Email: Attachment dan Penyadapan (Tugas Kuliah KI)

Satu lagi tugas Keamanan Informasi. Kali ini berkaitan dengan email. Detail tugasnya adalahsebagai berikut.

1. Kirimkan dua (2) attachment kepada diri Anda sendiri, kemudian lihat “raw file” dari berkas email tersebut. Tunjukkan bagaimana attachment diproses dalam email.
2. Anda diminta untuk menyadap email dengan menggunakan tcpdump, wireshark, atau mailsnarf. (Pilih salah satu saja.) Tunjukkan bagaimana mail yang disadap itu.

Tugas Pertama

Untuk soal pertama ini, saya menggunakan Gmail. Gmail menyediakan opsi untuk melihat “raw file” dari berkas email yang kita terima. Hal ini dapat dilakukan dengan memilih opsi “Show original” pada menu yang akan muncul jika mengklik tanda panah ke bawah di sebelah opsi reply.

Email yang saya kirimkan ke diri saya sendiri ber-subject “tugas KI”, berisi “Kerjain boi!!! “dan memiliki dua lampiran : halo.txt (berisi Halo Salik!) dan semangat.txt (berisi Semangat TA!!!). Berikut ini “raw file”-nya.

Raw File

Pada gambar di atas, bagian yang diberi kotak merah menandakan attachment. Dapat dilihat bagian attachment dibatasi oleh string –000e0cd6e39821b38e04a04b776a. String tersebut telah didefinisikan di bagian header sebagai boundary.

Pada rincian bagian attachment ini disebutkan juga  tipe dari attachment juga nama file yang dipakai halo.txt dan semangat.txt. Disebutkan pula data encoding yang dipakai yaitu encoding base64.  Isi dari file yang telah di-encode juga turut ditampilkan. Untuk file halo.txt isinya adalah SGFsbyBTYWxpayE=, sedangkan untuk file semangat.txt isinya adalah U2VuZ2FtYXQgVEEhISE=. Dengan menggunakan decoder base64 yang terdapat di web ini, didapat isi sebenarnya dari kedua file tersebut, yaitu Halo Salik! dan Sengamat TA!!!

Tugas Kedua

Sebenarnya agak frustrasi mengerjakan soal kedua ini. Sementara, soal pertama yang hanya butuh waktu 15 menit untuk mengerjakannya, eh, pengerjaan soal ini tidak berhasil-berhasil walaupun sudah ditunda hingga mendekati deadline pengumpulan sekalipun (kedua soal dikerjakan sejak Kamis, 7/4; deadline Minggu, 10/4). Masalahnya cuman satu : wireshark yang saya gunakan tidak menagkap paket berprotokol SMTP, padahal teman saya di blog ini mampu melakukannya!!

Berbagai analisis penyebab masalah tersebut pun dicari. Analisis pertama, hasil bertanya ke seorang teman, sebut saja Udin (nama senbenarnya, red :p ) membawa pada kesimpulan harus menggunakan mail client, seperti Ms. Outlook atau Thunderbird, karena kata dia mengirim email lewat browser berarti sebenarnya di komputer kitanya menggunakan port 80 yang akan dikoneksikan ke port 25 di server mail yang kita gunakan. Teryata nihil, sama saja hasilnya : tidak ada paket smtp yang terambil wireshark.

Analisis kedua adalah keharusan adanya konfiurasi khusus/tambahan di wireshark. Ternyata, setelah googling sana sini dan bertanya ke blog tetangga, ismailsunni.wordpress.com, tidak ada konfigurasi khusus/tambahan hanya masalah filtering saja. Hal ini terbukti ketika saya melakukan pengiriman email dari network luar kampus menggunakan Thunderbird dengan akun email students.itb saya. Ada paket SMTP yang ditangkap wireshark. Berikut ini gambarnya.

Hasil tersebut memperlihatkan tidak ada masalah dengan wireshark untuk menangkap paket SMTP. Meski begitu, hasil cature wireshark tidak menunjukkan email yang dikirimkan, hanya pipelining ke mail server sudents.itb. Anehnya, paket SMTP ini muncul hanya saat mengirim email dari akun students.itb saya dengan menggunakan mail client.

Hasil googling yang mengantarkan saya pada dokumentasi resmi wireshark malah menyebutkan kita tidak dapat langsung  memfilter protokol SMTP  saat meng-capture ( http://wiki.wireshark.org/SMTP). Filtering dapat dilakukan menggunakan filter TCP dengan port yang tertentu. (dalam kasus ini port 25, port-nya SMTP). Hasilnya  pun tetap tidak sesuai harapan (seperti yang didapatkan teman di blog tetangga)

Hasil googling yang lain memberi cukup pencerahan. Link tersebut (saya lupa mencatatnya), menyarankan alternatif filtering dengan keyword frame contains “<kata yang dicari>” . Dalam kasus ini saya menggunakan kata gmail untuk kata yang dicari. Hasilnya, saya menemukan paket yang isinya seperti raw file email. Berikut ini gambarnya.

Hasil tersebut didapatkan saat mengirimkan email dari browser dengan mail students.itb yang tidak secure ke email gmail saya.  Terlihat paket yang ditangkap berprotokol HTTP/XML yang didapat saat POST email tersebut. Namun, hasil tersebut tidak akan didapatkan saat mengirimkan email dari gmail ke mail students.

Sebenarnya, sampai akhirnya saya memposting tulisan ini. Saya terus mencoba memperoleh hasil seperti yang diperoleh teman saya tersebut. Tapi, apa daya. Berbagai cara yang telah saya lakukan tidak mengantarkan saya ke hasil tersebut baik lewat mail client maupun lewat web browser. Dengan menggunakan mail client, gambar pertama di atas adalah hasil terdekat. Hasil capture mengirim email lewat mail client dengan akun gmail hanya menunjukkan adanya komunikasi antara mail client dengan mail server gmail,seperti ditunjukkan gambar berikut ini.

Hasil capture mengirim email dengan web browser baik lewat akun yang di-secure (gmail) maupun yang tidak (students.itb) adalah sebagaimana yang saya jabarkan di atas.

Walhasil, itulah yang saya dapat. Tentunya, dengan menyisakan satu pertanyaan kok bisa dia dapat seperti itu sementara saya tidak padahal dia sendiri mengatakan tidak ada pengaturan khusus yang dilakukan. Apakah karena dia mengirim email dari students.if ke students.if dan melakukannya dari network kampus atau bahkan network if?? Bisa jadi benar, jika melihat hasil sama yang didapat teman yang lain di sini juga di sini. Tapi, entahlah, saya masih belum begitu mengerti. Ada yang bisa bantu??

NB :

1. Terima kasih buat Ismail Sunni di ismailsunni.wordpress.com juga blog lain yang ditaut di sini. Mohon maaf jika tidak izin dulu.
2. Mohon maaf, untuk Pak Budi jika cara saya menjawab kurang formal. Hanya ingin mendokumentasikan yang telah saya lakukan dengan cara yang mudah.