ABSTRAK
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi
layanan berbasis web. Ancaman autentifikasi tidak sah meningkat tajam tahun belakangan ini.
Diharapkan penelitian ini dapat mengukur kecepatan teknik yang digunakan pentester untuk
mengevaluasi keamanan manajemen user sehingga pentester dapat melakukan proses
penetration tes dengan efisien sesuai dengan waktu SDLC (Software Development Life
Cycle). Mengingat waktu perbaikan dikejar oleh serangan attacker dan kerawanan
(vulnerability) pada web. Tes autentifikasi mencoba untuk menguji kelemahan dari user dan
password web admin. Keberlangsungan akunnya tergantung dari kombinasi dan panjang
karakter password agar terjamin dari autentifikasi tidak sah (modifikasi dan validasi). Dari
210 akun, 14,7 % berhasil dicrack dengan teknik dictionary attack dan 13,8% dapat di crack
oleh brute force. Hasil dari penelitian ini adalah teknik dictionary attack lebih didahulukan
penggunaannya ketimbang teknik brute force mengingat efektifitas dan reabilitas waktu
penetration tes. Hasil ini juga dapat dijadikan rekomendasi manajemen user dan pemilihan
kekuatan password.
Kata kunci: Penetration Test, Brute Force, Dictionary Attack, Tes Autentifikasi, Http Login
Potensi serangan terhadap aplikasi web dapat mengancam komponen terpenting dari
keamanan web yaitu: confidentiality, integrity, dan avaliability (Riyanarto Sarno, 2009).
Ancaman serangan http login meningkat tajam pada tahun belakangan ini. Evaluasi keamanan
dan monitoring dibutuhkan untuk menjaga kondisi informasi dalam layanan berbasis web agar
tetap secure. Untuk kebutuhan keamanan layanan berbasis web itu, maka suatu website perlu
melakukan uji keamanan dimana tujuan dari pengujian itu salah satunya adalah melakukan
simulasi terhadap adanya autentifikasi secara tidak sah yang ingin mengakses sistem
webserver sehingga dapat diketahui kerentanan yang ada pada sistem, dan mengetahui
dampak bisnis yang diakibatkannya.
Terdapat banyak metode untuk melakukan evaluasi pengamanan system informasi web.
Salahsatu cara untuk melakukan evaluasi perlindungan informasi yang penting dan kritikal
adalah dengan meningkatkan keamanan informasi dengan menggunakan metode penetration
tes. Penetration test merupakan sebuah metode untuk mengevaluasi keamanan sistem
komputer melalui simulasi penyerangan dengan menggunakan malicious source sampai
ditemukan sebanyak mungkin hole. Tingkat keberhasilan proses penetrasi terhadap web
ditentukan oleh pentester untuk melakukan scanning vulnerability dan mendapatkan exploit
ISBN : 978-602-97491-6-8
C-4-1
Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013
yang terefektif untuk memperoleh hasil seakurat mungkin terhadap kelemahan web sehingga
target waktu yang ditentukan untuk proses SDLC (Software Development Live Cycle)
terpenuhi sesuai jadwalnya (OWASP, 2008). Batasan waktu pelaporan penetration test
berkisar 1 minggu hingga 1 bulan berdasarkan. Maka bila proses pentest melebihi dari 1
bulan, proses penetration tes menjadi tidak realible. Mengingat proses SDLC harus segera
terpenuhi. (http://1337day.com/pentest).
Penelitian ini memilih untuk membandingkan brute force dan dictionary attack
karena kedua teknik itu memiliki kesamaan karakter, yaitu pada sisi teknik crackingnya.
Teknik brute force attack menggunakan sejumlah himpunan karakter atau teks yang akan
dipakai untuk referensi karakter-karakter dari password yang ingin diretas. Himpunan
karakter yang dipakai akan menjadi sebuah ukuran keefektifan dari algoritma itu sendiri.
Salah satu pengembangannya adalah dictionary attack yang menggunakan algoritma brute
force tetapi himpunan karakternya berasal dari kamus kata-kata. Diantara teknik brute force
dan dictionary attack nantinya akan diukur waktu terefektif dalam melakukan authentication
test pada halaman login dalam penetration tes. Tujuan penelitian ini untuk mengevaluasi
sistem keamanan webserver. Diharapkan penelitian ini dapat mengukur kecepatan teknik yag
digunakan pentester untuk mengevaluasi keamanan manajemen user sehingga pentester dapat
melakukan proses pentration tes dengan efisien.
PENETRATION TES
ISBN : 978-602-97491-6-8
C-4-2
Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013
Dalam penelitian ini, tahapan yang digunakan adalah pada proses gaining access
autentifikasi halaman login sebuah web. Tahapan gaining acces adalah mencoba mendapatkan
akses ke dalam suatu sistem sebagai user biasa. Mendapatkan akses paling istimewa dengan
mendapatkan akses ke account unpriviledged melalui berbagai cara, termasuk: penemuan
kombinasi username / password (misalnya: dictionary attack dan serangan brute force),
penemuan password kosong atau password default di account sistem, eksploitasi pengaturan
default vendor (seperti parameter konfigurasi jaringan, password dan lain-lain), penemuan
pelayanan publik yang memungkinkan untuk operasi tertentu dalam sistem (misalnya
menulis/membuat/membaca file) (OWASP, 2008).
Perancangan serangan dalam penelitian ini menggunakan virtualisasi Ubuntu 11
sebagai server, windows XP sebagai attacker. Didalam server Ubuntu terinstall CMS
Wordpress dengan database user yang di dumping dari salahsatu web e-gov. IP server di set
192.168.56.101 dan IP attacker 192.168.56.102.
Authentication testing ini membandingkan kecepatan waktu brute force dan waktu
dictionary attack dalam cracking password. Parameter yang digunakan adalah panjang
password, lama waktu cracking, dan kombinasi karakter password.
Tabel 1 Parameter Password
Parameter Password
Panjang Password 1,2,3,4,5,6,7,8,9,10, dst
Waktu realible < 1 Jam, > 1 bulan
Kombinasi Karakter Alpha+numeric+simbol
Kualitas Password Lemah, sedang, kuat
Sedangkan list kamus untuk dictionary attack menggunakan kamus dari common
password pada situs www.skullsecurity.org/wiki/index.php/Passwords.
ISBN : 978-602-97491-6-8
C-4-3
Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013
Aplikasi yang digunakan adalah brutus yang berjalan pada system operasi windows
XP. Dari hasil rata-rata kemudian di uji cobakan mengestimasi waktu cracking berdasarkan
cracking calculator pada situs http://daleswanson.org/things/password.htm. Skema
perancangan tersebut sebagai berikut:
Pada skema tersebut diuji cobakan serangan dictionary attack dan brute force pada
halaman login Wordpress. Halaman login pada wordpress terletak pada path
http://192.168.56.101/wordpress/wp-login.php.
ISBN : 978-602-97491-6-8
C-4-4
Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013
Gambar 4 Brutus
Hasil monitoring dictionary attack dan brute force dengan memakai tool brutus
menunjukkan beberapa password yang berhasil tercrack. Waktu yang tercapai oleh brute force
adalah 4.57 detik pada password berkarakter alpha. Sedangkan waktu cracking menggunakan
dictionary attack 0.02 detik pada password berkarakter alpha. Hasil ini kemudian diambil
nilai rata-rata kecepatan cracking pada laptop berprosesor intel i3. Waktu brute force
menunjukkan bahwa sebanyak 29 akun tercrack dalam jangka waktu kurang dari 1 jam.
Sedangkan 30 akun tercrack dalam jangka waktu kurang dari 1 jam menggunakan teknik
dictionary attack.
Waktu terlama untuk cracking memakai brute force mencapai 9.0852 x 10^13 tahun
dan untuk dictionary attack mencapai 8.1857 x 10^29 tahun. Dibutuhkan waktu yang sangat
lama untuk cracking password tersebut mengingat password tersebut menggunakan kombinasi
karakter alphanumeric simbol yang berjumlah 17 karakter.
Dengan demikian dapat disimpulkan teknik dictionary attack lebih didahulukan
ketimbang brute force sebagai rekomendasi teknik autentifikasi tes.
ISBN : 978-602-97491-6-8
C-4-5
Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013
Berdasarkan hasil penelitian sebagaimana telah dibahas pada bab sebelumnya maka
diperoleh kesimpulan terhadap analisa performansi brute force dan dictionary attack dengan
tool brutus terhadap akun admin web sebagai berikut:
1. Dalam mengimplementasikan suatu teknik penetration tes, penggunaan teknik
dictionary attack lebih didahulukan ketimbang teknik brute force sebagai tahapan
pengecekan autentifikasi halaman login website.
2. Kombinasi dan panjang password menjamin keberlangsungan akunnya dari
autentifikasi tidak sah.
3. Semakin banyak kamus dalam dictionary attack maka semakin besar kemungkinan
berhasil mengcrack. Begitu pula semakin besar kombinasi dan panjang karakter set
pada brute force, maka kemungkinan tercrack lebih besar.
Saran yang dapat diberikan terhadap analisa password dan teknik autentifikasi tes adalah:
1. Manajemen user password pada sebuah web wajib mempertimbangkan kombinasi
karakter dan jumlah karakter untuk menjaga sistem informasi dari akses unprevilled.
2. Penggunaan teknik delay, captcha, dan IP blocking dapat mengurangi serangan brute
force dan dictionary attack
DAFTAR PUSTAKA
A. Naik, Mr. Nitin, Mr. Gajanan D. Kurundkar, Dr. Santosh D. Khamitkar, dan Dr. Namdeo
V. Kalyankar, December (2009). Penetration Testing: A Roadmap to Network
Security, Journal Of Computing, Volume 1, Issue 1.
ISSAF 0.2.
ISO 28000 (2007).
Mohanty, Debasis (2008). Demystifying Penetration Testing, www.hackingspirits.com.
OWASP Testing Guide v3. (2008).
Sarno. Riyanarto (2009). Sistem Manajemen Keamanan Informasi, ITSPress, Surabaya.
Stoica., Adrian (2008). A Study on The Information Gathering Method for Penetration
Testing.
Utdirartatmo, Firrar (2005). Analisa Keamanan dan Vulnerabilitas Jaringan Komputer,
Penerbit Gava Media, Yogyakarta.
Wilhelm, Thomas. (2010), Professional Penetration Testing- Creating and Operating a
Formal Hacking Lab, Diacritech, India.
www.1337day.com/pentest
www.acunetix.com/websitesecurity/cross-site-scripting.htm
www.acunetix.com/websitesecurity/sql-injection.htm
www.computerweekly.com/news/2240114927/web-application-vulnerability-statistics-show-
security-losing-ground
www.emagined.com/security_penetration_testing.php
ISBN : 978-602-97491-6-8
C-4-6
Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013
ISBN : 978-602-97491-6-8
C-4-7