Tugas Keamanan Sistem Lanjut : E-mail Sniffing


Artikel berikut merupakan dokumentasi dari tugas mata kuliah Keamanan Sistem Lanjut dosen Bapak Budi Rahardjo. Ada 2 buah point tugas yang harus dilakukan, sebagaimana yang tertera pada soal berikut ini :

Anda diminta untuk melakukan dua hal:

1. Kirimkan dua (2) attachment kepada diri Anda sendiri, kemudian lihat “raw file” dari berkas email tersebut. Tunjukkan bagaimana attachment diproses dalam email.
2. Anda diminta untuk menyadap email dengan menggunakan tcpdump, wireshark, atau mailsnarf. (Pilih salah satu saja.) Tunjukkan bagaimana mail yang disadap itu.

Untuk dapat melakukan tugas ini, saya menggunakan 2 buah perangkat GNU/Linux yaitu Mozilla Thunderbird dan Wireshark pada sistem operasi GNU/Linux Ubuntu 9.04, satu – satunya OS yang saya punya di laptop Toshiba.

Bagian pertama, yaitu mengirimkan sebuah email ke diri sendiri disertai attachment (sisipan) lalu menunjukkan raw file dari berkas email tersebut, sehingga bisa dilihat bagaimana suatu sisipan diproses dalam email. Untuk ini, saya membuka Mozilla Thunderbird, membuatkan akun ke Gmail, kemudian melakukan koneksi login. Setelah proses selesai, saya mengirimkan e-mail ke alamat email saya sendiri (Gmail) dari akun email saya di Telkom. Kemudian setelah muncul di inbox Gmail (pada Thunderbird), cukup menekan Ctrl U untuk melihat source secara lebih lengkap. Perhatikan 2 buah capture di bawah ini :

Membuka email dari Thunderbird

Membuka email dari Thunderbird

Melihat source email secara keseluruhan

Melihat source email secara keseluruhan

dan berikut adalah source e-mail tersebut secara keseluruhan, berdasarkan gambar nomor 2 di atas :

From - Tue Apr 5 18:05:11 2011
X-Account-Key: account3
X-UIDL: GmailId12f2555a454fb10b
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:
Delivered-To: i.putu.agus.eka.pratama@gmail.com
Received: by 10.43.59.77 with SMTP id wn13cs52634icb;
Tue, 5 Apr 2011 04:04:22 -0700 (PDT)
Received: by 10.236.111.6 with SMTP id v6mr4140732yhg.296.1302001462075;
Tue, 05 Apr 2011 04:04:22 -0700 (PDT)
Return-Path:
Received: from smtp.gate.s2d5.telkom.net (smtp.gate.s2d5.telkom.net [125.160.6.107])
by mx.google.com with ESMTPS id p52si15280180yhm.15.2011.04.05.04.04.20
(version=TLSv1/SSLv3 cipher=OTHER);
Tue, 05 Apr 2011 04:04:20 -0700 (PDT)
Received-SPF: neutral (google.com: 125.160.6.107 is neither permitted nor denied by domain of bytescode@telkom.net) client-ip=125.160.6.107;
DomainKey-Status: bad format
Authentication-Results: mx.google.com; spf=neutral (google.com: 125.160.6.107 is neither permitted nor denied by domain of bytescode@telkom.net) smtp.mail=bytescode@telkom.net; domainkeys=neutral (bad format) header.From=bytescode@telkom.net
Received: from [125.160.17.195] (helo=smtpf2.telkom.net)
by server2.gate.telkom.net with esmtps (TLSv1:AES256-SHA:256)
id 1Q743W-0002Vn-64
for i.putu.agus.eka.pratama@gmail.com; Tue, 05 Apr 2011 18:04:18 +0700
Received: from [222.124.18.77] (helo=fm2.smtp.telkom.net)
by smtpf2.telkom.net with esmtps (TLSv1:AES256-SHA:256)
id 1Q743V-00065V-HM
for i.putu.agus.eka.pratama@gmail.com; Tue, 05 Apr 2011 18:04:17 +0700
Received: from out-mta1.plasa.com (out-mta1.plasa.com [202.134.0.40])
by fm2.smtp.telkom.net with ESMTP id p35B4Fx5021738-p35B4Fx7021738
(version=TLSv1 cipher=DHE-RSA-AES256-SHA bits=256 verify=NO)
for ; Tue, 5 Apr 2011 18:04:15 +0700
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=katrina; d=telkom.net;
b=c6NfYaNRX5AX+m9q5Ysfsy15lGJq6caF9+Da/3lx7HzLPd/VLEcl8e6tFc0lAOKkRn498ZyX2UyFh55RQg5lXw==;
Received: from HELO c.plasa.com
by out-mta1.plasa.com 47 with esmtp id 1Q743T-0005YO-0T
for i.putu.agus.eka.pratama@gmail.com; Tue, 05 Apr 2011 18:04:15 +0700
Received: from [192.168.129.173] (account bytescode@telkom.net)
by b1.c.plasa.com (CommuniGate Pro WebUser 4.3.9)
with HTTP id 1027989 for i.putu.agus.eka.pratama@gmail.com; Tue, 05 Apr 2011 18:04:14 +0700
From: "bytescode"
Subject: Tes
To: i.putu.agus.eka.pratama@gmail.com
X-Mailer: CommuniGate Pro WebUser Interface v.4.3.9
Date: Tue, 05 Apr 2011 18:04:14 +0700
Message-ID:
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_===1027989====b1.c.plasa.com===_"

This is a multi-part MIME message

--_===1027989====b1.c.plasa.com===_
Content-Type: text/plain; charset="ISO-8859-1"; format="flowed"
Content-Transfer-Encoding: 8bit

Silahkan cek sisipan.
=============================================================================================

Segera nikmati Free Trial 60 hari Protector Postpaid layanan keamanan online bagiPelanggan Speedy.
Info lebih lanjut hubungi 147 atau http://protector.telkomspeedy.com

=============================================================================================

du du du du du, download 'n streaming lagu di http://www.fulltrek.com.
Gratis 10 lagu tiap bulan untuk pelanggan speedy

=============================================================================================

--_===1027989====b1.c.plasa.com===_
Content-Type: text/plain
Content-Disposition: attachment;
filename="hammer.txt"
Content-Transfer-Encoding: base64
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--_===1027989====b1.c.plasa.com===_--

Dari source di atas dapat diketahui bahwa attachment menggunakan encoding based 64 untuk sisi keamanan. Dan bisa juga dilihat (tracing) asal email (sehingga bisa mengetahui apakah email ini asli/benar ataukah sebuah spam), dan sebagainya.

Dari hal ini dapat disimpulkan bahwa soal nomor 1 dapat terselesaikan dengan baik.

Berikutnya ke soal nomor 2. Saya mengaktifkan tool wireshark dengan akses root menggunakan jalur eth0 (wired). Seperti di soal, selain wireshark, bebas menggunakan salah satu dari 3 tool yang disebutkan. namun dalam hal ini GUI wireshark lebih memudahkan siapapun untuk menggunakannya.
Biarkan wireshark menjalankan tugasnya mencapture semua pkaet di jaringan via interface eth0. Saya mensetting kembali akun baru di Mozilla Thunderbird untuk akun email saya di Students ITB. Jika dibandingkan akun di Gmail dan Yahoo, akun di Students ITB realtif tidak terenkripsi dengan baik sehingga saat disniffing akan menampilkan pesan yang dikirimkan. Setelah settingan di Thunderbird selesai, saya mengirimkan email dari putu-shinoda@students.itb.ac.id ke email saya sendiri (putu-shinoda@students.itb.ac.id) berupa pesan singkat dengan attachment file text dan file gambar. Setelah masuk ke inbox, kini saatnya beralih kembali ke Wireshark yang masih menjalankan tugasnya. Kini cukup tambahkan filter pop (karena layanan pop3) sehingga yang difilter hanya paket dari protokol pop saja. Sedikit tracing, akhirnya ditemukan paket data dari email yang yang saya kirimkan barusan.

Gambar berikut menunjukkan wireshark saat mengendus semua paket yang ada di jaringan tanpa filetr apapun :

Wireshark tanpa filter

Wireshark tanpa filter

Dan gambar berikut dengan filter pop, perhatikan paket yang ditampilkan :

Wireshark filter pop

Wireshark filter pop

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s