Disusun Oleh:
Andri Setiawan
M.Azis Ghozali
Ribut
Samsuri Arif
Banyak metode yang sering digunakan oleh hacker untuk dapat mengetahui username dan password dari sebuah akun (account). Akun yang dimaksud di sini dapat berupa akun apa saja, seperti akun email, akun jejaring sosial, akun messenger,dan lain sebagainya. Namun, akun yang sering dijadikan sasaran para hacker adalah akun email.Adanya pemikiran bahwa akun email menjadi dasar atau acuan untuk memiliki akun lain seperti messenger juga jejaring sosial membuat hackerselalu mengincar username serta password dari akun email.
Salah satu cara yang digunakan hacker untuk mengetahui informasi akun seseorang adalah sniffing. Sniffing atau dalam konteks pencurian password sering disebut password sniffing adalah suatu teknik pencurian password dengan bantuan perangkat lunak untuk mengambil informasi remote login seperti username dan password[Wang, 2009]. Teknik sniffing relatif sulit diketahui user karena penyerangan dilakukan terhadap protokol dan langsung menyadap informasi akun dari server.Seringkali diketahui adanya sniffer setelah password serta informasi akun lainnya telah tercuri (Anonim, 2005). Password sniffin/ disebut juga Eavesdropping merupakan salah satumetode pencurian password yang membutuhkan perangkat lunak untuk membantu sniffer menyadap informasi login user yang dituju [Brud, 2009]. Ada beberapa program yang disebut packet sniffer yang sering digunakan untuk melakukan pencurian password.Misalnya TCPdump, WireShark, atau Cain & Abel packet sniffer. Pada awalnya program-program sniffer seperti ini digunakan dengan tujuan yang positif, yaitu untuk
mempertahankan jaringan dan sistem agar dapat bekerja normal. Jaringan sniffers digambarkan seperti terlihat pada Gambar 1. Normalnya, snifferdigunakan sebagai asisten manajemen jaringan untuk memonitor dan sebagai fitur analisis yang dapat membantu memecahkan masalah jaringan,mendeteksi intrusi, kontrol atau pengawasan lalu lintas jaringan konten. Tetapi, fitur tersebut juga dapat digunakan oleh hacker sebagai alat mengintai untuk masuk ke komputer lain (Anonim, 2010).
Namun, seiring perkembangan teknologi, perangkat lunak seperti ini mulai dikembangkan untuk kegunaan yang negatif, yaitu untuk mengambil data dan informasi rahasia user yang tidak terenkripsi selama berlalu-lalang dalam jaringan. Selain itu, beberapa penggunaan negatif sniffer yang merugikan untuk keamanan jaringan antara lain:
a. Penangkapan sandi, yang merupakan alasan
utama untuk sebagian besar penggunaan
alat sniffing secara ilegal
b. Menangkap informasi transaksi khusus dan
bersifat pribadi, seperti username, kredit
D, rekening, dan password
c. Merekam email atau pesan instan dan
melanjutkan isinya
d. Beberapa sniffers bahkan dapat mengubah
informasi target sistem komputer dan
menyebabkan kerusakan
e. Merusak keamanan jaringan untuk
mendapatkan otoritas akses yang lebih
tinggi.
Untuk menanggulangi atau mencegah penyerangan sniffer terhadap suatu jaringan, ada
beberapa cara yang bisa ditempuh, yaitu: (Anonim, 2010)
1. Penggunaan switch sebagai pengganti Hubdapat menon-aktifkan program sniffer.
2. Enkripsi data dapat mengurangi efek snifferterhadap informasi pribadi
3. One-Time Password untuk mengecoh sniffer mengambil informasi yang tidak signifikan
4. Menolak modus promiscuous agar program sniffer tidak dapat dijalankan.
Gambar 1. Network Sniffing (Wang, 2009)
Adanya teknik-teknik pencurian password dan informasi rahasia akun tentu saja eresahkan bagi pemilik akun. Dengan adanya aksi-aksi hackerseperti ini tentu dibutuhkan pula upaya pencegahanagar tidak ada satu informasipun yang dapat diketahui oleh pihak-pihak yang tidak ber-kepentingan, sehingga akun yang dimiliki akan aman terjagakerahasiaannya.
Pada penelitian ini kami mengusulkan metode pencegahan sniffing dengan enggunakan teknik One-Time Password dan disisipi teknik enkripsi yang mengadopsi teknik Jefferson wheel.
METODE PENCEGAHAN SNIFFING
Metode pencegahan sniffing menggunakan cara One-Time Password yang telah dikembangkan dengan nama One-Time Password Authentication (OTPA). Teknik One-Time Password bertujuan untuk mengecoh sniffer mengambil informasi yang
sebenarnya. Kemudian metode ini disisipkan teknik enkripsi mengadopsi teknik Jefferson wheel.untuk mengubah data password yang sebenarnya menjadi data yang tidak dimengerti.
Metode ini diilustrasikan seperti pada Gambar 2.
2.1. One-Time Password
One-Time Password (OTP) adalah sebuah password yang hanya berlaku untuk sesi login
tunggal atau transaksi tunggal (Wang, 2009). Secara umum, algoritma dari OTP dibuat secara
random. Namun terdapat tiga pendekatan utama dalam proses generate OTP, yaitu: (Wang, 2009)
a. Berdasarkan “time-synchronization” antara autentikasi server-client yang menyediakan
password (OTP akan bersifat valid bila dalam peride waktu yang singkat).
b. Berdasarkan “mathematical lgorithm”yang memungkinkan generalisasi suatu
password baru berdasarkan assword ,belumnya.
c. Berdasarkan “mathematical algorithm”, password baru didasari oleh suatu
tantangan (misalnya : penetapan nilai suatu password secara random akan ditentukan
oleh server atau detail transaksinya
Berdasarkan teori ini, telah dibangun sebuah engembangan rotokol autentikasi yang menggunakan OTP, disebut OTPA (One-Time Password Authentication) (Yulianti, 2010). Protokol
OTPA akan dijelaskan lebih lanjut pada bagian implementasi.
2.2. One-Time Password Authentication
Protokol One-Time Password Authentication (OTPA) adalah sebuah protokol autentikasi dengan
menggunakan teknik one-time password untuk pengamanan pengiriman informasi login user
(Yulianti, 2008).
2.3. Enkripsi Adopsi Jefferson Wheel
Jefferson Wheel adalah alat yang diciptakan
Thomas Jefferson untuk melakukan enkripsi dan
dekripsi pada masa revolusi Amerika (Brud, 2009).
Pada masa itu, teknik enkripsi Jefferson digunakan
untuk melindungi kerahasiaan pesan diplomatis
kenegaraan Amerika.
Cipher Jefferson melakukan enkripsi dengan
menggunakan prinsip substitusi abjad tunggal,
dimana satu karakter plaintext digantikan dengan
satu karakter lain menggunakan Disk Jefferson
(Gambar 3). Hal ini dilakukan sampai semua
karakter pada plaintext sudah berganti menjadi
karakter-karakter yang terlihat acak dan tidak
beraturan, disebut ciphertext. Proses inilah yang
selanjutnya disebut sebagai satu tahap enkripsi.
Langkah-langkah enkripsi dan dekripsi Jefferson wheel dapat dilihat pada algoritma yang
diilustrasikan pada gambar
4. Pada tahun 1923-1942, enkripsi Jefferson dikembangkan oleh US Army dalam bentuk mesin enkripsi M-94. Penggunaan teknik enkripsi ini oleh pihak tentara Amerika Serikat menjadi bukti bahwa enkripsi Jefferson merupakan enkripsi yang powerful. Hal ini juga dikarenakan teknik dekripsinya yang memerlukan pencarian secara exhaustive search sehingga tidak akan dapat
terpecahkan dengan mudah begitu saja.
Pada tahun 1923-1942, enkripsi Jefferson dikembangkan oleh US Army dalam bentuk mesin
enkripsi M-94. Penggunaan teknik enkripsi ini oleh pihak tentara Amerika Serikat menjadi bukti bahwa
enkripsi Jefferson merupakan enkripsi yang powerful. Hal ini juga dikarenakan teknik dekripsinya yang memerlukan pencarian secara exhaustive search sehingga tidak akan dapat
terpecahkan dengan mudah begitu saja
Andri Setiawan
M.Azis Ghozali
Ribut
Samsuri Arif
Banyak metode yang sering digunakan oleh hacker untuk dapat mengetahui username dan password dari sebuah akun (account). Akun yang dimaksud di sini dapat berupa akun apa saja, seperti akun email, akun jejaring sosial, akun messenger,dan lain sebagainya. Namun, akun yang sering dijadikan sasaran para hacker adalah akun email.Adanya pemikiran bahwa akun email menjadi dasar atau acuan untuk memiliki akun lain seperti messenger juga jejaring sosial membuat hackerselalu mengincar username serta password dari akun email.
Salah satu cara yang digunakan hacker untuk mengetahui informasi akun seseorang adalah sniffing. Sniffing atau dalam konteks pencurian password sering disebut password sniffing adalah suatu teknik pencurian password dengan bantuan perangkat lunak untuk mengambil informasi remote login seperti username dan password[Wang, 2009]. Teknik sniffing relatif sulit diketahui user karena penyerangan dilakukan terhadap protokol dan langsung menyadap informasi akun dari server.Seringkali diketahui adanya sniffer setelah password serta informasi akun lainnya telah tercuri (Anonim, 2005). Password sniffin/ disebut juga Eavesdropping merupakan salah satumetode pencurian password yang membutuhkan perangkat lunak untuk membantu sniffer menyadap informasi login user yang dituju [Brud, 2009]. Ada beberapa program yang disebut packet sniffer yang sering digunakan untuk melakukan pencurian password.Misalnya TCPdump, WireShark, atau Cain & Abel packet sniffer. Pada awalnya program-program sniffer seperti ini digunakan dengan tujuan yang positif, yaitu untuk
mempertahankan jaringan dan sistem agar dapat bekerja normal. Jaringan sniffers digambarkan seperti terlihat pada Gambar 1. Normalnya, snifferdigunakan sebagai asisten manajemen jaringan untuk memonitor dan sebagai fitur analisis yang dapat membantu memecahkan masalah jaringan,mendeteksi intrusi, kontrol atau pengawasan lalu lintas jaringan konten. Tetapi, fitur tersebut juga dapat digunakan oleh hacker sebagai alat mengintai untuk masuk ke komputer lain (Anonim, 2010).
Namun, seiring perkembangan teknologi, perangkat lunak seperti ini mulai dikembangkan untuk kegunaan yang negatif, yaitu untuk mengambil data dan informasi rahasia user yang tidak terenkripsi selama berlalu-lalang dalam jaringan. Selain itu, beberapa penggunaan negatif sniffer yang merugikan untuk keamanan jaringan antara lain:
a. Penangkapan sandi, yang merupakan alasan
utama untuk sebagian besar penggunaan
alat sniffing secara ilegal
b. Menangkap informasi transaksi khusus dan
bersifat pribadi, seperti username, kredit
D, rekening, dan password
c. Merekam email atau pesan instan dan
melanjutkan isinya
d. Beberapa sniffers bahkan dapat mengubah
informasi target sistem komputer dan
menyebabkan kerusakan
e. Merusak keamanan jaringan untuk
mendapatkan otoritas akses yang lebih
tinggi.
Untuk menanggulangi atau mencegah penyerangan sniffer terhadap suatu jaringan, ada
beberapa cara yang bisa ditempuh, yaitu: (Anonim, 2010)
1. Penggunaan switch sebagai pengganti Hubdapat menon-aktifkan program sniffer.
2. Enkripsi data dapat mengurangi efek snifferterhadap informasi pribadi
3. One-Time Password untuk mengecoh sniffer mengambil informasi yang tidak signifikan
4. Menolak modus promiscuous agar program sniffer tidak dapat dijalankan.
Gambar 1. Network Sniffing (Wang, 2009)
Adanya teknik-teknik pencurian password dan informasi rahasia akun tentu saja eresahkan bagi pemilik akun. Dengan adanya aksi-aksi hackerseperti ini tentu dibutuhkan pula upaya pencegahanagar tidak ada satu informasipun yang dapat diketahui oleh pihak-pihak yang tidak ber-kepentingan, sehingga akun yang dimiliki akan aman terjagakerahasiaannya.
Pada penelitian ini kami mengusulkan metode pencegahan sniffing dengan enggunakan teknik One-Time Password dan disisipi teknik enkripsi yang mengadopsi teknik Jefferson wheel.
METODE PENCEGAHAN SNIFFING
Metode pencegahan sniffing menggunakan cara One-Time Password yang telah dikembangkan dengan nama One-Time Password Authentication (OTPA). Teknik One-Time Password bertujuan untuk mengecoh sniffer mengambil informasi yang
sebenarnya. Kemudian metode ini disisipkan teknik enkripsi mengadopsi teknik Jefferson wheel.untuk mengubah data password yang sebenarnya menjadi data yang tidak dimengerti.
Metode ini diilustrasikan seperti pada Gambar 2.
2.1. One-Time Password
One-Time Password (OTP) adalah sebuah password yang hanya berlaku untuk sesi login
tunggal atau transaksi tunggal (Wang, 2009). Secara umum, algoritma dari OTP dibuat secara
random. Namun terdapat tiga pendekatan utama dalam proses generate OTP, yaitu: (Wang, 2009)
a. Berdasarkan “time-synchronization” antara autentikasi server-client yang menyediakan
password (OTP akan bersifat valid bila dalam peride waktu yang singkat).
b. Berdasarkan “mathematical lgorithm”yang memungkinkan generalisasi suatu
password baru berdasarkan assword ,belumnya.
c. Berdasarkan “mathematical algorithm”, password baru didasari oleh suatu
tantangan (misalnya : penetapan nilai suatu password secara random akan ditentukan
oleh server atau detail transaksinya
Berdasarkan teori ini, telah dibangun sebuah engembangan rotokol autentikasi yang menggunakan OTP, disebut OTPA (One-Time Password Authentication) (Yulianti, 2010). Protokol
OTPA akan dijelaskan lebih lanjut pada bagian implementasi.
2.2. One-Time Password Authentication
Protokol One-Time Password Authentication (OTPA) adalah sebuah protokol autentikasi dengan
menggunakan teknik one-time password untuk pengamanan pengiriman informasi login user
(Yulianti, 2008).
2.3. Enkripsi Adopsi Jefferson Wheel
Jefferson Wheel adalah alat yang diciptakan
Thomas Jefferson untuk melakukan enkripsi dan
dekripsi pada masa revolusi Amerika (Brud, 2009).
Pada masa itu, teknik enkripsi Jefferson digunakan
untuk melindungi kerahasiaan pesan diplomatis
kenegaraan Amerika.
Cipher Jefferson melakukan enkripsi dengan
menggunakan prinsip substitusi abjad tunggal,
dimana satu karakter plaintext digantikan dengan
satu karakter lain menggunakan Disk Jefferson
(Gambar 3). Hal ini dilakukan sampai semua
karakter pada plaintext sudah berganti menjadi
karakter-karakter yang terlihat acak dan tidak
beraturan, disebut ciphertext. Proses inilah yang
selanjutnya disebut sebagai satu tahap enkripsi.
Langkah-langkah enkripsi dan dekripsi Jefferson wheel dapat dilihat pada algoritma yang
diilustrasikan pada gambar
4. Pada tahun 1923-1942, enkripsi Jefferson dikembangkan oleh US Army dalam bentuk mesin enkripsi M-94. Penggunaan teknik enkripsi ini oleh pihak tentara Amerika Serikat menjadi bukti bahwa enkripsi Jefferson merupakan enkripsi yang powerful. Hal ini juga dikarenakan teknik dekripsinya yang memerlukan pencarian secara exhaustive search sehingga tidak akan dapat
terpecahkan dengan mudah begitu saja.
Pada tahun 1923-1942, enkripsi Jefferson dikembangkan oleh US Army dalam bentuk mesin
enkripsi M-94. Penggunaan teknik enkripsi ini oleh pihak tentara Amerika Serikat menjadi bukti bahwa
enkripsi Jefferson merupakan enkripsi yang powerful. Hal ini juga dikarenakan teknik dekripsinya yang memerlukan pencarian secara exhaustive search sehingga tidak akan dapat
terpecahkan dengan mudah begitu saja