RE: Fw: [Semarang List] Fw : Wawancara dengan Hacker Tabulasi Nasional KPU

Web KPU pakai ASP bukannya PHP
apakah ini wawancara beneran pak ?

>> Si XYZ bukanlah seorang ahli komputer hebat. Ia
> >  hanya seorang amatiran yang iseng. Pewawancara-nya lebih parah
lagi. Ia
> >  hanya mengerti soal chatting dan bagaimana mengetik di program
Msword.
> >  Bukti keberhasilan si XYZ untuk mengosongkan data user id member
WEB

seorang yang amatiran (chating dan Msword) kok bisa sampai mengerti
mengenai database.


I Ketut Adi Sutrisna
Program Director
RUMAH MEDIA PRODUCTION
Jl.Gunung Sanghyang, 
Perumahan Kesambi Baru No. 12 A 
Kerobokan Kuta 60298
Phone : +62-361 426623
Fax : +62-361 426623
Mobile Phone : +62-81 558 016 419
YM : centongss

 

 


-----Original Message-----
From: abldirector-MotdseYVjctBDgjK7y7TUQ@xxxxxxxxxxxxxxxx 
[mailto:abldirector-MotdseYVjctBDgjK7y7TUQ@xxxxxxxxxxxxxxxx] 
Sent: Tuesday, April 20, 2004 5:34 PM
To: balinux-hHKSG33TihhbjbujkaE4pw@xxxxxxxxxxxxxxxx
Subject: [BALInux] Fw: [Semarang List] Fw : Wawancara dengan Hacker
Tabulasi Nasional KPU





> For your info
>
> ----- Original Message -----
> From: <andry.n.utama-Sui5gLj+uQDYgLDrwDKghQ@xxxxxxxxxxxxxxxx>
> Sent: Tuesday, April 20, 2004 9:29 AM
> Subject:Wawancara dengan Hacker Tabulasi Nasional KPU
>
>
> > Selama ini kita sering mendengar informasi dari pihak KPU bahwa
sistem
> > server KPU di tabulasi nasional pemilu sudah sangat aman. Ini adalah
> > wawancara yang dilakukan oleh salah satu koresponden dengan salah
seorang
> > hacker yang berhasil merubah data di web server TPN
(http://tpn.kpu.go.id)
> > termasuk yang menaikkan angka penghitungan. Sebenarnya hacker ybs
hanya
> > ingin membuktikan bahwa system TI di KPU pusat tidak aman dan yang
konyol
> > tidak diproteksi sehingga hacker ini - yang tidak berpengalaman -
bisa
> > dengan mudah mengacak-acak data di sana.
> > Sesuai permintaan ybs, data dan identitas ybs telah kami tutup dan
kami
> > muat transkrip wawancaranya secara utuh di milis ini ini agar
menjadi
> bahan
> > pertimbangan apakah sistem penghitungan suara dgn metode TI ini bisa
> > dijadikan acuan yang valid bagi hasil pemilu 2004 ini.
> >
> > ---------------------------------------------------
> >
> >
> >  Data member KPU bisa terhapus, file harddisk kpu juga  bisa di
download
> >  hanya oleh program download mp3 semacam Get Right
> >  Wawancara dengan pelaku, seorang amatiran yang telah melarikan diri
ke
> >  luar daerah・
> >  Dalam wawancara ini sdr.XYZ (Nama dihilangkan) yang diwawancara
oleh
> >  pewawancara (Nama dihilangkan) menceritakan mengenai proses secara
teknis
> >  yang digunakan untuk menghapus data member KPU dan membuat user ID
versi
> >  nya untuk bisa mendownload data KPU; yang sempat dilakukannya pada
malam
> >  tanggal 17 April 2004. Si XYZ bukanlah seorang ahli komputer hebat.
Ia
> >  hanya seorang amatiran yang iseng. Pewawancara-nya lebih parah
lagi. Ia
> >  hanya mengerti soal chatting dan bagaimana mengetik di program
Msword.
> >  Bukti keberhasilan si XYZ untuk mengosongkan data user id member
WEB
KPU
> >  dapat anda lihat dengan membuka file: kpu-folder.png yang turut
> >  dilampirkan.
> >
> >  XYZ: aku buka situs KPU
> >  pewawancara: ada security nya
> >  XYZ: yah
> >  XYZ: aku coba
> >  XYZ: gunakan fasilitas search / pencarian data di situs mereka
> >  XYZ: aku coba
> >  XYZ: dan membayangkan logika program php-nya
> >  pewawancara: lalu
> >  XYZ: teknik ini di sebut sebagai tehnik sql-injection
> >  XYZ: memanfaatkan ke cerobohon code program pada php
> >  XYZ: saat melakukan query ke databasemereka
> >  XYZ: bisa kau bayangkan
> >  pewawancara: address maksud mu?
> >  XYZ: saat  kau login ke yahoo
> >  XYZ: akan dimnya 2 nilai
> >  XYZ: nama dan password
> >  pewawancara: "dimnya 2 nilai"?
> >  XYZ: akan di minta 2 nilai yang akan di proses oleh server unutk di
> proses
> >  pewawancara: i listen
> >  XYZ: jika perintah ke dataabase mereka kita akali dengan mengubah
> perintah
> >  itu
> >  XYZ: maka sama saja kita mengganti parameter string dari code php
> >  terhadapa server pewawancara: bagaimana cara mengubah perintahnya?
> >  XYZ: ;drop table * from user;
> >  XYZ: bisa bayangkan nggak
> >  XYZ: itu
> >  XYZ: akibatnya apa
> >  pewawancara: akibatnya:
> >  XYZ: data user akan terhapus
> >  XYZ: di hilangkan
> >  XYZ: perintah pertama adalah men-uncomment perintah pertama
> >  XYZ: dan perintah selanjutnya adalah membuat perintah baru yang
kita
buat
> >  XYZ: dan perintah itu lah yang akan di kerjakan
> >  pewawancara: bagaimana cara memasukkan perintahnya?
> >  XYZ: itu contoh saja pewawancara: menggunakan program apa?
> >  XYZ: tapi pada kasus KPU tadi malam
> >  XYZ: adalah
> >  XYZ: aku mencoba melakukan teknik ini
> >  XYZ: hanya sekedar untuk mengacaukan sistem php-nya
> >  pewawancara: lalu hasilnya:
> >  XYZ: pada saat sistem php (program web-nya kacau) ini lah
> >  XYZ: aku memanfaatkan program downloader biasa
> >  XYZ: get right
> >  XYZ: yang udah di modif
> >  XYZ: untuk melakukan validasi user dan password
> >  XYZ: ke dalam server KPU
> >  XYZ: model penyerangan password ini
> >  XYZ: pada awalnya aku ingin menggunakan metode brute force
> >  XYZ: yaitu serangan kepada sistem
> >  XYZ: secara berurut
> >  XYZ: artinya
> >  pewawancara: metode brute force adalah:
> >  XYZ: ketika membuat sebuah program
> >  XYZ: sederhana
> >  XYZ: yang mengirim karakter 0-9
> >  XYZ: a-z
> >  XYZ: !@##$$%^&*()_+~
> >  XYZ: dan dikombinasikan secara acak
> >  XYZ: karena cara ini butuh waktu lama
> >  XYZ: maka aku coba
> >  XYZ: mainkan sql-injection
> >  XYZ: pada program downloader
> >  XYZ: yang tertuju ke alamat KPU
> >  XYZ: waktu itu beberapa kali aku gagal masuk
> >  XYZ: cukup lama
> >  XYZ: sekitar 15 menit
> >  pewawancara: bagaimana cara mengakali supaya bisa masuk?
pewawancara:
> >  haloo
> >  XYZ: sori
> >  pewawancara: bagaimana cara mengakali supaya bisa masuk?
> >  XYZ: aku barusan jawab pesan kawan
> >  XYZ: di chanel hacker ramai sekarang
> >  XYZ: aku lagi nyamar
> >  XYZ: tapi teman2 pada ngerjain aku
> >  pewawancara: bagaimana cara mengakali supaya bisa masuk?
> >  XYZ: tadi itu
> >  XYZ: pakai logika sql-injection
> >  XYZ: aku memasukan nama dan user=root
> >  XYZ: dan password yang aku buat sendiri
> >  XYZ: cuman password itu aku samakan dengan password yang adapada
> >  systemmereka
> >  XYZ: karena pengecekan itu akan di validkan pada data di system
mereka
> >  XYZ: maka aku tambahkan perintah 'or'
> >  XYZ: dalam bahasa pemrograman ini mengakibatkan
> >  XYZ: system akan memproses masukan
> >  XYZ: yang sama ('or') pada system tsb
> >  XYZ: dan masuk dah
> >  XYZ: hehehehe
> >  XYZ: sederhana
> >  XYZ: tapi tehnik ini sedikit yang mengetahuinya
> >  XYZ: karena juga di butuhkan feeling pemrogramman saja
> >  XYZ: logika pemrogramman saja
> >  XYZ: pada saat pertama aku masuk itulah
> >  XYZ: aku print screen
> >  XYZ: pada saat aku katakan kepada kawan2
> >  XYZ: dan berencana mendowload semua data di web server mereka
> >  XYZ: server KPU down
> >  XYZ: data yang udah ke download barulah sebagian saja
> >  pewawancara: i listen
> >  XYZ: dan udah aku titipkan ke web kawanku
> >  XYZ: oleh kawan2
> >  XYZ: mereka mengontak aku
> >  pewawancara: kenapa nga dikirim ke web ku saja?
> >  XYZ: dan pada nyebarin itu ke media
> >  pewawancara: pakai saja email palsu
> >  XYZ: aku nggak tau web-mu
> >  pewawancara: alau kau pingin di expose juga i ada kenalan2 media
tinggal
> >  sebut mau media apa?
> >  pewawancara: *******************************
> >  pewawancara: pakai email lain saja yang nga dikenal orang
> >  XYZ: iya cerobohnya aku itu
> >  XYZ: aku taksadar kalo ini menjadi berita utama di media tv
> >  pewawancara: ********************************
> >  XYZ: aku baru tau kalo emailku ini
> >  XYZ: adalah nama asliku pewawancara: makanya mending kau gerakin
lewat
> >  media cetak dengan bukti2 nya
> >  XYZ: aaaaaaaaaaaaaaaaaaaaa
> >  pewawancara: biar kau gampang dapat kerja nanti pewawancara: tetapi
> namamu
> >  jangan keluar
> >  pewawancara: kau bikin nick name yang misterius aja
> >  pewawancara: namanya yang keren yach
> >  pewawancara: jangan seperti ID mu ini, terlalu biasa untuk menjadi
> bintang
> >  pewawancara: aku nga sebar email ini..
> >  XYZ: id aku di ****** (Nama sebuah provider pelayanan email) adalah
> >  ********************* (Email si XYZ)
> >  pewawancara: kau bikin lage yach email di yahoo lalu joint web gw
> >  pewawancara: lalu kau upload
> >  pewawancara: di dalnet bisa dilacak nga?
> >  pewawancara: mending yang gratisan saja
> >  XYZ: bisa-bisa aja
> >  pewawancara: spt MSN
> >  pewawancara: yahoo
> >  pewawancara: bikin aja di yahoo id lain
> >  pewawancara: haloo
> >  XYZ: ya
> >  XYZ: entar aku kabari lagi
> >  pewawancara: mengenai:
> >  XYZ: aku mau2 saja
> >  XYZ: tapi tujuanku adalah media luar
> >  XYZ: karena aku ingin membuktikan
> >  XYZ: dan mempermalukan pemerintah kita
> >  XYZ: di luar
> >  XYZ: :)
> >  pewawancara: media apa nich?
> >  pewawancara: sebutkan
> >  pewawancara: sapa tahu ada teman
> >  pewawancara: saya ada channel ke ***
> >  pewawancara: kalau anda mau
> >  pewawancara: yang penting sekarang kumpulkan bukti lalu kau tampil
dengan
> >  id lain
> >  pewawancara: kalau bisa pakai warnet lain
> >  pewawancara: ganti2 warnet
> >  XYZ: iya
> >  XYZ: aku udah di peringatkan teman disini
> >  XYZ: agar sementara ini
> >  XYZ: aku tidak ke warnetnya
> >  pewawancara: ok
> >  XYZ: ok thanks
> >  XYZ: bye
> >  Pewawancara: Saya kira kita tidak perlu contact2 dulu sementara
ini.
> >  XYZ: Ok.
> >
> >  NOTE: Beberapa hal yang berbahaya telah dihilangkan dengan
membubuhkan
> ***
> >
> >
> >
> >
> >
> >
> >
> > Pusat info Semarang List: http://www.semarang-list.cjb.net
> >
> > Powered by IntikaMedia.Com - Domain Registrations, Transfer and
Webhosting
> > http://www.intikamedia.com
> > Yahoo! Groups Links
> >
> >
> >
> >
> >
> >
> >
>
>




 
Yahoo! Groups Links