INA (ITB Network Access) adalah satu-satunya account yang bisa digunakan untuk mengakses layanan-layanan yang ada pada jaringan kampus ITB. INA merupakan salah satu layanan Single Sign On (SSO) di ITB. Salah satu layanan yang dapat digunakan adalah email @students.itb.ac.id (khusus mahasiswa). Pada tulisan ini dibahas penerapan brute force attack pada SMTP server ITB dan pengaruh yang ditimbulkan, khususnya terhadap keamanan akun INA mahasiswa ITB.

Kata kunci—SSO ITB, SMTP server ITB, INA, brute force attack

BAB 1 Pendahuluan

1.1. Latar Belakang

INA (ITB Network Access) merupakan salah satu layanan Single Sign On (SSO) di ITB. Pemilik akun INA memiliki akses pada layanan-layanan di jaringan kampus ITB. Sekilas INA memberikan kemudahan kepada user. Pengguna dapat menggunakan banyak layanan dengan menggunakan satu akun login.
Keamanan layanan akun INA merupakan salah satu yang harus diperhatikan dalam jaringan kampus ITB. Kemudahan yang diberikan SSO tentu diikuti oleh risiko-risiko yang dapat terjadi. Salah satunya adalah jika terjadi kebocoran kata sandi akan bepengaruh terhadap seluruh layanan.
Salah satu serangan yang dilakukan untuk mendapatkan kata sandi adalah brute force attack. Serangan ini mencoba kemungkinan kombinasi yang ada. Tulisan ini membahas serangan yang menargetkan SMTP server ITB.

1.2. Rumusan Masalah

Berikut adalah rumusan masalah yang akan dibahas berdasarkan latar belakang yang telah dijabarkan sebelumnya.
1. Bagaimana brute force attack pada SMTP server ITB?
2. Bagaimana pengaruh brute force attack pada SMTP server ITB terhadap keamanan akun INA mahasiswa ITB?
3. Bagaimana pengaruh kebocoran kata sandi pada akun INA?

1.3. Tujuan

Berikut adalah tujuan dari tulisan ini berdasarkan rumusan masalah di atas.
4. Mengetahui metode brute force attack pada SMTP server ITB.
5. Mengetahui secara umum pengaruh brute force attack pada SMTP server ITB terhadap keamanan akun INA mahasiswa ITB.
6. Mengetahui secara umum pengaruh kebocoran kata sandi pada akun INA.


BAB 2 Tinjauan Pustaka

2.1. Single Sign On ITB

Single Sign On (SSO) adalah proses authentication dan authorization. Proses authentication membuktikan bahwa pengguna yang dimaksud adalah pengguna yang sebenarnya. Sedangkan proses authorization memastikan bahwa pengguna menggunakan layanan sesuai dengan hak aksesnya. SSO memungkinkan pengguna untuk masuk ke satu aplikasi kemudian dapat mengakses aplikasi lainnya tanpa harus melalui proses login kembali [1].
Institut Teknologi Bandung (ITB) memiliki dua layanan SSO yang secara de facto aktif, yaitu SSO dari Direktorat STI dan SSO dari Direktorat Pendidikan [2]. Tulisan ini fokus membahas SSO dari Direktorat STI (https://login.itb.ac.id/cas/login). SSO tersebut menyediakan layanan berupa email khusus mahasiswa (*@students.itb.ac.id), akses wireless network Hotspot ITB, Internet Proxy, dan Virtual Private Network (VPN). Layanan-layanan tersebut masih akan terus bertambah dan dikembangkan [3].

2.2. SMTP Server ITB

SMTP (Simple Mail Transfer Protocol) adalah protokol yang dibangun untuk mengirimkan email dari satu host ke host lainnya. Penerima-SMTP bisa berupa tujuan akhir atau hanya sebagai perantara. Berikut adalah diagram dari protokol SMTP.

undefined

Gambar 2.1 Model penggunaan SMTP

Setelah saluran transmisi terbentuk, pengirim mengirimkan perintah MAIL kepada penerima. Jika penerima dapat menerima email maka akan membalasnya dengan OK. Kemudian pengirim mengirimkan perintah RCPT yang ditujukan kepada penerima email. Jika penerima dapat menerima maka akan memberikan jawaban OK, jika tidak maka penerima akan memberikan balasan penolakan [4].
Direktorat STI ITB menyediakan layanan SMTP Server (smtp.itb.ac.id) yang dapat diakses dari dalam maupun dari luar ITB melalui software mail client. Secara umum, koneksi ke SMTP Server ITB ada dua metode, yaitu dengan menggunakan koneksi SSL atau koneksi STARTTLS. Dua metode ini dibuat untuk mengantisipasi adanya pemblokiran pada port tertentu oleh provider internet yang digunakan [5].

2.3. Brute Force Attack

Serangan brute force merupakan suatu algoritma dengan metode trial and error yang dilakukan secara terus menerus hingga ditemukan satu solusi yang benar. Algoritma ini dapat menjadi solusi untuk menerobos suatu sistem login. Terdapat kelemahan yang menjadi ciri khas dari algoritma ini yakni kompleksitas waktu yang besar karena akan mencoba setiap kemungkinan yang ada hingga ditemukan solusi yang memenuhi baik di awal, tengah, maupun akhir kemungkinan solusi [6].

 

BAB 3 Pembahasan

3.1. Brute Force Attack pada SMTP Server ITB

Serangan brute force dilakukan dengan mencoba kemungkinan setiap username pada password yang dicoba. Dengan cara tersebut terdapat kemungkinan adanya lebih dari satu kombinasi username dan password yang benar dalam satu percobaan. Percobaan dilakukan dengan mengirimkan email menggunakan SMTP server ITB dengan username dan password yang dicoba ke email penulis. Email tersebut berisi username dan password. Jika username dan password yang dicoba cocok maka akan ada email masuk pada akun penulis.
Pada pelaksanaan brute force, dibutuhkan daftar username dan password. Agar memudahkan, username diambil dari mahasiswa ITB angkatan 2014 dan 2015. Sedangkan password yang dicoba adalah username dan NIM mahasiswa. Berikut tahapan pelaksanaan.

3.1.1. Mendapatkan username. Data pemilik akun INA dapat dilihat pada menu Pengecekan User di ITB Network Information Center (https://nic.itb.ac.id/manajemen-akun/pengecekan-user ). Untuk mengakses layanan tersebut dibutuhkan login terlebih dahulu. Login dilakukan dengan menggunakan username dan password akun INA penulis. Data dapat dicari berdasarkan username, Nomor Induk Mahasiswa (NIM) saat Tahap Persiapan Bersama (TPB), atau NIM saat sudah di jurusan.

undefined

Gambar 3.1 Data pemilik akun INA

Pencarian dilakukan dengan menggunakan NIM TPB. Dapat dilihat pada Gambar 3.1 terdapat data pemilik akun INA berupa username, NIM (TPB, jurusan), nama lengkap, tipe user, alamat email, tanggan kadaluarsa, dan status akun.
Dilakukan web scrapping untuk mempercepat proses pencarian username mahasiswa ITB angkatan 2014 dan 2015. Proses tersebut dilakukan menggunakan CURL dengan script PHP. Hasil kemudian diekstrak dan disimpan dalam database. Berikut HTTP request yang dikirimkan untuk mendapatkan data pengguna.

Tabel 3.1 Isi HTTP request data pengguna

POST /manajemen-akun/pengecekan-user HTTP/1.1
Host: nic.itb.ac.id
Accept: */*
Accept-Encoding: gzip, deflate, br
Cookie: SSESS3a3aca27d869446c6564e6eba553c0d3=mVirjW68lDbxaxhEEQEnY0II_xdFLzay3SqeecUPBUU; _ga=GA1.3.1032378099.1489984471; _gid=GA1.3.397138722.1494230588; has_js=1
Origin: https://login.itb.ac.id
Upgrade-Insecure-Requests: 1
X-DevTools-Emulate-Network-Conditions-Client-Id: cd1ee66f-4100-4d74-84ca-8a0011e6e58d
Referer: https://nic.itb.ac.id/manajemen-akun/pengecekan-user
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/55.0.2883.75 Safari/537.36
Content-Length: 12
Content-Type: application/x-www-form-urlencoded

uid=16514146

Nilai pada Cookie dari request di atas didapat saat penulis melakukan login pada Layanan INA. Berikut gambar data yang telah diekstrak.

undefined 

Gambar 3.2 Web scrapping akun INA

 

undefined

Gambar 3.3 Data pemilik akun INA pada database

 

NIM yang dicari mengikuti pola tertentu. Terdapat delapan digit angka pada NIM mahasiswa ITB. Tiga digit pertama adalah kode fakultas. Berikut adalah kode fakultas di ITB [7].

Tabel 3.2 Kode Fakultas di ITB

No.KodeFakultas
1 160  FMIPA
161   SITH – Program Sains 
162   SF
163   FITB
164   FTTM
165   STEI
166   FTSL
167   FTI
168   FSRD
10  169   FTMD
11  195   FTI – Jatinangor
12  196   FTSL – Jatinangor
13  197   SBM
14  198   SITH – Program Rekayasa
15  199   SAPPK

Khusus untuk mahasiswa angkatan 2014 tidak terdapat NIM 195 dan 196. Dua digit di tengah adalah tahun masuk, dalam kasus ini adalah 14 dan 15. Tiga digit terakhir adalah nomor urut. Pencarian dilakukan dari nomor urut 1 sampai tidak ditemukan mahasiswa pada enam NIM berturut-turut.

3.1.2 Mendapatkan password yang dicoba. Pada kasus ini password yang dicoba adalah NIM TPB dan username mahasiswa. Data tersebut telah didapat pada tahap sebelumnya.

3.1.3 Pengetesan kombinasi username dan password. Pada tahap ini dilakukan pengeteskan semua username dari mahasiswa angkatan 2014 dan 2015 untuk setiap password. Pengetesan dilakukan dengan mencoba mengirim email ke alamat email penulis. Untuk melakukannya, penulis menggunakan tool pengirim email PHPMailer (https://github.com/PHPMailer/PHPMailer).

undefined

Gambar 3.4 Pengaturan pada PHPMailer

Pada PHPMailer diatur protokol yang digunakan adalah SMTP dan host yang dipakai adalah smtp.itb.ac.id. Kemudian dilakukan pemanggilan script PHP tersebut secara terus menerus dengan menggunakan AJAX (Javascript) dengan kombinasi username dan password yang berbeda. Jika Terdapat pesan kesalahan maka kombinasi yang ditest salah. Jika tidak terdapat pesan kesalahan maka kombinasi yang ditest benar.

undefined

Gambar 3.5 Proses brute force

Setelah beberapa kali percobaan, terdapat email masuk dari akun yang ditest. Hal ini menandakan masih ada mahasiswa angkatan 2014 dan 2015 yang menggunakan NIM TPB atau username sebagai kata sandi. Pada percobaan ini hanya menggunakan NIM dan username. Jika password yang dicoba dikembangkan lebih lanjut, misal menggunakan nama lengkap, mungkin akan lebih banyak password yang tertebak.

undefined

Gambar 3.6 Email masuk hasil testing

Pada percobaan yang telah dilakukan, penulis harus mengguanakan akun INA agar mendapatkan data pengetesan. Oleh karena itu, pengetesan dapat dilakukan jika penyerang memiliki akun di Layanan INA.

3.2. Pengaruh Brute Force Attack pada SMTP Server ITB terhadap Keamanan Akun INA Mahasiswa ITB

Layanan email mahasiswa merupakan bagian dari Layanan-layanan SSO ITB. Namun, layanan email tersebut memiliki halaman login sendiri (https://students.itb.ac.id/) dan tidak terhubung dengan layanan lainnya. Layanan email tersebut memiliki username dan password yang sama dengan akun INA.

Jika username dan password Layanan email mahasiswa tertebak maka hal yang sama juga terjadi pada akun INA. Kebocoran akun INA akan mempengaruhi seluruh layanan di dalamnya. Penyerang dapat memanfaatkan layanan-layanan tersebut untuk perbuatan yang tidak bertanggung jawab.

3.3 Pengaruh Kebocoran Kata Sandi pada Akun INA

Kata sandi merupakan bagian penting pada akun INA. Bocornya kata sandi berpengaruh pada hak akses layanan-layanan didalamnya. Layanan-layanan tersebut dapat diakses oleh orang lain seolah-olah dilakukan oleh pengguna yang valid.

Salah satu layanan akun INA adalah email mahasiswa. Penyerang dapat menggunakan layanan tersebut untuk hal-hal yang tidak bertanggung jawab. Layanan tersebut dapat digunakan untuk spamming. Selain itu, akun-akun yang terhubung dengan email tersebut juga dapat diambil alih. Hal ini tentu merugikan pengguna yang sebenarnya.

Penyerang dapat mengguanakan layanan Hotspot ITB dengan menggunakan akun INA yang bocor. Penyerang dapat berselancar di internet untuk hal-hal yang melanggar syarat dan ketentuan penggunaan Layanan Akses Internet. Namun, risiko untuk hal tersebut ditanggung oleh pengguna yang valid.

Lemahnya kata sandi akun INA dapat berpengaruh pada akun-akun lainnya, misal: jejaring sosial, forum, blog, dan lain-lain. Hal ini dikarenakan terdapat kemungkinan penggunakan username dan password yang sama untuk akun yang berbeda.

 

BAB 4 Penutup

4.1. Simpulan

Dari pembahasan di atas dapat ditarik simpulan sebagai berikut.
1. Serangan brute force dapat dilakukan pada SMTP server ITB dengan memanfaatkan celah yang terdapat pada SSO ITB versi Direktorat STI.
2. Serangan brute force dapat berpengaruh pada kebocoran kata sandi akun INA mahasiswa ITB.
3. Bocornya kata sandi akun INA berpengaruh pada hak akses pada layanan-layanan di SSO ITB versi Direktorat STI dan akun-akun pengguna lainnya.

4.2 Saran dan Pengembangan

Saran dari pembahasan di atas adalah sebagai berikut.
1. Gunakan kata sandi yang sulit ditebak. Kata sandi yang kuat merupakan kombinasi huruf kecil, huruf kapital, simbol, dan angka.
2. Gunakan kata sandi yang berbeda untuk setiap akun.
3. Tulisan ini dapat dikembangkan dengan menggunakan metode-metode lain. Juga dapat dibahas penanggulangan masalah yang terjadi.

 

Referensi

[1] Contact Center Enterprise Reference Design Support for Single Sign-On, Cisco Systems, Inc., San Jose, CA, 2016.

[2] Adijarto Waskita. (2014, Mar 01). Single Sign On di berbagai perguruan tinggi Indonesia[Online]. Available: http://wiki.stei.itb.ac.id/display/~waskita/2012/03/15/Single+Sign+On+di+berbagai+perguruan+tinggi+Indonesia [Diakses 7 Mei 2017]

[3] Direktorat Sistem dan Teknologi Informasi. (2017). Layanan Akun INA [Online]. Available: https://ditsti.itb.ac.id/layanan-akun-ina/ [Diakses 8 Mei 2017]

[4] Postel J.B. “Simple Mail Transfer Protocol”, RFC 821, 1982.

[5] Direktorat Sistem dan Teknologi Informasi. (2017). Petunjuk Pemakaian SMTP Server ITB untuk Mengirim Email [Online]. Available: https://ditsti.itb.ac.id/petunjuk-pemakaian-smtp-server-itb/ [Diakses 8 Mei 2017]

[6] Widigdha Aryya Dwisatya, “Penerapan Rekursif dan Analisa Kompleksitas Algoritma Pada Brute Force Login,” Makalah IF2120 Matematika Diskrit Teknik Informatika ITB, Nov. 2013.

[7] Sistem Informasi Akademik ITB. (2017). DaftarJadwal Kelas [Online]. Available: https://ol.akademik.itb.ac.id/frs/displayjadwalkelas.php [Diakses 8 Mei 2017]

 

P.S. 

Uraian di atas sudah tidak berlaku lagi bersamaan dengan update keamanan ITB Network Account.