Dokumen tersebut membahas tentang kata sandi sebagai sasaran utama peretasan sistem dan berbagai metode serangan terhadap kata sandi seperti menebak, menangkap paket otentikasi, mengumpulkan informasi dari sampah, serta perengkahan kata sandi secara manual dan otomatis beserta cara-cara penanggulangannya."
1. Peretasan Sistem
Ethical Hacking and Countermeasures (PAI 083213)
Program Studi Teknik Informatika, Unsoed
Iwan Setiawan <stwn at unsoed.ac.id>
Tahun Ajaran 2011/2012
7. Karakter Pembangun Kata Sandi
●
Hanya huruf saja.
●
Hanya nomor saja.
●
Hanya karakter khusus saja.
●
Huruf dan nomor.
●
Hanya huruf dan karakter khusus.
●
Hanya nomor dan karakter khusus.
●
Huruf, nomor, dan karakter khusus.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
8. Aturan Membuat Kata Sandi
●
●
●
●
Tidak berisi nama akun pengguna atau
kombinasinya.
Minimal 8 karakter. Semakin panjang semakin
bagus.
Harus berisi karakter simbol alfanumerik,
nomor, huruf besar dan huruf kecil.
Tidak menggunakan informasi yang mudah
ditebak.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
9. Tipe Serangan Kata Sandi (1)
●
Pasif Daring (passiveonline)
●
●
●
Pengendusan: “menguping” melalui media kabel atau
nirkabel; relatif tidak terdeteksi; kata sandi didapatkan saat
terjadi proses otentifikasi; program: tcpdump; jika kata sandi
yang didapatkan dalam bentuk hash atau terenkripsi,
dibutuhkan perkakas khusus untuk membongkarnya.
Man in The Middle (MiTM): peretas dapat mengakses kanal
komunikasi, kemudian menerima permintaan otentifikasi dan
meneruskannya ke peladen sebenarnya.
Serangan Replay: peretas menangkap paket otentifikasi yang
akan digunakan saat peretas melakukan otentifikasi langsung
dengan peladen.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
10. Tipe Serangan Kata Sandi (2)
●
Aktif Daring (activeonline)
●
●
●
●
Menebak kata sandi administrator secara manual dan berharap kata
sandinya sederhana atau lemah ;)
Nama pengguna atau kata sandi yang umum: admin, administrator,
sysadmin, password, atau tanpa kata sandi.
Relatif mudah terdeteksi. Sistem umumnya membatasi percobaan
masuk atau login, dan memberikan jeda atau mengunci sesi pada
sekian kali percobaan.
Membutuhkan waktu. Cara otomatis yaitu dengan menggunakan
skrip shell dan kamus katakata yang mungkin dipakai.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
11. Tipe Serangan Kata Sandi (3)
●
Luring (offline)
●
●
●
●
Tidak dilakukan langsung pada sistem target.
Menggunakan algoritma yang dipakai dalam proses otentifikasi
sistem target dan basis data kamus/informasi yang relevan.
Menyalin berkas kata sandi terlebih dulu dan merengkahnya di
komputer lokal. Perlu akses ke media penyimpan.
Serangan:
–
kamus: percobaan daftar katakata dari berkas kamus.
–
hibrid: seperti serangan dengan berkas kamus, ditambah dengan
penggantian karakter dengan angka atau simbol.
–
bruteforce: percobaan semua kombinasi kemungkinan huruf
besar/kecil, angka, dan karakter khusus. Komputasi terdistribusi/paralel.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
13. Tipe Serangan Kata Sandi (4)
●
Nonelektronik
●
●
●
●
Tidak membutuhkan kemampuan teknis. Contoh:
mengintip, rekayasa sosial, ubekubek tempat sampah.
Rekayasa sosial dengan memanfaatkan psikologi manusia.
Dukungan bantuan/helpdesk dan dukungan teknis dapat
membantu proses peretasan.
Dibutuhkan kesadaran tentang keamanan
–
Perlu diadakan pelatihan keamanan
–
Pembuatan prosedur dan kebijakan keamanan seperti prosedur
reset kata sandi, kehilangan kartu akses, dll.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
23. Perengkahan Kata Sandi (1)
●
Manual
●
●
●
●
●
Mendapatkan nama pengguna.
Membuat daftar kata sandi yang mungkin berdasarkan informasi dari
tahap pengintaian dan penjejakan.
Mengurutkan prioritas kemungkinan kata sandi.
Memasukkan satu per satu kemungkinan kata sandi sampai berhasil.
Menggunakan skrip agar lebih mudah.
Otomatis
●
●
Mendapatkan berkas kata sandi pada sistem target dan menjalankan
program untuk merengkahnya.
Umumnya kata sandi dalam bentuk hash dari hasil algoritma enkripsi
oneway. Yang dibandingkan adalah hasil hashnya.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
26. Perengkahan Kata Sandi (2)
●
Berkas nama pengguna dan kata sandi:
●
●
●
Windows: berkas SAM di C:Windowssystem32config.
Unix* dan Linux: /etc/passwd dan /etc/shadow.
Windows 2000 menggunakan NT LAN Manager (NTLM) hash untuk
melindungi kata sandi yang digunakan dalam jaringan.
●
Kata sandi dikonversi ke huruf besar.
●
Ditambahkan karakter null/kosong pada kata sandi.
●
Sebelum dienkripsi, kata sandi dibagi menjadi 2 bagian.
●
Masingmasing bagian dienkripsi.
●
Tabel pelangi atau rainbow table: tabel berisi (precomputed) hash.
●
Kata sandi bawaan perangkat keras atau perangkat lunak.
●
Sistem Live: LiveCD dan LiveUSB.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
39. Setelah mendapatkan akses pengguna,
umumnya peretas ingin memiliki akses
yang lebih tinggi.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
40. Dari pengguna biasa ke administrator (root).
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
41. Setelah mendapatkan akses tertinggi,
peretas akan menjalankan program,
memasang backdoor, menyalin berkas,
atau bahkan merusak (jahat, cracker).
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
42. Serangan buffer overflow: mengeksploitasi
kelemahan program dengan menulis data
yang melebihi ukuran buffer.
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed
45. Rootkit: kit/paket berisi kumpulan program atau
skrip yang digunakan setelah peretas mendapatkan akses tertinggi pada sistem target.
(umumnya untuk menyembunyikan backdoor)
Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed