Skip to content

Posts from the ‘Research’ Category

14
Oct

Alternatif Anti-Spam: Gmail SpamFilter

Gmail telah diakui oleh sejumlah pakar bahwa spam filteringnya bekerja dengan sangat baik, berbeda dengan Yahoo!SpamGuard yang sering false positive maupun false negative. Saya juga jadi jarang menggunakan Yahoo sebagai “pendaratan” email-email saya ya karena spam-spamnya itu kadang masih suka lolos. Seminggu saja tidak dicek, wah..bisa-bisa sekitar hampir 500 email bisa ngumpul jadi satu…campur-campur sama spam juga..duh !

Read moreRead more
6
Oct

FireCAT: Firefox Security Extension Framework

Ok, informasi ini mungkin udah rada basi untuk dibahas mengingat versi dikeluarkannya FireCAT (Firefox Catalog of Auditing Extension) sudah mencapai versi 1.2 terhitung pada tanggal 2 September 2007 kemarin. Tapi tidak ada salahnya saya membahas lagi tentang kelebihan sebuah ekstensi browser Firefox yang dimanfaatkan untuk keperluan audit keamanan, bahkan sebagai alat untuk pentest juga :)

Berawal dari sebuah riset oleh tim Security-database.com yang mencoba mengumpulkan aset-aset ekstensi milik browser Firefox yang berbau keamanan, argumen halus yang mengarah pada istilah ‘hacking’.

Keseluruhan ekstensi yang berbau hacking ini dikumpulkan menjadi satu framework yang dinamakan FireCAT. Banyak yang tidak tahu bahwa tool-tool security yang banyak beredar di internet telah disulap menjadi ekstensi yang dapat disandingkan dengan Firefox, browser yang lagi diminati oleh seluruh maniak internet.

Alhasil, framework ini menjadi berjasa bagi para pentester, maupun para hacker yang menginginkan tool praktis dan bisa dibawa kemana-mana.

Silakan melihat-lihat framework FireCAT 1.2 Release
FireCAT 1.2 source mind map (Freemind) (Zip – 3.9 Kb)
FireCAT 1.2 browseable HTML (Zip – 76.4 Kb)
FireCAT 1.2 PDF (PDF – 164, 7 Kb)

*Updated source of mind mapper.

25
Sep

Babi tukang update Snort

Saya sudah pernah menulis tentang bagaimana membangun Snort sebagai Intrusion Detection System, pada waktu yang mepet-mepet begini, karena udah suntuk dan tidak punya kegiatan lain (ngerjain skripsi lagi mentok, huehehehe) akhirnya saya bongkar-bongkar (baca: oprek-oprek) lagi IDS di server. Sekalian ngeliat log alertnya.

Sekarang tanggal 25September 2007, VRT signature rules dari Snort terbit hari ini pukul 7:38 AM (GMT +0700) belom saya download dan install di server. Untuk itu, saya punya alasan bahwa kegiatan ini menjadi lebih berarti karena memang dalihnya adalah melakukan update signature rules dari IDS, heuheehe (pinter aja berkilah, kaya kancil, weks :p).

Daripada capek-capek nungguin VRT signature rules dari Snort, download, install, kenapa ga dibikin otomatis aja ya?! Hehehe, bener…khan ada Oinkmaster, duh bener-bener ga kepikiran. Akhirnya saya larikan browser ke situs oinkmaster di http://oinkmaster.sf.net trus download versi terakhir yaitu Oinkmaster-2.0 (2006-02-18).

Setelah di download, saya lakukan hal-hal sebagai berikut:

root@gw:/usr/src# tar xzf oinkmaster-2.0.tar.gz
root@gw:/usr/src# cd oinkmaster-2.0
root@gw:/usr/src/oinkmaster-2.0# ls -al
total 272
drwxr–r– 3 root root 4096 2006-02-18 19:35 .
drwxr-xr-x 19 root root 4096 2007-09-26 17:22 ..
-rw-r–r– 1 root root 21825 2006-02-18 19:35 ChangeLog
-rw-r–r– 1 root root 43339 2006-02-18 19:35 FAQ
-rw-r–r– 1 root root 2503 2006-02-18 19:35 INSTALL
-rw-r–r– 1 root root 1584 2006-02-18 19:35 LICENSE
-rw-r–r– 1 root root 16837 2006-02-18 19:35 README
-rw-r–r– 1 root root 3489 2006-02-18 19:35 README.gui
-rw-r–r– 1 root root 4827 2006-02-18 19:35 README.templates
-rw-r–r– 1 root root 4823 2006-02-18 19:35 README.win32
-rw-r–r– 1 root root 2105 2006-02-18 19:35 UPGRADING
drwxr–r– 2 root root 4096 2006-02-18 19:35 contrib
-rw-r–r– 1 root root 10655 2006-02-18 19:35 oinkmaster.1
-rw-r–r– 1 root root 20543 2006-02-18 19:35 oinkmaster.conf
-rwxr–r– 1 root root 93116 2006-02-18 19:35 oinkmaster.pl
-rw-r–r– 1 root root 5747 2006-02-18 19:35 template-examples.conf
root@gw:/usr/src/oinkmaster-2.0#

Yang perlu dilakukan berikutnya adalah mengkopi file oinkmaster.conf ke direktori /etc atau di direktori milik snort di /etc/snort. Saya mengkopinya ke direktori /etc/snort/.

Selanjutnya kopi file oinkmaster.1 ke /usr/man/man1/. Kopi juga file oinkmaster.pl di /usr/local/bin atau di direktori ekseskusi yang bisa dilihat dengan cara mengetikkan:

root@gw:/usr/src# export $PATH
bash: export: `/usr/local/sbin:/usr/local/bin:/sbin:/usr/sbin:/bin:/usr/bin:/root/bin:/usr/local/bin:/usr/local/sbin:/usr/sbin:/usr/bin’: not a valid identifier
root@gw:/usr/src#

Edit file oinkmaster.conf di /etc/snort/ dan masukan Oink Code yang sudah kita dapatkan dari situs www.snort.org (untuk mendapatkan Oink Code, harus melakukan registrasi di situs Snort)

Lakukan juga autodisable rules untuk rules yang saat ini kita jalankan dengan menggunakan script makesidex.pl pada direktori contrib di dalam direktori oinkmaster-2.0 yang sudah diekstrak tadi.

root@gw:/usr/src/# cd oinkmaster-2.0/contrib
root@gw:/usr/src/oinkmaster-2.0/contrib# perl makesidex.pl /etc/snort/rules > /etc/autodisable.conf

Kalo sudah, silakan jalankan :

root@gw:/usr/src# /usr/local/bin/oinkmaster.pl -C /etc/snort/oinkmaster.conf -C /etc/autodisable.conf -o /etc/snort/rules
Loading /etc/snort/oinkmaster.conf
Loading /etc/autodisable.conf
Downloading file from http://www.snort.org/pub-bin/oinkmaster.cgi/*oinkcode*/snortrules-snapshot-CURRENT.tar.gz…

Biarkan prosesnya terus berjalan, setelah selesai maka saya sudah mempunyai VRT signature terbaru dari Snort. :)

24
Sep

Stop Phishing Bait !!

Belakangan ini teknik memberikan “umpan” ke situs palsu yang berujung dicurinya informasi yang berkaitan dengan kita maupun orang ke-sekian menjadi marak dan semakin berbahaya. Yang menjadi makanan para phisers adalah ketidaktahuan kita tentang linkage, pengetahuan tentang website, URL, URI, server side dan client side, dan..bla..bla..yang menurut orang awam hanya menyusahkan saja.

Memang, menyusahkan dan menyebalkan, tapi memiliki pengetahuan terhadap apa yang saya sebutkan diatas tidak ada ruginya lho. Dengan bertambahnya pengetahuan tentang apa yang tersebut diatas, kita menjadi dapat membedakan mana situs palsu dan situs aslinya.

Hampir setiap hari, email saya penuh dengan email-email palsu, beserta link-link palsu didalamnya. Ada yang ke Paypal, e-Bay, Bank of America, dll. Nah pengetahuan kita penting sekali diuji disini, apabila kita benar-benar punya akun di e-Bay misalnya, lalu dapat email dari e-Bay yang menyuruh kita untuk mengganti password dan informasi akun lainnya karena keperluan perbaikan rutin, apakah kita bisa mengetahui bahwa email tersebut asli atau palsu?!

Beruntung sampai saat ini, saya belum menerima email dari salah satu penyelenggara internet banking di Indonesia, apabila suatu saat nanti email tersebut ternyata bercokol di inbox saya, sementara saya tidak punya akun internet banking bank tersebut, berarti era kejahatan internet di Indonesia sudah memasuki babak baru.

17
Sep

Install Windows XP di Acer Aspire 4310/4710

Kebetulan saya baru beli Acer Aspire 4710. Yang notabene, mempunyai HDD SATA, sedangkan Windows XP blum memasukkan driver SATA terbaru ke CD resource Windows XP.

Menggunakan floppy disk adalah cara yang banyak diusulkan. Namun kalo ga punya external floppy disk, akan repot sekali. Jadi, apa yang harus dilakukan tanpa menggunakan floppy disk adalah sebagai berikut.
  1. Masukkan driver SATA ke dalam Windows XP CD Resource. how?
  2. Pake nLite, silakan download disini
  3. Download SATA Drivernya
  4. Buat direktori kosong, dan copy seluruh isi dari Windows XP resource CD ke direktori tersebut.
  5. Jalankan nLite, dan arahkan ke direktori yang berisi Resource CD Windows XP.
  6. Ikuti petunjuknya pilih Drivers dan Bootable ISO. Klik Next.
  7. Ekstrak Driver SATA yg baru di download, lalu pilih Insert pada nLite, dan pilih Multiple Driver Folder, arahkan ke direktori driver SATA yang baru diekstrak.
  8. Pilih direktori $OEM$\TEXTMODE
  9. Selanjutnya akan keluar window kecil, pilih driver Intel(R)8201GBM SATA AHCI Controller (Mobile ICH7M/DH)
  10. Klik Next, Next, lakukan Direct Burn ke CD kosong.

Sekarang saya sudah punya CD Windows XP yang siap di restore kapan saja tanpa mengulangi step diatas dan menyediakan external floppy disk. Apakah ada masalah lagi? Ternyata ada, masalah yang muncul berikutnya adalah masalah driver yang dibutuhkan untuk sistem operasi. Acer menyediakan CD Resource yang berisi driver-driver yang dibutuhkan oleh sistem operasi Windows Vista, bukan Windows XP.

Terpaksa saya men-download seluruh driver Windows XP dari situs Acer. Agak mengecewakan, karena di desain khusus untuk Windows Vista.

3
Sep

Kumpulin Security Distro

Barusan selesai bikin VMware-nya Backtrack yang udah dimodifikasi, full configuration for wireless hacking. Tinggal jalanin pake VMware Player, wardrive, exploit :)
Beberapa waktu yang lalu saya juga dapat distro Auditor edisi khusus wireless hacking dari Yosia.

Semua saya lakukan karena saya memang ada keinginan untuk mendokumentasikan kegiatan wireless hacking di lapangan, semuanya mulai dari wardrive, cracking WEP atau WPA/2, local exploit, dll.

Pengennya ada handycam, biar bisa lebih jelas ngeliat prosesnya ^__^

27
Nov

Port Forwarding: For Torrent

Ide menulis artikel ini muncul pas saya barusan install uTorrent, tapi tanda DHT-nya koq tanda seru,huehehhee.. Artinya, koneksi DHT di blok oleh firewall, lalu bagaimana biar koneksi torrent bisa berfungsi dengan baik, tanpa terhambat. Tentunya kita harus meneruskan semua paket yang dibutuhkan client ke server torrent, begitu pula sebaliknya. Karena saya yang megang server gateway, iseng-iseng lalu mencoba ngoprek firewall di server gateway, karena emang semua paket lewat situ. Oiya, berikut spesifikasi jaringannya:

iface_net = ppp0 (yang ke internet)
iface_lan = eth0 (yang ke LAN)

Logika saya, ketika terjadi koneksi dan ada paket dari luar (uTorrent.com), maka paket tersebut harus diteruskan ke IP client, dalam hal ini IP saya 192.168.10.5. Yang perlu diperhatikan adalah, kita menentukan apa saja yang akan terjadi ketika proses berjalan / koneksi terjadi.

1. Program uTorrent dari client akan melakukan koneksi ke uTorrent.com dan melewati server gateway.
2. Ketika koneksi terjadi, dari uTorrent.com akan mengirimkan paket reply ke server gateway.
3. Server gateway akan meneruskan paket tersebut kembali ke client.

Ok, sudah ada gambaran dari proses yang terjadi, sekarang tinggal bikin rulenya di iptables :)
(uTorrent saya secara default menggunakan port 22238 sebagai listening portnya)

[root@localhost ~]# /sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 22238 -j DNAT –to 192.168.10.5
[root@localhost ~]# /sbin/iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.10.5 –dport 22238 -j ACCEPT

Perhatikan rule pertama,

/sbin/iptables -t nat -A PREROUTING -i ppp0 -p tcp –dport 22238 -j DNAT –to 192.168.10.5

Yang berbunyi kira-kira begini: “Tambahkan satu aturan baru di kolom PREROUTING (-A PREROUTING) pada tabel nat (-t nat), paket tersebut masuk dari interface ppp0 (-i ppp0) berupa protokol tcp (-p tcp) dan menuju port 22238 (–dport 22238) jika ada paket seperti ini, teruskan paket tersebut ke IP 192.168.10.5 (-j DNAT –to 192.168.1.5).

Sehingga paket dari luar yang masuk lewat ppp0 akan diteruskan secara langsung menggunakan NAT ke IP 192.168.10.5

Lalu, rule berikutnya,

/sbin/iptables -A FORWARD -i ppp0 -o eth0 -p tcp -d 192.168.10.5 –dport 22238 -j ACCEPT

Yang berbunyi kira-kira seperti ini: “Tambahkan satu aturan baru di table FORWARD, paket tersebut berasal dari ppp0 (-i ppp0) dan akan keluar dari eth0 (-o eth0) berupa protokol tcp (-p tcp) menuju ke 192.168.10.5 port 22238 (–dport 22238), jika ada paket seperti ini terima saja (ACCEPT)

Rule ini akan meneruskan semua paket yang lewat pada port 22238 dari mau pun keluar. Jadi server gateway bertugas meneruskan port yang diminta client.

Kalau sudah diset seperti ini, silakan cek port forwarding Anda, apakah bekerja dengan baik pada uTorrent di uTorrent Port Checker
Sekian, semoga membantu para torrent mania yg kesulitan masalah forwarding port.

19
Nov

Captive Portal | Gateway | Firewall | Distro ?!

Teknologi captive portal ternyata udah lama dipake di luar negeri untuk autentikasi dan pengamanan data yang lewat dari network local (internal area) ke daerah luar (external area).

Biasanya captive portal di set pada satu server yang bekerja sebagai gateway, ketika user yang berada pada LAN akan mengakses internet, server gateway akan mengalihkan packet data ke captive portal.

Bentuk captive portal berupa web based authentication yang menyediakan halaman web berisi form untuk login. Setelah user memasukkan data autentikasi (biasanya berupa username atau password) baru deh, bisa browsing.

Captive portal biasanya dipake di jaringan nirkabel untuk autentikasi dan pembatasan penggunaan terhadap jaringan internet via nirkabel.

ASK: Trus, bisa ga kalo di pake di wired network?
ANS: Bisa banget, biasanya kalo di wired network dipake untuk monitoring paket yang keluar-masuk. Contohnya: Content Filtering, eMail filtering, etc.

Nah, saya tidak akan membahas bagaimana setting sebuah OS yang mendukung captive portal, saya hanya ingin memusatkan pada ketangguhan sebuah OS (berikut dengan fitur-fitur yang ditawarkan) dan dukungannya terhadap captive portal. Makanya saya hanya akan membahas OS yang menurut saya, sangat cocok sebagai pendamping captive portal dan sebagai gateway serta firewall yang tangguh di jaringan lokal.

Ada banyak banget OS yang sengaja dibuat untuk bekerja sebagai captive portal, dan beberapa saya udah coba. Hasilnya sangat memuaskan, tapi tergantung kebutuhan kita dan tentunya kita hendak menginginkan jaringan network yang seperti apa :D

Berhubung saya kerja di wired network, jadi spesifikasinya di wired network ya..beda dikit koq ama yg wireless network :)

Berikut daftar beberapa OS (linux based) yang udah saya coba dan berlaku sebagai captive portal:

  1. IPCop (http://www.ipcop.org)
  2. Smoothwall (http://www.smoothwall.org)
  3. m0n0wall (http://m0n0.ch/wall/)
  4. ClarkConnect (http://www.clarkconnect.com)
  5. Mikrotik (http://www.mikrotik.com)
  6. Endian Firewall (http://www.endian.it/en/community)

Dari semua distro diatas yang benar-benar melengkapi kinerja sebuah gateway adalah Endian Firewall. Semua fasilitas seperti DHCP server, Web Proxy, Firewall, Content Filtering, Anti-Spam, Anti Virus, IDS, serta VPN Security. Benar-benar lengkap dan tampilannya pun sangat user friendly. Endian Firewall mendukung captive portal terhadap web proxy.

Endian Firewall

Namun, jika dilihat dari cepatnya instalasi, mudahnya konfigurasi dan ketahanan dalam kinerja sistem, IPCop dan Mikrotik bisa jadi pilihan. Waktu yang diperlukan kedua distro ini untuk instalasi pertama, mulai dari booting CD sampai reboot adalah tidak kurang dari 8 menit :)

Kemudahan yang ditawarkan IPCop hampir mirip dengan Endian Firewall dan ruang hard disk yang dibutuhkan untuk sebuah sistem tidak kurang dari 4 GB, namun untuk optimasi sebuah web proxy, dibutuhkan ruang hard disk yang lebih besar untuk menampung cache website. IPCop juga mendukung captive portal terhadap web proxy.

IPCop

Lebih gila lagi kalo pake Mikrotik, kita mengkonfigurasi Mikrotik dari komputer berbasis Windows menggunakan program bernama winbox.

Dari situ, semua yang kita inginkan ada semua, dan serba otomatis, kita hanya tinggal meng-input data yang ingin kita masukkan sebagai konfigurasi sistem.

Hanya satu kekurangan dari Mikrotik, yaitu sulitnya mengatur Mikrotik untuk menjalankan Content Filtering, bisa sih cuma kita harus memasukkan Blacked URLs dan Blacked Websites satu persatu (ampe pegel dah :D ). Mikrotik mendukung web based authentication untuk wireless connection.

Setelah berjuang selama 2 hari buat nyari yang terbaik dari semua distro diatas, pilihan saya jatuh pada Smoothwall, karena kemudahan instalasi, konfigurasi yang mudah, dan tampilan yang tidak ribet (Smoothwall dan IPCop bisa dibilang adik-kakak :D )

Smoothwall

Bisa dibayangkan, teknologi keamanan dan privacy jaringan dibundel dalam satu distro yang berlisensi GPL (GNU Public License), jika dibandingkan dengan Checkpoint yang berupa sebuah device yang bekerja mirip dengan distro-distro diatas, silakan liat produk Checkpoint disini.

Sebuah alternatif pilihan yang sangat murah bukan untuk mengamankan jaringan internal kita :)

Newer Entries »
Rss Feed Tweeter button Facebook button Linkedin button Stumbleupon button