Andaikan kamu seorang IT Enthusiast, sudah seharusnya kamu melanjutkan membaca tulisan ngawur yang berdasar ini. Kalau kamu seorang pengembang sistem, juga sepantasnya melanjutkan membaca tulisan ini. Apalagi kamu seorang pemula sebagai seorang praktisi keamanan sistem informasi, wajib hukumnya kamu membaca tulisan ini. Tulisan ini diperuntukkan untuk kalian yang care sama data yang kalian miliki/tangani.
Sebenarnya data tampering bukanlah hal yang baru, cuma, kadang-kadang nitijen dari dunia maya di forum-forum diskusi online, atau di blog, tidak terlalu spesifik dalam memberikan penjelasan mengenai data tampering.
Data tampering/tamper data/ perusakan data boleh dibilang sebagai kegiatan melakukan modifikasi, baik itu merusak, memodifikasi atau mengganti data yang dilakukan pada saat data sedang diproses, atau sedang di submit.
Kalau kamu pernah mencoba melakukan deface sebuah halaman website dengan menggunakan upload shell, maybe itu bisa juga dibilang sebagai tamper data, atau kamu pernah melakukan session hijacking, itu juga salah satu contoh tamper data.
Pada intinya, seorang penetration tester / attacker yang melakukan data tampering ini berusaha untuk mengubah nilai, atau memberikan atribut ilegal yang dikirim ke server dengan maksud merusak, atau memodifikasi paket yang sedang dikirim.
Software yang digunakan untuk data tampering
Tak puas membahas sebuah istilah dalam dunia “ngrusak-ngrusak” kalau tidak menyertakan softwarenya. Tentu ini bukan bertujuan agar script-kiddies mencoba dan mengawu-awu (baca: merusak asal-asalan) setiap situs yang memiliki kelemahan, setiap software yang dibangun secara legal, biasanya ditujukan sebagai pendukung para penggiat keamanan untuk melakukan testing, seberapa kuat sebuah sistem itu, dan ini ada prosedurnya, jadi tidak ilegal, ini saya wanti-wanti dulu sebelum nanti kalian mencoba nananina.
Yep, untuk software sendiri ada banyak, kita coba sebutkan satu-satu:Burp Suite
Burp Suite
Bagi kalian yang sudah lebih dulu mengenal Kali Linux, mungkin tidak asing dengan istilah ini. Karena, Burp Suite telah di bundle dengan paket OS tersebut.
Burp Suite ini sebagai tools di kalangan profesional memiliki kemampuan yang sangat efektif, dia dapat melakukan kombinasi yang kasarannya mampu melakukan alur kerja secara otomatis dan manual, untuk menguji atau menyerang sebuah sistem berbasis web dengan berbagai varian rasa.
Seperti kebanyakan software tampering yang memanfaatkan protofkol HTTP, Burp Suite juga bisa digunakan untuk protokol yang telah menggunakan SSL/TLS. Tentu kalian sudah tidak asing dengan istilah SSL/TLS, meskipun dikatan secure socket yang bertujuan untuk menghindari penyadapan data, tampering dan MITM, namun tetap saja ada trik-trik yang dilahirkan para attacker untuk dapat melewatinya.
Burp Suite berjalan dibawah lapisan dimana proses enkripsi SSL/TLS dilakukan, sehingga ketika data sampai itu sudha dalam wujud encrypted, jadi tidak memungkinkan untuk dibaca. Namun, ternyata bisa diakali dengan memanipulasi sertifikat SSL-nya. Burp Suite dapat melakukan generting certificate untuk setiap situs, dan ketika browser menerima paket berisi sertifikat yang tidak diketahui oleh kita, browser akan menerima notifikasi kalau sertifikat error, secara tidak langsung kita seperti memaksa browser untuk menerima sertifikat yang sudah kita ketahui, sehingga perkara sertifikat ini sudah tidak perlu kita bahas.
Tamper Data
Tamper data disini merupakan add-ons yang sangat terkenal sejak abad pertengahan, eh maksudnya sejak sekitar tahun 2000an mungkin ya, entahlah lupa baca. Kalau kamu mencoba mencari tutorial untuk melakukan data tampering, mungkin banyak sekali yang menggunakan tools satu ini untuk praktikum.
Tamper data ini merupakan tools yang tersemat dalam add-ons Firefox, kita dapat menambahkannya. Biasanya, kebanyakan orang menggunakan Tamper Data untuk melakukan upload shell, meskipun sebenarnya banyak fungsi yang lainnya.
Sayangnya, Tamper Data ini sudah deprecated, semenjak Firefox Quantum, atau 57+, selanjutnya kamu bisa coba pake Tamper Data for FF Quantum, meskipun kamu tetap bisa menggunakan Tamper Data versi tapi dengan versi Firefox yang disesuaikan.
Tamper Data for FF Quantum
Ini juga merupakan add-ons, yang kata penulisnya add-ons ini adalah re-write dari Tamper Data sebelumnya. Meski, tak lihat ini bukan dari developer yang sama, cuma katanya sih bisa menggantikan. Saya sendiri belum pernah mencoba, tapi sudah baca dikit-dikit tentang si dianya. Kalau kamu pakai Firefox versi terbaru, kamu bisa mencoba tools ini.
Tamper Monkey
Saat ini, kalau kamu buka halaman add-ons di Firefox, Tamper Monkey bakalan nangkring dipaling atas kalau kita lihat berdasar user installnya. Saya sendiri saat ini menginstall ini juga. Tamper Monkey juga support di banyak browser populer, selain di Firefox.
Sebenarnya masih banyak deh kayanya software-software yang biasa digunakan, cuma mungkin keterbatasan pengetahuan saya aja. Nanti kamu bisa menambahkan, mengingatkan. Pada intinya, software-software tersebut bekerja dengan memodifikasi http/https request.
Semalam, saya sempat download beberapa paper yang membahas tentang data tampering di synchrophasor network. Saya belum tau, istilahnya masih asing, saya belum sempat membacanya. Sepertinya lain? Kapan-kapan saya share.
Defenses
Ngomongin nyerang, harus ngomongin bertahan. Ya, karena setelah tak ilhami pembaca blog ini lebih banyak tukang masak dari pada tukang keamanannya. Untuk defenses, saya selaku developer juga ya cuma menulis berdasar pengalaman dan pengetahuan saya yang masih minim. Mungkin, masih banyak tentang data tamper yang belum saya ketahui, seperti yang saya bilang sebelumnya. Jadi, tips dibawah nanti sebatas tentang pengalaman ajah.
Untuk mengantisipasi dari serangan tampering ini sebenarnya kita sebagai developer cuma perlu lebih berhati-hati dengan setiap kode yang kita buat. Security itu tidak sebatas pada hahsing password, encrypt id di path url, tapi keseluruhan koding kita itu termasuk bagian dari security.
Setiap isi dari tag <form> yang kita buat misalnya, kalau tak hati-hati bisa saja dimanfaatkan attacker untuk menyisipkan sesuatu yang berbahaya yang tidak kita inginkan.
Kalau memang sekarang sudah jamannya pake framework, ada baiknya kita menggunakan framework. Beralihlah kalau kamu sekarang masih setia dengan native script, bukan meragukan kemampuanmu, cuma kalo pake framework, kita tinggal ikutin rules nya aja, biar si framework yang mengantisipasi isian-isian yang berbahaya itu.
Misalnya, kalo di PHP biasanya kita handle post request kan dengan $_POST[], kalo di framework CodeIgniter dengan $this->input->post(), kebayang engga, ada fungsi apa aja dibalik $this->input->post() nya CI itu? Sudah coba cek? Bisa jadi didalamnya sudah disematkan serangkaian rules untuk mengantisipasi input-input yang berbahaya juga.
Kita juga perlu memvalidasi setiap masukan. Misalnya, gambar pada form upload. Meski sudah kita pastikan allowednya cuma .jpg, tapi kadang-kadang ada juga yang merubah script .php yang isinya virus atau backdoor, menjadi berektensi .jpg.
Bukan cuma untuk developer sih, sebenarnya kalo ngomongin ini juga ada peran dari Sys Admin juga. Cuma, kan ndak mesti tempat kamu kerja ada Sys Admin yang khusus untuk membantumu ngejerjain hal-hal seputar perserveran.
Mungkin ini dulu sementara cuap-cuap tentang data tampering, sebagai prolog anggep aja, kapan-kapan dilanjutkan lagi 🙂