Archive

Posts Tagged ‘belajarmenulis.com’

Menyimpan password dalam bentuk plaintext? Jangan salahkan pihak lain kalo kebobolan

March 4th, 2010 16 comments

Perhatian:
Masalah aslinya telah lama selesai. Tulisan ini saya biarkan tetap ada sebagai arsip.

Hari ini pak Nukman me-retweet tentang www.belajarmenulis.com yang kata pemiliknya (Jonru) kena “hack”. Semula saya hanya menanggapi penggunaan kata hack yang tidak tepat, ternyata setelah saya baca keterangan Jonru di www.belajarmenulis.com, saya menemukan blunder lainnya.

Pak Jonru ternyata menyimpan daftar username dan password anggota www.belajarmenulis.com dalam bentuk plain text di sebuah file text yang bisa diakses langsung dari url www.belajarmenulis.com/wp-includes/wp-info.txt. Membaca ini saya hanya bisa berujar “wow” dalam hati.

Ibaratnya, pemilik rumah menaruh kunci rumahnya di bawah pot bunga di depan rumah tersebut. Ada maling yang kebetulan senang memeriksa pot bunga lalu menemukan kunci tersebut. Dalam hal ini keduanya salah, maling tetaplah maling, tindakannya salah. Pemilik rumah juga melakukan kesalahan, meletakkan kunci rumahnya dalam tempat yang tidak diamankan secara cukup.

Menyimpan username dan password dalam format plain text adalah blunder yang bisa dilakukan siapa saja. Bahkan hosting sekelas mediatemple.net pernah melakukannya. Bagi yang merasa prihatin dengan masalah ini, salah satu tindakan yang bisa dilakukan adalah mendaftarkan situs yang masih melakukan hal ini (menyimpan username dan password dalam bentuk plaintext) ke passwordFail.com. Ini adalah salah satu cara paksa, jika memang pemilik situs bersikeras untuk tetap melakukan blunder ini.

Kembali ke penggunaan kata hack yang saya soroti di awal, kata hacker tidaklah tepat digunakan dalam kegiatan ini. Walaupun orang yang membobol situs www.belajarmenulis.com menggunakannya, Jonru sebagai seorang penulis mestinya bisa melakukan koreksi terhadap hal ini. Tindakan perusakan bukan lagi tergolong hack, tetapi sudah crack, pelakunya disebut cracker. Jika seorang penulis saja gagal mengetahui beda hack dengan crack, pantas saja orang awam dan media terus melakukan kesalahan ini.

UPDATE:

Pak Jonru melakukan klarifikasi lewat twitter, bahwa file text tersebut adalah hasil buatan cracker yang membobol www.belajarmenulis.com. Pertanyaan selanjutnya yang muncul adalah, dari mana seorang yang mengaku pemula bisa mendapatkan list username dan password lalu menyimpannya di file text? WordPress terbaru saja telah melakukan pengamanan yang cukup bagus, dan sudah sejak lama menyimpan password dalam bentuk hash, bukan plain text. Mustahil mendapatkan password asli dari hash yang tersimpan di database. Satu-satunya yang bisa dilakukan cracker adalah mencari collision, kata berbeda yang jika di hash hasilnya sama dengan hash yang tersimpan di database. Cracker tidak mendapatkan password asli, tapi sebuah password baru yang oleh aplikasi dianggap sama dengan password asli, karena kelemahan hash yang digunakan.

Kesimpulan sementara saya, username dan password www.belajarmenulis.com memang tersimpan dalam bentuk plaintext di suatu tempat di www.belajarmenulis.com. Seorang cracker yang mengaku pemula saja bisa mendapatkannya dan menyalin semuanya ke sebuah file text.

Jika memang ternyata pak Jonru merasa tidak pernah melakukan hal ini (meyimpan username dan password dalam bentuk plain text), silahkan dikonfirmasi. Karena konfirmasi terakhir pak Jonru lewat twitter menyatakan diri bukan programmer, ada banyak rekan programmer maupun analis keamanan yang bisa dimintai bantuan mencari celah keamanan yang ada untuk kemudian diperbaiki.

Tulisan ini bukan saya buat untuk menyerang pak Jonru, tapi mengingatkan diri sendiri dan pembaca sekalian, bahwa keamanan di Internet adalah hal yang penting yang harus dijaga. Ketika pengguna situs kita mempercayakan data penting, walau hanya berupa username dan password, pemilik situs memiliki tanggung jawab besar menjaga data itu tidak jatuh ke tangan orang yang tidak berhak.

Akhir kata, jika ada kesalahan penulisan maupun pemilihan kata/kalimat yang kurang tepat, saya mohon maaf. Semoga maksud yang hendak saya sampaikan bisa ditangkap dengan baik oleh pembaca blog ini.