CAR-DING adalah (-nasib-) Mobil Dinas Gue.
DoS (Deny-all ongkos Servis)
Adalah serangan yang sangat berbahaya. Seperti namanya yang berarti men-deny (mengelak) semua ongkos servis. Serangan ini dijalankan dengan membanjiri tukang servis kendaraan Dinas dengan alasan-alasan yang membuat biaya servis kendaraan semakin murah. Nah, uang sisa dari ongkos servis yang ditetapkan oleh kantor yang bersangkutan akan masuk ke kantong penyerang. Hal ini disebabkan oleh biaya servis kendaraan ditentukan lebih dulu oleh kantor, berikut rata-rata tempat servis kendaraan dinas menggunakan nota servis yang mudah untuk dirubah variabelnya, menjadikan serangan ini bisa dikatakan tanpa obat. Beberapa serangan DoS yang ada antara lain :
-POD (Permohonan Ongkos Ditunda)
Serangan yang menggunakan tehnik POD, adalah membanjiri Server (tukang servis) dengan beribu ribu paket data yang berisi alasan untuk menunda pembayaran dikarenakan uang belum di-anggarkan dan perbaikan kendaraan sangat mendesak, melebihi panjang anggaran yang sedang dalam proses RAT. Setelah melakukan POD, biasanya penyerang akan menghilang entah kemana, membawa lari Uang anggaran servis. Dikarenakan serangan POD membutuhkan pengorbanan yang cukup besar, yaitu harus lari, serangan POD biasanya dilancarkan jika kendaraan yang diservis lebih dari 5 buah.
Yang melakukan serangan ini, biasanya adalah kenalan dari pegawai kantor dimana kendaraan tersebut diservis. Biasanya dia memposisikan diri sebagai perantara.
Untuk mendeteksi serangan ini, biasanya terdapat paket data permintaan yang dikirimkan oleh si penyerang kepada staff kantor untuk menjadikan dirinya
perantara dalam kegiatan servis. Biasanya, isi dari paket tersebut adalah :
h1 %friendsname! /me tau t4 servis -yg murah. %friendsname mau.ga?
-TEARDROP
Teardrop adalah serangan yang, seperti namanya, mengexploit kelemahan Server (tukang servis) dimana server tersebut pengecut. Tehnik ini bisa dikenali dengan adanya ancaman paket data yang ditujukan kepada server berupa :
"EH! LO! Tukan Serpis! Lo gratisin gak neh?! Kalo ga gue POTONG (tear) trus gue BUANG (drop) ke laut lo!"
Karena itu tehnik ini bernama TEARDROP.
-SYN Attack (Say Yes No Attack)
SYN Attack, didasari atas kelemahan manusia yang cepat bosan. Seperti yang kita ketahui, pada saat proses handshake, atau jabat tangan, antara server (tukang servis) dengan orang yang hendak membayar servis, akan terjadi komunikasi antar keduanya. Nah, sang penyerang, yang hendak membayar servis, akan membuat server menjadi bosan bicara sehingga menggratiskan pembayaran. Agar anda lebih mengerti, inilah yang terjadi saat proses tersebut :
server : "oke mas, ini bonnya."
penyerang : "yes"
server : "errr.. jadi… Bayarannya?"
penyerang : "no"
server : "loh? jadi maksud mas ini gimana??? Mo nge bon yah???"
penyerang : "yes"
server : "oke deh, kalo gitu saya tulis bonnya yah?"
penyerang: "no"
server : "terus gimana? Bayar kontan?"
penyerang : "yes"
server : "semuanya 10 ribu mas!"
penyerang: "no"
server : "LOH?!? Ini sudah di diskon masss!!! Bayar dong!"
penyerang : "yes"
server : "kalo gitu mana uangnya?"
penyerang: "no"
server : "Nih orang gila kali.. YA UDAH! GUE GRATISIN!"
penyerang : "YESSS!!!"
Kira-kira seperti itu. Sebagai acuan, tehnik ini sangat jarang digunakan, karena biasanya server (tukang servis) memiliki anak buah yang tidak segan-segan melakukan tehnik TEARDROP kepada mereka yang belagak gila.
-Land Attack
Land attack adalah modifikasi dari SYN attack. Dikarenakan tehnik SYN berbahaya bagi penyerang, maka dengan menggunakan tehnik LAND (mendaratkan-landing) TINJU lebih dulu ke orang-orang yang lewat disekitar bengekel servis maupun dirinya sendiri sehingga server (tukang servis) yakin bahwa yang dihadapannya adalah orang gila dan menggratiskan pembayaran.
-Smurf Attack
Tehnik ini adalah membuat agar ongkos servis bisa diganti dengan barang yang lain, terutama yang dimiliki oleh si penyerang, dan sudah tidak diperlukan lagi. Misalnya boneka SMURF. Karena itu tehnik ini dinamakan smurf attack (?).
-UDP Flood (Udah Deh Paaak… Flood)
Yaitu membanjiri server (tukan servis) dengan paket-paket berisi Udah Deh Pak,
misalnya :
"Udah deh paaak… Gratisin yah…, Bapak ganteng deh…" atau "Udah deh paaak… rusaknya kan dikit.." atau "Saya kenalin ma artis nanti yaaa… Udah
deh paaak…".
Sebagai tambahan, serangan ini memiliki nama yang lain yaitu : UDB Flood (Udah deh buuu… Flood), UDM Flood (Udah deh maaas… Flood), UDN Flood (Udah deh nooon… Flood), dan lain-lain, tergantung dari jenis kelamin dan status server (tukang servis).
-DDoS (Distributed DoS)
Adalah serangan yang menggunakan Zombie yang disebut Preman untuk melakukan TEARDROP terhadap tukang servis setelah kendaraan diperbaiki. Biasanya zombie yang berupa preman didapatkan dengan tehnik bagi hasil uang hasil korupsi. Karena menggunakan lebih dari satu orang dan terdistribusi, maka disebut DISTRIBUTED.
gb x1 : Zombie adalah Preman.
gb x2 : Server (tukang servis) korban DDoS
sebelum dibuang ke laut.
DLL INJECTION
Dll injection (Dan Lain-Lain Injection - Injeksi dan lain-lain) adalah sebuah
serangan yang memanfaatkan kelemahan form Dan Lain-Lain pada anggaran pengeluaran bulanan. Kelemahan dari form DLL ini, adalah tidak didefinisikannya apa saja dan lain-lain tersebut, dan masih berlakunya tulisan tangan pada surat dinas, sehingga penyerang dapat dengan mudah melakukan eksekusi penggantian variabel biner pada isi dari form.
Untuk melakukan Dll Injection, dibutuhkan sebuah tools bernama Spidol dan Tipe-X. Jika tidak ada spidol, bisa diganti dengan pulpen. Cara melakukannya, penyerang akan menunggu Anggaran Pengeluaran Bulanan ditandatangani oleh Kepala Bagian Tata Usaha, kemudian saat kondisi koneksi pada ruangan Tata Usaha sepi (tidak ada orang yang mengakses ruangan tersebut) penyerang akan membuka dokumen yang berisi anggaran pengeluaran bulanan, kemudian melihat pada form, biasanya bagian paling bawah, diatas tanda tangan Kepala Bagian Tata Usaha, untuk menemukan form Dan Lain-Lain (DLL). Jika form ini kosong, penyerang tinggal menuliskan variabel biner berapa saja pada DLL atau jika terdapat variabel yang sudah ditetapkan, tool Tipe-X bisa digunakan untuk mendelete variabel tersebut dan menggantinya dengan yang baru. Umumnya, variabel yang digunakan didahului dengan variabel Rp.
Gb1 : Form sebelum diinjeksi.
Gb2 : Form sesudah diinjeksi.
Serangan ini biasa dilakukan oleh penyerang yang memiliki posisi sebagai Bendahara pada sebuah kantor.
PHP INJECTION
Sama seperti DLL injection, tapi kali ini, yang diinjeksi adalah PHP (Putusan Harga Palingakhir) dengan cara menaikkan variabel Rp (misalnya dari Rp. 5.000 menjadi Rp. 5.500) atau menambahkan variabel nol diakhir angka (misalnya dari Rp.17.000 jadi Rp. 17.0000). Tehnik ini juga dikenal dengan nama Markup Dana.
XSS EXPLOIT
X biasanya digunakan untuk segala macam hal yang berbau porno (misalnya felemXXX=felem blue) dan SS adalah Suka Sekali. Mengenai exploit, bisa diartikan menggunakan, mengeksplorasi. Jika digabung secara keseluruhan, XSS Exploit adalah menggunakan/mengexplorasi komputer kantor untuk menonton dan mendownload felem atau gambar porno. Hal ini termasuk korupsi karena menggunakan milik kantor, termasuk bandwith, listrik, dan air serta sabun kantor (?hohoho.. ada yang tau maksudnya?) diluar pekerjaan kantor
Tidak ada komentar:
Posting Komentar