Reconnaissance (pengintaian) adalah fase awal dalam serangan siber di mana attacker mengumpulkan informasi tentang target untuk mengidentifikasi kerentanan dan merencanakan serangan. Tahap ini kritis karena menentukan keberhasilan langkah selanjutnya. Reconnaissance juga digunakan oleh ahli keamanan (seperti penetration tester) untuk menguji pertahanan organisasi.

Jenis Reconnaissance

1. Passive Reconnaissance
   • Definisi: Mengumpulkan data tanpa berinteraksi langsung dengan target.
   • Metode:
     • Analisis informasi publik (situs web, media sosial, dokumen perusahaan).
     • Pencarian WHOIS (detail registrasi domain).
     • Menggunakan tool seperti Shodan atau Censys untuk menemukan perangkat yang terhubung ke internet.
     • Memanfaatkan OSINT (Open Source Intelligence) seperti data LinkedIn, forum, atau GitHub.
   • Contoh: Menemukan alamat IP target melalui DNS lookup atau mengidentifikasi karyawan kunci melalui LinkedIn.
2. Active Reconnaissance
   • Definisi: Berinteraksi langsung dengan sistem target, berpotensi terdeteksi.
   • Metode:
     • Port scanning dengan tool seperti Nmap atau Masscan.
     • Vulnerability scanning menggunakan Nessus atau OpenVAS.
     • DNS enumeration (misal: dig atau nslookup).
     • Social engineering (phishing, pretexting).
   • Contoh: Memindai port 80/443 untuk melihat layanan web yang aktif.

Tools dan Teknik Umum

• Nmap: Memindai jaringan untuk port terbuka dan layanan.
• Maltego: Memetakan hubungan antara domain, IP, dan entitas terkait.
• theHarvester: Mengumpulkan email, subdomain, dan informasi publik.
• Wireshark: Menganalisis lalu lintas jaringan.
• Metasploit: Menjelajahi kerentanan yang teridentifikasi.

Contoh Skenario Reconnaissance

1. Target Perusahaan:
   • attacker menggunakan LinkedIn untuk menemukan daftar karyawan IT, lalu mengirim email phishing berpura-pura sebagai departemen IT.
   • Memindai subdomain (dev.example.com) yang mungkin kurang diamankan.
2. Infrastruktur:
   • Menggunakan Shodan untuk menemukan server IoT yang terpapar dengan kredensial default.
   • Menjalankan traceroute untuk memetakan arsitektur jaringan.

Pentingnya dalam Keamanan Siber

• Bagi attacker:
  • Menentukan titik masuk terlemah (misal: layanan usang, karyawan rentan).
  • Meminimalkan risiko deteksi dengan merencanakan serangan presisi.
• Bagi defender:
  • Memahami eksposur informasi organisasi untuk memperkuat pertahanan.
  • Mengidentifikasi kebocoran data (misal: kredensial di GitHub).

Strategi Mitigasi

1. Batas Eksposur Informasi:
   • Batasi detail yang dipublikasikan (misal: hapus metadata dari dokumen).
   • Gunakan privacy protection pada registrasi domain.
2. Pemantauan Jaringan:
   • Deteksi aktivitas mencurigakan (misal: pemindaian port) dengan IDS/IPS.
   • Blokir permintaan yang berlebihan dari satu alamat IP.
3. Peningkatan Kesadaran:
   • Pelatihan karyawan tentang social engineering dan kebocoran data.
4. Audit Berkala:
   • Lakukan penetration testing untuk menemukan celah dari perspektif attacker.
   • Perbarui sistem dan tutup port/layanan yang tidak diperlukan.

Reconnaissance dalam Cyber Kill Chain

Reconnaissance adalah tahap pertama dalam model Cyber Kill Chain Lockheed Martin, yang mencakup:

1. Reconnaissance → 2. Weaponization → 3. Delivery → 4. Exploitation → …
   Tanpa pengintaian efektif, serangan cenderung gagal karena kurangnya informasi target.

Reconnaissance adalah fondasi serangan siber, baik oleh penjahat maupun ethical hacker. Dengan memahami tekniknya, organisasi dapat memproteksi diri melalui kombinasi pembatasan data, pemantauan proaktif, dan edukasi. Keberhasilan pertahanan bergantung pada kemampuan mengantisipasi apa yang dicari attacker! ️