Dokumen tersebut membahas tentang kata sandi sebagai sasaran utama peretasan sistem dan berbagai metode serangan terhadap kata sandi seperti menebak, menangkap paket otentikasi, mengumpulkan informasi dari sampah, serta perengkahan kata sandi secara manual dan otomatis beserta cara-cara penanggulangannya."

1. Peretasan Sistem
Ethical Hacking and Countermeasures (PAI 083213)
Program Studi Teknik Informatika, Unsoed
Iwan Setiawan <stwn at unsoed.ac.id>
Tahun Ajaran 2011/2012

2. Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

3. Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

4. Kata Sandi
(password)

5. Kata Sandi (1)
●
●
●
Banyak aksi peretasan/hacking dan perengkahan atau
cracking berawal dari akses ke sistem target melalui kata
sandi seorang pengguna.
Kata sandi digunakan sebagai informasi kunci untuk
mengakses sistem.
Umumnya pengguna (awam) memilih kata sandi yang
mudah ditebak.
●
●
Kombinasi nama orang, binatang peliharaan, nomor kendaraan
bermotor, tanggal lahir, dan hal­hal lain yang mudah diingat.
Ingat, manusia adalah bagian terlemah dalam sebuah sistem
keamanan.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

6. Kata Sandi (2)
●
●
●
Informasi dari tahap pengintaian dan penjejakan dapat
digunakan untuk menebak kata sandi yang digunakan
oleh pengguna.
Setelah kata sandi dapat ditebak, seorang peretas dapat
menjalankan proses selanjutnya yaitu peningkatan hak
akses, menjalankan program, menyembunyikan berkas,
dan menutupi jejak.
Jika kata sandi tidak berhasil ditebak, digunakan cara
perengkahan kata sandi secara manual atau otomatis.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

7. Karakter Pembangun Kata Sandi
●
Hanya huruf saja.
●
Hanya nomor saja.
●
Hanya karakter khusus saja.
●
Huruf dan nomor.
●
Hanya huruf dan karakter khusus.
●
Hanya nomor dan karakter khusus.
●
Huruf, nomor, dan karakter khusus.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

8. Aturan Membuat Kata Sandi
●
●
●
●
Tidak berisi nama akun pengguna atau
kombinasinya.
Minimal 8 karakter. Semakin panjang semakin
bagus.
Harus berisi karakter simbol alfanumerik,
nomor, huruf besar dan huruf kecil.
Tidak menggunakan informasi yang mudah
ditebak.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

9. Tipe Serangan Kata Sandi (1)
●
Pasif Daring (passive­online)
●
●
●
Pengendusan: “menguping” melalui media kabel atau
nirkabel; relatif tidak terdeteksi; kata sandi didapatkan saat
terjadi proses otentifikasi; program: tcpdump; jika kata sandi
yang didapatkan dalam bentuk hash atau terenkripsi,
dibutuhkan perkakas khusus untuk membongkarnya.
Man in The Middle (MiTM): peretas dapat mengakses kanal
komunikasi, kemudian menerima permintaan otentifikasi dan
meneruskannya ke peladen sebenarnya.
Serangan Replay: peretas menangkap paket otentifikasi yang
akan digunakan saat peretas melakukan otentifikasi langsung
dengan peladen.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

10. Tipe Serangan Kata Sandi (2)
●
Aktif Daring (active­online)
●
●
●
●
Menebak kata sandi administrator secara manual dan berharap kata
sandinya sederhana atau lemah ;­)
Nama pengguna atau kata sandi yang umum: admin, administrator,
sysadmin, password, atau tanpa kata sandi.
Relatif mudah terdeteksi. Sistem umumnya membatasi percobaan
masuk atau login, dan memberikan jeda atau mengunci sesi pada
sekian kali percobaan.
Membutuhkan waktu. Cara otomatis yaitu dengan menggunakan
skrip shell dan kamus kata­kata yang mungkin dipakai.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

11. Tipe Serangan Kata Sandi (3)
●
Luring (offline)
●
●
●
●
Tidak dilakukan langsung pada sistem target.
Menggunakan algoritma yang dipakai dalam proses otentifikasi
sistem target dan basis data kamus/informasi yang relevan.
Menyalin berkas kata sandi terlebih dulu dan merengkahnya di
komputer lokal. Perlu akses ke media penyimpan.
Serangan:
–
kamus: percobaan daftar kata­kata dari berkas kamus.
–
hibrid: seperti serangan dengan berkas kamus, ditambah dengan
penggantian karakter dengan angka atau simbol.
–
brute­force: percobaan semua kombinasi kemungkinan huruf
besar/kecil, angka, dan karakter khusus. Komputasi terdistribusi/paralel.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

12. https://en.wikipedia.org/wiki/File:Transistor_Count_and_Moore%27s_Law_­_2011.svg
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

13. Tipe Serangan Kata Sandi (4)
●
Non­elektronik
●
●
●
●
Tidak membutuhkan kemampuan teknis. Contoh:
mengintip, rekayasa sosial, ubek­ubek tempat sampah.
Rekayasa sosial dengan memanfaatkan psikologi manusia.
Dukungan bantuan/helpdesk dan dukungan teknis dapat
membantu proses peretasan.
Dibutuhkan kesadaran tentang keamanan
–
Perlu diadakan pelatihan keamanan
–
Pembuatan prosedur dan kebijakan keamanan seperti prosedur
reset kata sandi, kehilangan kartu akses, dll.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

14. Bagaimana penanggulangan
terhadap “tebak-tebakan”
kata sandi?

15. *-factor auth.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

16. two-factor auth.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

17. Kartu Pintar.
Mariusz Chilmon, CC BY­NC­ND, https://secure.flickr.com/photos/vmario/537643336/

18. Peter Raymond, CC BY­NC­SA, https://secure.flickr.com/photos/jaft/39022643/
Biometrik.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

19. Secure­ID/”token”
Paul, CC BY­NC, https://secure.flickr.com/photos/imager/2153443936/

20. Yubikey.
Warfieldian, CC BY­SA 3.0, https://en.wikipedia.org/wiki/File:YubiKey.jpg

21. One-Time Password?

22. EZ430­Chronos
http://processors.wiki.ti.com/index.php/EZ430­Chronos
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

23. Perengkahan Kata Sandi (1)
●
Manual
●
●
●
●
●
Mendapatkan nama pengguna.
Membuat daftar kata sandi yang mungkin berdasarkan informasi dari
tahap pengintaian dan penjejakan.
Mengurutkan prioritas kemungkinan kata sandi.
Memasukkan satu per satu kemungkinan kata sandi sampai berhasil.
Menggunakan skrip agar lebih mudah.
Otomatis
●
●
Mendapatkan berkas kata sandi pada sistem target dan menjalankan
program untuk merengkahnya.
Umumnya kata sandi dalam bentuk hash dari hasil algoritma enkripsi
one­way. Yang dibandingkan adalah hasil hash­nya.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

24.
http://openwall.com/john/

25. Ophcrack
http://ophcrack.sourceforge.net/
Nick Parkin, CC BY­ND, https://secure.flickr.com/photos/nick_parkin_photography/5175210165/

26. Perengkahan Kata Sandi (2)
●
Berkas nama pengguna dan kata sandi:
●
●
●
Windows: berkas SAM di C:Windowssystem32config.
Unix* dan Linux: /etc/passwd dan /etc/shadow.
Windows 2000 menggunakan NT LAN Manager (NTLM) hash untuk
melindungi kata sandi yang digunakan dalam jaringan.
●
Kata sandi dikonversi ke huruf besar.
●
Ditambahkan karakter null/kosong pada kata sandi.
●
Sebelum dienkripsi, kata sandi dibagi menjadi 2 bagian.
●
Masing­masing bagian dienkripsi.
●
Tabel pelangi atau rainbow table: tabel berisi (precomputed) hash.
●
Kata sandi bawaan perangkat keras atau perangkat lunak.
●
Sistem Live: Live­CD dan Live­USB.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

27. B
A
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

28. B
A
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

29. B
A
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

30. A
MiTM
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
B

31. A
MiTM
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
B

32. A
MiTM
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
B

33. Penanggulangan Perengkahan
●
Membuat kata sandi yang kuat dengan 8­12 kombinasi karakter alfanumerik.
●
Mereset kata sandi default/bawaan.
●
●
Tidak menggunakan kata­kata yang mudah didapatkan di kamus dan
berhubungan dengan nama sumber daya yang ada di dalam jaringan.
Jika susah mengingat kata sandi, buatlah dengan kalimat “cerita” yang mudah
diingat.
●
Pengubahan kata sandi secara berkala, misal 1 bulan sekali.
●
Melindungi sistem dari akses fisik.
●
Membuat arsitektur sistem dan jaringan yang aman.
●
Melindungi berkas yang berisi informasi nama pengguna dan kata sandi.
●
Memantau catatan/log sistem.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

34. Keylogger dan
Alat Pengintai

35. Berbasis perangkat keras
atau perangkat lunak.
aziem hassan, CC BY­NC­SA, https://secure.flickr.com/photos/wickedboy007/2422370974/

36. Jahat.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

37. Penanggulangan Keylogger
●
Pasang antivirus dan mutakhirkan secara
berkala.
●
Pasang IDS berbasis host.
●
Amankan komputer secara fisik.
●
Memeriksa secara berkala fisik perangkat keras
khususnya papan ketik.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

38. Meningkatkan
Hak Akses

39. Setelah mendapatkan akses pengguna,
umumnya peretas ingin memiliki akses
yang lebih tinggi.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

40. Dari pengguna biasa ke administrator (root).
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

41. Setelah mendapatkan akses tertinggi,
peretas akan menjalankan program,
memasang backdoor, menyalin berkas,
atau bahkan merusak (jahat, cracker).
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

42. Serangan buffer overflow: mengeksploitasi
kelemahan program dengan menulis data
yang melebihi ukuran buffer.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

43. Ahnode, 2009.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

44. Rootkit

45. Rootkit: kit/paket berisi kumpulan program atau
skrip yang digunakan setelah peretas mendapatkan akses tertinggi pada sistem target.
(umumnya untuk menyembunyikan backdoor)
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

46. Tipe Rootkit
●
Tingkat kernel: menambahkan kode atau mengganti
sebagian kode kernel dengan kode modifikasi untuk
menyembunyikan backdoor.
●
●
●
●
Umumnya berbentuk modul kernel penggerak/driver perangkat
keras atau layanan tertentu di dalam kernel.
Relatif sulit untuk dideteksi.
Tingkat pustaka: menambal atau menambah kode hook,
atau menggantikan system call untuk menyembunyikan
informasi/backdoor.
Tingkat aplikasi: mengganti program aplikasi yang umum
ada di sistem target dan mengubah perilakunya.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

47. Penanggulangan Rootkit
●
●
●
Membuat checksum semua berkas yang ada di
sistem.
Pasang program pemantau integritas sistem
berkas seperti Tripwire dan Integrit.
Jika rootkit sudah terpasang, cara terakhir
adalah backup data penting dan instal ulang ;­)
(agar sistem bersih).
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

48. Menyembunyikan Berkas

49. attrib +h [berkas/direktori]
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

50. mv berkas .berkas
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

51. Menempatkan berkas pada
direktori yang paling dalam.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

52. lsof
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

53. Steganografi.
(teknik menyembunyikan informasi dalam berkas seperti gambar)
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

54. Menutupi Jejak dan
Menghapus Bukti

55. Menutupi Jejak
●
●
●
●
Mematikan layanan audit sistem dan
menghapus catatan/log­nya.
Memodifikasi atau menghapus sejarah perintah
yang sudah dilakukan.
Memodifikasi atau menghapus pesan galat atau
peringatan keamanan.
Banyak perkakas tersedia di luar sana.
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

56. Daftar Bacaan
●
●
EC­Council. 2008. Module VII: System Hacking,
Ethical Hacking and Countermeasures Version
6
Graves, K. 2010. CEH: Certified Ethical Hacker
Study Guide, Sybex
Ethical Hacking and Countermeasures (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed