Memahami Tentang Password CrackingLowongan kerja|tki ex magang jepang|resmi non imm|terbaru 2016


  kiri
titik tengah  CARI BARANG
banner kanan
---
  banner kiri
titik  MENU
banner kanan
  banner kiri
titik  ATURAN
banner kanan
---
  banner kiri
titik  LOGIN
banner kanan
Username
Password
 
---
  banner kiri
titik  CUSTOMER SERVICE
banner kanan
Yahoo Messenger:
Customer Services dagangku.comCustomer Services
  banner kiri
titik  BANNER
banner kanan

Video Shooting jakarta

Program Magang Jepang
User: Guest | Anda Belum Login
  TIPS & TRIK DETAIL
| Diposting oleh Rolys | Dibaca 1775 kali dari Website Dagangku.com

Memahami Tentang Password Cracking

Memahami Tentang Password Cracking

- Sunday, May 08, 2005 :: 02:00 Rob Shimonski (rshimonski@rsnetworks.net)
Lead Network and Security Engineer

Eksploitasi password dan user account merupakan salah satu masalah terbesar dalam dunia keamanan jaringan. Dalam artikel ini Rob Shimonski akan membahas tentang password cracking: bagaimana dan mengapa hal tersebut terjadi. Rob akan menjelaskan betapa mudahnya menembus pertahanan sebuah jaringan, cara penyerang masuk, tool yang mereka gunakan dan cara mengatasinya.

Serangan pada sistem komputer sebuah organisasi atau perusahaan memiliki bentuk yang berbeda-beda, seperti spoofing, smurfing dan berbagai jenis serangan Denial of Service (DoS). Serangan ini dirancang guna melumpuhkan atau menginterupsi penggunaan sistem operasi anda. Artikel ini berhubungan dengan bentuk serangan yang paling banyak digunakan, yakni password cracking.

Password cracking merupakan istilah yang sering digunakan untuk menjelaskan pembobol jaringan, sistem atau sumber daya dengan atau tanpa menggunakan tool guna membongkar suatu sumber informasi yang dilindungi password. Dalam artikel ini saya akan menjelaskan apa itu password cracking, mengapa para cracker melakukannya, dan bagaimana cara mereka menentukan sasarannya, dan apa yang harus anda lakukan guna melindungi diri anda sendiri. Secara ringkas saya akan menjelaskan perihal para cracker itu sendiri: aspek psikologis dan motivasi mereka. Melalui sebuah pengujian dari beberapa skenario, saya akan menjeaskan beberapa teknik yang mereka lakukan dan tool yang mereka butuhkan dalam penyerangan, dan bagaimana password cracker bekerja baik secara internal maupun eksternal untuk melumpuhkan infrastruktur perusahaan.

Pada akhirnya, artikel ini akan menyediakan daftar periksa guna membantu melindungi anda dari password cracking.

Sebelum menjelaskan metode untuk melakukan hal ini, pertama kali kita menelaah pemikiran para penyerang dan mempelajari mengapa mereka ingin mengakses jaringan dan sistem anda.

Penyerang (Attacker): Bagaimana dan mengapa mereka menyerang
hingga saat ini masih terjadi perdebatan mengenai definisi dari kata “hacker”. Seorang hacker diartikan sebagai seseorang yang memiliki ketertarikan yang mendalam terhadap teknologi komputer; tidak didefinisikan sebagai seseorang ingin melakukan kerusakan. Sedangkan istilah “Penyerang” biasanya digunakan untuk menggambarkan seorang “hacker” perusak. Istilah lain dari Penyerang adalah “black hat”. Para analis keamanan seringkali disebut sebagai “white hat” dan analisa white-hat merupakan hacking dengan tujuan pertahanan.

Motivasi para Penyerang sangat beragam. Beberapa hacker jahat adalah anak-anak SMA yang sering berada di depan komputer mereka dan mencari berbagai cara untuk mengeksploitasi sistem komputer. Para Penyerang lainnya adalah karyawan yang sakit hati dan berniat melakukan balas dendam pada suatu perusahaan. Dan masih ada serangan lainnya yang didorong oleh tantangan belaka dalam menembus sistem pertahanan komputer.

Metode Serangan
Password cracking tidak selalu berhubungan dengan tool yang rumit. Cara termudah adalah menemukan secarik kertas yang bertuliskan password yang diletakkan pada monitor atau disembunyikan dibawah keyboard. Teknik umum lainnya adalah yang dikenal sebagai “dumpster diving”, yang terkait dengan seorang Penyerang yang mengais keranjang sampah anda untuk menemukan sampah dokumen yang mungkin berisikan password.

Tentunya serangan lainnya terkait dengan tingkat yang lebih rumit. Berikut ini beberapa teknik umum yang digunakan dalam password cracking:

- Serangan Dictionary
Sebuah serangan dictionary merupakan cara tercepat dan terbaik dalam melumpuhkan mesin. Sebuah file dictionary (sebuah file teks yang berisi kamus password) diload pada aplikasi cracking (seperti L0phtCrack), yang dijalankan terhadap user account yang ditemukan oleh aplikasi tersebut. Karena sebagai besar password seringkali tergolong sederhana, menjalankan sebuah dictionary attack seringkali cukup membantu.

- Serangan Hybrid
Bentuk serangan lainnya yang terkenal adalah serangan “hybrid”. Sebuah serangan hybrid akan menambahkan angka atau simbol terhadap nama file untuk keberhasilan meng-crack password. Pola yang digunakan biasanya berbentuk: first month password is “cat”; second month password is “cat1”; third month password is “cat2”; dan seterusnya.

- Serangan Brute force
Bentuk serangan lainnya yang tergolong rumit adalah brute force, seringkali memakan waktu yang sangat lama, tergantung kompleksitas password tersebut terkadang perlu waktu seminggu guna menebak password. L0phtCrack seringkali digunakan untuk melakukan serangan brute force.

Berikutnya, kita akan melihat beberapa tool yang digunakan untuk membobol sistem.

Tool yang banyak digunakan
Salah satu tool yang paling populer adalah L0phtCrack (sekarang disebut LC4). L0phtCrack merupakan sebuah tool yang memungkinkan seorang Penyerang merampas password yang dienkripsi Windows NT/2000 dan mengkonversi-nya kedalam plaintext. Password NT/2000 ada dalam hash kriptografi dan tidak dapat dibaca tanpa tool seperti L0phtCrack. Tool ini mencoba berbagai kemungkinan kombinasi alphanumerik untuk meng-crack password.

Tool lainnya yang sering digunakan adalah protocol analyzer (sering dikenal dengan network sniffer, atau Sniffer Pro atau Etherpeek), yang mampu menangkap setiap potongan data pada segmen jaringan untuk dilampirkan. Saat tool ini dijalankan dalam “promiscuous mode”, dia dapat melakukan “sniff” (mengendus) segala sesuatu disekitar segmen jaringan seperti login dan transfer data. Sebagaimana yang akan anda lihat nanti, hal ini dapat menyebabkan kerusakan serius pada keamanan jaringan yang memungkinkan seorang penyerang mendapatkan password dan data yang sensitif.

Mari kita lihat beberapa skenario dan menguji cara para Penyerang melancarkan serangan mereka dan bagaimana caranya menghentikan atau mencegah serangan tersebut. Pertama-tama saya akan menjelaskan dua skenario yang terkait dengan serangan internal (serangan yang berasal dari orang dalam suatu organisasi), dan kemudian membahas dua skenario yang berhubungan dengan serangan eksternal.

Serangan Internal
Penyerang internal pada serangan yang paling sering terjadi karena para Penyerang memiliki akses langsung terhadap sistem organisasi. Skenario awal adalah melihat sebuah situasi dimana seorang karyawan yang sakit hati adalah seorang Penyerang. Penyerang tersebut, adalah seorang veteran administrator sistem, yang bertanggung-jawab pada sistem administrasi, manajemen dan perlindungan jaringan komputer.

Contoh: Karyawan yang sakit hati
Jane Smith adalah seorang veteran administrator sistem yang menjalankan tugas tekniknya tanpa cela, dikontrak oleh perusahaan anda untuk menjalankan backup tape sepanjang larut malam. Perusahaan anda, sebuah ISP (Internet Service Provider), memiliki pusat data yang sangat besar dengan lebih dari 4000 sistem yang kesemuanya diawasi oleh Pusat Operasional Jaringan. Jane bekerja dengan dua orang teknisi lainnya untuk mengawasi backup sepanjang malam dan mengganti tape sebelum shift pagi datang. Mereka semua bekerja terpisah satu sama lain, dan Jane dikontrak untuk bekerja pada Windows 2000 Server.

Jane telah bekerja selama 6 bulan dan menjadi seorang “rising star”. Dia datang lebih awal, pulang lebih lambat dan dia mengajukan permohonan untuk dipindahkan ke departemen lain dalam perusahaan tersebut. Satu masalah: tak satupun ada posisi lowong saat itu. Kemudian selama sebulan terakhir, anda (analis keamanan) telah memperhatikan bahwa terjadi suatu peningkatan tajam usaha login pada Cisco router dan UNIX Server. O ya, Anda memiliki CiscoSecure ACS yang diimplementasikan agar anda bisa mengaudit berbagai usaha dan anda melihat bahwa semuanya terjadi pada jam 3 tengah malam.

Persangkaan anda muncul, tapi sebagai seorang analis keamanan, anda tidak dapat langsung menuduh tanpa disertai bukti kuat.

Seorang analis keamanan mulai melihat lebih cermat keadaan ini. Anda mencatat bahwa serangan tersebut berasal dari seseorang yang memiliki kemampuan tinggi dan bekerja pada shift-nya Jane, memang benar dia telah mengganti (merotasi) tape dan biasanya kerja lembur untuk belajar atau membaca sebelum terjadi pergantian tim. Jadi anda memutuskan untuk memperketat pengawasan terhadap Jane melalui manajer operasional malam. Setelah tiga minggu melakukan supervisi yang ketat, anda memutuskan agar serangan tersebut dihentikan. Anda benar. Jane terbukti berusaha melakukan login ke dalam Cisco router dan UNIX Server.

Seorang analis keamanan yang baik memerlukan tool auditing yang baik pula, contohnya seperti Tacacs+, untuk me-log serangan. Tacacs+ merupakan protokol yang sering digunakan oleh aplikasi seperti CiscoSecure ACS yang akan membuat otorisasi, akuntabilitas dan otentikasi. Jika anda memiliki otentikasi maka user yang mengakses sebuah sumber perlu diotentikasi kebenaran ijin-nya untuk mendapatkan akses. Apa yang terjadi saat anda di otorisasi dan di otentikasi? Anda harus memiliki akuntabilitas. Accounting log sendiri mengatasi berbagai masalah password cracking dengan menghadapkan seorang Penyerang harus memiliki akuntabilitas, otentikasi dan otorisasi.

Serangan Eksternal
Penyerang eksternal adalah mereka yang harus melintasi “tembok pertahanan” guna mencoba dan melumpuhkan sistem anda. Mereka tidak memiliki kemudahan akses sebagaimana penyerang internal. Skenario pertama menyangkut bentuk umum sebenarnya dari serangan eksternal adalah deface website. Serangan ini menggunakan password cracking untuk membobol sistem yang ingin di deface.

Kemungkinan lain dari password cracking adalah saat penyerang mencoba mendapatkan password melalui Social Engineering. Social Engineering merupakan trik mengelabui administrator yang tidak bersalah agar memberikan account ID dan passwordnya kepada penyerang. Mari kita lihat contoh berikut ini:

Contoh: Web site yang terdeface
Perlu sedikit usaha dan biasanya disertai dengan mengeksploitasi Internet Information Server (IIS) yang ketentuan permisi-nya tidak benar. Penyerang ini tinggal menggunakan workstation dan mencoba menyerang IIS server dengan sebuah tool editor HTML. Saat berada di Internet hingga ke situs, penyerang menggunakan tool password generator seperti L0phtCrack, yang menjalankan serangan brute force terhadap server tersebut.

YOU HAVE BEEN HACKED BY CRONZZ

Reputasi perusahaan anda bisa jatuh. Vendor bisnis dan rekanan mengalami kerugian jika mereka merasa bahwa data anda disimpan pada server yang tidak aman. Pastikan anda melihat ancaman baik dari luar maupun dari dalam.

Contoh: Tipuan Social Engineering
Trik non-tool untuk mengcrack password dikenal dengan serangan social engineering. Baca skenario ini untuk dipelajari lebih jauh. Jon adalah seorang analis keamanan yang baru pada sebuah perusahaan besar. Tugas pertamanya adalah menguji sisi keamanan perusahaan. Dia tentunya membiarkan manajemen mengetahui apa yang akan dia lakukan (jadi dia tidak dianggap sebagai seorang penyerang). Dia ingin melihat seberapa kuat dia bisa melumpuhkan jaringan tanpa menggunakan satu tool pun. Dia mempersiapkan dua serangan terpisah yang sama-sama mematikan.

Sebagai seorang pegawai baru di sebuah organisasi besar, John tidak mengetahui berapa banyak orang, yang dapat ia jadikan sasaran serangan social engineering. Target pertamanya adalah pegawai kantor. John membuat sebuah panggilan rutin kepada pegawai tersebut dan meminta password reset seperti yang disarankan remote user. Jon telah memiliki sebagian informasi yang dibutuhkan saat ia mengetahui bahwa konvensi penamaan perusahaan itu adalah inisial nama depan dan nama belakang user. Nama depan CEO adalah Jeff dan nama belakangnya adalah Ronald, jadi loginID-nya adalah JeffR. Informasi ini telah tersedia dari direktori telepon perusahaan.

Dengan menyamar sebagai CIO, Jon menelepon pengawai teknisi dan menanyakan sebuah password reset karena dia lupa password. Ini adalah hal yang biasa bagi pegawai teknisi yang sering mereset password yang terlupa 100 kali sehari dan menelepon kembali si pemohon untuk mendapatkan password barunya. Kira-kira 5 menit kemudian, pegawai teknisi menelepon Jon, dan memberikan ia password baru, yakni “Friday” karena hal itu terjadi hari Jumat. 5 menit berikutnya, John telah mendapatkan file share pada server dan berikut e-mailnya.

Serangan social engineering Jon yang berikutnya terkait dengan teman baik dari seseorang yang bekerja pada perusahaan telepon lokal. Jon meminjam seragam, sabuk dan badge dari seorang teman. Jon mengambil seragam baru dan menuju bagian lain dari kampus tersebut, di suatu tempat perbaikan router dan server. Hardware yang berisikan salinan pekerjaan dari seluurh data perusahaan dan dianggap rahasia. Jon berjalam menuju kantor keamanan kampus dengan berseragam pegawai Telkom dan menjelaskan bahwa dia telah dipanggil oleh seorang Local Exchange Carrier (LEC) karena ada sebuah sirkuit Telkom yang terpasang kendur. Dia perlu masuk ke Pusat Data agar dia dapat memeriksa apakah disana ada alarm pada Smart Jack.

Seorang administrator kantor mengantarkan Jon ke Pusat Data tanpa memeriksa ID-nya. Saat berada di dalam, administrator segera menunjuk ke suatu tempat, agar Jon dapat memulai tes-nya. Setelah beberapa menit, Jon menginformasikan administrator tersebut bahwa dia harus menelepon kantornya dan meminta mereka untuk menjalankan beberapa tes agar dia dapat memasang smart Jack dan melakukan perbaikan. Jon membiarkan administrator itu mengetahui bawa dia memerlukan waktu sekitar 45 menit, jadi administrator tersebut memberikan Jon nomor pagernya dan memintanya agar menghubunginya bila telah selesai. Jon sekarang berhasil mengenyahkan rintangan antara dirinya dan 30 jaringan server di tempat yang tertutup dalam Pusat Data.

Jon memiliki beberapa kesempatan sekarang. Dia bisa pergi ke setiap server dan mulai mencari konsol yang terbuka atau dia dapat menghubungkan laptopnya melalui port yang terbuka dan melakukan sniffing. Dia benar-benar ingin melihat seberapa jauh dia dapat pergi, dia memutuskan untuk mencari konsol yang terbuka. Kira-kira 5 menit kemudian dia melihat dengan seksama seluruh KVM slot, dia menemukan sebuah server Windows NT yang dijalankan sebagai Backup Domain Controller (BDC) untuk Domain. Jon mengeluarkan CD dalam tasnya dan memasukkan CD tersebut ke server. Dia menginstall L0phtCrak kedalam BDC untuk Domain perusahaan tersebut dan menjalankan serangan dictionary. Hanya dalam waktu 5 menit ia berhasil mendapatkan password: Yankees. Rupanya administrator tersebut seorang fans New York Yankees. Dia sekarang memiliki kases ke informasi vital perusahaan.

Sekarang lihat bagaimana hal ini dapat dilakukan.
Menggunakan L0phtCrack untuk mendapatkan Administrator password

Daftar periksa perlindungan.
Berikut ini daftar periksa yang bisa anda lakukan untuk mempersulit password cracking:

Audit organisasi anda! Teliti di sekeliling dan pastikan password tidak direkatkan di monitor atau dibawah keyboard.

1. Tentukan account palsu. Hapus account administrator atau atur account tersebut sebagai jebakan dan jadikan sebagai bagian dari audit.

2. Gunakan strong password untuk mempersulit penebakan password, dan jangan pernah meninggalkan peralatan dalam keadaan tidak terkunci.

3. Backup merupakan hal penting bila terjadi kerusakan. Anda perlu mengatur data, jadi pastikan anda melakukannya. Gunakan juga tape-drive yang “secure”.

4. Cegah pembongkaran tempat sampah. Jangan menaruh informasi sensitif disana; hancurkan atau kunci dengan rapat.

5. Periksa identitas dan bertanya pada orang yang tidak anda kenal. Bila anda kedatangan tamu, lakukan pemeriksaan identitas mereka di luar dan pastikan mereka memiliki tanda pengenal.

6. Didiklah pegawai anda. Pastikan mereka tidak menuruti telepon yang bersifat social engineering dan ajari dan ingatkan mereka akan kebijakan keamanan internal perusahaan.

Kesimpulan
Dalam artikel ini saya telah menjelaskan aspek psikologis dibalik motivasi Penyerang dan beberapa metode tingkat rendah maupun tingkat tinggi dalam mengcrack password. Anda telah melihat beberapa skenario serangan, termasuk serangant erhadap sebagian besar perusahaan yang dilakukan oleh administrator veteran, seorang pegawai teknisi dan pengacau dari luar. Anda juga melihat bagaimana password cracker yang menggunakan teknik internal dan eksternal terhadap infrastruktur anda.

Terakhir, beberapa ide tentang bagaimana mengamankan diri anda dan sistem anda dari kemungkinan serangan password cracking telah diberikan. Melawan serangan ini terutama sangat dibutuhkan usaha yang serius, melatih individu, penggunaan tool dan kebijakan keamanan yang tertulis. Saya mengharapkan, sebagai seorang analis keamanan yang proaktif, anda bisa membuat perbedaan dalam membantu memperlambat/mempersulit aktivitas mencurigakan baik dari dalam maupun dari luar perusahaan anda. Bisa anda akan menemukan Jon pada ruang server sedang tertawa karena data-data anda telah berada dalam genggamannya.

Anda dapat mendownload gratis Kumpulan software, tutorial, tools, artikel hacking dan aplikasi keamanan internet terlengkap
Pusat Ilmu Hacking dan system keamanan informasi

Artikel Tips dan Trik lainnya

    Comment
Nama
:
Email
:
Kategori
:  
Komentar
:
   

Chat Dengan Pakar:
errorHidup adalah bangun,bangun adalah hidup.Apakah hidup dan bangun itu sama??

  inspirasi
mutiara nasehat  MUTIARA NASEHAT
nasehat

Sering kita terperangkap oleh penyesalan masa lalu dan mencemaskan masa yang akan datang. Semoga hari ini kita tidak lupa untuk bersyukur dan berdoa untuk semoga menjadi hari yg penuh berkah.

-:-----------------:-

  hot link
titik  HOT LINK
hot
  inspirasi
mutiara nasehat  COMMENT
nasehat

From : angreani
Tanggal : 31 May 2010
Pesan : tp cnta jka d dsari dg k tdk sriusan akn merusak jln fkiran

Banner dagangku