Bahaya copy paste ke Terminal

Copy paste
Copy paste is no more.

Anda sering melakukan copy paste langsung dari halaman web ke Terminal? Melakukan copy paste langsung dari halaman web ke Terminal tentu jauh lebih mudah dibandingkan dengan mengetik langsung ke Terminal, apalagi kalau perintahnya cukup panjang. Tapi, mulai sekarang Anda harus berhati-hati dengan kebiasaan ini karena dengan sedikit trik HTML, sebuah perintah bash sederhana bisa jadi berbahaya kalau langsung di-paste ke Terminal.

What you see is not what you copy.

Perintah yang Anda lihat pada sebuah halaman web bisa jadi bukanlah perintah yang Anda copy. Contohnya adalah perintah berikut:

ls /dev/null; clear; echo -n "Halo ";whoami|tr -d '\n';echo -e '!\nApa Kabar!!!\nIni adalah baris pertama dari /etc/passwd: ';head -n1 /etc/passwd
ls
/perintah/yang/cukup/panjang/untuk/diketik/

Kalau perintah (dibuat-buat) di atas Anda sorot kemudian copy dan Anda paste ke Terminal, Anda akan kaget karena hasilnya berbeda dengan apa yang Anda harapkan (dijamin tidak berbahaya). Bukan cuma menampilkan hasil ls, tetapi ada output pada Terminal yang tidak Anda ketahui asalnya.

Ini terjadi karena perintah di atas telah dimodifikasi dan diselipkan dengan perintah yang membuatnya secara otomatis dieksekusi. Cara kerjanya sederhana. Perintah asli ditampilkan sebaris, tetapi perintah-perintah yang mengikutinya disembunyikan dari pandangan user dengan memanfaatkan HTML:

Untuk melihat perintah aslinya, cobalah paste perintah di atas ke kolom di bawah ini:

Hasil paste langsung ke Terminal:

Terminal

Cara kerja seperti ini bekerja untuk Windows dan juga OS X, tetapi karena kebanyakan pengguna kedua OS tersebut jarang menggunakan Terminal atau Cmd, maka sasaran utama untuk trik ini adalah pengguna Linux.

Jadi, berhati-hatilah kalau Anda mengikuti tutorial-tutorial dari situs yang tidak jelas atau kurang dipercaya. Pastikan kalau perintah yang Anda copy tidak disisipi kode-kode jahat seperti di atas dengan memanfaatkan text editor. Text editor selalu menampilkan isi clipboard atau apa yang Anda copy.

gedit

Cara lainnya adalah dengan memanfaatkan fitur “Search Google for” yang sudah tersedia secara default pada browser. Caranya adalah dengan menyoroti perintah dan klik-kanan untuk menampilkan menu konteks seperti pada gambar di bawah ini:
Search Google for

Setelah disoroti, maka perintah aslinya akan muncul. Cukup berguna bukan?

Sumber:
[H Security]

Referensi:
[ush.it]