Searching...
Jumat, 25 Februari 2011

Auto Complete, Kemudahan atau Kerawanan???


Notes :
Saya TIDAK bertanggung jawab atas penggunaan maupun penyalahgunaan dari artikel ini. Tujuan dibuat artikel HANYA untuk BAHAN PEMBELAJARAN saja. Semua nama, URL, domain, IP address, username, password dalam artikel ini disamarkan demi keamanan dan privasi.
Bila pembaca artikel ini menganggap artikel ini menyinggung perasaan, maka Saya memohon maaf sebesar-besarnya.

Main#
Adanya fitur AutoComplete ataupun password storage di berbagai macam browser saat ini merupakan terobosan inovatif, mengingat kemampuan seseorang dalam menghapal. Dengan fitur ini pula kita dapat mengehemat waktu mengetik dan mengisi kolom username dan password. Pernahkah anda bermain di suatu kafe internet atau kantor, dan membuka halaman login dari Email anda mengetik atau menekan 1 huruf depan dari username anda browser saat itu juga langsung menampilkan pilihan username-username yang sudah pernah diinputkan?? Bila anda memakai komputer dengan single user mungkin tak masalah, lalu bagaimana bila multiuser??

Ada kemungkinan username bahkan password anda dapat diambil oleh orang lain. Berbekal aplikasi password recovery kita dapat mengambil dan membongkar username-password yangtersimpan ini. Saya menggunakan Passcape Internet Explorer Password 

Recovery (www.passcape.com). Kebetulan Browser di warnet saya menggunakan Internet Explorer (selanjutnya disingkat menjadi IE saja) yang fitur AutoComplete sedang menyala. Install Passcape Internet Explorer Password Recovery (selanjutnya disingkat menjadi PIEPR saja), lalu pilih metode Recovery yang akan dijalankan :

AUTOMATIC : akan membuka Password yang tersimpan secara otomatis

MANUAL : akan membuka Password melalui file ntuser.dat, biasanya di C:\Documents and Settings\%nama_user%

CONTENT ADVISOR : akan meng-Edit status dan password dari Internet Explorer Content Advisor

ASTERISKS PASSWORDS : akan membuka “tabir” karakter ‘*’ atau asterik dari kolom password

MISCELLANEOUS : akan menampil-kan macam-macam cookie, cache atau URL yang disimpan oleh IE 

Kita akan menggunakan fitur AUTOMATIC untuk membuka password yang tersimpan. Klik Next>> lalu PIEPR akan menampilkan sejumlah kolom yang berisi keterangan resource IE apa yang dapat dibuka beserta username dan password.

Contoh hasil Recovery PIEPR:
<<< Internet Explorer passwords >>>
Created by Passcape Internet Explorer Password Recovery
IE resource type : IE autocomplete passwords
Resource name : https://ib.bankapajah.co.id/retail/Login.do
User name/Value : xxxxxxx
Password : xxxxxxx
IE resource type : Identity passwords
Resource name : Main Identity
User name/Value :
Password :
PIEPR v1.4.1.170
09-15-2010 10:23:08
Diatas merupakan username dan password dari sebuah session login internet banking di salah satu Bank swasta nasional. Dapat dibayangkan apa yg terjadi bila kita mempunyai
akses untuk melihat, mengubah bahkan mengambil uang dari akun tersebut. Berikut contoh hasil pemeriksaan saldo dan histori transaksi dari akun tersebut :
NAMA_ORANG_YANG_KENA_TEPU
15 Sep 2010, 12:53:40 HELP
POSISI SALDO
Nomor Transaksi : 0609150069978
Nomor Rekening : xxxxxxxxxxxxx
Jenis Rekening : Tabungan
Tanggal - Jam : 15 September 2010 - 12:53 PM
Posisi Saldo : Rp. 3.352.512,44
HISTORI TRANSAKSI
Nomor Transaksi : 0609150070131
Nomor Rekening : xxxxxxxxxxxxx Rp.
Jenis Rekening : Tabungan
Periode Transaksi : 14 Aug 2010- 15 Sep 2010
Tampilkan Berdasarkan : Tanggal
Urutkan Berdasarkan : Mulai dari yang kecil
Tanggal Keterangan Transaksi Debet Kredit
===========================================================
14/08/2010 VE POS SA 21765315
/0000186584/VAP-SARINAH THA 160.000,00 0,00
14/08/2010 SA ATM PLN PAYM DR
41100046011547100899423
S1AD00FW /6765 /ATM-SPBU P KLP 150.115,00 0,00
14/08/2010 SA ATM PLN PAYM DR
41100046011547100899423
S1AD00FW /6765 /ATM-SPBU P KLP 2.500,00 0,00
15/08/2010 SA ATM Withdrawal
S1AD00FW /7581 /ATM-SPBU P KLP 1.000.000,00 0,00
15/08/2010 INW.CN-SKN CR SA-MCS
CHEVRON INDONESIA COMPANY - 032 0,00 2.234.825,00
15/08/2010 VE POS SA
00019333 /0000198403/
VAP-TOKO GUNUNG 101.000,00 0,00
17/08/2010 SA ATM Withdrawal
S1AD00FW /7878 /ATM-SPBU P KLP 1.000.000,00 0,00
19/08/2010 SA ATM Withdrawal
S1AP125I /3170 /ATM-TMN GALAXY1 500.000,00 0,00
20/08/2010 VE POS SA
61029923 /0000292379/
VAP-MDS (ARION 195.000,00 0,00
22/08/2010 SA ATM Withdrawal
S1AP1449 /6920 /ATM-KC T AGUNG1 1.000.000,00 0,00
23/08/2010 SA ATM Withdrawal
S1AM141Z /9388 /ATM-BDR JUANDA2 500.000,00 0,00
26/08/2010 SA ATM Withdrawal
S1AP12EQ /9678 /ATM-METROPOLITA 100.000,00 0,00
27/08/2010 SA ATM Withdrawal
S1AD00FW /1633 /ATM-SPBU P KLP 150.000,00 0,00
28/08/2010 INW.CN-SKN CR SA-MCS
CHEVRON INDONESIA COMPANY - 031 0,00 13.866.238,00
31/08/2010 Bunga Rekening 0,00 14.740,63
31/08/2010 Biaya Administrasi 7.000,00 0,00
02/09/2010 SA OB SA No Book
Transfer untuk September
1250005534326 5.000.000,00 0,00
02/09/2010 SA OB SA No Book
Transfer untuk September 1.000,00 0,00
02/09/2010 INT-BK CCPYM CA/SA
4137180305168351 300.000,00 0,00
06/09/2010 INT-BK CCPYM CA/SA
4137180305168351 2.543.987,00 0,00
06/09/2010 INT-B DR SA BILL PMT
030208160140021008226614 170.804,00 0,00
06/09/2010 SA INT PLN PAYM DR
41000046014547100899423 150.115,00 0,00
06/09/2010 SA INT PLN PAYM DR
41000046014547100899423 2.500,00 0,00
06/09/2010 SA OB SA No Book
untuk bni chay, thanks
1250005534326 2.500.000,00 0,00
06/09/2010 SA OB SA No Book
untuk bni chay, thanks 1.000,00 0,00
Saldo Awal : 2.771.729,81
Total Kredit : 16.115.803,63
Total Debet : 15.535.021,00
Saldo Akhir : 3.352.512,44
Waw!!! kita bisa melihat semua transaksi akun tersebut. Apa yang bisa kita lakukan setelah itu? kita bisa melakukan phising ataupun spamming dengan mengambil data-data penting lainnya,
seperti :
UBAH ALAMAT E-MAIL
Nama :
NAMA_ORANG_YANG_KENA_TEPU
Tanggal Lahir :
29 February 1900
Alamat E-Mail :
KENA_TEPU@mailboongan.com


Bisa kita bayangkan akibat terburuk dari password stealing seperti itu, transfer dana tanapa kita duga, pengambil-alihanrekening, pengubahan password, hingga pencurian data-data penting kita. Bagaimana kita menghindari hal tersebut? Aplikasi pembersih
Cookie atau cache Browser dapat kita manfaatkan, bahkan dari IE pun sudah ada fitur ini.
Buka browser IE anda, pilih Tools pada toolbar.
Pilih Internet Options
Klik Delete Cookies untuk menghapus cookies anda, Delete Files untuk menghapus file-file temporer dan Clear History untuk membersihkan sisa-sisa “perjalanan” anda selama browsing.
Bila fitur tersebut dirasa kurang memadai, maka anda dapat menggunakan aplikasi third party, seperti cookies washer atau sejenisnya. Selain ancaman Password recovery seperti PIEPR, ada aplikasi keylogger yang dapat mencatat semua ketikan anda. Untuk mengakali hal ini, anda dapat menggunakan fitur on Screen-keyboard Windows.
Buka menu START, pilih ALL Programs lalu Accessories
Lalu pilih On-Screen Keyboard.


Kesimpulan#
Pencurian password dan username dalam komputer publik merupakan hal yang wajar mengingat kelemahan sistem yang ada.
Fitur AutoComplete yang disediakan oleh Browser saat ini dapat menjadi bumerang bagi pemakainya apabila tidak berhati-hati dalam pemakaiannya. Aplikasi Password Recovery seperti PIEPR dapat menampilkan semua username dan password yang pernah disimpan selama kegiatan Browsing. Lakukan pembersihan Cookies dan History anda setiap kali selesai browsing agar menghindari penyalahgunaan hak akses. 


Penutup#
Saya tidak bermaksud untuk mengajak pembaca menjadi seorang “PENCURI”, tetapi prihatin atas kurangnya informasi dan kesadarandari pengguna komputer publik dalam menjaga rahasia pribadinya. Dengan artikel sederhana (mungkin jelek :P) ini saya ingin membawa pembaca untuk lebih waspada terhadap teknik-teknik pencurian data rahasia. Semoga artikel ini bermanfaat bagi kita semua. Amien. =)

0 comments:

Posting Komentar

Like & Share :


Mari budayakan berkomentar baik berupa Kritik, Saran, maupun Pertanyaan untuk menjadikan blog ini lebih baik ke depannya. Copy-Paste di ijinkan, tapi URL sumbernya disertakan.
Terima Kasih.

 
Back to top!