T1 - 672010194 - Full Text
T1 - 672010194 - Full Text
Artikel Ilmiah
Peneliti :
Hanif Sidiq Pratita (672010194)
Dr. Irwan Sembiring, S.T., M.Kom.
I
II
III
IV
V
VI
Analisa Brute Force Attack
menggunakan Scanning Aplikasi pada HTTP Attack
1) 2)
Hanif Sidiq Pratita, Irwan Sembiring
Fakultas Teknologi Informasi
Universitas Kristen Satya Wacana
Jl. DIPonegoro 52-60, Salatiga 50771, Indonesia
Email: 1) hanif.sidiqpratita@gmail.com, 2) irwan@staff.uksw.edu
Abstract
With the development of today's world, a website is already popular in
cyberspace. It makes the website become the target of hackers that may be
detrimental to the exploitation of the website itself. To know how to hack a
website with Brute Force Atack, then be made of a analysis of brute force attack.
Brute force is an algorithm that solve a problem with a very simple and evident.
Solving problems password cracking by using a brute force algorithm will place
and looking for all the possibilities for password combinations to the input of
characters and specified length of the password. certainly with a lot of
combinations of passwords. In this experiment the process of brute force using a
scanning application programs, so in this manner can be viewed clearly the
process that happens when the website be attacked with a brute force attack
process.
Abstrak
Dengan berkembangnya dunia saat ini, sebuah website sudah populer di dunia
maya. Hal itu membuat website menjadi sasaran peretas untuk melakukan
tindakan pengeksploitasian yang dapat merugikan website itu sendiri. Untuk
mengetahui bagaimana sebuah website di jebol atau dengan kata lain di hack
dengan teknik Brute Force, maka dibuatlah sebuah analisa brute force attack .
brute force adalah algoritma yang memecahkan masalah dengan sangat sederhana,
langsung, dan dengan cara yang jelas . Penyelesaian permasalahan password
cracking dengan menggunakan algoritma brute force akan menempatkan dan
mencari semua kemungkinan password dengan masukan karakter dan panjang
password tertentu tentunya dengan banyak sekali kombinasi password. Dalam
penelitian kali ini proses brute force menggunakan program Aplikasi Scaning,
maka dengan cara ini dapat dilihat secara jelas proses yang terjadi ketika sebuah
website di serang dengan proses brute force .
Kata Kunci : Website, Peretas, Brute Force, password cracking, Scaning.
1)
Mahasiswa Program Studi Teknik Informatika, Fakultas Teknologi Informasi, Universitas
Kristen Satya Wacana Salatiga
2)
Staff Pengajar Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana Salatiga
VII
1. Pendahuluan
Pada saat ini dunia maya sudah berkembang pesat disegala bidang
khususnya di bidang website., saat ini dengan adanya teknologi seperti http dan
https maka dapat membantu dan mempermudah pekerjaan manusia dalam bidang
komunikasi dan informasi dapat cepat di sajikan dengan tepat dan akurat Seiring
semakin berkembangnya teknologi, semakin berkembang juga kejahatan yang
terjadi, seperti penyadapan data web defaching, serangang brutal atau disebut juga
brute force dan lain – lain dari yang merugikan dan sebagai keamanan data bagi
para pengguna internet terhadap pengguna http, penyerangan dapat dilakukan
dengan menggunakan software dan juga menggunakan dengan cara cara lain
untuk melakukan serangan terebut . untuk serangan yang terjadi secara brutal atau
brute force bisa menggunakan beberap aplikasi yang terdapat dalam sistem
operasi kali linux , teknik password cracking yang sering disebut sebagai teknik
serangan brute force tersebut biasa digunakan oleh para hacker untuk melakukan
serangan pada http maupun https . Dengan Teknik serangan brute force maka
sistem keamanan sebuah website tersebut dapat ketahui dengan cara
menggunakan percobaan terhadap semua kunci dan semua aktifitas yang
dilakukan oleh pengguna http juga dapat diketahui dan dengan teknik ini maka
serangan brute force dapat di implementasikan oleh para hacker dengan lebih
cepat.
Brute Force attack adalah sebuah metode untuk menjebol kode rahasia
(yaitu, mendekripsi sebuah teks yang telah terenkripsi) dengan mencoba semua
kemungkinan kunci yang ada. Feasibility dari sebuah brute force attack
tergantung dari panjangnya cipher yang ingin dipecahkan , dan jumlah komputasi
yang tersedia untuk penyerang. Salah satu contohnya programnya bernama
WPScan yaitu Password Cracker mencoba semua kombinasi yang mungkin dari
karakter yang telah didefinisikan sebelum atau set karakter yang kustom melawan
sebuah password yang telah terenkripsi di brute force dialog, kuncinya adalah
mencoba semua kemungkinan password. Dikutip dari jurnal Krisnadi Eka
Pramudita yang berjudul “ Brute Force Attack dan Penerapannya pada Password
Craking “.
Karena luasya cakupan mengenai kejahatan brute force maka dibuat batasan-
batasan masalah pada penelitian ini meliputi beberapa hal, yaitu sebagai berikut :
1
1. Peneliti ini menganalisi website yang sudah diserang menggunakan teknik
brute force pada jaringan lokal atau pada webserver dan website online
yang mempunyai celah keamanan mysql untuk di buat untuk simulasi.
2. Kajian pustaka
Penelitian tentang Brute Force Attack sudah banyak diteliti oleh orang yang
mahir di bidang keamanan jaringan, salah satunya tentang “Brute Force Attack
dan Penerapanya Pada Password Cracking ”yang ditulis oleh Krisnaldi Eka
Pramudita, penelitian yang dilakukan mengulas tentang algoritma brute force
dalam lingkup teknologi informasi dan penerapannya dalam membobol atau
meretas sebuah password misalnya password untuk login facebook atau
wordpress. Algoritma brute force yang umumnya dipakai untuk meretas kasus
password seperti ini umumnya disebut Brute Force Attack .
Brute force attack menggunakan sebuah himpunan karakter atau teks yang
akan dipakai untuk referensi karakter-karakter dari password yang ingin
dibobol/diretas. Himpunan karakter yang dipakai akan menjadi sebuah ukuran
keefektifan dari algoritma itu sendiri . Semakin banyak anggota himpunan
karakter ini, tentunya persentasi password cracking untuk sebuah password dapat
diretas akan meninggi. Namun, makin banyak karakter yang ada di dalam
himpunan itu harus dibayar dengan waktu pengerjaan yang lebih lama. Brute
Force ini sudah mulai dikembangkan untuk meretas password. Salah satu
pengembangannya adalah dictionary attack yang menggunakan algoritma brute
force tetapi himpunan karakternya berasal dari sebuah kamus (misalnya KBBI)
sehingga memungkinkan untuk memangkas waktu yang diperlukan Brute Force
Attack pada umumnya walaupun ber-drawback tidak ditemukannya password. [1].
Berdasarkan penelitian terdahulu tentang “implementasi alogaritma brute
force dalam pencarian data katalog buku perpustakaan” yang membahas
tentang pola pencocokan kumpulan karakter huruf/kata (selanjutnya disebut
String) yang satu dengan String yang lainnya menggunakan Algoritma Brute
Force atau biasa disebut Algoritma Naïf (Naïve Algorithm) dan cara penyelesaian
masalah pencocokan pola String dengan Algoritma Brute Force tergolong
termasuk cara penyelesaian yang tidak cerdas karena memiliki cara kerja yang
sederhana, String Matching merupakan salah satu algoritma yang digunakan
untuk mempercepat proses pencarian kata yang diinginkan. String matching
dibagi menjadi dua, yakni exact matching dan heuristic atau statistical matching.
Algoritma string matching telah sering digunakan sebelumnya seperti contoh pada
proses pencocokan string berdasarkan persamaan teks data yaitu Brute Force.
2
Dalam hal ini, dipilih algoritma brute force karena algoritma ini dapat digunakan
untuk melakukan pencarian string atau teks [2].
Berdasarkan pada penelitian selanjutnya, dari jurnal yang ditulis oleh Oni
Rafizan yang terkait dengan “Analisa penyerangan social enginering” . maka
dilakukan pengembangan penelitian yang membahas tentang analisa sebuah
serangan brute force dengan program aplikasi dari sistem operasi kali linux yaitu
Aplikasi Scanning yang nantinya akan melakukan serangan terhadap sebuah
webserver yang sudah di rancang sebelumnya dan penelitian ini menghasilkan
sebuah analisa yang nantinya dapat membantu para pengguna website yang
terkena serangan brute force untuk mengetahui bagaimana cara kerja proses brute
force berlangsung. WPScan dan Sql Ijection adalah scanner keamanan yang
memeriksa keamanan Website menggunakan metode “blackbox” fiturnya yaitu
untuk pencacahan username dan multithreaded password untuk proses
bruteforcing, pencacah versi plugin Website dan pencacahan kerentanan sistem.
Disini kita akan menunjukkan bagaimana melakukan audit keamanan pada
installasi Website dengan nama pengguna yang memiliki password lemah dan
menggunakan blog plugin yang rentan. [3].
3
Gambar 1 merupakan gambar perbandingan string Brute Force attack
matching antara pattern dengan text per karakter dengan pseudocode berikut :
Exhaustive key search cracking mungkin saja memerlukan waktu yang sangat
panjang untuk berhasil, tetapi jika character setnya sidah benar sesaui password,
maka tinggal hanyalah jadi masalah waktu .
4
3. Metode Penelitian Sistem
Berdasarkan pada tujuan yang ingin dicapai, penelitian ini dirancang dengan
pendekatan “Penelitian dan Pengembangan”, artinya suatu program penelitian
ditindak lanjuti dengan program pengembangan untuk perbaikan atau
penyempurnaan. Metode yang digunakan yaitu model PPDIO dengan terbagi
dalam enam tahapan, yaitu: (1) Prepare untuk penelitian, (2) Planning, (3) Design
(4) Impementasi (5) Operate dan yang terakhir yaitu (6) Optimize. Adapun
tahapan yang dilakukan ditunjukkan pada Gambar 2.
5
Hardware dan software yang digunakan dalam membangun sistem ini memiliki
spesifikasi : 1) CPU Intel Core i3-2350M., 2.3Ghz, memory RAM 4GB;
2) Wi-fi speedy dan wi-fi ID;
3) Aplikasi WPScan Pada KaliLlinux, Apache, Bind9;
4) Database yang digunakan phpmyadmin, mysql;
5) Web browser yang digunakan Mozilla Firefox;
6) Bahasa pemrograman dalam membuat web adalah php.
7) Wordpress yang di gunakan versi Wordpress 4.2.3
6
Gambar 4 Alur Proses kerja
Gambar 4 merupakan alur dari proses cara kerja pada penelitian ini dimana
proses hacking dimulai dengan hacker menyediakan keywords atau wordlist yang
akan digunakan untuk mempermudah melakukan serangan pada webserver ,
selanjutnya proses pencarian username dan password menggunakan aplikasi yang
ada dengan melakukan scanning pada pada website dan apabila tidak berhasil
maka aplikasi tersebut tidak akan menampilkan hasil, sebaliknya apabila berhasil
maka proses akan menampilkan hasil dan berhasil menemukan user password
sesuai yang diinginkan oleh hacker .
7
4. Hasil dan Pembahasan
8
4.1 Proses pembuatan Wordlist pada Wpscan (Dictionary)
Gambar 6 Syntak dasar yang digunakan untuk membuat wordlist pada aplikasi crunch.
Berikut penjelasannya :
root@kali:~# crunch 4 10
9
Perintah tersebut menghasilkan perkiraan krisis seberapa besar file
tersebut dan kemudian akan mulai untuk menghasilkan daftar. Untuk mengetahui
bahwa target selalu digunakan password angka antara 4 dan 10 karakter kemudian
bisa menghasilkan daftar lengkap kemungkinan sandi memenuhi kriteria ini dan
mengirim data wordlist ke file dalam direktori yang disebut numericwordlist.lst
pengguna root dengan perintah :
Perintah dibawah untuk melihat dan memilih daftar kata secara kompleks
yang terdapat dalam crunch.
10
4.2 Proses Scanning Brute Force Attack dengan WPscan
Setelah proses pembuatan wordlist selesai langkah selanjutnya yang akan
dilakukan yaitu melakukan serangan brute force, simulasi kali ini akan
menggunakan aplikasi scanning dari kali linux backtrack yaitu Wpscan, Wpscan
adalah scanner keamanan yang memeriksa keamanan sebuah website terutama
WordPress, menggunakan metode “black box”. Fitur utama dari aplikasi ini yaitu
melakukan scanning penacahan username, multithreaded password bruteforcing,
pencacahan versi plugin pada wordpress, dan pencacahan kerentanan pada sistem.
Pada gambar di bawah ini pertama kali yang akan dilakukan yaitu menemukan
user apa saja yang ada pada website tersebut yaitu dapat dengan menggunakan
perintah atau script seperti dibawah ini :
Gambar 11 Perintah untuk melakukan serangan pencarian username pada website skripsi.com
Gambar 12 Hasil Serangan dengan menggunakan aplikasi Wpscan unuk pencarian username.
11
yang sudah didapatkan, selanjutmya peretas akan melakukan serangan bruteforce,
untuk melakukan pencarian password yang ada pada username yang sudah
ditemukan ,sebagai simulai hacker akan melakukan scanning untuk mendapatkan
password dari usename admin, untuk melakukan scanning password, script yang
dapat digunakan yaitu sebagai berikut:
root@kali:~# wpscan --url http://www.skripsi.com –-worldlist
/root/Desktop/pass/passlist.txt –username admin
12
Gambar 15 Proses pencarian berhasil menemukan password dari username admin.
13
Gambar 16 User dan password dimasukan kedalam home login website
14
Pada gambar diatas menunjukkan bahwa username dan password yang
didapatkan setelah melakukan bruteforcing berhasil menyusup kedalam website
www.skripsi.com, karena setelah melakukan uji coba username dan password
yang dimasukkan ke dalam home login dan bisa masuk kedalam dashboard
kemudian selanjutnya hacker bisa dengan leluasa melakukan proses hacking
terhadap website tersebut .
Contoh sederhana dari query SQL yang sah adalah sebagai berikut :
SELECT id FROM users WHERE username = ‘Erik’ AND password =
‘QWERTY’
Penyebab utama dari celah kerentanan SQL yaitu gabungan dari karakter
yang sama untuk membuat string , dalam hal ini scrip dari perintah database
merupakan solusi yang paling jelas untuk mengeksploitasi, dan menghindari
15
upaya untuk memindai dan menghapus inputan yang berbahaya yang dapat di
inject kedalam aplikasi web, ada sejumlah scanner otomatis yang memfasilitasi
penemuan kerentanan injeksi pada aplikasi web, untuk memulainya dapat
menggunakan aplikasi NPAM yang merupakan aplikasi scanner untuk
mengidentifikasi webserver, sistem operasi dan versi database server. Dapat
dilihat seperti pada gambar di bawah ini :
16
Gambar 19 Scanning Wpscan pada webserver
Pada Gambar di bawah ini bisa dilihat dengan menggunakan aplikasi Acunetix
Web proses scanning dapat menemukan kerentanan yang ada pada /wp-
conten/plugins/all-video galeryplaylist.php .
17
Gambar 20 Hasil dari Acunetix Web Vulnerability Scanner
18
Setelah dilakukan eksploitasi menggunakan sqlmap website akan di
konfirmasi secara manual menggunakan web browser dengan menginputkan kode
url seperti pad gambar di bawah ini , dalam hal ini berarti melakukan pengecekan
versi database, login username dan direktori data yang ada di dalam server .
19
Gambar 23 Konfirmasi dan Eksploitasi dengan Havji
20
Password yang didapatkan mempunyai 10 karakter, Max Pencarian dengan 62
pangkat 10 yaitu ditemukan sebanyak 839299365868340224 kombinasi yang
dicari untuk menemukan password tersebut .
a d m i n 1 2 3 4 5
0-z
0-z 0-z
0-z 0-z 0-z
0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z
0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z 0-z
Perhitungan dari tabel diatas menjelaskan bahwa untuk menemukan satu karakter
password yang benar membutuhkan kombinasi seperti tabel di bawah ini :
21
Kelemahan Brute Force Attack diatas adalah waktu yang dibutuhkan
relatif sangat lama. Untuk Password 1 karakter menggunakan 62 Karakter (26
Huruf kecil, 26 Huruf Besar, dan 10 angka) terdapat 62 kali looping dari 0 hingga
z. Untuk Password 2 Karakter menggunakan 62 x 62 kombinasi karakter dari 00
hingga zz. Itupun belum termasuk karakter khusus seperti ! (tanda seru), (/), garis
miring, dan karakter lainnya hingga menambah waktu pemrosesan. Waktu
pemrosesan pada program bergantung pada memori komputer yang digunakan
dan panjang password yang dicari.
Dari semua simulasi yang telah dilakukan pada penelitian di atas maka
dapat di hasilkan sebuah Website yang memakai template wordpress sangat rentan
terhadap serangan Brute Force , kenapa demikan?
Template Wordpess mempunyai banyak fitur terutama pada fitur plugin , dari
penelitian di atas dapat diketahui bahwa dengan adanya plugin yang terinstall
pada template tersebut beberapa aplikasi scanning yang di pakai penyerang bisa
dengan mudah menemukan vunerability atau kelemahan atau celah pada website
melalui plugins tersebut, lewat plugin tersebut memungkinkan penyerang untuk
mengunduh file- file penting yang terdapat didalam website tersebut untuk
kemudian dimanfaatkan penyerang dan mengambil alih kendali pada website
tersebut .
Dari pembuktian yang peneliti lakukan terbukti bahwa plugin yang
digunakan pada video galery mempunyai celah atau bug sehingga dapat
dimanfaatkan oleh penyerang untuk melakukan scanning file wp-config.php pada
website yang berbasis wordpress, file wp-config.php merupakan file yang sangat
penting dan apabila jatuh ketangan orang yang salah akan sangat berbahaya
karena didalam file tersebut berisi tentang setting database yang digunakan pada
website, termasuk username, password, host, dan nama database yang digunakan,
dan jika sudah tau login databasenya banyak hal yang bisa dilakukan oleh
penyerang , dapat dilihat seperti pada gambar di bawah ini .
22
5. Simpulan
Berdasarkan penelitian yang telah dibuat untuk menganalisa serangan
brute force attack dengan aplikasi scanning maka dihasilkan kesimpulan: 1)
Metode ini melakukan pengecekan karakter yang benar-benar sesuai dengan
dictionary, apabila terdapat ketidaksamaan, maka brute force tidak menghasilkan
output atau hasil yang diinginkan; 2) Algoritma Brute Force merupakan
penyelesaian sederhana untuk mendapat hasil yang maksimal, Algoritma Brute
Force Attack menjamin bahwa hasil yang dicari akan didapat dengan
mengesampingkan waktu pencarian; 3) Semakin rumit suatu algoritma maka
semakin besar celah (bug) yang terdapat pada algoritma tersebut; 4) Enkripsi kuat
yang modern juga dapat menahan brute force attack dengan memberikan proses
Brute Force Attack dengan waktu yang semakin lama. Dan saran untuk
pengembangan sistem ini adalah 1) mendapatkan waktu pencarian yang lebih
cepat dan hasil yang lebih akurat, modifikasi algoritma diharapkan dapat
dilakukan tanpa mengubah prinsip dasar dari algoritma brute force tersebut; 2)
Sangat tidak disarankan jika algoritma brute force dianggap cara yang tidak
efisien dan tidak efektif, justru kebanyakan orang menyukai algoritma ini
dikarenakan pola pemikiran yang sederhana menyerupai pola pikir manusia dalam
penyelesaian masalah. Algoritma Brute Force dapat menjadi pertimbangan dalam
pengembangan software baik itu digunakan sebagai algoritma dasar perangkat
lunak yang dipakai, ataupun algoritma pembanding dengan algoritma lainnya.
6. Daftar Pustaka
[1]. Pramudita, Krismaldi Eka. 2010. “Brute Force Attack dan Penerapanya
pada Password Cracking“. ITB Bandung ,: 1-4 .
[2]. Mesran. 2014. “Implementasi Algoritma Brute Force dalam Pencarian
Data Katalog Buku Perpustakaan”. Makalah Informasi dan Teknologi
Ilmiah (INTI). Vol: III, Nomor: 1, Mei 2014. ISSN : 2339-210X.
[3]. Saragih May Aprina. 2013. “Implementasi Algoritma Brute Force dalam
Pencocokan Teks Font Italic untuk Kata Berbahasa Inggris pada Dokumen
Microsoft Office Word”. Pelita Informatika Budi Darma. Vol: IV, Nomor:
3, Agustus 2013. ISSN: 2301-9425.
[4]. Rafizan, Onny. 2012. “Analisis Penyerangan Social Engineering”.
https://publikasi.kominfo.go.id/handle/54323613/801.(diakses 3 Agustus
2015).
[5]. Hidayani Nisa, Nurma Juni Sari, Suhatman Rahmat . 2013. “Perancangan
dan Implementasi Metode Brute Force untuk Pencarian String pada
Website PCR”. Politeknik Caltex Riau, : 1-4.
[6]. Hub Miloslav dan Capek Jan, 2010. “Security Evaluation of Passwords
Used on Internet”, Faculty of Economics and Administration, University
of Pardubice Pardubice, Vol: 5, No: 3, Czech Republic.
23
[7]. Syukrie.M. 2002. “101 Tip dan Trik Hacking”. Jakarta, PT Flex Media
Komputindo.
[8]. Wpscan Team. 2015. “ WPScan Is a Blackbox Wordpress Vurnerability
Scanner”. http://wpscan.org (diakses 13Agustus 2015).
[9]. WPScan Team. 2013. “Wordpress Vurnerability Scanner”.
http://omniref.com/github/wpscanteam/wpscan/2.1. (diakses 26 September
2015).
[10]. Occupytheweb. 2014. “How to Crack Passwords, Part4 (Creating a
Custom Wordlist with Crunch)”. http://null-byte.wonderhowto.com
(diakses 4 Oktober 2015).
[11]. Arts & Farces Internet. 2014. “Install and Use WPScan For Security
testing “ . http://www.farces.com/wikis/naked-server/wordpress/wpscan/
(diakses 18 November 2015).
24
XXV