Brute Force Attack

Serangan brute-force adalah sebuah teknik serangan terhadap sebuah sistem keamaman komputer 
yang menggunakan percobaan terhadap semua kunci yang mungkin. Pendekatan ini pada awalnya merujuk pada sebuah program komputer yang mengandalkan kekuatan pemrosesan komputer dibandingkan kecerdasan manusia.  Istilah brute force sendiri dipopulerkan oleh Kenneth Thompson, dengan mottonya:

"When in doubt, use brute-force" (jika ragu, gunakan brute-force).

Secara sederhana, sistem serangan brute-force adalah sistem menebak password dan mencoba semua kombinasi karakter yang mungkin.  Brute force attack digunakan untuk menjebol akses ke suatu host (server/workstation/network) atau kepada data yang terenkripsi. Metode ini dipakai para cracker untuk mendapatkan account secara tidak sah, dan sangat berguna untuk memecahkan enkripsi. Pemakaian password sembarangan, memakai password yang hanya sepanjang 3 karakter, menggunakan kata kunci yang mudah ditebak, menggunakan password yang sama, menggunakan nama, memakai nomor telepon, sudah pasti sangat tidak aman. Beberapa faktor yang menjadi keuntungan seorang hacker, bisanya disebabkan oleh kemalasan manusia itu sendiri. Namun brute force attack bisa saja memakan waktu lama bahkan sampai berbulan-bulan atau tahun tergantung dari tingkat kerumitan password dan kecepatan prosesornya.

Hal-hal yang perlu diperhatikan dalam menggunakan metode brute force attack :

a.        Asumsikan bahwa password diketik dalam huruf kecil (lower case).

Pada kasus ini, waktu yang dibutuhkan akan cenderung sama tetapi jika password mengandung huruf kapital (upper case) cara ini tidak akan berhasil.

b.       Coba semua kemungkinan.

Tujuh karakter lower case membutuhkan sekitar 4 jam untuk berhasil mendapatkan password  tetapi jika dicoba semua kemungkinan kombinasi antara karakter upper case dan lower case akan membutuhkan waktu sekitar 23 hari.

c.       Metode ketiga adalah trade-off.

Hanya kombinasi-kombinasi yang mungkin yang dimasukkan dalam pencarian, sebagai contoh “password”, “PASSWORD” dan “Password”. Kombinasi rumit seperti “pAssWOrD” tidak dimasukkan dalam proses. Dalam kasus ini, lambatnya proses dapat tertangani tetapi ada kemungkinan password tidak ditemukan.

Feasibility dari sebuah brute force attack tergantung dari panjangnya cipher yang ingin dipecahkan, dan jumlah komputasi yang tersedia untuk penyerang. Kuncinya adalah mencoba semua kemungkinan password dengan formula seperti berikut. 



L = jumlah karakter yang kita ingin definsikan

m = panjang minimum dari kunci

M = panjang maksimal dari kunci

Contohnya saat kita ingin meretas sebuah LanManager paswords (LM) dengan karakter set "ABCDEFGHIJKLMNOPQRSTUVWXYZ" dengan jumlah 26 karakter, maka brute force cracker harus mencoba  = 8353082582 kunci yang berbeda. Jika ingin meretas password yang sama dengan set karakter set "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789! @#$%^&*()-_+=~`[]{}|\:;"'<>,.?/", jumlah kunci akan dihasilkan akan naik menjadi 6823331935124. Brute Force attack melakukan perbandingan string matching antara pattern dengan text per karakter dengan pseudocode berikut :

do if (text letter == pattern letter)

compare next letter of pattern to next letter of text

else move pattern down text by one letter

while (entire pattern found or end of text)

Brute-Foce Indicator/Charactersitic

Sebuah serangan brute-force  memiliki beberapa ciri-ciri tertentu. Berikut adalah beberapa ciri-ciri indikator yang dapat menjadi parameter penulis dalam mendefinisikan sebuah paket serangan brute-force.

1. Jumlah percobaan login gagal berasal dari alamat IP yang sama

2. Melakukan percobaan login dengan beberapa/ lebih dari satu username dari alamat IP yang sama.

3. Percobaan login untuk satu account yang berasal dari banyak alamat IP yang berbeda

4. Percobaan gagal login dengan kombinasi username dan password yang terurut sesuai abjad.

5. Login dengan “password hacker” mencurigakan atau tools brute-force  yang biasa digunakan, seperti hydra, ownsyou (ownzyou), washere (wazhere), fanatik, hacksyou, dan lain-lain.

Kelebiahn dari metode brute force adalah dapat membongkar hampir semua jenis enkripsi namun memiliki kelemahan yaitu memerlukan waktu yang sangat lama untuk mendapatkan password. Walaupun sudah kuno, teknik penyerangan yang membosankan ini bisa berhasil seperti yang lebih baru dan menarik. Walaupun dianggap low-tech, brute force attack dapat menjadi sangat efektif dalam membahayakan sebuah Aplikasi Web kecuali mempunyai mekanisme defense tersendiri. Cracking dengan Brute Force akan sangat lamban jika dihadapkan pada enkripsi yang kuat,(misalnya dengan ukuran password yang lebih panjang).