Cyberthreat.id – Teknik brute force attack sering dipakai oleh peretas berkaitan pembobolan akun online. Saat melakukan serangan, peretas biasanya telah memiliki “kamus” (dictionary) yang berisi kumpulan password dan username.

Daftar kamus ini banyak ditawarkan di forum jual beli data di darkweb. Berbekal kamus itulah, peretas akan memaksa menjebol akun online yang ditargetkan.

“Nanti bisa ditebak kira-kira username dan password mana yang bisa cocok dan berhasil login di aplikasi [yang diserang] tersebut,” kata Software Engineer at CyberArmy Indonesia, Rendy Bustari dalam Workshop Security Coding for Startup Developer #2, yang diselenggarakan oleh Badan Siber dan Sandi Negara (BSSN) secara virtual, Rabu (3 Februari 2021).

Untuk mempermudah pekerjaannya, menurut Rendy, peretas juga menggunakan perangkat lunak otomatis. “Jadi tidak perlu cek satu per satu,” ujar dia,

“Attacker bisa langsung meng-upload daftarnya, maka tools tersebut secara otomatis akan melakukan percobaan untuk mengombinasikan antara username dan password yang cocok.”

Jika sebuah aplikasi yang diserang tak memiliki batasan permintaan atau semacam permintaan CAPTCHA, ketika ada 10.000 permintaan masuk,itu akan terus dieksekusi oleh aplikasi atau sistem elektronik.

Akibatnya, kinerja server akan terganggu dan menyebabkan aplikasi kesulitan, bahkan hingga tidak dapat diakses oleh pengguna lain. Untuk mencegah hal ini, sebagai pemilik sistem atau aplikasi sangat penting untuk melakukan validasi permintaan atau membatasi jumlah permintaan yang masuk ke server.

Rendy mengatakan, ada sejumlah faktor yang menyebabkan peretas bisa melakukan brute force attack, antara lain, lemahnya informasi kredensial login pengguna, menyimpan kata sandi dalam teks biasa, dan formulir/parameter login tanpa aturan atau pembatasan.

Faktor berikutnya adalah kuota permintaan tak terbatas pada formulir login atau API, pesan respons kesalahan terlalu detail, dan tidak memiliki perlindungan serangan Cross-Site Request Forgery (CSRF)—sebuah serangan yang dipaksakan agar backend mengeksekusi perintah yang tidak seharusnya diizinkan.

“Sebaiknya bagi pengembang aplikasi jika membuat source code untuk password usahakan menggunakan salt atau unique value tambahan. Jadi tidak hanya bycript dan enkripsi standar saja, karena hal itu di masa depan bisa dibobol oleh attacker,” kata dia.[]

Redaktur: Andi Nugroho