Jaga password anda, jaga privacy anda

Pernah kita dengar orang tu kata website si polan kena hack, e-mail si polan kena jugak, facebook kena hack... seolah-olah kerja hacking ni sesuatu yang sangat mudah... jangan terpedaya dengan filem-filem hollywood...

tahun lepas aku pernah menulis di IbrahZine.com  tentang teknik yang biasa digunakan dalam kes hack website, dan cara-cara mencegahnya...

kali ni aku nak citer pasal teknik-teknik yang hackers selalu guna untuk hack e-mail, facebook, friendster dan lain-lain yang memerlukan username dan password, dan cara mencegahnya

pertama sekali, aku nak cerita secara ringkas tentang sistem keselamatan yang digunakan oleh servis-servis dalam talian (online services) ni. Ramai yang percaya bahawa servis dalam talian menyimpan katakunci (password) pengguna dalam pengkalan data (database). andaian itu sangat tidak tepat. cara sedemikian masih digunakan pada tahun 90an, tapi tidak hari ini.

sistem keselamatan hari ini menggunakan nilai hash (hash value). hash adalah satu operasi matematik yang tidak ada operasi berlawanan. contohnya jika 5 darab 6 = 30, maka 30 bahagi enam = 5, kerana bahagai adalah operasi berlawanan bagi darab. begitu juga operasi tolak adalah berlawanan dengan operasi tambah. tetapi tiada operasi berlawanan bagi hash(#)

jika a*b=c maka a=c/b dan b=c/a
jika a+b=c maka a=c-b dan b=c-a
tetapi jika a#b=c, kita tak boleh mendapatkan nilai a walaupun jika tahu nilai c dan b

bagi yang berminat lebih lanjut, boleh baca Wikipedia - Hash function

apa gunanya hash value ni? semasa kita mendaftar sesuatu akaun, contohnya facebook, kita diminta memasukkan alamat e-mail dan password. dan sistem facebook akan mencari hash value bagi password ini, iaitu #password=hash value bagi akaun facebook kita. dan di dalam pengkalan data facebook, akan di simpan e-mail dan hash value tersebut, tetapi password tidak akan disimpan.

setiap kali kita login, sistem facebook akan hash password yang kita masukkan. kemudian alamat e-mail kita akan dicari di dalam pengkalan data dan hash value yang disimpan bersama alamat e-mail tersebut akan dibandingkan dengan hash value bagi password yang baru kita taip untuk login. jika kedua2 hash value tersebut sama, maka identiti kita akan disahkan. melalui sistem ini, tiada seorang manusia pun selain kita sendiri yang mengetahui password kita. facebook juga tidak tahu password kita.

kesimpulannya setakat ini? untuk sesorang hack pengkalan data facebook dan mencuri password adalah mustahil.

adakah bermakna mustahil untuk hack facebook? tidak sesekali... kita tengok bagaimana caranya

1) menyerang sistem facebook dan menukar password kepada password baru. ini teknik yang paling asas. tetapi asas tidak bermakna mudah, dan tidak praktikal kerana jika password ditukar maka mangsa akan sedar bahasa akaun beliau telahpun di hack

2) menggunakan applikasi berkaitan facebook untuk mengawal akaun pengguna. ramai yang menjadi mangsa teknik ini tanpa sedar. banyak applikasi di dalam mahupun di luar facebbok yang menggunakan teknik tidak bermoral ini. apa yang terjadi? applikasi-applikasi ini akan meminta kita klik butang 'allow' untuk menggunakan applikasi mereka. setelah kita 'klik' butang tersebut, facebook akan diberitahu bahawa applikasi tersebut dibenarkan untuk bertindak bagi pihak kita. jadi, pembina applikasi tersebut boleh melakukan banyak perkara menggunakan akaun kita. tanpa kita sedar 'kita' telah menulis sesuatu pada wall kawan kita. ataupun 'kita' mengemaskakini status kita, walaupun bukan kita yang menulisnya, tetapi applikasi tersebut. dan segala informasi diri kita terbuka untuk dilihat dan diambil oleh pembina applikasi. lagi satu contoh, smileys yang digunakan oleh kebanyakan kita untuk mengupdate status, hampir kesemuanya mempunyai virus!

3) hack pengkalan data facebook dan mencuri hash value. bagaimana untuk mendapatkan password bagi hash value tersebut? satu-satunya cara adalah menggunakan kaedah brute force, ataupun cuba jaya. bagaimana ia dilakukan?
contoh:


jika password = c, dan hash value = k
teknik brute force akan mencuba nilai sehingga mendapat hash value k
#a=k? bukan, cuba lagi
#b=k? bukan, cuba lagi
#c=k? betul

maka penggodam(hacker) tersebut sudah mendapat password yang dicari iaitu 'c'. tapi untuk mencari nilai hash bagi password yang panjang (serta terdiri daripada huruf dan angka) secara brute force akan mengambil masa sekurang-kurangnya berpuluh-puluh ribu tahun bagi komputer yang laju. tapi bagaimana jika beribu-ribu hackers bekerjasama dan setiap dari mereka mempunyai 10 komputer yang laju? maka jangan terkejut jika aku katakan password facebook kita sudahpun tersimpan di dalam pengkalan-pengkalan data hackers di seluruh dunia. password-password ini dijual dengan harga semurah US$10 bagi satu akaun. malah terdapat hackers yang menjual secara pukal dengan harga USD$0.20 satu akaun, dalam pakej yang mengandungi 100 ribu password.

4) teknik paling ampuh dan bahaya = social engineering. apakah itu social engineering? aku teringat masa aku buat degree dulu aku pernah present topic social engineering dalam satu kelas. ketika membuat research, fakta2 mengenai social engineering amatlah menakutkan. sangat ampuh! social engineering adalah teknik menggodam yang menyerang titik paling lemah dalam sistem keselamatan, iaitu manusia. kisah benar yang melibatkan aku dan seorang kawan (ayat diubah untuk sesuaikan dengan gaya bahasa blog ni, tapi isi adalah sama)

Aku: alah, orang macam kau senang je nak tahu password. mesti nama company kau ke, nama produk kau ker, nama apartment ker, benda2 camtu je la

semasa aku menyebut 'nama aprtment kau ke', riak wajah kawan aku sedikit berubah. dan jangan terkejut, sememangnya password facebook kawan aku pada masa itu adalah nama apartment tempat dia tinggal. sekarang dia dah tukar kepada password yang lebih susah, Alhamdulillah :)

cuba tengok 'secret questions' yang digunakan dalam yahoomail... waht is the name of your first pet?, where did you first met your spouse?' dan lain-lain... soalan-soalan seperti ini boleh diselitkan secara santai dalam perbualan dan hasilnya...password!!! eh, kau dengan wife kau dulu jumpa camana ek? oo ye ke? jumpa kat majlis rupanya... best la kau yek... majlis tu kat kl gak ke? apa nama dewan tu? dan lain-lain... info yang sangat mudah terlepas dari lidah kita bila teruja untuk bercerita.

5) teknik terakhir yang aku tahu (banyak lagi teknik yang aku tak tahu kewujudannya). serang komputer.  semudah itu. sama ada menggunakan keylogger, cache & cookies, remote monitoring atau apa saja kaedah pilihan. mangsa adalah mereka yang gemar tutup browser atau komputer tanpa log out facebook.

jadi apa yang patut kita buat?
1) guna password yang susah diteka. gabungkan huruf kecil, huruf besar dan nombor. Periksa ketahanan password tu di SINI
2) tukar password sekurang-kurangnya setiap dua bulan
3) jangan lupa log out dari facebook, e-mail dan lain2 kecuali jika kita 100% pasti tiada orang lain yang guna komputer kita. kalau ada orang nak pinjam, bukak browser dan log out dari semua websites dahulu

tiga langkah mudah untuk keselamatan kita bersama
Wallahu'alam
jari-jari dah lenguh, aku nak sambung buat kerja.

Posted by Posted by Ariff Abdullah , on at 21:40 • Labels: geek, hacking, IT, L, tek