Di dunia siber ada beberapa gadget keamanan untuk peretasan. Gadget ini dirancang untuk membantu mengidentifikasi dan mencegah masalah keamanan, namun jika jatuh ke tangan yang salah, jadi petaka.
Benda-benda ini tampaknya tidak berbahaya dan terlihat seperti stik USB biasa, kabel pengisi daya, atau mainan anak-anak yang ternyata dapat dimanfaatkan sebagai alat untuk membantu dan mendukung peretasan.
Ada banyak gadget culun populer dengan nama menawan yang menyediakan fungsionalitas berharga bagi penghobi peretas dan profesional keamanan.
Namun, sebagian besar perangkat tersebut dapat diibaratkan sebagai pedang bermata dua, perangkat tersebut dapat membantu dalam menguji keamanan suatu organisasi dan menerobos pertahanannya.
Beberapa di antaranya mempunyai kekuatan yang sangat besar dan bisa berubah dari alat yang berguna menjadi senjata ampuh jika disalahgunakan oleh individu dengan niat jahat.
Hal ini pada akhirnya dapat menimbulkan kekhawatiran, termasuk karena saya sendiri telah menyaksikan banyak perusahaan bergulat dalam menerapkan perlindungan yang tepat karena kurangnya kesadaran mengenai potensi risiko.
Salah satu contohnya adalah penggunaan perangkat eksternal yang tidak dikenal pada sistem perusahaan, terutama perangkat yang sering kali tidak menimbulkan kecurigaan, seperti drive USB.
Hal ini membawa kita pada sepasang gadget pertama yang pada akhirnya dapat memicu masalah keamanan, berikut gadget keamanan untuk peretasan:
Baca juga: Malware DIsembunyikan dalam Gambar |
Ducky and Bunny
Meskipun menyerupai flash drive biasa, USB Rubber Ducky dan Bash Bunny dari Hak5, pada kenyataannya, adalah platform serangan USB yang hadir dengan beberapa kemampuan serius.
Awalnya dirancang untuk membantu penguji penetrasi dan profesional keamanan lainnya dalam mengotomatisasi tugas mereka, gadget plug-and-play ini dapat mendatangkan malapetaka hanya dalam hitungan menit.
Rubber Ducky, misalnya, dapat meniru tindakan perangkat antarmuka manusia (HID), seperti keyboard atau mouse, dan mengelabui sistem agar menerima masukannya sebagai masukan yang tepercaya.
Artinya, ini dapat digunakan untuk menjalankan perintah berbahaya guna mengambil kredensial login, informasi keuangan, data kepemilikan perusahaan, atau informasi sensitif lainnya.
Dengan menyamar sebagai keyboard, ia dapat memerintahkan komputer untuk mengunjungi situs web yang berisi malware atau mengeksekusi muatan berbahaya, seolah-olah dilakukan oleh seorang peretas yang duduk di meja kerja.
Yang diperlukan hanyalah memuat bebek terlebih dahulu dengan urutan penekanan tombol yang melakukan tindakan tertentu pada sistem.
Semua fungsi skrip yang tersedia di Rubber Ducky juga dapat ditemukan di Bash Bunny. Oleh karena itu, potensi risiko yang terkait dengan Bash Bunny tidak berbeda dengan risiko yang melibatkan Rubber Ducky dan mencakup instalasi perangkat lunak berbahaya dan pencurian informasi.
Meski begitu, Bash Bunny masih meningkatkan taruhannya. Ini mempertahankan kemampuan Rubber Ducky untuk menyamar sebagai perangkat HID tepercaya.
Tetapi mengembangkannya dengan menambahkan fitur seperti peningkatan hak administratif dan eksfiltrasi data langsung menggunakan penyimpanan kartu MicroSD. Ini juga dioptimalkan untuk kinerja yang lebih baik.
Terlebih lagi, bahkan drive thumbnail biasa pun dapat dikooptasi untuk tujuan jahat dengan diubah menjadi perangkat bergaya USB Rubber Ducky dan Bash Bunny.
Baca juga: Serangan SMS di Android |
Flipper Zero
Flipper Zero adalah semacam pisau peretas Swiss Army yang telah menarik perhatian berkat beragam fitur dan teknologi yang dikemas dalam faktor bentuk yang ringkas.
Perangkat seukuran telapak tangan ini cocok untuk melakukan lelucon, peretasan bagi penghobi, dan beberapa pengujian penetrasi, terutama ketika keamanan perangkat nirkabel dan sistem kontrol akses perlu diuji. Ada juga banyak firmware pihak ketiga gratis yang dapat lebih meningkatkan fungsinya.
Di sisi lain, kemampuan Flipper Zero untuk berinteraksi dengan berbagai protokol dan perangkat komunikasi nirkabel memungkinkan penyerang mendapatkan akses tidak sah ke area terlarang atau sistem sensitif.
Dengan menggabungkan fungsionalitas seperti emulasi RFID, kemampuan NFC, komunikasi inframerah (IR), Bluetooth, dan kontrol General Purpose Input/Output (GPIO), memungkinkan orang untuk berinteraksi dan memanipulasi berbagai jenis sistem elektronik.
Misalnya, karena gadget juga dapat mengirim dan menerima sinyal IR, maka gadget dapat digunakan untuk mengontrol perangkat IR seperti TV atau AC. Yang lebih mengkhawatirkan lagi, gadget tersebut dapat digunakan untuk mengkloning kartu akses atau tag yang mendukung RFID.
Kecuali jika lokasi tersebut diamankan dengan benar dari kloning, penyerang dapat menggunakan Flipper Zero untuk mendapatkan akses ke lokasi yang diamankan dengan kunci yang dikontrol RFID.
Flipper Zero juga dapat meniru keyboard USB dan menjalankan skrip rubber ducky yang telah dikonfigurasi sebelumnya untuk mengotomatiskan tugas dan melakukan atau memfasilitasi tindakan tertentu dalam lingkungan target, seperti mengekstraksi data sensitif.
Meski terlihat lucu, Flipper Zero telah mendapatkan banyak kritik karena kekhawatiran bahwa Flipper Zero dapat digunakan untuk membantu dan mendukung kejahatan.
Terutama pencurian mobil karena kemampuannya untuk mengkloning key fob (walaupun, sejujurnya, ini adalah bukan tanpa beberapa batasan serius). O
eh karena itu, produk ini mendapat pengawasan ketat dari berbagai negara, dimana Kanada mempertimbangkan larangan langsung dan Brazil pernah menghentikan pengiriman produk yang masuk.
Baca juga: Darcula Memakan Korban 100 Negara |
O.MG
Kabel O.MG tampak biasa-biasa saja seperti kabel pengisi daya ponsel cerdas biasa. Dikembangkan oleh seorang peneliti keamanan yang menyebut dirinya “MG” online, kabel ini dibuat sebagai bukti konsep untuk menunjukkan potensi risiko keamanan yang terkait dengan periferal USB.
Kabel tersebut memiliki banyak kemampuan yang memungkinkannya disalahgunakan untuk berbagai tindakan jahat. Mereka dapat beroperasi mirip dengan USB Rubber Ducky dan Bash Bunny, mengeksekusi kode yang telah dikonfigurasi sebelumnya dan berfungsi sebagai keylogger yang membuatnya cocok untuk eksfiltrasi data dan eksekusi perintah jarak jauh.
Memang benar, kabel O.MG menyertakan titik akses Wi-Fi dan dapat dikontrol dari perangkat yang dikendalikan penyerang melalui antarmuka web.
Kabel dilengkapi dengan konektor yang kompatibel dengan semua jenis perangkat utama dan dapat dicolokkan, serta dikonfigurasi untuk, perangkat yang menjalankan Windows, macOS, Android, dan iOS. Ya Tuhan.
Tips Tetap Aman
Meskipun alat ini telah digunakan dalam berbagai demonstrasi, tampaknya tidak ada laporan bahwa alat tersebut benar-benar digunakan dalam serangan di dunia nyata.
Meski begitu, sebaiknya terapkan kombinasi kontrol teknis, kebijakan organisasi, dan pelatihan kesadaran karyawan untuk membantu organisasi Anda tetap aman dari gadget yang berpotensi berisiko.
Misalnya:
-
Organisasi harus membatasi penggunaan perangkat eksternal seperti drive USB dan perangkat periferal lainnya serta menerapkan kebijakan yang mengharuskan semua perangkat eksternal disetujui sebelum dihubungkan ke sistem perusahaan.
-
Langkah-langkah keamanan fisik sama pentingnya sehingga individu yang tidak berwenang tidak dapat memperoleh akses fisik ke sistem dan perangkat perusahaan serta tidak dapat merusaknya.
-
Penting juga untuk mengadakan pelatihan kesadaran keamanan rutin bagi karyawan dan mendidik mereka tentang risiko yang terkait dengan serangan berbasis USB, termasuk berhati-hati dalam mencolokkan drive USB secara acak.
-
Gunakan solusi keamanan yang dapat mendeteksi dan menggagalkan aktivitas jahat yang dilakukan oleh gadget jahat dan menawarkan fitur kontrol perangkat yang memungkinkan admin menentukan jenis perangkat mana yang diizinkan untuk terhubung ke sistem perusahaan.
-
Pastikan fitur autorun dan auto-play dinonaktifkan di semua sistem untuk mencegah muatan berbahaya dijalankan secara otomatis saat perangkat eksternal terhubung.
-
Dalam beberapa situasi, pemblokir data USB, juga dikenal sebagai kondom USB, mungkin berguna karena menghilangkan kemampuan transfer data pada port USB dan mengubahnya menjadi hanya untuk diisi daya.
Demikian pembahasan kali ini mengenai gadget keamanan untuk peretasan, semoga informasi yang disampaikan dapat bermanfaat bagi pembacanya.
Sumber berita: