Category: Security

Captcha Cracking

Posted on by Ade Ismail Isnan

Anda pasti sudah tau captcha. Yaa minimal pernah ketemu makhluk ini waktu register email atau waktu ngisi guestbook blog teman. Captcha merupakan metode security untuk memfilter botnet/scripting sehingga melindungi website dari tujuan tidak baik. Katakanlah ada botnet spesialis “nyampah komen 1000x dalam satu kali eksekusi” di form guestbook anda. Tinggal tambahkan captcha, jadi deh si scirpt tidak segampang itu nyampah di guestbook anda.

Cara kerja captcha dengan challenge-response, yaitu memberikan challenge berupa tebak gambar yang selalu berubah (ini contoh captcha yang umum), beberapa ditemui juga captcha soal hitungan, dsb. Kita sebagai manusia kemudian memberi input (response)-nya. Captcha merupakan cara yang sangat ampuh mengeliminasi robot yang tentu bakal kesusahan menebak huruf (ataupun mengenal angka kemudian menghitungnya). Sehingga efektifitas captcha menurut saya seharusnya ada 2 saja dan tidak neko-neko.. yaitu hanya:

  1. Menyulitkan robot
  2. Tidak menyulitkan manusia.

Continue reading “Captcha Cracking”

Facebook Session Hijacking?

Posted on by Ade Ismail Isnan

Ahh.. hari ini sungguh menentramkan jiwa dan raga sehingga saya bisa punya waktu menulis blog dan berencana melakukan perbuatan iseng kecil-kecilan haha. Ya, saya kepikiran untuk mencoba membajak sesi login facebook temen sebelah hahaha. Dulu di percobaan pertama saya melakukan percobaan session hijack di “posting berita” buatan saya sekitar 4 tahun lalu dan design aplikasi facebook jaman dulu, jadi modal PeDe mencoba iseng bajak sesi login facebook ini. Sebelum bahas mbajak login facebook ini, intro teknik membajaknya saya ilustrasikan di cerita membajak sesi login website “posting berita” sederhana yang simple dan udah jadul dulu yaa..

Continue reading “Facebook Session Hijacking?”

Mendapatkan Password WiFi

Posted on by Ade Ismail Isnan

Bagaimana cara mendapatkan password WiFi agar bisa internetan? Selain dengan cara jahat crack password WiFi (WEP/WPA/WPA2), tentu ada cara yang baik dan sopan.. haha.. yaitu mengambil informasi password yang telah tersimpan di host yang sebelumnya sudah pernah terasosiasi/terkoneksi dengan akses point wifi-nya. Karena seluruh informasi untuk berasosiasi dengan wifi sebenarnya disimpan untuk kebutuhan yang akan datang. Ini lebih karena alasan kenyamanan, seluruh credentials untuk bisa wifi-an sudah disimpan di komputer sehingga user tidak perlu menginputkannya lagi jika sebelumnya sudah terkoneksi.

Continue reading “Mendapatkan Password WiFi”

Fix Aircrack-ng Interface Channel Problem Untuk WPA/WPA2 WiFi Cracking di Linux

Posted on by Ade Ismail Isnan

Dulu saya pernah membuat salah satu laptop milik saya yang terinstall Linux Slackware ini menjadi “armored Linux” baik secara offense dan defense. Laptop yang sudah lama gak disentuh ini akhirnya saya coba install (lagi) well-known tools untuk cracking WEP, WPA-PSK, WPA2-PSK, apalagi kalau bukan Aircrack-ng. Tools ini saya install menggunakan SlackBuild script hingga akhirnya terinstall di laptop saya. Proses penginstallan sebenarnya berjalan normal dan baik-baik saja. Permasalahan baru terjadi ketika saya ingin melakukan injeksi ke AP (Access Point) target dengan salah satu tool dalam bundel Aircrack-ng yaitu “aireplay-ng”. Terdapat pesan seperti di bawah ini:

airodump-ng: Fixed channel to -1 = fixed channel mon0: -1
aireplay-ng: Wouldn’t false authenticate OR deauth = mon0 is on channel -1, but the AP uses channel 1

Continue reading “Fix Aircrack-ng Interface Channel Problem Untuk WPA/WPA2 WiFi Cracking di Linux”

PHP MySQL Connect Security

Posted on by Ade Ismail Isnan

Dalam programming, tentu saja pesan error sangat membantu programmer melakukan debugging. Tetapi pesan error tersebut bisa menjadi bumerang yang malah menguntungkan para hacker oportunis. Kenapa bisa terjadi? Coba baca tulisan saya di posting ini, bagaimana bisa menebak nama bokap teman anda dengan metode ‘salah sambung’. Pesan error begitu sangat vital untuk website yang sudah publish dan running. Jadi sebaiknya dihilangkan saja pada website anda. Pada posting kesempatan kali ini, saya beri contoh hal terkecil saja. Hanya karena kurang satu karakter ini di code anda, informasi server anda sedikit “terbuka”.

Continue reading “PHP MySQL Connect Security”

Membuat Trojan dan Memahami Cara Kerjanya

Posted on by Ade Ismail Isnan

Mari kita membuat trojan. Oh ya, ini full tutorial untuk ilmu semata, jika disalahgunakan saya tidak akan bertanggung jawab. Orang bijak tidak bajak. Bagi yang belum tau apa itu trojan, silakan baca teori trojan yang sangat bagus dan detail di ezine ini. Di kesempatan kali ini, kita akan belajar membuat dan memahami cara kerjanya. Untuk memulai tutorial ini, diharapkan pembaca sudah memiliki program Metasploit Framework yang akan selalu digunakan pada tutorial kali ini. Sebagai catatan, host pemilik trojan dan penyerang akan diperankan oleh (halah kayak pentas drama aja hahah) mesin Linux Slackware dengan IP address 10.100.254.213, sedangkan korban trojan akan diperankan oleh Windows 7 Ultimate dengan IP address 10.100.239.225.

Continue reading “Membuat Trojan dan Memahami Cara Kerjanya”

Monopoli Bandwidth dengan Linux (Tricky Way), Cekek Saja yang Lain…

Posted on by Ade Ismail Isnan

Ini bukan cara baru tapi lanjutan dari kisah di posting dahulu. Problem yang akan di solve di posting ini adalah mendiskonek rekan-rekan kita dari gateway sehingga hanya kita yang mengakses internet, a.k.a bandwidth bisa sepenuhnya milik kita. Di kisah nyata ini (haha) saya pakai linux. Prinsip kerjanya yaitu nyasarin frame ethernet milik rekan kita sehingga frame ethernetnya gak akan pernah sampai ke gateway (gerbang paket dari dan ke internet). Ini salah satu cara saja, masih banyak jalan ke Roma. Kalau dengan cara ini, secara layer 1 (fisik) kabel rekan kita tentu saja tercolok. Tetapi tidak di layer 2 nya. Untuk menguasai bandwidth, masih ada cara bentrokin IP (layer 3), kill koneksi TCP (layer 4), maenin QoS (layer 7), dst… WARNING! Segala tindakan yang dilakukan setelah melakukan tindakan ini adalah ditanggung pembaca, penulis hanya membagi kisah nyata ini dan toolnya saja haha.

Continue reading “Monopoli Bandwidth dengan Linux (Tricky Way), Cekek Saja yang Lain…”

Defence in Depth

Posted on by Ade Ismail Isnan

Setelah membaca-baca tentang keamanan sistem informasi, ada hal menarik yang bisa saya sampaikan. Banyak diantara para network administrator atau sistem administrator yang menganggap remeh satu hal.. yaitu aspek keamanan fisik dari infrastrukturnya. Perlu diketahui, walaupun banyak diinstall software anti-hacker dan anti-malware, memasang berlapis-lapis firewall, tetapi kalau pengamanan secara fisik kurang diperhatikan bisa berakibat sangat fatal. Contoh sederhananya tarikan kabel yang sembrono dan masih berada dalam jangkauan. Bisa dibayangkan kalau ada orang yang iseng bawa cutter terus motong kabelnya? Weww.. gak perlu tools DoS/DDoS yang canggih, network akan benar-benar down dalam seketika saat itu juga. Perangkat anti DDoS untuk mendeteksi penyebab network down yang harganya bisa ratusan juta itu sangat tidak berguna dalam kasus ini ‘kan? Mungkin ada yang ketawa melihat contoh sederhana ini. Tapi tidak ada risiko yang tidak mungkin. Sebagai profesional, rekomendasi security ke klien adalah hal yang penting, tidak ada yang lucu heheh. Itulah mengapa security fisik tidak boleh di nomor dua-kan setelah security system. Bahkan sebaiknya security fisik yang dipikirkan terlebih dahulu. Apalagi kalau memang pada bangunan baru yang masih tahap desain/pembangunan.

Continue reading “Defence in Depth”

Aplikasi Anti Maling (Anti-Theft) Android

Posted on by Ade Ismail Isnan

Sewaktu saya install antivirus di handphone saya (sudah dirasa perlu semenjak saya install app bukan dari market saja, tetapi dari sumber lain yang tidak dipercaya -haha) saya menggunakan antivirus BitDefender Mobile Security. Ternyata di dalam aplikasi ini terdapat fitur anti-theft a.k.a anti maling. Dengan fitur-fitur yang canggih seperti deteksi lokasi, mengirim alarm ke handphone, melakukan lock screen hp dari jauh, dan wipe data dari jauh. Tapi ternyata setelah 15 hari trial menggunakan BitDefender Mobile Security tinggal satu fitur saja yang ‘diperbolehkan’ aktif untuk versi BitDefender gratis, yaitu mendeteksi lokasi handphone. Waduh sayang juga padahal itu fitur-fitur yang cukup berguna juga heheh.. Akhirnya saya menemukan aplikasi lain dengan keunggulan yang sama.

Continue reading “Aplikasi Anti Maling (Anti-Theft) Android”

Read-only HTML Form Trick

Posted on by Ade Ismail Isnan

Ternyata di blog ini belum ada posting tentang trik klasik meng-overwrite input yang read only hmmm. Setelah lama gak kejadian sama saya, akhirnya liat lagi form seperti ini… terus terbesit untuk nulis di blog (lagi rajin-rajin nya nambah postingan, karena menulis itu sehat katanya haha). Trik ini memanfaatkan informasi pada HTML DOM (Document Object Model) untuk mengakses tiap elemen pada halaman HTML. Oke mari kita lihat hasil iseng nya hahah..

Continue reading “Read-only HTML Form Trick”