Penelusuran Iseng

Beberapa malam lalu ada yang posting di grup WA mengenai analisa penelusuran pemilik baladacintarizieq yang lagi rame itu yang akhirnya mengarah ke situs chaos.id milik mas Irfan Miftach. (Disclaimer: Saya nggak ada afiliasi apapun dengan mas Irfan Miftach)

Postingan blog itu menuliskan metode penelusuran yang dilakukan si ‘analis’ dalam menemukan pemilik situs target. Karena situs target dilindungi oleh DNS nya Cloudflare, analis menggunakan CenSys.io untuk mencari IP server asli tempat situs target hosted. Dan memang hasil pencarian mengarah ke situs chaos. id. Disinilah letak kesalahan/ketidakakuratan yang krusial dan berpengaruh terhadap analisa-analisa lanjutannya.

Censys.io bukanlah aplikasi untuk mencari IP server sebuah situs yang DNS nya ‘dititipkan’ di Cloudflare. Censys.io adalah sebuah mesin pencari seperti Google, namun dengan fungsi yang lebih spesifik. Jika anda pernah mendengar Shodan.io, maka Censys.io merupakan mesin pencari yang mirip dengan Shodan.io. Bila pada Shodan.io yang kita daaptkan adalah ‘banner’ yang memuat data port dari sebuah alamat IP maupun situs, Censys.io ini mengumpulkan data berupa data host IPv4 publik, data situs yang terdaftar di Alexa ranking, dan data sertifikat X.509. Dan bila kita masukan sebuah string/frasa dalam kolom pencarian Censys.io, maka akan dimunculkan hasil indexing sesuai string tersebut pada dataset-dataset yang ada.

Ambil contoh apabila kita menginput string “iwandanu.com” pada kolom pencarian Censys.io, maka akan dimunculkan semua entry yang memuat string “iwandanu.com”, meski itu hanya berupa folder maupun file pada sebuah server. Namun hal itu tidak berarti setiap IP yang memuat folder/file tersebut merupakan server hostingan iwandanu.com.

Dalam kasus ini, mas Irfan Miftach selaku pemilik chaos.id menyatakan bahwa folder yang terdapat dalam situsnya merupakan mirrorring beberapa situs yang sedang ia gunakan sebagai bahan latihan forensik digital. Dan ia juga mengakui keteledorannya untuk tidak menggunakan password protect untuk mencegah folder hasil mirroring nya ter-index oleh mesin pencari.

Karena analisa pertama dalam menentukan IP server hosting situs target saja sudah invalid, maka kita bisa mengabaikan analisa-analisa berikutnya dalam postingan tersebut. 😀

Tertarik untuk menyediakan data pembanding, saya mencoba menggunakan Crimeflare yang selama ini saya gunakan untuk mengecek IP yang ‘bersembunyi’ dibalik DNS Cloudflare. Dari situ ketemu satu entry :
baladacintarizieq.com 94.102.53.188 SEYCHELLES

Ketika sudah ketemu IP nya, trace lagi menghasilkan informasi bahwa pada IP yang sama (94.102.53.188) ketemu dua alamat domain:
baladacintarizieq.com
baladacintarizieq1.com

Kemudian informasi berikutnya (masih di Crimeflare) adalah domain-domain yang berada pada satu subnet sama dengan domain target:
94.102.53.139 sigaint.co
94.102.53.143 famside.chat
94.102.53.168 helixgrams.com
94.102.53.188 baladacintarizieq.com
94.102.53.188 baladacintarizieq1.com
94.102.53.199 banana-enterprises.com
94.102.53.213 skylyrics.net
94.102.53.213 vibe3.com
94.102.53.214 mp3monkey.net
94.102.53.215 junglevibe26.net
94.102.53.215 junglevibe27.net
94.102.53.215 junglevibe30.net
94.102.53.215 junglevibe32.net
94.102.53.234 moviesbox.to

Sampai disini saya berhenti melakukan penelusuran, sudah malam soalnya, takut nggak bsia bangun sahur paginya. wkwkwkwk. Besok tinggal diterusin aja klo ada niat.

The point is, dengan menggunakan satu tool saja (CrimeFlare), kita sudah dapat meyakini bahwa  informasi yang tersebar viral (chaos.id adalah server tempat situs hostingan target) adalah HOAX.

Leave a Reply

Your email address will not be published. Required fields are marked *