Prosiding Seminar Nasional Manajemen Teknologi XVII

Program Studi MMT-ITS, Surabaya 2 Februari 2013

PERBANDINGAN TEKNIK PENETRATION TES:

BRUTE FORCE DAN DICTIONARY ATTACK

Luqman Hakim1, Achmad Affandi2) dan Eko Setijadi3)

1)
Bidang Keahlian Telematika (Konsentrasi CIO), Jurusan Teknik Elektro,
Institut Tekhnologi Sepuluh Nopember, Surabaya
2, 3
) Lab Jaringan Telekomunikasi Multimedia, Jurusan Teknik Elektro
Institut Tekhnologi Sepuluh Nopember, Surabaya
Email: 1)hakimarx@gmail.com

ABSTRAK

Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi
layanan berbasis web. Ancaman autentifikasi tidak sah meningkat tajam tahun belakangan ini.
Diharapkan penelitian ini dapat mengukur kecepatan teknik yang digunakan pentester untuk
mengevaluasi keamanan manajemen user sehingga pentester dapat melakukan proses
penetration tes dengan efisien sesuai dengan waktu SDLC (Software Development Life
Cycle). Mengingat waktu perbaikan dikejar oleh serangan attacker dan kerawanan
(vulnerability) pada web. Tes autentifikasi mencoba untuk menguji kelemahan dari user dan
password web admin. Keberlangsungan akunnya tergantung dari kombinasi dan panjang
karakter password agar terjamin dari autentifikasi tidak sah (modifikasi dan validasi). Dari
210 akun, 14,7 % berhasil dicrack dengan teknik dictionary attack dan 13,8% dapat di crack
oleh brute force. Hasil dari penelitian ini adalah teknik dictionary attack lebih didahulukan
penggunaannya ketimbang teknik brute force mengingat efektifitas dan reabilitas waktu
penetration tes. Hasil ini juga dapat dijadikan rekomendasi manajemen user dan pemilihan
kekuatan password.

Kata kunci: Penetration Test, Brute Force, Dictionary Attack, Tes Autentifikasi, Http Login

TES AUTENTIFIKASI HTTP LOGIN

Potensi serangan terhadap aplikasi web dapat mengancam komponen terpenting dari
keamanan web yaitu: confidentiality, integrity, dan avaliability (Riyanarto Sarno, 2009).
Ancaman serangan http login meningkat tajam pada tahun belakangan ini. Evaluasi keamanan
dan monitoring dibutuhkan untuk menjaga kondisi informasi dalam layanan berbasis web agar
tetap secure. Untuk kebutuhan keamanan layanan berbasis web itu, maka suatu website perlu
melakukan uji keamanan dimana tujuan dari pengujian itu salah satunya adalah melakukan
simulasi terhadap adanya autentifikasi secara tidak sah yang ingin mengakses sistem
webserver sehingga dapat diketahui kerentanan yang ada pada sistem, dan mengetahui
dampak bisnis yang diakibatkannya.
Terdapat banyak metode untuk melakukan evaluasi pengamanan system informasi web.
Salahsatu cara untuk melakukan evaluasi perlindungan informasi yang penting dan kritikal
adalah dengan meningkatkan keamanan informasi dengan menggunakan metode penetration
tes. Penetration test merupakan sebuah metode untuk mengevaluasi keamanan sistem
komputer melalui simulasi penyerangan dengan menggunakan malicious source sampai
ditemukan sebanyak mungkin hole. Tingkat keberhasilan proses penetrasi terhadap web
ditentukan oleh pentester untuk melakukan scanning vulnerability dan mendapatkan exploit

ISBN : 978-602-97491-6-8
C-4-1
 Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013

yang terefektif untuk memperoleh hasil seakurat mungkin terhadap kelemahan web sehingga
target waktu yang ditentukan untuk proses SDLC (Software Development Live Cycle)
terpenuhi sesuai jadwalnya (OWASP, 2008). Batasan waktu pelaporan penetration test
berkisar 1 minggu hingga 1 bulan berdasarkan. Maka bila proses pentest melebihi dari 1
bulan, proses penetration tes menjadi tidak realible. Mengingat proses SDLC harus segera
terpenuhi. (http://1337day.com/pentest).
Penelitian ini memilih untuk membandingkan brute force dan dictionary attack
karena kedua teknik itu memiliki kesamaan karakter, yaitu pada sisi teknik crackingnya.
Teknik brute force attack menggunakan sejumlah himpunan karakter atau teks yang akan
dipakai untuk referensi karakter-karakter dari password yang ingin diretas. Himpunan
karakter yang dipakai akan menjadi sebuah ukuran keefektifan dari algoritma itu sendiri.
Salah satu pengembangannya adalah dictionary attack yang menggunakan algoritma brute
force tetapi himpunan karakternya berasal dari kamus kata-kata. Diantara teknik brute force
dan dictionary attack nantinya akan diukur waktu terefektif dalam melakukan authentication
test pada halaman login dalam penetration tes. Tujuan penelitian ini untuk mengevaluasi
sistem keamanan webserver. Diharapkan penelitian ini dapat mengukur kecepatan teknik yag
digunakan pentester untuk mengevaluasi keamanan manajemen user sehingga pentester dapat
melakukan proses pentration tes dengan efisien.

PENETRATION TES

Penetration test merupakan simulasi serangan yang digunakan pentester untuk

memperoleh akses ke sistem jaringan atau aplikasi milik organisasi kemudian menguasai
sistemnya secara keseluruhan (Adrian Stoica, 2008). Penetration Tes dirancang untuk
mengevaluasi jaringan, sistem dan pengendalian aplikasi. Ini terdiri tiga pendekatan fase
penilaian dan sembilan langkah. Pendekatan ini mencakup tiga tahap berikut (ISSAF 0.2):
· Tahap - I: Perencanaan dan Persiapan
· Tahap - II: Penilaian
· Tahap - III: Pelaporan, Clean-up dan menghancurkan jejak/log

Gambar 1 Tahapan Penetration Tes

Teknik-teknik yang dipakai dalam metode penetration test banyak memiliki variasi,
tergantung dengan jenis lobang keamanan pada web tersebut. Diantara tekniknya adalah
dictionary attack, brute force, social engineering, reverse IP,dan lain sebagainya. Masing-
masing teknik memiliki tujuan tersendiri dalam mengekploitasi celah keamanan website.

ISBN : 978-602-97491-6-8
C-4-2
 Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013

BRUTE FORCE DAN DICTIONARY ATTACK

Dalam penelitian ini, tahapan yang digunakan adalah pada proses gaining access
autentifikasi halaman login sebuah web. Tahapan gaining acces adalah mencoba mendapatkan
akses ke dalam suatu sistem sebagai user biasa. Mendapatkan akses paling istimewa dengan
mendapatkan akses ke account unpriviledged melalui berbagai cara, termasuk: penemuan
kombinasi username / password (misalnya: dictionary attack dan serangan brute force),
penemuan password kosong atau password default di account sistem, eksploitasi pengaturan
default vendor (seperti parameter konfigurasi jaringan, password dan lain-lain), penemuan
pelayanan publik yang memungkinkan untuk operasi tertentu dalam sistem (misalnya
menulis/membuat/membaca file) (OWASP, 2008).
Perancangan serangan dalam penelitian ini menggunakan virtualisasi Ubuntu 11
sebagai server, windows XP sebagai attacker. Didalam server Ubuntu terinstall CMS
Wordpress dengan database user yang di dumping dari salahsatu web e-gov. IP server di set
192.168.56.101 dan IP attacker 192.168.56.102.
Authentication testing ini membandingkan kecepatan waktu brute force dan waktu
dictionary attack dalam cracking password. Parameter yang digunakan adalah panjang
password, lama waktu cracking, dan kombinasi karakter password.
Tabel 1 Parameter Password
Parameter Password
Panjang Password 1,2,3,4,5,6,7,8,9,10, dst
Waktu realible < 1 Jam, > 1 bulan
Kombinasi Karakter Alpha+numeric+simbol
Kualitas Password Lemah, sedang, kuat

Penelitian ini menggunakan penghitungan berdasarkan data dari

www.lockdown.co.uk/?pg=combi, dimana prosesor yang dipakai menggunakan intel i3 yang
berdekatan dengan kecepatan prosesor Dual Core.
Tabel 2 Waktu Estimasitasi Brute Force

Sedangkan list kamus untuk dictionary attack menggunakan kamus dari common
password pada situs www.skullsecurity.org/wiki/index.php/Passwords.

HASIL DAN PEMBAHASAN

Data akun password yang digunakan sebanyak 210. Yang terdiri dari karakter huruf
kecil sebanyak 98, kombinasi huruf kecil dan angka sebanyak 62, kombinasi angka saja
sebanyak 3, kombinasi huruf, angka dan simbol sebanyak 47 akun user.

ISBN : 978-602-97491-6-8
C-4-3
 Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013

Tabel 3 Kombinasi Password

Kombinasi Karakter pada Password Jumlah
Alpha A 98
Alphanumeric AN 62
Numeric N 3
Alphanumeric/Symbol ANS 47
Jumlah 210

Dari Tabel 3 di atas menunjukkan bahwa kebanyakan user menggunakan karakter

alpha sebagai passwordnya. Dan yang paling sedikit, 3 user menggunakan angka sebagai
passwordnya.
Sedangkan panjang karakter password sangat bervariasi. Pada database yang
diimportkan ke phpmyadmin, password terpanjang menggunakan 20 karakter yang
berjumlah 4 akun. Sedangkan password terpendek menggunakan 4 karakter yang dipakai oleh
4 user pada Gambar 2.

Gambar 2 Kombinasi Karakter Password

Aplikasi yang digunakan adalah brutus yang berjalan pada system operasi windows
XP. Dari hasil rata-rata kemudian di uji cobakan mengestimasi waktu cracking berdasarkan
cracking calculator pada situs http://daleswanson.org/things/password.htm. Skema
perancangan tersebut sebagai berikut:

Gambar 3 Skema Serangan Dictionary Attack dan Brute Force

Pada skema tersebut diuji cobakan serangan dictionary attack dan brute force pada
halaman login Wordpress. Halaman login pada wordpress terletak pada path
http://192.168.56.101/wordpress/wp-login.php.

ISBN : 978-602-97491-6-8
C-4-4
 Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013

Gambar 4 Brutus

Hasil monitoring dictionary attack dan brute force dengan memakai tool brutus
menunjukkan beberapa password yang berhasil tercrack. Waktu yang tercapai oleh brute force
adalah 4.57 detik pada password berkarakter alpha. Sedangkan waktu cracking menggunakan
dictionary attack 0.02 detik pada password berkarakter alpha. Hasil ini kemudian diambil
nilai rata-rata kecepatan cracking pada laptop berprosesor intel i3. Waktu brute force
menunjukkan bahwa sebanyak 29 akun tercrack dalam jangka waktu kurang dari 1 jam.
Sedangkan 30 akun tercrack dalam jangka waktu kurang dari 1 jam menggunakan teknik
dictionary attack.

Gambar 5 Perbandingan Waktu Realistis dan Waktu Cracking (per detik)

Waktu terlama untuk cracking memakai brute force mencapai 9.0852 x 10^13 tahun
dan untuk dictionary attack mencapai 8.1857 x 10^29 tahun. Dibutuhkan waktu yang sangat
lama untuk cracking password tersebut mengingat password tersebut menggunakan kombinasi
karakter alphanumeric simbol yang berjumlah 17 karakter.
Dengan demikian dapat disimpulkan teknik dictionary attack lebih didahulukan
ketimbang brute force sebagai rekomendasi teknik autentifikasi tes.

ISBN : 978-602-97491-6-8
C-4-5
 Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013

KESIMPULAN DAN SARAN

Berdasarkan hasil penelitian sebagaimana telah dibahas pada bab sebelumnya maka
diperoleh kesimpulan terhadap analisa performansi brute force dan dictionary attack dengan
tool brutus terhadap akun admin web sebagai berikut:
1. Dalam mengimplementasikan suatu teknik penetration tes, penggunaan teknik
dictionary attack lebih didahulukan ketimbang teknik brute force sebagai tahapan
pengecekan autentifikasi halaman login website.
2. Kombinasi dan panjang password menjamin keberlangsungan akunnya dari
autentifikasi tidak sah.
3. Semakin banyak kamus dalam dictionary attack maka semakin besar kemungkinan
berhasil mengcrack. Begitu pula semakin besar kombinasi dan panjang karakter set
pada brute force, maka kemungkinan tercrack lebih besar.
Saran yang dapat diberikan terhadap analisa password dan teknik autentifikasi tes adalah:
1. Manajemen user password pada sebuah web wajib mempertimbangkan kombinasi
karakter dan jumlah karakter untuk menjaga sistem informasi dari akses unprevilled.
2. Penggunaan teknik delay, captcha, dan IP blocking dapat mengurangi serangan brute
force dan dictionary attack

DAFTAR PUSTAKA
A. Naik, Mr. Nitin, Mr. Gajanan D. Kurundkar, Dr. Santosh D. Khamitkar, dan Dr. Namdeo
V. Kalyankar, December (2009). Penetration Testing: A Roadmap to Network
Security, Journal Of Computing, Volume 1, Issue 1.
ISSAF 0.2.
ISO 28000 (2007).
Mohanty, Debasis (2008). Demystifying Penetration Testing, www.hackingspirits.com.
OWASP Testing Guide v3. (2008).
Sarno. Riyanarto (2009). Sistem Manajemen Keamanan Informasi, ITSPress, Surabaya.
Stoica., Adrian (2008). A Study on The Information Gathering Method for Penetration
Testing.
Utdirartatmo, Firrar (2005). Analisa Keamanan dan Vulnerabilitas Jaringan Komputer,
Penerbit Gava Media, Yogyakarta.
Wilhelm, Thomas. (2010), Professional Penetration Testing- Creating and Operating a
Formal Hacking Lab, Diacritech, India.
www.1337day.com/pentest
www.acunetix.com/websitesecurity/cross-site-scripting.htm
www.acunetix.com/websitesecurity/sql-injection.htm
www.computerweekly.com/news/2240114927/web-application-vulnerability-statistics-show-
security-losing-ground
www.emagined.com/security_penetration_testing.php

ISBN : 978-602-97491-6-8
C-4-6
 Prosiding Seminar Nasional Manajemen Teknologi XVII
Program Studi MMT-ITS, Surabaya 2 Februari 2013

www.exploit-db.com/papers/13161/ ditulis oleh: Zapotek, Analysis of Brute force &

Dictionary attacks (terakhir diakses 09 April 2012)
www.idsirtii.or.id, Richardus Eko Indrajit , Aneka Ragam Serangan di Dunia Maya,
www.mamat.drupalgardens.com/content/perbedaan-vulnerability-assesment-dan-penetration-
test (terakhir diakses 09 April 2012)
www.schneier.com/crypto-gram-0009.html

ISBN : 978-602-97491-6-8
C-4-7