Logo Bloomberg Technoz

Michael khawatir seseorang akan meretas komputernya dan mendapatkan kata sandinya. “Saat itu, saya sangat paranoid dengan keamanan saya,” cerita dia sambil tertawa.

Joe Grand. (Dok: SecurityWeek)

Joe Grand ‘'Kingpin’ Meretas dan Selamatkan Aset BTC

“Michael” sempat menghubungi beberapa orang yang punya spesialisasi membobol akun kripto namun jawabannya nihil. Seluruhnya menyampaikan bahwa “tidak ada lagi kesempatan [menyelamatkan BTC]”, dan pemilik wallet kembali peruntungannya merayu Joe Grand kembali untuk membantu.

Joe Grand bersama seorang teman bernama Bruno di Jerman yang juga punya spesialisasi hacking dompet digital kemudian bersedia membantu.

Cara Joe Grand meretas adalah memanfaatkan platform generator kata sandi acak RoboForm versi lebih lama lewat metode reverse engineering dimana terdapat probabilitas pengulangan produksi password. Butuh waktu berbulan-bulan Grand dan Bruno mengotak-atik RoboFarm.

Kemudian ditemukan bahwa generator angka acak semu yang digunakan untuk menghasilkan passroword pada versi tersebut—dan versi selanjutnya hingga tahun 2015—memiliki kelemahan yang signifikan yang membuat generator angka acak tersebut menjadi tidak acak. 

Program RoboForm secara tidak tepat mengikat kata sandi acak yang dihasilkannya dengan tanggal dan waktu pada komputer pengguna - program ini menentukan tanggal dan waktu komputer, dan kemudian menghasilkan kata sandi yang dapat diprediksi.

Jika Anda mengetahui tanggal dan waktu serta parameter lainnya, Anda dapat menghitung kata sandi apa pun yang akan dihasilkan pada tanggal dan waktu tertentu di masa lalu.

Jika Michael mengetahui hari atau kerangka waktu umum pada tahun 2013 ketika dia membuatnya, serta parameter yang Michael gunakan untuk membuat kata sandi (misalnya, jumlah karakter pada kata sandi, termasuk huruf kecil dan huruf besar, angka, dan karakter khusus), hal ini akan mempersempit kemungkinan tebakan password menjadi jumlah yang dapat dikelola.

Profesional hacker ini kemudian dapat membajak fungsi RoboForm yang bertanggung jawab untuk memeriksa tanggal dan waktu di komputer dan membuatnya kembali ke masa lalu, dengan meyakini bahwa tanggal saat ini adalah satu hari di tahun 2013 saat Michael membuat kata sandinya.

RoboForm kemudian akan mengeluarkan kata sandi yang sama dengan yang dibuatnya pada hari-hari di tahun 2013. Tapi masalah belum selesai. Pasalnya Michael tidak ingat apapun.

Yang jelas Michael sempat  memindahkan bitcoin ke dalam dompetnya untuk pertama kali pada tanggal 14 April 2013. Namun dia tidak ingat apakah dia membuat kata sandi pada hari yang sama atau beberapa waktu sebelum atau sesudahnya.

 Dengan demikian, saat melihat parameter password lain yang dibuatnya menggunakan RoboForm, Grand dan Bruno mengonfigurasi RoboForm untuk membuat kata sandi 20 karakter dengan huruf besar dan kecil, angka, dan delapan karakter khusus dari tanggal 1 Maret hingga 20 April 2013.

Saat gagal menghasilkan kata sandi yang tepat pada waktu tersebut, ,Grand dan Bruno memperpanjang periode dari 20 April hingga 1 Juni 2013, menggunakan parameter yang sama.

Setelah banyak percobaan, mereka mereka akhirnya menemukan kata sandi yang benar-tanpa karakter khusus. Kata sandi ini dibuat pada tanggal 15 Mei 2013, pukul 4:10:40 GMT.

“Kami pada akhirnya beruntung bahwa parameter dan rentang waktu kami tepat. Jika salah satu dari keduanya salah, kami akan.....terus menebak-nebak dalam kegelapan. Akan membutuhkan waktu yang jauh lebih lama untuk menghitung semua kemungkinan kata sandi,” kata Joe Grand.

Cerita pemulihan password wallet yang sudah tidak diakses sejak 2013 bisa Anda ">tonton di sini.

(fik/wep)

No more pages