Dewasa
ini pada saat dunia sedang dikuasai oleh teknologi yang bernama
internet, kita semua pasti menggunakan satu atau lebih aplikasi internet
mulai dari browser, email klient, sampai ke instant messenger.
Kebanyakan aplikasi ini menyimpan informasi sensitif seperti nama
pengguna (username), sandi (password) dilokasi pribadi mereka masing2
menggunakan metode enkripsi masing2. Hal ini untuk mencegah kerumitan
memasuki mandat setiap kali selama proses otentikasi.
Namun hal ini penting untuk diketahui dimana informasi rahasia ini
jika berada ditangan orang lain baik disengaja atau tidak dan taruhannya
privasi kita yang beresiko diketahui. Beberapa aplikasi mengambil
kepedulian terhadap informasi sensitif dari ‘mata-mata’ nakal, Tetapi
sebagian besar aplikasi menggunakan metode sederhana atau tepatnya
metode tak jelas untuk menyimpan mandat (informasi rahasia) yang dengan
mudah dapat menempatkan privasi Anda dalam bahaya karena setiap spyware
pada sistem Anda dapat dengan mudah mengungkap rahasia-rahasia ini. Juga
sama benar dengan siapa saja yang memiliki akses ke sistem anda.
Dalam artikel ini, kita akan membahas dan mengungkapkan tempat
rahasia dimana aplikasi menyimpan password dan informasi penting
lainnya, juga teknik enkripsi yang diterapkan pada masing2 aplikasi
populer saat ini. juga akan disajikan petunjuk tentang bagaimana
seseorang dapat menemukan password tersebut menggunakan alat-alat yang
tersedia saat ini.
Password Rahasia Aplikasi Windows
Berikut adalah daftar aplikasi yang populer jatuh ke dalam berbagai
kategori seperti browser internet, klien Email, Instant Messenger dll,
sandi rahasia yang terekspos di bawah ini.
Internet Browsers
- Firefox
Firefox dengan versi 3.5 dan versi sebelumnya menyimpan sign-on password di file ‘signons.txt‘ yang terletak di direktori profilnya. Dengan versi 3.5 dan versi seterusnya Firefox mulai menyimpan ‘signons.sqlite‘ sign-on password di file database bernama Sqlite. Password yang disimpan dalam sign-on file yang dienkripsi menggunakan Triple-DES diikuti oleh mekanisme pengkodean BASE64.
Berikut adalah lokasi default direktori profil Firefox,
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Mozilla\Firefox\Profiles\<random_name>.default
[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Mozilla\Firefox\Profiles\<random_name>.default
|
Firefox menyediakan opsi perlindungan tambahan yang dinamakan “master
password” untuk mencegah pengguna berbahaya dari menemukan sign-on
password ini. sebagai Master Password tersebut tidak disimpan langsung
dimana saja tetapi ini salah satu cara hash dan informasi terkait
lainnya disimpan dalam file key3.db dalam direktori profil.
- Flock
Flock Browser menggunakan format penyimpanan yang sama & mekanisme enkripsi seperti Google Chrome.
Ini menyimpan password login website dalam file database sqlite yang disebut ‘Login Data‘ di lokasi profil berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Flock\User Data\Default
[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\Local\Flock\User Data\Default
|
Setiap sign-on yang tersimpan masuk terutama berisi URL situs web, id
username dasar, username, password id dan kata sandi terenkripsi.
- Internet Explorer
Internet Explorer menyimpan dua jenis password, password sign-on dan
otentikasi HTTP dasar (biasanya proxy, router konfigurasi). IE dibawah
versi 7 menyimpan baik sign-on dan password otentikasi HTTP dasar di
lokasi yang aman yang dikenal sebagai ‘Protected Storage‘ di lokasi registri berikut:
HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider
|
Dengan versi IE 7 dan seterusnya menggunakan mekanisme baru untuk
menyimpan sign-on password. Kata sandi terenkripsi untuk setiap situs
web disimpan bersama dengan hash dari URL situs web di lokasi registri
berikut:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2
|
Juga IE 7 dan seterusnya, HTTP password otentikasi dasar disimpan di ‘Credentials store‘ di lokasi berikut berdasarkan pada sistem operasi:
[Windows XP]
C:\Documents and Settings\[username]\Application Data\Microsoft\Credentials
[Windows Vista and Windows 7]
C:\Users\[username]\AppData\Roaming\Microsoft\Credentials
|
- Google Chrome
Google Chrome menyimpan semua sign-on password di file database sqlite disebut ‘Web Data‘ dalam direktori profil. Versi yang lebih baru menggunakan file ‘Data Login‘ untuk menyimpan password login. Berikut adalah lokasi default direktori profil Chrome:
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Google\Chrome\User Data\Default
[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\Local\Google\Chrome\User Data\Default
|
Setiap sign-on masuk yang tersimpan terutama berisi URL situs web,
id username dasar, username, password id dan kata sandi terenkripsi.
- Google Chrome Canary atau SXS
Google Chrome Canary atau SXS adalah versi uji paralel Chrome dimana
pengguna dapat men-download dan menguji, dengan membantu Google untuk
merilis versi stabil dari Chrome.
Seperti Chrome, ternyata juga menyimpan semua sign-on password di file database sqlite disebut ‘Web Data‘
dalam direktori profil. Versi yang lebih baru menggunakan file ‘Data
Login’ untuk menyimpan password login. Namun lokasi profil Chrome Canary
dibuat sedikit berbeda, ini dia lokasinya:
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Google\Chrome SXS\User Data\Default
[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\Local\Google\Chrome SXS\User Data\Default
|
Juga menggunakan teknik penyimpanan yang sama dan mekanisme enkripsi
seperti Chrome. Setiap sign-on yang tersimpan masuk terutama berisi URL
situs web, id username dasar, username, password id dan password
terenkripsi.
- Opera
Opera menyimpan password login dalam format yang dienkripsi ‘Magic Wand File‘ dipanggil ‘Wand.dat‘ di dalam direktori profilnya. Lokasi profil yang berbeda untuk berbagai versi Opera seperti yang ditunjukkan di bawah ini:
Untuk Versi Opera 10 dan keatas
[Windows NT/2K/2k3/XP]
C:\Documents and Settings\<username>\Application Data\Opera\Opera\wand.dat
[Windows Vista/Windows 7]
C:\users\<username>\AppData\Roaming\Opera\Opera\wand.dat
|
Untuk Versi Opera dibawah 10
[Windows NT/2K/2k3/XP]
C:\Documents and Settings\<username>\Application Data\Opera\Opera\profile\wand.dat
[Windows Vista/Windows 7]
C:\users\<username>\AppData\Roaming\Opera\Opera\profile\wand.dat
|
File Wand terutama berisi URL situs web, username dan informasi password yang dienkripsi dengan menggunakan algoritma Triple-DES.
- Safari
Safari menggunakan format penyimpanan yang kuat dan mekanisme
enkripsi untuk secara aman menyimpan password login website. Password
Login bersama dengan informasi lainnya yang disimpan pada file ‘keychain.plist‘ di lokasi berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Apple Computer\Preferences
[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\AppData\Roaming\Apple Computer\Preferences
|
File “Keychain” menggunakan “binary Property List format” (biasanya
ditemukan di MAC) yang berisi informasi seperti nama situs server, login
user & password terenkripsi. Sandi dienkripsi menggunakan fungsi
Kriptografi dengan nilai garam untuk membuatnya tetap kuat.
Email Klien
- ThunderBird
ThunderBird menyimpan semua ingatan setting email bersama dengan sandi file database SQLite menjadi ‘signons.sqlite‘ di lokasi profilnya. lokasi Profil default untuk platform yang berbeda seperti tertera dibawah ini:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Thunderbird\Profiles\<random_name>.default
[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Thunderbird\Profiles\<random_name>.default
|
- Microsoft Outlook
Versi yang lebih baru Outlook mulai dari tahun 2002 sampai versi
terbaru 2010, menyimpan password (selain exchange server) untuk berbagai
akun email seperti POP3, IMAP, SMTP, HTTP di lokasi registri berikut:
[Windows NT sebelumnya]
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles
[Windows NT seterusnya]
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles
|
Versi lebih baru dari Outlook 2002-2010 menyimpan password server Exchange di ‘Credential Store‘ karena menyediakan perlindungan lebih baik dari metode lain.
Outlook Versi lama (Outlook Express, 98, 2000 dll) menyimpan
informasi konfigurasi email beserta sandi yang dienkripsi pada lokasi
registri berikut:
[Untuk Outlook terinstal di Internet Hanya pada Mode Konfigurasi Mail]
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts
[Untuk Outlook dalam mode normal]
HKCU\Software\Microsoft\Internet Account Manager\Accounts
|
- Gmail Notifier
Gmail Notifier menggunakan mekanisme yang berbeda untuk menyimpan
password account Google berdasarkan pada versi IEi. Untuk IE versi 7 dan
seterusnya, Gmail Notifier menyimpan kata sandi dalam ‘Windows Credential Store‘. Password ini dapat didekripsi dengan menggunakan fungsi API CredEnumerate.
Instant Messengers
- Google Talk (GTalk)
Google Talk (GTalk) menyimpan semua ingatan informasi account gmail di lokasi registri berikut:
HKEY_CURRENT_USER\Software\Google\Google Talk\Accounts
|
Untuk setiap account Google kunci registri dibuat terpisah dengan
email account id sebagai nama dalam kunci ini. Password Account
dienkripsi dan disimpan dalam nilai string registry bernama ‘pw‘ dalam account kunci registri ini.
- Windows Live Messenger
Windows Live Messenger menyimpan password account di ‘Credential
Store’ yang menyediakan mekanisme yang berbeda seperti ‘Generic’,
‘Domain Network’, ‘Domain Visible Network’ dll, dimana aplikasi yang
dapat digunakan untuk menyimpan dan mengambil mandat pribadi mereka.
Setiap metode tersebut membutuhkan teknik yang berbeda dan tingkat hak
istimewa untuk menghitung dan mendekripsikan password.
Windows Live Messenger menggunakan mekanisme ‘Generik Password‘ dari ‘Credential Store‘ untuk menyimpan password dengan nama target ‘WindowsLive:name=‘.
- MSN Messneger
MSN Messenger juga menggunakan ‘Credential Store‘ untuk menyimpan dengan aman password yang diingat. Kata sandi ini disimpan sebagai ‘Domain Visible Network‘ aka ‘.Net Passport‘ menggunakan nama target sebagai ‘.Net passport‘ dalam ‘Credential Store‘.
- Yahoo Messenger
Yahoo Messenger sebelum versi 7 menyimpan sandi pada nilai registry ‘EOptions String‘ di lokasi registri berikut:
HKEY_CURRENT_USER\Software\Yahoo\Pager
|
Password ini dienkripsi dan kemudian dikodekan menggunakan algoritma Yahoo64 (mirip dengan Base64) dan disimpan di lokasi di atas. Algoritma aktual dan fungsi pengkodean hadir dalam ycrwin32.dll (dapat ditemukan di lokasi terpasangnya Yahoo Messenger).
Untuk versi 7 dan seterusnya, Penyimpanan bukti terenkripsi Yahoo
yang berasal dari username & password pada nilai registry ‘ETS’
pada lokasi registri yang sama. Meskipun Anda tidak dapat mendekripsi
kembali tanda ini ke sandi tetapi Anda dapat menyalinnya ke komputer
lain dan dipakai terus untuk login ke Yahoo Messenger.
- Skype
Skype tidak menyimpan password secara langsung. Sebaliknya menyimpan hash terenkripsi dari password di ‘config.xml yang berlokasi di direktori profil pengguna Skype. Direktori profil pengguna Khas untuk Skype adalah sebagai berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Skype\<account_name>
[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\Skype\<account_name>
|
Config.xml ini berisi label yang berisi “hash” terenkripsi dari password. Sesuai laporan penelitian ‘Vanilla Skype‘ ditulis oleh Fabrice Desclaux dan Kostya Kortchinsky, Skype menggunakan hash MD5 dari string “username\nskyper\npassword” untuk otentikasi. Jika pengguna telah menetapkan pilihan ‘Remember password‘ maka ini MD5 hash dienkripsi menggunakan algoritma AES-256 & SHA-1 dan akhirnya disimpan ke file ‘config.xml‘.
Karena Hash dari password tersebut disimpan, tidak mungkin untuk
langsung mendapatkan password. Sebaliknya kita harus menggunakan kamus
atau pendekatan brute force untuk mengetahui password yang benar dari
hash. Pendekatan ini mungkin waktu berhari-hari atau bulan bersama-sama
berdasarkan pada panjang dan kompleksitas dari password.
- AIM (AOL Instant Messenger)
AIM versi 6 dan seterusnya menyimpan password di lokasi registri berikut:
HKEY_CURRENT_USER\Software\America Online\AIM6\Passwords
|
AIM versi PRO menggunakan lokasi registri yang berbeda untuk menyimpan password:
HKEY_CURRENT_USER\Software\AIM\AIMPRO\<Account_Name>
|
AIM menggunakan algoritma Blowfish untuk mengenkripsi password dan kemudian encode dengan menggunakan metode BASE64. Kata sandi yang dihasilkan disimpan pada lokasi registri di atas.
- Trillian
[Version 4.21 build 24] – [Version 5.0.0.26]
Trillian Astra hanya menyimpan password account utama (disebut sebagai password atau Identity Astra) di file ‘accounts.ini‘
di lokasi yang disebutkan di bawah ini. Tapi semua password account IM
lainnya (seperti Yahoo, Gtalk, AIM, MSN dll) disimpan di server.
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Trillian\users\global\
[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\Trillian\users\global\
|
Untuk setiap account mengandung bagian bernama ‘[Account ]‘ dimana semua informasi account yang disimpan. Username disimpan di bidang bernama ‘Account =‘ dan password disimpan dalam bidang ‘Password =‘. Trillian pertama kali melakukan pengkodean XOR dari password dengan pola standar dan kemudian encode dengan BASE64 sebelum menyimpannya.
- Pidgin (Sebelumnya Gaim)
Pidgin menyimpan semua password account dikonfigurasi di file “Accounts.xml” terletak di direktori berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\.purple
[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\.purple
|
Versi yang lebih lama (Gaim) menggunakan .gaim folder sebagai pengganti .purple untuk menyimpan rincian account. Untuk setiap account yang tersimpan, berisi file ‘Accounts.xml’ label , yang memiliki label sub &
berisi alamat account email dan password dalam masing-masing teks biasa.
- Digsby
Versi yang lebih baru Digsby (Build 83 – r27225 sampai tulisan ini) menyimpan password account utama dalam file ‘logininfo.yaml‘ di lokasi berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Digsby
[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Local\Digsby
|
Digsby menyimpan hanya sandi account lokal utama dan semua password
account IM lainnya (seperti Yahoo, Gmail, AIM) disimpan di server.
Sandi utama Digsby dienkripsi menggunakan algoritma khusus dengan nama
pengguna, jendela produk id, tanggal instal sebagai password kunci dan
yang dihasilkan kemudian dikodekan dengan BASE64 sebelum disimpan ke dalam file password di atas.
Versi Digsby Sebelumnya menyimpan sandi pada file ‘Digsby.dat‘ pada lokasi berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Digsby
[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Digsby
|
Versi Digsby Sebelumnya menggunakan string hardcoded ‘foo‘ sebagai kunci tanpa pengkodean BASE64.
- PaltalkScene
PaltalkScene menyimpan sandi account utama di lokasi registri berikut:
HKEY_CURRENT_USER\Software\Paltalk\<nick_name>
|
Password dienkripsi dan disimpan dalam nilai registri ‘pwd‘
di bawah kunci ini. Semua password IM lain seperti Gmail, Yahoo, AIM
dll tersimpan dalam sub kunci terpisah di bawah kunci registri ini.
Misalnya account Gmail disimpan dalam kunci registri berikut:
HKEY_CURRENT_USER\Software\Paltalk\<nick_name>\GGL\<gmail_address>
|
Semua password IM dikodekan dengan BASE64 dan disimpan dalam nilai registry ‘pwd‘.
- Beyluxe Messenger
Beyluxe Messenger menyimpan sandi account utama di lokasi registri berikut:
HKEY_CURRENT_USER\Software\Beyluxe Messenger\<nick_name>
|
Password untuk setiap pengguna dienkripsi dan disimpan dalam nilai registri ‘password‘ di bawah kunci ini.
- MySpace IM
MySpaceIM adalah salah satu instant messenger mendatang yang menyimpan user account & password rincian di lokasi berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\MySpace\IM\users.txt
[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\MySpace\IM\users.txt
|
Para pengguna login id email disimpan dalam teks yang jelas di mana
sebagai password dalam format terenkripsi. Kata sandi dienkripsi
menggunakan fungsi ‘Windows Crypto API’ dan kemudian dikodekan
menggunakan algoritma BASE64 sebelum disimpan ke dalam file ini. Jadi
untuk mendekripsi dengan sukses kita harus memecahkan kode password
menggunakan BASE64 dan kemudian mendekripsi menggunakan fungsi CryptUnprotectData.
- Miranda IM
Miranda merupakan messenger berbasis open source populer belakangan
ini. Seperti kebanyakan instant messenger, Miranda juga menyimpan semua
informasi akun pengguna termasuk password di lokasi profil. Hal ini
untuk menbantu pengguna dari mengetikkan password setiap kali.
Versi terbaru dari Miranda (v0.9.10) menyimpan user account & password pada file profile di lokasi berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Miranda\%profile_name%\%profile_name%.dat
[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\Miranda\%profile_name%\%profile_name%.dat
|
Pengguna dapat memiliki beberapa profil khusus di lingkungan kantor
atau rumah dan informasi account yang sesuai disimpan dalam file profil
masing-masing.
Versi awal dari Miranda menyimpan semua informasi account dalam file
dat langsung. dalam basis lokasi seperti yang ditunjukkan di bawah ini:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Miranda\<profile_name>.dat
[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Miranda\<profile_name>.dat
|
Miranda menggunakan mekanisme milik sendiri untuk mengenkripsi password sebelum menyimpan ke dalam file profil.
Aplikasi Lainnya
- FileZilla
FileZilla menyimpan semua informasi account bersama dengan username & password di file “recentservers.xml” di lokasi berikut:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\FileZilla
[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\FileZilla
|
File Xml ini berisi entri untuk setiap account server ftp dengan label . Untuk setiap entri server, ada & label
yang berisi nama pengguna dan password dalam teks biasa untuk server FTP yang sesuai.
- Remote Desktop
Remote Desktop menyimpan mandat disimpan di ‘Credential Store‘ menggunakan nama target sebagai ‘LegacyGeneric: target = TERMSRV / ‘. Seperti banyak aplikasi menggunakan ‘Credential Store‘
untuk menyimpan password mereka, nama target ini bisa digunakan untuk
secara unik mengidentifikasi ‘Remote Desktop’ password tersimpan.
- Google Desktop Search
Google Desktop Search menyimpan informasi account
Google dalam registri ketika dikonfigurasi untuk mencari account Gmail.
Berikut adalah lokasi registrinya:
HKEY_CURRENT_USER\Software\Google\Google Desktop\Mailboxes\Gmail
|
Kunci registri di atas berisi 2 nilai registry utama, ‘POP3_name‘ & ‘POP3_credentials‘ memegang nama account Google & password yang masing-masing terenkripsi.
- Picasa
Google Picasa menyimpan informasi password account di salah satu lokasi registri berikut:
HKEY_CURRENT_USER\Software\Google\Picasa\Picasa2\Preferences
HKEY_CURRENT_USER\Software\Google\Picasa\Picasa3\Preferences
|
Beberapa rilis awal versi Picasa 3 yang digunakan adalah lokasi
kedua, tetapi kemudian beralih kembali ke lokasi sebelumnya itu sendiri.
Nilai registry ‘gaiaEmail‘ berisi id akun Google dan ‘gaiaPass‘ berisi password terenkripsi. Picasa versi 2 dan 3 menggunakan mekanisme enkripsi yang berbeda untuk menyimpan password.
- TweetDeck
TweetDeck merupakan salah satu klien Twitter populer yang juga
mendukung jaringan situs sosial lain seperti Facebook, LinkedIn,
MySpace, Buzz dll, dikembangkan menggunakan Adobe Air framework dan
karena itu menggunakan Encrypted Local Storage (ELS) mekanisme yang disediakan oleh Adobe Air
untuk menyimpan semua kredensial account. File-file password yang
terenkripsi disimpan di lokasi berikut berdasarkan pada platform:
[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Adobe\AIR\ELS\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1
[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Adobe\AIR\ELS\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1
|
Pada Windows, Adobe AIR menggunakan fungsi DPAPI untuk mengenkripsi
kredensial menggunakan algoritma AES-CBC 128 bit . Berikut adalah urutan
khas yang umumnya digunakan untuk menyimpan data rahasia:
var strToEncrypt:String = "passw0rd";
var myByteArray:ByteArray = new ByteArray();
myByteArray.writeUTFBytes(strToEncrypt);
EncryptedLocalStore.setItem("securityxploded", myByteArray);
|
Demikian rangkuman tentang lokasi dimana aplikasi yang populer saat ini menyimpan passwordnya.
12:00
apri
