Dewasa ini pada saat dunia sedang dikuasai oleh teknologi yang bernama internet, kita semua pasti menggunakan satu atau lebih aplikasi internet mulai dari browser, email klient, sampai ke instant messenger. Kebanyakan aplikasi ini menyimpan informasi sensitif seperti nama pengguna (username), sandi (password) dilokasi pribadi mereka masing2 menggunakan metode enkripsi masing2. Hal ini untuk mencegah kerumitan memasuki mandat setiap kali selama proses otentikasi.

Namun hal ini penting untuk diketahui dimana informasi rahasia ini jika berada ditangan orang lain baik disengaja atau tidak dan taruhannya privasi kita yang beresiko diketahui. Beberapa aplikasi mengambil kepedulian terhadap informasi sensitif dari ‘mata-mata’ nakal, Tetapi sebagian besar aplikasi menggunakan metode sederhana atau tepatnya metode tak jelas untuk menyimpan mandat (informasi rahasia) yang dengan mudah dapat menempatkan privasi Anda dalam bahaya karena setiap spyware pada sistem Anda dapat dengan mudah mengungkap rahasia-rahasia ini. Juga sama benar dengan siapa saja yang memiliki akses ke sistem anda.

Dalam artikel ini, kita akan membahas dan mengungkapkan tempat rahasia dimana aplikasi menyimpan password dan informasi penting lainnya, juga teknik enkripsi yang diterapkan pada masing2 aplikasi populer saat ini. juga akan disajikan petunjuk tentang bagaimana seseorang dapat menemukan password tersebut menggunakan alat-alat yang tersedia saat ini.

Password Rahasia Aplikasi Windows

Berikut adalah daftar aplikasi yang populer jatuh ke dalam berbagai kategori seperti browser internet, klien Email, Instant Messenger dll, sandi rahasia yang terekspos di bawah ini.

Internet Browsers

    1. Firefox

Firefox dengan versi 3.5 dan versi sebelumnya menyimpan sign-on password di file ‘signons.txt‘ yang terletak di direktori profilnya. Dengan versi 3.5 dan versi seterusnya Firefox mulai menyimpan ‘signons.sqlite‘ sign-on password di file database bernama Sqlite. Password yang disimpan dalam sign-on file yang dienkripsi menggunakan Triple-DES diikuti oleh mekanisme pengkodean BASE64.

Berikut adalah lokasi default direktori profil Firefox,

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Mozilla\Firefox\Profiles\<random_name>.default

[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Mozilla\Firefox\Profiles\<random_name>.default

Firefox menyediakan opsi perlindungan tambahan yang dinamakan “master password” untuk mencegah pengguna berbahaya dari menemukan sign-on password ini. sebagai Master Password tersebut tidak disimpan langsung dimana saja tetapi ini salah satu cara hash dan informasi terkait lainnya disimpan dalam file key3.db dalam direktori profil.

    1. Flock

Flock Browser menggunakan format penyimpanan yang sama & mekanisme enkripsi seperti Google Chrome.

Ini menyimpan password login website dalam file database sqlite yang disebut ‘Login Data‘ di lokasi profil berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Flock\User Data\Default

[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\Local\Flock\User Data\Default

Setiap sign-on yang tersimpan masuk terutama berisi URL situs web, id username dasar, username, password id dan kata sandi terenkripsi.

    1. Internet Explorer

Internet Explorer menyimpan dua jenis password, password sign-on dan otentikasi HTTP dasar (biasanya proxy, router konfigurasi). IE dibawah versi 7 menyimpan baik sign-on dan password otentikasi HTTP dasar di lokasi yang aman yang dikenal sebagai ‘Protected Storage‘ di lokasi registri berikut:

HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider

Dengan versi IE 7 dan seterusnya menggunakan mekanisme baru untuk menyimpan sign-on password. Kata sandi terenkripsi untuk setiap situs web disimpan bersama dengan hash dari URL situs web di lokasi registri berikut:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

Juga IE 7 dan seterusnya, HTTP password otentikasi dasar disimpan di ‘Credentials store‘ di lokasi berikut berdasarkan pada sistem operasi:

[Windows XP]
C:\Documents and Settings\[username]\Application Data\Microsoft\Credentials

[Windows Vista and Windows 7]
C:\Users\[username]\AppData\Roaming\Microsoft\Credentials
    1. Google Chrome

Google Chrome menyimpan semua sign-on password di file database sqlite disebut ‘Web Data‘ dalam direktori profil. Versi yang lebih baru menggunakan file ‘Data Login‘ untuk menyimpan password login. Berikut adalah lokasi default direktori profil Chrome:

[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Google\Chrome\User Data\Default

[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\Local\Google\Chrome\User Data\Default

Setiap sign-on masuk yang tersimpan terutama berisi URL situs web, id username dasar, username, password id dan kata sandi terenkripsi.

    1. Google Chrome Canary atau SXS

Google Chrome Canary atau SXS adalah versi uji paralel Chrome dimana pengguna dapat men-download dan menguji, dengan membantu Google untuk merilis versi stabil dari Chrome.

Seperti Chrome, ternyata juga menyimpan semua sign-on password di file database sqlite disebut ‘Web Data‘ dalam direktori profil. Versi yang lebih baru menggunakan file ‘Data Login’ untuk menyimpan password login. Namun lokasi profil Chrome Canary dibuat sedikit berbeda, ini dia lokasinya:

[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Google\Chrome SXS\User Data\Default

[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\Local\Google\Chrome SXS\User Data\Default

Juga menggunakan teknik penyimpanan yang sama dan mekanisme enkripsi seperti Chrome. Setiap sign-on yang tersimpan masuk terutama berisi URL situs web, id username dasar, username, password id dan password terenkripsi.

    1. Opera

Opera menyimpan password login dalam format yang dienkripsi ‘Magic Wand File‘ dipanggil ‘Wand.dat‘ di dalam direktori profilnya. Lokasi profil yang berbeda untuk berbagai versi Opera seperti yang ditunjukkan di bawah ini:

Untuk Versi Opera 10 dan keatas

[Windows NT/2K/2k3/XP]
C:\Documents and Settings\<username>\Application Data\Opera\Opera\wand.dat

[Windows Vista/Windows 7]
C:\users\<username>\AppData\Roaming\Opera\Opera\wand.dat

Untuk Versi Opera dibawah 10

[Windows NT/2K/2k3/XP]
C:\Documents and Settings\<username>\Application Data\Opera\Opera\profile\wand.dat

[Windows Vista/Windows 7]
C:\users\<username>\AppData\Roaming\Opera\Opera\profile\wand.dat

File Wand terutama berisi URL situs web, username dan informasi password yang dienkripsi dengan menggunakan algoritma Triple-DES.

    1. Safari

Safari menggunakan format penyimpanan yang kuat dan mekanisme enkripsi untuk secara aman menyimpan password login website. Password Login bersama dengan informasi lainnya yang disimpan pada file ‘keychain.plist‘ di lokasi berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Apple Computer\Preferences

[Windows Vista & Windows 7]
C:\Users\<user_name>\Appdata\AppData\Roaming\Apple Computer\Preferences

File “Keychain” menggunakan “binary Property List format” (biasanya ditemukan di MAC) yang berisi informasi seperti nama situs server, login user & password terenkripsi. Sandi dienkripsi menggunakan fungsi Kriptografi dengan nilai garam untuk membuatnya tetap kuat.

Email Klien

    1. ThunderBird

ThunderBird menyimpan semua ingatan setting email bersama dengan sandi file database SQLite menjadi ‘signons.sqlite‘ di lokasi profilnya. lokasi Profil default untuk platform yang berbeda seperti tertera dibawah ini:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Thunderbird\Profiles\<random_name>.default

[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Thunderbird\Profiles\<random_name>.default
    1. Microsoft Outlook

Versi yang lebih baru Outlook mulai dari tahun 2002 sampai versi terbaru 2010, menyimpan password (selain exchange server) untuk berbagai akun email seperti POP3, IMAP, SMTP, HTTP di lokasi registri berikut:

[Windows NT sebelumnya]
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles

[Windows NT seterusnya]
HKEY_CURRENT_USER\Software\Microsoft\Windows Messaging Subsystem\Profiles

Versi lebih baru dari Outlook 2002-2010 menyimpan password server Exchange di ‘Credential Store‘ karena menyediakan perlindungan lebih baik dari metode lain.

Outlook Versi lama (Outlook Express, 98, 2000 dll) menyimpan informasi konfigurasi email beserta sandi yang dienkripsi pada lokasi registri berikut:

[Untuk Outlook terinstal di Internet Hanya pada Mode Konfigurasi Mail]
HKEY_CURRENT_USER\Software\Microsoft\Office\Outlook\OMI Account Manager\Accounts

[Untuk Outlook dalam mode normal]
HKCU\Software\Microsoft\Internet Account Manager\Accounts
    1. Gmail Notifier

Gmail Notifier menggunakan mekanisme yang berbeda untuk menyimpan password account Google berdasarkan pada versi IEi. Untuk IE versi 7 dan seterusnya, Gmail Notifier menyimpan kata sandi dalam ‘Windows Credential Store‘. Password ini dapat didekripsi dengan menggunakan fungsi API CredEnumerate.

Instant Messengers

    1. Google Talk (GTalk)

Google Talk (GTalk) menyimpan semua ingatan informasi account gmail di lokasi registri berikut:

HKEY_CURRENT_USER\Software\Google\Google Talk\Accounts

Untuk setiap account Google kunci registri dibuat terpisah dengan email account id sebagai nama dalam kunci ini. Password Account dienkripsi dan disimpan dalam nilai string registry bernama ‘pw‘ dalam account kunci registri ini.

    1. Windows Live Messenger

Windows Live Messenger menyimpan password account di ‘Credential Store’ yang menyediakan mekanisme yang berbeda seperti ‘Generic’, ‘Domain Network’, ‘Domain Visible Network’ dll, dimana aplikasi yang dapat digunakan untuk menyimpan dan mengambil mandat pribadi mereka. Setiap metode tersebut membutuhkan teknik yang berbeda dan tingkat hak istimewa untuk menghitung dan mendekripsikan password.

Windows Live Messenger menggunakan mekanisme ‘Generik Password‘ dari ‘Credential Store‘ untuk menyimpan password dengan nama target ‘WindowsLive:name=‘.

    1. MSN Messneger

MSN Messenger juga menggunakan ‘Credential Store‘ untuk menyimpan dengan aman password yang diingat. Kata sandi ini disimpan sebagai ‘Domain Visible Network‘ aka ‘.Net Passport‘ menggunakan nama target sebagai ‘.Net passport‘ dalam ‘Credential Store‘.

    1. Yahoo Messenger

Yahoo Messenger sebelum versi 7 menyimpan sandi pada nilai registry ‘EOptions String‘ di lokasi registri berikut:

HKEY_CURRENT_USER\Software\Yahoo\Pager

Password ini dienkripsi dan kemudian dikodekan menggunakan algoritma Yahoo64 (mirip dengan Base64) dan disimpan di lokasi di atas. Algoritma aktual dan fungsi pengkodean hadir dalam ycrwin32.dll (dapat ditemukan di lokasi terpasangnya Yahoo Messenger).

Untuk versi 7 dan seterusnya, Penyimpanan bukti terenkripsi Yahoo yang berasal dari username & password pada nilai registry ‘ETS’ pada lokasi registri yang sama. Meskipun Anda tidak dapat mendekripsi kembali tanda ini ke sandi tetapi Anda dapat menyalinnya ke komputer lain dan dipakai terus untuk login ke Yahoo Messenger.

    1. Skype

Skype tidak menyimpan password secara langsung. Sebaliknya menyimpan hash terenkripsi dari password di ‘config.xml yang berlokasi di direktori profil pengguna Skype. Direktori profil pengguna Khas untuk Skype adalah sebagai berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Skype\<account_name>

[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\Skype\<account_name>

Config.xml ini berisi label yang berisi “hash” terenkripsi dari password. Sesuai laporan penelitian ‘Vanilla Skype‘ ditulis oleh Fabrice Desclaux dan Kostya Kortchinsky, Skype menggunakan hash MD5 dari string “username\nskyper\npassword” untuk otentikasi. Jika pengguna telah menetapkan pilihan ‘Remember password‘ maka ini MD5 hash dienkripsi menggunakan algoritma AES-256 & SHA-1 dan akhirnya disimpan ke file ‘config.xml‘.

Karena Hash dari password tersebut disimpan, tidak mungkin untuk langsung mendapatkan password. Sebaliknya kita harus menggunakan kamus atau pendekatan brute force untuk mengetahui password yang benar dari hash. Pendekatan ini mungkin waktu berhari-hari atau bulan bersama-sama berdasarkan pada panjang dan kompleksitas dari password.

    1. AIM (AOL Instant Messenger)

AIM versi 6 dan seterusnya menyimpan password di lokasi registri berikut:

HKEY_CURRENT_USER\Software\America Online\AIM6\Passwords

AIM versi PRO menggunakan lokasi registri yang berbeda untuk menyimpan password:

HKEY_CURRENT_USER\Software\AIM\AIMPRO\<Account_Name>

AIM menggunakan algoritma Blowfish untuk mengenkripsi password dan kemudian encode dengan menggunakan metode BASE64. Kata sandi yang dihasilkan disimpan pada lokasi registri di atas.

    1. Trillian

[Version 4.21 build 24] – [Version 5.0.0.26]
Trillian Astra hanya menyimpan password account utama (disebut sebagai password atau Identity Astra) di file ‘accounts.ini‘ di lokasi yang disebutkan di bawah ini. Tapi semua password account IM lainnya (seperti Yahoo, Gtalk, AIM, MSN dll) disimpan di server.

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Trillian\users\global\

[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\Trillian\users\global\

Untuk setiap account mengandung bagian bernama ‘[Account ]‘ dimana semua informasi account yang disimpan. Username disimpan di bidang bernama ‘Account =‘ dan password disimpan dalam bidang ‘Password =‘. Trillian pertama kali melakukan pengkodean XOR dari password dengan pola standar dan kemudian encode dengan BASE64 sebelum menyimpannya.

    1. Pidgin (Sebelumnya Gaim)

Pidgin menyimpan semua password account dikonfigurasi di file “Accounts.xml” terletak di direktori berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\.purple

[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\.purple

Versi yang lebih lama (Gaim) menggunakan .gaim folder sebagai pengganti .purple untuk menyimpan rincian account. Untuk setiap account yang tersimpan, berisi file ‘Accounts.xml’ label , yang memiliki label sub & berisi alamat account email dan password dalam masing-masing teks biasa.

    1. Digsby

Versi yang lebih baru Digsby (Build 83 – r27225 sampai tulisan ini) menyimpan password account utama dalam file ‘logininfo.yaml‘ di lokasi berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Local Settings\Application Data\Digsby

[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Local\Digsby

Digsby menyimpan hanya sandi account lokal utama dan semua password account IM lainnya (seperti Yahoo, Gmail, AIM) disimpan di server. Sandi utama Digsby dienkripsi menggunakan algoritma khusus dengan nama pengguna, jendela produk id, tanggal instal sebagai password kunci dan yang dihasilkan kemudian dikodekan dengan BASE64 sebelum disimpan ke dalam file password di atas.

Versi Digsby Sebelumnya menyimpan sandi pada file ‘Digsby.dat‘ pada lokasi berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Digsby

[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Digsby

Versi Digsby Sebelumnya menggunakan string hardcoded ‘foo‘ sebagai kunci tanpa pengkodean BASE64.

    1. PaltalkScene

PaltalkScene menyimpan sandi account utama di lokasi registri berikut:

HKEY_CURRENT_USER\Software\Paltalk\<nick_name>

Password dienkripsi dan disimpan dalam nilai registri ‘pwd‘ di bawah kunci ini. Semua password IM lain seperti Gmail, Yahoo, AIM dll tersimpan dalam sub kunci terpisah di bawah kunci registri ini. Misalnya account Gmail disimpan dalam kunci registri berikut:

HKEY_CURRENT_USER\Software\Paltalk\<nick_name>\GGL\<gmail_address>

Semua password IM dikodekan dengan BASE64 dan disimpan dalam nilai registry ‘pwd‘.

    1. Beyluxe Messenger

Beyluxe Messenger menyimpan sandi account utama di lokasi registri berikut:

HKEY_CURRENT_USER\Software\Beyluxe Messenger\<nick_name>

Password untuk setiap pengguna dienkripsi dan disimpan dalam nilai registri ‘password‘ di bawah kunci ini.

    1. MySpace IM

MySpaceIM adalah salah satu instant messenger mendatang yang menyimpan user account & password rincian di lokasi berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\MySpace\IM\users.txt

[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\MySpace\IM\users.txt

Para pengguna login id email disimpan dalam teks yang jelas di mana sebagai password dalam format terenkripsi. Kata sandi dienkripsi menggunakan fungsi ‘Windows Crypto API’ dan kemudian dikodekan menggunakan algoritma BASE64 sebelum disimpan ke dalam file ini. Jadi untuk mendekripsi dengan sukses kita harus memecahkan kode password menggunakan BASE64 dan kemudian mendekripsi menggunakan fungsi CryptUnprotectData.

    1. Miranda IM

Miranda merupakan messenger berbasis open source populer belakangan ini. Seperti kebanyakan instant messenger, Miranda juga menyimpan semua informasi akun pengguna termasuk password di lokasi profil. Hal ini untuk menbantu pengguna dari mengetikkan password setiap kali.

Versi terbaru dari Miranda (v0.9.10) menyimpan user account & password pada file profile di lokasi berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Miranda\%profile_name%\%profile_name%.dat

[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\Miranda\%profile_name%\%profile_name%.dat

Pengguna dapat memiliki beberapa profil khusus di lingkungan kantor atau rumah dan informasi account yang sesuai disimpan dalam file profil masing-masing.

Versi awal dari Miranda menyimpan semua informasi account dalam file dat langsung. dalam basis lokasi seperti yang ditunjukkan di bawah ini:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Miranda\<profile_name>.dat

[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Miranda\<profile_name>.dat

Miranda menggunakan mekanisme milik sendiri untuk mengenkripsi password sebelum menyimpan ke dalam file profil.

Aplikasi Lainnya

    1. FileZilla

FileZilla menyimpan semua informasi account bersama dengan username & password di file “recentservers.xml” di lokasi berikut:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\FileZilla

[Windows Vista & Windows 7]
C:\Users\<username>\AppData\Roaming\FileZilla

File Xml ini berisi entri untuk setiap account server ftp dengan label . Untuk setiap entri server, ada & label yang berisi nama pengguna dan password dalam teks biasa untuk server FTP yang sesuai.

    1. Remote Desktop

Remote Desktop menyimpan mandat disimpan di ‘Credential Store‘ menggunakan nama target sebagai ‘LegacyGeneric: target = TERMSRV / ‘. Seperti banyak aplikasi menggunakan ‘Credential Store‘ untuk menyimpan password mereka, nama target ini bisa digunakan untuk secara unik mengidentifikasi ‘Remote Desktop’ password tersimpan.

    1. Google Desktop Search

Google Desktop Search menyimpan informasi account Google dalam registri ketika dikonfigurasi untuk mencari account Gmail. Berikut adalah lokasi registrinya:

HKEY_CURRENT_USER\Software\Google\Google Desktop\Mailboxes\Gmail

Kunci registri di atas berisi 2 nilai registry utama, ‘POP3_name‘ & ‘POP3_credentials‘ memegang nama account Google & password yang masing-masing terenkripsi.

    1. Picasa

Google Picasa menyimpan informasi password account di salah satu lokasi registri berikut:

HKEY_CURRENT_USER\Software\Google\Picasa\Picasa2\Preferences
HKEY_CURRENT_USER\Software\Google\Picasa\Picasa3\Preferences

Beberapa rilis awal versi Picasa 3 yang digunakan adalah lokasi kedua, tetapi kemudian beralih kembali ke lokasi sebelumnya itu sendiri. Nilai registry ‘gaiaEmail‘ berisi id akun Google dan ‘gaiaPass‘ berisi password terenkripsi. Picasa versi 2 dan 3 menggunakan mekanisme enkripsi yang berbeda untuk menyimpan password.

    1. TweetDeck

TweetDeck merupakan salah satu klien Twitter populer yang juga mendukung jaringan situs sosial lain seperti Facebook, LinkedIn, MySpace, Buzz dll, dikembangkan menggunakan Adobe Air framework dan karena itu menggunakan Encrypted Local Storage (ELS) mekanisme yang disediakan oleh Adobe Air untuk menyimpan semua kredensial account. File-file password yang terenkripsi disimpan di lokasi berikut berdasarkan pada platform:

[Windows XP]
C:\Documents and Settings\<user_name>\Application Data\Adobe\AIR\ELS\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1

[Windows Vista & Windows 7]
C:\Users\<user_name>\AppData\Roaming\Adobe\AIR\ELS\TweetDeckFast.FFF259DC0CE2657847BBB4AFF0E62062EFC56543.1

Pada Windows, Adobe AIR menggunakan fungsi DPAPI untuk mengenkripsi kredensial menggunakan algoritma AES-CBC 128 bit . Berikut adalah urutan khas yang umumnya digunakan untuk menyimpan data rahasia:

var strToEncrypt:String = "passw0rd";

var myByteArray:ByteArray = new ByteArray();

myByteArray.writeUTFBytes(strToEncrypt);

EncryptedLocalStore.setItem("securityxploded", myByteArray);

Demikian rangkuman tentang lokasi dimana aplikasi yang populer saat ini menyimpan passwordnya.

Sumber:securityxploded