Stegosploit: Penerapan Steganografi untuk Meng-hack Komputer

Steganografi adalah ilmu dan seni untuk menyembunyikan pesan rahasia di dalam sebuah media pembawa (carrier). Media pembawa saat ini sudah berupa digital, sehingga steganografi digital umumnya menggunakan media digital seperti citra (image), teks, video, dan audio.Penyisipan pesan ke dalam media pembawa tidak membuat kualitas media pembawa itu mengalami distorsi. Media yang telah disisipi pesan hampir tidak dapat dibedakan secara persepsi inderawi (visual atau audial) dengan media aslinya (cover). Inilah keunggulan steganografi dibandingkan kriptografi. Kriptografi menghasilkan cipherteks yang dapat menimbulkan kecurigaan (conspicious) bagi pengamat, sedangkan steganografi menghasilkan pesan yang tidak dapat dideteksi keberadaannya sehingga tidak menimbulkan kecurigaan (non-conspicious). Kriptografi menyembunyikan subtansi pesan, sedangkan steganografi menyembunyikan eksistensi pesan itu sendiri.

Meskipun steganografi merupakan salah satu teknik untuk mengamankan pesan rahasia, namun steganografi bukanlah pengganti kriptografi. Stegaonografi merupakan pelengkap kriptografi. Kriptografi dan steganografi digunakan secara paralel. Pesan rahasia dienkripsi terlebih dahulu (dengan suatu algoritma kriptografi) sebelum disisipkan ke dalam media pembawa. Silakan membaca review singkat tentang steanografi pada laman Wikipedia ini.

Steganografi yang populer adalah penyembunyian pesan di dalam gambar (image). Anda dapat menyisipkan pesan apapun di alam sebuah gambar, baik pesan dalam bentuk teks,  audio,  atau gambar sekalipun. Pesan dinyatakan di dalam bentuk bit biner. Di dalam ranah spasial (spatial domain), bit-bit pesan disisipkan ke dalam pixel, sedangkan di dalam ranah transform, bit-bit pesan disisipkan pada koefisien-koefisien hasil transformasi. Citra asli yang digunakan sebagai wadah penyisipan pesan disebut cover image, sedangkan citra yang sudah disisipi pesan disebut stego image. Antara cover image dan stego image sulit dibedakan secara visual (lihat gambar di bawah). Penerima citra stego mengekstraksi pesan yang tersembunyi di dalamnya menggunakan kunci rahasia tertentu. stegoSelama ini orang beranggapan steganografi hanya sekedar menyisipkan pesan rahasia semata, lalu sesudah itu selesai. Steganografi ternyata dapat digunakan untuk tujuan yang lebih jauh, salah satunya untuk meng-hack komputer. Selama ini  hacker melakukan hacking dengan mencari celah masuk ke dalam jaringan komputer target, atau menyusupkan kode program melalui attachment file dalam format PDF. Tetapi, ada cara lain yang tidak menimbulkan kecurigaan, yaitu melalui gambar-gambar. Adalah Saumil Shah, seorang peneliti keamanan dari India yang menemukan teknik hacking yang bernama Stegosploit. Seperti ditulis di dalam artikel berikut: How to Hack a Computer Using Just an Image, Shah mengatakan:

Stegosploit menggunakan teknik steganografi untuk menyembunyikan malicious code (atau diistilahkan Shah sebagai exploit) di dalam sebuah gambar (format JPG atau PNG). Malicious code adalah kode program “jahat” yang ditulis dalam bahasa JavaScript . Kode program ini isinya perintah-perintah untuk membaca dan mengirimkan data dari komputer target ke penyerang. Jadi, dalam hal ini pesan rahasia yang akan disembunyikan adalah berupa teks kode program yang kemudian disisipkan pada pixel-pixel gambar. Gambar yang sudah disisipi malicious code ini tampak innocent sehingga tidak menimbulkan kecurigaan bagi penerimanya.

stegosploit

Gambar kucing ini mungkin tampak ‘cute’, namun sebenarnya di dalam gambar ini terdapat malicious code yang berbahaya

Setelah sebuah gambar disisipi malicious code, maka cara penyebarannya bisa menggunakan dua cara. Pertama, gambar (stego image) ditaruh pada sebuah laman web dengan perintah kepada pembaca untuk mengklik gambar tersebut (mungkin supaya tampil dalam ukuran yang lebih besar). Cara kedua, komputer target dikirimi surel (email) yang di dalamnya ada tautan (link) ke laman web yang berisi gambar tersebut.  Ketika pengguna meng-klik gambar tersebut sehingga tampil pada laman browser, maka malicious code di dalamnya diekstraksi (decoded) dengan elemen kanvas

Sekali malicious code berhasil di-ekstraksi dari gambar tadi, maka mulailah dia beraksi. Shah mendemokan cara Stegosploit bekerja. Ketika gambar di-klik, CPU menunjukkan penggunaan 100%, yang mengindikasikan malicious code berhasil bekerja. Malicious code membaca data dari komputer target lalu mengirimkannya kembali ke penyerang, tak lupa menampilkan pesan di layar:

Moral dari Stegosploit yang ditemukan Shah adalah: berhati-hatilah jika anda suatu hari menerima kiriman gambar dari sumber yang tidak dapat dipercaya, jangan langsung di-klik., seperti contoh (ini hanya contoh saja) di bawah ini:

stegosploi2

Sebuah surel yang berisi gambar yang siap untuk di-klik

Gambar yang tampak keren atau innocent bisa jadi mengandung program jahat yang akan meng-hack komputer anda. Waspada!

Tinggalkan komentar

Filed under Steganografi

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s