e-rdc jalur SSL

Untuk meningkatkan privasi dan meminimalisasi celah keamanan di jalur pengiriman khususnya bagi para pemilik login (tetaplah waspada terhadap serangan ARP spoofing yang di kombinasikan dengan sertifikat SSL palsu ) :), maka barusan ini saya buatkan jalur SSL untuk situs e-rdc.org. Prosesnya sedikit rumit karena saya terpaksa harus membuatkan skrip serta mengkonfigurasikan kembali fitur "enkripsi" untuk mengamankan file konfigurasi.

Baiklah, Untuk Para Rangers dan Strangers semuanya, Selamat menikmati .. Go..Go!

images are property of http://www.wingimp.org

Back To Web Design/Programming

This week, Im collaborating with az001 to rebuild echo.or.id homepage, Az develop the code (thx to the_day for creating rss for echo`s forum) and i just made the whole design. The basic idea is giving the whole echo community door through the first page (for now, only cover e-rdc security news/journal, echo forum and echo mailing list at !yahoogroups). You can see the screenshot below, or just go to echo portal.




After 2 hour designing the page and publish the page, i realize that e-rdc Rss was not fully supported by rss parser that Az develop (also for rss reader like Newsfox, probably general for all rss reader), after "hacking" php-fusion code for a while i patch the RSS file to support "timestamp" that generally used by rss parser.

Just add this one line into print out function, after echo "[item]\n



and, then the date will perfectly being parsed and display.



thats all folk, enjoy!

Log: EchoStaff meeting

Just a Log (please ignore)

Subject : echostaff annual meeting
Location : Bakmi GM
Start Time : Sunday 17/02/2008 11:00
End Time : Sunday 17/02/2008 16:00
Attendees : y3dips (+mrs), the_day (+mrs), the_hydra, az001, hero, bherly
Topics : echo task in 2008, ezine issue 18, staff internal online conference,
financial status, events, etc.

Kemarin, tepatnya di Blok-m kami kembali melakukan "offline gathering", berbekal laptop dan koneksi GPRS kami melakukan meeting (karena tidak ada yang membawa hardcopy rundown acara meeting maka diputuskan untuk terkoneksi ke-inet dan membacanya dari email :P), meeting kali ini di iringi cuaca yang dingan disertai dengan hujan yang turun tidak konsisten (hujan dan tidak) dan mudah-mudahan memngahsilkan beberapa keputusan yang penting untuk echo.

Kami ucapkan terima kasih kepada the_hydra yang telah menyempatkan waktunya untuk bergabung di "annual meeting" pertamanya :) disertai pembahasan tentang ezine yang cukup menarik, serta untuk staff lain yang tidak berkesempatan hadir, mudah-mudahan di lain kesempatan bisa berkumpul bersama ;)

beberapa image yang sempat diabadikan oleh mrs y3dips :p




Cutttttttttttttttt.... mana makanannya ? (kok minuman semua :p)

hehhee.. see you all at another echo's annual meeting .. gannbate!

Journal: "Pernah di Tangkap", inilah Resumeku

"Pernah ditangkap akibat kejahatan online (cybercrime), itulah salah satu resumeku", kata-kata itu kurang lebih yang di ucapkan oleh Robert Moore yang terbukti bersalah dan di jatuhi hukuman penjara selama kurang lebih 2 tahun, saat di wawancarai oleh Sharon Gaudin via telepon dan di tulis untuk informationweek.com. Robert Moore yang baru berusia 23 tahun menyerahkan dirinya kepada Institusi Federal, dinyatakan bersalah karena terlibat kejahatan dalam mencuri dan menjual layanan VOIP secara ilegal. Moore, bukanlah otak di balik semua kejahatan yang di lakukannya pertengahan tahun lalu, tetapi hanya sebagai tenaga teknis yang melakukan pencarian dan membobol layanan telecom.

Moore yang menyebut dirinya "mega geek" mengatakan bahwa sekeluarnya dari penjara, dia ingin bekerja untuk perusahan keamanan dan dia berpikiran bahwa "kegiatan" yang ia lakukan akan menjadi suatu batu loncatan untuk menarik minat perusahaan-perusahaan tersebut. Lebih jauh lagi Moore mengungkapkan apabila ditanyakan mengenai status pendidikannya, maka dia hanya perlu menunjukkan bahwa dia pernah di penjara.

Apa yang dilakukan Moore dan Pena (2006) adalah menjual layanan VOIP yang mereka dapatkan secara ilegal dari perusahaan-perusahaan penyedia VOIP resmi, seharga US$0.004 (atau sekitar 40 IDR) per menit. Moore juga menambahkan bahwa yang dia lakukan hanyalah men "scanning" perusahaan-perusahaan di (hampir) seluruh dunia, dan dia menyatakan bahwa 70% perusahaan tersebut relatif tidak aman, 45 % sampai 50 % Perusahaan yang melayani VOIP juga relatif tidak aman. Adapun kesalahan terbesar yang dilakukan adalah Password yang digunakan masih Default. dan 85% router yang digunakan tidak di konfigurasikan dengan baik, inilah yang menjadi pintu masuk bagi Moore, yang dia sebut sangat amatlah mudah.

Moore, yang hanya mendapatkan USD $20.000 (atau sekitar 200.000.000 IDR) dibandingkan temannya Edwin Pena, yang di sebutkan oleh pemerintah membawa kabur uang 1 juta dollar (atau sekitar 10 Milyar IDR) -- dan sekarang Moore di penjara. Moore juga mengakui telah memasuki secara ilegal jaringan komputer milik suatu perusahaan.
Ini bukanlah pertama kalinya Moore berurusan dengan kepolisian, Di tahun 2003 dia pernah di kunjungi oleh FBI dan di beri peringatan karena menyebarkan 40,000 pesan (text messages) kepada Cricket Communication customers.

Sembari bercanda Moore berkata "Saya rasa kamu tidak akan menyadari bahwa kamu hebat di bidang komputer sampai FBI mendatangimu". Sangat menarik untuk menantikan apakah yang Moore cita-citakan akan terwujud nantinya ? :)

Sementara itu, diberitakan oleh Perusahaan Keamanan komputer Sophos, bahwa Pembuat Worm Fujack dari Cina yang telah menghabiskan masa tahananya selama kurang lebih 4 tahun juga telah ditawari pekerjaan. Li Jun, berusia 25 tahun, telah di tawari pekerjaan sebagai direktur teknologi yang akan digaji 1 juta yuan, atau USD $133,155 USD. Masih menurut Sophos, perusahaan itu adalah Jushu Technology, sebuah perusahaan yang menjadi korban dari Worm Fujack.

Motivasi untuk melakukan Hacking semakin beragam, pada awalnya hacking dilakukan murni karena "curiosity" sehingga menghasilkan teknik-teknik "brilian" untuk berpikir "out of the box".

Jadi, bagaimana menurut anda?

journal: Dilema masa depan GNU/Linux

Sebuah artikel menarik yang ditulis oleh Don Reisinger dari CNET News.com berjudul "linux and its identity crisis", yang kurang lebih memberikan gambaran kepada kita semua tentang apa yang terjadi saat ini, terkait dengan masa depan sistem operasi GNU/Linux. Artikel ini juga untuk memberikan gambaran tentang permasalahan yang terjadi pada komunitas linux, khususnya antara Linus dan "sekutu"nya v.s Con Colivas beserta para suksesor linux mainstream.

Jika mengingat wawancara yang pernah di lakukan oleh ITbusiness kepada Linus (baca Interview Dengan Linus; Kenapa kita cinta Linus) beberapa waktu yang lalu, maka kita akan mengetahui pandangan Linus tentang sistem operasi GNU/Linux kedepan. Sedangkan berita yang sangat kontroversi tentang Con colivas adalah saat dia memutuskan untuk berhenti mendevelop kernel untuk GNU/linux.

Kembali ke artikel yang di tulis oleh Don tersebut, maka Don menyatakan bahwa dengan adanya 2 perbedaan pendapat ini, kemungkinan akan tercipta 3 pilihan arah untuk GNU/Linux di masa depan: Tetap "geeky" dan hanya memiliki daya tarik bagi para ahli teknologi diantara kita; menjadi layaknya sistem operasi propietary (MS dan apple) dengan meninggalkan keterikatan fungsi khusus (advanced) dan kehandalan kernel (kustomisasi); bersiap untuk adanya perang sipil antara kedua pihak yang mungkin mengakibatkan kehancuran linux itu sendiri.

Pernyataan dari pihak-pihak yang menyetujui apa yang dipilih Torvalds adalah bahwa Linux merupakan yang terbaik karena tetap berpegang teguh pada ide awalnya dan tidak mengorbankan Fungsi dan kegunaaan khususnya, hanya agar dapat digunakan oleh seorang nenek. Sementara pihak "Mainstream" beranggapan bahwa linux berada di posisi yang unik saat ini (dengan ubuntu yang meng"kapitalisasi" pasar konsumen) dan menjadi alternatif bagi penguna kebanyakan selain MAC OS X dan windows.

Don mengungkapkan pendapatnya yang menyetujui apabila beberapa distribusi GNU/Linux sudah siap untuk "bersaing", tetapi umumnya mereka melupakan apa yang membuat Linux hebat: "security, advanced functionality dan outstanding usability". Don juga menyatakan bahwa linux tidak seharusnya "mengikuti tren" (mainstream) -- tetapi harus tetap pada "akar"nya dan tetaplah Linux.

Don juga membahas pendapat Walt Mossberg pada "The Wall Street Journal" yang mereview tentang ubuntu pada mesin Dell, Walt menjelaskan bahwa terlalu banyak masalah yang di timbulkan untuk sebagian besar komsumen. Dan kemungkinan ini adalah akhir dari ubuntu di mesin Dell. Tetapi, Don menganggap bahwa Walt mossberg benar-- Linux bukanlah untuk mengikuti tren (mainstream). Mengapa? jika kita ingin menggunakan sistem yang tidak stabil, maka kita bisa saja membeli Windows, dan jika ingin mendapatkan sistem operasi dengan desain yang cantik dan sedikit fungsi yang menyerupai Linux, kita bisa saja membeli Mac.

Don juga menuliskan bahwa pada awal Linux di ciptakan, Linux adalah alternatif, suatu pilihan lain. Saat Torvald pertama kali memulai apa yang akhirnya dikenal dengan Linux, dia tidak pernah berkeinginan untuk menjadikannya "mainstream" atau menjadi salah satu sistem operasi seperti Windows atau Mac OS X; dia hanya menginginkan linux menjadi tempat menumpahkan semua ekspresi bagi mereka-mereka yang berkecimpung di dunia teknologi dan mencari sesuatu yang tidak terdapat di sistem Operasi yang beredar di pasaran. Pada kenyataannya, hal inilah yang mengakibatkan linux semakin berkembang dan di perhitungkan.

Masih menurut Don, komunitas Linux adalah komunitas/grup yang sangat menarik. Lebih Mirip sebuah Negara Republik dan Demokratis, Komunitas umumnya di dominasi dua faktor dengan dua buah ide yang sama sekali berbeda. Pihak konservatif menginginkan Linux tetaplah menjadi Linux, sedang pihak liberal ingin "membuat uang". Don menyebut dirinya tidak keberatan untuk di masukkan ke golongan konservatif, atau apapun, asal bukan liberal. Lebih ekstrim lagi Don menyinggung soal pihak liberal yang berdalih bahwa tujuan mereka adalah untuk membawa linux langsung ke konsumen, dan tidak hanya ke perusahaan-perusahaan besar adalah suatu kebohongan, don menyebutkan bahwa intinya tetap adalah uang.

Dengan tegas Don menulis bahwa sejarah membuktikan Linux tidak pernah bermotivasikan "karena Uang", jadi, mengapa harus dimulai sekarang? Linux adalah Linux (adalah Linux), hentikan segala usaha untuk membuat Linux menjadi "mainstream" dan biarkan Linux berjalan apa-adanya sebagai salah satu advanced operating system terbaik di industri.

Journal E-rdc at this blog

Pertama-tama gw minta maaf atas mirroring kolom jurnal yang gw tulis dari e-rdc.org ke blog ini, ternyata cukup sulit untuk tetap konsisten menjaga kemurnian postingan blog gw, soalnya saat ini gw juga menjadi salah satu kontributor di e-rdc.org, dan selain berita mengenai sekuriti yang mendalam, (teknis, poc dsb) maka terdapat juga kategori/kolom jurnal, yang "sangat disayangkan" bahwa gw juga menulis di kolom jurnal tersebut. Sehingga, agar blog ini tetap up-to-date, maka sebisa mungkin jurnal yang gw tulis akan gw miror ke blog ini. Sekali lagi gw minta agar hal ini dapat di maklumi :) ..

Enjoy (tm)

journal: Tentukan kuncimu (password-mu)

Sudah kita semua ketahui bahwa tidak perduli sekuat apapun sistem keamanan suatu rumah, apakah dilengkapi dengan pagar beraliran listrik, alarm, kamera pengintai dsb, tetapi apabila masih menggunakan metode kunci "konvensional" maka akan tetap saja rentan dan relatif menjadi lebih mudah bagi penyusup untuk menaklukkannya, kenapa ? karena semua peralatan tersebut terlihat dan tidak memiliki pengamanan lainnya, gembok (rumah kunci) tertinggal di tempat dan terbuka untuk di eksplorasi, menginggat hal ini penulis jadi teringat bahasan yang di jelaskan dan di demokan oleh deviant dan kawan-kawan dari lockpicking vilage tentang "conventional locking",hanya perlu beberapa detik saja untuk membukanya. Alarm dan kamera pengintai juga merupakan sasaran empuk untuk di eksplorasi.

Tetapi, kali ini penulis bukan akan membahas hal-hal tersebut, karena penulis menyadari bukan sebagai ahli dibidang hal tersebut, walau pernah mencoba dan berhasil (di lockpicking vilage pada event HITB2007), tetapi sekarang penulis akan mengajak kita beralih pembahasan dan men-transform kunci tersebut ke apa yang kita kenal dengan password di dunia digital. Topik kita batasi hanya pada metode pengamanan untuk otentikasi dan otorisasi menggunakan password, jadi lupakan dan jangan berharap di artikel ini di bahas tentang key escrow pada public key, mekasnisme sertifikat pada ssh, atau sampai pada penggunaan password biometric.

Baiklah sebelum ngelantur jauh lagi, kita kembali ke topik bahasan kita :). Seperti yang di jelaskan di atas sekuat apapun sistem keamanan komputer/server/jaringan anda entah berapa firewall/IDS/IPS yang digunakan, maka apabila password yang anda gunakan sangat lemah maka investasi ratusan juta anda pada perangkat keamanan tersebut menjadi percuma, dan yakinlah bahwa cara untuk mendapatkannya pun tidak sesulit yang anda bayangkan :). Jim geovedi bahkan pernah bertanya "berapa standar untuk panjang password minimal saat ini?", pada salah satu sesi kuis di ulang tahun echo (memperebutkan buku gratis dari jasakom) dan tidak terbayangkan berapa banyak jawaban yang terbang kala itu, jadi apakah standar yang kurang "ngetop" dibanding lagu "ketahuan", atau karena tidak ada hukum yang menjerat apabila user menggunakan password yang tidak sesuai dengan standar :).

Jangan tanya pada saya bagaimana password yang baik?, karena itu hanya membuktikan bahwa anda orang yang malas membaca (sudah lebih dari 3 tahun artikel tersebut saya tulis di sini, bahkan sudah sedikit out-of-date) !.

Alangkah sangat disayangkan apabila setiap user yang sudah "aware" terhadap hal ini dan mencoba mengaplikasikannya tetapi tidak di dukung oleh pihak pemberi layanan (semisal web), mungkin dengan alih-alih mencegah kemungkinan "fault injection attack" yang dilakukan user, maka mereka dengan semena-mena menetapkan bahwa karakter yang di gunakan pada password hanyalah AlphaNumeric (abcdefghijklmnopqrstuvwxyz012345689) dan lebih buruk lagi pembatasan jumlah karakter!. Jangan kaget!, hal ini sering saya temui di berbagai situs yang ada, bahkan dibeberapa situs keamanan dan situs dengan pengikut yang jutaaan (situs sejuta umat), seharusnya pihak penyedia layanan juga menyadari bahwa keamanan user berada di tangan mereka, belum lagi untuk user yang memegang 1/2 prinsip three musketers "one for all" (satu password untuk semua).

Seharusnya pihak penyedia layanan dapat mengkoding dan melakukan "filtering" inputan sebelum di proses, semisal menggunakan base64, atau md5 sebelum di masukkan ke database, karena output yang di hasilkan juga alphanumerik. Atau malah spekulasi mengerikan yang di buat oleh mereka adalah memasukkan password user secara "plaintext" dan karena itu mereka tidak menerima karakter spesial ? (dont ask me :P). Kemungkinan penggunakan Content management system jugalah yang mengakibatkan hal ini, banyak penyedia layanan yang tidak mau repot dan tinggal menggunakan CMS yang ada tanpa melakukan pemeriksaan dan modifikasi.

Sekarang kita masuk kebagian yang sedikit teknis (mudah-mudahan tidak mengantuk),
Saya akan memberi gambaran kepada kita semua bahwa tidak membutuhkan waktu yang lama untuk
melakukan cracking terhadap password anda (lupakan incremental bruteforcing, lupakan dictionary attack, gunakan "table" ), perhatian ini hanya untuk password anda yang di
"hash" dengan md5 saja, untuk yang disimpan dengan plaintext, maka "attacker" cukup
melakukan mysql>select * from users;

Sekarang saya akan membuat 3 buah password dengan panjang 6 karakter, karena saya hanya
memiliki tabel mix-alpha-numeric-all-space#1-6 yang di peruntukkan hanya sepanjang 6 karakter, dan ingat panjang karakter bukan hal sulit jika anda memiliki tabel yang beragam)

ammar@localhost ~ $ echo -n tesaja | md5sum | cut -d ' ' -f 1 > pass.txt
ammar@localhost ~ $ echo -n tesAJA | md5sum | cut -d ' ' -f 1 >> pass.txt
ammar@localhost ~ $ echo -n t3s4J4 | md5sum | cut -d ' ' -f 1 >> pass.txt

kita lihat isi file tersebut

ammar@localhost ~ $ cat pass.txt
e9826a10941f1a3d13e5af6db63dd8c4
221d6b05364c76d57d0c390d5522441c
cbcf5cf4acdd085e597f4984cc5bdb01

kemudian 3 file ini akan coba saya crack dengan rainbowcrack

U:\rainbowcrack\md5_mixalpha-numeric-all-space_1-6>rcrack.exe *.rt -l pass.txt
md5_mixalpha-numeric-all-space#1-6_0_10000x11025403_distrrtgen_4.rt:
176406448 bytes read, disk access time: 0.53 s
verifying the file...
searching for 3 hashes...
plaintext of cbcf5cf4acdd085e597f4984cc5bdb01 is t3s4J4
cryptanalysis time: 223.56 s

md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_0.rt:
536870912 bytes read, disk access time: 47.41 s
verifying the file...
searching for 2 hashes...
cryptanalysis time: 17.23 s

md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_1.rt:
536870912 bytes read, disk access time: 46.86 s
verifying the file...
searching for 2 hashes...
plaintext of e9826a10941f1a3d13e5af6db63dd8c4 is tesaja
cryptanalysis time: 16.83 s

md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_2.rt:
536870912 bytes read, disk access time: 46.06 s
verifying the file...
searching for 1 hash...
cryptanalysis time: 8.22 s

md5_mixalpha-numeric-all-space#1-6_0_10000x33554432_distrrtgen_3.rt:
536870912 bytes read, disk access time: 46.22 s
verifying the file...
searching for 1 hash...
plaintext of 221d6b05364c76d57d0c390d5522441c is tesAJA
cryptanalysis time: 1.03 s

statistics
-------------------------------------------------------
plaintext found: 3 of 3 (100.00%)
total disk access time: 187.08 s
total cryptanalysis time: 266.88 s
total chain walk step: 142524927
total false alarm: 8820
total chain walk step due to false alarm: 34533018

result
-------------------------------------------------------
e9826a10941f1a3d13e5af6db63dd8c4 tesaja hex:746573616a61
221d6b05364c76d57d0c390d5522441c tesAJA hex:746573414a41
cbcf5cf4acdd085e597f4984cc5bdb01 t3s4J4 hex:743373344a34

U:\rainbowcrack\md5_mixalpha-numeric-all-space_1-6>

Dan dalam waktu yang singkat ketiga buah password itu telah di temukan, saya pernah melakukan cracking secara masal terhadap 146 password hash (tidak perlu saya sebutkan darimana saya mendapatkannya) dan hanya dibutuhkan waktu kurang lebih 30 menit untuk mengcrack semuanya menggunakan tabel ini dengan tingkat keberhasilan (25,34%). Dalam artian dari 146 password tersebut, terdapat 37 password dengan panjang 1-6 karakter dan berhasil di crack :). Dan banyak lagi jenis pengalaman yang akan membuat anda menemukan trik-trik lainnya :)

Sekarang, semuanya saya kembalikan kepada anda, dan masih banyak lagi hal menarik untuk di bahas semisal "Bermain-main dengan fitur password reminder" (apakah password yang diberikan itu bisa di tebak ? apakah bisa menjadi celah bagi attacker), hahaha.. coba anda temukan sendiri. Enjoy(tm)

source e-rdc.org