Kaedah individu-individu ini memasuki ke dalam sesuatu sistem adalah berbagai. Teknik utama mereka ialah melalui password cracking. Bagaimanapun terdapat banyak kaedah lain yang lebih cepat yang digunakan mereka terutama dengan menguji cuba kelemahan sesuatu sistem melalui penghantaran arahan-arahan elektronik secara jauh terhadap sistem keselamatan mangsa.
Dalam ruang ini, kaedah password cracking sahaja akan diulas memandangkan ianya adalah kaedah biasa dan sering digunakan di semua platform. Kaedah-kaedah alternatif lain tidak akan dibincang memandangkan tekniknya tidak sama untuk setiap sistem dan memerlukan penerangan yang terperinci serta memakan masa (juga bahaya!).
Crytography:
Untuk memahami proses password cracking and perlu telebih dahulu memahami cryptography iaitu proses yang digunakan untuk menukar nombor atau huruf biasa ke bentuk simbol.
Crytography menurut Yam an Akdeniz bermaksud ‘the science and study of secret wiriting“. Crypto berdasarkan perkataan Greek cryptos bermaksud sesuatu yang tersembunyi. Manakala graph di ambil daripada graphia yang bermakna tulisan. Oleh itu cryptography dapat disimpulkan sebagai teknik menyembunyi atau merahsia sesuatu tulisan.
Contoh crytograpy mudah ditujukkan di bawah:
A B C D E F G
1 2 3 4 5 6 7
Huruf A diwakili oleh nombor 1, B 2 dan seterusnya. Katakan password AGEBAD dalam keadaan encrypted ialah 175214. Bagaimanapun proses cryptography hari ini bukan semudah itu. Semakin banyak tenik encryption yang kompleks digunakan untuk menyukarkan para cracker bertugas seperti teknik ROT-13, DES dan Crypt. Untuk keterangan lanjut anda boleh dapatkan info cryptography dilaman http://www.mach5.com/crypto
Level Cracking:
Untuk memecahkan password bukanlah satu kerja cepat dan mudah. Apatah lagi bagi passwword yang menggunakan ‘one way encryption method‘ khususnya dalam operasi UNIX. Ini bermakna, selepas diencrypt, tiada lagi kaedah yang boleh membukanya, walaupun program asal yang digunakan.
Bagaimanapun teknologi hacking yang semakin maju sejajar dengan kemajuan sistem security semasa, memungkinkan sesuatu password itu boleh dipecahkan walau sesukar mana ia dirahsiakan.
Peringkat-peringkat asas memecahkan password dalah seperti berikut:
■Dictionary Attack - pemecahan password dilakukan melalui uji cuba password dengan senarai perkataan (word list) yang dikumpulkan dari berbagai sumber. Selalunya proses ini adalah yang paling cepat terutama sekiranya password asal itu merupakan perkataan yang sering digunakan seharian.
■Hybrid Attack - menggunakan teknik di atas dan keupayaan program yang digunakan, senarai perkataan atau word list yang ada akan ditambah 2 perkataan atau nombor lain di hujung atau permulaannva . la aKan menambah kebarangkalian kejayaan pemecahan password memandangkan kecenderungan pengguna menambah sesuatu di hujung nama mereka sebagai password misalnya saya2004
■Brute Force Attack - teknik Inl a alah langkah terakhir dan yang paling menyeluruh dengan jaminan kejayaan 100 peratus. Yang menyukarkannya ialah masa!. Melalui teknik ini setiap huruf dari a-z, A-Z dan 0-9 serta ASCII character akan digunakan satu persatu sehingga mendapat jawapannya. Berdasarkan teori, teknik ini pasti menemui jawapan sesuatu password.
Keperluan:
Password cracker adalah amat berguna terutama kepada SA untuk menguji keselamatan password yang digunakan oleh pengguna komputer di bawah rangkaian tadbirannya. Program ini perlu dijalankan sekurang-kurangnya sekali sebulan terutama di agensi yang kritikal. Falsafahnya mudah, sekiranya sesuatu password itu terdapat dalam senarai word list, ia adalah tidak selamat.
Password cracker merupakan program yang memerlukan kuasa pemprosesan dan memori komputer yang tinggi. Untuk itu, anda perlu sanggup menghabiskan duit untuk membina sistem yang berkuasa bagi menjalankan password cracking program!.
Password Cracker:
Di sini disenaraikan beberapa jenis password cracker yang sering digunakan mengikut sistem operasi:
■Windows 95 – Hades, Claymore, Cain, PWLFind
■Windows NT – LOpthCrack, ScanNT, NTCrack, Password NT, Brutus . UNIX – Crack, Crackerjack, Viper, John The Ripper, Hellfire, Guess
■Lain2 boleh tengok di sini: http://sectools.org/crackers.html
Perlindungan:
Untuk menghalang 100 peratus serangan password cracker ini adalah sukar. Bagaimanapun sebagai panduan, berikut ini adalah beberapa panduan yang boleh digunakan:
■Gunakan random password hasil daripada kombinasi nombor huruf kecil dan besar serta simbol (bagaimanapun untuk sesetengah web account simbol tidak dibenarkan) misalnya xcWer4#5hgR&@.
■Gunakan semaksimum mung kin password yang dibenarkan serta pastikan bilangannya tidak kurang daripada 8 aksara.
■Sering menukar password sekurang-kurangnya sebulan sekali dalam LAN atau seminggu sekali dalam persekitaran internet.
■Jangan memberikan password kepada orang lain atau menulisnya di tempat yang mudah dilihat orang. Sebaiknya ingati password sendiri.
■Bagi pengguna internet persendirian di rumah, sila matikan fungsi Netbios: pada sistem windows dan set dial-up (harap maklum: ada yang masih menggunakannya lagi) kepada dial out sahaja. Juga matikan servis pada komputer yang tidak digunakan serta sering lawat laman berkaitan OS yang sering digunakan di internet untuk ketahui hot fix dan security hole yang ditemui.
■Gunakan khidmat pelayan proksi (proxy server) atau install firewall program dalam PC anda seperti Conseal PC Firewall, WinProxy, ZoneAlarm, Freedom, Blacklce dan sebagainya. Kalau ada yang lain korang boleh kongsikannya kat sini.
■Set kan pilihan lock worksation jika gagal mengemukakan password melebihi 5 kali pada sistem keselamatan pc anda.
■Jangan online terlalu lama, putuskan sambungan sekiranya hanya ingin membaca kandungan artikel di internet yang panjang. Juga boleh simpan (save kan) maklumat berkenaan dulu untuk membacanya kemudian atau gunakan Offline Browsing software untuk membacanya.
■Kerap kali mengimbas PC dari serangan Trojan, Virus,Sniffer dan macam-macam jenis ancaman lagi. Begitu juga jangan download email attachment yang belum discan ke dalam PC terutama yang mengandungi ‘.com, .vb, .dll, .exe ‘ di hujung nama fail berkenaan.
Sumber: Hairil Hazlan
Tiada ulasan:
Catat Ulasan