Selasa, 10 Mei 2011

DEFACE SITUS

Deface adalah suatu aktifitas mengubah halaman depan atau isi suatu situs Web sehingga tampilan atau isinya sesuai dengan yang anda kehendaki. Secara garis besarnya deface ini dapat dilakukan dengan 3 cara yaitu :
1. Memasukkan Input Illegal
2. Dengan TFTP
3. Dengan FTP

Mengamankan server IIS dari deface yaitu dengan cara selalu mengupdate dengan service pack dan hotfix terbaru, melindungi dengan oleh firewall dan IDS, menghilangkan opsi tulis pada protocol HTTP.

Memanfaatkan Kelemahan Scripting maupun HTML Form




JavaSript yaitu suatu scripting language di sisi client sehingga suatu transaksi yang menggunakan JavaScipt dapat dipastikan sangat rawan terhadap manipulasi dari sisi pemakai.
Contoh scripting language yang bekerja disisi client :
• JavaScript
• Client side VB Script

Adapun scripting language di sisi server :
• Active Server Pages
• Java Server Pages
• Personal Home Pages

Kelemahan dasar pada HTML Form yaitu :
• Formulir dalam format HTML
• Setiap HTML form harus menggunakan salah satu metode pengisian formulir
• Melalui kedua metode HTTP ini (GET atau POST)

Senin, 11 April 2011

password cracking

Password cracking adalah istilah umum yang menggambarkan sekelompok teknik yang digunakan untuk memperoleh password pada sebuah sistem data. Password cracking khusus mengacu pada proses mendapatkan password dari data yang yang dilindungi dengan password; namun harus dicatat bahwa cara-cara menipu seseorang agar memberi password, seperti melalui phishing, tidak dianggap sebagai password cracking. Menebak password berdasarkan pengetahuan yang sudah ada sebelumnya dari pemilik sistem komputer dianggap cracking, karena password tidak dikenal sebelumnya.




Sebagian besar metode mendapatkan password, dilakukan dengan mengetik berulang kali untuk menebak atau mengeksploitasi kelemahan keamanan dalam sistem komputer. Ada beberapa metode yang berbeda menebak password seseorang. Satu diantaranya misalnya menggunakan data seputar pribadi dari orang yang sistem komputernya akan dicrack untuk memprediksi kemungkinan. Mengetahui nama-nama orang yang dicintai atau binatang peliharaan, tanggal lahir, nomor telepon, tempat tinggal, biasanya digunakan untuk menebak password.

Cara lain untuk menebak password berbasis cracking dikenal sebagai dictionary attack. Banyak orang menggunakan password yang dapat ditemukan di kamus atau kata-kata yang diikuti dengan satu nomor. Banyak program-program kategori cracking mencoba memasukkan kamus kata dan kombinasi nomor untuk crack password. Serangan ini umumnya tidak berguna terhadap password yang kompleks, tapi sangat efektif terhadap setiap kata sandi tunggal.
Serangan brute-force merupakan metode password cracking yang secara signifikan lebih kuat daripada serangan metode kamus. Sebuah program brute force attack akan mencoba setiap kombinasi karakter yang mungkin mencapai set pada password yang tepat. Ini sangat memakan waktu karena ada huruf yang mungkin tak terhitung jumlahnya, nomor yang banyak dan kombinasi simbol dari seorang individu yang bisa digunakan untuk password.
Metode cracking lain untuk password cracking bisa juga dengan menggunakan fungsi hash kriptografi sistem komputer. Sebuah fungsi hash kriptografi adalah suatu prosedur yang mengubah password ke bit string berukuran seragam. Jika hash dapat di-crack, dimungkinkan untuk reverse-engineer password. Kebanyakan fungsi hash sangat kompleks dan tidak dapat di-crack tanpa waktu dan usaha yang panjang.
Namun, ahli keamanan komputer yang terampil bisa memecahkan banyak jenis password. Tetapi sebagai pengguna komputer, ada beberapa langkah yang yang bisa dilakukan untuk menghindari upaya password cracking. Password yang kompleks selalu lebih baik dari yang sederhana. Password yang menggunakan huruf besar dan huruf kecil, angka, dan simbol lebih sulit untuk di-crack dari password yang hanya menggunakan satu atau dua kombinasi pilihan.


Aplikasi - aplikasi atau software yang digunakan dalam mengCRack atau menjebol suatu password atau sebuah program, macamnya sangat banyak...
berikut adalah beberapa diantaranya..:



Cain & Abel

Tools yang berjalan di windows, dapat melakukan beberapa tugas antara lain memanen password dengan sniffing jaringan, cracking password yang ter enkripsi dengan dictionary attack, brute-force dan cryptanalisis, merekam percakapan Voip, decoding password yang di enkripsi, mengembalikan password yang ter cache, serta menganalisis routing protokol.

Link Download Software nya bisa didapat di sini

John the Ripper

Tools yang powerfull dan multi platform, berjalan di linux, windows, macOS, Dos, BeOS dan openVMS, pada awalanya digunakan untuk mendeteksi password yang lemah pada sistem operasi Unix.

Link Download Software nya bisa didapat di sini

THC Hydra

Tools ini berjalan multiplatform, dan di gunakan untuk cracking melalui jaringan, menggunakan metode dictionary attack dan mendukung 30 protokol termasuk telnet, ftp, http, https, smb, beberapa database dan lain-lain.


Link Download Software nya bisa didapat di sini

Contoh diatas hanya sebagian kecil dari ribuan Software Pemecah Password yang ada di Dunia ,, Selebihnya bisa disearching Sendiri...

Senin, 28 Maret 2011

kriptografi

Kriptografi Hibrid


Sistem ini mengggabungkan chiper simetrik dan asimetrik. Proses ini dimulai dengan negosiasi menggunakan chiper asimetrik dimana kedua belah pihak setuju dengan private key/session key yang akan dipakai. Kemudian session key digunakan dengan teknik chiper simetrik untuk mengenkripsi conversation ataupun tukar-menukar data selanjutnya. Suatu session key hanya dipakai sekali sesi. Untuk sesi selanjutnya session key harus dibuat kembali.

Pendistribusian Key
Dalam pendistribusian suatu key dapat dilakukan dengan bermacam cara misalnya download, diberikan secara langsung dsb. Untuk mencegah pemalsuan key oleh pihak ketiga maka diperlukan adanya certificate.

Protokol pernyetujuan key
Atau disebut juga protokol pertukaran key adalah suatu sistem dimana dua pihak bernegosiasi untuk menentukan secret value. Contohnya adalah SSL (secure socket layer).

kriptografi

Kriptografi Simetris (Kunci Rahasia)



Algoritma kriprografi simetris adalah algoritma yang menggunakan kunci enkripsi yang sama dengan kunci dekripsinya, sedangkan algoritma kriprografi asimetris mempunyai kunci enkripsi dan kunci dekripsi yang berbeda. Algoritma kriprografi simetris sering disebut algoritma kunci rahasia, algoritma kunci tunggal, atau algoritma satu kunci, dan mengharuskan pengirim dan penerima menyetujui suatu kunci tertentu. Kelebihan dari algoritma kriprografi simetris adalah waktu proses untuk enkripsi dan dekripsi relatif cepat. Hal ini disebabkan efesiensi yang terjadi pada pembangkit kunci. Karena prosesnya relative cepat maka algoritma ini tepat untuk digunakan pada sistem komunikasi digital secara real time seperti GSM.
Dalam symmetric cryptosystem ini, kunci yang digunakan untuk proses enkripsi dan dekripsi pada prinsipnya identik, tetapi satu buah kunci dapat pula diturunkan dari kunci yang lainnya. Kunci-kunci ini harus dirahasiakan. Oleh karena itulah sistem ini sering disebut sebagai secret-key ciphersystem. Jumlah kunci yang dibutuhkan umumnya adalah :
nC2 = n . (n-1)
--------
2
dengan n menyatakan banyaknya pengguna.
Contoh dari sistem ini adalah Data Encryption Standard (DES), Blowfish, IDEA.
Disebut sebagai algoritma simetris, karena dalam proses enkripsi dan dekripsinya menggunakan kunci yang sama. Algoritma enkripsi dan deskripsi bias merupakan algoritma yang sudah umum diketahui, namun kunci yang dipakai harus terjaga kerahasiaanya, dan hanya diketahui oleh pihak pengirim dan penerima saja. Kunci ini disebut sebagai private key. Sebelum berkomunikasi kedua pihak harus bersepakat lebih dahulu tentang kunci yang dipergunakan. Pendistribusian kunci dari satu pihak ke pihak lainnya memerlukan suatu kanal tersendiri yang terjagaan kerahasiaannya.

Algoritma kunci simetris memiliki beberapa kelebihan dan kekurangan, yakni:
Kelebihan :
1. Waktu proses untuk enkripsi dan dekripsi relatif cepat, hal ini disebabkan karena efisiensi yang terjadi pada pembangkit kunci.
2. Karena cepatnya proses enkripsi dan dekripsi, maka algoritma ini dapat digunakan pada sistem secara real-time seperti saluran telepon digital.
Kekurangan :
1 Untuk tiap pasang pengguna dibutuhkan sebuah kunci yang berbeda, sedangkan sangat sulit untuk menyimpan dan mengingat kunci yang banyak secara aman, sehingga akan menimbulkan kesulitan dalam hal manajemen kunci.
2 Perlu adanya kesepakatan untuk jalur yang khusus untuk kunci, hal ini akan menimbulkan masalah yang baru karena tidak mudah u menentukan jalur yang aman untuk kunci, masalah ini sering disebut dengan “Key Distribution Problem”.
3 Apabila kunci sampai hilang atau dapat ditebak maka kriptosistem ini tidak aman lagi.
Contoh skema enkripsi kunci simetrik adalah :
a. DES (Data Encryption Standard)
b. IDEA (International Data Encryption Algorithm)
c. FEAL
Algoritma-algoritma sandi kunci-simetris
Beberapa contoh algoritma yang menggunakan kunci-simetris:
• DES - Data Encryption Standard
• blowfish
• twofish
• MARS
• IDEA
• 3DES - DES diaplikasikan 3 kali
• AES - Advanced Encryption Standard, yang bernama asli rijndael

kriptografi

Kriptografi Asimetris (Kunci Publik)



Algoritma asimetris pertama kali dipublikasikan oleh Diffie dan Hellman pada tahun 1976 dalam papernya yang berjudul “New Directions in Cryptography”. Contoh dari algoritma asimetris adalah RSA, ElGamal, McEliece, LUC dan DSA (Digital Signature Algorithm).

Algoritma publik-key juga disebut algoritma asimetris yang dirancang sehingga key yang digunakan untuk enkripsi berbeda dengan key yang digunakan untuk dekripsi. Selanjutnya key dekripsi tidak dapat dihitung dengan dari key enkripsi. Algoritma tersebut disebut public-key karena key enkripsi dapat dibuat secara public. Orang asing dapat menggunakan key enkripsi tersebut untuk mengenkripsi sebuah pesan, tetapi hanya orang tertentu dengan key dekripsi sepadan dapat mendekripsi pesan tersebut. Dalam sistem ini key enkripsi sering disebut public key sedangkan key dekripsi sering disebut private key.

Dalam assymmetric cryptosystem ini digunakan dua buah kunci. Satu kunci yang disebut kunci publik (public key) dapat dipublikasikan, sedang kunci yang lain yang disebut kunci privat (private key) harus dirahasiakan. Proses menggunakan sistem ini dapat diterangkan secara sederhana sebagai berikut : bila A ingin mengirimkan pesan kepada B, A dapat menyandikan pesannya dengan menggunakan kunci publik B, dan bila B ingin membaca surat tersebut, ia perlu mendekripsikan surat itu dengan kunci privatnya. Dengan demikian kedua belah pihak dapat menjamin asal surat serta keaslian surat tersebut, karena adanya mekanisme ini. Contoh sistem ini antara lain RSA Scheme dan Merkle-Hellman Scheme.
Setiap cryptosytem yang baik harus memiliki karakteristik sebagai berikut :
• Keamanan sistem terletak pada kerahasiaan kunci dan bukan pada kerahasiaan algoritma yang digunakan.
• Cryptosystem yang baik memiliki ruang kunci (keyspace) yang besar.
• Cryptosystem yang baik akan menghasilkan ciphertext yang terlihat acak dalam seluruh tes statistik yang dilakukan terhadapnya.
• Cryptosystem yang baik mampu menahan seluruh serangan yang telah dikenal sebelumnya
Hingga saat ini masih banyak orang yang menggunakan cryptosystem yang relatif mudah dibuka, alasannya adalah mereka tidak mengetahui sistem lain yang lebih baik serta kadang kala terdapat motivasi yang kurang untuk menginvestasikan seluruh usaha yang diperlukan untuk membuka suatu sistem.
Algoritma asimetrik disebut juga algoritma kunci publik. Disebut kunci publik karena kunci yang digunakan pada proses enkripsi dapat diketahui oleh orang banyak[1] tanpa membahayakan kerahasiaan kunci dekripsi, sedangkan kunci yang digunakan untuk proses dekripsi hanya diketahui oleh pihak yang tertentu (penerima). Mengetahui kunci publik semata tidak cukup untuk menentukan kunci rahasia. Pasangan kunci publik dan kunci rahasia menentukan sepasang transformasi yang merupakan invers satu sama lain, namun tidak dapat diturunkan satu dari yang lain. Dalam sistem kriptografi kunci publik ini, proses enkripsi dan dekripsi menggunakan kunci yang berbeda, namun kedua kunci tersebut memiliki hubungan matematis (karena itu disebut juga sistem asimetris). Adapun proses kriptografi asimetris secara umum dapat kita lihat pada Gambar
Proses Kriptografi Asimetris
Algoritma kunci asimetris memiliki beberapa kelebihan dan kekurangan, yakni:
Kelebihan :
a. Masalah keamanan pada distribusi kunci dapat diatasi.
b. Manajemen kunci pada suatu sistem informasi dengan banyak pengguna menjadi lebih mudah, karena jumlah kunci yang digunakan lebih sedikit.
Kekurangan :
a. Kecepatan proses algoritma ini tergolong lambat bila dibandingkan dengan algoritma kunci simetris.
b. Untuk tingkat keamanan yang sama, rata-rata ukuran kunci harus lebih besar bila dibandingkan dengan ukuran kunci yang dipakai pada algoritma kunci simetris.
Contoh skema enkripsi kunci asimetrik adalah [1]:
a. DSA (Digital Signature Algorithm)
b. RSA
c. Diffie-Hellman (DH)