kursus komputer Akhir bulan lalu, sekitar lima puluh mahasiswa “Cyberwar”, memanggul ransel yang terlalu tebal dan mengenakan berbagai bentuk pakaian UC-stamped, berkumpul di sebuah gedung abad kesembilan belas di kampus untuk “hack malam.” HackerOne swag ditaburkan di meja-meja — T -shirt, penutup laptop-kamera, pemintal gelisah bermerek. Tygar melesat ke sekeliling ruangan dengan kaos polo dan Birkenstock yang berkeringat, meminta sukarelawan untuk mengatur tumpukan pizza kotak dan membagikan kaleng soda. Setelah dibentengi, para siswa mulai mencari bug. HackerOne telah mengirim kader profesional keamanan siber - sebagian besar pria muda yang kurus, sebagian besar mengenakan kaus - untuk memberikan nasihat. Salah satunya, Tanner Emek, seorang insinyur di perusahaan keuangan pribadi NerdWallet, baru-baru ini menerima hadiah empat belas ribu dolar di Def Con, konvensi peretas tahunan di Las Vegas, karena menemukan kelemahan dalam Salesforce, sebuah platform untuk pelanggan manajemen hubungan. (“Sudah pasti,” Emek meyakinkan saya.)
Siswa Tygar mengejar hadiah yang lebih sederhana. "Ada perusahaan-perusahaan tertentu yang dianggap buah rendah untuk para peretas," Vy-An Phan, seorang junior, menjelaskan. "Bagi saya, situs web negara dan situs web pemerintah lokal, seperti, buah yang sudah jatuh ke tanah." Meskipun klien pemerintah HackerOne cenderung tidak menawarkan hadiah uang tunai, Phan telah memutuskan untuk fokus pada berbagai sekretaris-of- situs web negara di seluruh negeri, yang merupakan alat rumah yang menjadi pusat proses pemilihan - pendaftaran pemilih, tindakan pemungutan suara, informasi kandidat, pedoman Hari Pemilu. Sejauh ini, dia telah menemukan delapan bug yang tersebar di empat situs. Salah satunya adalah kerentanan clickjacking, di mana pengguna mungkin tanpa sadar dimanipulasi menjadi mengklik sesuatu yang tidak diinginkan. Beberapa lainnya adalah kerentanan cross-site-scripting (XSS), jenis serangan yang sangat fleksibel dan berbahaya, di mana peretas menyuntikkan kode mereka sendiri ke dalam domain atau aplikasi Web. "Saya bisa menipu seseorang agar mendaftar untuk pihak yang salah, atau tidak mendaftar sama sekali," kata Phan. "Itu semua sangat tergantung pada apa yang ingin saya lakukan."
Di seberang ruangan, dua mahasiswa pertukaran dari Universitas Wuhan China sedang menguji situs Web Departemen Pertahanan AS. “Kami hanya menemukan bug,” Angus Zhu, seorang junior, berkata dengan riang. Dia dan teman sekelasnya, Farlui Li, telah menemukan bahwa bagian dari situs itu rentan terhadap serangan XSS, membuatnya relatif mudah bagi seorang aktor jahat untuk mencuri data dari browser pengunjung lain dan meniru mereka. Zhu dan Li juga menguji jejaring sosial seperti Facebook, Twitter, dan Quora untuk kerentanan terhadap serangan homograf, di mana peretas menggunakan karakter yang mirip dari sistem penulisan yang berbeda untuk membingungkan target mereka. Teknik ini sangat populer dalam penipuan phishing e-mail. Jika, misalnya, seorang hacker ingin membodohi orang-orang agar menyerahkan informasi kartu kredit mereka, ia mungkin mengirimi mereka tautan ke versi palsu Paypal.com, mengganti huruf Latin di URL dengan Cyrillic-alikes — bahasa Inggris “P” untuk Slavic “р,” yang sebenarnya terdengar seperti “r”; bahasa Inggris “y” untuk Slavic “у,” yang terdengar seperti “u”; dan seterusnya.
Christian Ng, mahasiswa baru, memilah-milah kode sumber dari platform cryptocurrency yang didukung ventura. Dia tampak tidak terkesan. "Mereka menggunakan Flash, yang terkenal tidak aman," katanya. "Jika saya dapat menyuntikkan kode ke objek Flash, saya dapat membuat kerentanan XSS." Penyerang secara teoritis dapat menggunakan kerentanan seperti itu untuk mencuri data transaksi atau rekening bank - dan Ng bisa menerima hadiah sebanyak tujuh puluh lima ratus dolar untuk menemukannya. Beberapa meja jauhnya, Jobel Kyle Vecino, junior, bekerja dengan mitra untuk meretas situs hiburan anak-anak. "Garis pemikiran kami adalah bahwa bagian-bagian dari situs Web yang terutama untuk anak-anak mungkin tidak teruji dengan baik," katanya. (Pada bulan Juli, setelah sejumlah boneka pintar yang terhubung dengan Internet dan boneka binatang ditemukan memiliki kelemahan keamanan, F.B.I. merilis pengumuman peringatan layanan publik tentang "peluang untuk penipuan identitas anak.")
Abma, salah satu pendiri HackerOne, telah berpasangan dengan para siswa sepanjang malam. Sekarang, duduk di belakang kelas, dia memberi tahu saya bahwa beberapa dari mereka memiliki potensi untuk menjadi peretas yang "sangat sukses". Namun dia juga menyatakan sedikit skeptis. "Ketekunan dan kreativitas dan dorongan untuk terus berjalan adalah hal-hal yang sangat sulit untuk diajarkan kepada seseorang," katanya kepada saya. Dia menyamakan hacking ke Rubik's Cube: "Anda tidak tahu bagaimana melakukannya, tentu saja, tetapi Anda tahu ada solusi." Bagi Tygar, solusi itu sendiri kurang penting daripada pengalaman dan perspektif bahwa "Cyberwar" akan memberikan siswa. "Kami semua telah membaca berita dengan laporan-laporan ini bahwa peretas Rusia membobol infrastruktur yang membantu mendukung integritas pemilu," katanya. "Ini menempatkan seluruh sentuhan lain ketika Anda berpikir bahwa mahasiswa sarjana di perguruan tinggi juga bisa masuk."
ITech Course - Jl. KH. Ahmad Dahlan No. 1 Metro Pusat, Imopuro, Metro Pusat, Kota Metro, Lampung 34111
Tidak ada komentar:
Posting Komentar