Kecoak Elektronik Indonesia

HDM mulai melakukan eksplorasi terhadap iPhone, dia berhasil mendapatkan shell (reverse-shell dan bind-shell) pada iPhone via payload (dummy shell) yang merupakan hasil generate dari MSF 3. Check his (cute) start-up technique to explore the iPhone (include some intresting information regarding the iPhone) on metasploit blog.

Akhir-akhir ini kita sering sekali mendengar istilah Web 2.0, apa sebenar nya web 2.0?! Penjelasan detail nya bisa dibaca melalui media wiki. Web 2.0 bukan lah sebuah protocol baru untuk aplikasi web, yang pada awal nya dikenal dengan istilah World Wide Web (www). Mungkin kita bisa mengatakan bahwa Web 2.0 adalah suatu bentuk trend masa kini yang memanfaatkan web sebagai platform.

Teknologi web sudah sangat jauh berkembang, yang awal nya statis kemudian menjadi dinamis, dan sekarang semakin mendekat lagi kepada user dimana pemrosesan data banyak memanfaatkan backend, sebut saja teknologi javascript. Jika dilihat dari trend nya itu sendiri, saat ini aplikasi social network seperti friendster dan myspace semakin banyak, pemanfaatan server untuk sharing foto dan video juga semakin bersaing, belum lagi aplikasi-aplikasi desktop yang dibawa ke dalam teknologi web seperti google desktop, gadget, google spreadsheet, dsb.

Bisnis?!Absolutely, kita bisa katakan…jaman sekarang perusahaan mana yang tidak punya website?semakin banyak pihak yang mencari keuntungan melalui media internet khusus nya aplikasi web, kita bisa lihat melalui aplikasi semacam google analytics, adSense, dan lain sebagai nya dimana aplikasi-aplikasi web semakin kompleks dan dimanfaatkan untuk kepentingan mencari profit. Kita bisa bayangkan, saat ini banyak orang yang meraih keuntungan jutaan hanya dengan kalkulasi ‘jumlah klik’ dari suatu website, ataupun dengan memiliki rating tinggi dari suatu search engine. Atau kita bisa melihat trend yang berusaha membawa kehidupan nyata kedalam kehidupan mesin di dunia maya layak nya film-film dari holywood, contoh nya adalah aplikasi secondlife.

Dengan semakin beragamnya kepentingan tiap pihak terhadap aplikasi web, maka seakan-akan setiap orang menginginkan apa yang tertanam dalam ide manusia dapat tercurahkan dalam bentuk bit-per-bit di dunia maya. Hal ini memacu semakin berkembang nya teknologi internet untuk memenuhi kebutuhan tersebut, sebut saja teknologi Ajax, RSS, CSS, Rails, dsb.

Jika dilihat secara kasar, Web 2.0 tidak mengubah spesifikasi default dari protocol pembawa nya seperti http. Namun lebih kepada pengembangan teknologi untuk memenuhi kebutuhan trend saat ini yang segala sesuatu nya memanfaatkan aplikasi-aplikasi web, bahkan sistem operasi pun melalui web.

Dari sudut pandang security, tentu saja semakin banyak hal yang bisa di eksplorasi. Semakin banyak hal yang dapat dimanfaatkan sebagai celah untuk masuk kedalam suatu sistem, dan seiring dengan perkembangan trend yang mendekat kepada end-user maka celah keamanan bukan lagi terfokus pada sisi server, namun merujuk langsung pada sisi manusia sebagai pengguna.

Another interesting project from GNUCITIZEN team, mereka membuat database untuk berbagai jenis serangan XSS. Database ini lebih lengkap dari XSS Chetsheet nya RSnake. Bagi yang tertarik bisa langsung di lihat pada situs resminya.

reCAPTCHA merupakan metode implementasi terbaru untuk CAPTCHA (Completely Automated Public Turing test to Computers and Human Aparts). CAPTCHA merupakan metode challange yang banyak dimanfaatkan pada berbagai aplikasi web di internet sebagai metode untuk membedakan antara manusia dengan mesin. Kalian pasti sering melihat di form sign-up email, forum, ataupun untuk memasukan comment pada blog terdapat semacam gambar acak yang terlihat buram, kita harus menuliskan teks kata tersebut pada suatu form sebelum melakukan aksi yang sebenar nya (sign-up email atau forum misal nya), nah…itu lah CAPTCHA.

Terdapat banyak implementasi CAPTCHA pada aplikasi-aplikasi web yang populer seperti phpBB, wordpress, phpNuke, dsb. Dan umum nya memastikan bahwa yang berinteraksi dengan sistem saat ini adalah manusia, bukan mesin (seperti bot). Banyak sekali terdapat bot yang disebar pada internet memasukan comment yang sifat nya iklan ataupun mengganggu ke dalam media blog ataupun forum, dan bot ini umum nya dibuat dengan suatu script program. Dengan adanya CAPTCHA maka bot-bot tersebut dapat dicegah sehingga tidak dapat melakukan registrasi, post comment, dsb.

reCAPTCHA menggunakan metode baru dalam melakukan CAPTCHA, yaitu memanfaatkan 2 hal: Kata-kata yang tidak dapat dibaca dengan OCR (Optical Computer Recognition), dan manusia. Manusia?!Yups, kita bisa baca selengkapnya dari situs resmi nya di sini.

OCR (Optical Computer Recognition) dapat digunakan untuk mengubah hasil scan suatu buku (dalam bentuk gambar) kedalam suatu bentuk dokumen teks. Kita semua tentu tahu mengenai e-book. Pengubahan bentuk scan yang awalnya berupa gambar kedalam bentuk dokument teks dibutuhkan untuk berbagai tujuan, salah satu nya adalah agar mudah di-search oleh search engine. Namun adakalanya OCR tidak mampu membaca karakter hasil scan tersebut sehingga menghasilkan tulisan yang salah, misal nya seperti ini:

Kita bisa katakan reCAPTCHA adalah suatu project mutualisme dengan beberapa tujuan, yaitu: Meningkatkan kualitas CAPTCHA pada suatu sistem terhadap serangan bots, dan membantu proses book digitizing (pembuatan buku digital) dalam mengenali kata-kata yang tidak bisa dibaca oleh OCR. Ini adalah suatu project yang menarik :).

Bagaimana hal ini bisa terjadi?!silahkan baca statement berikut ini dari situs recaptcha:

About 60 million CAPTCHAs are solved by humans around the world every day. In each case, roughly ten seconds of human time are being spent. Individually, that’s not a lot of time, but in aggregate these little puzzles consume more than 150,000 hours of work each day. What if we could make positive use of this human effort? reCAPTCHA does exactly that by channeling the effort spent solving CAPTCHAs online into “reading” books.

Pengguna internet di dunia semakin banyak, dan semakin banyak orang yang setiap hari nya harus memecahkan challange dari CAPTCHA (dalam arti, membaca image CAPTCHA dan menuliskan hasil nya untuk autentifikasi) seperti posting comment di blog. Dan peran manusia dalam memecahkan challange CAPTCHA tersebut digambarkan oleh quote diatas, yang berarti ada sekitar 60 juta CAPTCHA yang di baca oleh manusia diseluruh dunia perhari nya. Jumlah inilah yang dimanfaatkan oleh reCAPTCHA.

Berikut langkah mudah nya:

1. reCAPTCHA akan memberikan 2 kata dalam bentuk image ke user sebagai CAPTCHA, 1 dari 2 kata tersebut merupakan image yang diambil dari hasil kegagalan OCR dalam membaca image untuk di konversi ke teks, dalam arti ‘jawaban’ dalam bentuk teks untuk image tersebut belum dapat dibaca oleh komputer dimanapun sehingga tidak mungkin bots dapat membaca nya, hanya manusia yang dapat membaca nya. 1 kata lagi merupakan image yang sudah dapat dibaca oleh komputer namun tetap sulit bagi bot.

2. Kita tidak tahu mana kata yang bisa dibaca ataupun tidak bisa dibaca oleh komputer, namun pada proses verifikasi sistem akan menerima kedua nya dan apabila jawaban pada jenis kata yang sudah diketahui ‘bentuk teks’ nya memang benar maka diasumsikan kata kedua yang belum diketahui jawaban nya juga benar, dan diasumsikan user adalah manusia. Namun kata yang belum diketahui jawaban nya tersebut tidak langsung digunakan sebagai ‘known words’, namun masih digunakan untuk authentifikasi terhadap beberapa user lain dengan status ‘unknown words’, hal ini digunakan sebagai uji coba agar kata yang gagal dikenali oleh OCR tersebut mendapatkan jawaban yang akurat. Hasil nya nanti digunakan pada proses OCR selanjut nya saat membaca image dengan bentuk seperti itu, dan OCR sudah tahu bentuk image seperti itu akan di konversi kedalam bentuk teks seperti apa. Nah, inilah yang dimaksud memanfaatkan manusia untuk membantu OCR dalam mengenali bentuk image yang hanya bisa dibaca oleh manusia.

Dan saat ini project reCAPTCHA membantu proses book digitizing dari Internet Archive.

Terlepas dari ‘digunakan’ oleh sistem untuk membantu proses kerja OCR, kita dapat menerapkan reCAPTCHA pada aplikasi web yang kita miliki, untuk saat ini reCAPTCHA sudah di implementasikan dalam bentuk plugin untuk wordpress dan mediawiki. Namun jika kita ingin membuat plugin sendiri untuk diimplementasikan pada aplikasi web milik pribadi, maka dapat membaca API yang terdapat pada website resmi reCAPTCHA. Blog kecoak elektronik juga saat ini sudah meng-implementasikan reCAPTCHA untuk posting comment, dan tentu selain untuk meningkatkan security terhadap b0t juga dengan tujuan agar dapat membantu proses book digtizing, sehingga akan lebih banyak lagi informasi dari buku-buku dapat dipindahkan kedalam bentuk digital dan dapat dibaca oleh orang-orang di seluruh dunia ;).

Seperti biasa, jurnal uninformed selalu menyuguhkan artikel-artikel yang intelek dan murni hasil riset terkini mengenai berbagai macam teknologi di dunia security. Rilis artikel terbaru mereka bisa dibaca pada situs uninformed.org.

kecoak@yourserver~> head -5 cfp.sh
#
# !/bin/sh
# CALL FOR PAPER - CALL FOR PAPER - CALL FOR PAPER
# Terbitan Online Kecoak Elektronik (TOKET) volume 3
#
kecoak@yourserver~> chmod +x cfp.sh
kecoak@yourserver~> ./cfp.sh

Dear all,

Kecoak elektronik sedang menyiapkan terbitnya TOKET volume 3 meng
harapkan partisipasi semua dalam menulis artikel.

Kirimkan artikel anda dengan tema seperti di bawah ini :

1. Sistem Operasi (Windows, UNIX, *NIX)
2. Penyandian (Cryptography)
3. Hacking
4. Phreaking
5. Cracking (Cracking the Operating System)
6. Pemrograman
7. Networking
8. Human Computer Interaction (Interaksi Manusia Komputer)
9. Teknologi Informasi dan Sistem Informasi

kirimkan tulisan anda ke :

toket -et- kecoak-elektronik.net

Deadline pengiriman - 20/11/2007
Rilis TOKET Vol 02 - 1/12/2007

kami tunggu artikel dari anda !!!

Syotaa!!

kecoak elektronik

kecoak@yourserver~> date
Sun Sep 16 12:46:10 WIT 2007
kecoak@yourserver~> tail -5 cfp.sh

# CALL FOR PAPER - CALL FOR PAPER - CALL FOR PAPER
# Terbitan Online Kecoak Elektronik (TOKET) volume 3
# http://kecoak-elektronik.net
# EOF

Taken from http://smxy.org/iphone-apps/info/Unlock.html.

* Download the iUnlock_Reloaded.zip from here, here or here. Save it to a directory.
* cd to where you just saved the download and unzip it.
* in another wiindow, ssh into your iPhone and run: mkdir /unlock
* back on your Mac, scp the three files to your iPhone: scp -p iUnlock_reloaded *bin root@youriphoneip:/unlock
* on your iPhone, run: cd /unlock
* on your iPhone, run: ./iUnlock_reloaded

If it worked, and says your iPhone is unlocked, you’re done. If not, read on.

If it says that the flash went ok, but the unlock failed, do this:
* put a copy of the 1.0.2 firmware in a directory on your Mac. If you need to download it, get it from here.
* rename the extension on the firmware from ipsw to zip
* unzip it
* run: dd if=009-7698-4.dmg of=ramdisk.dmg bs=512 skip=4 conv=sync
* use finder to navigate to the directory where ramdisk.dmg is and double-click it to mount it.
* copy the following files to the directory you unziped iUnlock_Reloaded.zip in:
o /Volumes/ramdisk/usr/local/bin/bbupdater
o /Volumes/ramdisk/usr/local/standalone/firmware/ICE03.14.08_G.eep
o /Volumes/ramdisk/usr/local/standalone/firmware/ICE03.14.08_G.fls
* copy those three files to your iPhone: scp -p bbupdater ICE* root@youriphoneip:/unlock
* on your iPhone, run: cd /unlock
* on your iPhone, run: launchctl unload /System/Library/LaunchDaemons/com.apple.CommCenter.plist
* on your iPhone, run: ./bbupdater -f *.fls -e *.eep
* on your iPhone, run: launchctl load /System/Library/LaunchDaemons/com.apple.CommCenter.plist
* on your iPhone, run: ./iUnlock_reloaded

It should successfully flash and unlock this time.

Another Kecoak Elektronik’s ToKeT (Terbitan Online Kecoak ElekTronik) has been published, it’s about Massive-0wning with the technique explained based on real st0ry.

Check it out here.

Just got information from 0×000000 magz blog, there’s another (new?) reconnaissance tool which use wikipedia as the media for one of information gathering technique, it’s called wikiscanner, find it here.

Here we are…let’s start guys!