>Mendapatkan Password di Local Network dengan dsniff
>Baru mulai tertarik masalah keamanan? Pingin ngebuktiin ketidakamananjaringan lokal kepada admin? Atas permintaan umum (dan seringnyateman-teman admin nanyain tentang sniffing), berikut adalah cara cepat(kurang lebih 15 sampai 30 menit) memanen password dengan menggunakanteknik yang sangat awam: ethernet sniffing. Tentunya akan dibahas jugacara-cara pendeteksian dan pemberantasannya.
Komunikasi ethernet pada dasarnya adalah komunikasi tipe “siaran”(broadcast). Paket-paket ethernet dari mesin yang satu sebetulnyadilihat oleh setiap komputer yang tergabung dalam suatu jaringan lokal.Paket-paket ini dibuang jika alamat MAC-nya tidak cocok dengan alamatnode tujuan. Nah, dengan menggunakan software-software ‘networksniffer’, paket-paket ethernet
(beserta isinya) yang melewatikartu ethernet tertentu tidak dibuang begitu saja, melainkan dianalisa.Banyak kegunaan sniffing, tapi di artikel ini penulis hanya membahassniffing password dengan menggunakan program paten karangan Dug Song(www.monkey.org/~dugsong) dsniff.
dsniff aslinya adalah software Unix, dan teman-teman yang punyaLinux/BSD bisa langsung ngedownload dan compile dsniff darihttp://www.monkey.org/~dugsong/dsniff). Artikel ini membahas penggunaandi jaringan lokal berbasis Windows, sebab artikel ini ditujukan untukpemula, dan mereka-mereka yang pingin memanen password tapi nggak punyaakses ke Unix. Program dsniff ini punya spesialisasi menggarap passworddari berbagai protokol, dan memformat hasil panenan dalam bentuk yangmudah dibaca. Protokol yang bisa ditangani oleh dsniff antara lainadalah FTP, Telnet, HTTP, POP, NNTP, IMAP, SNMP, LDAP, Rlogin, NFS,SOCKS, X11, IRC, AIM, CVS, ICQ, Napster, Citrix ICA, SymantecpcAnywhere, NAI Sniffer, Microsoft SMB,
dan Oracle SQL*Net auth info.
Penggunaan dsniff tidak begitu jauh berbeda antara versi Win32dengan versi Unix-nya. Kelebihan yang bias dinikmati pengguna Unix saatini adalah adanya dua program tambahan di dsniff yang membuat dsniffversi Unix lebih perkasa, mampu memanen password dari jaringan berbasis”ethernet switch” atau “active hub”, jadi tidak terbatas ke jaringan”hub” saja.
Bahan-bahan/Persyaratan:
——————————–
LAN lokal untuk target, yang terhubung dengan menggunakan “ethernet hub” (bukan switch)
– mesin Windows 95, 98 atau ME (untuk 2000 dan XP, kamu mesti punya hakadministrator di mesin yg akan digunakan untuk memanen) yangterhubung ke LAN target
– WinPCap library, download dari http://netgroup-serv.polito.it/winpcap/install/bin/WinPcap.exe
– dsniff port to Win32, download dari http://www.datanerds.net/~mike/binaries/dsniff-1.8-win32-static.tgz(gunakan WinZip untuk nge-extract file-file .exe-nya)
Cara Memasak
——————
– Install WinPcap library. Doubleclick winpcap.exe dan ikuti petunjuk di layar (tinggal pencet “Next”,”Next”,”Finish”)
– Extract file dsniff…tgz nya ke suatu directory (sebaiknya di bawah
C:\Windows atau tempat lain yang nggak terlalu mencurigakan – untuk artikel ini, anggap saja disimpan di C:\WINDOWS\DS)
– Mulai memanen password. Dari start menu, klik “Run”, ketik “command”.Pindah ke direktori tempat disimpannya dsniff (“cd \windows\ds”).dari prompt C:> tinggal ketik “dsniff”.
– silakan menonton password-password milik pengguna ditampilkan di layar
Catatan:
———-
Ada kemungkinan anda harusmenspesifikasikan kartu ethernet mana yang ingin disadap. Untuk melihatdaftar-daftar interface yang tersedia, ketik “dsniff -D” dari promptDOS. Anda akan melihat daftar interface yang tersedia. Jika secaradefault dsniff mencoba menyadap interface yang salah, gunakan “dsniff-i [ketik nama interface disini]”.
Pengembangan lebih lanjut
———————————
Untuk menyimpan daftar password yang terpanen ke sebuah file,tambahkan perintah “-w [namafile]” ke program dsniff. Contoh:”c:\WINDOWS\DS>dsniff -i ELNK3 -w password.db”
untuk membaca file yg dibuat dsniff, berikan perintah “-r [namafile]”
contoh: “C:\WINDOWS\DS>dsniff -r password.db”
secara opsional, jika anda ingin file hasil panen ini disimpan dalam bentuk file ASCII:
“C:\WINDOWS\DS>dsniff -r password.db > panen.txt”,
panen.txt siap disajikan.
Yang lebih asyik lagi, bisa kita konfigurasikan agar usaha panenkita tetap berjalan walaupun komputer tersebut di-reboot.Caranyagampang. Mula-mula download dulu program “start minimized” (sm.exe)darihttp://www.ethernal.org/List-Archives/curves-kiddies-0010/msg00029.html.
Simpan program ini di C:\WINDOWS. Kemudian kita bikin batch fileyang bisa dijalankan dari command prompt. Gunakan Notepad atau “edit”untuk membuat file ini, dan sebagai isi:
@echo off
sm /hidden c:\windows\ds\dsniff.exe -w > password.db
(tambahkan perintah opsional seperti “-i ELNK3” jika perlu)
Nah, simpan file ini (sebagai “ds.bat”, misalnya), dan pindahkanfile ini ke folder “Startup” lewat Start menu supaya tiap kali komputerdi-restart, program dsniff kita dijalankan juga, siap untuk memanen.Program “sm” diatas berfungsi menjalankan program secara tersembunyisupaya tidak mencurigakan. Tentu saja, biar lebih nggak mencurigakanlagi, rubah nama dsniff.exe ke nama lain, dan jangan lupa ngegantiperintah “dsniff” dengan nama yang baru di semua command dan batchfile. Sekarang anda bisa tinggalkan komputer tersebut, dan dikemudianwaktu kembali lagi untuk memeriksa sejauh mana hasil sadapan andabekerja
(dengan perintah “dsniff -r password.db > panen.txt” lalu “notepad panen.txt”).
Membuat sadapan lebh portabel
—————————–
Untuk membuat disket dsniff, file-file yang anda perlukan adalah: dsniff.exe
wpcap.dll (cari di C:\WINDOWS\SYSTEM atau C:\WINDOWS\SYSTEM32 untuk Win2K/XP)
wpcap.vxd packet.dll
simpan file-file ini ke disket (A:), dan tinggal dibawa disketnya keLAN target. Penjalanan perintah masih tetap sama seperti diatas,kecuali lokasi prompt nya bukan di :\WINDOWS\DS>, melainkan diA:\>.
Jika anda butuh tantangan tambahan, gunakan perintah “at” dan programpengirim email blat.exe” untuk mengirimkan hasil panenan ke alamate-mail anonimus anda setiap jam atau bahkan setiap 5 menit. Jangan lupabagi-bagi hasil :).
Tambahan-tambahan
—————–
Port dsniff-win32juga mengandung beberapa utility ekstra, seperti mailsnarf (untukmembaca lalu lintas e-mail di jaringan lokal), urlsnarf (untuk membacaalamat-alamat website yang dikunjungi pengguna LAN sekitar anda), danwebspy (untuk menguntit jejak surfing mesin tertentu). Silaka anda cobamain-main dengan utiliti-utiliti ini, penulis yakin akan adagunanya.Harap diingat bahwa teknik diatas hanya mempan untuk LAN yangterhubung melalui “ethernet hub”. Jika kebetulan LAN anda menggunakan”ethernet switch”, bukan berarti nggak ada harapan. Pengguna versiUnix-nya dsniff bisa cengar-cengir, sebab paket dsniff versi Unixmengandung dua program
tambahan: arpspoof (untuk ‘menipu’ mesin-mesin lain agar mengirimkanpaket ke mesin anda) dan macof (untuk membanjiri “switch” lokal denganalamat-alamat MAC acak, biasanya berakibat “ethernet switch” yangditargetkan menjadi bingung dan mengubah mode menjadi default,bertingkah laku seperti “ethernet hub”).
Deteksi, Pencegahan, dan Penanggulangan
—————————————
Sebagai admin, anda bisa mendeteksi kartu-kartu ethernet di LAN andayang menjalankan dsniff (dan progarm-program sejenis dsniff) karenasecara prinsip, untuk meng-capture paket-paket, interface ybs harusberada dalam mode “promiscous”. Jadwalkan program-program ini untukberjalan setiap 5 menit, dan konfigurasikan agar komputer pendeteksimengemail anda jika ada
aktifitas-aktifitas mencurigakan. Utiliti yang bisa anda gunakantermasuk “promisc”, “CPM”, “ifstatus”, atau yang lebih yahud lagi,utilitas buatan grup hacking Portugal The Apostols yang bernama “NePED”(http://metalab.unc.edu/pub/Linux/distributions/trinux/src/neped.c).Untuk
platform Windows, tersedia produk-produk komersil sepertiLANGuard/LANSniffer atau AntiSniff dari L0pht Heavy Industry(http://www.l0pht.com/antisniff). Diantara produk-produk diatas,sebagian besar hanyalah bisa mendeteksi adanya sniffer jika dijalankandi mesin lokal. Untuk mendeteksi network secara remote, gunakan NePEDatau AntiSniff.
Jika anda punya budget, beli switch ethernet yang nggak nge-defaultke “hub mode” kalau di-flood alamat-alamat MAC palsu. Kalau anda nggakngerti, harap ngambil kursus “Pengenalan TCP/IP” atau berhenti jadiadmin. Juga harap ingat bahwa banyak perusahaan-perusahaan yangmengklaim menjual hub yang tak bisa disadap, tapi ternyata hanyamenjual hub tipe “active huub” yang biasanya tidak bisa menghandeltraffic Fast Ethernet (100 Mbps).
Cara paling handal untuk mencegah bocornya informasi sensitif lewatnetwork adalah dengan menggunakan enkripsi. Pakailah SSH, SCP(pengganti FTP) atau SFTP, TLS (untuk memeriksa e-mail), SSL dan HTTPS(untuk transaksi web), tunelling, dll. Usahakan agar jangan sampai adaprogram yang mengirimkan password tanpa enkripsi melalui jaringan yanganda kelola. Juga selalu
periksa keadaan hard disk anda.Seringkali sniffer-sniffer meninggalkan jejak berupa file hasil panenanyang berukuran besar (apalagi jika LANnya sibuk).
Cara lain mengamankan network anda adalah dengan memindahkantopologi jaringan anda ke sistem token ring, _dan_ menggunakankartu-kartu ethernet Token-Ring buatan IBM (iklan sabun colexz). Tapitentunya metode ini tidaklah praktis bagi anda yang ingin tetapmenggunakan topologi star atau hybrid.
Penutup
——-
Begitu dulu, deh. Semoga ada gunanya, dansemoga pembaca semua sadar bahwa isu ini tidaklah sesukar anggapanumum. Cukup 30 menit dan program-program yang tepat, danterkompromisasilah jaringan lokal anda. Jelas bahwa sang penyerangdisini (dan di aspek-aspek lain secara umumnya) menikmati kelebihan,sebab pemberantasan serangan tipe ini memerlukan waktu dan keahliandari sang pembela. Saran, tambahan, dan kritik silakan kirim melaluikecoak.
Sumber-sumber dan referensi:
—————————-
http://www.monkey.org/~dugsong/dsniff (pembahasan lebih mendalamtentang teknik-teknik penyadapan password, termasuk makalah dan artikelmembahas sniffing di jaringan “switched”)
http://www.datanerds.net/~mike/dsniff (website resminya dsniff-win32)
http://www.morehouse.org/secure/sniffaq.htm (FAQ-nya sniffing, sudah agak kadaluwarsa).
http://www.jogjahacking.org
SEOfex Blog 