Patch Heartbleed

Heartbleed sepertinya telah menjadi berita besar. Penemuan celah keamanan ini memang sangat menghebohkan. Para user sibuk melakukan update password. Peneliti keamanan sibuk mempelajari tentang celah keamanan ini. Sementara para admin jaringan juga ikut sibuk.

heartbleed patch
from interaksyon.com

Minggu ini para admin masih disibukkan dengan patch  Heartbleed. Teman saya ada yang sudah coba memasang patch dari openssl tapi setelah dipasang ternyata servernya malah error. Akhirnya terpaksa data dipindahkan ke server cadangan. Ternyata tidak semua server bisa dibereskan dengan patch dari openssl. Masing-masing vendor berbeda cara memasang patchnya. Sebaiknya kita baca dulu keterangan resmi dari masing-masing vendor tentang Heartbleed, sebelum mulai coba mengoprek-oprek server kita. Beberapa vendor sudah mengeluarkan keterangan resmi tentang Heartbleed. Bahkan ada yang mengeluarkan patch khusus serta cara-cara memasang patch tersebut. Berikut ada beberapa keterangan dari masing-masing vendor tentang patch Heartbleed  :

Buat teman-teman yang tertarik mempelajari lebih lanjut tentang Heartbleed, untuk referensi di link berikut ini.  Disana ada banyak link bacaan tentang Heartbleed. Mulai dari payload, cara mendeteksi, cara mengangani dll. Selain itu ada video juga yang menjelaskan tentang Heartbleed.

Semoga bermanfaat

Survey Malware

Untuk mahasiswa kelas TK3193 keamanan jaringan, hari ini kita akan ikut serta dalam Survey Malware yang diadakan oleh ID-CERT. Jadi nanti kalian akan diminta menginstall anti virus kemudian melakukan scanning virus di komputer kalian. Hasil scanningnya harap dikirimkan ke email ID-CERT. Nanti hasil scanning ini akan dikumpulkan dengan hasil scanning virus para relawan dari seluruh indonesia. Tujuan survey ini untuk mengetahui penyebaran virus di Indonesia.  Prosedurnya sebagai berikut :

survey malware
id cert

Pendaftaran:

1. Kirim email ke daftar@malware.cert.or.id dengan keterangan nama lengkap, kota tinggal dan email anda

2. Tunggu konfirmasi dari admin@malware.cert.or.id atau support@malware.cert.or.id untuk verifikasi akun anda

Download tool untuk scan malware:

1. Download aplikasi yang digunakan untuk scan malware, di http://is.gd/idcert atau

https://www.dropbox.com/sh/n8gwludssk95odx/TrkFpnf49f lalu pilih download as .zip (agar mudah dapat didownload dalam format .zip)

2. Setelah selesai didownload, lalu eksrak file Emsisoft Emergency Kit.zip

Pelaporan:

1. Jalankan start.exe yang terdapat pada folder Emsisoft Emergency Kit

2. Pilih Emergency Kit Scanner -> Scan PC

3. Pilih metode scan sesuai kebutuhan (Quick Scan, Smart Scan, Deep Scan, Custom Scan)

4. Tekan tombol ‘Scan’

5. Tunggu sampai scan selesai

6. Tekan tombol ‘View Report’ dan folder log akan terbuka

7. Kirimkan melalui email file log tersebut ke lapor@malware.cert.or.id

(file report tersimpan pada folder /Run/Report/…..)

Scanning dilakukan hanya pada komputer dengan OS Windows. Bila ada pertanyaan bisa hubungi email berikut support@malware.cert.or.id atau ahmad@cert.or.id via email

ID-CERT atau Indonesia Computer Emergency Response Team merupakan tim CERT yang berdiri pada 1998, didirikan oleh Dr. Budi Rahardjo. ID-CERT merupakan tim koordinasi teknis berbasis komunitas dan untuk komunitas yang bersifat independen(info lebih lengkap terkait ID-CERT dapat dilihat di www.cert.or.id). Pada tahun 2014 ini ID-CERT sedang melakukan riset terkait statistika penyebaran malware di Indonesia. Untuk mendukung kegiatan riset tersebut, ID-CERT membentuk ID-CERT volunteer yang terdiri dari berbagai kalangan seperti mahasiswa, peneliti, pemerintah dan masyarakat pemerhati keamanan informasi. Jika anda tertarik berperan serta dalam riset ini sebagai volunteer

Kompetisi CTF (Capture The Flag) SQLiLab

SQLiLab menyelenggarakan kompetisi CTF (Capture The Flag ). Kompetisi ini merupakan kompetisi hacking online yang diselenggarakan SQLiLab. Peserta akan diminta untuk menerobos sebuah server dan mengambil sebuah flag (file). Kompetisi ini merupakan yang kedua setelah sebelumnya pada 2013 diikuti 1800 orang dari seluruh dunia. Lomba akan dimulai tanggal 18 April 2014 sampai 20 April 2014 secara online.

Pada lomba kali ini akan ada 2 level, setiap levelnya peserta harus mengambil 1 buah flag. Pendaftaran lomba ini gratis. Pendaftaran bisa dilakukan di web ctf.notsosecure.com  . Hadiah kompetisi ini cukup menarik, yaitu :

  • 1  Aplikasi Netsparker Web Application Security Scanner Professional
  • 1 Aplikasi Metasploit Pro License from Rapid7
  • 1 tiket untuk konferensi Appsec EU dan  HackMiami
  • 1 akses gratis  1 bulan SQLiLab
  • 1 akses gratis 1 bulan ke Pentester Academy

Untuk bisa mendapatkan flag, peserta harus menguasai teknik SQL injection dan menganalisa celah keamanan pada webserver. Selain itu tools analisa web seperti Burpsuite akan sangat membantu. Pada lomba sebelumnya peserta harus mencari cara untuk login pada sebuah website, kemudan melakukan SQL injection untuk mendapatkan akses sebagai admin. Tulisan tentang jalannya lomba CTF ini pada tahun 2013 bisa dilihat disini. Di tulisan tersebut juga dijelaskan cara yang digunakan untuk mendapatkan flag.

ctf-logoSQLiLab merupakan lembaga yang menyelenggarakan training tentang keamanan web. SQLiLab merupakan bagian dari perusahaan konsultan keamanan Inggris NotSoSecure Ltd. Keliatannya akan seru lombanya, mari kita daftar!

Cryptolocker – Ransomware

Akhir tahun 2013 muncul malware yang sempat membuat sensasi, yaitu CryptolockerCryptolocker termasuk tipe Ransomware. Jadi kalo komputer kita terkena malware ini, malware akan melakukan enkripsi terhadap data yang ada di komputer kita. Enkripsi yang dilakukan menggunakan algoritma RSA public key Cryptography. Kemudian pembuat malware akan meminta uang tebusan dengan batas waktu tertentu. Kalo kita membayar uang tebusan tersebut baru kita bisa mengakses data kita kembali. Kalo kita tidak membayar, pembuat malware akan mengancam menghapus kunci privat, yang membuat data tersebut tidak bisa diakses. Kunci ini kita butuhkan untuk mengembalikan data (dekripsi).Cryptolocker

Malware ini umumnya menyebar melalui email. Jadi korban akan menerima email seolah-olah dari sebuah perusahaan resmi yang isinya nanti akan meminta kita membuka file attachment. Attachment inilah yang berisi malware, tapi disamarkan dalam format pdf.  Ketika diklik maka malware akan melakukan instalasi dan akan melakukan koneksi ke sebuah server (Command and control server).  Server ini akan mengirim kunci RSA 2048 bit yang akan digunakan untuk melakukan enkripsi data pada komputer korban. Selanjutnya malware akan melakukan enkripsi data-data korban. Umumnya yang dienkripsi adalah dokumen-dokumen microsoft Office, gambar dan file Autocad. Kemudian malware akan menampilkan pesan bahwa komputer telah dienkripsi sehingga tidak bisa dibuka. Korban diminta mengirim uang tebusan untuk bisa membuka data tersebut. Pembayaran yang diminta sekitar $ 300 atau 300 € dan dikirimkan melalui Moneypark atau Ukash. Ada juga yang meminta tebusan melalui bitcoin. Umumnya korban diberi waktu 72 sampai 100 jam untuk membayar uang tebusan. Setelah tebusan dibayar maka korban akan diminta mengunduh aplikasi dekriptor yang sudah berisi kunci untuk membuka file.

Malware ini ditemukan oleh peneliti keamanan dari ESET. Antivirus umumnya sudah bisa mendeteksi malware ini. Tapi bila kita terkena, proses dekripsinya masih susah untuk dilakukan. Karena harus melakukan brute-force attack, yang memerlukan waktu yang cukup panjang. Sangat disarankan untuk berhati-hati dalam membuka email attachment yang tidak jelas. Penjelasan lengkapnya bisa dilihat di link berikut :

http://www.welivesecurity.com/2013/09/23/filecoder-holding-your-data-to-ransom/

http://blog.malwarebytes.org/intelligence/2013/10/cryptolocker-ransomware-what-you-need-to-know/

AMOS – Android Malware Operating System

Untuk teman-teman yang lagi belajar tentang malware di Android, tentunya teman-teman harus punya tools yang pas. Ada banyak aplikasi yang diperlukan, mulai dari reverse engineering, android emulator, sampe aplikasi untuk melakukan behavioral analysis.  Biasanya aplikasi-aplikasi tersebut terpisah, sehingga kita harus mengunduh satu persatu.

ID-SIRTII/CC sudah menyiapkan OS (Operating System) yang berisi aplikasi yang lengkap untuk melakukan analisa malware android. Di OS ini sudah lengkap bermacam aplikasi yang diperlukan. Jadi kita tidak perlu menginstall aplikasi tersebut satu persatu. OS ini dinamakan AMOS (Android Malware Operating System). OS ini berbasis ubuntu. Di dalamnya terdapat beberapa aplikasi berikut :

1. Androguard : aplikasi ini digunakan untuk melakukan reverse engineering. Androguard berbasis phyton.

2. Android SDK : aplikasi ini sebenarnya digunakan untuk membuat aplikasi android. Tapi dalam proses analisa malware kita perlu juga aplikasi ini.

3. APK Analyser : aplikasi ini kita gunakan dalam melakukan analisa statis.

4. APK Inspector : aplikasi ini juga untuk melakukan reverse engineering. Ada video yang menceritakan tentang fitur APK inspector bisa dilihat di link berikut http://www.youtube.com/watch?v=X538N-x3UUY

5. Android-apktool : Untuk melakukan analisa file apk

6. Smali/Baksmali : aplikasi dissasembler untuk format file dex

7. Dex2jar : aplikasi untuk konversi file dex menjadi file jar (java)

8. Droidbox : aplikasi ini digunakan untuk melakukan analisa dinamis malware

9. IDA (demo) : IDA pro merupakan aplikasi standar yang digunakan untuk reverse engineering.

10.JD-GUI : aplikasi untuk melakukan decompile java file

11. Android Emulator : Kalo yang ini kita gunakan untuk mengemulasi handphone Android. Jadi nanti kita menjalankan malware pada emulator, dan melihat aktifitas apa saja yang dilakukan. Seperti Virtual machine. Emulator ini membutuhkan RAM besar.

Presentasi tentang AMOS bisa dilihat di web ID-SIRTII pada link berikut ini . Selain AMOS ada juga OS lain yang dapat kita gunakan untuk melakukan analisa malware, diantaranya Santoku Linux dan ada juga REMnux . Kalo ada yang membutuhkan AMOS, bisa kontak ID-SIRTII/CC .

Masih tentang bug Heartbleed

Celah keamanan atau Bug Heartbleed ini sangat menarik. Bug ini ternyata sudah ada sejak 2 tahun, tapi baru saja diketahui dan dipublikasikan oleh  peneliti keamanan Google dan Codenomicon. Bug ini memiliki nama resmi CVE-2014-0160. Celah keamanan ini menyerang openssl versi 1.0.1 sampai versi 1.0.1f , serta server yang menggunakan Apache dan Nginx. Jadi dengan memanfaatkan celah keamanan ini, penyerang bisa mengambil isi memori pada server sebesar 64k. Hal ini bisa dilakukan berulang-ulang oleh penyerang tanpa terdeteksi, karena umumnya kanal Heartbeat tidak dimonitor.  Nah isi memori tadi bisa diekstrak oleh penyarang sehingga nanti akan mendapatkan data seperti public keys, private keys, login maupun password. Tergantung isi memori dari server pada saat itu apa.

bug heartbleed
from onsugar.com

Celah keamanan ini terjadi karena openssl merupakan aplikasi open source yang dikerjakan secara keroyokan oleh para volunteer. Sehingga bisa saja terjadi kesalahan coding. Tapi celah keamanan ini telah diperbaiki.  OpenSSL telah mengeluarkan patch untuk memperbaiki bug ini. Bila anda admin website yang menggunakan openssl, sebaiknya segera memasang patch tersebut pada web anda. Bila anda user, sebaiknya anda periksa dulu domain website yang sering anda kunjungi. Apakah website tersebut masih rawan terhadap bug Heartbleed ini atau sudah diperbaiki. Link untuk mengujinya bisa dilihat disini. Sangat dianjurkan untuk kita segera mengganti password. Dan jangan dibiasakan untuk menggunakan password yang sama untuk semua layanan yang kita gunakan.

Selain itu ada kemungkinan celah keamanan ini akan dimanfaatkan oleh para scammers untuk menyebarkan email-email scam tentang bug ini. Sebaiknya hati-hati bila menerima email tentang tema ini. Penjelasan yang lebih teknis tentang bug Heartbleed ini bisa dilihat di blog ini. Disana diuraikan tentang source code openssl yang bermasalah. Selain itu ada juga videonya disini http://vimeo.com/91425662

Semoga bermanfaat!

Heartbleed – Celah keamanan

heartbleed
heartbleed

Para peneliti keamanan sedang dihebohkan dengan berita ditemukannya bug pada aplikasi OpenSSL. Bug ini dinamakan Heartbleed. Bug ini sangat berbahaya. Karena dengan memanfaatkan celah keamanan ini, penyerang dapat mengambil memori dari server. Celah keamanan ini menyerang sistem yang menggunakan openssl. Ini artinya semua yang ada di memori seperti SSL private keys, user keys, nama login user, password, email dll bisa diambil oleh penyerang tanpa meninggalkan jejak.

Celah keamanan ini menyerang sistem yang menggunakan openssl. OpenSSL merupakan aplikasi yang sangat populer dan banyak digunakan untuk mengamankan website. Sehingga diprediksi sekitar 500 ribu website diseluruh dunia rawan terhadap celah keamanan Heartbleed ini. Di Website arstechnica didemonstrasikan cara kerja penyerang yang menggunakan celah keamanan Heartbleed ini. Disitu pengujian dilakukan dengan menyerang server email yahoo. Dan ternyata berhasil didapatkan username dan password dari user.

Informasi lebih lanjung tentang celah keamanan ini bisa dilihat di link berikut ini. Anda bisa menguji juga apakah website anda rawan terhadap bug ini pada link berikut ini.  Tetapi celah keamanan ini telah berhasil ditangani, telah ada patch yang dikeluarkan openssl.  Silahkan baca keterangan dari OpenSSl untuk menangani celah keamanan ini di link berikut ini. Setelah kita memasang patch ini maka kita harus menggenerate kunci pubic dan kunci private kita. Kemudian kita harus melakukan update sertifikat SSL yang kita gunakan. Dan disarankan untuk segera mengganti password dari user yang mungkin telah dicuri hacker. Menurut berita terakhir Facebook dan Gmail telah mengupdate sistemnya menggunakan patch tersebut. Semoga bermanfaat!

from xkcd
from xkcd

Tugas Iptables

Untuk mahasiswa Kelas Keamanan Jaringan TK3193, hari ini kita telah belajar tentang Firewall dan IPTables. Silahkan kerjakan tugas iptables berikut ini. Tunjukkan perintah apa pada Iptables untuk menampilkan hal-hal berikut ini :

1. Menampilkan rules yang berjalan pada iptables
2. Blok alamat IP tertentu
3. Mengijinkan semua akses SSH ke jaringan internal
4. Mengijinkan akses SSH ke jaringan internal hanya
dari jaringan tertentu
5. Mengijinkan akses HTTP ke jaringan internal
6. Mengijinkan akses SSH ke jaringan eksternal
7. Blok semua akses  masuk ke jaringan internal,
mengijinkan semua akses ke jaringan eksternal
8. Blok akses keluar ke alamat IP tertentu
9. Blok akses ke Facebook
10. Blok akses keluar ke subnet tertentu
11. Blok akses dari MAC address tertentu
12. Blok ping request
13. Membatasi hanya mengijinkan 2 koneksi paralel pada port SSH!

Have fun!

Kompetisi keamanan informasi

Ada kompetisi keamanan informasi keren yang diselenggarakan US Cyber challenge. Kompetisi ini online, diselenggarakan rutin. Jadi kompetisinya bersifat quiz online skenarionya berbeda-beda tiap bulan. Biasanya nanti akan ada pertanyaan tentang keamanan informasi, ada melakukan analisa juga, misalnya kita dikasi hasil paket capture dari wireshark, kemudian kita diminta melakukan analisa serangan apa yang terjadi. Selain itu ada juga skenario dimana kita diminta melakukan analisa forensic dll. Kompetisi ini online, nanti setelah mendaftar kita akan dikasih soal, dan diberi waktu 24 jam untuk mengumpulkan jawaban.cqlogo

Untuk bulan maret ini temanya tentang web application security.  Pendaftaran sudah dimulai 2 April 2014 dan akan ditutup sampai tanggal 29 April 2014 waktu Amerika (EDT). Untuk quiznya sendiri dimulai tanggal 16 April 2014 sampai 30 April 2014. Informasi bisa dilihat di web ini http://uscc.cyberquests.org/ Untuk pendaftaran bisa dilihat disini https://quiz-uscc.cyberquests.org/login/index.php

Ayo Daftar!!

Tugas VPN

Kepada mahasiswa peserta kuliah Keamanan Jaringan TK3193 . Baik hari ini kita telah belajar tentang VPN . Selanjutnya silahkan kerjakan tugas vpn berikut :

1. Buat kelompok berdua!

2.  Lakukan konfigurasi server VPN! (aplikasi VPN server bebas, OS yang digunakan juga bebas)

3. Lakukan pengujian dengan melakukan koneksi dari VPN client ke VPN server yang telah anda buat!

4. Buatlah laporan pengerjaan, dan kumpulkan di portal!

Referensi :vpn

http://www.howtogeek.com/135996/how-to-create-a-vpn-server-on-your-windows-computer-without-installing-any-software/

http://www.tomshardware.com/faq/id-1821382/configure-windows-vpn-server.html

http://www.instructables.com/id/Host-Your-Own-Virtual-Private-Network-VPN-with-O/?ALLSTEPS

https://community.openvpn.net/openvpn/wiki/Easy_Windows_Guide

https://openvpn.net/index.php/open-source/documentation/howto.html

https://openvpn.net/index.php/open-source/downloads.html