Definisi
Password cracking adalah istilah umum yang menggambarkan sekelompok teknik yang digunakan untuk memperoleh password pada sebuah sistem data. Password cracking khusus mengacu pada proses mendapatkan password dari data yang yang dilindungi dengan password; namun harus dicatat bahwa cara-cara menipu seseorang agar memberi password, seperti melalui phishing, tidak dianggap sebagai password cracking. Menebak password berdasarkan pengetahuan yang sudah ada sebelumnya dari pemilik sistem komputer dianggap cracking, karena password tidak dikenal sebelumnya.
Seorang hacker diartikan sebagai seseorang yang memiliki ketertarikan yang mendalam terhadap teknologi komputer; bukan didefinisikan sebagai seseorang yang ingin melakukan kerusakan. Sedangkan istilah “Penyerang” biasanya digunakan untuk menggambarkan seorang “hacker” perusak. Istilah lain dari Penyerang adalah “black hat”. Para analis keamanan seringkali disebut sebagai “white hat” dan analisa white-hat merupakan hacking dengan tujuan pertahanan.
Cara termudah password cracking adalah menemukan secarik kertas yang bertuliskan password yang diletakkan pada monitor atau disembunyikan dibawah keyboard. Teknik umum lainnya adalah “dumpster diving”, yaitu seorang Penyerang yang mengais keranjang sampah untuk menemukan sampah dokumen yang mungkin berisikan password.
Berikut adalah beberapa teknik umum yang digunakan dalam password cracking:
Serangan Dictionary
Sebuah serangan yang merupakan cara tercepat dan terbaik dalam melumpuhkan mesin. Sebuah file dictionary (sebuah file teks yang berisi kamus password) diload pada aplikasi cracking (seperti L0phtCrack), yang dijalankan terhadap user account yang ditemukan oleh aplikasi tersebut. Karena sebagai besar password seringkali tergolong sederhana, menjalankan sebuah dictionary attack seringkali cukup membantu.
Berikut adalah beberapa teknik Contoh umum yang digunakan dalam password cracking Berikut Penjelasanya:
Serangan Dictionary
Sebuah serangan yang merupakan cara tercepat dan terbaik dalam melumpuhkan mesin. Sebuah file dictionary (sebuah file teks yang berisi kamus password) diload pada aplikasi cracking (seperti L0phtCrack), yang dijalankan terhadap user account yang ditemukan oleh aplikasi tersebut. Karena sebagai besar password seringkali tergolong sederhana, menjalankan sebuah dictionary attack seringkali cukup membantu.
Serangan Hybrid
Bentuk serangan lainnya yang terkenal adalah serangan “HYBRID”. Sebuah serangan hybrid akan menambahkan angka atau simbol terhadap nama file untuk keberhasilan meng-crack password. Pola yang digunakan biasanya berbentuk: first month password is “cat”; second month password is “cat1”; third month password is “cat2”; dan seterusnya.
Contoh Kasus-Kasus password cracking
1. Pencurian dan penggunaan account Internet milik orang lain
Salah satu kesulitan dari sebuah ISP (Internet Service Provider) adalah adanya account pelanggan mereka yang “dicuri” dan digunakan secara tidak sah. Berbeda dengan pencurian yang dilakukan secara fisik, “pencurian” account cukup menangkap “userid” dan “password” saja. Hanya informasi yang dicuri. Sementara itu orang yang kecurian tidak merasakan hilangnya “benda” yang dicuri. Pencurian baru terasa efeknya jika informasi ini digunakan oleh yang tidak berhak. Akibat dari pencurian ini, penggunan dibebani biaya penggunaan acocunt tersebut. Kasus ini banyak terjadi di ISP. Namun yang pernah diangkat adalah penggunaan account curian oleh dua Warnet di Bandung.
2. Membajak situs web
Salah satu kegiatan yang sering dilakukan oleh cracker adalah mengubah halaman web, yang dikenal dengan istilah deface. Pembajakan dapat dilakukan dengan mengeksploitasi lubang keamanan. Sekitar 4 bulan yang lalu, statistik di Indonesia menunjukkan satu (1) situs web dibajak setiap harinya.
Penanggulangan
1. Jika halaman anda terinfeksi virus yang memiliki kemungkinan virus tersebut bisa menyerang pengunjung situs anda, maka segera lindungi pengunjung anda dan juga reputasi anda. Yaitu dengan membuat website anda berstatus offline. Bisa dengan menambahkan beberapa baris kode pada .htaccess, maupun mengupload tampilan halaman under construction. Jika anda melakukannya dengan segera, anda memiliki kemungkinan untuk menghindarkan situs anda mendapat predikat “This site may harm your computer” dari Google. Selain itu, penyerang biasanya telah menginstal backdoor script pada halaman index anda yang memungkinkan mereka untuk kembali ke server anda. Menetapkan status offline pada situs anda sementara, sedikitnya memiliki kemungkinan untuk mengunci dan membuat penyerang tidak bisa masuk melalui backdoor yang telah diinstal.
2. Ganti semua password anda
Setelah PC administrator bebas dari virus dan spyware, gantilah semua password yang berhubungan dengan situs anda. Panel kontrol, FTP, koneksi database, email akun, dan halaman administrator anda. Pergunakan kombinasi password yang kuat. Yaitu password yang tidak mudah ditembus karena mengandung kombinasi kata, angka, dan karakter yang rumit.
3. Cek kode PHP anda untuk menemukan lubang security
Jika anda mencurigai bahwa script yang anda tulis sendiri mungkin saja memiliki kerentanan sekuriti, cara teraman adalah dengan berhenti mempergunakan script tersebut hingga anda telah memeriksanya dengan sangat teliti. Setelah membuat kopian lokal untuk anda sendiri, hapus scriptnya dari server. Karena selama script masih ada di dalamnya, setiap orang yang telah mengetahui letak lubang sekuritinya tetap bisa mengakses dan mengeksploitasinya.
4. Lakukan Maintence Rutin dan pengecekan data base , agar terhindar dari hal hal yang tidak di inginkan
.Gunakan Security Software yang Up to Date Untuk terhidar dari password cracking
2. Round Down
Definisi
Teknik ini merupakan bagian program yang akan membulatkan nilai pecahan ke dalam nilai bulat dan mengumpulkan nilai-nilai pecahan yang dibulatkan tersebut.
Contoh Kasus
Bila diterapkan di bank misalnya, pemrogram dapat membulatkan ke bawah semua biaya bunga yang dibayarkan ke nasabah, dan memasukkan pecahan yang dibulatkan tersebut ke rekeningnya.
3. Piggybacking
Definisi :
Piggybacking : menumpang koneksi internet wireless milik orang lain tanpa diketahui oleh si pemilik koneksi tersebut.
Contoh Kasus :
Mengambil koneksi internet WIFI tanpa ijin pemilik, seperti di tempat restoran sekarang bisa menggunakan fasilitas WIFI yang di khususkan untuk pelanggan tersebut, tapi ada si pelaku piggybacking menggunakan akses internet WIFI tersebut tanpa harus jadi pelanggan tersebut,
Ada penyebab mengapa terjadi piggybacking
Biaya koneksi internet. Banyak orang yang tidak mampu membayar biaya internet bulanan di rumah mereka, atau menganggap biaya tersebut terlalu mahal untuk mereka yang menggunakan internet hanya sesekali.
Ketidaktahuan. Mereka tidak tahu kalau mereka sedang menumpang internet milik orang lain, atau menganggap hal tersebut bukanlah masalah besar.
Menyembunyikan aktivitas ilegal. Hal ini merupakan alasan utama mengapa piggybacking dianggap berbahaya, karena orang yang berniat jahat dapat melakukan aktivitas ilegal seperti mengunduh porgnografi atau terlibat dalam pencurian identitas dengan menggunakan jaringan orang lain sehingga dirinya tidak akan ketahuan.
Penanggulangan :
Wired Equivalent Privacy (WEP), dapat digunakan di banyak access point tanpa pengaturan yang rumit, tetapi memiliki kelemahan yaitu kode akses yang mudah dipecah dan melemahkan kecepatan jaringan.
Wi-Fi Protected Access (WPA), setelah melakukan update firmware. WAP merupakan pengamanan yang lebih baru daripada WEP.
Memasang password pada router.
Mengubah nama SSID Network.
Otentikasi MAC Address, sehingga hanya mengijinkan komputer dengan MAC Address yang telah terdaftar untuk menggunakan koneksi.
Dan pengamanan lainnya.
4. Scavenging
Scavenging yaitu penetrasi ke sistem komputer dengan memperoleh identitas dan password dari mencari di dokumen-dokumen perusahaan.
Data identitas dan password diperoleh dari beberapa cara mulai dari mencari dokumen di tempat sampah sampai dengan mencarinya di memori-memori komputer.
5. Salami Slicing
Merupakan bagian program yang memotong sebagian kecil dari nilai transaksi yang besar dan menggumpulkan potongan-potongan ini dalam suatu periode tertentu.
Misalnya suatu akuntan di suatu perusahaan di California menaikkan sedikit secara sistematik biaya-biaya produksi. Bagian-bagian yang dinaikkan ini kemudian dikumpulkan selama periode tertentu dan diambil oleh akuntan tersebut.
Mencegah dan Mendeteksi Penipuan Komputer
• Membuat standar tertentu dapat secara signifikan mengurangi potensi terjadinya penipuan dan kerugian yang dapat dihasilkannya
– Membuat penipuan lebih jarang terjadi
– Meningkatkan kesulitan untuk melakukan penipuan
– Memperbaiki metode deteksi
– Mengurangi kerugian akibat penipuan
– Menuntut dan memenjarakan pelaku penipuan
• Membuat Penipuan Lebih Jarang Terjadi.
Menggunakan praktik mempekerjakan dan memecat pegawai yang semestinya.
Mengatur para pegawai yang merasa tidak puas.
Melatih para pegawai mengenai standar keamanan dan pencegahan terhadap penipuan.
Mengelola dan menelusuri lisensi software.
Meminta menandatangani perjanjian kerahasiaan kerja.
• Meningkatkan Kesulitan untuk Melakukan Penipuan.
Mengembangkan sistem pengendalian internal yang kuat.
Memisahkan tugas.
Meminta pegawai mengambil cuti dan melakukan rotasi pekerjaan.Membatasi akses ke perlengkapan komputer dan file data.
Mengenkripsi data dan program.
• Memperbaiki Metode Deteksi.
Mengamankan saluran telepon dan sistem dari virus.
Mengendalikan data yang sensitif.
Mengendalikan komputer laptop.
Mengawasi informasi hacker
• Mengurangi kerugian akibat penipuan.
Tetap menggunakan jaminan asuransi yang memadai.
Menyimpan salinan cadangan program dan file data di dalam lokasi luar kantor yang aman.
Mengembangkan rencana kontinjensi dalam hal kejadian penipuan.
Menggunakan software untuk mengawasi kegiatan sistem dan untuk memulihkan diri dari akibat penipuan.
• Menuntut dan Memenjarakan Pelaku Penipuan.
Sebagian besar penipuan tidak dilaporkan dan tidak dituntut untuk beberapa alasan di bawah ini?
Banyak kasus penipuan yang belum terdeteksi.
Perusahaan segan melaporkan kejahatan komputer.
Petugas penegak hukum dan pengadilan sibuk sekali dengan kejahatan kekerasan, sehingga mereka hanya punya waktu sedikit untuk kasus penipuan yang tidak mengandung kekerasan fisik.
Penipuan adalah hal yang sulit, berbiaya mahal,dan memakan waktu lama untuk diselidiki dan dituntut.
Banyak petugas penegak hukum, pengacara dan para hakim kurang memiliki keahlian komputer yang dibutuhkan untuk menyelidiki, menuntut, dan mengevaluasi kejahatan komputer.
No comments:
Post a Comment