Re: Fw: [Semarang List] Fw : Wawancara dengan Hacker Tabulasi Nasional KPU

Udah deh gak usah diomongin, gak usah di acak acak hacker juga site ini
udah bug sendiri sebelum dikasi data........ Kalo anda jeli hari kedua
setelah pemungutan suara aja udah ketahuan kalo program perhitungan itu
membuat kesalahan.....

>>
>>----- Original Message -----
>>From: <andry.n.utama-Sui5gLj+uQDYgLDrwDKghQ@xxxxxxxxxxxxxxxx>
>>Sent: Tuesday, April 20, 2004 9:29 AM
>>Subject:Wawancara dengan Hacker Tabulasi Nasional KPU
>>
>>
>>    
>>
>>>Selama ini kita sering mendengar informasi dari pihak KPU bahwa sistem
>>>server KPU di tabulasi nasional pemilu sudah sangat aman. Ini adalah
>>>wawancara yang dilakukan oleh salah satu koresponden dengan salah
>>>      
>>>
>seorang
>  
>
>>>hacker yang berhasil merubah data di web server TPN
>>>      
>>>
>(http://tpn.kpu.go.id)
>  
>
>>>termasuk yang menaikkan angka penghitungan. Sebenarnya hacker ybs hanya
>>>ingin membuktikan bahwa system TI di KPU pusat tidak aman dan yang
>>>      
>>>
>konyol
>  
>
>>>tidak diproteksi sehingga hacker ini - yang tidak berpengalaman - bisa
>>>dengan mudah mengacak-acak data di sana.
>>>Sesuai permintaan ybs, data dan identitas ybs telah kami tutup dan kami
>>>muat transkrip wawancaranya secara utuh di milis ini ini agar menjadi
>>>      
>>>
>>bahan
>>    
>>
>>>pertimbangan apakah sistem penghitungan suara dgn metode TI ini bisa
>>>dijadikan acuan yang valid bagi hasil pemilu 2004 ini.
>>>
>>>---------------------------------------------------
>>>
>>>
>>> Data member KPU bisa terhapus, file harddisk kpu juga  bisa di download
>>> hanya oleh program download mp3 semacam Get Right
>>> Wawancara dengan pelaku, seorang amatiran yang telah melarikan diri ke
>>> luar daerah・
>>> Dalam wawancara ini sdr.XYZ (Nama dihilangkan) yang diwawancara oleh
>>> pewawancara (Nama dihilangkan) menceritakan mengenai proses secara
>>>      
>>>
>teknis
>  
>
>>> yang digunakan untuk menghapus data member KPU dan membuat user ID
>>>      
>>>
>versi
>  
>
>>> nya untuk bisa mendownload data KPU; yang sempat dilakukannya pada
>>>      
>>>
>malam
>  
>
>>> tanggal 17 April 2004. Si XYZ bukanlah seorang ahli komputer hebat. Ia
>>> hanya seorang amatiran yang iseng. Pewawancara-nya lebih parah lagi. Ia
>>> hanya mengerti soal chatting dan bagaimana mengetik di program Msword.
>>> Bukti keberhasilan si XYZ untuk mengosongkan data user id member WEB
>>>      
>>>
>KPU
>  
>
>>> dapat anda lihat dengan membuka file: kpu-folder.png yang turut
>>> dilampirkan.
>>>
>>> XYZ: aku buka situs KPU
>>> pewawancara: ada security nya
>>> XYZ: yah
>>> XYZ: aku coba
>>> XYZ: gunakan fasilitas search / pencarian data di situs mereka
>>> XYZ: aku coba
>>> XYZ: dan membayangkan logika program php-nya
>>> pewawancara: lalu
>>> XYZ: teknik ini di sebut sebagai tehnik sql-injection
>>> XYZ: memanfaatkan ke cerobohon code program pada php
>>> XYZ: saat melakukan query ke databasemereka
>>> XYZ: bisa kau bayangkan
>>> pewawancara: address maksud mu?
>>> XYZ: saat  kau login ke yahoo
>>> XYZ: akan dimnya 2 nilai
>>> XYZ: nama dan password
>>> pewawancara: "dimnya 2 nilai"?
>>> XYZ: akan di minta 2 nilai yang akan di proses oleh server unutk di
>>>      
>>>
>>proses
>>    
>>
>>> pewawancara: i listen
>>> XYZ: jika perintah ke dataabase mereka kita akali dengan mengubah
>>>      
>>>
>>perintah
>>    
>>
>>> itu
>>> XYZ: maka sama saja kita mengganti parameter string dari code php
>>> terhadapa server pewawancara: bagaimana cara mengubah perintahnya?
>>> XYZ: ;drop table * from user;
>>> XYZ: bisa bayangkan nggak
>>> XYZ: itu
>>> XYZ: akibatnya apa
>>> pewawancara: akibatnya:
>>> XYZ: data user akan terhapus
>>> XYZ: di hilangkan
>>> XYZ: perintah pertama adalah men-uncomment perintah pertama
>>> XYZ: dan perintah selanjutnya adalah membuat perintah baru yang kita
>>>      
>>>
>buat
>  
>
>>> XYZ: dan perintah itu lah yang akan di kerjakan
>>> pewawancara: bagaimana cara memasukkan perintahnya?
>>> XYZ: itu contoh saja pewawancara: menggunakan program apa?
>>> XYZ: tapi pada kasus KPU tadi malam
>>> XYZ: adalah
>>> XYZ: aku mencoba melakukan teknik ini
>>> XYZ: hanya sekedar untuk mengacaukan sistem php-nya
>>> pewawancara: lalu hasilnya:
>>> XYZ: pada saat sistem php (program web-nya kacau) ini lah
>>> XYZ: aku memanfaatkan program downloader biasa
>>> XYZ: get right
>>> XYZ: yang udah di modif
>>> XYZ: untuk melakukan validasi user dan password
>>> XYZ: ke dalam server KPU
>>> XYZ: model penyerangan password ini
>>> XYZ: pada awalnya aku ingin menggunakan metode brute force
>>> XYZ: yaitu serangan kepada sistem
>>> XYZ: secara berurut
>>> XYZ: artinya
>>> pewawancara: metode brute force adalah:
>>> XYZ: ketika membuat sebuah program
>>> XYZ: sederhana
>>> XYZ: yang mengirim karakter 0-9
>>> XYZ: a-z
>>> XYZ: !@##$$%^&*()_+~
>>> XYZ: dan dikombinasikan secara acak
>>> XYZ: karena cara ini butuh waktu lama
>>> XYZ: maka aku coba
>>> XYZ: mainkan sql-injection
>>> XYZ: pada program downloader
>>> XYZ: yang tertuju ke alamat KPU
>>> XYZ: waktu itu beberapa kali aku gagal masuk
>>> XYZ: cukup lama
>>> XYZ: sekitar 15 menit
>>> pewawancara: bagaimana cara mengakali supaya bisa masuk? pewawancara:
>>> haloo
>>> XYZ: sori
>>> pewawancara: bagaimana cara mengakali supaya bisa masuk?
>>> XYZ: aku barusan jawab pesan kawan
>>> XYZ: di chanel hacker ramai sekarang
>>> XYZ: aku lagi nyamar
>>> XYZ: tapi teman2 pada ngerjain aku
>>> pewawancara: bagaimana cara mengakali supaya bisa masuk?
>>> XYZ: tadi itu
>>> XYZ: pakai logika sql-injection
>>> XYZ: aku memasukan nama dan user=root
>>> XYZ: dan password yang aku buat sendiri
>>> XYZ: cuman password itu aku samakan dengan password yang adapada
>>> systemmereka
>>> XYZ: karena pengecekan itu akan di validkan pada data di system mereka
>>> XYZ: maka aku tambahkan perintah 'or'
>>> XYZ: dalam bahasa pemrograman ini mengakibatkan
>>> XYZ: system akan memproses masukan
>>> XYZ: yang sama ('or') pada system tsb
>>> XYZ: dan masuk dah
>>> XYZ: hehehehe
>>> XYZ: sederhana
>>> XYZ: tapi tehnik ini sedikit yang mengetahuinya
>>> XYZ: karena juga di butuhkan feeling pemrogramman saja
>>> XYZ: logika pemrogramman saja
>>> XYZ: pada saat pertama aku masuk itulah
>>> XYZ: aku print screen
>>> XYZ: pada saat aku katakan kepada kawan2
>>> XYZ: dan berencana mendowload semua data di web server mereka
>>> XYZ: server KPU down
>>> XYZ: data yang udah ke download barulah sebagian saja
>>> pewawancara: i listen
>>> XYZ: dan udah aku titipkan ke web kawanku
>>> XYZ: oleh kawan2
>>> XYZ: mereka mengontak aku
>>> pewawancara: kenapa nga dikirim ke web ku saja?
>>> XYZ: dan pada nyebarin itu ke media
>>> pewawancara: pakai saja email palsu
>>> XYZ: aku nggak tau web-mu
>>> pewawancara: alau kau pingin di expose juga i ada kenalan2 media
>>>      
>>>
>tinggal
>  
>
>>> sebut mau media apa?
>>> pewawancara: *******************************
>>> pewawancara: pakai email lain saja yang nga dikenal orang
>>> XYZ: iya cerobohnya aku itu
>>> XYZ: aku taksadar kalo ini menjadi berita utama di media tv
>>> pewawancara: ********************************
>>> XYZ: aku baru tau kalo emailku ini
>>> XYZ: adalah nama asliku pewawancara: makanya mending kau gerakin lewat
>>> media cetak dengan bukti2 nya
>>> XYZ: aaaaaaaaaaaaaaaaaaaaa
>>> pewawancara: biar kau gampang dapat kerja nanti pewawancara: tetapi
>>>      
>>>
>>namamu
>>    
>>
>>> jangan keluar
>>> pewawancara: kau bikin nick name yang misterius aja
>>> pewawancara: namanya yang keren yach
>>> pewawancara: jangan seperti ID mu ini, terlalu biasa untuk menjadi
>>>      
>>>
>>bintang
>>    
>>
>>> pewawancara: aku nga sebar email ini..
>>> XYZ: id aku di ****** (Nama sebuah provider pelayanan email) adalah
>>> ********************* (Email si XYZ)
>>> pewawancara: kau bikin lage yach email di yahoo lalu joint web gw
>>> pewawancara: lalu kau upload
>>> pewawancara: di dalnet bisa dilacak nga?
>>> pewawancara: mending yang gratisan saja
>>> XYZ: bisa-bisa aja
>>> pewawancara: spt MSN
>>> pewawancara: yahoo
>>> pewawancara: bikin aja di yahoo id lain
>>> pewawancara: haloo
>>> XYZ: ya
>>> XYZ: entar aku kabari lagi
>>> pewawancara: mengenai:
>>> XYZ: aku mau2 saja
>>> XYZ: tapi tujuanku adalah media luar
>>> XYZ: karena aku ingin membuktikan
>>> XYZ: dan mempermalukan pemerintah kita
>>> XYZ: di luar
>>> XYZ: :)
>>> pewawancara: media apa nich?
>>> pewawancara: sebutkan
>>> pewawancara: sapa tahu ada teman
>>> pewawancara: saya ada channel ke ***
>>> pewawancara: kalau anda mau
>>> pewawancara: yang penting sekarang kumpulkan bukti lalu kau tampil
>>>      
>>>
>dengan
>  
>
>>> id lain
>>> pewawancara: kalau bisa pakai warnet lain
>>> pewawancara: ganti2 warnet
>>> XYZ: iya
>>> XYZ: aku udah di peringatkan teman disini
>>> XYZ: agar sementara ini
>>> XYZ: aku tidak ke warnetnya
>>> pewawancara: ok
>>> XYZ: ok thanks
>>> XYZ: bye
>>> Pewawancara: Saya kira kita tidak perlu contact2 dulu sementara ini.
>>> XYZ: Ok.
>>>
>>> NOTE: Beberapa hal yang berbahaya telah dihilangkan dengan membubuhkan
>>>      
>>>
>>***
>>    
>>
>>>
>>>
>>>
>>>
>>>
>>>Pusat info Semarang List: http://www.semarang-list.cjb.net
>>>
>>>Powered by IntikaMedia.Com - Domain Registrations, Transfer and
>>>      
>>>
>Webhosting
>  
>
>>>http://www.intikamedia.com
>>>Yahoo! Groups Links
>>>
>>>
>>>
>>>
>>>
>>>
>>>
>>>      
>>>
>>    
>>
>
>
>
>
> 
>Yahoo! Groups Links
>
>
>
> 
>
>  
>





------------------------ Yahoo! Groups Sponsor ---------------------~-->
Buy Ink Cartridges or Refill Kits for your HP, Epson, Canon or Lexmark
Printer at MyInks.com.  Free s/h on orders $50 or more to the US & Canada.
http://www.c1tracking.com/l.asp?cid=5511
http://us.click.yahoo.com/mOAaAA/3exGAA/qnsNAA/0XFolB/TM
---------------------------------------------------------------------~->