Session Hijacking

Istilah sesi pembajakan (session hijacking) umumnya digunakan untuk
menggambarkan proses sebuah koneksi TCP yang diambil alih oleh sebuah
rangkaian serangan yang sudah dapat diprediksi sebelumnya. Pada serangan seperti
itu, penyerang memperoleh kendali melalui koneksi TCP yang sudah ada. Bila
diterapkan pada keamanan aplikasi web, session hijacking mengacu pada
pengambilalihan sebuah session aplikasi web.

Session Hijacking sendiri merupakan aksi pengambilan kendali session milik user lain setelah
sebelumnya “pembajak” berhasil memperoleh autentifikasi ID session yang
biasanya tersimpan dalam cookies. Session hijacking menggunakan metode
captured, brute forced atau reserve enggineered guna memperoleh ID session,
yang untuk selanjutnya memegang kendali atas session yang dimiliki oleh user lain
tersebut selama session berlangsung
.
HTTP merupakan protokol yang stateless, sehingga perancang aplikasi
mengembangkan suatu cara untuk menelusuri suatu state diantara user-user yang
koneksi secara multiple. Aplikasi menggunakan session untuk menyimpan
parameter-parameter yang relevan terhadap user. Session akan terus ada pada
server selama user masih aktif / terkoneksi. Session akan otomatis dihapus jika user
logout atau melampaui batas waktu koneksi. Karena sifatnya ini, session dapat
dimanfaatkan oleh seorang hacker untuk melakukan session hijacking.

Social engineering

Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu.
Social engineering mengkonsentrasikan diri pada rantai terlemah sistem jaringan komputer, yaitu manusia. Seperti kita tahu, tidak ada sistem komputer yang tidak melibatkan interaksi manusia. Dan parahnya lagi, celah keamanan ini bersifat universal, tidak tergantung platform, sistem operasi, protokol, software ataupun hardware. Artinya, setiap sistem mempunyai kelemahan yang sama pada faktor manusia. Setiap orang yang mempunyai akses kedalam sistem secara fisik adalah ancaman, bahkan jika orang tersebut tidak termasuk dalam kebijakan kemanan yang telah disusun. Seperti metoda hacking yang lain, social engineering juga memerlukan persiapan, bahkan sebagian besar pekerjaan meliputi persiapan itu sendiri.

Di balik semua sistem keaman dan prosedur-prosedur pengamanan yang ada masih terdapat faktor lain yang sangat penting, yaitu : manusia.
Pada banyak referensi, faktor manusia dinilai sebagai rantai paling lemah dalam sebuah sistem keamanan. Sebuah sistem keamanan yang baik, akan menjadi tidak berguna jika ditangani oleh administrator yang kurang kompeten. Selain itu, biasanya pada sebuah jaingan yang cukup kompleks terdapat banyak user yang kurang mengerti masalah keamanan atau tidak cukup peduli tentang hal itu. Ambil contoh di sebuah perusahaan, seorang network admin sudah menerapkan kebijakan keamanan dengan baik, namun ada user yang mengabaikan masalah kemanan itu. Misalnya user tersebut menggunakan password yang mudah ditebak, lupa logout ketika pulang kerja, atau dengan mudahnya memberikan akses kepada rekan kerjanya yang lain atau bahkan kepada kliennya. Hal ini dapat menyebabkan seorang penyerang memanfaatkan celah tersebut dan mencuri atau merusak datadata penting perusahaan.
Atau pada kasus di atas, seorang penyerang bisa berpura-pura sebagai pihak yang berkepentingan dan meminta akses kepada salah satu user yang ceroboh tersebut. Tindakan ini digolongkan dalam Social Engineering.

Metode

Metode pertama adalah metode yang paling dasar dalam social engineering, dapat menyelesaikan tugas penyerang secara langsung yaitu, penyerang tinggal meminta apa yang diinginkannya: password, akses ke jaringan, peta jaringan, konfigurasi sistem, atau kunci ruangan. Memang cara ini paling sedikit berhasil, tapi bisa sangat membantu dalam menyelesaikan tugas penyerang.
Cara kedua adalah dengan menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Penyerang bisa membuat alasan yang menyangkut kepentingan pihak lain atau bagian lain dari perusahaan itu, misalnya. Ini memerlukan kerja lanjutan bagi penyerang untuk mencari informasi lebih lanjut dan biasanya juga harus mengumpulkan informasi tambahan tentang ‘target’. Ini juga berarti kita tidak harus selalu berbohong untuk menciptakan situasi tesebut, kadangkala fakta-fakta lebih bisa diterima oleh target.
Sebagai contoh seperti ini: seorang berpura-pura sebagai agen tiket yang menelepon salah satu pegawai perusahaan untuk konfirmasi bahwa tiket liburannya telah dipesan dan siap dikirim. Pemesanan dilakukan dengan nama serta posisi target di perusahaan itu, dan perlu mencocokkan data dengan target. Tentu saja target tidak merasa memesan tiket, dan penyerang tetap perlu mencocokkan nama, serta nomor pegawainya. Informasi ini bisa digunakan sebagai informasi awal untuk masuk ke sistem di perusahaan tersebut dengan account target. Contoh lain, bisa berpura-pura sedang mengadakan survei hardware dari vendor tertentu, dari sini bisa diperoleh informasi tentang peta jaringan, router, firewall atau komponen jaringan lainnya.
Cara yang populer sekarang adalah melalui e-mail, dengan mengirim e-mail yang meminta target untuk membuka attachment yang tentunya bisa kita sisipi worm atau trojan horse untuk membuat backdoor di sistemnya. Kita juga bisa sisipkan worm bahkan dalam file .jpg yang terkesan “tak berdosa” sekalipun.
Cara-cara tersebut biasanya melibatkan faktor personal dari target: kurangnya tanggung jawab, ingin dipuji dan kewajiban moral. Kadang target merasa bahwa dengan tindakan yang dilakukan akan menyebabkan sedikit atu tanpa efek buruk sama sekali. Atau target merasa bahwa dengan memenuhi keinginan penyerang-yang berpura-pura akan membuat dia dipuji atau mendapat kedudukan ynag lebih baik. Atau dia merasa bahwa dengan melakukan sesuatu akan membantu pihak lain dan itu memang sudah kewajibannya untuk membantu orang lain. Jadi kita bisa fokuskan untuk membujuk target secara sukarela membantu kita, tidak dengan memaksanya. Selanjutnya kita bisa menuntun target melakukan apa yang kita mau, target yakin bahwa dirinya yang memegang kontrol atas situasi tersebut. Target merasa bahwa dia membuat keputusan yagn baik untuk membantu kita dan mengorbankan sedikit waktu dan tenaganya. Semakin sedikit konflik semakin baik.
Riset psikologi juga menunjukkan bahwa seorang akan lebih mudah memenuhi keinginan jika sebelumnya sudah pernah berurusan, sebelum permintaan inti cobalah untuk meminta target melakukan hal-hal kecil terlebih dahulu.

Apa itu Phising ??

Phising , adalah tindakan memperoleh informasi pribadi seperti User ID, PIN, nomor rekening bank, nomor kartu kredit Anda secara tidak sah. Informasi ini kemudian akan dimanfaatkan oleh pihak penipu untuk mengakses rekening, melakukan penipuan kartu kredit atau memandu nasabah untuk melakukan transfer ke rekening tertentu dengan iming-iming hadiah

Aksi ini semakin marak terjadi. Tercatat secara global, jumlah penipuan bermodus phising selama Januari 2005 melonjak 42% dari bulan sebelumnya. Anti-Phishing Working Group (APWG) dalam laporan bulanannya, mencatat ada 12.845 e-mail baru dan unik serta 2.560 situs palsu yang digunakan sebagai sarana phishing.

Selain terjadi peningkatan kuantitas, kualitas serangan pun juga mengalami kenaikan. Artinya, situs-situs palsu itu ditempatkan pada server yang tidak menggunakan protokol standar sehingga terhindar dari pendeteksian

Bagaimana phishing dilakukan?

Teknik umum yang sering digunakan oleh penipu adalah sebagai berikut:

• Penggunaan alamat e-mail palsu dan grafik untuk menyesatkan Nasabah sehingga Nasabah terpancing menerima keabsahan e-mail atau web sites. Agar tampak meyakinkan, pelaku juga seringkali memanfaatkan logo atau merk dagang milik lembaga resmi, seperti; bank atau penerbit kartu kredit. Pemalsuan ini dilakukan untuk memancing korban menyerahkan data pribadi, seperti; password, PIN dan nomor kartu kredit
• Membuat situs palsu yang sama persis dengan situs resmi.atau . pelaku phishing mengirimkan e-mail yang berisikan link ke situs palsu tersebut.
• Membuat hyperlink ke web-site palsu atau menyediakan form isian yang ditempelkan pada e-mail yang dikirim.

Berikut 10 tips untuk mencegah serangan phising:

1. Untuk situs sosial seperti Facebook, buat bookmark untuk halaman login atau mengetik URL www.facebook.com secara langsung di browser address bar.
2. Jangan mengklik link pada pesan email.
3. Hanya mengetik data rahasia pada website yang aman.
4. Mengecek akun bank Anda secara regular dan melaporkan apapun yang mencurigakan kepada bank Anda.
5. Kenali tanda giveaway yang ada dalam email phising:
- Jika hal itu tidak ditujukan secara personal kepada anda.
- Jika anda bukan satu-satunya penerima email.
- Jika terdapat kesalahan ejaan, tata bahasa atau sintaks yang buruk atau kekakuan lainnya dalam penggunaan bahasa. Biasanya ini dilakukan penyebar phising untuk mencegah filtering.
6. Menginstall software untuk kemanan internet dan tetap mengupdate antivirus.
7. Menginstall patch keamanan.
8. Waspada terhadap email dan pesan instan yang tidak diminta.
9. Berhati-hati ketika login yang meminta hak Administrator. Cermati alamat URL-nya yang ada di address bar.
10. Back up data anda.

SPOOFING

Spoofing adalah “ Teknik yang digunakan untuk memperoleh akses yang tidak sah ke suatu komputer atau informasi, dimana penyerang berhubungan dengan pengguna dengan berpura-pura memalsukan bahwa mereka adalah host yang dapat dipercaya” hal ini biasanya dilakukan oleh seorang hacker/ cracker.

Macam-Macam Spoofing

• IP-Spoofing adalah serangan teknis yang rumit yant terdiri dari beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja dengan menipu komputer dalam hubungan kepercayaan bahwa anda adalah orang lain. Terdapat banyak makalah ditulis oleh daemon9, route, dan infinity di Volume Seven, Issue Fourty-Eight majalah Phrack.
• DNS spoofing adalah mengambil nama DNS dari sistem lain dengan membahayakan domain name server suatu domain yang sah.
• Identify Spoofing adalah suatu tindakan penyusupan dengan menggunakan identitas resmi secara ilegal. Dengan menggunakan identitas tersebut, penyusup akan dapat mengakses segala sesuatu dalam jaringan.

Contoh Web Spoofing
Web Spoofing melibatkan sebuah server web yang dimiliki penyerang yang diletakkan pada internet antara pengguna dengan WWW, sehingga akses ke web yang dituju pengguna akan melalui server penyerang. Cara seperti ini dikenal dengan sebutan “man in the middle attack” [2,5]. Hal ini dapat terjadi dengan beberapa jalan, tapi yang paling mungkin adalah :

• Akses ke situs web diarahkan melalui sebuah proxy server : ini disebut (HTTP) application proxy. Hal ini memberikan pengelolaan jaringan yang lebih baik untuk akses ke server. Ini merupakan teknik yang cukup baik yang digunakan pada banyak situs-situs di internet, akan tetapi teknik ini tidak mencegah Web Spoofing.

• Seseorang menaruh link yang palsu (yang sudah di-hack) pada halaman web yang populer.

• Kita menggunakan search engine (mesin pencari, seperti Yahoo, Alta Vista, Goggle) untuk mendapatkan link dari topik yang ingin dicari. Tanpa kita ketahui, beberapa dari link ini telah diletakkan oleh hacker yang berpura-pura menjadi orang lain. Seperti, pencarian untuk situs bank memberikan salah satu hasil http://www.kilkbca..com, sayangnya kita mungkin tidak mengetahui bahwa URL sebenarnya dari Bank BCA adalah http://www.klikbca.com

Kita menggunakan browser mengakses sebuah Web. Semua yang ada pada NET (baik Internet maupun Intranet) direferensikan dengan Universal Resource Locator (URL). Pertama-tama penyerang harus menulis-ulang URL dari halaman web yang dituju sehingga mereka mengacu ke server yang dimiliki penyerang daripada ke server web yang sebenarnya. Misalnya, server penyerang terletak di www.attacker.com, maka penyerang akan menulis-ulang URL dengan menambahkan http://www.attacker.com didepan URL yang asli.

Setelah menulis-ulang URL langkah-langkah berikut terjadi pada waktu serangan Web spoofing

1. Pengguna me-request sebuah halaman melalui URL situs Web tersebut dari browser web.
2. Server penyerang mendapatkan halaman yang diinginkan dari server web yang sebenarnya.
3. Server Web yang sebenarnya menyediakan halaman tersebut ke server yang dimiliki oleh penyerang.
4. Server penyerang menulis-ulang halaman yang dimaksud.
5. Server penyerang memberikan versi halaman yang sudah ditulis-ulang kepada pengguna.

Karena seluruh URL pada halaman web yang ditulis-ulang telah mengacu kepada server penyerang, maka jika pengguna mengikuti link pada halaman yang baru,  halaman tersebut juga akan diperoleh dari server penyerang. Pengguna akan tetap terperangkap dalam web palsu yang dibuat oleh penyerang, dan dapat terus mengikuti link tanpa dapat meninggalkannya.
Metode yang digunakan penyerang untuk mengarahkan korban ke server web penyerang dipermudah dengan adanya kelemahan dalam design pada location bar dari hampir semua browser Internet. Karena kelamahan dalam design tersebut, jika sebuah URL tidak cukup pada kotak lokasi, maka browser dapat menampilkan bagian akhir dari URL, misalnya http://www.attackers.com/http://www.comicscorner.com, maka baris alamat URL hanya akan menampilkan http://www.comicscorner.com, yang akan membantu penyerang dalam usaha menipu korban agar mengira mereka mengunjungi situs yang benar. Tetapi kelemahan design ini diatasi dengan hanya menarik dan menempatkan address bar ke sisi kanan dari button bar yang standar.
Sifat yang menyulitkan dari serangan ini adalah ia dapat bekerja meskipun ketika korban me-request sebuah halaman melalui “secure connection”. Jika korban melakukan akses halaman Web yang “aman” (akses Web menggunakan Secure Socket Layer) pada sebuah situs Web palsu, semua akan berlangsung kelihatan berlangsung normal, halaman web akan ditampilkan dan penunjuk “secure connection” (biasanya berupa gambar sebuah gembok atau kunci) akan menyala.
Meskipun serangan Web Spoofing hampir efektif, masih ada beberapa yang memungkinkan korban dapat mengetahui bahwa serangan spoofing sedang berlangsung. Akan tetapi penyerang dapat menghilangkan petunjuk akan adanya serangan dan membuat penyerang dapat menghapus jejaknya.

MalWare

Serangan DoS (Denial of Service)

Serangan DoS adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:

• Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
• Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.
• Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.

Bentuk serangan Denial of Service awal adalah serangan SYN Flooding Attack, yang pertama kali muncul pada tahun 1996 dan mengeksploitasi terhadap kelemahan yang terdapat di dalam protokol Transmission Control Protocol (TCP). Serangan-serangan lainnya akhirnya dikembangkan untuk mengeksploitasi kelemahan yang terdapat di dalam sistem operasi, layanan jaringan atau aplikasi untuk menjadikan sistem, layanan jaringan, atau aplikasi tersebut tidak dapat melayani pengguna, atau bahkan mengalami crash. Beberapa tool yang digunakan untuk melakukan serangan DoS pun banyak dikembangkan setelah itu (bahkan beberapa tool dapat diperoleh secara bebas), termasuk di antaranya Bonk, LAND, Smurf, Snork, WinNuke, dan Teardrop.
Meskipun demikian, serangan terhadap TCP merupakan serangan DoS yang sering dilakukan. Hal ini disebabkan karena jenis serangan lainnya (seperti halnya memenuhi ruangan hard disk dalam sistem, mengunci salah seorang akun pengguna yang valid, atau memodifikasi tabel routing dalam sebuah router) membutuhkan penetrasi jaringan terlebih dahulu, yang kemungkinan penetrasinya kecil, apalagi jika sistem jaringan tersebut telah diperkuat.

HACKER

Hacker adalah sekelompok orang yang menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer ataupun dalam sebuah software. Ada juga yang bilang hacker adalah orang yang secara diam-diam mempelajari sistem yang biasanya sukar dimengerti untuk kemudian mengelolanya dan men-share hasil uji coba yang dilakukannya.

Beberapa istilah untuk tingkatan hacker antara lain :

• Elite
Mengerti sistem luar dalam, sanggup mengkonfigurasi & menyambungkan jaringan secara global, melakukan pemrogramman setiap harinya, effisien & trampil, menggunakan pengetahuannya dengan tepat, tidak menghancurkan data-data, dan selalu mengikuti peraturan yang ada. Tingkat Elite ini sering disebut sebagai ‘suhu’.

• Semi Elite
Mempunyai kemampuan & pengetahuan luas tentang komputer, mengerti tentang sistem operasi (termasuk lubangnya), kemampuan programnya cukup untuk mengubah program eksploit.

• Developed Kiddie
Kebanyakkan masih muda & masih sekolah, mereka membaca tentang metoda hacking & caranya di berbagai kesempatan, mencoba berbagai sistem sampai akhirnya berhasil & memproklamirkan kemenangan ke lainnya, umumnya masih menggunakan Grafik User Interface (GUI) & baru belajar basic dari UNIX tanpa mampu menemukan lubang kelemahan baru di sistem operasi.

• Script Kiddie
Kelompok ini hanya mempunyai pengetahuan teknis networking yang sangat minimal, tidak lepas dari GUI, hacking dilakukan menggunakan trojan untuk menakuti & menyusahkan hidup sebagian pengguna Internet.

• Lamer
Kelompok ini hanya mempunyai pengalaman & pengetahuan tapi ingin menjadi hacker sehingga lamer sering disebut sebagai ‘wanna-be’ hacker, penggunaan komputer mereka terutama untuk main game, IRC, tukar menukar software prirate, mencuri kartu kredit, melakukan hacking dengan menggunakan software trojan, nuke & DoS, suka menyombongkan diri melalui IRC channel, dan sebagainya. (sumber: echo.org)

Dibawah ini beberapa nama 10 Hacker Top Di Dunia diantaranya :

1. Kevin Mitnick
Menjelajah system komputer milik perusahaan teknologi dan telekomunikasi top dunia, termasuk Nokia, Fujitsu, dan Motorola.

2. Kevin Poulson
melakukan penipuan digital dengan mengaku menjadi penelepon yang menjebol line telepon ke-102 hanya untuk mendapatkan uang untuk membeli Porsche.

3. Adrian Lamo
membobol jaringan komputer dan kemudian melaporkan kelemahannya kepada perusahaan yang memiliki jaringan tersebut.

4. Stephen Wozniak
Terkenal sebagai co-founder Apple, memulai aksi ‘white-hat’-nya dengan menjebol system telepon. kemudian Wozniak bekerja dengan temannya Steve Jobs, membuat Apple Computer.

5. Loyd Blankenship
Aksinya yang terbesar adalah ia menjadi pengarang dari Hacker Manifesto (The Conscience of a Hacker), yang ia tulis di penjara di tahun 1986.

6. Linus Torvalds
Hacker yang juga mengembangkan sistem operasi Linux, gabungan dari “LINUS MINIX”. Kini sistem operasi Linux telah menjadi sistem operasi ‘default’ hacker.

7. John Draper
Ia berhasil menjebol system telepon. Ia menemukan frekuensi 2600 Hz dan digunakan sebagai alat untuk melakukan pemanggilan telepon gratis.

8. Mark Abene
Masuk menjadi salah satu member “Master of Deception” dan Hacker Groups Legion of Doom atau yang dikenal sebagai Phiber Optik yang berbasis di group elite di New York, yang menargetkan system telepon US, termasuk system compuetr AT&T di akhir pertengahan tahun 80-an.

9. Robert Morris
Ia menjadi hacker ternama setelah berhasil menginfeksi ribuan komputer yang terhubung dalam jaringan. Ia kemudian menulis Worm Internet yang populer di tahun 1988.

10. Richard Stallman
Merupakan penemu project GNU, dan menjadi salah satu ‘hacker sekolah senior‘ bekerja pada lab Artificial Intelligence MIT.

Teknik Deface pada Web

Deface/Defacing atau cyber grafity secara umum diartikan sebagai aktifitas menodai atau
merubah ubah isi suatu halaman web dengan kalimat , image atau link tertentu yang tidak
ada sangkut pautnya dengan misi web tersebut , Biasanya hacker men-deface suatu
halaman web dengan maksud supaya eksistensinya diketahui oleh khalayak ramai.
Mungkin anda pernah dengar atau pernah mengunjungi suatu web yang terkena deface
seperti :

http://www.bandaaceh.go.id
http://www.pertamina.co.id
http://www.trans7.co.id
http://www.setkab.go.id
http://www.pom.go.id
http://www.unsri.ac.id

Apabila kita perhatikan target target tersebut dengan seksama , para target
mempunyai kesamaan yaitu server web tersebut berjalan di Operating System Windows
2000 dan servernya adalah IIS 5.0/6.0.

Mungkin anda beranggapan bahwa deface server server web tersebut adalah hal yang
susah dan perlu waktu yang lama untuk menyusup ke server tersebut , ternyata hal
tersebut adalah mudah semudah copy dan paste , silahkan ikuti langkah langkah berikut ,
dalam hal ini gw menggunakan contoh penggunaan web folder pada Windows xp


1. Buatlah suatu halaman web seperti dibawah ini atau terserah anda dengan
menggunakan tool/software terserah anda seperti Frontpage , Macromedia , Note
pad dan lain lain

2. Beri nama halaman web tersebut dengan index.html / index.asp / default.html /
default.asp atau nama lain tergantung nama file halaman pertama suatu web
terbuka atau nama terserah anda apabila hanya mau menyimpan file tersebut di
suatu web

3. Buka My computer pada desktop dan lihat icon web folder

4. Klik 2 kali pada icon web folder tersebut

5. klik 2 kali pada icon add web folder

6. Isikan URL target di popup yang muncul misalkan target kita adalah
http://www.pertamina.co.id maka isikan URL tersebut

7. klik next lalu finish

8. Klik 2 kali pada folder yang terbentuk dan anda akan melihat isi folder tersebut
dengan file file yang akan tampil pada halaman web apabila kita mengunjungi
web tersebut

9. rubah nama file pembuka web tersebut (biasanya nama file index.html atau
index.asp) dengan nama file lain seperti index_old.asp atau terserah anda ,
biasakan hal ini anda lakukan karena kita tidak bermaksud untuk merusak isi web
milik orang lain , hanya mengingatkan.

10. Copy dan paste-kan halaman web yang anda buat tadi di folder web folder yang
telah kita buat

11. Save di komputer anda.

12. Proses Deface selesai.

Untuk pembelajaran silahkan anda cari web site yang masih vurn dengan menggunakan
google searching ketikan keyword dengan kunci “allinurl:*.asp” atau apabila mau
mencari situs pemerintah ketikan keyword “web: .go.id”
Untuk para administrator web site , download-lah patch bug tersebut untuk menghindari
terjadinya deface yang sangat mudah ini dengan demikian untuk para defacer yang
hendak coba coba deface dengan cara ini dan prosesnya gagal , sudah dipastikan web siteyang hendak anda deface sudah tidak vurn lagi atau sudah di-patch.
Good luck Brother !

Network Sniffing

Network Sniffing adalah suatu aktifitas menyadap yang di lakukan dalam jaringan yang sangat sulit untuk di cegah, walaupun kita telah menginstall berbagai macam software untuk mencegah serangan dalam jaringan. ini adalah permasalahan dari komunikasi atau protokol jaringan dan tidak ada hubungannya dengan sistem operasi”.

Aktifitas menyadap atau sniffing ini terbagi 2 jenis yaitu :

1. Passive Sniffing adalah suatu kegiatan penyadapan tanpa merubah data atau paket apapun di jaringan. Passive sniffing yang umum di lakukan yaitu pada Hub, hal ini di sebabkan karena prinsip kerja hub yang hanya bertugas meneruskan signal ke semua komputer (broadcast), berbeda dengan switch yang mempunyai cara untuk menghindari collision atau bentrokan yang terjadi pada hub dengan membaca MAC address komputer. Beberapa program yang umumnya di gunakan untuk melakukan aktifitas ini yaitu wireshark, cain-abel, dsb.
2. Active sniffing adalah kegiatan sniffing yang dapat melakukan perubahan paket data dalam jaringan agar bisa melakukan sniffing, active sniffing dengan kata lain merupakan kebalikan dari passive sniffing. Active sniffing umumnya di lakukan pada Switch, hal ini di dasar karena perbedaan prinsip kerja antara Hub dan Switch, seperti yang di jelaskan di atas. Active sniffing yang paling umum di lakukan adalah ARP Poisoning, Man in the middle attack(MITM).

Dua jenis sniffing ini sangat merugikan jika terjadi di dalam jaringan karena bisa saja data-data pribadi kita atau account-account pribadi kita semacam e-mail yang bersifat sensitif dapat tercuri.
Sniffing sendiri merupakan suatu tindakan yang sangat sulit untuk di cegah. Tidak ada solusi yang mudah, cepat, dan aman, yang bisa kita lakukan untuk mencecegah serangan semacam ini. Namun tentunya, kita bisa meminimalisir kerugian yang mungkin terjadi di kemudian hari. Hal yang paling cepat di gunakan dan tidak memakan biaya besar adalah penggunaan enkripsi sehingga data-data yang lalu lalang di dalam jaringan kita sangat sulit untuk di baca dan di pahami.

Apa itu CyberCrime ??

Dalam beberapa literatur, cybercrime sering diidentikkan sebagai computer crime. The U.S. Department of Justice memberikan pengertian Computer Crime sebagai: "… any illegal act requiring knowledge of Computer technology for its perpetration, investigation, or prosecution". Pengertian lainnya diberikan oleh Organization of European Community Development, yaitu: "any illegal, unethical or unauthorized behavior relating to the automatic processing and/or the transmission of data". Andi Hamzah dalam bukunya “Aspek-aspek Pidana di Bidang Komputer” (1989) mengartikan cybercrime sebagai kejahatan di bidang komputer secara umum dapat diartikan sebagai penggunaan komputer secara ilegal. Sedangkan menurut Eoghan Casey “Cybercrime is used throughout this text to refer to any crime that involves computer and networks, including crimes that do not rely heavily on computer“.

Jenis-jenis Kategori CyberCrime

Eoghan Casey mengkategorikan cybercrime dalam 4 kategori yaitu:

1. A computer can be the object of Crime.
2. A computer can be a subject of crime.
3. The computer can be used as the tool for conducting or planning a crime.
4. The symbol of the computer itself can be used to intimidate or deceive.

Polri dalam hal ini unit cybercrime menggunakan parameter berdasarkan dokumen kongres PBB tentang The Prevention of Crime and The Treatment of Offlenderes di Havana, Cuba pada tahun 1999 dan di Wina, Austria tahun 2000, menyebutkan ada 2 istilah yang dikenal :

1. Cyber crime in a narrow sense (dalam arti sempit) disebut computer crime: any illegal behaviour directed by means of electronic operation that target the security of computer system and the data processed by them.
2. Cyber crime in a broader sense (dalam arti luas) disebut computer related crime: any illegal behaviour committed by means on relation to, a computer system offering or system or network, including such crime as illegal possession in, offering or distributing information by means of computer system or network.

Dari beberapa pengertian di atas, cybercrime dirumuskan sebagai perbuatan melawan hukum yang dilakukan dengan memakai jaringan komputer sebagai sarana/ alat atau komputer sebagai objek, baik untuk memperoleh keuntungan ataupun tidak, dengan merugikan pihak lain.

MODUS OPERANDI CYBER CRIME

Kejahatan yang berhubungan erat dengan penggunaan teknologi yang berbasis komputer dan jaringan telekomunikasi ini dikelompokkan dalam beberapa bentuk sesuai modus operandi yang ada, antara lain:

1. Unauthorized Access to Computer System and Service
   
   Kejahatan yang dilakukan dengan memasuki/menyusup ke dalam suatusistem jaringan komputer secara tidak sah, tanpa izin atau tanpa sepengetahuan dari pemilik sistem jaringan komputer yang dimasukinya. Biasanya pelaku kejahatan (hacker) melakukannya dengan maksud sabotase ataupun pencurian informasi penting dan rahasia. Namun begitu, ada juga yang melakukannya hanya karena merasa tertantang untuk mencoba keahliannya menembus suatu sistem yang memiliki tingkat proteksi tinggi. Kejahatan ini semakin marak dengan berkembangnya teknologi Internet/intranet. Kita tentu belum lupa ketika masalah Timor Timur sedang hangat-hangatnya dibicarakan di tingkat internasional, beberapa website milik pemerintah RI dirusak oleh hacker (Kompas, 11/08/1999). Beberapa waktu lalu, hacker juga telah berhasil menembus masuk ke dalam data base berisi data para pengguna jasa America Online (AOL), sebuah perusahaan Amerika Serikat yang bergerak dibidang ecommerce yang memiliki tingkat kerahasiaan tinggi (Indonesian Observer, 26/06/2000). Situs Federal Bureau of Investigation (FBI) juga tidak luput dari serangan para hacker, yang mengakibatkan tidak berfungsinya situs ini beberapa waktu lamanya (http://www.fbi.org).
2. Illegal Contents
   Merupakan kejahatan dengan memasukkan data atau informasi ke Internet tentang sesuatu hal yang tidak benar, tidak etis, dan dapat dianggap melanggar hukum atau mengganggu ketertiban umum. Sebagai contohnya, pemuatan suatu berita bohong atau fitnah yang akan menghancurkan martabat atau harga diri pihak lain, hal-hal yang berhubungan dengan pornografi atau pemuatan suatu informasi yang merupakan rahasia negara, agitasi dan propaganda untuk melawan pemerintahan yang sah dan sebagainya.
3. Data Forgery
   Merupakan kejahatan dengan memalsukan data pada dokumen-dokumen penting yang tersimpan sebagai scripless document melalui Internet. Kejahatan ini biasanya ditujukan pada dokumen-dokumen e-commerce dengan membuat seolah-olah terjadi "salah ketik" yang pada akhirnya akan menguntungkan pelaku karena korban akan memasukkan data pribadi dan nomor kartu kredit yang dapat saja disalah gunakan.
4. Cyber Espionage
   Merupakan kejahatan yang memanfaatkan jaringan Internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer (computer network system) pihak sasaran. Kejahatan ini biasanya ditujukan terhadap saingan bisnis yang dokumen ataupun data pentingnya (data base) tersimpan dalam suatu sistem yang computerized (tersambung dalam jaringan komputer)
5. Cyber Sabotage and Extortion
   Kejahatan ini dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan Internet. Biasanya kejahatan ini dilakukan dengan menyusupkan suatu logic bomb, virus komputer ataupun suatu program tertentu, sehingga data, program komputer atau sistem jaringan komputer tidak dapat digunakan, tidak berjalan sebagaimana mestinya, atau berjalan sebagaimana yang dikehendaki oleh pelaku.
6. Offense against Intellectual Property
   Kejahatan ini ditujukan terhadap hak atas kekayaan intelektual yang dimiliki pihak lain di Internet. Sebagai contoh, peniruan tampilan pada web page suatu situs milik orang lain secara ilegal, penyiaran suatu informasi di Internet yang ternyata merupakan rahasia dagang orang lain, dan sebagainya.
7. Infringements of Privacy
   Kejahatan ini biasanya ditujukan terhadap keterangan pribadi seseorang yang tersimpan pada formulir data pribadi yang tersimpan secara computerized, yang apabila diketahui oleh orang lain maka dapat merugikan korban secara materil maupun immateril, seperti nomor kartu kredit, nomor PIN ATM, cacat atau penyakit tersembunyi dan sebagainya.

 

BLUETOOTH

Bluetooth adalah spesifikasi industri untuk jaringan kawasan pribadi (personal area networks atau PAN) tanpa kabel. Bluetooth menghubungkan dan dapat dipakai untuk melakukan tukar-menukar informasi di antara peralatan-peralatan. Spesifiksi dari peralatan Bluetooth ini dikembangkan dan didistribusikan oleh kelompok Bluetooth Special Interest Group. Bluetooth beroperasi dalam pita frekuensi 2,4 Ghz dengan menggunakan sebuah frequency hopping traceiver yang mampu menyediakan layanan komunikasi data dan suara secara real time antara host-host bluetooth dengan jarak terbatas.Kelemahan teknologi ini adalah jangkauannya yang pendek dan kemampuan transfer data yang rendah.

Asal nama bluetooth dan lambangnya

Nama "bluetooth" berasal dari nama raja di akhir abad sepuluh, Harald Blatand yang di Inggris juga dijuluki Harald Bluetooth kemungkinan karena memang giginya berwarna gelap. Ia adalah raja Denmark yang telah berhasil menyatukan suku-suku yang sebelumnya berperang, termasuk suku dari wilayah yang sekarang bernama Norwegia dan Swedia. Bahkan wilayah Scania di Swedia, tempat teknologi bluetooth ini ditemukan juga termasuk daerah kekuasaannya. Kemampuan raja itu sebagai pemersatu juga mirip dengan teknologi bluetooth sekarang yang bisa menghubungkan berbagai peralatan seperti komputer personal dan telepon genggam.
Sedangkan logo bluetooth berasal dari penyatuan dua huruf Jerman yang analog dengan huruf H dan B (singkatan dari Harald Bluetooth), yaitu (Hagall) dan (Blatand) yang kemudian digabungkan.

 

Sejarah

Awal mula dari Bluetooth adalah sebagai teknologi komunikasi wireless (tanpa kabel) yang beroperasi dalam pita frekuensi 2,4 GHz unlicensed ISM (Industrial, Scientific and Medical) dengan menggunakan sebuah frequency hopping tranceiver yang mampu menyediakan layanan komunikasi data dan suara secara real-time antara host-host bluetooth dengan jarak jangkauan layanan yang terbatas (sekitar 10 meter). Bluetooth berupa card yang menggunakan frekuensi radio standar IEEE 802.11 dengan jarak layanan yang terbatas dan kemampuan data transfer lebih rendah dari card untuk Wireless Local Area Network (WLAN).
Pembentukan Bluetooth dipromotori oleh 5 perusahaan besar Ericsson, IBM, Intel, Nokia dan Toshiba membentuk sebuah Special Interest Group (SIG) yang meluncurkan proyek ini. Pada bulan Juli 1999 dokumen spesifikasi bluetooth versi 1.0 mulai diluncurkan. Pada bulan Desember 1999 dimulai lagi pembuatan dokumen spesifikasi bluetooth versi 2.0 dengan tambahan 4 promotor baru yaitu 3Com, Lucent Technologies, Microsoft dan Motorola. Saat ini, lebih dari 1800 perusahaan di berbagai bidang bergabung dalam sebuah konsorsium sebagai adopter teknologi bluetooth. Walaupun standar Bluetooth SIG saat ini ‘dimiliki’ oleh grup promotor tetapi ia diharapkan akan menjadi sebuah standar IEEE (802.15)

 

Sistem Operasi

Berupa radio transceiver, baseband link controller dan link manager.

Time Slot

Kanal dibagi dalam time slot-time slot, masing-masing mempunyai panjang 625 ms. Time slot-time slot tersebut dinomori sesuai dengan clock bluetooth dari master piconet. Batas penomoran slot dari 0 sampai dengan 227-1 dengan panjang siklus 227. Di dalam time slot, master dan slave dapat mentransmisikan paket-paket dengan menggunakan skema TDD (Time-Division Duplex). Master hanya memulai melakukan pentransmisiannya pada nomor time slot genap saja sedangkan slave hanya memulai melakukan pentransmisiannya pada nomor time slot ganjil saja.

Protokol

Maksud dari protokol adalah untuk mempercepat pengembangan aplikasi-aplikasi dengan menggunakan teknologi Bluetooth. Layer-layer bawah pada stack protokol bluetooth dirancang untuk menyediakan suatu dasar yang fleksibel untuk pengembangan protokol yang lebih lanjut. Protokol-protokol yang lain seperti RFCOMM diambil dari protokol-protokol yang sudah ada dan protokol ini hanya dimodifikasi sedikit untuk disesuaikan dengan kepentingan bluetooth.

 

Pengukuran

Ada tiga aspek dalam melakukan pengukuran Bluetooth: pengukuran RF (Radio Frequency), protokol dan profile. Pengukuran radio dilakukan untuk menyediakan compatibility perangkat radio yang digunakan di dalam sistem dan untuk menentukan kualitas sistem serta dapat menggunakan perangkat alat ukur RF standar seperti spectrum analyzer, transmitter analyzer, power meter, digital signal generator dan bit-error-rate tester (BERT). Hasil pengukuran harus sesuai dengan spesifikasi dan memenuhi parameter

Dari informasi Test & Measurement World, untuk pengukuran protokol, dapat menggunakan protocol sniffer yang dapat memonitor dan menampilkan pergerakan data antar perangkat bluetooth. Pengukuran profile dilakukan untuk meyakinkan interoperability antar perangkat dari berbagai macam vendor.

Fitur Keamanan

Bluetooth dirancang untuk memiliki fitur-fitur keamanan sehingga dapat digunakan secara aman baik dalam lingkungan bisnis maupun rumah tangga. Fitur-fitur yang disediakan bluetooth antara lain sebagai berikut:

• Enkripsi data.
• Autentikasi user
• Fast frekuensi-hopping (1600 hops/sec)
• Output power control

Fitur-fitur tersebut menyediakan fungsi-fungsi keamanan dari tingkat keamanan layer fisik/ radio yaitu gangguan dari penyadapan sampai dengan tingkat keamanan layer yang lebih tinggi seperti password dan PIN. Tetapi dari sebuah artikel Internet, menurut penelitian dua mahasiswa Tel Aviv University, mengenai adanya kemungkinan Bluetooth bisa disadap dengan proses pairing berpasangan.
Caranya adalah dengan menyiapkan sebuah kunci rahasia pada proses pairing. Selama ini dua perangkat bluetooth menyiapkan kunci digital 128 bit. Ini adalah kunci rahasia yang kemudian disimpan dan dipakai dalam proses enkripsi pada komunikasi selanjutnya. Langkah pertama ini mengharuskan pengguna yang sah untuk menginputkan kunci rahasia yang sesuai, PIN empat digit ke perangkat. Pesan lalu dikirim ke perangkat lainnya, dan ketika ditanyai kunci rahasia, dia berpura-pura lupa. Hal ini memacu perangkat lain untuk memutus kunci dan keduanya lalu mulai proses pairing baru. Kesempatan ini kemudian bisa dimanfaatkan oleh hacker untuk mengetahui kunci rahasia yang baru. Selain mengirim ini ke perangkat Bluetooth yang dituju, semua perangkat Bluetooth yang ada dalam jangkauan itu juga tetap dapat disadap.

Bluetooth FHSS vs WLAN DSSS

Bluetooth lebih memilih metode FHSS (Frequency Hopping Spread Spectrum) dibandingkan dengan DSSS (Direct Sequence Spread Spectrum). Alasan bluetooth tidak menggunakan DSSS antara lain sebagai berikut :

1. FHSS membutuhkan konsumsi daya dan kompleksitas yang lebih rendah dibandingkan DSSS hal ini disebabkan karena DSSS menggunakan kecepatan chip (chip rate) dibandingkan dengan kecepatan simbol (symbol rate) yang digunakan oleh FHSS, sehingga cost yang dibutuhkan untuk menggunakan DSSS akan lebih tinggi.
2. FHSS menggunakan FSK dimana ketahanan terhadap gangguan noise relatif lebih bagus dibandingkan dengan DSSS yang biasanya menggunakan OPSK ( untuk IEEE 802.11 2 Mbps) atau CCK ( IEEE 802.11b 11 Mbps).

Walaupun FHSS mempunyai jarak jangkauan dan transfer data yang lebih rendah dibandingkan dengan DSSS tetapi untuk layanan dibawah 2 Mbps FHSS dapat memberikan solusi cost-efektif yang lebih baik.

Kelebihan

• Bluetooth dapat menembus dinding, kotak, dan berbagai rintangan lain walaupun jarak transmisinya hanya sekitar 30 kaki atau 10 meter
• Bluetooth tidak memerlukan kabel ataupun kawat
• Bluetooth dapat mensinkronisasi basis data dari telepon genggam ke komputer
• Dapat digunakan sebagai perantara modem 

 

 

Kekurangan

• Sistem ini menggunakan frekuensi yang sama dengan gelombang LAN standar
• Apabila dalam suatu ruangan terlalu banyak koneksi Bluetooth yang digunakan, akan menyulitkan pengguna untuk menemukan penerima yang diharapkan
• Banyak mekanisme keamanan Bluetooth yang harus diperhatikan untuk mencegah kegagalan pengiriman atau penerimaan informasi.
• Di Indonesia, sudah banyak beredar virus-virus yang disebarkan melalui bluetooth dari handphone

 

 

 

 

 

 

Konfigurasi Firewall dengan IpTables

IpTables adalah salah satu aplikasi linux, yang berfungsi untuk firewall. Kegunaanya untuk memfiltering semua data yang melewatinya. Dengan aplikasi ini, kita bisa memblokir data yang masuk, atau mengijinkan data yang keluar. Selain IpTables, juga bisa menggunakan shorewall.


Seperti namanya, firewall atau tembok api yang melindungi jaringan lokal dari jaringan luar atau Internet. Untuk mencegah ulah para cracker yang ingin meretas ke suatu sistem jaringan.
Firewall ada yang berbentuk piranti lunak (software). Dan ada juga yang berbentuk piranti keras, yang sudah di implementasikan kedalam sistemnya. Router juga termasuk dalam firewall.

Langsung saja kedalam konfigurasinya,
a. Block incomming Ip Address, = =>iptables -A INPUT -s 192.168.10.1 -j DROP

b. Block outgoing Ip Address, = =>iptables -A OUTPUT -p tcp -d 192.168.10.2 -j DROP 

Dalam pembahasan selanjutnya, kita akan mengkonfigurasi pemblokiran port. Sebelumnya, anda harus mengetahui terlebih dahulu, nama-nama protokol besertar nomor portnya.
Komputer kita terdapat kurang-lebih 35.000 nomor port. Dan berikut beberap port yang sering dipakai.

1. HTTP (80)
2. HTTPS (443)
3. SMTP (25)
4. SSH (22)
5. POP3 (110)
6. IMAP (143)
7. DNS (53)
8. TELNET (23)
9. FTP (21)
10. TFTP(69)

c. Block incomming port, (misal kita blok ftp) = =>iptables -A INPUT -p tcp --destination-port 21 -j DROP
##dari interface tertentu saja
iptables -A INPUT -i eth1 -p tcp --destination-port 21 -j DROP
##dari subnet atau ip tertentu
iptables -A INPUT -i eth0 -p tcp --destination-port 21 -s 192.168.10.0/24 -j DROP
##pengecualian ip yang boleh akses
iptables -A INPUT -p tcp -i eth1 -s ! 192.168.10.2 --dport 21 -j DROP

d. Blok outgoing  port, misal (HTTP) = =>iptables -A OUTPUT -p tcp --dport 80 -j DROP

e. Membuat Dropped Log file.= =>iptables -A INPUT -m limit --limit 5/min -j LOG --log-prefix "PORT 80 DROP: " --log-level 7
iptables -A INPUT -p tcp --destination-port 80 -j DROP
Nah, sekarang bagaimana kita memblok ip hacker 119.2.47.20 yang mengakses port SSH (22)?
= =>iptables -A INPUT -s 119.2.47.20 -i eth1 -p tcp -m state --state NEW -m tcp --dport 22 -j DROP
 

JAVASCRIPT

JavaScript adalah bahasa skrip yang populer di internet dan dapat bekerja di sebagian besar penjelajah web populer seperti Internet Explorer (IE), Mozilla Firefox, Netscape dan Opera. Kode JavaScript dapat disisipkan dalam halaman web menggunakan tag SCRIPT.

Sejarah

JavaScript pertama kali dikembangkan oleh Brendan Eich dari Netscape dibawah nama Mocha, yang nantinya namanya diganti menjadi LiveScript, dan akhirnya menjadi JavaScript.
Navigator sebelumnya telah mendukung Java untuk lebih bisa dimanfaatkan para programmer yang non-Java. Maka dikembangkanlah bahasa pemrograman bernama LiveScript untuk mengakomodasi hal tersebut.Bahasa pemrograman inilah yang akhirnya berkembang dan diberi nama JavaScript, walaupun tidak ada hubungan bahasa antara Java dengan JavaScript.
JavaScript bisa digunakan untuk banyak tujuan, misalnya untuk membuat efek rollover baik di gambar maupun teks, dan yang penting juga adalah untuk membuat AJAX. JavaScript adalah bahasa yang digunakan untuk AJAX.

Penulisan JavaScript

Kode JavaScript biasanya dituliskan dalam bentuk fungsi yang ditaruh di tag <head> yang dibuka dengan tag <script type="teks/javascript">.

<script type="teks/javascript">
        alert("Halo Dunia!");
<script>

Kode JavaScript juga bisa diletakkan di file tersendiri yang berekstensi .js (singkatan dari JavaScript).Untuk memanggil kode JavaScript yang terdapat di file sendiri, di bagian awal <head> harus ditentukan dahulu nama file .js yang dimaksud menggunakan contoh kode seperti berikut:

<script type="teks/javascript" src="alamat.js">
</script>

*Script pada bagian head

Script ini akan dieksekusi ketika dipanggil (biasanya berbentuk function) atau dipanggil berdasarkan trigger pada event tertentu. Peletakkan script di head akan menjamin skript di-load terlebih dahulu sebelum digunakan (dipanggil).

<html>
<head>
<script type="teks/javascript">
...
</script>
</head>
</html>

Script pada Body

Script ini dieksekusi ketika halaman di-load sampai di bagian <body>.Ketika menempatkan script pada bagian <body> berarti antara isi dan JavaScript dijadikan satu bagian.

<html>
<head>
</head>
<body>
<script type="teks/javascript">
...
</script>
</body>
</html>

Jumlah JavaScript di <head> dan <body> yang ditempatkan pada dokumen tidak terbatas.

External JavaScript

Terkadang ada yang menginginkan menjalankan JavaScript yang sama dalam beberapa kali pada halaman yang berbeda, tetapi tidak mau disibukkan jika harus menulis ulang script yang diinginkan di setiap halaman. Maka JavaScript dapat ditulis di file secara eksternal. Jadi, antara dokumen HTML dan JavaScript dipisahkan, kemudian berkas tersebut dipanggil dari dokument HTML.Berkas JavaScript tersebut disimpan dengan ekstensi .js.
JavaScript : js/xxx.js document.write("pesan ini tampil ketika halaman diload");
Untuk menggunakan eksternal JavaScript (.js) dipakai atribut "src" pada tag <script> pada halaman HTML-nya.

<html>
<head>
</head>
<body>
<script src="xxx.js">
</script>
<p>Script di atas berada di berkas "xx.js" (eksternal) </p>
</body>
</html>