Breaking News
Loading...
Kamis, 21 Januari 2016

Chapter #4 Password ( Part A )

18.25




Kata sandi

Saat ini, password adalah satu-satunya bentuk keamanan pada kebanyakan website dan sistem komputer. Hal ini telah menjadi salah satu cara yang paling umum dan paling mudah bagi seorang hacker untuk mendapatkan akses tidak sah ke komputer atau jaringan.

CrackingPassword
Sebelum kita masuk ke cracking password dengan sebuah program, saya akan menjelaskan beberapa cara kuno untuk mendapatkan password seseorang. 
  • Social Engineering / Rekayasa Sosial - Social Engineering adalah ketika seorang hacker mengambil keuntungan dari mempercayai manusia untuk mendapatkan informasi dari mereka. Misalnya, jika hacker mencoba untuk mendapatkan password pada komputer rekan kerja, dia (Meskipun saya menggunakan "dia", hacker tetaplah trerdiri dari kedua jenis kelamin, dan saya hanya memilih untuk menggunakan "dia" dalam contoh ini.) bisa memanggil rekan kerja berpura-pura menjadi seseorang dari departemen IT. Percakapan bisa menjadi seperti ini:
Roy- "Hay ,Mas Andy. Nama saya Roy dan saya dari departemen IT. Saya sedang mencoba untuk menginstal update keamanan baru pada komputer anda, tapi saya tidak bisa terhubung ke database pengguna dan mengekstrak informasi pengguna anda. Maukah anda membantu saya dengan memberitahu password anda sebelum bos saya marah marah kalau pekerjaan saya tidak selesai selesai?"

Karena mungkin Mas Andy merasa iba pada Roy yang jika pekerjaanya belum selesai akan kena marah Bosnya, maka mas Andy memberi tahu password-nya tanpa ragu-ragu. Bingo ! Inilah yang di sebut Social engineering atau Rekayasa Sosial. Sekarang hacker bisa melakukan apa yang diinginkannya dengan akun itu.
  • Shoulder surfing - Shoulder surfing adalah tekhnik untuk memperoleh informasi tentang targetnya dengan pengamatan langsung, seperti memeriksa tingkah laku seseorang, untuk mendapat informasi. Hacker hanya akan mencoba untuk melihat segala sesuatu yang dibutuhkan saat anda sedang online. Hacker juga dapat menonton informasi tentang anda atau teman anda, mencari pengingat tertulis atau password yang mungkin anda amankan dalam suatu dokumen tertulis.
  • Guessing/Menebak - Jika Anda menggunakan password yang lemah, seorang hacker bisa menebak dengan mudah menggunakan informasi yang ia tahu tentang anda. Contohnya : tanggal lahir, nomor telepon, hewan peliharaan favorit, makanan favorit, nama pacar,nama orang tua dan hal-hal sederhana lainnya seperti ini.
Sekarang anda jadi sedikit tahu tentang tekhnik sederhana  untuk meretas password korban, mari kita telusuri beberapa teknik yang sedikit berkelas. Beberapa program yang akan saya gunakan dalam contoh saya mungkin diblokir oleh program anti-virus. Pastikan Anda menonaktifkan program anti-virus anda ketika anda memutuskan untuk men-download dan menjalankannya.
Ada berbagai cara hacker dapat
mencoba tekhnik cracking password. Di bawah ini saya akan menjelaskan dan memberikan contoh masing-masing cara.


Dictionary Attack
 
Dictionary Attack adalah tehnik hacking dengan cara mencoba beberapa  password yang umum digunakan, atau daftar setiap kata umum  yang digunakan terhadap database password. Password yang kuat biasanya tidak rentan terhadap serangan semacam ini. Pada contoh berikut, saya akan menggunakan Brutus, password cracker yang sangat umum, untuk menunjukkan Dictionary Attack terhadap server ftp. Brutus adalah program Windows, tapi pada akhir bab ini saya akan kasih lihat daftar beberapa software password cracker, beberapa di antaranya dibuat untuk Mac, Windows, dan Linux.

Sebelum saya masuk ke contoh, Anda harus terlebih dahulu tahu apa itu server FTP. FTP singkatan dari File Transfer Protocol. FTP adalah cara sederhana untuk bertukar file melalui internet. Jika seorang hacker mendapat akses FTP ke website saya, dia bisa menghapus / meng-upload apa pun yang diinginkan pada server saya. Alamat FTP terlihat mirip dengan alamat situs web kecuali menggunakan ftp awalan : // bukan http: //.  Saya menyiapkan server FTP di komputer saya sehingga saya bisa menunjukkan. Anda bisa mendapatkan Brutus di sini.


  • Pertama hacker akan memilih target. Dalam hal ini itu komputer di rumah saya dan alamat IP untuk komputer di rumah Anda adalah 127.0.0.1. 
  • Dengan pergi ke ftp://127.0.0.1 saya mendapatkan kotak pop-up yang meminta username dan password.

  • Berikutnya hacker akan meluncurkan program serupa untuk Brutus dan berusaha untuk memecahkan sandi


  • Dalam target Anda memasukkan alamat IP dari website dan ke kanan pilih opsi yang sesuai, yang dalam hal ini adalah FTP.
  • Port default adalah 21 tetapi beberapa website mengubah ini untuk membuat mereka sedikit lebih aman. Jika Anda mengetahui bahwa port tersebut tidak 21, Anda dapat menemukan yang tepat dengan melakukan port scan. Akan kita bahasa ini nanti.
  • Jika Anda tidak tahu salah satu nama pengguna untuk server FTP, maka Anda akan harus mendapatkan daftar nama pengguna yang paling umum.
  • Untuk melancarkan  Dictionary Attack, anda pilih mode Word List pada Pass Mode dan pada Pass File pilih file yang berisi dafta/ Word List yang anda simpan. Anda bisa mendapatkan beberapa daftar password yang baik di Pocket Security. Simpan pada Notepad anda. Di bawah ini adalah contoh dari  username dan password daftar yang coba saya test.




  • Setelah anda menekan Start, program akan mencoba untuk terhubung ke server dan mulai mencoba semua kombinasi yang pada Word List Anda.



  • Jika Anda beruntung, maka anda akan mendapatkan Username : Password kombinasi. Seperti yang dapat Anda lihat di bawah, kombinasi yang benar adalah username – admin and password – password.


  • Seorang hacker pintar akan menggunakan proxy ketika menggunakan program seperti ini. Apa yang bias proxy lakukan adalah menyelubungi alamat IP anda dengan mengirimkan permintaan koneksi anda melalui komputer lain sebelum pergi ke target. Ini adalah ide yang cerdas karena seperti yang lihat  pada gambar di bawah, Brutus meninggalkan log kehadiran anda pada server target.

  • Jika tidak menggunakan proxy maka alamat IP 127.0.0.1 itu akan terdeteksi sebagai alamat IP  hacker. Meninggalkan jejak seperti ini hanya akan membuat seorang hacker tertangkap dan mendapatkan banyak masalah hukum.

Brute-force Attacks

Metode Brute-force attacts cukup efektif yang jadi masalah hanya soal waktu, Brute-force attacts dapat memecahkan berbagai jenis  password. Brute-force attacts mencoba setiap kemungkinan kombinasi huruf, angka, dan karakter khusus sampai password yang benar ditemukan. Brute-force attacts dapat memakan waktu yang cukup relative.Artinya Kecepatan ditentukan oleh komputer yang menjalankan program cracking dan kompleksitas password. Di bawah ini saya akan menunjukkan kepada Anda bagaimana Brutus dapat digunakan terhadap server FTP yang sama tapi kali ini menggunakan pilihan brute force.
Brute-force attacts

  • Masukkan target dan port dengan cara yang sama pada untuk dictionary attack. Untuk Pass Mode pilihlah Brute-force lalu klik Range.


  • Jika anda memiliki perkiraan password yang mungkin dipakai korban, anda dapat memilih Option lain untuk mempersingkat waktu, pilih Tools-Brute force generator. Misalnya jika anda sedikit tahu berapa digit kata yang menjadi password situs korban, anda dapat meletakkan di kolom Min Length dan Max Length. Anda atur saja sesuai perkiraan anda. Efeknya adalah untuk mempersempit hasil akhir dan memperpendek proses cracking.
  •  Setelah memilih Lowerchase Alpha  yang memiliki jumlah kombinasi terkecil. Sesuaikan Min Max Length nya, dan klik OK. Nah, sekarang anda sudah tahu apa yang menentukan waktu menjadi sangat  singkat/lama dalam proses cracking password melalui Brute force attact.



saya lanjutkan di  Chapter #4 Password ( Part B )

0 komentar:

 
Toggle Footer