This what happen if u dont filter your log files size.. phiew.. Now, she/he can`t event log to X. and dont just re-installing your box, just delete the file please ;P, funny indeed ..
Saturday, September 29, 2007
joke:Log files pwning your box
This what happen if u dont filter your log files size.. phiew.. Now, she/he can`t event log to X. and dont just re-installing your box, just delete the file please ;P, funny indeed ..
Wednesday, September 26, 2007
journal: Dilema masa depan GNU/Linux
Sebuah artikel menarik yang ditulis oleh Don Reisinger dari CNET News.com berjudul "linux and its identity crisis", yang kurang lebih memberikan gambaran kepada kita semua tentang apa yang terjadi saat ini, terkait dengan masa depan sistem operasi GNU/Linux. Artikel ini juga untuk memberikan gambaran tentang permasalahan yang terjadi pada komunitas linux, khususnya antara Linus dan "sekutu"nya v.s Con Colivas beserta para suksesor linux mainstream.
Jika mengingat wawancara yang pernah di lakukan oleh ITbusiness kepada Linus (baca Interview Dengan Linus; Kenapa kita cinta Linus) beberapa waktu yang lalu, maka kita akan mengetahui pandangan Linus tentang sistem operasi GNU/Linux kedepan. Sedangkan berita yang sangat kontroversi tentang Con colivas adalah saat dia memutuskan untuk berhenti mendevelop kernel untuk GNU/linux.
Kembali ke artikel yang di tulis oleh Don tersebut, maka Don menyatakan bahwa dengan adanya 2 perbedaan pendapat ini, kemungkinan akan tercipta 3 pilihan arah untuk GNU/Linux di masa depan: Tetap "geeky" dan hanya memiliki daya tarik bagi para ahli teknologi diantara kita; menjadi layaknya sistem operasi propietary (MS dan apple) dengan meninggalkan keterikatan fungsi khusus (advanced) dan kehandalan kernel (kustomisasi); bersiap untuk adanya perang sipil antara kedua pihak yang mungkin mengakibatkan kehancuran linux itu sendiri.
Pernyataan dari pihak-pihak yang menyetujui apa yang dipilih Torvalds adalah bahwa Linux merupakan yang terbaik karena tetap berpegang teguh pada ide awalnya dan tidak mengorbankan Fungsi dan kegunaaan khususnya, hanya agar dapat digunakan oleh seorang nenek. Sementara pihak "Mainstream" beranggapan bahwa linux berada di posisi yang unik saat ini (dengan ubuntu yang meng"kapitalisasi" pasar konsumen) dan menjadi alternatif bagi penguna kebanyakan selain MAC OS X dan windows.
Don mengungkapkan pendapatnya yang menyetujui apabila beberapa distribusi GNU/Linux sudah siap untuk "bersaing", tetapi umumnya mereka melupakan apa yang membuat Linux hebat: "security, advanced functionality dan outstanding usability". Don juga menyatakan bahwa linux tidak seharusnya "mengikuti tren" (mainstream) -- tetapi harus tetap pada "akar"nya dan tetaplah Linux.
Don juga membahas pendapat Walt Mossberg pada "The Wall Street Journal" yang mereview tentang ubuntu pada mesin Dell, Walt menjelaskan bahwa terlalu banyak masalah yang di timbulkan untuk sebagian besar komsumen. Dan kemungkinan ini adalah akhir dari ubuntu di mesin Dell. Tetapi, Don menganggap bahwa Walt mossberg benar-- Linux bukanlah untuk mengikuti tren (mainstream). Mengapa? jika kita ingin menggunakan sistem yang tidak stabil, maka kita bisa saja membeli Windows, dan jika ingin mendapatkan sistem operasi dengan desain yang cantik dan sedikit fungsi yang menyerupai Linux, kita bisa saja membeli Mac.
Don juga menuliskan bahwa pada awal Linux di ciptakan, Linux adalah alternatif, suatu pilihan lain. Saat Torvald pertama kali memulai apa yang akhirnya dikenal dengan Linux, dia tidak pernah berkeinginan untuk menjadikannya "mainstream" atau menjadi salah satu sistem operasi seperti Windows atau Mac OS X; dia hanya menginginkan linux menjadi tempat menumpahkan semua ekspresi bagi mereka-mereka yang berkecimpung di dunia teknologi dan mencari sesuatu yang tidak terdapat di sistem Operasi yang beredar di pasaran. Pada kenyataannya, hal inilah yang mengakibatkan linux semakin berkembang dan di perhitungkan.
Masih menurut Don, komunitas Linux adalah komunitas/grup yang sangat menarik. Lebih Mirip sebuah Negara Republik dan Demokratis, Komunitas umumnya di dominasi dua faktor dengan dua buah ide yang sama sekali berbeda. Pihak konservatif menginginkan Linux tetaplah menjadi Linux, sedang pihak liberal ingin "membuat uang". Don menyebut dirinya tidak keberatan untuk di masukkan ke golongan konservatif, atau apapun, asal bukan liberal. Lebih ekstrim lagi Don menyinggung soal pihak liberal yang berdalih bahwa tujuan mereka adalah untuk membawa linux langsung ke konsumen, dan tidak hanya ke perusahaan-perusahaan besar adalah suatu kebohongan, don menyebutkan bahwa intinya tetap adalah uang.
Dengan tegas Don menulis bahwa sejarah membuktikan Linux tidak pernah bermotivasikan "karena Uang", jadi, mengapa harus dimulai sekarang? Linux adalah Linux (adalah Linux), hentikan segala usaha untuk membuat Linux menjadi "mainstream" dan biarkan Linux berjalan apa-adanya sebagai salah satu advanced operating system terbaik di industri.
Jika mengingat wawancara yang pernah di lakukan oleh ITbusiness kepada Linus (baca Interview Dengan Linus; Kenapa kita cinta Linus) beberapa waktu yang lalu, maka kita akan mengetahui pandangan Linus tentang sistem operasi GNU/Linux kedepan. Sedangkan berita yang sangat kontroversi tentang Con colivas adalah saat dia memutuskan untuk berhenti mendevelop kernel untuk GNU/linux.
Kembali ke artikel yang di tulis oleh Don tersebut, maka Don menyatakan bahwa dengan adanya 2 perbedaan pendapat ini, kemungkinan akan tercipta 3 pilihan arah untuk GNU/Linux di masa depan: Tetap "geeky" dan hanya memiliki daya tarik bagi para ahli teknologi diantara kita; menjadi layaknya sistem operasi propietary (MS dan apple) dengan meninggalkan keterikatan fungsi khusus (advanced) dan kehandalan kernel (kustomisasi); bersiap untuk adanya perang sipil antara kedua pihak yang mungkin mengakibatkan kehancuran linux itu sendiri.
Pernyataan dari pihak-pihak yang menyetujui apa yang dipilih Torvalds adalah bahwa Linux merupakan yang terbaik karena tetap berpegang teguh pada ide awalnya dan tidak mengorbankan Fungsi dan kegunaaan khususnya, hanya agar dapat digunakan oleh seorang nenek. Sementara pihak "Mainstream" beranggapan bahwa linux berada di posisi yang unik saat ini (dengan ubuntu yang meng"kapitalisasi" pasar konsumen) dan menjadi alternatif bagi penguna kebanyakan selain MAC OS X dan windows.
Don mengungkapkan pendapatnya yang menyetujui apabila beberapa distribusi GNU/Linux sudah siap untuk "bersaing", tetapi umumnya mereka melupakan apa yang membuat Linux hebat: "security, advanced functionality dan outstanding usability". Don juga menyatakan bahwa linux tidak seharusnya "mengikuti tren" (mainstream) -- tetapi harus tetap pada "akar"nya dan tetaplah Linux.
Don juga membahas pendapat Walt Mossberg pada "The Wall Street Journal" yang mereview tentang ubuntu pada mesin Dell, Walt menjelaskan bahwa terlalu banyak masalah yang di timbulkan untuk sebagian besar komsumen. Dan kemungkinan ini adalah akhir dari ubuntu di mesin Dell. Tetapi, Don menganggap bahwa Walt mossberg benar-- Linux bukanlah untuk mengikuti tren (mainstream). Mengapa? jika kita ingin menggunakan sistem yang tidak stabil, maka kita bisa saja membeli Windows, dan jika ingin mendapatkan sistem operasi dengan desain yang cantik dan sedikit fungsi yang menyerupai Linux, kita bisa saja membeli Mac.
Don juga menuliskan bahwa pada awal Linux di ciptakan, Linux adalah alternatif, suatu pilihan lain. Saat Torvald pertama kali memulai apa yang akhirnya dikenal dengan Linux, dia tidak pernah berkeinginan untuk menjadikannya "mainstream" atau menjadi salah satu sistem operasi seperti Windows atau Mac OS X; dia hanya menginginkan linux menjadi tempat menumpahkan semua ekspresi bagi mereka-mereka yang berkecimpung di dunia teknologi dan mencari sesuatu yang tidak terdapat di sistem Operasi yang beredar di pasaran. Pada kenyataannya, hal inilah yang mengakibatkan linux semakin berkembang dan di perhitungkan.
Masih menurut Don, komunitas Linux adalah komunitas/grup yang sangat menarik. Lebih Mirip sebuah Negara Republik dan Demokratis, Komunitas umumnya di dominasi dua faktor dengan dua buah ide yang sama sekali berbeda. Pihak konservatif menginginkan Linux tetaplah menjadi Linux, sedang pihak liberal ingin "membuat uang". Don menyebut dirinya tidak keberatan untuk di masukkan ke golongan konservatif, atau apapun, asal bukan liberal. Lebih ekstrim lagi Don menyinggung soal pihak liberal yang berdalih bahwa tujuan mereka adalah untuk membawa linux langsung ke konsumen, dan tidak hanya ke perusahaan-perusahaan besar adalah suatu kebohongan, don menyebutkan bahwa intinya tetap adalah uang.
Dengan tegas Don menulis bahwa sejarah membuktikan Linux tidak pernah bermotivasikan "karena Uang", jadi, mengapa harus dimulai sekarang? Linux adalah Linux (adalah Linux), hentikan segala usaha untuk membuat Linux menjadi "mainstream" dan biarkan Linux berjalan apa-adanya sebagai salah satu advanced operating system terbaik di industri.
Journal E-rdc at this blog
Pertama-tama gw minta maaf atas mirroring kolom jurnal yang gw tulis dari e-rdc.org ke blog ini, ternyata cukup sulit untuk tetap konsisten menjaga kemurnian postingan blog gw, soalnya saat ini gw juga menjadi salah satu kontributor di e-rdc.org, dan selain berita mengenai sekuriti yang mendalam, (teknis, poc dsb) maka terdapat juga kategori/kolom jurnal, yang "sangat disayangkan" bahwa gw juga menulis di kolom jurnal tersebut. Sehingga, agar blog ini tetap up-to-date, maka sebisa mungkin jurnal yang gw tulis akan gw miror ke blog ini. Sekali lagi gw minta agar hal ini dapat di maklumi :) ..
Enjoy (tm)
Enjoy (tm)
Monday, September 24, 2007
Gentoo: bring back the fun at linux
Sudah hampir kurnag lebih 1 minggu gw menggunakan Gentoo di laptop Thinkpad R50e "venom" yang merupakan properti kantor (untungnya bebas di oprak-oprek), sebelum ini gw sudah pernah mendual-boot ms.win dengan Ubuntu, backtrack dan terakhir Gentoo. Kedua Distro sebelumnya tidak memberikan kesulitan yang berarti, kemampuan mereka mengenali hardware sudah tidak di ragukan lagi. Mengapa gw tidak menginstall ubuntu (semoga tidak kontroversi) sebagai OS; adalah 1. karena gw sudah memiliki ubuntu feisty (upgrade from edgy) di "tarantula"; 2. gw sudah terlalu familiar dengan os ini (sudah hampir 2 tahun lebih), dan karena "user friendly"-nya terkadang membuat gw menjadi "penikmat" OS ini; 3. gw perlu belajar :) (Sebenarnya gw ingin menginstall *bsd di laptop ini tetapi karena satu dan lain hal gw putuskan menginstall Gentoo, bagaimanapun gw merasakan sedikit sentuhan BSD porting mode yang katanya mirip "portage" pada Gentoo)
BackTrack, salah satu distro livecd/install yang mengkhususkan sebagai Penetration Testing Disto, dan backtrack pun telah membuktikan eksistensinya. Dengan alasan memudahkan gw dalam melakukan riset menggunakan tools-tools yang umum dan gw butuhkan dan sudah terdapat didalam distro ini (disamping mendownload secar terpisah) maka gw putuskan untuk menginstall backtrack ke hardisk (sebelumnya gw jalankan via vmware dan menemui sedikit kesulitan, terutama urusan wifi interface). Banyak keuntungan yang bisa di peroleh dengan melakukan hal ini, terutama bagi teman-teman yang senang berurusan dengan "computer hacking dan security", karena dapat mempersingkat waktu terutama dalam mengumpulkan/menginstall dan memastikan aplikasi tersebut berfungsi apabila kita menginstallnya sendiri. Salah satu hal yang membuat gw merasa sedikit dibatasi, karena kustomisasi yang di lakukan oleh pembuat backtrack malah terkadang mengekang, dan menghambat proses eksplorasi. Sehingga backtrack-pun tidak berlangsung lama menjadi salah satu OS yang gw gunakan.
Sebenarnya gw sudah berkenalan dengan gentoo sejak 2004, kala itu perjalanan ber-organisasi (ISIC) membuat gw menemui beberapa teman di universitas negeri riau(UNRI) (alow yudhax (postgre), anton, balai_melayu, wisnu, dkk) , Saat itu gw masih pengguna setia keluarga Redhat (Fedora Core) dan sempat sedikit diberi penjelasan bahkan di berikan 1 buah cd kopian distro gentoo yang akhirnya gw bawa kembali Jakarta, tetapi sayangnya ke-fanatik-an gw dengan fedora membuat gw tidak sempat bereksplorasi lebih jauh dengan gentoo, disamping keterbatasan koneksi internet yang gw miliki.
Balik ke 5 hari yang lalu, saat gw pertama kali menginstall gentoo di laptop gw tersebut. Pada proses instalasi gw menemukan kembali GNU/linux yang hilang, dimana pada proses instalasi gw sudah melakukan kompile kernel secara manual (jika mau anda bisa menggunakan kernel yang sudah digunakan saat menggunakan live-cd), lalu pemilihan paket yang di install dsb.
Istilah "GNU/linux yang hilang", mungkin terkesan sulit dimengerti bagi sebagian/banyak orang yang mengenal GNU/linux saat ini, tetapi apabila anda merupakan pengguna GNU/linux pada awal-awal GNU/linux berkembang, dimana Xwindows adalah suatu hal yang "wah", dimana konsole adalah jendela indah yang selalu menemani anda, maka anda akan mengerti yang gw maksud. Gw bukanlah termasuk pengguna GNU/linux di awal-awal GNU/linux diciptakan, tetapi gw masih sempat menikmati GNU/linux yang "geeky", disaat dimana gw harus menikmati "kebodohan" gw sampai akhirnya menemukan cara dan pembelajaran yang tepat, yang mungkin berbeda dari cara yang ditemukan siapapun.
Dan seiring waktu berjalan, semakin lama gw merasa GNU/linux yang gw gunakan semakin mirip sistem operasi propietary (Sebut saja si MS), baik graphical user interface-nya yang memaksa spesifikasi komputer yang tinggi, "kerakusan penggunaan memori"-nya, aplikasi yang tidak di(gw) butuhkan di install secara default (sebut saja compiz), bahkan hampir-hampir "motif bisnis" yang terselip dibaliknya. Kembali ke pertama kali gw tertarik dengan GNU/linux (mungkin ini juga yang memotivasi sebagian kita), karena GNU/linux itu "kewl", sebagian besar pekerjaan dilakukan dengan "text-base", GNU/linux ringan dan mesin "terjelek"-pun bisa menjalankan GNU/linux, GNU/linux mengajarkan sesuatu yang baru dan kompatibilitas adalah suatu proses yang juga dapat kita pelajari (dengan mendeteksi hardware, menginstall driver, melakukan probing module, atau mengkonfigurasikan kernel misalnya) dan memungkinkan kita terlibat didalamnya.
Tidak ada yang salah dengan semakin "user-friendly"-nya GNU/linux kala ini, tetapi gw hanya merindukan masa-masa dimana gw merasa bahagia saat device wireless gw sukses dikenali setelah gw sukses memilih driver yang pas, mendaftarkannya dan membuatnya di eksekusi saat kernel di load. Jadi bagi yang rindu dengan kesenangan dibalik GNU/linux, silahkan untuk mencoba Gentoo :), terbukti kurnag lebih 1 minggu ini gw belajar terus ampe modar, n sepertinya makin bego aja :) .. hahaha ....
BackTrack, salah satu distro livecd/install yang mengkhususkan sebagai Penetration Testing Disto, dan backtrack pun telah membuktikan eksistensinya. Dengan alasan memudahkan gw dalam melakukan riset menggunakan tools-tools yang umum dan gw butuhkan dan sudah terdapat didalam distro ini (disamping mendownload secar terpisah) maka gw putuskan untuk menginstall backtrack ke hardisk (sebelumnya gw jalankan via vmware dan menemui sedikit kesulitan, terutama urusan wifi interface). Banyak keuntungan yang bisa di peroleh dengan melakukan hal ini, terutama bagi teman-teman yang senang berurusan dengan "computer hacking dan security", karena dapat mempersingkat waktu terutama dalam mengumpulkan/menginstall dan memastikan aplikasi tersebut berfungsi apabila kita menginstallnya sendiri. Salah satu hal yang membuat gw merasa sedikit dibatasi, karena kustomisasi yang di lakukan oleh pembuat backtrack malah terkadang mengekang, dan menghambat proses eksplorasi. Sehingga backtrack-pun tidak berlangsung lama menjadi salah satu OS yang gw gunakan.
Sebenarnya gw sudah berkenalan dengan gentoo sejak 2004, kala itu perjalanan ber-organisasi (ISIC) membuat gw menemui beberapa teman di universitas negeri riau(UNRI) (alow yudhax (postgre), anton, balai_melayu, wisnu, dkk) , Saat itu gw masih pengguna setia keluarga Redhat (Fedora Core) dan sempat sedikit diberi penjelasan bahkan di berikan 1 buah cd kopian distro gentoo yang akhirnya gw bawa kembali Jakarta, tetapi sayangnya ke-fanatik-an gw dengan fedora membuat gw tidak sempat bereksplorasi lebih jauh dengan gentoo, disamping keterbatasan koneksi internet yang gw miliki.
Balik ke 5 hari yang lalu, saat gw pertama kali menginstall gentoo di laptop gw tersebut. Pada proses instalasi gw menemukan kembali GNU/linux yang hilang, dimana pada proses instalasi gw sudah melakukan kompile kernel secara manual (jika mau anda bisa menggunakan kernel yang sudah digunakan saat menggunakan live-cd), lalu pemilihan paket yang di install dsb.
Istilah "GNU/linux yang hilang", mungkin terkesan sulit dimengerti bagi sebagian/banyak orang yang mengenal GNU/linux saat ini, tetapi apabila anda merupakan pengguna GNU/linux pada awal-awal GNU/linux berkembang, dimana Xwindows adalah suatu hal yang "wah", dimana konsole adalah jendela indah yang selalu menemani anda, maka anda akan mengerti yang gw maksud. Gw bukanlah termasuk pengguna GNU/linux di awal-awal GNU/linux diciptakan, tetapi gw masih sempat menikmati GNU/linux yang "geeky", disaat dimana gw harus menikmati "kebodohan" gw sampai akhirnya menemukan cara dan pembelajaran yang tepat, yang mungkin berbeda dari cara yang ditemukan siapapun.
Dan seiring waktu berjalan, semakin lama gw merasa GNU/linux yang gw gunakan semakin mirip sistem operasi propietary (Sebut saja si MS), baik graphical user interface-nya yang memaksa spesifikasi komputer yang tinggi, "kerakusan penggunaan memori"-nya, aplikasi yang tidak di(gw) butuhkan di install secara default (sebut saja compiz), bahkan hampir-hampir "motif bisnis" yang terselip dibaliknya. Kembali ke pertama kali gw tertarik dengan GNU/linux (mungkin ini juga yang memotivasi sebagian kita), karena GNU/linux itu "kewl", sebagian besar pekerjaan dilakukan dengan "text-base", GNU/linux ringan dan mesin "terjelek"-pun bisa menjalankan GNU/linux, GNU/linux mengajarkan sesuatu yang baru dan kompatibilitas adalah suatu proses yang juga dapat kita pelajari (dengan mendeteksi hardware, menginstall driver, melakukan probing module, atau mengkonfigurasikan kernel misalnya) dan memungkinkan kita terlibat didalamnya.
Tidak ada yang salah dengan semakin "user-friendly"-nya GNU/linux kala ini, tetapi gw hanya merindukan masa-masa dimana gw merasa bahagia saat device wireless gw sukses dikenali setelah gw sukses memilih driver yang pas, mendaftarkannya dan membuatnya di eksekusi saat kernel di load. Jadi bagi yang rindu dengan kesenangan dibalik GNU/linux, silahkan untuk mencoba Gentoo :), terbukti kurnag lebih 1 minggu ini gw belajar terus ampe modar, n sepertinya makin bego aja :) .. hahaha ....
Sunday, September 23, 2007
journal: Tentukan kuncimu (password-mu)
Sudah kita semua ketahui bahwa tidak perduli sekuat apapun sistem keamanan suatu rumah, apakah dilengkapi dengan pagar beraliran listrik, alarm, kamera pengintai dsb, tetapi apabila masih menggunakan metode kunci "konvensional" maka akan tetap saja rentan dan relatif menjadi lebih mudah bagi penyusup untuk menaklukkannya, kenapa ? karena semua peralatan tersebut terlihat dan tidak memiliki pengamanan lainnya, gembok (rumah kunci) tertinggal di tempat dan terbuka untuk di eksplorasi, menginggat hal ini penulis jadi teringat bahasan yang di jelaskan dan di demokan oleh deviant dan kawan-kawan dari lockpicking vilage tentang "conventional locking",hanya perlu beberapa detik saja untuk membukanya. Alarm dan kamera pengintai juga merupakan sasaran empuk untuk di eksplorasi.
Tetapi, kali ini penulis bukan akan membahas hal-hal tersebut, karena penulis menyadari bukan sebagai ahli dibidang hal tersebut, walau pernah mencoba dan berhasil (di lockpicking vilage pada event HITB2007), tetapi sekarang penulis akan mengajak kita beralih pembahasan dan men-transform kunci tersebut ke apa yang kita kenal dengan password di dunia digital. Topik kita batasi hanya pada metode pengamanan untuk otentikasi dan otorisasi menggunakan password, jadi lupakan dan jangan berharap di artikel ini di bahas tentang key escrow pada public key, mekasnisme sertifikat pada ssh, atau sampai pada penggunaan password biometric.
Baiklah sebelum ngelantur jauh lagi, kita kembali ke topik bahasan kita :). Seperti yang di jelaskan di atas sekuat apapun sistem keamanan komputer/server/jaringan anda entah berapa firewall/IDS/IPS yang digunakan, maka apabila password yang anda gunakan sangat lemah maka investasi ratusan juta anda pada perangkat keamanan tersebut menjadi percuma, dan yakinlah bahwa cara untuk mendapatkannya pun tidak sesulit yang anda bayangkan :). Jim geovedi bahkan pernah bertanya "berapa standar untuk panjang password minimal saat ini?", pada salah satu sesi kuis di ulang tahun echo (memperebutkan buku gratis dari jasakom) dan tidak terbayangkan berapa banyak jawaban yang terbang kala itu, jadi apakah standar yang kurang "ngetop" dibanding lagu "ketahuan", atau karena tidak ada hukum yang menjerat apabila user menggunakan password yang tidak sesuai dengan standar :).
Jangan tanya pada saya bagaimana password yang baik?, karena itu hanya membuktikan bahwa anda orang yang malas membaca (sudah lebih dari 3 tahun artikel tersebut saya tulis di sini, bahkan sudah sedikit out-of-date) !.
Alangkah sangat disayangkan apabila setiap user yang sudah "aware" terhadap hal ini dan mencoba mengaplikasikannya tetapi tidak di dukung oleh pihak pemberi layanan (semisal web), mungkin dengan alih-alih mencegah kemungkinan "fault injection attack" yang dilakukan user, maka mereka dengan semena-mena menetapkan bahwa karakter yang di gunakan pada password hanyalah AlphaNumeric (abcdefghijklmnopqrstuvwxyz012345689) dan lebih buruk lagi pembatasan jumlah karakter!. Jangan kaget!, hal ini sering saya temui di berbagai situs yang ada, bahkan dibeberapa situs keamanan dan situs dengan pengikut yang jutaaan (situs sejuta umat), seharusnya pihak penyedia layanan juga menyadari bahwa keamanan user berada di tangan mereka, belum lagi untuk user yang memegang 1/2 prinsip three musketers "one for all" (satu password untuk semua).
Seharusnya pihak penyedia layanan dapat mengkoding dan melakukan "filtering" inputan sebelum di proses, semisal menggunakan base64, atau md5 sebelum di masukkan ke database, karena output yang di hasilkan juga alphanumerik. Atau malah spekulasi mengerikan yang di buat oleh mereka adalah memasukkan password user secara "plaintext" dan karena itu mereka tidak menerima karakter spesial ? (dont ask me :P). Kemungkinan penggunakan Content management system jugalah yang mengakibatkan hal ini, banyak penyedia layanan yang tidak mau repot dan tinggal menggunakan CMS yang ada tanpa melakukan pemeriksaan dan modifikasi.
Sekarang kita masuk kebagian yang sedikit teknis (mudah-mudahan tidak mengantuk),
Saya akan memberi gambaran kepada kita semua bahwa tidak membutuhkan waktu yang lama untuk
melakukan cracking terhadap password anda (lupakan incremental bruteforcing, lupakan dictionary attack, gunakan "table" ), perhatian ini hanya untuk password anda yang di
"hash" dengan md5 saja, untuk yang disimpan dengan plaintext, maka "attacker" cukup
melakukan mysql>select * from users;
Sekarang saya akan membuat 3 buah password dengan panjang 6 karakter, karena saya hanya
memiliki tabel mix-alpha-numeric-all-space#1-6 yang di peruntukkan hanya sepanjang 6 karakter, dan ingat panjang karakter bukan hal sulit jika anda memiliki tabel yang beragam)
kita lihat isi file tersebut
kemudian 3 file ini akan coba saya crack dengan rainbowcrack
Sekarang, semuanya saya kembalikan kepada anda, dan masih banyak lagi hal menarik untuk di bahas semisal "Bermain-main dengan fitur password reminder" (apakah password yang diberikan itu bisa di tebak ? apakah bisa menjadi celah bagi attacker), hahaha.. coba anda temukan sendiri. Enjoy(tm)
source e-rdc.org
Tetapi, kali ini penulis bukan akan membahas hal-hal tersebut, karena penulis menyadari bukan sebagai ahli dibidang hal tersebut, walau pernah mencoba dan berhasil (di lockpicking vilage pada event HITB2007), tetapi sekarang penulis akan mengajak kita beralih pembahasan dan men-transform kunci tersebut ke apa yang kita kenal dengan password di dunia digital. Topik kita batasi hanya pada metode pengamanan untuk otentikasi dan otorisasi menggunakan password, jadi lupakan dan jangan berharap di artikel ini di bahas tentang key escrow pada public key, mekasnisme sertifikat pada ssh, atau sampai pada penggunaan password biometric.
Baiklah sebelum ngelantur jauh lagi, kita kembali ke topik bahasan kita :). Seperti yang di jelaskan di atas sekuat apapun sistem keamanan komputer/server/jaringan anda entah berapa firewall/IDS/IPS yang digunakan, maka apabila password yang anda gunakan sangat lemah maka investasi ratusan juta anda pada perangkat keamanan tersebut menjadi percuma, dan yakinlah bahwa cara untuk mendapatkannya pun tidak sesulit yang anda bayangkan :). Jim geovedi bahkan pernah bertanya "berapa standar untuk panjang password minimal saat ini?", pada salah satu sesi kuis di ulang tahun echo (memperebutkan buku gratis dari jasakom) dan tidak terbayangkan berapa banyak jawaban yang terbang kala itu, jadi apakah standar yang kurang "ngetop" dibanding lagu "ketahuan", atau karena tidak ada hukum yang menjerat apabila user menggunakan password yang tidak sesuai dengan standar :).
Jangan tanya pada saya bagaimana password yang baik?, karena itu hanya membuktikan bahwa anda orang yang malas membaca (sudah lebih dari 3 tahun artikel tersebut saya tulis di sini, bahkan sudah sedikit out-of-date) !.
Alangkah sangat disayangkan apabila setiap user yang sudah "aware" terhadap hal ini dan mencoba mengaplikasikannya tetapi tidak di dukung oleh pihak pemberi layanan (semisal web), mungkin dengan alih-alih mencegah kemungkinan "fault injection attack" yang dilakukan user, maka mereka dengan semena-mena menetapkan bahwa karakter yang di gunakan pada password hanyalah AlphaNumeric (abcdefghijklmnopqrstuvwxyz012345689) dan lebih buruk lagi pembatasan jumlah karakter!. Jangan kaget!, hal ini sering saya temui di berbagai situs yang ada, bahkan dibeberapa situs keamanan dan situs dengan pengikut yang jutaaan (situs sejuta umat), seharusnya pihak penyedia layanan juga menyadari bahwa keamanan user berada di tangan mereka, belum lagi untuk user yang memegang 1/2 prinsip three musketers "one for all" (satu password untuk semua).
Seharusnya pihak penyedia layanan dapat mengkoding dan melakukan "filtering" inputan sebelum di proses, semisal menggunakan base64, atau md5 sebelum di masukkan ke database, karena output yang di hasilkan juga alphanumerik. Atau malah spekulasi mengerikan yang di buat oleh mereka adalah memasukkan password user secara "plaintext" dan karena itu mereka tidak menerima karakter spesial ? (dont ask me :P). Kemungkinan penggunakan Content management system jugalah yang mengakibatkan hal ini, banyak penyedia layanan yang tidak mau repot dan tinggal menggunakan CMS yang ada tanpa melakukan pemeriksaan dan modifikasi.
Sekarang kita masuk kebagian yang sedikit teknis (mudah-mudahan tidak mengantuk),
Saya akan memberi gambaran kepada kita semua bahwa tidak membutuhkan waktu yang lama untuk
melakukan cracking terhadap password anda (lupakan incremental bruteforcing, lupakan dictionary attack, gunakan "table" ), perhatian ini hanya untuk password anda yang di
"hash" dengan md5 saja, untuk yang disimpan dengan plaintext, maka "attacker" cukup
melakukan mysql>select * from users;
Sekarang saya akan membuat 3 buah password dengan panjang 6 karakter, karena saya hanya
memiliki tabel mix-alpha-numeric-all-space#1-6 yang di peruntukkan hanya sepanjang 6 karakter, dan ingat panjang karakter bukan hal sulit jika anda memiliki tabel yang beragam)
ammar@localhost ~ $ echo -n tesaja | md5sum | cut -d ' ' -f 1 > pass.txt
ammar@localhost ~ $ echo -n tesAJA | md5sum | cut -d ' ' -f 1 >> pass.txt
ammar@localhost ~ $ echo -n t3s4J4 | md5sum | cut -d ' ' -f 1 >> pass.txt
kita lihat isi file tersebut
ammar@localhost ~ $ cat pass.txt
e9826a10941f1a3d13e5af6db63dd8c4
221d6b05364c76d57d0c390d5522441c
cbcf5cf4acdd085e597f4984cc5bdb01
kemudian 3 file ini akan coba saya crack dengan rainbowcrack
U:\rainbowcrack\md5_mixalpha-numeric-all-space_1-6>rcrack.exe *.rt -l pass.txtDan dalam waktu yang singkat ketiga buah password itu telah di temukan, saya pernah melakukan cracking secara masal terhadap 146 password hash (tidak perlu saya sebutkan darimana saya mendapatkannya) dan hanya dibutuhkan waktu kurang lebih 30 menit untuk mengcrack semuanya menggunakan tabel ini dengan tingkat keberhasilan (25,34%). Dalam artian dari 146 password tersebut, terdapat 37 password dengan panjang 1-6 karakter dan berhasil di crack :). Dan banyak lagi jenis pengalaman yang akan membuat anda menemukan trik-trik lainnya :)
md5_mixalpha-numeric-all-space#1-6_0_10000x11025403_distrrtgen_4.rt:
176406448 bytes read, disk access time: 0.53 s
verifying the file...
searching for 3 hashes...
plaintext of cbcf5cf4acdd085e597f4984cc5bdb01 is t3s4J4
cryptanalysis time: 223.56 s
md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_0.rt:
536870912 bytes read, disk access time: 47.41 s
verifying the file...
searching for 2 hashes...
cryptanalysis time: 17.23 s
md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_1.rt:
536870912 bytes read, disk access time: 46.86 s
verifying the file...
searching for 2 hashes...
plaintext of e9826a10941f1a3d13e5af6db63dd8c4 is tesaja
cryptanalysis time: 16.83 s
md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_2.rt:
536870912 bytes read, disk access time: 46.06 s
verifying the file...
searching for 1 hash...
cryptanalysis time: 8.22 s
md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_3.rt:
536870912 bytes read, disk access time: 46.22 s
verifying the file...
searching for 1 hash...
plaintext of 221d6b05364c76d57d0c390d5522441c is tesAJA
cryptanalysis time: 1.03 s
statistics
-------------------------------------------------------
plaintext found: 3 of 3 (100.00%)
total disk access time: 187.08 s
total cryptanalysis time: 266.88 s
total chain walk step: 142524927
total false alarm: 8820
total chain walk step due to false alarm: 34533018
result
-------------------------------------------------------
e9826a10941f1a3d13e5af6db63dd8c4 tesaja hex:746573616a61
221d6b05364c76d57d0c390d5522441c tesAJA hex:746573414a41
cbcf5cf4acdd085e597f4984cc5bdb01 t3s4J4 hex:743373344a34
U:\rainbowcrack\md5_mixalpha-numeric-all-space_1-6>
Sekarang, semuanya saya kembalikan kepada anda, dan masih banyak lagi hal menarik untuk di bahas semisal "Bermain-main dengan fitur password reminder" (apakah password yang diberikan itu bisa di tebak ? apakah bisa menjadi celah bagi attacker), hahaha.. coba anda temukan sendiri. Enjoy(tm)
source e-rdc.org
Friday, September 21, 2007
Sunday, September 16, 2007
From SFD event at BL to Gentoo
Kemarin gw sempat menyaksikan acara Software Freedom days di budi luhur (walau datang terlambat) ditemani Dedek, kesan gw buat acara ini adalah acara yang keren, rame, aktif, dan bersemangat :) .Kebetulan kemarin adalah hari terakhir dari Rangkaian acara yang di langsungkan selama 3 hari. Di hari terakhir itu juga Echo.or.id yang dalam hal ini di wakili oleh kang Hero dan Berly menyampaikan 2 buah materi seputar firewalling, IDS dan honeypot, di sesi terakhir juga di "demokan" live penetration testing atas permintaan panitia terhadap situs bl.ac.id yang berujung sedikit pro dan kontra.
Sebagai informasi, sebelum di lakukan "live pen test" yang di minta oleh panitia tersebut, kami, pihak echo bahkan telah mendapatkan surat ijin resmi dari pihak terkait (pihak universitas), sehingga kami berani untuk melakukan "live pen-test" yang sukses di demokan oleh Hero dan az001. Ternyata berposisi sebagai penonton yang merangkap sebagai ASROT (asisten sorot di sesi terakhir, karena menggunakan laptop gw untuk pemutaran demo movie "HONEYPOT" ) memberikan sedikit banyak pandangan berbeda dibanding saat tampil di depan, sepertinya harus sering sering duduk "menonton" :).
Apa yang gw dapatkan di acara tersebut?, ialah salah satu distro dengan codename "Gentoo" yang akhirnya sekarang gw pake untuk "Venom" (ibm thinkpad). Sebenarnya ini bukan perkenalan pertama gw dengan Gentoo, akhir 2004 gw pernah di kasih 1 buah cd gentoo oleh seorang teman sewaktu berkunjung ke riau (hi anton, UNRI) tetapi belumlah secara optimal gw gunakan, nah setelah keinginan yang cukup lama untuk mencoba, dan kebetulan ada acara ini maka gw putuskan untuk mengkopi distro ini dari anak-anak KSL-UBL, dan untungnya si Rizky sempet-sempetnya donlodin itu distro saat acara, thx dude (dut ?? :P).
Hari ini, akhirnya gw bisa menyempatkan diri menginstall Gentoo di venom, dan kesan pertama yang gw dapatkan adalah gentoo Cepat dan "Geeky", Dan inilah servis yang pertama kali gw restart :P (setalah menemukan letak file konfigurasi dan nama servis terlebih dahulu :p)
Lucunya, gw seperti menemukan kembali "linux" (yang semakin menghilang) di dalam gentoo :) (sedari proses instalasi), katro dah gw, gpp deh.. mohon bimbingannya teman-teman semua :)
#emerge research-time
enjoy(tm)
Sebagai informasi, sebelum di lakukan "live pen test" yang di minta oleh panitia tersebut, kami, pihak echo bahkan telah mendapatkan surat ijin resmi dari pihak terkait (pihak universitas), sehingga kami berani untuk melakukan "live pen-test" yang sukses di demokan oleh Hero dan az001. Ternyata berposisi sebagai penonton yang merangkap sebagai ASROT (asisten sorot di sesi terakhir, karena menggunakan laptop gw untuk pemutaran demo movie "HONEYPOT" ) memberikan sedikit banyak pandangan berbeda dibanding saat tampil di depan, sepertinya harus sering sering duduk "menonton" :).
Apa yang gw dapatkan di acara tersebut?, ialah salah satu distro dengan codename "Gentoo" yang akhirnya sekarang gw pake untuk "Venom" (ibm thinkpad). Sebenarnya ini bukan perkenalan pertama gw dengan Gentoo, akhir 2004 gw pernah di kasih 1 buah cd gentoo oleh seorang teman sewaktu berkunjung ke riau (hi anton, UNRI) tetapi belumlah secara optimal gw gunakan, nah setelah keinginan yang cukup lama untuk mencoba, dan kebetulan ada acara ini maka gw putuskan untuk mengkopi distro ini dari anak-anak KSL-UBL, dan untungnya si Rizky sempet-sempetnya donlodin itu distro saat acara, thx dude (dut ?? :P).
Hari ini, akhirnya gw bisa menyempatkan diri menginstall Gentoo di venom, dan kesan pertama yang gw dapatkan adalah gentoo Cepat dan "Geeky", Dan inilah servis yang pertama kali gw restart :P (setalah menemukan letak file konfigurasi dan nama servis terlebih dahulu :p)
localhost conf.d # /etc/init.d/net.eth0 restart
* Stopping eth0
* Bringing down eth0
* Shutting down eth0 ... [ ok ]
* Starting eth0
* Bringing up eth0
* 192.168.1.99 [ ok ]
Lucunya, gw seperti menemukan kembali "linux" (yang semakin menghilang) di dalam gentoo :) (sedari proses instalasi), katro dah gw, gpp deh.. mohon bimbingannya teman-teman semua :)
#emerge research-time
enjoy(tm)
Wednesday, September 12, 2007
Marhaban Ya Ramadhon
y3dips mengucapkan Selamat Menunaikan Ibadah Puasa, Mohon maaf Lahir bathin jika Gw ada salah. InsyaALAH puasa kali ini lebih baik lagi. Amin.
Friday, September 07, 2007
HITB 2007 log report
This is the Capture The Flag contest event, Its awesome. Sadly im not playin in the game, they are all great. Reversing, Exploiting, Attack and Defend. hope.. i can wrote more about it
Monday, September 03, 2007
Keluar, 3 hari
Gw akan berada di KL selama 3 hari (4-6 Sept) untuk nonton konferensi hackinthebox. (mudah-mudahan bisa kasih report dari TKP nantinya :p ). Seandainya ada yang mendesak bisa email di y3dips[et]echo[dot]or[dot]id
ok. wish me luck, c . yaa later
ok. wish me luck, c . yaa later
Sunday, September 02, 2007
Log: EchoStaff meeting
Just a Log (please ignore)Subject : Meet echostaff
Location : Kalibata Mall
Start Time : Sunday 02/09/2007 15:00
End Time : Sunday 02/09/2007 19:00
Atendees : y3dips, the_day (&mrs), pushm0v, chika
Topics : echo birthday final meeting, (membahas kucuran dana (kas) dan susunan acara)
Subscribe to:
Posts (Atom)