Kemahiran Asas Penggodam - Password Hacking II

Kemahiran Asas Penggodam - Password Hacking sudah masuk bahagian kedua..untuk hari ini, Hac akan terangkan dengan lebih lanjut berkenaan dengan kemahiran asas hacker ini..kerana apa? kerana bahagian major dari kehendak penggodam ialah nama pengguna (username) dan KATA LALUAN (password)..mari kita mulakan dengan 4 teknik yang telah hac terangkan dalam entry yang lepas : Kemahiran Asas Penggodam - Password Hacking



Terlebih dahulu, mari kita lihat apa maksud Password Hacking:

Password Hacking ialah proses untuk mendapatkan atau mencuri kata laluan daripada data di dalam sistem, atau data yang bergerak melalui sistem..telah dinyatakan dalam entry Kemahiran Asas Penggodam - Password Hacking, terdapat 4 kaedah asas untuk mendapatkan kata laluan..di sini Hac akan terangkan secara lebih lanjut mengenai 4 kaedah tersebut..



1. Passive Online Attack

Wire Sniffing:

Cara mendapatkan kata laluan melalui 'sniffing'..kata laluan didapatkan semasa proses 'authentication'..kalau Hac nak bagi senang faham, semasa anda memasukkan kata laluan, data dihantar keluar dan semasa ia dihantar itulah data tersebut 'diambil' oleh penggodam..penggodam hanya perlu menunggu sahaja kata laluan dimasukkan, dan ia 'diambil' semasa kata laluan itu sedang 'disahkan' oleh sistem..
(boleh faham ke? susah gak nak bagi orang faham walaupun dengan bahasa Melayu..isk..)


Man In The Middle:

Dalam kaedah ini, penggodam akan 'berada ditengah-tengah' antara server dan pengguna, dengan 'mengganggu' trafik yang sedang bergerak, menangkapnya (capture) dan mengembalikannya kepada server..(woo..payahnya nak bagi orang faham ni)
Tengok carta alir dibawah, rasanya cara ni je la baru senang nak faham..penggodam akan berada ditengah-tengah laluan trafik (trafik internet ok), dan berupaya mendapatkan apa jua data yang bergerak melaluinya dan ini termasuklah kata laluan..


Client ----- Attacker ----- Server


Replay Attack:

Ni lagi susah la nak bagi orang faham..ahaha..faham-faham je la istilah IT ni kalau disebut dalam BM, memang agak sukar..ok..macam ni..dalam kaedah ini, penggodam tidak perlu memecahkan kata laluan atau 'membacanya' seperti dalam kaedah Man In The Middle Attack, tetapi hanya perlu 'menyimpan' kata laluan dan menggunakannya semula semasa proses pengesahan identiti..

Contoh:

Katakan Encik A ingin mengesahkan Identitinya kepada Encik B..maka Encik B akan meminta kata laluan dari Encik A sebagai tanda pengesahan..sementara itu, Encik C memerhatikan 'perbualan' ini dan kemudian menyimpan kata laluan Encik A..selepas sesi itu tamat, Encik C datang kepada Encik B dan menyamar sebagai Encik A serta memberikan kata laluan tadi..selesai..

Nampak macam kelakar kan?
Tapi itulah kebenarannya..sukar nak buat orang faham..Hac dah cuba buat yang terbaik ni..


2. Active Online Attack

Password Guessing:

Terus terang, cara ini cuma berkesan untuk kata laluan yang LEMAH sahaja..dalam kaedah ini, seorang penggodam akan membina rangkaian kata dan nama yang akan digabungkan bersama sebagai kata laluan..penggodam akan menggunakan sejenis program/perisian yang akan memberikan ratusan bahkan ribuan kata dan nama setiap saat..


3. Offline Attack

Dictionary Based Attack @ Dictionary Attack:

Cara paling ringkas dan pantas..digunakan untuk mendapatkan kata laluan yang diambil dari kamus..ia hanya berkesan untuk kata laluan lemah yang tidak mempunyai nombor serta simbol..


Hybrid Attack:

Cara yang digunakan sekiranya kaedah Dictionary Attack tidak berkesan dengan menambahkan nombor atau simbol selepas setiap perkataan..contohnya ada sesetengah orang yang akan menambah nombor '1' selepas perkataan yang dipilihnya untuk dijadikan kata laluan (to meet the strong password requirement)..


Brute Force Attack:

Cara yang paling banyak memakan masa..cara ini akan mencuba kesemua nombor, simbol, huruf besar atau kecil sebagai kata laluan..disebabkan inilah ia sangat memakan masa yang lama..namun, cara ini efektif jika diberikan masa yang diperlukan bersama spesifikasi komputer yang bagus..


Syllable Attack:

Gabungan dari kaedah Dictionary dan Brute Force Attack..cara ini dugunakan sekiranya perkataan yang digunakan tiada di dalam kamus..penggodam akan menggunakan gabungan perkataan yang ada dalam kamus dan kaedah yang lain untuk mendapatkannya..


Rule Based Attack:

Digunakan sekiranya penggodam mempunyai sedikit maklumat mengenai kata laluan yang ingin didapatkan..cara ini adalah yang paling bagus kerana penggodam tahu jenis kata laluan yang digunakan..ia melibatkan kaedah Brute Force, Dictionary dan Syllable Attack..

Terdapat dua lagi kaedah Offline Attack iaitu Pre-Computed Hash dan Rainbow Attack..dua kaedah ini Hac tinggalkan kepada anda untuk mencarinya sendiri..


4. Non-Technical Attack

Social Engineering (SE):

Satu kaedah berkomunikasi dengan orang lain sama ada secara berdepan atau melalui perbualan telefon dan memperdayakan mereka untuk memberikan maklumat sulit, seperti kata laluan..SE bergantung kepada sifat kepercayaan, sifat baik manusia, dan sifat ingin membantu orang lain atau diri sendiri..dalam kebanyakan masa, mereka yang bekerja di bahagian HELP DESK, akan selalu menjadi mangsa atau sasaran, kerana kerja mereka adalah untuk MENOLONG orang lain, dan proses reset semula kata laluan adalah kerja mereka (selalunya)..kaedah terbaik menanganinya ialah dengan mengadakan latihan kesedaran keselamatan dan prosedur yang selamat untuk mengembalikan kata laluan kepada pengguna..


Shoulder Surfing:

Mungkin bunyinya lawak, kelakar, nak tergelak atau "aik..teknik ni pun boleh kira jugak ke?"..tapi hadapilah hakikat bahawa teknik ini juga adalah teknik paling berkesan dan kerap digunakan oleh penggodam iaitu dengan MELIHAT SESEORANG MENAIP KATA LALUAN di sebalik atau di belakang bahunya! cara ini juga telah banyak membantu, tak lupa juga membawa masalah kepada pengguna yang lalai!


Dumpster Diving:

Cara ini juga memanipulasi kecuaian manusia dengan MEMBELEK TONG SAMPAH (kata mudahnya!) untuk mendapatkan maklumat peribadi/sulit seperti kata laluan yang mungkin ditulis di atas sekeping kertas..lawak? nak gelak? terpulang kerana ia memang teknik yang wujud dan telah lama di asaskan oleh penggodam!
kerana itu mesin meracik kertas (paper shredding machine) dicipta!



Selesai sudah bab kedua..harap anda semua yang mengikuti perkembangan blog ini berpuas hati dengan setiap penerangan yang Mr.Hac berikan..entry-entry hacking ilmiah seperti ini seterusnya akan menyusul..nantikan!


Powered by Blogger.