Kecoak Elektronik Indonesia

Users looking to update their Twitter feeds or Facebook pages were likely disappointed Thursday morning, as a denial-of-service attack made both services hard to reach.

Around 9 a.m. Eastern Time, the number of responses from micro-blogging service Twitter fell precipitously, reaching a bandwidth of 60 Mbps by 10:40 a.m. ET, according to Arbor Networks, a networking services firm. Twitter had reached nearly 200 Mbps prior to the drop.

The service continued to be impacted Thursday afternoon, reaching a peak of 150 Mbps, about half of its normal peak for that time of day, according to Arbor.

“As we recover, users will experience some longer load times and slowness,” Twitter stated on its status blog. “This includes timeouts to API clients. We’re working to get back to 100% as quickly as we can.”

Users also complained of issues accessing Facebook. The service confirmed midday on Thursday that, it too, had suffered a denial-of-service attack.

“You may have had trouble accessing Facebook earlier today because of network issues related to an apparent distributed denial-of-service attack,” the social network stated on its own Facebook page. “We have restored full access for most people. We’ll keep monitoring the situation to make sure you have the reliable experience you expect from us.”

HOW TO PREVENT IT ? HERE

Source here

Mungkin masih ada yang belum tahu bahwa metasploit saat ini mendukung cukup banyak feature, salah satunya adalah wmap. WMAP merupakan web application framework yang digunakan untuk proses scanning suatu website dengan memanfaatkan metasploit framework. WMAP sendiri masih terbilang baru sehingga masih banyak hal-hal yang belum ditambahkan, proses scanning pun masih dilakukan dengan cara sederhana namun konsepnya cukup baik sehingga kita dapat ikut melakukan kustomisasi terhadap modul-moudul yang akan digunakan.

Dokumentasi mengenai WMAP dapat ditemukan pada paket Metasploit, atau bisa dilihat langsung secara online disini. Dan seperti biasa, kita akan mulai pembahasan dari konsep hingga implementasi.

Bagi kalian yang terbiasa melakukan audit ataupun scanning terhadap suatu aplikasi web pasti sudah terbiasa dengan istilah spider. Web scanner umumnya memiliki kemampuan untuk mengumpulkan informasi sebanyak-banyaknya dari target melalui seluruh link yang ditemukan mulai dari halaman index hingga halaman-halaman terdalam lainnya. Web scanner tersebut akan melakukan audit terhadap link-link yang ditemukan dan dicocokan hasilnya dengan informasi vulnerability dalam database tools tersebut. WMAP pada metasploit bekerja dengan metode yang mirip namun memanfaatkan aplikasi-aplikasi opensource.

WMAP merupakan salah satu plugin (yup, salah satu, masih ada beberapa plugin lainnya) metasploit yang dapat di load pada msfconsole dimana melalui msfconsole tersebut user dapat berinteraksi dengan metasploit framework. Berikut ini konsep WMAP pada metasploit:

1. RatProxy

Metasploit memanfaatkan RatProxy sebagai proxy yang akan menangkap seluruh data request-response antara web client dengan web server. Informasi tersebut akan dimasukan ke suatu database (sqlite3) untuk kemudian digunakan oleh modul-modul WMAP. RatProxy sendiri merupakan hasil karya hacker Michal Zalewski yang merupakan opensource tools untuk audit web application. RatProxy tidak memiliki dukungan terhadap penyimpanan data kedalam bentuk database, oleh karena itu sebelum dapat digunakan oleh WMAP maka RatProxy harus di-patch terlebih dahulu. Patch bisa didapatkan dari bundle metasploit: external/ratproxy/ratproxy_wmap.diff

2. SQLite3

SQLite merupakan produk database yang diklaim small, fast, reliable. SQLite umumnya digunakan oleh aplikasi-aplikasi yang membutuhkan database sebagai tempat penyimpanan dan pemrosesan data yang sederhana. Contoh penggunaannya adalah pada iPhone dimana sqlite digunakan untuk menyimpan data SMS. Metasploit sendiri memiliki driver yang dapat berkomunikasi dengan 3 produk database, MySQL, PostgreSQL, dan SQlite3. Implementasi WMAP memanfaatkan SQLite3.

3. WMAP

WMAP merupakan plugin metasploit untuk web application framework audit. Saat tulisan ini dibuat versi stable metasploit adalah 3.2, dan modul-modul yang dapat digunakan oleh WMAP antara lain: WMAPScanServer, WMAPScanDir, WMAPScanUniqueQuery, dll.

Jika kalian menggunakan Backtrack 3 final, maka support terhadap metasploit sudah sangat baik. Requirement yang dibutuhkan oleh metasploit telah terpenuhi dan plugin-pluginnya dapat di-load dengan mudah. Namun beberapa sistem operasi lain umumnya membutuhkan beragam metode sebelum dapat memanfaatkan feature-feature pada metasploit framework. Untuk plugin WMAP ini, seperti yang telah disebutkan diatas, dibutuhkan RatProxy dan SQlite3 berjalan dengan baik sebelum me-load WMAP. Pada contoh dibawah ini saya menggunakan sistem operasi OS X yang membutuhkan beberapa data tambahan untuk memuaskan persayaratan yang dibutuhkan oleh WMAP, diantaranya yang terpenting dibutuhkan flare khusus (bukan bawaan dari RatProxy) yang kompatibel dengan MacOSX. Flare merupakan tools yang digunakan untuk proses decompiler action script flash.

(1). Buat database wmap_test.db melalui plugin database metasploit

msf > db_create /Users/staff/wmap_test.db
[*] Creating a new database instance...
[*] Successfully connected to the database
[*] File: /Users/staff/wmap_test.db

(2). Bagi kalian yang memiliki rasa penasaran tinggi tentu ingin melihat seperti apa bentuk database yang dibuat oleh plugin database metasploit tersebut. Database yang telah dibuat dapat kita lihat schema-nya secara langsung menggunakan SQLite.

k-elektronik:~ staff$ sqlite3 wmap_test.db
SQLite version 3.4.0
Enter ".help" for instructions
sqlite> .tables
hosts       refs        requests    targets     vulns_refs
notes       reports     services    vulns
sqlite> .schema requests
CREATE TABLE requests (
'host' VARCHAR(20),
'port' INTEGER,
'ssl' INTEGER,
'meth' VARCHAR(20),
'path' BLOB,
'headers' BLOB,
'query' BLOB,
'body' BLOB,
'respcode' VARCHAR(5),
'resphead' BLOB,
'response' BLOB,
'created' TIMESTAMP
);

(3). Setelah urusan database selesai, maka selanjutnya menjalankan aplikasi RatProxy yang sebelumnya telah di-patch agar dapat menyimpan seluruh data request-response ke database wmap_test.db

k-elektronik:ratproxy staff$ ./ratproxy -v /Users/staff/ -b wmap_test.db -d detik.com -xtifkgmjscael2XCr
ratproxy version 1.51-beta by 
[*] Proxy configured successfully. Have fun, and please do not be evil.
WARNING: Disruptive tests enabled. use with care.
[+] Accepting connections on port 8080/tcp (any source)...

(4). RatProxy diatas menggunakan port default, yaitu 8080. Yang berarti pada mesin tersebut dibuka port 8080 dan akan bertindak sebagai proxy server. Sisanya adalah kita melakukan browsing secara manual ataupun menggunakan automatic tools dengan memanfaatkan port 8080 itu sebagai proxy server. Hasil dari browsing seluruhnya akan di log oleh RatProxy kedalam database wmap_test.db

(5). Sekali lagi, bagi yang penasaran apakah RatProxy benar-benar menyimpan hasilnya pada database yang telah kita buat sebelumnya, dapat memanfaatkan sqlite3.

sqlite> select host,meth,headers from requests;
202.158.66.94|GET|User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6; en-us) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Cookie: __utma=146380193.1809118446.1213005860.1213005860.1213005860.1
Connection: keep-alive
Proxy-Connection: keep-alive
Host: detik.com

202.158.66.94|GET|User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_5_6; en-us) AppleWebKit/525.27.1 (KHTML, like Gecko) Version/3.2.1 Safari/525.27.1
Referer: http://detik.com/
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
Cookie: __utma=146380193.1809118446.1213005860.1213005860.1213005860.1
Connection: keep-alive
Proxy-Connection: keep-alive
Host: detik.com

(6). Berikutnya kita akan melihat bagaimana wmap bekerja. Pada langkah pertama tadi kita telah membuat database wmap_test.db melalui msfconsole sekaligus connect ke database tersebut secara otomatis menggunakan plugin db_sqlite3. Maka selanjutnya yang dibutuhkan adalah load plugin wmap untuk kemudian membaca database wmap_test.db tersebut.

msf > load db_wmap
[*] =[ WMAP v0.3 - ET LoWNOISE
[*] Successfully loaded plugin: db_wmap
msf > wmap_targets -p
[*]    Id. Host                    Port    SSL
[*] Done.
msf > wmap_targets -r          <<< Ini salah satu langkah penting, sebelum print target, harus reload terlebih dahulu.
[*] Added. 202.158.66.94 80 0
[*] Added. 202.158.66.164 80 0
[*] Added. 202.158.66.86 80 0
[*] Added. 202.158.66.20 80 0
[*] Added. 202.158.66.190 80 0
[*] Added. 202.158.66.54 80 0
[*] Added. 202.158.66.24 80 0
[*] Added. 64.233.183.127 80 0
msf > wmap_targets -p  << target berikut ini hasil browsing via web browser ke situs detik.com
[*]    Id. Host                    Port    SSL
[*]    1. 202.158.66.94                          80
[*]    2. 202.158.66.164                         80
[*]    3. 202.158.66.86                          80
[*]    4. 202.158.66.20                          80
[*]    5. 202.158.66.190                         80
[*]    6. 202.158.66.54                          80
[*]    7. 202.158.66.24                          80
[*]    8. 64.233.183.127                         80
[*] Done.

msf > wmap_targets -s 1

msf > wmap_targets -p
[*]    Id. Host                    Port    SSL
[*] => 1. 202.158.66.94                          80
[*]    2. 202.158.66.164                         80
[*]    3. 202.158.66.86                          80
[*]    4. 202.158.66.20                          80
[*]    5. 202.158.66.190                         80
[*]    6. 202.158.66.54                          80
[*]    7. 202.158.66.24                          80
[*]    8. 64.233.183.127                         80
[*] Done.
msf > wmap_website
[*] Website structure
[*] 202.158.66.94:80 SSL:0
ROOT_TREE
+------favicon.ico
|    js
|    +------swfobject.js
|    +------openwin11.js
|    +------etc.js
|    +------expandbannerall.js.html
|    +------contentslider.js
|    +------tabcontent.js
|    +------jquery-1.2.6.min.js
[*] Done.
msf > wmap_targets -s 2
msf > wmap_website
[*] Website structure
[*] 202.158.66.164:80 SSL:0
ROOT_TREE
|    images
|    +------telkomsel-280x175.gif
|    +------banner-detik-rev-final.gif
|    +------1x1.gif
|    +------promocontinue_4.swf
|    delivery
|    +------spcjs.php
|    +------lg.php
|    +------spc.php
|    +------fl.js
[*] Done.
msf > wmap_targets -s 3
msf > wmap_website
[*] Website structure
[*] 202.158.66.86:80 SSL:0
ROOT_TREE
|    css
|    +------allslider.css
|    +------detikcom.css
|    +------pollingsmsorange02.css
|    +------alltabs.css
|    images
|    |    content
|    |    |    blog
|    |    |    |    -
|    |    |    |    +------20081219172849_blog.jpg
|    |    |    |    +------20081219115448_blog.jpg
|    |    |    |    +------20081219134455_blog.jpg
|    |    |    2008
|    |    |    |    12
|    |    |    |    |    22
|    |    |    |    |    |    71
|    |    |    |    |    |    +------SpallettiAFP-cov.jpg
|    |    |    |    |    |    +------ranieri-cov.jpg
|    |    |    |    |    |    72
|    |    |    |    |    |    +------ArsenalPool-EddieKeogh200.jpg
|    |    |    |    |    |    73
|    |    |    |    |    |    +------vandersar-cover.jpg
|    |    |    |    |    |    75
|    |    |    |    |    |    +------Sevilla-Reuters200.jpg
|    |    |    |    |    |    +------BarcaDiegoTusonAFP-cov.jpg
|    |    |    |    |    |    10
|    |    |    |    |    |    +------wir-cover.jpg
|    |    |    |    |    21
|    |    |    |    |    |    648
|    |    |    |    |    |    +------toyota-depan.JPG
|    |    |    |    |    |    288
|    |    |    |    |    |    +------RumahDurian.jpg
|    |    |    |    |    |    157
|    |    |    |    |    |    +------coverpknu.jpg
|    |    |    |    |    |    +------coverateror.jpg
|    |    |    |    |    |    +------coverpolis.jpg
|    |    video
|    |    |    2008
|    |    |    |    12
|    |    |    |    +------081221483.png
|    image
|    +------iring808.gif
|    +------icn_jwb.gif
|    +------arrow_up.gif
|    +------ticketboxlogo.gif
|    +------logodetikcomfooter.gif
|    +------pollwpdetik.gif
|    +------spacer.gif
|    +------iconvideo.gif
|    +------logodetikcom.gif
|    +------Logo_25wht.gif
|    +------song_icon.gif
|    +------arrow_down.gif
|    +------tvwp.swf
|    +------iconphoto.gif
|    +------rssfeed_s.gif
|    +------panahforumwp.gif
|    +------bgregional6a.gif
|    +------bgticketbox.gif
|    +------bgdetikmap.gif
|    +------bgtapoff6a.gif
|    +------radioplayer.gif
|    +------bgpollsmsorange.gif
|    +------bgtapon6a.gif
|    +------pollingsmscenter.jpg
|    +------rss.gif
|    +------tanyasajalogo.gif
|    +------bgmenuatas.gif
|    +------tanya.gif
|    +------detikpublishinglogo.gif
|    +------bgmaplokasi.gif
|    +------bgcontent.gif
[*] Done.
msf > wmap_targets -s 4
msf > wmap_website
[*] Website structure
[*] 202.158.66.20:80 SSL:0
ROOT_TREE
|    content_image
|    |    2008
|    |    |    12
|    |    |    |    20
|    |    |    |    |    283
|    |    |    |    |    +------20081220-andini-k.jpg
|    |    |    |    |    471
|    |    |    |    |    +------wanita-k.jpg
[*] Done.
msf > wmap_targets -s 5
msf > wmap_website
[*] Website structure
[*] 202.158.66.190:80 SSL:0
ROOT_TREE
|    images
|    |    content
|    |    |    2008
|    |    |    |    12
|    |    |    |    |    18
|    |    |    |    |    |    238
|    |    |    |    |    |    +------bantuan-luar.jpg
[*] Done.
msf > wmap_targets -s 6
msf > wmap_website
[*] Website structure
[*] 202.158.66.54:80 SSL:0
ROOT_TREE
|    images
|    |    wp
|    |    +------Telkomsel-200x300.swf
|    |    +------alexa_200x300b.gif
|    |    +------BannerFLEXISPEEDY_300x250-01.swf
|    |    +------wp-detik-magicaccess2.swf
|    |    +------wp1-XLSolution-338x200.swf
|    |    +------StarTV-19-338x133.swf
|    |    +------StarTV-19-338x30.swf
|    |    +------BannerBudpar875x100-01.swf
|    |    +------Banner_Detik_Agustus_08.jpg
[*] Done.
msf > wmap_targets -s 7
msf > wmap_website
[*] Website structure
[*] 202.158.66.24:80 SSL:0
ROOT_TREE
|    static
|    |    detikcom1
|    |    +------toppariwaradetikcom.php
[*] Done.

msf > wmap_run -t
[*] Loaded auxiliary/scanner/http/version ...
[*] Loaded auxiliary/scanner/http/wmap_ssl_vhost ...
[*] Loaded auxiliary/scanner/http/wmap_vhost_scanner ...
[*] Loaded auxiliary/scanner/http/frontpage_login ...
[*] Loaded auxiliary/scanner/http/frontpage ...
[*] Loaded auxiliary/scanner/http/wmap_file_same_name_dir ...
[*] Loaded auxiliary/scanner/http/wmap_dir_scanner ...
[*] Loaded auxiliary/scanner/http/wmap_prev_dir_same_name_file ...
[*] Loaded auxiliary/scanner/http/wmap_backup_file ...
[*] Loaded auxiliary/scanner/http/wmap_dir_listing ...
[*] Loaded auxiliary/scanner/http/wmap_replace_ext ...
[*] Loaded auxiliary/scanner/http/writable ...
[*] Loaded auxiliary/scanner/http/wmap_files_dir ...
[*] Loaded auxiliary/scanner/http/wmap_brute_dirs ...
[*] Loaded auxiliary/scanner/http/wmap_blind_sql_query ...
[*] Analysis completed in 1.00374484062195 seconds.
[*] Done.

msf > wmap_targets -s 3
msf > wmap_targets -p
[*]    Id. Host                    Port    SSL
[*]    1. 202.158.66.94                          80
[*]    2. 202.158.66.164                         80
[*] => 3. 202.158.66.86                          80
[*]    4. 202.158.66.20                          80
[*]    5. 202.158.66.190                         80
[*]    6. 202.158.66.54                          80
[*]    7. 202.158.66.24                          80
[*]    8. 64.233.183.127                         80
[*] Done.

msf > setg VHOST www.detik.com
VHOST => www.detik.com
msf > setg DOMAIN detik.com
DOMAIN => detik.com
msf > setg EXT .php
EXT => .php

msf > wmap_run -e
[*] Launching auxiliary/scanner/http/wmap_vhost_scanner WMAP_SERVER against 202.158.66.86:80

[*] Sending request with random domain LtELt.detik.com
[*] Vhost found  admin.detik.com
[*] Vhost found  services.detik.com
[*] Vhost found  webmail.detik.com
[*] Vhost found  console.detik.com
[*] Vhost found  apps.detik.com
[*] Vhost found  mail.detik.com
[*] Vhost found  intranet.detik.com
[*] Vhost found  intra.detik.com
[*] Vhost found  corporate.detik.com
[*] Vhost found  www.detik.com
[*] Vhost found  web.detik.com
[*] Launching auxiliary/scanner/http/frontpage_login WMAP_SERVER against 202.158.66.86:80
[*] http://202.158.66.86:80/ may not support FrontPage Server Extensions
[*] Launching auxiliary/scanner/http/version WMAP_SERVER against 202.158.66.86:80
[*] 202.158.66.86 is running Apache/2.2.9 (Unix) DAV/2 PHP/5.1.6 ( Powered by PHP/5.1.6 )
[*] Launching auxiliary/scanner/http/frontpage WMAP_SERVER against 202.158.66.86:80
[*] http://202.158.66.86:80 is running Apache/2.2.4 (Unix) DAV/2 PHP/5.1.6
[*] FrontPage not found on http://202.158.66.86:80 [404 Not Found]
[*] Launching auxiliary/scanner/http/wmap_ssl_vhost WMAP_SERVER against 202.158.66.86:80
[*] Error: 202.158.66.86 unknown protocol
[*] Launching auxiliary/scanner/http/wmap_brute_dirs WMAP_DIR / against 202.158.66.86:80...
[*] Running..
[*] NOT Found http://202.158.66.86:/Aaa/  404
[*] NOT Found http://202.158.66.86:/Aab/  404
[*] NOT Found http://202.158.66.86:/Aac/  404
...

...

...

msf > wmap_reports -p
[*] Id. Created                Target (host,port,ssl)
19.  Mon Dec 22 00:29:25 +0300 2008    202.158.66.86,,0
18.  Mon Dec 22 00:29:19 +0300 2008    202.158.66.86,80,0
4.  Mon Dec 22 00:22:31 +0300 2008    202.158.66.86,80,0
1.  Mon Dec 22 00:00:21 +0300 2008    64.233.183.127,80,0
[*] Done.
msf > wmap_reports -s 19
WMAP REPORT: 202.158.66.86,,0 Metasploit WMAP Report [Mon Dec 22 00:29:25 +0300 2008]
VHOST NAME: admin.detik.com Vhost admin.detik.com found. [Mon Dec 22 00:29:25 +0300 2008]
VHOST NAME: services.detik.com Vhost services.detik.com found. [Mon Dec 22 00:29:27 +0300 2008]
VHOST NAME: webmail.detik.com Vhost webmail.detik.com found. [Mon Dec 22 00:29:31 +0300 2008]
VHOST NAME: console.detik.com Vhost console.detik.com found. [Mon Dec 22 00:29:32 +0300 2008]
VHOST NAME: apps.detik.com Vhost apps.detik.com found. [Mon Dec 22 00:29:34 +0300 2008]
VHOST NAME: mail.detik.com Vhost mail.detik.com found. [Mon Dec 22 00:29:38 +0300 2008]
VHOST NAME: intranet.detik.com Vhost intranet.detik.com found. [Mon Dec 22 00:29:39 +0300 2008]
VHOST NAME: intra.detik.com Vhost intra.detik.com found. [Mon Dec 22 00:29:41 +0300 2008]
VHOST NAME: corporate.detik.com Vhost corporate.detik.com found. [Mon Dec 22 00:29:42 +0300 2008]
VHOST NAME: www.detik.com Vhost www.detik.com found. [Mon Dec 22 00:29:45 +0300 2008]
VHOST NAME: web.detik.com Vhost web.detik.com found. [Mon Dec 22 00:29:46 +0300 2008]
[*] Done.
msf > wmap_reports -s 18
WMAP REPORT: 202.158.66.86,80,0 Metasploit WMAP Report [Mon Dec 22 00:29:19 +0300 2008]
WEB_SERVER TYPE: Apache/2.2.9 (Unix) DAV/2 PHP/5.1.6 ( Powered by PHP/5.1.6 )  [Mon Dec 22 00:29:57 +0300 2008]
[*] Done.

Itulah beberapa contoh penggunaan WMAP metasploit. Dan seperti biasa, metasploit bukanlah tools ajaib yang dengan konfigurasi standard (baca: donlot langsung pakai) dapat memuaskan para kiddies. Metasploit Framework adalah suatu framework yang memberikan lingkungan luar biasa bagi mereka-mereka yang dapat memanfaatkannya dengan sangat baik. Jangan heran jika banyak yang memiliki plugin-plugin ataupun exploit-exploit pribadi dengan metasploit framework mereka sendiri tanpa mem-publishnya kepada umum. WMAP saat ini merupakan project awal metasploit untuk penetrasi aplikasi web, dengan sifatnya yang opensource maka dalam beberapa waktu dapat kita ramalkan banyak modul-modul yang akan ditambahkan.

Untuk kalian yang hobi bermain-main dengan aplikasi web dan mencari tools yang dapat membantu proses tersebut secara otomatis serta dapat dikustomisasi maka WMAP metasploit adalah salah satu pilihan yang baik.

PS: ada yang memperhatikan bahwa detik.com memiliki struktur yang cukup unik dan menarik?

• The WANK Worm (October 1989), Possibly the first “hacktivist” attack. the WANK (Worm Against Nuclear Killer) hit NASA offices in Greenbelt, Maryland, by running a banner across system computers as part of a protect to stop the launch of the plutonium-fueled, Jupiter-bound Galileo probe.

• U.K. Ministry of Defense Satelite Hack (February 1999), A small group of hackers traced to southern England gained controol of MoD Skynet military satelite and signaled a security intrusion characterized by officials as “information warfare”, in which an enemy attack by disrupting military communications. In the end, the hackers managed to reprogram the control system before being discovered.

• CD Universe Credit Card Breach (January 2000), A blackmail scheme gone wrong, the posting of more than 300,000 credit card numbers by hacker maxim on a Web site entitled “The Maxus Credit Card Pipeline” has remained unsolved since early 2000. Maxim stole the credit card information by by breaching CDUniverse.com; he or she then demanded $100.000 from the Web site exchange for destroying the data. While Maxim is believed to be from Eastern Europe, the case remains unsolved !.

• Military Source Code Stolen (December 2000), If there’s one thing you don’t want in the wrong hands, it’s the source code that can controol missile-guidance systems. In winterr 2000, a hacker broke into government-contracted Exigent Software Technology and nabbed two thirds of the codde for Exigent’s OS/COMET software, which is responsible for both missile and satelite guidance , from the Naval Research Lab in Washington D.C. Officials followed the trail of the intruder, “Leaf”, to the University of Kaiserslautern in Germany, but that’s wheere the trail appears to end.

Anyone can solve it ? ;P

Masih ingat dengan full-disclosure media hype Month Of Browser Bugs yang dimotori oleh HDM bulan juli 2006?!beberapa bulan setelah itu para fans full-disclosure media hype ikut-ikut an metode HDM dan menyelenggarakan ‘Month Of Something Bugs’ mereka masing-masing. Ada yang apple lah, ada yang kernel, dll.

Tahun 2008 sepertinya masa keemasan metode ‘partial-disclosure media hype’ oleh para researcher security, khususnya yang berasal dari USA. Dan kali ini mengikuti metode Dan Kaminsky, menunda full-disclosure dengan terlebih dahulu melakukan partial-disclosure yang memanfaatkan media hype. Hasilnya?! sebagian membuat masyarakat penasaran dan sebagian lain membuat masyarakat ketakutan karena tipe bugs-nya masih misterius.

Trik bisnis kah?! atau trik popularitas?! Don’t care. Yang pasti, tipe bugs-nya termasuk menarik untuk dibahas.

Dua jenis bugs yang mengikuti metode partial-disclsoure media hype Dan Kaminsky, dan keduanya sedang hangat dibahas saat ini. Yang pertama datang dari bidang webhacking, dan yang kedua datang dari bidang system hacking. Dan seperti biasa, keduanya ikut disulut dari salah satu mailing list tempat para researcher-researcher cerdas di bidang security berkumpul, Daily Dave mailing list.

Isu pertama datang dari kawasan webhacking mengenai “clickjacking”. Jeremiah Grossman dan Rsnake menunda full-disclosure mereka tentang clickjacking pada event OWASP ‘08 dan menggantinya dengan sesi ‘ClickJacking 20-Questions’. Hal ini membuat masyarakat kembali dalam status ’spekulasi’ mengenai bugs tersebut, karena Jeremiah dan Rsnake hanya memberikan penjelasan singkat tentang bugs tersebut. Hal ini mirip ketika Dan Kaminsky melakukan partial disclosure terhadap masyarakat dengan bugs DNS cache nya. Banyak pihak membicarakan mengenai clickjacking ini, diantaranya Giorgio Maone, Dave Aitel, hingga BeakingPoint Labs. Kita juga dapat melihat salah satu contoh spekulasi tersebut. Michal Zalewski juga ikut menjelaskan mengenai kemungkinan bugs ini serta memberikan solusi atas permasalahan tersebut. Media hyped semakin ramai dengan salah satu isi blog adobe mengenai clickjacking yang juga memberikan efek pada produk adobe.

Diantara semua, email penjelasan dari Michal Zalewski termasuk yang membuat media semakin heboh. Terutama karena salah satu solusi yang di-propose oleh dia untuk menangani masalah ini adalah ‘Rework everything we know about HTML / browser security models’. Well, at least semua researcher tersebut setuju bahwa kombinasi Mozilla Firefox + NoScript dapat mencegah user terkena efek serangan tersebut. Tapi seperti biasa, bugs ini rasanya tetap menarik untuk diikuti terutama jika mempengaruhi produk selain web browser.

Kandidat kedua untuk fans Dan’s Kaminksy partial-disclosure scenario adalah “New TCP Resource Exhaustion DOS (Denial of Service) Attack”. Fyodor (Nmap creator) baru saja hari ini menulis pada (again) mailing list Daily Dave mengenai spekulasinya terhadap jenis serangan Dos yang dikatakan ‘baru’ oleh Robert Lee dan Jack Louis. Berdasarkan keterangan Fyodor, basic jenis serangan tersebut sama sekali bukan jenis baru karena dia sudah meng-implementasikan nya pada tools Ndos beberapa tahun yang lalu namun tidak merilis tools tersebut, hanya menuliskan pada salah satu buku yang (bagian fyodor) juga di-buat free untuk dibaca secara online. I love fyodor .

Inti dari ‘New’ Dos tersebut terletak pada TCP Resource Exhaustion. Silahkan baca dengan cermat penjelasan Fyodor. Pada penjelasan tersebut kita dapat melihat bagaimana resource suatu sistem yang menggunakan protokol TCP/IP dapat dihabiskan. Sistem akan mengalokasikan beberapa resource-nya untuk menangani protokol TCP/IP dan penjelasan Fyodor diatas memperlihatkan bagaimana caranya menghabiskan resource tersebut secara cerdik.

Spekulasi tetaplah spekulasi, bisa jadi benar seperti yang terjadi pada bugs dns dan kaminsky, bisa jadi sebagian benar dalam arti memiliki pondasi yang mirip dengan spekulasi-spekulasi tersebut namun ’sang penemu’ memiliki cara lain untuk meng-extend bugs tersebut, bisa jadi completely false! Dalam arti, spekulasi orang-orang diseluruh dunia salah dan sang penemu merupakan orang jenius yang mampu menemukan bugs tersebut sendirian tanpa bisa disamai oleh researcher manapun.

Setelah membaca penjelasan Fyodor mengenai tehnik Ndos, mungkin ada yang bersedia menghabiskan waktunya untuk develop tools tersebut?! mungkin bisa menjadi alternative lain selain menggunakan mekanisme tembak.c secara distribusi .

As always, media hype security circus is interesting. Hm, break time is over (sambil makan buah terakhir), put back my butt to daily job..

Sampai sekarang status situs Departemen Keuangan masih seperti itu jika kita browsing menggunakan Firefox dengan feature safe browsing Google. Berikut ini hasil analisis google:

Of the 200 pages we tested on the site over the past 90 days, 2 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 07/06/2008, and the last time suspicious content was found on this site was on 07/03/2008.

Malicious software includes 8 trojan(s), 1 scripting exploit(s). Successful infection resulted in an average of 5 new processes on the target machine.

Malicious software is hosted on 7 domain(s), including heihei117.cn , o7n9.cn , killpp.cn .

3 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including heihei117.cn , qiqicc.cn , maigol.cn .

Mungkin situs Departemen Keuangan Indonesia masuk dalam daftar korban mass-sql-attack yang dilancarkan group hacking beberapa bulan terakhir (diindikasikan group ini berasal dari china, tapi siapapun bisa setup hosting di china). Ronald Van Den Heetkamp pernah membahas masalah ini pada blognya .

Hm, sepertinya aksi deface group ini lebih ‘menantang’ dibandingkan aksi deface orang-orang Indonesia, bukan begitu ?!

Do Not Try It @home kidds!

Baru-baru ini saya sering diskusi dan melihat secara langsung kemampuan salah satu web hacker dari komunitas underground Indonesia yang sering merilis exploit untuk beragam aplikasi web, bukan hanya sebatas bughunter namun memang dengan skill nya dapat dengan mudah melakukan berbagai exploitasi web bug dalam waktu singkat. Beberapa kali rekan ini menunjukan bugs sql-injection di situs-situs yang notabene memiliki fungsionalitas cukup tinggi, dalam arti banyak diakses oleh beragam orang untuk beragam kepentingan (salah satunya situs lowongan pekerjaan dengan level internasional).

Diantara situs-situs tersebut, salah satunya cukup menarik perhatian untuk dijadikan bahan gosip, ups…maksudnya sebagai bahan kajian diskusi. Ini cuplikan kalimat homepagenya:

*cencored* hadir di Kota Jogjakarta dengan membawa misi untuk menggairahkan iklim pengembangan Teknologi Informasi & Komunikasi. Teknologi Komputer sebagai bagian penting dari teknologi informasi itu sendiri menjadi syarat mutlak bagi setiap sumber daya manusia Indonesia untuk menguasainya. Penguasaan teknologi informasi akan membawa pada peningkatan efisiensi, efektifitas dan produktifitas kerja.

Dalam eksistensinya sejak 2 Mei 2001, pada tanggal 15 April 2008, dalam 7^th Anniversary-nya *cencored* telah mentraining lebih dari 4700 siswa kelas reguler dan program profesi serta lebih dari 1500 siswa yang mengikuti program event *cencored*.

Pada Tanggal 27 Desember 2002, berdasarkan SK No.60 tahun 2002, *cencored* memperoleh “Akreditasi A” dari Dinas Pendidikan Propinsi D.I.Yogyakarta.

Waw! Seem so promising. What else?!

Pada tanggal 24 Juni s/d 2 Juli 2008 berlangsung Pelatihan Aplikasi Web Programming & Aplikasi Manajemen Pengolahan Data yang diikuti Staf Kantor Pengolahan Data Staf KPDE Kab.Timor Tengah Selatan NTT…

Good. Menjadi salah satu lembaga training aplikasi web untuk pemerintah. Lembaga training ini menggunakan CMS sendiri untuk homepagenya, but here come the fun:

http://www.cencored.com/webring.php?id=-1 union select 1,2,3,username,5,6 from user

Seperti yang telah diketahui bersama, ini adalah tipikal query untuk sql-injection sederhana. Result?!

http://img99.imageshack.us/my.php?image=picture4mk4.png

Berdasarkan informasi page rank situs tersebut menduduki peringkat 2, dan masuk 10 besar hasil pencarian google indonesia untuk keyword “training center”.

Got the point where these stories pointing to?! Lembaga ini mengklaim telah men-training sampai lebih dari 5000 peserta, dan banyak peserta training merupakan para calon developer untuk perusahaan swasta maupun pemerintah, namun situs hasil karya lembaga ini memiliki hole sql-injection sederhana (ya ya…bug bisa muncul dimanapun, tapi paling tidak seharusnya lembaga profesional dengan akreditasi “A” tidak terkena efek tipikal hole sql sederhana semacam ini).

What next?!jika developer lembaga training sendiri masih melakukan kesalahan seperti ini saat develop web aplikasi, apakah bisa dikatakan bahwa kesalahan yang sama akan diterapkan pada peserta training?! Lembaga training ini hanya salah satu contoh, dan mungkin masih terdapat masalah yang sama terhadap trainer-trainer lainnya?! Sehingga tidak mengherankan banyak situs-situs pemerintah yang rentan terhadap serangan sql-injection?!

Jika suatu saat lembaga pemerintah atau perusahaan swasta terkena exploitasi web bug dan dipertanyakan tanggung jawab tim IT-nya, dan kemudian mereka menjawab “lah, saya khan develop aplikasi sesuai ajaran saat training, saya tidak tau ada masalah-masalah semacam itu”. Hm, apa kita bisa usulkan untuk memasukan faktor ini kedalam kurikulum security auditor?!mungkin harus ada audit lembaga training yang mentraining tim IT suatu perusahaan sebelum meng-audit tim IT-nya?!

well…

Im really appreciate to some people who made this website, that’s good website, we can learn a lot about Security from that sites. The sites is currently in Beta and features will be added as per user demand.

Check it out : SecurityTube.Net

Website defacement is so last year, men!

Bagi pecinta teknologi security plus dunia underground di Indonesia pasti pernah melihat kata-kata tersebut tertulis disuatu tempat . While I am agree with his action-reaction, but I have some doubt about this one.

Betul sekali jika defacement adalah ciri tindakan seorang script kiddies, bahkan seorang security profesional seperti RSnake pun pernah mengalami masa-masa kiddies dengan melakukan defacement untuk memprotes suatu hal. Dan tidak bisa dipungkiri bahwa sebagian besar aktivis security profesional di Indonesia yang saat ini sudah menjadi security consultant profesional pernah mengalami fase-fase kiddies tersebut. Well, setiap orang pernah menjadi anak kecil, pernah melalui tangga pertama, pernah mengalami merangkak sebelum akhirnya bisa berjalan dan berlari, bukan begitu?!

Namun bukan permasalahan apakah defacement itu ciri tindakan kiddies atau bukan, namun apakah benar defacement tidak memiliki dampak apapun dan hanya tindakan anak kecil tahun lalu.

Kalangan underground pernah mendengar aksi siapakah.akyu di dunia cyber Indonesia beberapa bulan terakhir. Bahkan aksinya juga membuat gempar media massa dan pemerintah. Satu hal yang menarik adalah siapakah.akyu masih tetap teguh menyimpan identitasnya untuk tidak muncul dihadapan publik. Aksi deface di Indonesia umumnya dilakukan oleh individu yang justru menampilkan nicknya agar populer atau demi tujuan tertentu. Hm, yeah, kami pun pernah melakukannya .

Coba kita lihat formula berikut ini:

Hole+ Mass Media + X = Public Attention

Apakah situs depkominfo merupakan satu-satunya situs pemerintah yang diserang oleh kalangan underground?!nope. Apakah bugs situs depkominfo merupakan hal yang sangat sulit ditemukan karena perlindungan yang luar biasa?! nope. Apakah bugs depkominfo sudah menyebar dikalangan underground jauh hari sebelum situs tersebut di deface?! Yes. Apakah bugs depkominfo hanya dapat ditemukan oleh sang defacer?! nope.

Jika kita melihat faktor ‘X’ diatas tentunya ada satu hal yang kurang untuk menarik public attention selain security hole itu sendiri serta peran media massa untuk membesarkannya. Faktor ‘X’ tersebut bisa berbagai macam, dan tidak salah jika kita menyebutkan bahwa faktor ‘X’ tersebut adalah ‘moment yang tepat’.

Bagi kalangan underground, aksi deface adalah hal yang biasa. Bahkan banyak kelompok yang memiliki koleksi backdoor di server-server pemerintah yang awalnya berasal dari web bug. Dan hole di website depkominfo adalah jenis bug yang umum digunakan untuk ‘break-in’ ke situs-situs lainnya. Sering juga kita lihat di media massa seperti detik adanya aksi deface terhadap beberapa situs pemerintah, namun hal tersebut paling hanya menjadi perbincangan 1-2 hari. Itu disebabkan tidak adanya faktor ‘X’ diatas.

Kreativitas siapakah.akyu dalam hal deface yang awalnya untuk menjadi bahan joke mungkin tanpa disadari berubah menjadi hal yang serius, dan ditambah lagi dengan peran media massa yang membesar-besarkan karena terkait peristiwa pemberlakukan UU ITE di Indonesia. Ditambah lagi dicantolkannya gambar security profesional ‘populer’ Indonesia sebagai bahan ejekan pada situs tersebut. Dan who knows, akibat peristiwa tersebut secara tidak langsung mengakibatkan jatuhnya pamor security profesional ‘kawakan’ tersebut.

Mungkin sebagian besar orang terutama di lingkungan IT&security heran mengapa sang security profesional ‘kawakan’ tersebut masih saja dipercaya padahal sudah diketahui melakukan kebohongan terhadap publik, namun masih banyak yang percaya dengan ke-profesionalitas an nya. Dan hebatnya, aksi siapakah.akyu tersebut berhasil memudarkan pamor dan menjatuhkan karir sang security profesional ‘kawakan’. Banyak yang menentang dia, banyak yang tidak setuju dengan omongannya dan bahkan media massa pun mulai beralih ke security profesional lain untuk dimintai pendapat mengenai hal-hal yang berbau IT&Security.

“SQL injection” + “Detik.com” + “UU ITE & RS” = Public Attention + Lessen public confidence

Walaupun mungkin aksi deface merupakan angin lalu yang hanya dilakukan oleh anak kecil, namun jika dilakukan pada saat dan motif yang tepat akan berdampak cukup telak. Tunggu, jika begitu mungkin bisa dilakukan secara tidak “tidak sengaja”. Ambil contoh saat ini menemukan hole disuatu server, disimpan, dibackdoor, dan jika ada kejadian penting dijadikan sebagai alat untuk propaganda, menjatuhkan kredibilitas, mengadu domba, etc etc etc. Hm, Evil.

More than evil?!take it a little higher, seperti berdasarkan teori security saat ini seperti yang dikatakan teman kita jhoni (gee…still love seducing others with ur freakin joke?), defacement dalam arti mengganti halaman suatu website dengan berbagai hal yang merusak. Misalnya: dengan suatu content yang dapat mendownload ActiveX melalui browser exploit sehingga apabila situs dibuka akan melakukan instalasi backdoor pada komputer korban, mencuri password melalui firefox/ie bugs, atau sekedar flash exploit untuk melakukan internal network scanning pada network perusahaan korban, dsb. Oke, terlalu berlebihan. Itu bukan permainan kiddies atau lammers lagi. At least bisa mengambil password friendster dan setidaknya sedikit lebih unik dibandingkan teknik phissing .

Points taken?!faktor ‘X’ juga terjadi saat schizoprenic melakukan deface terhadap situs pemilu, walaupun dia tidak bisa dikategorikan sebagai kiddies or lammer, namun penyembunyian identitas siapakah.akyu jauh lebih menarik karena sampai saat ini masih tetap misteri.

Keep Underground, guys!

The folks at Symnantec are concerned about Trojan.Silentbaker, and I can’t blame them. This Trojan horse program performs “man-in-the-middle” attacks between users and more than 400 banks. Running on the user’s computer, the Trojan monitors the use of Web sites, looking for banks it can manipulate. It reads data coming from the bank and instructions sent by the user, and modifies fields in user instruction such as destination of transfers.

Symnantec notes that Trojan.Silentbanker can even attack sites that require two-factor authentication (generally in the form of one-time password tokens). Really, this isn’t surprising or even all that impressive. Once a Trojan is in the position to intercept and modify form fields, it follows that it could do so with the one-time password, which is just another form field.

This level of compromise requires a malware infection on your PC. Conventional phishing sites, which do not incorporate malware, can attempt to fool you, but they attack only one bank at a time. This particular Trojan has weaknesses, such as looking at specific addresses for updates, that will help to limit it. Your best defense (say it with me, folks) it to keep antivirus software up to date and not to run executable you get form strangers.

—–FOR IMMEDIATE RELEASESECURITY ADVISORY: The following program may screw a large Internet searchengine and make the Web a safer place.

LUBBOCK, TX, February 20th — Today CULT OF THE DEAD COW (cDc), the world’s

most attractive hacker group, announced the release of Goolag Scanner, a web

auditing tool. Goolag Scanner enables everyone to audit his or her own web

site via Google. The scanner technology is based on “Google hacking,” a form

of vulnerability research developed by Johnny I Hack Stuff. He’s a lovely

fellow. Go buy him a drink.

“It’s no big secret that the Web is the platform,” said cDc spokesmodel

Oxblood Ruffin. “And this platform pretty much sucks from a security

perspective. Goolag Scanner provides one more tool for web site owners to

patch up their online properties. We’ve seen some pretty scary holes through

random tests with the scanner in North America, Europe, and the Middle East.

If I were a government, a large corporation, or anyone with a large web site,

I’d be downloading this beast and aiming it at my site yesterday. The v

ulnerabilities are that serious.”

Goolag Scanner will be released open source under the GNU Affero General

Public license. It is dedicated to the memory of Wau Holland, founder of the

Chaos Computer Club, and a true champion of privacy rights and social justice.

GOOLAG SCANNER FUNCTIONS AND FEATURES

Goolag Scanner is a standalone windows GUI based application. It uses one

xml-based configuration file for its settings. All dorks coming with the

distribution of gS are kept inside one file.

–

Press Contact

Oxblood Ruffin

oxblood at hacktivismo.com

Saya merasakan tools ini sangat membantu, terutama karena saya sangat malas menghafal jenis-jenis dork . Get it from here.