The “Padding Oracle On Downgraded Legacy Encryption” (POODLE) Attack

Akibat dari dipublikasikannya konsep serangan “Padding Oracle On Downgraded Legacy Encryption” (PODDLE) yang mengeksploitasi kelemahan pada SSLv3, saya melakukan mitigasi di server Slackware saya biar tetap “hardened” heheheh…. Secara mekanisme kerja, memang client (browser) tentu saja pada saat melakukan koneksi HTTPS ke server, akan memilih protokol yang terbaik yang disupport oleh kedua pihak (client a.k.a browser dan juga server). Tetapi dengan “force downgrade”, client atau server bisa dipaksa untuk terkoneksi menggunakan SSLv3 yang rentan ini. Walaupun server sudah support protokol suksesor SSLv3 seperti TLS v1.0 ke atas, yaa tetap masih bisa di-“force downgrade”. Dengan kata lain, seluruh client (browser) dan webserver yang masih support SSLv3 tentu saja rentan terhadap serangan POODLE.

Continue reading “The “Padding Oracle On Downgraded Legacy Encryption” (POODLE) Attack”

Disable Postfix SMTP Open Relay

Di blog ini sudah beberapa kali saya singgung masalah SMTP open relay seperti disini dan disini. Tetapi ternyata belum ada posting tentang cara men-disable open relay pada postfix mailserver nya hahaha. Kebetulan kemarin saya melakukan konfigurasi disable open mail relay pada salah satu mail server. Cara mengontrol akses ke service SMTP dan konfigurasi relay sebenarnya sudah dijelaskan di website resmi postfix berikut ini (silahkan dibaca untuk informasi lebih detail tentang access control relay SMTP). Jadi apa yang akan kita lakukan tinggal implementasi saja.

Continue reading “Disable Postfix SMTP Open Relay”

Open Mail Relay Pada pnsmail.go.id?

Mulai awal Januari 2014, pemerintah mewajibkan seluruh PNS (pegawai negeri sipil) untuk menggunakan email xxxx@pnsmail.go.id. Walau saya bukan PNS, saya tiba-tiba ingin melakukan sedikit assessment kecil pada mail server nya. Hanya ingin mengetahui saja apakah server nya sama dengan cerita saya di mail server DPR kemarin hehe. Saya rasa ini bukan untuk tujuan tidak baik. Justeru kalau bisa ditemukan kelemahan di mailserver pnsmail, saya bisa (setidaknya) membantu memberi informasi kepada sysadmin nya. Kalau bukan kita, siapa lagi yang peduli dengan keamanan infrastruktur negara kita sendiri? Seperti contoh sebelumnya di mail server DPR, bayangkan saja kalau mail server nya “open relay”, kemudian saya melakukan spoof pengiriman email dari angelina.sondakh@dpr.go.id ke anas.urbaningrum@dpr.go.id dengan isi pesan “I love you”? ‘Kan ini bisa menjadi fitnah. Padahal boro2 Mbak Angie suka sama Mas Anas (mungkin) haha.

Continue reading “Open Mail Relay Pada pnsmail.go.id?”

Apakah Situs Web Presiden SBY Memang Rentan?

Kemarin saya berdiskusi santai dengan teman saya tentang fenomena (-halah-) keamanan website pemerintahan. Memang rata-rata website pemerintahan banyak yang ga jelas dan tidak di maintain dengan baik. Tapi obrolan akhirnya menyempit ke masalah website kepresidenan. Apakah website presiden juga berstatus ga jelas? Apakah situs presiden dibuat iseng-iseng aja dengan motto: yang penting eksis di dunia maya? Saya rasa tidak mungkin sih untuk website pemerintahan sekelas “presiden”. Presiden saja punya tim khusus untuk menemaninya walau hanya keliling-keliling halaman istana. Maka sesuatu yang mungkin lah, di balik eksistensi website presiden, pasti ada tim ahlinya. Continue reading “Apakah Situs Web Presiden SBY Memang Rentan?”

Office Network Plan, Design dan Implementasinya

Dalam merancang desain jaringan kantor yang baik dan ideal, sudah seharusnya seluruh teknologi jaringan telekomunikasi dimasukkan ke dalam desain. Katakanlah firewall, intrusion prevention system, network monitoring system, bandwidth management, load balancing, dan lain sebagainya. Di posting kali ini mari kita bahas desain jaringan kantor yang baik dan ideal, artinya seluruh komponen tersebut di atas akan saya masukkan ke dalam desain tanpa memikirkan faktor budget a.k.a kesanggupan ekonomi penerapan seluruh desain ini hehe.

Continue reading “Office Network Plan, Design dan Implementasinya”

Defence in Depth

Setelah membaca-baca tentang keamanan sistem informasi, ada hal menarik yang bisa saya sampaikan. Banyak diantara para network administrator atau sistem administrator yang menganggap remeh satu hal.. yaitu aspek keamanan fisik dari infrastrukturnya. Perlu diketahui, walaupun banyak diinstall software anti-hacker dan anti-malware, memasang berlapis-lapis firewall, tetapi kalau pengamanan secara fisik kurang diperhatikan bisa berakibat sangat fatal. Contoh sederhananya tarikan kabel yang sembrono dan masih berada dalam jangkauan. Bisa dibayangkan kalau ada orang yang iseng bawa cutter terus motong kabelnya? Weww.. gak perlu tools DoS/DDoS yang canggih, network akan benar-benar down dalam seketika saat itu juga. Perangkat anti DDoS untuk mendeteksi penyebab network down yang harganya bisa ratusan juta itu sangat tidak berguna dalam kasus ini ‘kan? Mungkin ada yang ketawa melihat contoh sederhana ini. Tapi tidak ada risiko yang tidak mungkin. Sebagai profesional, rekomendasi security ke klien adalah hal yang penting, tidak ada yang lucu heheh. Itulah mengapa security fisik tidak boleh di nomor dua-kan setelah security system. Bahkan sebaiknya security fisik yang dipikirkan terlebih dahulu. Apalagi kalau memang pada bangunan baru yang masih tahap desain/pembangunan.

Continue reading “Defence in Depth”

Hacking Anatomy (Plus Real Hacking Example)

Dalam melakukan hacking tentu ada langkah-langkah yang kita lakukan. Sebenarnya langkah-langkah itu adalah anatomi kita dalam melakukan hacking dan masing-masing memiliki tujuan tersendiri sehingga dengan tercapainya mini-goal tersebut, kita bisa maju ke langkah selanjutnya. Tetapi supaya tidak bosan baca teori anatomi hackingnya, di post ini juga akan diberikan contoh real hacking nya tentu saja yang sudah dibagi-bagi per stage anatominya.

Continue reading “Hacking Anatomy (Plus Real Hacking Example)”

Hacking HTTP Session Website dengan Firesheep

Halo pemerhati security… Saya baru saja baca artikel menarik… Tentang salah satu cara untuk masuk ke unauthorized system (bahasa kasarnya masuk rumah orang tanpa izin hehehe). Ya, ada seribu jalan ke Roma. Ada seribu cara masuk ke sistem… Akan saya sebutkan cara-cara terpopuler (bagi saya dan sebatas sepengetahuan saya eh.. dan sebatas ingatan saya hehe). Kalo ada cara yang lain yang tidak disebutkan tapi termasuk yang populer, mohon maaf yak! 🙂

Continue reading “Hacking HTTP Session Website dengan Firesheep”

Troubleshooting HTTP ERROR

Baru beberapa saat yang lalu, saya melakukan modifikasi pada website tibandung.com, saya mendownload file index.php dari ftp server, mengedit di komputer lokal, kemudian mengupload kembali ke server. File yang lama saya timpa dengan index.php yang baru. Awalnya semua berjalan lancar… Tetapi ketika proses testing index.php yang baru dari browser, server tiBandung sempat tidak bisa menampilkan halaman homepagenya selama beberapa waktu karena ada error. Kode error HTTPnya yaitu 500.

Continue reading “Troubleshooting HTTP ERROR”

Ibukota Pindah dari Jakarta? Indonesia vs USA, Centralized System vs Distributed System

Akhirnya ada waktu luang untuk saya bisa kembali berusaha merangkai kata di blog ini 🙂 Hmm.. pada kesempatan kali ini, saya ingin sedikit berbagi tentang solusi pada server untuk menangani berbagai request dari para clientnya… Ada dua solusi yang biasa dilakukan oleh network admin untuk servernya. Yang pertama adalah dengan cara terpusat, tetapi biasanya harus diikuti prasyarat.. Hehe.. iya, prasyarat server dengan skema terpusat berarti server pusat itu harus punya spesifikasi hardware yang bagus dong… Yang kedua adalah dengan cara terdistribusi. Request-request didistribusikan berdasarkan kebutuhannya, kemudian dialihkan ke sistem-sistem kecil yang bertugas lebih spesifik/khusus. Untuk poin yang kedua ini, karena tugas lebih spesifik, berarti scope pelayanan (serving)-nya lebih kecil… jadi ga perlu hardware yang canggih-canggih amat..

Tapi… kok di judul postingan ini ada nyinggung-nyinggung soal ibukota pindah seperti yang diceritain Pak SBY beberapa waktu lalu? Hahah.. ini ada hubungannya loh! (atau hanya saya hubung-hubungin). Walaupun ini cuma pendapat saya pribadi, tetapi mari kita berkaca dari negara superpower yang saya sebutin di judul itu.. (bukan yang awalnya huruf ‘I’.. geser ke kanan lagi dikit.. yang awalnya huruf ‘U’… Hehe). Saya bukan anti amerika (-walaupun gak habis pikir kelakuan dari tidak sedikit orang Amerika-). Apalagi sampe kepikiran ngebom (hyahahahh). Saya Muslim (apa hubungannya?). Tapi Islam itu di Al-Qur’an disebut sebagai ‘rahmat seluruh alam’, lagian tidak pernah saya dengar di Al-Qur’an bahwa Islam itu ‘musibah amerika’… Itu cuma kelakuan teroris gombray aja yang kebetulan beragama Islam… Anda anti amerika? Ya udah.. jangan pake internet. Anda harus tau, internet dilahirkan dari riset ARPA dibawah DoD (dept. pertahanannya Amerika). Yak, kembali ke laptop… Kenapa ambil perbandingan ke Amerika? Yah.. walaupun saya tidak seperti anggota DPR, saya hanya Googling saja ketika membuat posting ini (ga harus ke Amerika). Amerika adalah negara yang mayoritas penduduknya sangat pesat pertumbuhan pendidikan, ekonomi, dsb. Yah, walaupun butuh ratusan tahun (Indonesia baru puluhan), tapi pasti ada sistem yang hebat dibaliknya. Lagian, bukan kali ini saja pemerintah kita suka ‘berkaca’ ke negeri Paman Sam. Ada VoA, atau berita-berita khas Amerika lainnya yang sering kita jumpai di media massa dalam negeri. Alesan lainnya… karena ini blog saya.. terserah saya.. 😛 Secara garis besar, Indonesia saya anggap sebuah Centralized System dimana ‘server’ kita yang menjalankan roda pemerintahan (request) dari rakyatnya (client) HANYA ada (satu-satunya) terpusat di Jakarta. Sedangkan USA saya katakan sebagai Distributed System. Lanjuuutt….

Continue reading “Ibukota Pindah dari Jakarta? Indonesia vs USA, Centralized System vs Distributed System”