Home > web > Menyimpan password dalam bentuk plaintext? Jangan salahkan pihak lain kalo kebobolan

Menyimpan password dalam bentuk plaintext? Jangan salahkan pihak lain kalo kebobolan

March 4th, 2010

Perhatian:
Masalah aslinya telah lama selesai. Tulisan ini saya biarkan tetap ada sebagai arsip.

Hari ini pak Nukman me-retweet tentang www.belajarmenulis.com yang kata pemiliknya (Jonru) kena “hack”. Semula saya hanya menanggapi penggunaan kata hack yang tidak tepat, ternyata setelah saya baca keterangan Jonru di www.belajarmenulis.com, saya menemukan blunder lainnya.

Pak Jonru ternyata menyimpan daftar username dan password anggota www.belajarmenulis.com dalam bentuk plain text di sebuah file text yang bisa diakses langsung dari url www.belajarmenulis.com/wp-includes/wp-info.txt. Membaca ini saya hanya bisa berujar “wow” dalam hati.

Ibaratnya, pemilik rumah menaruh kunci rumahnya di bawah pot bunga di depan rumah tersebut. Ada maling yang kebetulan senang memeriksa pot bunga lalu menemukan kunci tersebut. Dalam hal ini keduanya salah, maling tetaplah maling, tindakannya salah. Pemilik rumah juga melakukan kesalahan, meletakkan kunci rumahnya dalam tempat yang tidak diamankan secara cukup.

Menyimpan username dan password dalam format plain text adalah blunder yang bisa dilakukan siapa saja. Bahkan hosting sekelas mediatemple.net pernah melakukannya. Bagi yang merasa prihatin dengan masalah ini, salah satu tindakan yang bisa dilakukan adalah mendaftarkan situs yang masih melakukan hal ini (menyimpan username dan password dalam bentuk plaintext) ke passwordFail.com. Ini adalah salah satu cara paksa, jika memang pemilik situs bersikeras untuk tetap melakukan blunder ini.

Kembali ke penggunaan kata hack yang saya soroti di awal, kata hacker tidaklah tepat digunakan dalam kegiatan ini. Walaupun orang yang membobol situs www.belajarmenulis.com menggunakannya, Jonru sebagai seorang penulis mestinya bisa melakukan koreksi terhadap hal ini. Tindakan perusakan bukan lagi tergolong hack, tetapi sudah crack, pelakunya disebut cracker. Jika seorang penulis saja gagal mengetahui beda hack dengan crack, pantas saja orang awam dan media terus melakukan kesalahan ini.

UPDATE:

Pak Jonru melakukan klarifikasi lewat twitter, bahwa file text tersebut adalah hasil buatan cracker yang membobol www.belajarmenulis.com. Pertanyaan selanjutnya yang muncul adalah, dari mana seorang yang mengaku pemula bisa mendapatkan list username dan password lalu menyimpannya di file text? WordPress terbaru saja telah melakukan pengamanan yang cukup bagus, dan sudah sejak lama menyimpan password dalam bentuk hash, bukan plain text. Mustahil mendapatkan password asli dari hash yang tersimpan di database. Satu-satunya yang bisa dilakukan cracker adalah mencari collision, kata berbeda yang jika di hash hasilnya sama dengan hash yang tersimpan di database. Cracker tidak mendapatkan password asli, tapi sebuah password baru yang oleh aplikasi dianggap sama dengan password asli, karena kelemahan hash yang digunakan.

Kesimpulan sementara saya, username dan password www.belajarmenulis.com memang tersimpan dalam bentuk plaintext di suatu tempat di www.belajarmenulis.com. Seorang cracker yang mengaku pemula saja bisa mendapatkannya dan menyalin semuanya ke sebuah file text.

Jika memang ternyata pak Jonru merasa tidak pernah melakukan hal ini (meyimpan username dan password dalam bentuk plain text), silahkan dikonfirmasi. Karena konfirmasi terakhir pak Jonru lewat twitter menyatakan diri bukan programmer, ada banyak rekan programmer maupun analis keamanan yang bisa dimintai bantuan mencari celah keamanan yang ada untuk kemudian diperbaiki.

Tulisan ini bukan saya buat untuk menyerang pak Jonru, tapi mengingatkan diri sendiri dan pembaca sekalian, bahwa keamanan di Internet adalah hal yang penting yang harus dijaga. Ketika pengguna situs kita mempercayakan data penting, walau hanya berupa username dan password, pemilik situs memiliki tanggung jawab besar menjaga data itu tidak jatuh ke tangan orang yang tidak berhak.

Akhir kata, jika ada kesalahan penulisan maupun pemilihan kata/kalimat yang kurang tepat, saya mohon maaf. Semoga maksud yang hendak saya sampaikan bisa ditangkap dengan baik oleh pembaca blog ini.

  1. March 4th, 2010 at 07:26 | #1

    Terima kasih mas, atas tulisannya yang sangat bagus

    Saya memang bukan programmer, dan awam soal IT
    Selama ini saya belajar membuat web hanya dengan cara membaca “manual” atau “readme” lalu saya praktekkan

    Karena itu, soal file txt yang berisi data rahasia tersebut, saya bahkan berani bersumpah demi Allah bahwa saya sama sekali tak tahu menahu soal itu.

    Salam takjim dari saya. Jika berkenan, mohon bantuan saran dan masukannya untuk memperbaiki sistem keamanan di website saya.

    Salam sukses!

  2. donnykurnia
    March 4th, 2010 at 07:49 | #2

    Terima kasih pak, telah mampir dan berkenan memberi komentar. Silahkan hubungi saya lewat email biar bisa cerita detail serangannya lebih banyak, insya Allah saya akan membantu sebatas kemampuan saya.

  3. March 4th, 2010 at 16:41 | #3

    serangannya gini klo si peretas yang menamakan dirinya Sudden-Death 😀

    file index asli di rename (jadi index aslinya masih ada)
    lalu dia buat file index baru, yang ada di http://indonesiandefacer.org 😀

    so..gak perlu pake restore-restore-an segala 😀
    dan gak ada yang hilang, cuma bertambah satu file oleh si Sudden-Death itu..

    adapun soal plaintext itu, itu kan masih di encrypt 😀
    lagipula itu bukan perbuatannya si Sudden-Death kok 😉

    anyway, kenapa ya Pak Jonru ngeblokir saya dari facebook'a? Apa yang telah saya perbuat? 😀

  4. March 4th, 2010 at 16:48 | #4

    Maaf anda bukan saya blokir
    Tapi fan page Jonru memang tiba2 saya close
    Soalnya saya melihat di forum2 hacker lain, mereka mulai mengincar fan page ini

    Jadi demi alasan keamanan, saya tutup dulu

    Tadi saya hendak menyampaikan hal ini lewat PM pada anda di Facebook
    Tapi ternyata di account anda, saya tak bisa mengakses “send message”

    demikian penjelasannya

    Thanks 🙂

    Jonru

  5. March 5th, 2010 at 07:26 | #5

    Passwordnya di enkripsi kan bos ?

  6. March 5th, 2010 at 18:39 | #6

    kayaknya memang salah si WP yg cuma pake hashing MD5. Semua orang yg maennya di underground udah banyak tools buat collision attack hasil hashing ini. Kalo sampeyan membaca bagaimana cara mereka mendeface situs belajarmenulis.com, sampeyan bakal tau kalo memang itu konsekuensi pake Apache + PHP + WP Engine. Apalagi oleh seorang (maaf) pak Jonru yg memang beliau mengaku buta IT.

    Mereka para anggota HN itu langganan informasi bugs pada Apache + PHP + WP dll. Nah, kalo pak Jonru gak mengupdate engine WP ato malah perusahaan hostingnya gak mengupdate sistem, yah cepet2an aja dengan HN bukan? That's what they call Zero-day Attack.

    Awalnya jg saya senyum2 aja melihat komen sampeyan di twitter ttg password yg disimpen plain. Untung pak Jonru sendiri yg udah mengupdate Anda. Tp ya sudahlah, mari kita semua belajar bagaimana cara mengamankan aset IT bukan? 🙂

    salam kenal!

  7. donnykurnia
    March 6th, 2010 at 02:20 | #7

    Salam kenal juga,

    boleh tahu ga, dimana saya bisa baca kisah para cracker tersebut hingga bisa membuat list username dan password yang ada di belajarmenulis.com?

    Jika yang dilakukan adalah menghasilkan collision, maka yang didapatkan bukanlah password asli, tapi string lain yang hasil hashnya sama. Saya telah tulis di artikel. Dengan cara ini, walau didapatkan kombinasi username dan 'password' yang bisa mengakses account belajarmenulis.com, password aslinya sendiri tetap tidak bisa diketahui.

    Btw, bukannya sudah lama WP tidak lagi menggunakan md5, atau masih ya?

    Artikel diatas juga untuk mengingatkan saya pribadi, yang sering kali meremehkan aspek keamanan di situs yang saya buat untuk konsumen. Mulai dari sekarang mesti ekstra hati-hati, jangan sampai situs buatan saya bisa di-deface dengan mudah 🙂

  8. March 6th, 2010 at 08:22 | #8

    Mas Donny dan teman2 lain
    Mungkin saya perlu konfirmasikan sedikit mengenai “tragedi” belajarmenulis.com

    Saya sudah membandingkan file2 di belajarmenulis.com (khususnya root folder) dengan file2 asli dari wordpress. Dan hasilnya, saya menemukan file2 berikut di belajarmenulis.com, yang tidak terdapat di file asli wordpress:

    – c99.php

    – dbscanweb.php (dari namanya, saya menduga ini adalah file yang digunakan untuk melakukan scanning di database)

    – global.php

    – scan.php

    – main.php

    Karena orang awam, saya tak tahu menahu soal file2 ini.
    Tapi semoga bisa membantu Mas Donny dan teman2 lain dalam melakukan analisis.

    Sekadar info, saat ini situs belajarmenulis.com sudah kosong, alias tak ada lagi satu file pun yang tersisa. Kita memutuskan untuk menonaktifkan dulu situs ini. Ada banyak pertimbangan, yang tak perlu disebutkan di sini satu persatu 🙂

    Thanks dan salam sukses!

  9. March 6th, 2010 at 08:25 | #9

    Oh ya, ada yang lupa
    File “wp-confiq.php” juga telah berubah
    Di dalamnya terdapat kode2 aneh, yang seharusnya tidak ada.

    Saya tidak tahu ini ulah siapa 😀

  10. March 6th, 2010 at 08:34 | #10

    Oh ya, mau klarifikasi sedikit soal “buta IT”
    Memang benar saya bukan programmer. Jadi kalau urusan coding, saya awam.
    Tapi pengalaman mengelola web sejak tahun 2000, alhamdulillah membuat saya banyak tahu soal web administrator. Jadi kalau sekadar mengutak-atik menu dan setting lewat control panel webhosting misalnya, bagi saya sudah biasa 🙂

    Kalau ada panduannya yang jelas dan mudah dipahami, saya juga bisa mengutak-atik code php 🙂

  11. donnykurnia
    March 6th, 2010 at 11:47 | #11

    Kalau file-file tersebut masih disimpan, bisa dikirimkan ke saya supaya dianalisa isinya. Nanti bisa saya bantu menjelaskan isi tiap file dan apa saja yang dilakukan file-file tersebut. Email saya bisa dilihat di halaman about.

    Terima kasih atas klarifikasinya, Pak Jonru.

  12. March 9th, 2010 at 06:20 | #12

    gak perlu nunggu pak Jonru untuk mengirimkan file tersebut. Mas Donny cukup googling aja apa itu c99.php, semua ada di sana. Jalan itu yg cukup membuat mereka masuk dan men-deface situsnya pak Jonru. Cara-cara mereka juga udah ditulis di situs mereka bukan?

    Kalo mas Donny pingin nulis tentang dunia hacking dan cracking, kayaknya mas Donny harus masuk ke dunia mereka. Bukannya malah tweet sana tweet sini. Gak perlu diributin apa definisi hacker. Kalo dulu sampeyan ngambil jurusan IPS, definisi kan bisa tergantung siapapun yang mencetuskannya 🙂 Ribut2 tentang definisi hacking malah memicu mereka buat datang ke situsnya mas Donny lho 🙂 beberapa thread di forum mereka udah mulai mengomentari mas donny, malah ada yg mau “berkunjung” ke sini… sudah amankah engine WP mas Donny? Sudah amankah perusahaan hosting mas Donny?

    buat pak Jonru, memang menulis adalah hal yang orang lain belum banyak bisa. Tapi orang bisa dengan mudah mencoret2 apa yg kita tulis. Pak Jonru sendiri mengakui gak ngerti IT. Justru ini yang jadi target mereka: WP Engine yg gak diupdate dan gak di-harden. Untung mereka cuma men-deface pak. Coba kalo sampe situs Anda dihapus sampe databasenya kayak situs milik Malaysia. Bisa-bisa Anda harus restore semuanya. Bapak melakukan backup tiap hari kan pak? Incase kalo ada yg nakal sampe menghapus, Bapak bisa restore dari backup itu…

    Sori, kepanjangan. Saya bukannya sok ngajarin dan sok menggurui. Tapi saya juga pernah jadi korban hacktivism mereka di tahun 1998. Hal itu membuat saya belajar dan belajar. Jadi, mari kita semua belajar dari kejadian ini 🙂

    Salam 🙂

  13. March 9th, 2010 at 06:34 | #13

    @tintinnya: Thanks ya atas penjelasannya
    Bagi saya justru ini sangat berharga

    Soal tragedi belajarmenulis.com, mungkin saya bisa jelaskan sedikit, karena ini mungkin banyak orang yang belum tahu.

    1. Awalnya, ada hacker jahat (saya tidak tahu siapa) yang membuat file wp-info.txt, juga beberapa file lain yang berfungsi sebagai backdoor. Saya tidak tahu apakah pelakunya satu orang atau banyak. Saya juga tidak tahu apakah merreka dari komunitas yang sama atau berbeda. Yang jelas, di belajarmenulis.com tiba2 terdapat banyak file backdoor. Dan berita buruknya, saya sama sekali tidak mengetahui keberadaan file2 tersebut.

    2. Lalu ada seorang hacker pemula yang menyebarluaskan file wp-info.txt tersebut di sebuah forum diskusi para hacker.

    Lalu para anggota forum tersebut pun masuk ke belajarmenulis.com, menggunakan username dan password yang mereka dapatkan. Berita baiknya, mereka sekadar berkunjung, tak lebih dan tak kurang.

    3. Tapi ada satu orang anggota komunitas mereka – berinisial P – yang sebenarnya hacker pemula (ya benar2 masih pemula bahkan sangat culun orangnya), dia masuk ke belajarmenulis.com, lalu posting atas nama admin. Judul postingnya WARNING

    4. Setelah itu, muncullah sudden death. Dialah yang akhirnya mendeface situs belajarmenulis.com, mengubah tampilan depannya.

    Nah, setelah saya “marah-marah”, banyak teman2 hacker yang menuduh saya lebay dan terlalu berlebihan. Merreka berkata, “Yang diubah cuma halaman depan, tapi adminnya ini kok marahnya gak ketulungan?”

    Sebenarnya, mereka ini salah persepsi. Sebab yang membuat saya marah besar bukanlah aksi si Sudden death atau orang yang berinisial P tersebut. Yang membuat saya marah besar adalah orang yang telah membuat file “wp-info.txt” dan orang yang telah menyebarluaskannya. Saya sampai saat ini belum tahu siapa saja mereka. Jadi saya tak bisa menuduh siapapun dalam hal ini.

    Tapi ya sudahlah. Masalah ini sudah selesai. Saya sudah berjanji untuk tidak mempermasalahkannya.

    Saya menceritakan hal di atas cuma sekadar info saja.

    Bagi saya, tragedi belajarmenulis.com ini menjadi pelajaran yang amat berharga.

    Terima kasih dan salam sukses!

  14. uwiuw
    March 23rd, 2010 at 11:40 | #14

    mungkin panas panas masalah ini sudah reda. Tapi kayaknya sebagai pengguna wordpress, pak jonru mulai mengikuti sedikit perkembangan dan basic-security wordpress. Hal ini ada baiknya, apalagi kalau punya web yg kita suka sekali

  15. nightcrawlingz
    April 1st, 2010 at 22:54 | #15

    menurut sy, backdoor itu bisa masuk melalui web yang se hosting dengan belajarmenulis.com,. dan bisa sangat fatal jika servernya kena bugs local root exploit., karena sang cracker sudah punya hak penuh atas server tsb.,
    mungkn login worpressnya di log ke plain text.. tinggal edit file phpnya masukan beberapa script php untuk ngelog input yang diterima.,

    bisa juga melalui bugs di plugin wordpressnya., untuk mengetahui username dan password admin,. karena password admin di hash md5,. bisa di cari di database crack md5 yang banyak di internet.. biasanya password kurang dr 6 karakter yg ddapat., selebihnya generate sendiri., klo bener2 niat.. klo udah dapet username dan passwd adminnya,, tinggal login aja.., trus upload deh backdoor., connect dgn back connect pake netcat., klo folder rootnya read/write., gampang deh upload index.phpnya.,

    maaf ikutan komen., sy lagi nyari2 tutorial CI eh nyasar disini..

  16. donnykurnia
    April 2nd, 2010 at 00:57 | #16

    Analisis yg bagus 🙂

    Btw, tutorial CI seperti apa sih yang dicari? Kali aja kalo saya ada waktu ntar nulis 😀

Comments are closed.