Home · Echo.or.id · Ezine · FAQ · Discussion Forum · Photo Gallery · Contact Us · Advisories · Event · Mailing List Sunday, November 17, 2019
Navigation
Home
Todays Events
Contact Us
Search
News Categories
Advisories
Hardware
Journal
Network
Echo News
Security
Software
Public Poll
Why did you wanna be a hacker?

they`re wearing a hat

its on my blood, dude

my mom told me too

knowledge its delicious

they type faster

no idea, who am i ?

Friendly Links
+ Aikmel.or.id
+ id-ubuntu
+ udaramaya.com
+ kecoak-elektronik
+ newhack.org
+ Opensource.id
+ Jasakom.com
+ Konsultan Linux
+ w[X]f project
+ klik-kanan.com
+ hyem.org
+ ilmuwebsite.com
+ y3dips blogs

Security Links
+ Phrack Magazine
+ The hacker`s choice
+ TESO team archive
+ Phenoelit
+ WarAxe
+ milw0rm
+ Insecure
+ Planet Web Security
+ Metasploit framework
+ Uninformed journal
+ Security tools
+ PacketStorm Security
+ Hack in the Box
+ DefCon
Users Online
Guests Online: 5
No Members Online

Registered Members: 7
Newest Member: K-159
Echo Badges
Echo.or.id

Echo.or.id
IRC Channel
Join our IRC channel at irc.dal.net/e-c-h-o
Howd you got pwn3d? (bagaimana mesin anda terkuasai?)
JournalBeberapa minggu ini aku tersenyum dengan beberapa kejadian-kejadian nyata di dunia maya, ada beberapa hal yang menjadi alasan untuk itu dan aku coba rangkum dibawah ini, diantaranya adalah maraknya celah dari content management system yang berujung pada pengambil-alihan suatu situs secara besar-besaran, fitur baru web 2.0 yang berujung pada melemahnya tingkat keamanan, dirilisnya exploit yang seharusnya bisa di minimalisasi dampaknya tetapi ternyata berakibat fatal terhadap berbagai banyak perusahaan hosting.

Pertama, banyaknya situs ternama yang dibangun dengan CMS ternama dijebol dengan [relatif] mudah, melihat hal ini aku sepertinya sependapat dengan Ronald van den Heetkamp di dalam tulisannya mengenai Mambo Joomla SQL Plugin Exploits., dia mengatakan dalam postingan di blognya, bahwa ancaman sesungguhnya adalah "ketidaktahuan" para developer aplikasi "3rd party" yang menjadi plugins CMS tersebut. Joomla apalagi Mamboo bukanlah Aplikasi CMS kemarin sore yang di develop oleh anak yang baru belajar "coding" kemarin sore, Mambo sendiri bahkan bekali-kali meraih penghargaan, dan coba lihat Joomla yang (bisa kita sebut) merupakan "penjelmaan" baru dari Mambo dan cukup menyedot perhatian kalangan web developer dan bebas bereksplorasi menyesuaikan diri dan menggunakan kodenya.

Tetapi lihatlah bug yang ditemukan pada aplikasi tersebut yang ternyata tidak ketinggalan populer dikalangan para "aktivis" web security, merujuk ke milw0rm.com untuk Joomla dan Mambo, masih pendapat Van den heetkamp yang menyatakan bahwa seharusnya developer Joomla/Mambo membuatkan "secure API" yang berfungsi sebagai SQL Wrapper bagi para developer 3rd party tersebut, dan yang perlu dilakukan para developer plugins tersebut adalah menggunakan SQL wrapper tersebut sehingga tidak perlu membuatkan "fungsi" sendiri dengan berbagai jenis variabel (yang tidak di perlakukan sebagaimana mestinya). Dan apabila hal ini tidaklah dilakukan maka semakin panjang list exploitasi "component" dari kedua CMS tersebut. Minimal mengikuti cara salah satu CMS dengan membuatkan panduan untuk membuat "module/plugins" yang aman :)

Apakah CMS tersebut tidak aman? (pemenang berbagai pernghargaan? "telah teruji"). Ya, silahkan anda memikirkan jawaban anda. Yang ingin aku soroti disini adalah kembali tentang security yang merupakan suatu kesatuan. Ya, web anda terkuasai hanya karena satu plugins yang tidak terverifikasi, apakah cuma anda sendiri? Tidak!

Kedua, Aku rasa ini adalah fasilitas baru di era Web 2.0, dimana setiap aplikasi Web 2.0 bisa saling berinteraksi, berkomunikasi, dan bertukar data. Aku tidak cukup familiar dengan berbagai Aplikasi web yang di sebut generasi 2.0 ini tetapi setidaknya hal ini sedikit "menggelitik", bukan rahasia umum apabila "mekanisme" SSL authentication yang di gunakan google memiliki celah dan bukan hal ini pula yang menjadi inti bahasanku kali ini, tetapi adalah "sindikat" web 2.0 ini sendiri. Sebut saja google yang datang dengan layanan email, blog, groups dsb. Sebagai contoh adalah "single sign on policy" dengan artian kasar apabila anda sudah sign in di 1 layanan maka anda tidak perlu login lagi dilayanan lainnya. Hal ini adalah "kelebihan" yang ditawarkan dan tidak akan menjadi masalah apabila di dukung dengan terapan yang sama di semua sisi, tetapi sayangnya di salah satu layanan (yang di develop terpisah dnegan peruntukan terpisah) policy keamanannya lebih rendah atau relatif lebih rendah dibanding yang lain, sebagai contoh untuk email login wajib menggunakan SSL tetapi untuk layanan blog tidak, maka sniffing pada saat akses ke blog akan berakibat juga keseluruhan email anda terkuasai.

Satu lagi yang cukup menggelitik adalah layanan yang tidak "serumpun"-pun bisa dengan mudahnya menawarkan anda untuk mengimport address book dari email anda, cukup dengan memasukkan email & dan password email anda tersebut yang kemudian dengan "kecanggihan"nya melakukan sinkronisasi, apakah semua itu dilakukan dengan clear text ? (yup, hampir sebagian besar). Lalu, anda ditawari agar blog anda saling terhubung, anda post di blog A, maka otomatis mengupdate posting anda di blog B dengan lagi-lagi cukup memberikan username dan password anda di blog B, susatu layanan yang menyenangkan bukan? tetapi apa cukup membuat anda khawatir ?

Ketiga, ini adalah kisah nyata dan baru terjadi, sebuah "exploits" dirilis (meskipun tidak 0day) ke public, sebuah celah yang terdapat pada sebuah fungsi baru yang di implementasikan pada sebagian kernel (versi baru) mengakibatkan terjadinya overflow dan memberikan root priveledge kepada user, yup.. sebuah local root exploit. Sebagaimana umumnya exploitasi secara lokal terhadap suatu mesin, maka mau tidak mau anda harus memiliki user lokal yang sah, yang bisa mengakses "system" dan melakukan eksekusi terhadap exploit tersebut. Tidak diberikan akses "ssh" kepada user dan hanya web control panel tidak menjadikan server hosting aman dari interaksi user ke system anda (kecuali user di batasi untuk tidak dapat berinteraksi langsung dengan system, e.g: menetapkan agar user tidak memiliki shell di /etc/passwd), user tetap dapat mem"bypass" dan berinteraksi dengan system menggunakan account "userweb" atau "nobody" di mesin anda cukup dengan mengupload sebuah skrip php/asp/perl/cgi/python yang akan berlaku sebagai interface (e.g php web shell).

Cara terbaik adalah memenjarakan tiap-tiap user, atau mem"virtualisasi"kan mereka secara terpisah (logical; e.g vmware), sehingga celah SQL injection (akibat salah satu variabel tidak di parsing secara benar) disatu situs berkemungkinan kecil untuk membawa anda kepada bencana massal keseluruhan Server dan semua situs yang di hosting disitu. Backup berperan penting terhadap hal ini, tetapi perlu dicatat bahwa kerusakan data bukanlah issue utama disini. Bukanlah tindakan defacing yang di khawatirkan tetapi beberapa hal lagi, semisal "permanent backdoor", kehilangan kredibilitas perusahaan, serta efek lainnya yang lebih besar, sampai kepada "panen" data milik konsumen anda, phishing dengan account email dsb, dan yakinlah hal tersebut malah lebih patut di khawatirkan daripada sekedar perubahan tampilan situs dan muncul di harian elektronik terkemuka yang hanya sesaat.

3 kejadian nyata diatas mudah-mudahan dapat menambah tingkat kewaspadaan kita (awareness), kata kuncinya tetaplah sama, selalu up-to-date terhadap informasi, apalagi jika anda bertanggung jawab dengan data orang banyak :)
Staff Login
Username

Password



Top 10 News
Hack In The Zoo - Online Class #1 65535
HITZ4 : "WIMAX, Are U Ready?" 65535
OPENBSD dibackdoor FBI sejak tahun 2000 65535
idsecconf 2011 Palembang -- Call of paper 65535
ECHO Gathering - Hack In The Zoo 5 - Bandung 65535
[Poltek Telkom] Student Creativity Contest 2011 - Open Mind IT Security Seminar 65535
Press Release IDSECCONF2010 65535
SharePoint vulnerable terhadap POET Attacks, Microsoft Keluarkan Security Advisory 65535
[ECHO_ADV_113$2010] BSI Hotel Booking System Admin Login Bypass Vulnerability 65535
Selamat Hari Lahir ECHO yang ke-8 62013
Top 5 News Posters
y3dips 91
K-159 45
az001 20
echostaff 14
the_day 3
Event Calendar
November 2019
S M T W T F S
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
Echo T-Shirt
t-shirt
Echo Misc



Google
newbie_hacker
Visit this group

Add


Quotes
"Even a clock that does not work is right twice a day"
Echo Book
y3dips
Copyleft !© echo.inc 2003-2012