TUGAS 3

TEKNOLOGI INFORMASI DAN MULTIMEDIA

PASWORD SECURITY

OLEH :

1. BERLIOS MORENZIA (1210952030)2. IMRAN SILABAN (1210953031)

Dosen : Zaini P.hD

TEKNIK ELEKTRO

FAKULTAS TEKNIK

UNIVERSITAS ANDALAS

PADANG

2015

Password Security

Metode Digunakan Untuk Hacker ( Dalam Membobol User Account Dan Password)

1. Brute-force Attacks

Serangan brute-force adalah sebuah teknik serangan terhadap sebuah

sistem keamanan computer yang menggunakan percobaan terhadap semua

kunci yangmungkin. Pendekatan ini pada awalnya merujuk padasebuah

program komputer yang mengandalkan kekuatan pemrosesan komputer

dibandingkan kecerdasan manusia.Sebagai contoh, untuk menyelesaikan

sebuah persamaan kuadrat seperti x ! +7x-44=0, di mana x adalah sebuah

integer, dengan menggunakan teknik serangan brute- force, penggunanya

hanya dituntut untuk membuat program yang mencoba semua nilai integer

yang mungkinuntuk persamaan tersebut hingga nilai x sebagai jawabannya

muncul. Istilah brute force sendiridipopulerkan oleh Kenneth Thompson,

dengan mottonya:"When in doubt, use brute-force" (jika ragu, gunakan brute-

force).

Secara sederhana, menebak password dengan mencoba semua kombinasi

karakter yang mungkin. Bruteforce attack digunakan untuk menjebol akses ke

suatuhost (server/workstation/network) atau kepada data yangterenkripsi.

Metode ini dipakai para cracker untuk mendapatkan account secara tidak sah,

dan sangat berguna untuk memecahkan enkripsi. Enkripsi macamapapun,

seperti Blowfish, AES, DES, Triple DES dsbsecara teoritis dapat dipecahkan

dengan brute-forceattack. Pemakaian password sembarangan, memakai

password yang cuma sepanjang 3 karakter, menggunakankata kunci yang

mudah ditebak, menggunakan passwordyang sama, menggunakan nama,

memakai nomor telepon,sudah pasti sangat tidak aman. Namun brute force

attack bisa saja memakan waktu bahkan sampai berbulan-bulanatau tahun

bergantung dari bagaimana rumit passwordnya.

Ilutrasi Bagaimana Brute- Force Attack Bekerja

Brute Force attack tidak serumit dan low-tech seperti algoritma hacking yang

berkembang sekarang. Seorang penyerang hanya cukup menebak anama dan

kombinasi password sampai dia menemukan yang cocok. Mungkin terlihat

bahwa brute force attack atau dictionary attack tidak mungkin berhasil.

Namun yang mengejutkan, kemungkinan berhasil brute force attack menjadi

membaik ketika site yang ingin diretasi tidak dikonfigurasikan dengan baik.

Beberapa faktor yang menjadi keuntungan seorang hacker, bisanya disebabkan

oleh kemalasan manusia itu sendiri,

Hal-hal yang perlu diperhatikan dalam menggunakan metode brute force attac

a. Asumsikan bahwa password diketik dalam huruf kecil (lower case).

Pada kasus ini, waktu yang dibutuhkan akan cenderung sama tetapi jika

password mengandung huruf kapital (upper case) cara ini tidak akan berhasil.

b. Coba semua kemungkinan.

Tujuh karakter lower casemembutuhkan sekitar 4 jam untuk berhasil

mendapatkan password tetapi jika dicoba semua kemungkinan kombinasi

antara karakter upper case dan lower case akan membutuhkan waktu sekitar 23

hari.

c. Metode ketiga adalah trade-off.

Hanya kombinasi-kombinasi yang mungkin yang dimasukkan dalam pencarian,

sebagai contoh “password”, “PASSWORD” dan “Password”. Kombinasi rumit

seperti “pAssWOrD” tidak dimasukkan dalam proses. Dalam kasus ini,

lambatnya proses dapat tertangani tetapi ada kemungkinan passwordtidak

ditemukan.

2. Dictionary Attack

Dictionary Based Attack atau Dictionary Attack adalah kaedah

menceroboh/memasuki komputer yang dilindungi kata laluan atau pelayan

dengan sistematik memasukkan setiap perkataan dalam kamus sebagai kata

laluan. Dictionary Attack juga boleh digunakan dalam usaha untuk mencari

kunci yang diperlukan untuk mendekripsi mesej atau dokumen yang

terenkripsi.

Dictionary Attack terjadi/ditemui/dicipta kerana banyak pengguna

komputer dan peniaga menggunakan kata-kata biasa daripada kamus sebagai

kata laluan. Dictionary Attack jarang berjaya terhadap sistem yang

menggunakan beberapa frasa-kata, dan gagal melawan sistem yang

menggunakan kombinasi rawak dari huruf besar dan huruf kecil dicampur pula

dengan nombor. Dalam sistem tersebut, kaedah Brute Force Attack (di mana

setiap kemungkinan kombinasi karakter dan ruang dicuba sehingga panjang

maksimum yang tertentu) kadang-kadang boleh berkesan, walaupun

pendekatan ini memakan masa yang lama untuk berhasil.

Dictionary Attack adalah metode yang digunakan untuk membobol

password dengan menggunakan daftar kata yang ada dalam kamus atau daftar

kata yang ada dalam sebuah file teks. File tersebut berisi kata-kata yang diurut

berdasarkan kemungkinan yang lebih tinggi, misalnya berisi nama, tempat,

tanggal lahir, dll.

Contoh file dictionary.txt:

“budi

budijuanda

juanda

30695

300695

30061995

sungaipenuh

kerinci

jambi

dstnya

Metode ini lebih efisien dibandingkan metode Brute Force Attack yang

membutuhkan waktu cukup lama. Tentang Metode Brute Force Attack, telah

saya posting pada artikel sebelumnya. Untuk membandingkan kata-kata yang

ada di sebuah file teks, dibuatlah program yang berisi kode dengan logika

dasar sebagai berikut:

3. Hybrid Attack

Hybrid attack adalah metode cracking password yang digunakan dengan

cara mengkombinasikan kata yang ada di kamus dan diberi jeda dengan

karakter lain. Misal contoh password tersebut adalah “2easy4hard”. Metode

ini sangat mengejutkan, karena tingkat keberhasilannya tinggi, hal ini

dikarenakan banyak user sudah mengakali passwordny agar tidak dicuri,

namun password cracker dapat membacanya, karena rata-rata password

cracker melakukan hal yang sama dengan user.

Hybrid Attack - menggunakan teknik dictionary attack dan kemampuan

suatu program, kombinasi perkataan atau word list yang ada akan ditambah

dengan perkataan atau nombor lain di ujung atau permulaan dari password.

Program ini akan mengacak semua kombinasi- kombinasi yang ada yang kita

masukkan dan akan mengeluarkan output yang kira- kira mungkin terjadi.

4. Shoulder Surfing

Shoulder Surfing adalah salah satu metode yang digunakan oleh hacker

untuk memperoleh informasi tentang targetnya dengan menggunakan teknik-

teknik pengamatan langsung, seperti memeriksa tingkah laku seseorang,

untuk mendapat informasi. Teknik pengamatan langsung ini umumnya

digunakan dan efektif dilakukan di dalam tempat-tempat yang penuh sesak,

karena hal ini akan relatif mudah untuk mengamati tingkah laku seseorang

yang akan dijadikan sebagai target atau korban, seperti :

1. Saat seseorang mengisi form informasi tentang dia

2. Memasukkan PIN mereka pada satu anjungan tunai mandiri atau suatu

mesin POS (Point of Sale)

3. Menggunakan kartu nama pada suatu telepon prabayar yang publik

4. Memasukkan kata sandi pada suatu cybercafe, pustaka-pustaka publik dan

universitas, atau kios-kios pelabuhan udara.

Dalam teknis Shoulder Surfing, seorang hacker dalam mengamati

tingkah laku korbanyak, bisa menggunakan teropong dua lensa atau alat-alat

penambahan visi lain. Memasang kamera-kamera meni dan diletakkan dalam

plafon atau langit-langit, dinding sebagai peralatan untuk mengamati entri

data.

Untuk mencegah seseorang melakukan teknis Shoulder Surfing, bisa

dilakukan dengan cara sebegai berikut :

Membatasi pandangan seseorang, waktu kita menulis atau menggunakan

keypad untuk memasukkan informasi yang rahasia dengan menggunakan

tubuh kita atau tangan.

Anjungan tunai mandiri yang terbaru, sekarang mempunyai suatu

tampilan yang canggih untuk melindungi kemungkinan seseorang melakukan

Shoulder Surfing. Dengan memperkecil sudut pandang, dan satu-satunya cara

untuk melihat layar adalah dengan tepat berdiri secara langsung di depan

mesin ATM tersebut. Kamera keamanan tidak diizinkan untuk ditempatkan

secara langsung di atas mesin ATM sehingga memungkinkan mengamati

entri data oleh nasabah.

Apabila melakukan transaksi menggunakan Mesin POS (Point of Sales)

yang umum tersedia di dalam toko-toko, supermarket-supermarket ,

hendaknya menghalangi dengan badan atau tangan kita sewaktu memasukkan

PIN atau dengan tidak meletakkan mesin tersebut ditempat yang datar yang

mudah untuk dilihat oleh seseorang waktu mengetik PIN di mesin POS tsb.

Jangan memasukkan PIN atau melakukan transaksi aplikasi tranfer dan

pembayaran online, seperti internet banking menggunakan fasilitas komputer

umum, seperti di warnet pustaka-pustaka publik dan universitas, kios-kios

pelabuhan udara. Apabila terpaksa menggunakan pastikan komputer yang

digunakan bebas dari aplikasi seperti keyloger dan yang sejenisnya, pastikan

site yang ada kunjungi untuk melakukan transaksi tersebut benar.

5. Social Engineering

Social engineering, mungkin istilah ini sangat awam bagi Anda yang tidak

berkutat dengan yang namanya jagat teknologi. Namun bagi mereka yang ahli

dan sering ‘bermain-main’ di jagat teknologi pastinya sangat familiar dengan

istilah social engineering.

Sosial engineering sendiri adalah metode atau cara untuk mendapatkan

informasi/ data yang bersifat rahasia dengan cara memanipulasi pemilik

informasi. Social engineering ini biasanya dilakukan melalui sambungan

telepon dan komunikasi melalui internet. Pihak yang paling sering melakukan

social engineering adalah para hackers. Tugas utama para hackers memang

identik dengan mencuri data-data penting dari narasumber yang penting

sekalipun. Para hackers ini melakukan pembobolan sistem keamanan

informasi melalui akun korban. Dengan cara ini, hackers bisa dengan mudah

mendapatkan informasi/ data penting korban dalam waktu sekejap.

Ada cara lainnya yang dilakukan oleh hackers untuk memperoleh

informasi/ data milik korban selain membobol sistem keamanan informs,

yaitu dengan cara mencuri password si korban. Cara ini dinilai lebih mudah

dan cepat bila dibandingkan dengan cara membobol sistem keamanan

informasi milik si korban. Pasalnya membobol sistem keamanan informasi

milik seseorang bukanlah perkara mudah. Terdapat beberapa tahapan untuk

melakukannya. Tahap pertama yang biasa dilakukan oleh hacker untuk

melancarkan aksi hacking-nya adalah tahap persiapan. Tahap persiapan

melipuiti pengumpulan data-data milik korban.

Tipe social engineering

Pada dasarnya terdapat dua jenis social engineering, yaitu:

Social engineering berbasis interaksi sosial

Social engineering berbasis interaksi via komputer/ dunia maya

Aksi social engineering berbasis interaksi sosial secara langsung biasanya

dilakukan oleh pelaku yang memiliki tujuan yang tidak baik terhadap para

korbannya akan tetapi memiliki kemampuan komunikasi dan interaksi yang

sangat baik, pintar mempengaruhi orang lain, pandai meyakinkan orang lain

sehingga orang lain, khususnya korban, akan mudah terpedaya. Pintarnya lagi

pelaku akan menyasarkan aksinya pada korban yang aktif bekerja di jagat

teknologi informasi suatu perusahaan besar. Modus operandi yang dijalankan

oleh pelaku masih sama, yaitu menggunakan media sosial media, sambungan

telepon, ataupun media kirim pesan online seperti email.

Meski suatu perusahaan atau lembaga-lembaga penting seperti lembaga

pemerintahan didukung oleh sistem keamanan dan prosedur pengaman yang

canggih, ada faktor lain yang bisa menjadi penyeban jebolnya sistem

keamanan, yaitu faktor manusia. Secanggih apapun sistem keamanan yang

dibangun oleh suatu perusahaan/ lembaga, akan tetap mudah ditembus

apabila ditangani oleh admin yang kurang kompeten. Faktor lainnya yaitu

kurangnya kesadaran para users akan pentingnya sistem keamanan. Bahkan

ada pula users yang tak peduli soal sistem keamanan. Berikut contoh kasus

ulah pelaku social engineering pada korbannya.

Sebuah perusahaan besar memperkerjakan seorang admin network yang

ahli di bidang keamanan jaringan dan sistem informasi. Namun terdapat

beberapa users yang tidak terlalu memperdulikan sistem keamanan. Sebagai

contoh keteledoran user yaitu user membuat password yang sangat mudah

untuk ditebak, lupa tidak log out setelah bekerja, atau mudah memberikan

akses pada rekan kerja lainnya. Beberapa keteledoran ini dapat dimanfaatkan

oleh pelaku social engineering untuk mengakses, mencuri, bahkan merusak

informasi/ data-data penting milik perusahaan. Bisa saja pelaku berpura-pura

sebagai pihak yang memiliki kepentingan dengan perusahaan dan meminta

salah satu user untuk dapat mengakses perusahaan via online.

Contoh kasus lainnya yang bisa dijadikan celah aksi para pelaku soclal

engineering adalah membuang slip gaji atau slip ATM. Mungkin sebagian

orang menganggap bahwa slip gaji atau slip ATM adalah sampah alias benda

yang tak penting. Akan tetapi, pada slip ATM ataupun slip gaji terdapat

informasi penting yang dapat dimanfaatkan oleh para pelaku social

engineering. Nah, setelah mengetahui beberapa contoh kasus di atas, kiranya

kita semua lebih waspada terutama ketika akan membuang slip gaji atau slip

ATM, atau ketika ada seseorang yang tidak kita kenal meminta akses

perusahaan di mana tempat kita bekerja.

Metode aksi soclal engineering

Terdapat beberapa cara pelaku social engineering melancarkan aksinya, yaitu:

Pelaku melakukan serangan langsung yaitu dengan cara meminta apa saja

yang dibutuhkan. Sebut saja password, peta jaringan, akses jaringan, kunci

ruangan yang berisi database, dan konfigurasi sistem.

Pelaku membuat skenerio yang berisi situasi palsu. Misalnya si pelaku

berpura-pura sebagai bagian dari suatu perusahaan yang akan ‘diserang’.

Atau bisa juga si pelaku berpura-pura sebagai bagian dari situasi palsu yang

disusunnya. Sebagai contoh, pelaku membuat alasan yang menyangkut

pautkan dengan kepentingan pihak lain. Ketika pelaku sudah berhasil masuk

ke dalam ‘zona’ perusahaan, pelaku kemudian menjalankan aksi lanjutan

seperti mencari informasi-informasi penting tentang target/ korbannya.

Pelaku yang pandai dan sudah ahli biasanya tidak perlu mengumbar

kebohongan pada calon korbannya. Pelaku justru akan menunjukan fakta-

fakta agar calon korbannya benar-benar percaya pada si pelaku. Contoh riil,

pelaku berpura-pura sebagai seorang agen tiket. Pelaku melakukan konfirmasi

bahwa tiket sudah siap untuk dikirim. Pelaku pastinya akan meminta data-

data penting korbannya untuk kepentingan pengiriman tiket. Meskipun calon

korban merasa tidak memesan tiket, pelaku tetap perlu mengetahui nama dan

nomor kepegawaiannya dengan alasan untuk dicocokkan. Informasi seperti

nama lengkap dan nomor kepegawaian adalah dua data penting yang dapat

digunakan oleh pelaku untuk dapat mengakses sistem informasi perusahaan di

mana korban bekerja.

Pelaku menggunakan akun email. Caranya yaitu si pelaku mengirim email

pada target/ korban. Ketika korban membuka attachment. Sebelumnya pelaku

meretaskan virus/ worm seperti Trojan sebagai jalur backdoor pada

sistemnya. Worm/ virus bahkan dapat dimasukan dalam file yang berformat

jpg sekalipun.

Pencegahan social engineering

Lantas, bagaimana cara menghindari aksi pelaku social engineering?

Terdapat beberapa cara pencegahan, yaitu:

Selalu waspada ketika sedang melakukan interaksi baik di dunia nyata

maupun di dunia maya. Apalagi jika berkaitan dengan sistem informasi

perusahaan di mana Anda bekerja.

Bagi Anda yang membawahi suatu perusahaan/ organisasi besar, Anda

sekiranya perlu mempelajari trik-trik bagaimana cara mengamakan sistem

informasi. Setelah Anda kuasai dengan baik, tularkan pada para karyawan

Anda. Tujuannya adalah untuk meminimalisir terjadinya peristiwa-peristiwa

yang tidak diinginkan.

Sering-seringlah membaca buku atau mengikuti acara seminar tentang

pemcegahan social engineering.

Adakan pelatihan dan sosialisasi pada para karyawan Anda terkait pentingnya

pengelolaan sistem keamanan informasi.

Terapkan unsur keamanan informasi sesuai dengan standard prosedur yang

dapat diakses sehari-hari. Misalnya dengan menerapkan monitor policy dan

clear table. Kedua contoh ini perlu dilakukan agar para karyawan Anda

terbiasa melakukannya.

Perusahaan juga perlu melakukan analisa kerawanan sistem keamanan

informasi perusahaan. Misalnya dengan melakukan uji coba kekuatan sistem

keamanan informasi perusahaan melalui cara penetration test.

Bekerja sama dengan pihak ketiga untuk membantu memperkuat sistem

keamanan perusahaan. Misal, kerjasama dengan vendor, institusi yang ahli di

bidang keamanan sistem informasi, dll.

6. Phishing E-mail Scams

Phishing adalah sebuah bentuk kejahatan internet yang menggunakan

Email sebagai media penyebarannya. Phising berasal dari kata "Fishing"

yang berarti "memancing". Jadi yang dimaksud dengan Phising adalah Email

yang mengandung informasi yang menipu ( Scam ) yang memancing

penerima untuk melakukan sesuatu hal yang merugikan bagi si penerima tapi

menguntungkan bagi si pengirim.

Contohnya sebuah email yang mengatasnamakan sebuah bank yang

memberikan link tertentu untuk memferifikasi account atau sejenisnya, akan

tetapi sesungguhnya link tersebut mengarah ke situs atau server milik si

pengirim. Ketika kita meng-klik link tersebut ada kemungkinan kita telah

memberikan informasi tertentu kepada si penjahat cyber dalam hal ini si

pengirim email tersebut. Atau dengan cara tertentu Sang Penjahat membuat

Situs yang sangat mirip dengan Situs Resmi dan memancing kita untuk

Login, sehingga secara tidak langsung kita telah memberikan informasi

tentang Username dan Password yang kita miliki.

Bagaimanakah cara mengenali Email Phising ...?

Banyak Email Phising dirancang sangat sempurna dan meyakinkan,

dari mulai Subjek email, alamat email, Logo bahkan domain yang nyaris sulit

di bedakan dengan aslinya. Meskipun begitu, kita tetap bisa mengenali Email

Pishing asalkan kita cermat meneliti setiap email yang masuk.

Salah Satu Contoh Email Phising

Kenali dari alamat Email Pengirim

Setiap kita menerima Email tentu ada alamat email pengirimnya bukan..!.

Beberapa penjahat Cyber mampu menyamarkan alamat email hingga mirip

aslinya misalkan saja dengan alamat domain yang serupa misalnya :

@Citibank.com , @Google.com dan semacamnya. Namun hal tersebut tidak

mudah dan membutuhkan keahlian sebagai seorang Cracker . Yang biasanya

dilakukan oleh penjahat Cyber adalah dengan menggunakan alamat email

yang cukup menyerupai Email resmi, akan tetapi masih menggunakan

domain gratisan contohnya gmail-support@gmail.com, Yahoo-

support@yahoo.co.uk  dan semacamnya. , Gmail dan Yahoo adalah penyedia

email gratisan, jadi jelas bahwa si pengirim adalah pengguna individu yang

memanfaatkan fasilitas gratisan dari server penyedia Email dan bukan dari

situs resmi.

Link yang mencurigakan

Jika kita membuka email, bacalah dan perhatikan setiap kata yang

mencurigakan yang mengarahkan kita untuk mengeksekusi link tertentu. Jika

Link berupa alamat URL terlihat dalam arti tidak tersembunyi dalam gambar,

maka perhatikan dengan seksama URL arahan yang di maksud. Memang

sebagian ada yang di buat sangat mirip contohnya :

<http://www.citibank.com/secure> atau

<http://www.Paypal.com/accountlogin> dan sejenisnya. Alamat perbankan

atau alamat URL yang menggunakan security yang tinggi atau menggunakan

SSL (Secure Socket Layer) biasanya menggunakan https:// ( pada Mozilla

firefox ditandai dengan icon bergambar gembok di pojok kanan bawah ) atau

di dalam situs terdapat tanda sertifikasi keamanan.

Tips Aman Mengenali Phising

Perhatikan setiap pesan yang masuk, sebelum membuka Email yang terkesan

penting ( resmi ) sebaiknya pastikan bahwa domain yang digunakan adalah

domain resmi dan bukan domain gratisan seperti yang saya sebutkan diatas.

Jangan sembarangan mengklik link yang disertakan didalam pesan. Sorot

Link yang Tampil dan perhatikan URL arahan yang tercantum pada Status

bar ( bagian bawah Browser anda).

Jika ingin Login ke situs tertentu sebaiknya langsung mengetikkan alamat

URL resmi.

Selalu periksa Address bar ketika anda akan login, biasanya untuk halaman

web dengan security yang tinggi menggunakan awalan https://.

Jangan pernah memberikan informasi penting kepada siapapun. Bank tidak

pernah menanyakan informasi PIN ataupun Password Perbankan anda.

Meskipun macam Cyber Crime semakin banyak dan merajalela akan tetapi

jangan takut untuk tetap menggunakan fasilitas Email. Email adalah bagian

dari kemajuan Teknologi. Semakin tinggi Teknologi maka semakin tinggi

resiko yang bisa ditimbulkan. Luka Orang jatuh naik Sepeda Onthel berbeda

dengan orang yang jatuh dari Sepeda Motor bukan..!. Tetap waspada adalah

kuncinya, Kenali setiap bahaya dengan baik, maka kita akan siap ketika

bahaya itu datang.