APLIKASI TES ONLINE BERBASIS WEB YANG LEBIH TAHAN TERHADAP SERANGAN SKRIPSI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
APLIKASI TES ONLINE BERBASIS WEB YANG LEBIH TAHAN TERHADAP SERANGAN SKRIPSI Diajukan untuk memenuhi salah satu syarat Memperoleh Gelar Sarjana Komputer Program Studi Teknik Informatika Oleh: Alfons Permana NIM : 075314007 JURUSAN TEKNIK INFORMATIKA FAKULTAS SAINS dan TEKNOLOGI UNIVERSITAS SANATA DHARMA 2011
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
WEB BASES ONLINE TEST APPLICATION WITH BETTER DEFENSE A THESIS Presented as Partial Fulfillment of the Requirements To Obtain the Sarjana Komputer Degree In Informatics Engineering Department By: Alfons Permana NIM : 075314007 DEPARTMENT OF INFORMATICS ENGINEERING FACULTY OF SCIENCE AND TECHNOLOGY SANATA DHARMA UNIVERSITY YOGYAKARTA 2011
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
HALAMAN MOTTO
“FIGHT FOR HONOR, FIGHT FOR YOUR LIFE”
(MIA, Avenged Sevenfold)
“CHANCE, CHOICE, DECISION, RESPONSIBILITY, AND
RESPECT”
“DON’T REGRET ANYTHING YOU DO, BECAUSE IN
THE END IT’S WHAT MAKES WHO YOU ARE”
(30SecondsToMars, Launching Album)
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
ABSTRAK
Universitas Sanata Dharma Yogyakarta merupakan salah satu universitas swasta di Yogyakarta. USD memiliki 6 kampus dengan jurusan yang banyak.
USD menjadi salah satu universitas yang menarik perhatian banyak siswa dari seluruh penjuru Indonesia. Untuk dapat menjadi mahasiswa di USD, orang-orang harus menjalani sebuah tes yang diadakan di universitas ataupun di suatu tempat dimana siswa tersebut tinggal. Untuk tes di kota tempat siswa berada, pihak USD harus mengirimkan tim dan hal tersebut pastinya memerlukan sejumlah biaya. Itulah mengapa mereka memerlukan sebuah sistem terkomputerisasi untuk dapat memanajemen tes sehingga lebih efisien dalam hal waktu dan uang.
Tes Online merupakan sebuah jalan untuk menghemat biaya dan waktu dalam rangka menjalankan sebuah tes yang baik. Tetapi seiring berkembangnya teknologi, ia diikuti oleh munculnya teknik untuk membobol di website. Itulah mengapa tes online tidak bisa dibuat begitu sederhana. Mereka membutuhkan teknik khusus yang dapat mengatasi celah yang mungkin diinterupsi oleh para hacker. Dalam kasus ini, penulis ingin menganalisa dan membuat sebuah solusi untuk mengamankan isi website dari serangan SQL Injection, XSS (Cross Site Scripting), Brute Force, dan Spam.
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
ABSTRACT
Sanata Dharma University (USD) is one of private universities at Yogyakarta. USD has six campus with many majors. USD becomes one of the universities that attracts many students from all around Indonesia. To be a student in USD, people must do tests held in the university or at a place where the student lives. For the test at student
‟s town, the university must send a team and it cost some money for sure. That‟s why they need a computerized system that can manage the tests become more efficient in time and money.
Online test is one way to save money and time in order to do the qualified test. But when the technology grows up, it ‟s followed with the technique to crack in the website.
That‟s why the online test can‟t be made so simple. They need a special technique to handle holes that might be interrupted by hackers. and patching the holes. In this case, the writer wants to analyze and build the solution about securing contents of the website from SQL Injection, Cross Site Scripting
(XSS), Brute Force, and Spam attack.
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Puji syukur kepada Tuhan Yang Maha Esa karena atas segala berkat dan rahmat-Nya penulis dapat menyelesaikan skripsi dengan judul “Aplikasi Tes
Online Berbasis Web yang lebih tahan terhadap Serangan ”.
Penulisan skripsi ini diajukan untuk memenuhi salah satu syarat memperoleh gelar Sarjana Komputer Program Studi Teknik informatika Universitas Sanata Dharma Yogyakarta.
Dengan terselesaikannya penulisan skripsi ini, penulis mengucapkan terima kasih kepada pihak-pihak yang telah membantu memberikan dukungan baik berupa masukan ataupun berupa saran. Ucapan terima kasih sebanyak- banyaknya ditujukan kepada :
1. Bapak dan Ibu yang telah memberi dukungan kepada penulis baik moral, spiritual maupun material selama masa studi.
2. Bapak Iwan Binanto S.Si., M.Cs. selaku dosen pembimbing yang telah memberikan dukungan, bantuan dan dorongan kepada penulis selama mengikuti proses perkuliahan sampai dengan penyelesaian skripsi ini.
3. Bapak Yosef Agung Cahyanta S.T., M.T. selaku Dekan Fakultas Sains dan Teknologi Universitas Sanata Dharma Yogyakarta.
4. Ibu Ridowati Gunawan S.Kom., M.T. selaku Ketua Jurusan Teknik Informatika Fakultas Sains dan Teknologi Universitas Sanata Dharma Yogyakarta.
5. Penguji keamanan aplikasi, atas kerjasamanya dan masukannya terhadap pengembangan aplikasi ini.
6. Responden kuesioner, atas kerjasamanya dalam mengerjakan kuesioner tentang pengamatan aplikasi secara awam.
7. Tejo Murti selaku sahabat dan rekan kerja sesama pengembang web yang telah mengajarkan saya banyak hal tentang pengembangan website.
8. Christian Novianto, Harry Budi Harianto, Septiandy Ateng, Daniel Antonius Kristanto, Fetri Anastasia, Addy Heriadi, Arie Wongso, Samuel
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
terima kasih atas semangat dan bantuan yang sangat berarti sehingga akhirnya skripsi ini dapat terselesaikan. Dalam penulisan skripsi ini, pastilah masih banyak kekurangan dan hal yang perlu diperbaiki. Oleh karena itu saran dan kritik dari pembaca yang sekiranya dapat membangun sangat penulis harapkan.
Akhir kata, semoga penulisan skripsi ini berguna untuk menambah wawasan ataupun menjadi referensi bagi para pembaca sekalian khususnya pada mahasiswa Teknik Informatika.
Yogyakarta, 19 Desember 2011 Penulis
DAFTAR ISI
LEMBAR JUDUL....................................................................................................i HALAMAN PERSETUJUAN PEMBIMBING.....................................................iii HALAMAN MOTTO..............................................................................................v PERNYATAAN KEASLIAN KARYA.................................................................vi PERNYATAAN PERSETUJUAN PUBLIKASI KARYA...................................vii
1.1 Latar Belakang Masalah..............................................................................1
BAB I PENDAHULUAN........................................................................................1
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
DAFTAR GAMBAR
Gambar 3.1 Diagram Use Case Admin ............................................................. 48Gambar 3.2 Diagram Use Case Peserta ............................................................ 54Gambar 3.3 Diagram Konteks........................................................................... 57Gambar 3.4 Diagram Berjenjang user Peserta .................................................. 58Gambar 3.5 Diagram Berjenjang user Admin................................................... 59Gambar 3.6 DFD Level 1 untuk user peserta .................................................... 60Gambar 3.7 DFD Level 1 untuk user administrator .......................................... 61Gambar 3.8 DFD Level 2 untuk user administrator .......................................... 62Gambar 3.8.1 Lanjutan DFD Level 2 untuk user .............................................. 63Gambar 3.8.2 Lanjutan DFD Level 2 untuk administrator ............................... 64Gambar 3.9 Entity Relational Diagram ............................................................. 65Gambar 3.10 Struktur Menu Administrator ...................................................... 74Gambar 3.11 Struktur Menu Peserta ................................................................ 75Gambar 3.12 Rancangan antarmuka login ....................................................... 76Gambar 3.12.1 Rancangan antarmuka login .................................................... 76Gambar 3.13 Rancangan antarmuka home ...................................................... 77Gambar 3.14 Rancangan antarmuka hasil tes online ....................................... 77Gambar 3.15 Rancangan antarmuka detail ....................................................... 78Gambar 3.16 Rancangan antarmuka cetak ........................................................ 79Gambar 3.17 Rancangan antarmuka edit user admin........................................ 79Gambar 3.18 Rancangan antarmuka edit user admininistrator ........................ 80Gambar 3.19 Rancangan antarmuka edit petunjuk .......................................... 80Gambar 3.20 Rancangan antarmuka edit petunjuk ........................................... 81Gambar 3.21 Rancangan antarmuka manajemen komentar .............................. 81Gambar 3.21.1 Rancangan antarmuka detail komentar .................................... 82Gambar 3.22 Rancangan antarmuka kata jelek ................................................. 82Gambar 3.23 Rancangan antarmuka tambah kata jelek .................................... 83Gambar 3.24 Rancangan antarmuka soal dan jawaban ..................................... 83Gambar 3.25 Rancangan antarmuka tambah soal dan jawaban ........................ 84Gambar 3.26 Rancangan antarmuka pendaftaran ............................................ 84Gambar 3.27 Rancangan antarmuka petunjuk ................................................. 85Gambar 3.28 Rancangan antarmuka Soal ........................................................ 86PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Gambar 3.29.1 Rancangan antarmuka komentar .............................................. 87Gambar 4.1 Halaman pendaftaran..................................................................... 95Gambar 4.2 Halaman Petunjuk Pengerjaan Soal .............................................. 96Gambar 4.3 Halaman Soal ................................................................................ 97Gambar 4.5 Halaman Login Administrator ...................................................... 99Gambar 4.6 Halaman Home Administrator ...................................................... 99Gambar 4.7 Halaman Hasil tes online ............................................................ 100Gambar 4.8 Halaman Detail tes online ........................................................... 101Gambar 4.9 Halaman Cetak Tes online .......................................................... 102Gambar 4.10 Hapus hasil tes online ................................................................ 102Gambar 4.11 Halaman Edit Administrator ..................................................... 103Gambar 4.12 Halaman Edit petunjuk pengerjaan soal .................................... 104Gambar 4.13 Halaman Manajemen Komentar................................................ 104Gambar 4.14 Halaman Detail komentar.......................................................... 105Gambar 4.15 Halaman Kata Jelek ................................................................... 105Gambar 4.16 Halaman Tambah Kata Jelek..................................................... 106Gambar 4.17 Halaman Edit Kata Jelek ........................................................... 106Gambar 4.18 Hapus Kata Jelek ....................................................................... 107Gambar 4.19 Halaman Soal dan Jawaban ....................................................... 107Gambar 4.20 Halaman Tambah Soal dan Jawaban ......................................... 108Gambar 4.21 Halaman Edit Soal dan Jawaban ............................................... 109Gambar 4.22 Hapus soal dan Jawaban ............................................................ 109Gambar 4.23 Penambahan captcha image halaman login .............................. 112Gambar 4.24 Penambahan captcha image halaman komentar ....................... 114Gambar 4.25 Validasi input ajax halaman komentar ...................................... 115Gambar 4.26 Validasi input ajax halaman pendaftaran .................................. 118Gambar 4.27 Pesan error jika terdapat indikasi input berupa skrip ................ 119Gambar 4.28 Tampilan halaman soal dan jawaban tanpa javascript .............. 121Gambar 4.29 Pesan jika sudah melebihi waktu yang ditentukan. ................... 122Gambar 4.30 Gambar detail hasil tes online jika tidak menjawab .................. 124Gambar 4.31 Gambar sensor kata jelek .......................................................... 126PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
DAFTAR TABEL
Tabel 3.1 Analisis Fungsional user Peserta....................................................... 44Tabel 3.2 Analisis Fungsional user Administrator ............................................ 45Tabel 3.3 Tabel skenario use case login ........................................................... 49Tabel 3.4 Tabel skenario manajemen hasil tes online ....................................... 49Tabel 3.5 Tabel skenario edit user administrator .............................................. 50Tabel 3.6 Tabel skenario edit petunjuk pengerjaan tes online .......................... 50Tabel 3.7 Tabel skenario manajemen komentar ............................................... 51Tabel 3.8 Tabel skenario manajemen kata jelek ............................................... 51Tabel 3.9 Tabel skenario manajemen soal dan jawaban ................................... 52Tabel 3.10 Tabel skenario logout ...................................................................... 53Tabel 3.11 Tabel skenario pendaftaran ............................................................. 55Tabel 3.12 Tabel skenario petunjuk .................................................................. 55Tabel 3.13 Tabel skenario soal dan jawaban .................................................... 55Tabel 3.14 Tabel skenario komentar ................................................................. 56Tabel 3.15 Keterangan Diagram konteks .......................................................... 57Tabel 3.16 Tabel hasilsementara ....................................................................... 66Tabel 3.17 Tabel Jawaban ................................................................................. 67Tabel 3.18 Tabel Modul .................................................................................... 68Tabel 3.19 Tabel petunjuk................................................................................. 69Tabel 3.20 Tabel Soal ....................................................................................... 70Tabel 3.21 Tabel Ujian ...................................................................................... 70Tabel 3.22 Tabel User ....................................................................................... 71Tabel 3.23 Tabel Katajelek ............................................................................... 72Tabel 3.24 Tabel Komentar............................................................................... 72PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
DAFTAR SKRIP
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
BAB I PENDAHULUAN
1.1 Latar Belakang Masalah
Setiap siswa yang sudah lulus dari bangku SMA berharap dapat melanjutkan jenjang pendidikannya lebih tinggi, salah satunya dengan kuliah di Universitas. Untuk dapat kuliah di Universitas, ada beberapa tahapan yang harus dilalui, diantaranya adalah mengikuti prosedur birokrasi yang ada serta lulus tes masuk yang diadakan oleh Universitas yang dimaksud.
Tes masuk universitas dapat dilaksanakan dengan 2 cara, yaitu diadakan di universitas dan/atau universitas mengadakan kerja sama dengan sekolah-sekolah. Kedua cara ini mempunyai permasalahannya sendiri.
Permasalahan pertama, jika tes diadakan di universitas maka siswa harus datang ke universitas tersebut dan akan mengeluarkan biaya yang tidak sedikit. Biaya dan waktu yang terpakai menjadi tidak sebanding jika siswa tidak lulus tes masuk.
Permasalahan kedua, jika universitas mengadakan kerja sama dengan sekolah-sekolah, maka pihak universitas harus mengirimkan tim penguji untuk mengadakan tes di tempat tersebut. Hal ini juga membutuhkan biaya yang tidak sedikit, dengan resiko peserta tes masuk tidak banyak.
Berdasarkan permasalahan diatas, penulis menilai bahwa masalah utamanya adalah biaya dan waktu. Untuk menghemat kedua hal tersebut,
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
penulis akan memanfaatkan teknologi informasi saat ini. Teknologi informasi dinilai dapat mengelola data lebih cepat dan dapat menghemat pengeluaran. Banyaknya perusahaan yang menggunakan media internet sebagai sarana promosi dan iklan merupakan salah satu contoh pemanfaatan teknologi informasi. Dengan menggunakan media internet, promosi dan iklan menjadi lebih cepat, serta biaya yang dikeluarkan lebih sedikit bahkan gratis.
Dengan perkembangan teknologi informasi tersebut penulis ingin mengembangkan sebuah metode ujian tes masuk yang baru, yaitu ujian tes online.
Sebelum mengembangkan tes masuk online penulis mengadakan survei tentang perbandingan tes online dan tes tertulis kepada mahasiswa Universitas Sanata Dharma, khususnya di kampus II Mrican dan kampus III Paingan. Berdasarkan survey tersebut, penulis mendapatkan hasil bahwa mahasiswa Sanata Dharma lebih menyukai tes masuk online dari pada tes masuk tertulis.
Namun, segala hal yang online dan terhubung dengan internet memiliki resiko. Resiko itu sudah terjadi di beberapa kasus, seperti Kasus Pembobolan situs POLRI(Rifki, 2011), dan kasus pembobolan situs KPU(Wicak, 2005) oleh Dani Firmansyah.
Oleh karena itu, selain akan mengembangkan metode ujian tes masuk, penulis juga akan menerapkan pengamanan terhadap metode ujian tes masuk
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
1.2 Rumusan Masalah
Bagaimana membangun dan mengamanankan sebuah aplikasi Tes Online berbasis web dari fase pengembangannya.
1.3 Tujuan Penelitian
Tujuan penelitian ini adalah membangun sebuah aplikasi tes online berbasis web yang lebih tahan terhadap serangan keamanan.
1.4 Batasan Masalah
Batasan masalah yang ada pada penelitian ini adalah: 1.
Penerapan pengamanan dari serangan SQL Injection, Cross Site
Scripting(XSS), Brute Force, dan Spam.
2. Tugas akhir ini tidak membahas otentifikasi peserta ujian.
3. Tugas akhir ini tidak membahas tentang level user ke basis data.
4. Tugas akhir ini tidak membahas keamanan tempat hosting yang akan digunakan.
1.5 Metodologi Penelitian
Dalam penelitian ini sistem akan dikembangkan dengan menggunakan GRAPPLE(Guidelines for Rapid Application Engineering), yang terdiri dari 5 tahapan, yaitu (Schmuller, 1999) : 1.
Perencanaan kebutuhan (Requirement gathering) 2. Analisis (Analysis) 3. Perancangan (Design)
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
5. Penyebaran (Deployment)
Untuk tahap pengamanannya, penulis akan menerapkannya pada fase pengembangan(Development).
1.6 Sistematika Penulisan
Sistematika penulisan yang digunakan dalam penyusunan laporan skripsi adalah sebagai berikut:
BAB I PENDAHULUAN Bab ini berisi latar belakang masalah, rumusan masalah, batasan
masalah, tujuan, manfaat, metodologi penelitian dan sistematika penulisan.
BAB II LANDASAN TEORI Bab ini berisi teori-teori yang mengenai : SSL(Secure Socket Layer), Celah keamanan pada aplikasi web, Basis Data, Internet, Jaringan Komputer, Apache, PHP, MySQL, GRAPPLE, Unified Modeling Language
(UML), SQL Injection, Cross Site Scripting(XSS), Brute Force, dan Spam.
BAB III ANALISIS DAN PERANCANGAN SISTEM Bab ini berisi tentang proses pemodelan aplikasi dengan empat
diagram yaitu diagram use case, diagram skema sistem, perancangan database, dan perancangan antarmuka program.
BAB IV IMPLEMENTASI SISTEM
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Bab ini berisi tentang implementasi dari hasil perancangan sistem, mencakup antarmuka perangkat lunak yang dibuat. Selain itu juga berisi script program dari sistem yang dibuat.
BAB V KESIMPULAN Bab ini berisi tentang kesimpulan yang diperoleh berdasarkan
analisis terhadap program aplikasi yang dibuat dan saran-saran bagi pengembangan program aplikasi ini.
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
BAB II DASAR TEORI
2.1 Jenis-jenis serangan
2.1.1 Cross Site Scripting(XSS)
Cross site scripting terjadi ketika seseorang membuat aplikasi web melalui script ke user lain. Hal ini dilakukan oleh penyerang dengan menambahkan content (seperti JavaScript, ActiveX, Flash) pada request yang dapat membuat HTML output yang dapat dilihat oleh user lain.
Apabila ada user lain yang mengakses content tersebut, browser tidak mengetahui bahwa halaman tersebut tidak dapat dipercaya.
Cara yang bisa digunakan untuk mencegah serangan cross site scripting adalah dengan melakukan validasi data masuk dari user request (seperti header, cookie, user parameter). Cara negative approach tidak digunakan : mencoba untuk memfilter active content merupakan cara yang tidak efektif.
2.1.2 SQL Injection
Salah satu kelemahan yang populer adalah injection flaw, dimana hacker dapat mengirimkan atau menginject request ke operating system atau ke external sumber seperti database.
Salah satu bentuknya adalah SQL injection. Berikut ini salah satu contoh dari SQL injection :
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
http://someServer/someApp/someAction?searchString=jedi URL diatas akan memproses pencarian dengan kata kunci 'jedi'.
Implementasi dimana tidak ada validasi input adalah seperti SQL code berikut ini : select * from someTable where someField='value' dimana value adalah nilai dari parameter searchString yang ada pada
HTTP request. Jika hacker melakukan input dari URL seperti ini : http://someServer/someApp/someAction?searchString=jedi'%20
AND%20true; %20DROP%20DATABASE;'
SQL query yang terbentuk adalah seperti ini : select * from someTable where someField='jedi' AND true; DROP DATABASE;'
Statement awal pasti akan diterima dimana terdapat klausa AND TRUE. Dan statement selanjutnya yaitu DROP DATABASE juga akan diekseskusi yang akan memberikan kerusakan pada aplikasi.
Serangan ini bisa mungkin terjadi karena input yang tidak divalidasi. Ada dua cara yang bisa dilakukan untuk mencegah serangan ini yaitu:
1. Daripada menggunakan statement SELECT, INSERT, UPDATE dan DELETE statement, bisa dibuat fungsi yang melakukan hal serupa.
Dengan menggunakan fungsi diharapkan ada pengamanan terhadap
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
parameter. Selain itu dengan adanya fungsi, parameter yang masuk harus sama dengan tipe data dari parameter yang dideklarasikan.
2. Hak akses dalam aplikasi juga harus dibatasi. Contohnya, jika aplikasi hanya bertujuan untuk melihat data, tidak perlu diberikan hak akses untuk melakukan INSERT, UPDATE atau DELETE. Jangan menggunakan account admin pada aplikasi web untuk mengakases database. Hal ini juga dapat meminimailkan serangan dari hacker.
2.1.3 SPAM
Pengertian Spam menurut wikipedia adalah system pesan elektronik yang mengganggu karena tidak diinginkan (termasuk kebanyakan media massa dan system pengiriman digital) yang terkirim secara massal tanpa diskriminasi.
Namun pengertian spam secara harfiah adalah sampah, Atau sesuatu yang tidak kita inginkan berada di tempat kita (blog, email, situs, dll). Pengertian komentar spam adalah komentar mengganggu yang dikirim ke banyak blog atau aplikasi berbasis web sejenisnya. Pengertian
spammer adalah orang yang melakukan atau mengirimkan komentar spam.
Untuk dapat dikategorikan menjadi spam, sebuah komentar harus yang tidak diminta dan termasuk bulk.
1. Tidak diminta berarti bahwa kita tidak secara eksplisit meminta untuk menerima komentar yang tidak berhubungan dengan artikel di blog kita.
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
2. Bulk berarti bahwa komentar tersebut sama atau hampir sama dengan yang dikirim ke banyak blog lain.
Tujuan SPAM
Sebagai media publikasi dan promosi produk-produk perusahaan si pengirim email sampah. Sebagai contoh sebuah perusahaan farmasi ingin menjual obat mereka, jika melalui advertising/periklanan ini tentu akan memakan biaya, dengan menggunakan mail robot maka ia akan dapat mengirim email sebanyak-banyaknya ke seluruh pemilik email yang ada di dunia ini.
Bom email, jika anda memiliki musuh di internet atau saingan perusahaan anda biasanya hal ini akan dilakukan agar anda repot menerima email yang tidak anda perlukan dalam jumlah besar dan terus menerus.
Media pishing, hal ini dilakukan untuk menggaet sebanyak-banyak orang yang akan terjebak dengan link trap (perangkap link), sehingga anda mengira anda akan berada di situs yang sebenarnya, padahal anda sudah dalam perangkapnya.
Media penyebaran virus & worm, sudah merupakan karakter dari virus dan worm untuk menyebarkan filenya secara otomatis ke seluruh pemilik email yang ada di dunia ini, dengan tujuan akan mendapatkan korban yang sebanyak-banyaknya.
Dalam kehdupan sehari-hari di dunia offline pun kita sering mendapatkan perlakuan spamming ini. Seperti contoh misalnya seseorang
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
yang mempromosikan sesuatu dengan cara menyebarkan brosur, laflet atau yang lainnya dalam jumlah banyak di halaman rumah, di sweeper kaca mobil dan lain sebagainya. Ini saya sebut spam karena mereka tidak meminta ijin terlebih dahulu apakah kita mau diberi brosur atau tidak. Lain halnya jika mereka menawarkan terlebih dahulu brosur tersebut dan menanyakan apakah mau menerima brosur atau tidak.
Masalah yang bisa ditimbulkan oleh komentar spam tidak hanya untuk menghasilkan lalu lintas ke situs mereka sendiri. Komentar spam pada blog kita umumnya tidak menyenangkan bagi siapa pun. Biasanya berisi iklan menjengkelkan dan mengarahkan pada situs yang berkualitas rendah atau situs berbahaya yang mengandung penipuan atau malware. Dan kita sebagai webmaster bisa di ban oleh hosting karena konten yang melanggar panduan kualitas mesin pencari, dan dapat membahayakan situs kita di hasil pencarian.
Spam
bisa menjadi tidak terkendali karena karena sebagian besar
spam tidak dibuat secara manual oleh spammer manusia. Spammer
umumnya menggunakan program komputer yang disebut, autobot, yang secara otomatis mengisi formulir Web untuk menciptakan spam, dan ini yang membuat spam bot jauh lebih cepat daripada kemampuan kita dalam melakukan pengecekan.
2.1.4 Brute Force
Algoritma brute force adalah algoritma yang memecahkan masalah dengan sangat sederhana, langsung, dan dengan cara yang jelas/lempang.
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Penyelesaian permasalahan password cracking dengan menggunakan algoritma brute force akan menempatkan dan mencari semua kemungkinan password dengan masukan karakter dan panjang password tertentu tentunya dengan banyak sekali kombinasi password.
Algoritma brute force adalah algoritma yang lempang atau apa adanya. Pengguna hanya tinggal mendefinisikan karakter set yang diinginkan dan berapa ukuran dari passwordnya. Tiap kemungkinan password akan di generate oleh algoritma ini.
Definisi Password Cracking
Sebuah password dapat dibongkar dengan menggunakan program yang disebut sebagai password cracker. Program password cracker adalah program yang mencoba membuka sebuah password yang telah terenkripsi dengan menggunakan sebuah algoritma tertentu dengan cara mencoba semua kemungkinan. Teknik ini sangatlah sederhana, tapi efektivitasnya luar biasa, dan tidak ada satu pun sistem yang aman dari serangan ini, meski teknik ini memakan waktu yang sangat lama, khususnya untuk password yang rumit. Namun ini tidak berarti bahwa password cracker membutuhkan decrypt. Pada prakteknya, mereka kebayakan tidak melakukan itu. Umumnya, kita tidak dapat melakukan decrypt password- password yang sudah terenkripsi dengan algoritma yang kuat.
Proses-proses enkripsi modern kebanyakan hanya memberikan satu jalan, di mana tidak ada proses pengembalian enkripsi. Namun, anda menggunakan tool-tool simulasi yang mempekerjakan algoritma yang
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
sama yang digunakan untuk mengenkripsi password orisinal. Tool-tool tersebut membentuk analisa komparatif. Program password cracker tidak lain adalah mesin-mesin ulet. Ia akan mencoba kata demi kata dalam kecepatan tinggi. Mereka menganut "Asas Keberuntungan", dengan harapan bahwa pada kesempatan tertentu mereka akan menemukan kata atau kalimat yang cocok. Teori ini mungkin tepat mengena pada anda yang terbiasa membuat password asal-asalan. Dan memang pada kenyataannya, password-password yang baik sulit untuk ditembus oleh program password cracker.
Definisi Brute Force Attack
Serangan brute-force adalah sebuah teknik serangan terhadap sebuah sistem keamanan computer yang menggunakan percobaan terhadap semua kunci yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia.
Sebagai contoh, untuk menyelesaikan sebuah persamaan kuadrat seperti x²+7x-44=0, di mana x adalah sebuah integer, dengan menggunakan teknik serangan brute force, penggunanya hanya dituntut untuk membuat program yang mencoba semua nilai integer yang mungkin untuk persamaan tersebut hingga nilai x sebagai jawabannya muncul. Istilah brute force sendiri dipopulerkan oleh Kenneth Thompson, dengan mottonya: "When in doubt, use brute-force" (jika ragu, gunakan brute- force).
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Secara sederhana, menebak password dengan mencoba semua kombinasi karakter yang mungkin. Brute force attack digunakan untuk menjebol akses ke suatu host (server/workstation/network) atau kepada data yang terenkripsi. Metode ini dipakai para cracker untuk mendapatkan account secara tidak sah, dan sangat berguna untuk memecahkan enkripsi. Enkripsi macam apapun, seperti Blowfish, AES, DES, Triple DES dsb secara teoritis dapat dipecahkan dengan brute-force attack. Pemakaian password sembarangan, memakai password yang cuma sepanjang 3 karakter, menggunakan kata kunci yang mudah ditebak, menggunakan password yang sama, menggunakan nama, memakai nomor telepon, sudah pasti sangat tidak aman. Namun brute force attack bisa saja memakan waktu bahkan sampai berbulan-bulan atau tahun bergantung dari bagaimana rumit passwordnya.
Brute Force attack tidak serumit dan low-tech seperti algoritma hacking yang berkembang sekarang. Seorang penyerang hanya cukup menebak anama dan kombinasi password sampai dia menemukan yang cocok. Mungkin terlihat bahwa brute force attack atau dictionary attack tidak mungkin berhasil. Namun yang mengejutkan, kemungkinan berhasil brute force attack menjadi membaik ketika site yang ingin diretasi tidak dikonfigurasikan dengan baik. Beberapa faktor yang menjadi keuntungan seorang hacker, bisanya disebabkan oleh kemalasan manusia itu sendiri, Hal-hal yang perlu diperhatikan dalam menggunakan metode brute force
attack
:
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
a.
Asumsikan bahwa password diketik dalam huruf kecil (lower case).
Pada kasus ini, waktu yang dibutuhkan akan cenderung sama tetapi jika password mengandung huruf kapital (upper case) cara ini tidak akan berhasil.
b.
Coba semua kemungkinan.
Tujuh karakter lower case membutuhkan sekitar 4 jam untuk berhasil mendapatkan password tetapi jika dicoba semua kemungkinan kombinasi antara karakter upper case dan lower case akan membutuhkan waktu sekitar 23 hari.
c.
Metode ketiga adalah trade-off.
Hanya kombinasi-kombinasi yang mungkin yang dimasukkan dalam pencarian, sebagai contoh “password”, “PASSWORD” dan “Password”. Kombinasi rumit seperti “pAssWOrD” tidak dimasukkan dalam proses. Dalam kasus ini, lambatnya proses dapat tertangani tetapi ada kemungkinan password tidak ditemukan.
Metode Brute Force Attact secara umum
Brute Force attack ada sebuah metode untuk menjebol kode rahasia (yaitu, mendekripsi sebuah teks yang telah terenkripsi) dengan mencoba semua kemungkinan kunci yang ada. Feasibility dari sebuah brute force attack tergantung dari panjangnya cipher yang ingin dipecahkan , dan jumlah komputasi yang tersedia untuk penyerang. Salah satu contohnya bernama Cain's Brute Force Password Cracker mencoba semua kombinasi yang mungkin dari karakter yang telah didefinisikan sebelum atau set
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
karakter yang kustom melawan sebuah password yang telah terenkripsi di brute force dialog. Kuncinya adalah mencoba semua kemungkinan password dengan formula seperti berikut.
KS = L(m) + L(m+1) + L(m+2) + ........ + L(M)
L = jumlah karakter yang kita ingin definsikan m = panjang minimum dari kunci M = panjang maksimal dari kunci
Contohnya saat kita ingin meretas sebuah LanManager paswords (LM) dengan karakter set "ABCDEFGHIJKLMNOPQRSTUVWXYZ" dengan jumlah 26 karakter, maka brute fore cracker harus mencoba KS = 26^1 + 26^2 + 26^3 + ...... + 26^7 = 8353082582 kunci yang berbeda. Jika ingin meretas password yang sama denganset karakter set "ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789!@#$%^&*()- _+=~`[]{}|\:;"'<>,.?/", jumlah kunci akan dihasilkan akan naik menjadi 6823331935124. Brute Force attack melakukan perbandingan string matching antara pattern dengan text per karakter dengan pseudocode berikut :
do if (text letter == pattern letter)
compare next letter of pattern to next letter of text
else
move pattern down text by one letter
while (entire pattern found or end of text)
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Exhaustive key search cracking mungkin saja memerlukan waktu
yang sangat panjang untuk berhasil, tetapi jika character setnya sidah benar sesaui password, maka tinggal hanyalah jadi masalah waktu.
Algoritma Simetrik
Symmetric cipher dengan kunci 64 bit atau tidak terlalu rentan terhadap brute force attack. DES, blok cipher digunakan secara luas yang menggunakan 56-bit kunci, dirusak oleh proyek EFF (Electronic Frontier Foundation) pada tahun 1998, dan pesan RC5 kunci 64- bit baru-baru ini sudah berhasil dipecahkan. Banyak orang berpikir bahwa organisasi- organisasi yang didanai dengan baik, terutama lembaga SIGINT(Signals and Intellegence) pemerintah seperti US NSA(National Security Agency), berhasil dapat menyerang sebuah sandi kunci simetris dengan kunci 64-bit dengan menggunakan Brute Force Attack. Untuk aplikasi yang memerlukan keamanan jangka panjang, 128 bit, pada tahun 2004, saat ini sedang dipikirkan panjang kunci yang cukup dan kokoh untuk sistem baru menggunakan algoritma kunci simetrik. NIST(National Institute of Standards) telah merekomendasikan bahwa 80-bit desain akan berakhir pada tahun 2015. Bahkan dalam situasi adalah 128-bit atau kunci yang lebih besar digunakan dengan cipher yang dirancang dengan baik seperti AES, Brute Force dapat dilakukan untuk meretas jika kunci tidak dihasilkan dengan benar.
Banyak keamanan produk komersial dan shareware yang bangga mengiklankan "keamanan 128-bit" kunci berasal dari sebuah kata sandi
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
yang dipilih pengguna atau passphrase. Karena pengguna jarang menggunakan password dengan hampir 128 bit entropi, sistem seperti seringkali cukup mudah untuk dibobol dalam prakteknya. Beberapa produk keamanan bahkan membatasi jumlah masukan karakter maksimum pengguna sampai ke panjang yang terlalu kecil untuk sebuah passphrase. Berikut adalah beberapa contoh password atau passphrase yang dihasilkan dengan metode yang memberikan keamanan 128-bit: password 28-huruf acak dengan semua huruf tunggal kasus: "sqrnf oikas ocmpe vflte krbqa jwf" 20 karakter acak password dengan huruf campurankasus, angka dan karakter khusus: ". iTb \ /&/-} itu / P; ^ +22 q" 10 acak-dipilih-kata Diceware(hardware number generator) dengan kata sandi: " serf bare gd jab weld hum jf sheet gallop neve"
Hampir tidak ada yang menggunakan password yang sekompleks ini. Salah satu solusinya adalah untuk menerima kekuatan yang lebih rendah. 16 huruf atau 6 kata diceware akan memberikan keamanan yang 75-bit, cukup untuk melindungi terhadap semua semua kecuali kriptoanalisis paling kuat. Solusi lain adalah dengan menggunakan fungsi derivasi kunci (KDF) atau "key stretcher" yang melakukan pekerjaan komputasi yang signifikan dalam mengkonversi password menjadi kunci, membuat penyerang brute force mengulang ini bekerja untuk setiap percobaan kunci.
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
Dalam prakteknya, teknik ini dapat menambah 10 sampai 20 bit kekuatan untuk password, cukup untuk memungkinkan sebuah passphrase yang cukup diingat untuk digunakan, tetapi tidak cukup untuk mengamankan kata sandi yang pendek kebanyakan orang pakai.
Sayangnya, masih sedikit yang menggunakan produk keamanan teknologi KDF. Mungkin solusi terbaik adalah untuk menyimpan kunci yang dihasilkan secara acak dan kekuatan dalam dan bagian internal dilindungi oleh password atau PIN.
Algoritma Asimetrik
Situasi yang berkaitan dengan algoritma kunci asimetrik lebih rumit dan tergantung pada algoritma enkripsi tiap individu. Jadi, panjang kunci saat ini dapat dipecahkan untuk algoritma RSA adalah minimal 512 bit (telah dilakukan secara publik), dan perkembangan penelitian terbaru menunjukkan bahwa 1024 bit bisa dipecahkan dalam waktu dekat untuk jangka menengah. Untuk algoritma kurva eliptik paling asimetris, panjang kunci terbesar saat pecah diyakini agak pendek, mungkin sesedikit 128 bit atau lebih. Sebuah pesan yang dienkripsi dengan bit kunci 109 oleh algoritma enkripsi kurva eliptik yang umum rusak oleh kekerasan pencarian kunci pada awal 2003.
Contoh Program yang menerapkan Brute Force attack Cain and Abel
Cain & Abel adalah alat recovery password untuk Sistem Operasi Microsoft. Hal ini memungkinkan recovery berbagai jenis password
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
dengan mengendus jaringan, cracking password terenkripsi menggunakan Dictionary-Attack, Brute-Force Attack dan serangan kriptanolisis, merekam percakapan VoIP, decoding password teracak, memulihkan kunci jaringan wireless, mengungkap password cache dan menganalisis routing protokol. Program ini tidak memanfaatkan kerentanan perangkat lunak atau bug yang tidak dapat diperbaiki. Ini mencakup beberapa aspek keamanan / kelemahan yang ada dalam protokol standar, metode otentikasi dan mekanisme caching; tujuan utamanya adalah pemulihan password dan kredensial dari berbagai sumber, namun juga kapal beberapa fungsi "non standard" untuk pengguna Microsoft Windows.
Cain & Abel telah dikembangkan dengan harapan akan berguna bagi administrator jaringan, guru, konsultan keamanan / profesional, staf forensik, vendor keamanan perangkat lunak, teser penetrasi professional dan semua orang yang berencana untuk menggunakannya untuk alasan yang etis. Pembuat program ini tidak akan membantu atau mendukung setiap aktivitas illegal dilakukan dengan program ini. Diperingatkan bahwa ada kemungkinan bahwa pemakaian software ini bisa menyebabkan kerusakan dan / atau kehilangan data dan embuat software tidak bertanggung jawab atas kerusakan atau kehilangan data. Versi Cain and Abel terbaru lebih cepat dan berisi banyak fitur baru seperti APR (Arp Poison Routing) yang memungkinkan sniffing di switched LAN. Sniffer dalam versi ini juga dapat menganalisa protocol terenkripsi seperti SSH-1 dan HTTPS, dan berisi filter untuk menangkap berbagai mekanisme
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
otentikasi. Versi baru ini juga memonitor otentikasi routing protokol dan ,kamus dan brute-force cracker untuk semua algoritma hashing umum dan untuk otentikasi spesifik, kalkulator password/hash, serangan kriptanalisis, dekoder password Makalah IF3051 Strategi Algoritma
- – Sem. I Tahun 2010/2011 dan beberapa utilitas tidak begitu umum yang terkait dengan jaringan dan sistem keamanan.
Brutus
Ada puluhan cracker password offline untuk resource yang dilindungi sandi. Cracker tersebut dirancang untuk mencari password yang lemah dan memberitahu administrator bagaimana seaman apa sumber daya itu sebenarnya. Brutus adalah jenis cracker password yang berbeda. Ia bekerja online, mencoba membobol telnet, POP3, FTP, HTTP, RAS atau IMAP dengan hanya mencoba untuk login sebagai pengguna yang sah.
Brutus meniru serangan dari luar seperti pada kenyataannya (tidak seperti cracking password aplikasi lain yang mensimulasikan serangan internal) dan dengan demikian berfungsi sebagai alat keamanan audit berharga.
Brutus dapat berjalan dalam modus single user (mencoba masuk ke akun pengguna tunggal dengan mencoba kombinasi password yang berbeda) atau dengan mencoba daftar kombinasi user / password dari file word. Aplikasi akan memindai host untuk layanan yang dikenal dan dapat dengan mudah dimodifikasi untuk break-in layanan kostumer lain yang membutuhkan logon interaktif dari sebuah username dan password.
Menggunakan Brutus akan mengajarkan Anda banyak tentang sistem,
PLAGIAT MERUPAKAN TINDAKAN TIDAK TERPUJI
karena mensimulasikan serangan nyata. Untuk membuat baik penggunaan simulasi serangan Brutus, seorang administrator harus yang perhatikan apakah usaha break-in akan dicatat, dan apakah timeout dikeluarkan setelah beberapa kali gagal login - ini dapat dengan mudah dilihat pada kemajuan yang dibuat Brutus.
Hydra