Bagaimana Menggunakan Footprinting untuk Merencanakan sebuah Hacker Etika

Salah satu cara untuk memulai peretasan etis pada bisnis Anda adalah melalui sebuah proses. sering disebut footprinting. Melalui footprinting, Anda melihat apa yang orang lain lihat tentang organisasi dan sistem Anda. Berikut adalah proses footprinting:

Mengumpulkan informasi publik

Jumlah informasi yang dapat Anda kumpulkan tentang sistem bisnis dan informasi organisasi sangat mengejutkan dan banyak tersedia di Internet. Tugas Anda adalah mencari tahu apa yang ada di luar sana. Informasi ini memungkinkan penyerang dan karyawan berbahaya untuk menargetkan wilayah tertentu dalam organisasi, termasuk departemen dan individu kunci.

Teknik berikut dapat digunakan untuk mengumpulkan informasi tentang organisasi Anda.

Media sosial

Situs media sosial adalah sarana baru untuk bisnis yang berinteraksi secara online. Perusing situs berikut dapat memberikan rincian yang tak terhitung pada bisnis tertentu dan orang-orangnya:

• Facebook

• LinkedIn

• Pinterest

• Twitter

• YouTube

Pencarian web

Melakukan pencarian web atau hanya melihat-lihat situs web organisasi Anda dapat menemukan informasi berikut:

• Nama karyawan dan info kontak

• Tanggal perusahaan penting

• Pengajuan penggabungan

• Pengarsipan SEC

• Siaran pers tentang pergerakan fisik, perubahan organisasi, dan produk baru

• Merger dan akuisisi

• Paten dan Merek Dagang

• Presentasi, artikel, webcast, atau webinar

Dengan Google, Anda dapat mencari di Internet dengan beberapa cara:

• Dengan mengetikkan kata kunci: Jenis ini Pencarian sering mengungkapkan ratusan dan terkadang jutaan halaman informasi - seperti file, nomor telepon, dan alamat - yang tidak pernah Anda duga tersedia.

• Dengan melakukan penelusuran web lanjutan: Opsi penelusuran lanjutan Google dapat menemukan situs yang tertaut kembali ke situs web perusahaan Anda. Jenis pencarian ini sering mengungkapkan banyak informasi tentang mitra, vendor, klien, dan afiliasi lainnya.

• Dengan menggunakan saklar untuk menggali lebih dalam ke situs web: Misalnya, jika Anda ingin menemukan kata atau file tertentu di situs web Anda, cukup masukkan satu baris seperti berikut ini ke Google:

site: www. your_domain situs kata kunci com: www. your_domain com filename

Anda bahkan dapat melakukan pencarian filetype generik di seluruh Internet untuk melihat apa yang terjadi, seperti ini:

filetype: swf company_name

Gunakan pencarian sebelumnya untuk menemukan Flash. file swf, yang dapat didownload dan didekompilasi untuk mengungkapkan informasi sensitif yang dapat digunakan untuk melawan bisnis Anda.

Gunakan pencarian berikut untuk mencari dokumen PDF yang mungkin berisi informasi sensitif yang dapat digunakan untuk melawan bisnis Anda:

filetype: pdf company_name confidential

Web crawling

Perayapan perayapan web, seperti situs web HTTrack Copier, bisa mencerminkan situs Anda dengan mendownload setiap file yang dapat diakses publik darinya. Anda kemudian dapat memeriksa salinan situs web tersebut secara offline, menggali sebagai berikut:

• Tata letak dan konfigurasi situs web

• Direktori dan file yang mungkin tidak dapat ditemukan dengan jelas atau mudah diakses

• Kode sumber HTML dan skrip web halaman

• bidang Komentar

Bidang komentar sering berisi informasi yang berguna seperti nama dan alamat e-mail dari pengembang dan personil TI internal, nama server, versi perangkat lunak, skema pengalamatan IP internal, dan komentar umum tentang bagaimana kode tersebut bekerja.

Situs web

Situs web berikut mungkin memberikan informasi spesifik tentang organisasi dan pegawainya:

• Situs web pemerintah dan bisnis:

  • www. hoovers. com dan // keuangan. yahoo. com memberikan informasi rinci tentang perusahaan publik.

  • www. detik. gov / edgar shtml menunjukkan pengarsipan SEC dari perusahaan publik.

  • www. uspto gov menawarkan pendaftaran paten dan merek dagang.

  • Situs web untuk Sekretaris Negara atau organisasi sejenis Anda dapat menawarkan informasi penggabungan dan informasi perwira perusahaan.

• Pemeriksaan latar belakang dan informasi pribadi lainnya:

  • LexisNexis. com

  • ZabaSearch

Peta jaringan

Saat memetakan jaringan Anda, Anda dapat mencari database publik dan sumber daya untuk melihat apa yang orang lain ketahui tentang jaringan Anda.

Whois

Titik awal terbaik adalah melakukan pencarian Whois dengan menggunakan salah satu alat Whois yang tersedia di Internet. Anda mungkin telah menggunakan Whois untuk memeriksa apakah nama domain Internet tertentu tersedia.

Untuk hacking etis, Whois memberikan informasi berikut yang dapat memberi hacker sebuah hak untuk memulai serangan rekayasa sosial atau untuk memindai jaringan:

• informasi pendaftaran nama domain internet, seperti nama kontak, nomor telepon, dan alamat surat

• Server DNS yang bertanggung jawab atas domain Anda

Anda dapat mencari informasi Whois di salah satu tempat berikut:

• Whois. net

• Situs registrar domain, seperti www. Ayo ayah. com

• Situs dukungan teknis ISP Anda

Alat Whois yang hebat adalah DNSstuff. com. Meski alat ini tidak lagi gratis dan digunakan untuk menjual banyak layanan, tetap saja sumbernya bagus. Situs bagus lainnya adalah www. mxtoolbox com.

Anda dapat menjalankan query DNS langsung dari www. mxtoolbox com to

• Tampilkan informasi registrasi domain umum

• Tampilkan host yang menangani e-mail (Mail Exchanger atau MX record) untuk domain

• Peta lokasi host tertentu

• Tentukan apakah host terdaftar pada daftar hitam spam tertentu

Situs gratis yang dapat Anda gunakan untuk kueri domain internet yang lebih mendasar adalah // dnstools. com.

Daftar berikut menunjukkan berbagai situs pencarian untuk kategori lain:

• Pemerintah

• Militer

• AFRINIK

• APNIC

• ARIN

• LACNIC

• Pusat Koordinasi Jaringan RIPE

Grup Google

Grup Google dapat mengungkapkan informasi jaringan publik yang mengejutkan.Cari informasi seperti nama domain yang memenuhi syarat (FQDNs), alamat IP, dan nama pengguna Anda. Anda dapat mencari jutaan posting Usenet yang berasal dari tahun 1981 untuk informasi publik dan seringkali sangat pribadi.

Anda mungkin menemukan beberapa informasi yang tidak Anda sadari dipublikasikan, seperti berikut ini:

• Pos dukungan teknologi atau papan pesan yang membocorkan terlalu banyak informasi tentang sistem Anda. Banyak orang yang memposting pesan seperti ini tidak menyadari bahwa pesan mereka dibagikan dengan dunia atau berapa lama mereka menyimpannya.

• Informasi rahasia perusahaan yang diposkan oleh karyawan atau klien yang tidak puas.

Jika Anda menemukan bahwa informasi rahasia tentang perusahaan Anda diposkan secara online, Anda mungkin bisa menghapusnya. Lihat halaman bantuan Google Groups untuk rinciannya.

Kebijakan privasi

Periksa kebijakan privasi situs web Anda. Praktik yang baik adalah membiarkan pengguna situs Anda mengetahui informasi apa yang dikumpulkan dan bagaimana hal itu dilindungi, namun tidak lebih dari itu.