Apa itu Dumpster Diving?
Dumpster diving adalah aktivitas mencari “harta karun” di tempat sampah orang lain. Dalam dunia teknologi informasi (TI), dumpster diving adalah teknik yang digunakan untuk memperoleh informasi sensitif dari barang-barang yang telah dibuang, yang bisa dimanfaatkan untuk melakukan serangan atau mendapatkan akses ke jaringan komputer.
Dumpster diving bukan cuma soal mencari catatan password yang ditulis di sticky note. Informasi yang kelihatannya sepele, seperti daftar kontak, kalender, atau struktur organisasi, bisa sangat berguna bagi pelaku rekayasa sosial (social engineering) untuk masuk ke sistem organisasi.
Untuk mencegah hal ini, para ahli menyarankan perusahaan memiliki kebijakan pembuangan dokumen dan perangkat yang ketat. Semua kertas, termasuk print-out, sebaiknya dihancurkan dengan shredder tipe cross-cut sebelum didaur ulang. Media penyimpanan harus dihapus secara aman, dan seluruh staf harus diedukasi tentang risiko membuang informasi sembarangan.
Perangkat keras yang dibuang juga bisa menjadi tambang emas bagi penyerang. Informasi seperti password yang tersimpan atau sertifikat kepercayaan (trusted certificates) masih bisa dipulihkan dari drive yang tidak diformat dengan benar. Bahkan tanpa media penyimpanan, data seperti Trusted Platform Module (TPM) atau ID perangkat keras lainnya bisa dimanfaatkan. Penyerang juga bisa mengenali vendor perangkat dan merancang exploit yang sesuai.
Dokumen medis atau data personal pegawai bisa menimbulkan konsekuensi hukum jika tidak dibuang dengan benar. Informasi pribadi yang bisa diidentifikasi (PII) harus dihancurkan. Kalau tidak, organisasi bisa mengalami kebocoran data dan denda. Contohnya, pada 2010, sebuah kantor penagihan medis di Massachusetts didenda $140.000, dan pada 2014, penyedia layanan kesehatan di Kansas City dikenai denda $400.000.
Dumpster Diving dan Serangan Rekayasa Sosial
Rekayasa sosial adalah metode serangan yang memanfaatkan interaksi manusia untuk mengelabui korban agar memberikan akses atau melakukan tindakan untuk penyerang. Salah satu tujuannya adalah membangun kepercayaan. Nah, dumpster diving sering digunakan untuk mengumpulkan informasi awal guna membangun kepercayaan tersebut.
Data seperti daftar nama karyawan bisa digunakan untuk menebak username komputer, menyerang akun pribadi, atau bahkan mencuri identitas. Nama-nama ini juga bisa dijadikan target phishing umum atau spear phishing yang lebih spesifik, misalnya terhadap eksekutif perusahaan.
Nomor telepon bisa dimanfaatkan untuk serangan vishing lewat spoofing caller ID. Contoh: “Halo, ini John dari akunting. Bos keuangan, Pak Bill, butuh data malam ini. Tadi saya tanya Debbie, dan dia suruh saya hubungi kamu. Bisa bantu ya?”
Penyerang juga bisa menyamar menggunakan informasi seperti struk jasa isi ulang vending machine. Mereka akan datang saat jadwal pengiriman yang sesuai, bawa ID palsu, dan menyusup ke area terbatas. Begitu masuk, mereka bisa melakukan shoulder surfing atau memasang keylogger untuk mencuri data.
Bagaimana Mencegah Serangan Dumpster Diving?
Walaupun kelihatannya merepotkan, ada sejumlah langkah yang bisa diterapkan untuk mencegah serangan melalui sampah ini:
- Dokumentasikan proses dekomisi perangkat. Pastikan semua data pada perangkat dihapus dengan aman sebelum dijual atau dibuang, termasuk menghapus data TPM, MAC address yang terautentikasi, dan sertifikat kepercayaan.
- Gunakan metode penghapusan media yang aman. Misalnya, wipe hard disk dengan software khusus, shred CD/DVD, dan degauss media magnetik.
- Punya kebijakan retensi data dan gunakan sertifikat penghancuran. Dokumen sensitif harus disimpan dan dibuang sesuai aturan yang berlaku, lengkap dengan dokumentasi penghancurannya.
- Buat shredding jadi hal yang mudah. Letakkan shredder dekat tempat sampah/recycle bin, atau gunakan bin shredding yang aman. Untuk karyawan remote, bisa disediakan shredder pribadi.
- Edukasi karyawan. Beri pelatihan soal pembuangan data dan trik-trik rekayasa sosial. Jangan izinkan karyawan membawa pulang print-out penting atau perangkat lama.
- Amankan tempat sampah. Gunakan tempat sampah yang terkunci atau simpan di area aman hingga diambil. Pastikan hanya bekerja sama dengan jasa daur ulang terpercaya.