02 Oct 09 Definisi Security Metrics

Posted by udiens

Membaca satu bab tentang definisi security metric dari buku SECURITY METRICS ternyata pusing juga :). Pertanyaan pertama sebelum masuk ke definisi security metric “Mengapa kita harus pusing2 dengan security metrics? why do we care? ”

the answer is:
(more…)

11 Mar 09 Lines of Code

Posted by za

Di sela-sela menulis laporan saya mau menulis qoute yang cukup menarik.

Measuring programming progress by lines of code is like measuring aircraft building progress by weight - Bill Gates

Tags: bill gates, lines of code

15 Feb 09 Topik Security 2009

Posted by budi

Apa saja yang akan menjadi topik bahasan (issues) tentang security di 2009? Ada beberapa hal yang menurut saya mungkin bisa muncul.

1. Security di social network. Mulai banyak orang Indonesia yang menggunakan facebook (dan tentu saja friendster). Media social network bisa saja menjadi media untuk meluncurkan serangan atau mengambil data. Apa bisa memasukkan virus melalui situs social network, misalnya? Pencurian identitas mungkin menjadi masalah di luar negeri, tetapi nampaknya belum menjadi masalah di Indonesia. (Atau bahkan mungkin tidak bakalan menjadi masalah?) Di dunia social network, sering kali kita terlalu terbuka menampilkan data pribadi kita (seperti misalnya tanggal lahir, yang seharusnya tidak usah diceritakan).
2. Security di layanan dan perangkat Blackberry. Perangkat Blackberry (BB) mulai populer di Indonesia. Bagaimana dengan kemungkinan adanya virus di perangkat ini? Pencurian data? Spamming? Sebagai catatan samping, apakah BB akan terus mendominasi ataukah akan digeser oleh produk Windows Mobile?
3. Virus buatan Indonesia. Sudah mulai muncul gejalanya, yaitu adanya virus lokal yang tidak bisa diatasi oleh anti virus buatan asing. (Kesempatan bagi perusahaan Indonesia?)

Hmmm… apa lagi ya?

Namanya juga perkiraan. Tentu saja bisa meleset, tetapi setidaknya kita harus mulai berhati-hati dengan hal-hal di atas.

Tags: security trend

06 Feb 09 MD5 Bertabrakan?

Posted by za

MD5 bertabrakan? (woot) Kok bisa? Korbannya berapa orang? Hihihi…. Saya mengetahui MD5 secara sederhana dari perintah yang saya lakukan dari console GNU/Linux.

$md5 dokumen.txt 
fa67dd94035073766c32e18ebe8ac27c dokument.txt


MD5 di atas digunakan untuk memeriksa integritas. Apabila isi dokumen.txt berubah maka nilai MD5-nya akan berubah. MD5 termasuk sebagai one way function. Maksudnya hanya bersifat 1 arah, tidak bisa dibalik dari angka-angka kemudian didapat hasil dokumen.txt

Lalu bagaimana MD5 kok bisa bertabrakan? (Nanti saya sambung lagi)

Tags: MD5

01 Feb 09 Dahsyatnya sebuah layanan File Sharing

Posted by roisz

“hey, Jurrigh. Bagi lagu dong”
“ya udah, ambil saja, saya buka kok file sharingnya”

Begitulah kurang lebih obrolan yang menarik di sebuah kantor yang mungkin juga terjadi di kantor anda. Sebuah kelaziman berbagi file dan data, baik untuk urusan administrasi kantor dan pekerjaan maupun di luar kebutuhan kantor.

Wikipedia mendefiniskan bahwa File sharing refers to the providing and receiving of digital files over a network, usually following the peer-to-peer (P2P) model, where the files are stored on and served by personal computers of the users.

Layanan file sharing merupakan sebuah layanan yang banyak dimanfaatkan untuk berbagi, dan memiliki manfaat yang sangat luas serta sangat membantu dalam kegiatan operasional sehari-hari. Sebuah kepraktisan yang mengurangi penggunaan disk, flash disk, maupun disket untuk saling berbagi dan atau bertukar data.

Hanya saja, di samping besarnya kelebihan yang dimilikinya terdapat kekurangan yang alih-alih dapat menjadi bencana bagi keseluruhan jaringan, jika layanan ini diimplementasikan di jaringan yang luas dan bukan koneksi peer-to-peer. Beberapa kelemahan tersebut adalah:

a. Kelupaan menutup layanan file sharing, yang akan berdampak pada dapat diaksesnya layanan ini oleh orang lain.
b. Layanan yang tidak dibatasi akses permissionnya, sehingga orang lain dapat melakukan perubahan terhadap file yang dimiliki. Bahkan dapat menyisipkan file lain pada komputer kita, masih mending kalau yang disimpan itu adalah file lagu atau file biasa, bagaimana kalau file itu virus?
c. Layanan yang tidak dibatasi akses pengaksesnya, misalnya siapa saja berhak melakukan koneksi, sehingga tidak ada pembatasan siapa saja yang berhak dan melakukan apa.

Tiga hal di atas hanya sebuah contoh saja, yang merupakan kelaziman yang ada ditengah-tengah kita. Bisa jadi lebih banyak lagi kebiasaan yang berpotensi lebih daripada hal di atas.

Lalu bagaimana dengan pencegahan terjadinya celah keamanan yang berhubungan dengan file sharing. Beberapa tempuhan yang dapat dilakukan adalah:

a. Melakukan pembatasan akses terhadap layanan, baik permissionnya maupun sumber pengaksesnya.
b. Jika memungkinkan, menyediakan sebuah server yang berfungsi untuk melayani kebutuhan pertukaran dan berbagi data pada jaringan anda.

Bagaimana dengan kondisi jaringan anda? dan bagaimana dengan komputer atau laptop anda?

Tags: File Sharing

30 Jan 09 Improper input validation - kesalahan di pemrograman

Posted by budi

Salah satu masalah yang terbesar dalam kesalahan pemrograman adalah “improper input validation”. Contoh dari kesalahan ini adalah bila Anda mengharapkan data dalam bentuk numerik, tetapi data dimasukkan karakter, tanda baca, dan lain-lain. Anda terlalu percaya kepada pengguna sehingga tidak melakukan validasi terhadap data yang dimasukkan.

Kesalahan ini dianggap sebagai salah satu dari top programming errors oleh SANS dan CWE. Luar biasa. Efek dari kesalahan ini bisa bermacam-macam, mulai dari data yang salah sampai ke jatuhnya aplikasi. Lebih parah lagi apabila kesalahan ini digunakan untuk melakukan kejahatan (fraud).

Kepada para programmer, jangan lupa melakukan validasi input program Anda.

Tags: application, software

28 Jan 09 VPN

Posted by yudhie

Menurut IETF, Internet Engineering Task Force, VPN is an emulation of [a] private Wide Area Network (WAN) using shared or public IP facilities, such as the Internet or private IP backbones.

VPN merupakan suatu bentuk private internet yang melalui public network (internet), dengan menekankan pada keamanan data dan akses global melalui internet (tunnelling protocol dan prosedur pengamanan). Hubungan ini dibangun melalui suatu tunnel (terowongan) virtual antara 2 node.

Oleh karena infrastruktur VPN menggunakan infrastruktur telekomunikasi umum, maka dalam VPN harus menyediakan beberapa komponen, antara lain :

• Konfigurasi, harus mendukung skalabilitas platform yang digunakan, mulai dari konfigurasi untuk kantor kecil sampai tingkat enterprise (perusahaan besar).

• Keamanan, antara lain dengan tunneling (pembungkusan paket data), enkripsi, autentikasi paket, autentikasi pemakai dan kontrol akses

• Layanan-layanan VPN Virtual private network, antara lain fungsi Quality of Services (QoS), layanan routing VPN yang menggunakan BGP, OSPF dan EIGRP

• Peralatan, antara lain Firewall, pendeteksi pengganggu, dan auditing keamanan

• Manajemen, untuk memonitor jaringan VPN.

Link lainnya bisa dilihat di: http://www.itsecurity.com/features/vpn-essential-guide-042108/

Tags: vpn

23 Jan 09 Tentang weak password

Posted by udiens

“Weak passwords are an unlocked door into your network”

Sudah menjadi aturan yang umum bahwa password yang kita gunakan hendaklah tidak sederhana dan tidak mudah ditebak. Meskipun demikian masih sering terdengar ada segelintir orang yang passwordnya masih dapat ditembus. Dictionary attack merupakan salah satu metode untuk menembus sistem dengan menebak-nebak password yang digunakan berdasarkan kata dalam kamus.

Salah satu kejadian penting yang sedang ramai diberitakan adalah mengenai virus downadup atau conficker, yang penyebaran utamanya disebabkan oleh tidak terupdatenya sistem operasi (windows), terutama pada Windows MS08-067 RPC service vulnerability. Metode lain yang digunakan oleh worm downadup ini untuk menembus sistem adalah dengan dictionary attack. Analisis dari Microsoft yang terkait dengan worm ini, menyebutkan daftar weak password yang digunakan oleh downadup untuk menembus sistem. Jika password anda terdapat dalam daftar itu sebaiknya segera diubah.

Anda juga dapat melakukan dictionary attack untuk menguji password yang anda gunakan. Salah satu link mengenai kamus yang dapat anda gunakan dapat dilihat di situs ini.

Tags: password, Weak Password

22 Jan 09 Password, Cukupkah Diingat Atau Harus Ditulis?

Posted by indra

Secara umum para pakar security sependapat bahwa menuliskan password dalam secarik kertas, file atau media lain bukanlah hal yang bijaksana, karena tidak aman. Meskipun hal seperti ini kerap dilakukan orang dengan alasan “agar tidak lupa.”

Namun baru-baru ini Roger Thompson, salah seorang pemerhati dunia security, seperti dikutip PC Magazines berpendapat bahwa sebaiknya Anda menuliskan atau mengarsipkan password yang dimiliki. Namun dengan syarat Anda memiliki banyak password yang senantiasa diubah dalam kurun waktu tertentu.
(more…)

Tags: password

22 Jan 09 Brute Force? Percuma

Posted by budi

Sebuah artikel di coding horror (Brute Force Are For Dummies) mengatakan bahwa brute force terhadap password adalah pekerjaan sia-sia. Pada kenyataannya brute force attack terhadap password masih bisa menghasilkan password juga. Mungkin itu karena banyak orang memilih password yang terlalu mudah ditebak?

Saat ini ada seorang mahasiswa saya yang sedang membuat tugas akhir mengenai brute force attack ini. Apakah ini pekerjaan sia-sia?

Tags: brute force, password