Kecoak Elektronik Indonesia

Masih ingat dengan full-disclosure media hype Month Of Browser Bugs yang dimotori oleh HDM bulan juli 2006?!beberapa bulan setelah itu para fans full-disclosure media hype ikut-ikut an metode HDM dan menyelenggarakan ‘Month Of Something Bugs’ mereka masing-masing. Ada yang apple lah, ada yang kernel, dll.

Tahun 2008 sepertinya masa keemasan metode ‘partial-disclosure media hype’ oleh para researcher security, khususnya yang berasal dari USA. Dan kali ini mengikuti metode Dan Kaminsky, menunda full-disclosure dengan terlebih dahulu melakukan partial-disclosure yang memanfaatkan media hype. Hasilnya?! sebagian membuat masyarakat penasaran dan sebagian lain membuat masyarakat ketakutan karena tipe bugs-nya masih misterius.

Trik bisnis kah?! atau trik popularitas?! Don’t care. Yang pasti, tipe bugs-nya termasuk menarik untuk dibahas.

Dua jenis bugs yang mengikuti metode partial-disclsoure media hype Dan Kaminsky, dan keduanya sedang hangat dibahas saat ini. Yang pertama datang dari bidang webhacking, dan yang kedua datang dari bidang system hacking. Dan seperti biasa, keduanya ikut disulut dari salah satu mailing list tempat para researcher-researcher cerdas di bidang security berkumpul, Daily Dave mailing list.

Isu pertama datang dari kawasan webhacking mengenai “clickjacking”. Jeremiah Grossman dan Rsnake menunda full-disclosure mereka tentang clickjacking pada event OWASP ‘08 dan menggantinya dengan sesi ‘ClickJacking 20-Questions’. Hal ini membuat masyarakat kembali dalam status ’spekulasi’ mengenai bugs tersebut, karena Jeremiah dan Rsnake hanya memberikan penjelasan singkat tentang bugs tersebut. Hal ini mirip ketika Dan Kaminsky melakukan partial disclosure terhadap masyarakat dengan bugs DNS cache nya. Banyak pihak membicarakan mengenai clickjacking ini, diantaranya Giorgio Maone, Dave Aitel, hingga BeakingPoint Labs. Kita juga dapat melihat salah satu contoh spekulasi tersebut. Michal Zalewski juga ikut menjelaskan mengenai kemungkinan bugs ini serta memberikan solusi atas permasalahan tersebut. Media hyped semakin ramai dengan salah satu isi blog adobe mengenai clickjacking yang juga memberikan efek pada produk adobe.

Diantara semua, email penjelasan dari Michal Zalewski termasuk yang membuat media semakin heboh. Terutama karena salah satu solusi yang di-propose oleh dia untuk menangani masalah ini adalah ‘Rework everything we know about HTML / browser security models’. Well, at least semua researcher tersebut setuju bahwa kombinasi Mozilla Firefox + NoScript dapat mencegah user terkena efek serangan tersebut. Tapi seperti biasa, bugs ini rasanya tetap menarik untuk diikuti terutama jika mempengaruhi produk selain web browser.

Kandidat kedua untuk fans Dan’s Kaminksy partial-disclosure scenario adalah “New TCP Resource Exhaustion DOS (Denial of Service) Attack”. Fyodor (Nmap creator) baru saja hari ini menulis pada (again) mailing list Daily Dave mengenai spekulasinya terhadap jenis serangan Dos yang dikatakan ‘baru’ oleh Robert Lee dan Jack Louis. Berdasarkan keterangan Fyodor, basic jenis serangan tersebut sama sekali bukan jenis baru karena dia sudah meng-implementasikan nya pada tools Ndos beberapa tahun yang lalu namun tidak merilis tools tersebut, hanya menuliskan pada salah satu buku yang (bagian fyodor) juga di-buat free untuk dibaca secara online. I love fyodor ;).

Inti dari ‘New’ Dos tersebut terletak pada TCP Resource Exhaustion. Silahkan baca dengan cermat penjelasan Fyodor. Pada penjelasan tersebut kita dapat melihat bagaimana resource suatu sistem yang menggunakan protokol TCP/IP dapat dihabiskan. Sistem akan mengalokasikan beberapa resource-nya untuk menangani protokol TCP/IP dan penjelasan Fyodor diatas memperlihatkan bagaimana caranya menghabiskan resource tersebut secara cerdik.

Spekulasi tetaplah spekulasi, bisa jadi benar seperti yang terjadi pada bugs dns dan kaminsky, bisa jadi sebagian benar dalam arti memiliki pondasi yang mirip dengan spekulasi-spekulasi tersebut namun ’sang penemu’ memiliki cara lain untuk meng-extend bugs tersebut, bisa jadi completely false! Dalam arti, spekulasi orang-orang diseluruh dunia salah dan sang penemu merupakan orang jenius yang mampu menemukan bugs tersebut sendirian tanpa bisa disamai oleh researcher manapun.

Setelah membaca penjelasan Fyodor mengenai tehnik Ndos, mungkin ada yang bersedia menghabiskan waktunya untuk develop tools tersebut?! mungkin bisa menjadi alternative lain selain menggunakan mekanisme tembak.c secara distribusi :).

As always, media hype security circus is interesting. Hm, break time is over (sambil makan buah terakhir), put back my butt to daily job..

Sampai sekarang status situs Departemen Keuangan masih seperti itu jika kita browsing menggunakan Firefox dengan feature safe browsing Google. Berikut ini hasil analisis google:

Of the 200 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 07/06/2008, and the last time suspicious content was found on this site was on 07/03/2008.

Malicious software includes 8 trojan(s), 1 scripting exploit(s). Successful infection resulted in an average of 5 new processes on the target machine.

Malicious software is hosted on 7 domain(s), including heihei117.cn , o7n9.cn , killpp.cn .

3 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including heihei117.cn , qiqicc.cn , maigol.cn .

Mungkin situs Departemen Keuangan Indonesia masuk dalam daftar korban mass-sql-attack yang dilancarkan group hacking beberapa bulan terakhir (diindikasikan group ini berasal dari china, tapi siapapun bisa setup hosting di china). Ronald Van Den Heetkamp pernah membahas masalah ini pada blognya .

Hm, sepertinya aksi deface group ini lebih ‘menantang’ dibandingkan aksi deface orang-orang Indonesia, bukan begitu ?!

Do Not Try It @home kidds!

Baru-baru ini saya sering diskusi dan melihat secara langsung kemampuan salah satu web hacker dari komunitas underground Indonesia yang sering merilis exploit untuk beragam aplikasi web, bukan hanya sebatas bughunter namun memang dengan skill nya dapat dengan mudah melakukan berbagai exploitasi web bug dalam waktu singkat. Beberapa kali rekan ini menunjukan bugs sql-injection di situs-situs yang notabene memiliki fungsionalitas cukup tinggi, dalam arti banyak diakses oleh beragam orang untuk beragam kepentingan (salah satunya situs lowongan pekerjaan dengan level internasional).

Diantara situs-situs tersebut, salah satunya cukup menarik perhatian untuk dijadikan bahan gosip, ups…maksudnya sebagai bahan kajian diskusi. Ini cuplikan kalimat homepagenya:

*cencored* hadir di Kota Jogjakarta dengan membawa misi untuk menggairahkan iklim pengembangan Teknologi Informasi & Komunikasi. Teknologi Komputer sebagai bagian penting dari teknologi informasi itu sendiri menjadi syarat mutlak bagi setiap sumber daya manusia Indonesia untuk menguasainya. Penguasaan teknologi informasi akan membawa pada peningkatan efisiensi, efektifitas dan produktifitas kerja.

Dalam eksistensinya sejak 2 Mei 2001, pada tanggal 15 April 2008, dalam 7^th Anniversary-nya *cencored* telah mentraining lebih dari 4700 siswa kelas reguler dan program profesi serta lebih dari 1500 siswa yang mengikuti program event *cencored*.

Pada Tanggal 27 Desember 2002, berdasarkan SK No.60 tahun 2002, *cencored* memperoleh “Akreditasi A” dari Dinas Pendidikan Propinsi D.I.Yogyakarta.

Waw! Seem so promising. What else?!

Pada tanggal 24 Juni s/d 2 Juli 2008 berlangsung Pelatihan Aplikasi Web Programming & Aplikasi Manajemen Pengolahan Data yang diikuti Staf Kantor Pengolahan Data Staf KPDE Kab.Timor Tengah Selatan NTT…

Good. Menjadi salah satu lembaga training aplikasi web untuk pemerintah. Lembaga training ini menggunakan CMS sendiri untuk homepagenya, but here come the fun:

http://www.cencored.com/webring.php?id=-1 union select 1,2,3,username,5,6 from user

Seperti yang telah diketahui bersama, ini adalah tipikal query untuk sql-injection sederhana. Result?!

http://img99.imageshack.us/my.php?image=picture4mk4.png

Berdasarkan informasi page rank situs tersebut menduduki peringkat 2, dan masuk 10 besar hasil pencarian google indonesia untuk keyword “training center”.

Got the point where these stories pointing to?! Lembaga ini mengklaim telah men-training sampai lebih dari 5000 peserta, dan banyak peserta training merupakan para calon developer untuk perusahaan swasta maupun pemerintah, namun situs hasil karya lembaga ini memiliki hole sql-injection sederhana (ya ya…bug bisa muncul dimanapun, tapi paling tidak seharusnya lembaga profesional dengan akreditasi “A” tidak terkena efek tipikal hole sql sederhana semacam ini).

What next?!jika developer lembaga training sendiri masih melakukan kesalahan seperti ini saat develop web aplikasi, apakah bisa dikatakan bahwa kesalahan yang sama akan diterapkan pada peserta training?! Lembaga training ini hanya salah satu contoh, dan mungkin masih terdapat masalah yang sama terhadap trainer-trainer lainnya?! Sehingga tidak mengherankan banyak situs-situs pemerintah yang rentan terhadap serangan sql-injection?!

Jika suatu saat lembaga pemerintah atau perusahaan swasta terkena exploitasi web bug dan dipertanyakan tanggung jawab tim IT-nya, dan kemudian mereka menjawab “lah, saya khan develop aplikasi sesuai ajaran saat training, saya tidak tau ada masalah-masalah semacam itu”. Hm, apa kita bisa usulkan untuk memasukan faktor ini kedalam kurikulum security auditor?!mungkin harus ada audit lembaga training yang mentraining tim IT suatu perusahaan sebelum meng-audit tim IT-nya?!

well…

Im really appreciate to some people who made this website, that’s good website, we can learn a lot about Security from that sites. The sites is currently in Beta and features will be added as per user demand.

Check it out : SecurityTube.Net

Website defacement is so last year, men!

Bagi pecinta teknologi security plus dunia underground di Indonesia pasti pernah melihat kata-kata tersebut tertulis disuatu tempat :). While I am agree with his action-reaction, but I have some doubt about this one.

Betul sekali jika defacement adalah ciri tindakan seorang script kiddies, bahkan seorang security profesional seperti RSnake pun pernah mengalami masa-masa kiddies dengan melakukan defacement untuk memprotes suatu hal. Dan tidak bisa dipungkiri bahwa sebagian besar aktivis security profesional di Indonesia yang saat ini sudah menjadi security consultant profesional pernah mengalami fase-fase kiddies tersebut. Well, setiap orang pernah menjadi anak kecil, pernah melalui tangga pertama, pernah mengalami merangkak sebelum akhirnya bisa berjalan dan berlari, bukan begitu?!

Namun bukan permasalahan apakah defacement itu ciri tindakan kiddies atau bukan, namun apakah benar defacement tidak memiliki dampak apapun dan hanya tindakan anak kecil tahun lalu.

Kalangan underground pernah mendengar aksi siapakah.akyu di dunia cyber Indonesia beberapa bulan terakhir. Bahkan aksinya juga membuat gempar media massa dan pemerintah. Satu hal yang menarik adalah siapakah.akyu masih tetap teguh menyimpan identitasnya untuk tidak muncul dihadapan publik. Aksi deface di Indonesia umumnya dilakukan oleh individu yang justru menampilkan nicknya agar populer atau demi tujuan tertentu. Hm, yeah, kami pun pernah melakukannya :).

Coba kita lihat formula berikut ini:

Hole+ Mass Media + X = Public Attention

Apakah situs depkominfo merupakan satu-satunya situs pemerintah yang diserang oleh kalangan underground?!nope. Apakah bugs situs depkominfo merupakan hal yang sangat sulit ditemukan karena perlindungan yang luar biasa?! nope. Apakah bugs depkominfo sudah menyebar dikalangan underground jauh hari sebelum situs tersebut di deface?! Yes. Apakah bugs depkominfo hanya dapat ditemukan oleh sang defacer?! nope.

Jika kita melihat faktor ‘X’ diatas tentunya ada satu hal yang kurang untuk menarik public attention selain security hole itu sendiri serta peran media massa untuk membesarkannya. Faktor ‘X’ tersebut bisa berbagai macam, dan tidak salah jika kita menyebutkan bahwa faktor ‘X’ tersebut adalah ‘moment yang tepat’.

Bagi kalangan underground, aksi deface adalah hal yang biasa. Bahkan banyak kelompok yang memiliki koleksi backdoor di server-server pemerintah yang awalnya berasal dari web bug. Dan hole di website depkominfo adalah jenis bug yang umum digunakan untuk ‘break-in’ ke situs-situs lainnya. Sering juga kita lihat di media massa seperti detik adanya aksi deface terhadap beberapa situs pemerintah, namun hal tersebut paling hanya menjadi perbincangan 1-2 hari. Itu disebabkan tidak adanya faktor ‘X’ diatas.

Kreativitas siapakah.akyu dalam hal deface yang awalnya untuk menjadi bahan joke mungkin tanpa disadari berubah menjadi hal yang serius, dan ditambah lagi dengan peran media massa yang membesar-besarkan karena terkait peristiwa pemberlakukan UU ITE di Indonesia. Ditambah lagi dicantolkannya gambar security profesional ‘populer’ Indonesia sebagai bahan ejekan pada situs tersebut. Dan who knows, akibat peristiwa tersebut secara tidak langsung mengakibatkan jatuhnya pamor security profesional ‘kawakan’ tersebut.

Mungkin sebagian besar orang terutama di lingkungan IT&security heran mengapa sang security profesional ‘kawakan’ tersebut masih saja dipercaya padahal sudah diketahui melakukan kebohongan terhadap publik, namun masih banyak yang percaya dengan ke-profesionalitas an nya. Dan hebatnya, aksi siapakah.akyu tersebut berhasil memudarkan pamor dan menjatuhkan karir sang security profesional ‘kawakan’. Banyak yang menentang dia, banyak yang tidak setuju dengan omongannya dan bahkan media massa pun mulai beralih ke security profesional lain untuk dimintai pendapat mengenai hal-hal yang berbau IT&Security.

“SQL injection” + “Detik.com” + “UU ITE & RS” = Public Attention + Lessen public confidence

Walaupun mungkin aksi deface merupakan angin lalu yang hanya dilakukan oleh anak kecil, namun jika dilakukan pada saat dan motif yang tepat akan berdampak cukup telak. Tunggu, jika begitu mungkin bisa dilakukan secara tidak “tidak sengaja”. Ambil contoh saat ini menemukan hole disuatu server, disimpan, dibackdoor, dan jika ada kejadian penting dijadikan sebagai alat untuk propaganda, menjatuhkan kredibilitas, mengadu domba, etc etc etc. Hm, Evil.

More than evil?!take it a little higher, seperti berdasarkan teori security saat ini seperti yang dikatakan teman kita jhoni (gee…still love seducing others with ur freakin joke?), defacement dalam arti mengganti halaman suatu website dengan berbagai hal yang merusak. Misalnya: dengan suatu content yang dapat mendownload ActiveX melalui browser exploit sehingga apabila situs dibuka akan melakukan instalasi backdoor pada komputer korban, mencuri password melalui firefox/ie bugs, atau sekedar flash exploit untuk melakukan internal network scanning pada network perusahaan korban, dsb. Oke, terlalu berlebihan. Itu bukan permainan kiddies atau lammers lagi. At least bisa mengambil password friendster dan setidaknya sedikit lebih unik dibandingkan teknik phissing :).

Points taken?!faktor ‘X’ juga terjadi saat schizoprenic melakukan deface terhadap situs pemilu, walaupun dia tidak bisa dikategorikan sebagai kiddies or lammer, namun penyembunyian identitas siapakah.akyu jauh lebih menarik karena sampai saat ini masih tetap misteri.

Keep Underground, guys!

The folks at Symnantec are concerned about Trojan.Silentbaker, and I can’t blame them. This Trojan horse program performs “man-in-the-middle” attacks between users and more than 400 banks. Running on the user’s computer, the Trojan monitors the use of Web sites, looking for banks it can manipulate. It reads data coming from the bank and instructions sent by the user, and modifies fields in user instruction such as destination of transfers.

Symnantec notes that Trojan.Silentbanker can even attack sites that require two-factor authentication (generally in the form of one-time password tokens). Really, this isn’t surprising or even all that impressive. Once a Trojan is in the position to intercept and modify form fields, it follows that it could do so with the one-time password, which is just another form field.

This level of compromise requires a malware infection on your PC. Conventional phishing sites, which do not incorporate malware, can attempt to fool you, but they attack only one bank at a time. This particular Trojan has weaknesses, such as looking at specific addresses for updates, that will help to limit it. Your best defense (say it with me, folks) it to keep antivirus software up to date and not to run executable you get form strangers.

—–FOR IMMEDIATE RELEASESECURITY ADVISORY: The following program may screw a large Internet searchengine and make the Web a safer place.

LUBBOCK, TX, February 20th — Today CULT OF THE DEAD COW (cDc), the world’s

most attractive hacker group, announced the release of Goolag Scanner, a web

auditing tool. Goolag Scanner enables everyone to audit his or her own web

site via Google. The scanner technology is based on “Google hacking,” a form

of vulnerability research developed by Johnny I Hack Stuff. He’s a lovely

fellow. Go buy him a drink.

“It’s no big secret that the Web is the platform,” said cDc spokesmodel

Oxblood Ruffin. “And this platform pretty much sucks from a security

perspective. Goolag Scanner provides one more tool for web site owners to

patch up their online properties. We’ve seen some pretty scary holes through

random tests with the scanner in North America, Europe, and the Middle East.

If I were a government, a large corporation, or anyone with a large web site,

I’d be downloading this beast and aiming it at my site yesterday. The v

ulnerabilities are that serious.”

Goolag Scanner will be released open source under the GNU Affero General

Public license. It is dedicated to the memory of Wau Holland, founder of the

Chaos Computer Club, and a true champion of privacy rights and social justice.

GOOLAG SCANNER FUNCTIONS AND FEATURES

Goolag Scanner is a standalone windows GUI based application. It uses one

xml-based configuration file for its settings. All dorks coming with the

distribution of gS are kept inside one file.

–

Press Contact

Oxblood Ruffin

oxblood at hacktivismo.com

Saya merasakan tools ini sangat membantu, terutama karena saya sangat malas menghafal jenis-jenis dork :-P. Get it from here.

Begitu banyak cara yang ditempuh untuk breaking suatu sistem yang menggunakan CAPTCHA (Computer Automated Public Turing test to tell Computer and Human Aparts), ide-ide yang muncul mulai dari bersifat teknikal hingga yang cerdas dan kreatif, walaupun beberapa teknikal hacker menganggap ide cerdas plus kreatif ini sangat kiddies tapi menurut saya pribadi cukup mengesankan.

Beberapa waktu yang lalu, saya sempat melihat ada 2 comment yang jelas-jelas berasal dari bot berhasil masuk ke dalam blog kecoak elektronik, namun karena trafik nya masih rendah maka semua comment highly moderated untuk saat ini secara manual. Yang membuat heran adalah sistem CAPTCHA di blog menggunakan reCAPTCHA, dimana akan sangat-sangat sulit menembusnya seperti yang saya kemukakan pada blog sebelumnya, walaupun memang bukan berarti tidak mungkin untuk dilakukan.

Ada beberapa penjelasan mengenai trik-trik menembus sistem CAPTCHA, salah satunya dapat dilihat pada link ini. PWNcaptcha memperlihatkan beberapa teknik implementasi CAPTCHA yang dapat ditembus, namun code nya belum dirilis untuk publik. Penjelasan secara teori yang cukup teknikal dapat dibaca pada blog ini, dimana kita bisa mendapatkan sedikit banyak gambaran mengenai tehnik untuk breaking CAPTCHA. Pentingkah? Jelas, bisa kita lihat aplikasi-aplikasi web saat ini banyak menggunakan CAPTCHA sebagai sistem keamanannya. Terlebih lagi webmail yang mengharuskan kita membaca CAPTCHA sebelum melakukan pendaftaran.

Disamping penjelasan secara teknikal, ada juga beberapa ide yang memanfaatkan manusia untuk memecahkan CAPTCHA, dan ini diimplementasikan pada trojan bernama CAPTCHAR. Penjelasan mengenai implementasi CAPTCHAR seperti ini:

1. Website A hosts a service protected by CAPTCHA verification.
2. Website B is set up by a party desiring to automate usage of the services of Website A.
3. Website B offers users free access to content, but requires they defeat a CAPTCHA challenge.
4. Website B copies a CAPTCHA image from Website A that it needs defeated and presents it to a user visiting Website B.
5. The user provides the CAPTCHA response.
6. Website B provides the offered content to the user, and then uses their response to defeat the CAPTCHA test on Website A.

Informasi diatas diambil dari blog avertlabs.com.

Tehnik diatas digunakan dalam bentuk trojan untuk sistem operasi windows. Pada komputer korban, trojan setelah terinstall akan memperlihatkan seorang wanita pirang yang menawarkan kepada user akan membuka semua bajunya dengan satu syarat: user harus mengetikan sederetan huruf acak. Jika sederetan huruf tersebut benar maka wanita tersebut akan melepaskan satu bagian pakaian yang digunakan dan memberikan deretan huruf lain untuk dijawab oleh user. Jika salah, maka wanita tersebut akan meminta untuk mencoba lagi. Ide yang menarik bukan?

Apa sih susahnya memasukan sederetan huruf acak tersebut?pemikiran seperti itulah yang menjadikan manusia sebagai budak untuk memecahkan CAPTCHA. Yup, sederetan huruf acak tersebut adalah CAPTCHA dari suatu sistem yang hendak di breaking oleh trojan. CAPTCHA yang baik adalah sebisa mungkin tidak bisa dibaca oleh mesin namun bisa dibaca oleh manusia, celah inilah yang dimanfaatkan untuk memecahkan CAPTCHA suatu sistem. Teknik ini terkesan kurang l33t karena terlihat seperti mainan anak-anak, namun dari sisi ide ini adalah sesuatu yang mengesankan, simple namun mematikan.

Saya rasa teknik inilah yang digunakan untuk memecahkan reCAPTCHA pada blog kecoak elektronik. Implementasi trojan hanya salah satu bentuk trik breaking CAPTCHA dengan memanfaatkan manusia, bentuk lainnya tentu masih banyak lagi. Misalnya: buat forum dimana CAPTCHA yang diberikan pada user adalah CAPTCHA dari sistem lain di internet, dengan begitu kita bisa memanfaatkan user forum untuk memecahkan CAPTCHA ditempat lain, solusi gratis dan efisien. atau memberikan CAPTCHA challange untuk memposting comment di blog dimana CAPTCHA nya diambil untuk breaking ke suatu aplikasi per-bank an. Dan sebagainya, silahkan cari ide buas sendiri.

Well, jangan kuatir untuk daftar user baru di forum kecoak elektronik, ataupun posting comment di blog ini…karena kami tidak meng-implementasikan ide seperti itu pada media publik kecoak elektronik indonesia hehe…;).

Except all those troll game playing around Full-Disclosure mailing list, there’s still some interesting discussion related to security. One of them just showed lately regarding discussion between PDP(architect) and reepex about ‘XSS and it’s technical merit’. It’s been already knew that most of people think XSS just a lamme bugs, most of published exploit related to XSS limited to cookie staling, phising, etc using injected code against web application. And the other interesting part, lot of people who used to deal with buffer overflow exploitation thought XSS is useless and it’s only for dummies who can’t find and produce any Buffer Overflow exploit against system application.

IMHO, PDP’s way to explain about XSS in the lists is very interesting. Let’s not to look it from comparison part between Buffer Overflow and XSS, but let’s see about any other thing which come with it. Just like PDP said on the lists, today we can see everywhere use ‘A’ x 10000 in a common way to find buffer overflow bugs, but let’s remember these technique 10-15 years ago when buffer overflow still a difficult bugs to imagine and to be exploited, but it’s easy to find the vector and crashed the software. And few years later, technique to find this vulnerable increase and we can see lot of people trying every part of software which read input (user input, env variable, etc) and test it against buffer overflow plus produce exploit to use that vector of getting machine execution. Not much people realize about it at the first time while lot of application vulnerable to this kind of attack, and we all knew at that time system application not as we found it today.

Today, system related technology are getting well. Lot of application and system have capability to prevent Buffer Overflow to be executed, lot of technique found to prevent the bugs, and it’s difficult to deal with this kind of bugs since the system are getting mature after 15 years, and also lot of system protected with two or more layers which make buffer overflow getting hard to be implemented. But I don’t think we can use that reason to say XSS and other web bugs are lamme. Trend are moving now, technology also move from basic system into web technology. We can imagine that web is a platform just like the operating system and more and more people involved on this technology, social bookmark, company, social life are getting tied in web technology. So bugs related to this is getting harmfull since lot of people and part will be affected, not exception with XSS. And also, PDP has proved that we can just walk and scan internal network which is protected by firewall using XSS bugs.

Another interesting part about this discussion are XSS (in deep harm impact) more difficult to research against application since it relate to live online system where everything we can see is only POST/GET request. You cannot just get the binary and use debugger offline to find it’s vulnerability, and it’s a challange for now to develop application for this purpose, as we can use IDA Pro, ollydbg, or gdb to get picture about how application work.

XSS is largely complicated type of attack. It is very hard to pull and
requires a lot of technical knowledge. It is easy to find useless XSS
vectors but exploiting them is an art very few can practice at the
moment. The beauty of buffer overflow exploits is in their sharpness.
The beauty of XSS is in the imagination of the attacker and the level
of tangled complexity you have to deal with.

I like the last part of his statement. Yes, BoF are sharp but XSS need more imagination from us to exploit them in an art way using the existing vector.

After some simple explanation regarding re-captcha on this blog few months ago, I still had some question on my head (funny indeed, explain it but doubt about it’s ability) regarding it’s theory behind the implementation. The question by me at that time was, the chance to beat the re-captcha is 50% by coincidence. 2 words, one is known for it’s answer and the other’s are being solved. We don’t know which one is solved and which one is not solved yet.

I haven’t looked deeper into the source or API for re-captcha, but some of experiment on random chance proved that answers are accepted by system, even if one of the answer was false. No need to argue about if both answer are false, the system would definitely reject it, but if one of them are right and the words is ‘known’ words then system would accept it.

The problem would be…how can the bot find out the known words?it seem like the same question when the first captcha appear on public, “how can the bot crack the captcha”?

And sometimes later, the algorithm to break captcha available for public bot. So, it’s not impossible that someday later we can find the algorithm to break the ‘known words’ for re-captcha, isn’t it?

Even we can conclude that breaking known words for re-captcha would bypass the challange, it still difficult to break those known words. Known words on re-captcha come from solved words by people around the world, so no static algorithm is used to create the captcha, it just “unsolved words by OCR which has been solved by human eyes”. So, quite impossible to develop application which can read that known words.

Well, nothin impossible in security world. At least we can conclude that if we can break the known words of re-captcha, then no need to even try break the unknown words cause system will accept our answer. Not easy, but not impossible, right?!