Wednesday, May 30, 2007

Seminar Keselamatan Rangkaian Sempena Spoof @ Melaka 2007

Assalamualaikum,

Slide Seminar Keselamatan Rangkaian Sempena Spoof @ Melaka 2007
Muat turun disini

http://oscc.org.my/forum/forum.php?forum_id=467

Panduan Keselamatan Nama Pengguna Dan Kata Laluan

Panduan Keselamatan Nama Pengguna Dan Kata Laluan

http://www.harisfazillah.info-a.googlepages.com/katalaluan

Rutin atau kelemahan dalam perilaku manusia (Social Engineering) sering digunakan oleh penceroboh komputer untuk mendapatkan laluan masuk. Salah satu pintu masuk kepada sesebuah sistem adalah nama pengguna dan kata laluannya.

Nama pengguna yang boleh diteka, kata laluan menggunakan perkataan daripada kamus, kata laluan yang tidak ditukar begitu lama, pengkongsian nama pengguna dan kata laluan, tidak melakukan audit kepada log kemasukkan dan sistem, tidak menjalankan ujian penembusan dan menulis kata laluan adalah diantara perkara kecil tapi penting yang tidak dilakukan dalam mengurangkan risiko kejayaan serangan melalui "Social Engineering".

Artikel ini ditulis untuk pentadbir komputer IT, namun begitu amalannya bersesuaian untuk pengguna-pengguna lain dalam menjaga nama pengguna dan kata laluan masing-masing.

Diantara langkah-langkah mudah yang boleh diambil dalam meningkatkan taraf keselamatan dalam penggunaan nama pengguna dan kata laluan.


(1) Gunakan nama pengguna yang unik


Menjadi kebiasaan nama pengguna dikaitkan dengan nama individu atau applikasi yang dipasang. Sebagai contoh menggunakan nama pengguna Oracle. Ia dengan mudah boleh diandaikan sebagai nama pengguna untuk pangkalan data Oracle. Dengan kelemahan menggunakan kata laluan daripada kamus, peluang pencerobohan akan menjadi semakin tinggi.

Inilah yang dicari oleh penceroboh komputer. Sesuatu yang mudah untuk pentadbir maka mudahlah untuk mereka.

Gunakan nama penggunaan yang tiada kaitan sebagai contoh ora123. Gunakan campuran huruf dan nombor untuk menyukarkan tekaan.

Serangan menggunakan perkataan dalam kamus sering digunakan untuk mendapatkan nama pengguna dan juga kata laluan. Menggunakan nama pengguna campuran huruf dan nombor akan meningkatkan tahap kesukaran untuk membuat tekaan.

Begitu juga menggunakan nama pengguna berkaitan dengan individu. Apabila nama pengguna dikait dengan individu dan pangkat, maka ia boleh dijangkakan pengguna itu mempunyai keistimewaan pentadbiran yang lebih tinggi daripada orang lain. Adalah dinasihatkan membuat nama pengguna yang tiada kaitan dengan individu dan pangkat, agar ia tidak mudah untuk diteka kemampuannya.

Penceroboh akan cuba menyerang nama pengguna yang dijangkakan akan memberikan mereka peluang untuk pergi lebih jauh lagi dengan keistimewaan pengguna tersebut.


(2) Kata laluan yang senang diingat tetapi sukar diteka.



Kata laluan perlulah menggunakan enam atau lebih campuran huruf kecil, besar dan nombor. Tambahan simbol khas seperti ! @ # $ % ^ & * akan meningkatkan lagi tahap kesukaran untuk diteka. Sebagai contoh, jika mahu menggunakan kata laluan cilipadi, maka kata laluan boleh menjadi

c1L1p4d1

dan penambahan simbol khas


c1L1p4d1@7

Campuran kata laluan begini akan meningkatkan tahap kesukaran dan menambahkan masa yang terlalu untuk dipecah masuk dengan menggunakan perisian pemecah kata laluan.

Perisian-perisian pencerobohan menggunakan perkataan-perkataan dalam kamus bagi membuat serangan kepada nama pengguna dan kata laluan. Elakkan langsung menggunakan perkataan-perkataan dalam kamus.


(3) Kata laluan hanya perlu diingat


Jangan sekali menulis kata laluan dimana-mana. Kata laluan hanya perlu diingat. Jangan ditulis didalam diari, atau ditulis dan disimpan dalam dompet atau membuat catatan dalam telpon bimbit.

Tiada yang selamat jika kata laluan ditulis. Jika ada keperluan untuk menulis kata laluan, pastikan ia ditulis diatas kertas yang tebal kemudian dilipat dan dimasukkan dalam sampul bergam, sampul dicop pada bahagian boleh buka dan disimpan dalam peti keselamatan.


(4) Amalan tukaran kata laluan secara berkala


Jika ada ditanya bilakah kata laluan anda kali terakhir ditukar? Pasti ramai yang menjawab tidak pernah menukarnya. Standard jangka masa tukaran kata laluan, adalah 90 hari untuk pengguna biasa, 60 hari untuk akaun super dan akaun penting. Bagi komputer pelayan (server) yang dengan sensitif tinggi, 30 hari adalah standard utama.

Dengan menukar kata laluan secara berkala, ia akan mengurangkan peluang untuk kata laluan yang dicuri daripada ia dipergunakan. Ada banyak cara untuk mendapatkan kata laluan sama ada dengan key logger, intipan dan pelbagai.

Unik dan sukar bagaimana pun kata laluan anda, pasti ia akan didapatkan oleh penceroboh yang betul-betul mahir dan dedikasi.

(5) Jangan berkongsi nama pengguna dan kata laluan

Jangan sesekali kongsikan nama pengguna dan kata laluan dengan orang lain. Apabila ini berlaku ia sudah diluar kawalan pemiliknya dalam soal apabila ia diturut dikongsikan kepada orang lain tanpa pengetahuan pemiliknya. Sekiranya berlaku masalah, pemilik nama pengguna dan kata laluan akan dipersalahkan walaupun kesalahan itu bukan dilakukan olehnya.

Sekiranya ada keperluan untuk berkongsi nama pengguna, tukarkan kata laluannya dengan cepat apabila selesai digunakan.


(6) Pelbagaikan kata laluan untuk setiap nama pengguna


Kata laluan perlu unik untuk setiap nama pengguna. Jangan samakan kata laluan hanya kerana mahu senang ingat kerana apabila berlaku pencerobohan kepada satu server akan membahayakan server yang lain.

Amalan ini sepatutnya diamalkan oleh pengguna lain terutama melibatkan penggunaan kemudahan di Internet. Jangan samakan kata laluan email dengan kata laluan pengguna di forum. Jangan sesekali samakan nama pengguna dan kata laluan kemudahan perbankan Internet anda. Biarlah unik agar pencerobohan dalam akaun email tidak akan menggugat akaun bank Internet anda.


(7) Berhati-hati dengan laman Phising


Apabila mengisikan satu borang di Internet untuk apa jua kemudahan berhati-hatilah. Kes curian nama pengguna dan kata laluan sering berlaku. Sekiranya anda mendapat email daripada laman web yang sering anda lawati, perhatikan linknya agar ia sama dengan link laman web yang sepatutnya anda lawati.

Terdapat banyak kes phising. Phising adalah usaha mendapatkan nama pengguna dan kata laluan melalui laman web yang dibuat hampir sama dengan laman web asal tetapi ia dibuat dalam server lain yang hanya dengan tujuan mendapat nama pengguna dan kata laluan anda.

Edaran link laman phising sering dilakukan dengan email, yang seakan datang daripada laman yang biasa dan terkenal. Berhati-hati juga dengan email yang disangkakan datang daripada laman Internet bank anda. Menjadi polisi semua bank untuk tidak edarkan maklumat atau link melalui email.

Mozilla Firefox dengan Google toolbar memberikan kemudahan peringatan laman phising apabila ia mengesan laman yang dilawati pengguna dalam senarai laman phising.

Begitu juga dengan kemudahan penapisan email daripada sumber terbuka yang menggunakan enjin Clamav dapat mengesan email yang mengandungi link phising.


(8) Hadkan penggunaan nama pengguna super


Salah satu serangan pencerobohan adalah untuk mencuba memasuki akaun adalah dengan menggunakan nama pengguna super yang biasa digunakan. Antaranya adalah administrator atau root. Akaun berkuasa ini perlu dikurangkan penggunaannya.

Satu akaun lain perlu dibuat dimana ia perlu dengan keistimewaan pentadbiran (privilage) yang rendah dan bersesuaian dengan tugasan yang berkaitan sahaja. Sebagai contoh, untuk menjalankan Oracle, hanya buat satu akaun dengan hanya kemampuan untuk oracle sama ada untuk menjalankan "Service" Oracle atau hak terhadap folder Oracle.



Kata laluan (password) untuk pengguna super perlulah ditetap supaya ia tidak mudah untuk diteka atau diingati. Ia perlulah ditaip oleh kaki tangan yang tidak terlibat dengan IT. Ia perlu dtuliskan sendiri oleh kakitangan tadi diatas kertas yang tebal yang dilipat dan dimasukkan dalam sampul surat bergam. Sampul surat ini perlulah dicop pada lipatan mudah buka dan disimpan dalam peti simpanan keselamatan.



Bagi keselamatan tahap tinggi, kata laluan akaun super ini akan dimasukkan dua bahagian oleh dua orang daripada jabatan-jabatan luar IT dan masing-masing tidak akan beritahu apa yang dimasukkan. Dua bahagian ini akan disimpan dalam kertas berlipat yang berlainan, dimasukkan dalam sampul surat berlainan dan disimpan dalam dua peti keselamatan yang berlainan.


Apabila nama pengguna super dan kata laluannya digunakan. Kata laluan perlu ditukarkan dengan kata laluan baru berdasarkan langkah-langkah yang dinyatakan tadi.



Kata laluan super juga termasukkan dalam pertukaran secara berkala. Tukarkan kata laluan pengguna super setiap 60 hari atau bagi komputer pelayan (server) dengan data sensitif setiap 30 hari.

Terdapat langkah khusus yang membuat nama pengguna super ini hanya boleh digunakan pada terminal di komputer pelayan. Nama pengguna super sepatutnya tidak digunakan melalui sistem rangkaian. Terdapat pelbagai perisian yang boleh mendapatkan paket data sistem rangkaian dan membuat analisa carian nama pengguna dan kata laluan.


(9) Audit dan ujian penembusan perlu dijalankan



Audit komputer pelayan dan ujian penembusan rangkaian perlu dijalankan setiap tahun bagi memastikan komputer pelayan adalah dalam keadaan selamat dan tidak diceroboh.



Kebanyakan kes pencerobohan tidak dikesan dengan cepat. Dengan menjalankan audit ia boleh memastikan tahap keselamatan komputer pelayan sentiasa tinggi dan mematuhi standard disamping melihat sama ada berlaku kes pencerobohan.



Lebih baik mengetahui kelemahan itu awal daripada mengetahuinya melalui penglibatan penceroboh.


(10) Wujudnya jabatan, unit atau jawatan khusus untuk penjagaan keselamatan IT



Tugasan menjaga nama pengguna super dan kata laluan sepatutnya diasingkan daripada pentadbir komputer dan sokongan teknikal. Pengasingan tugas akan mengurangkan risiko keselamatan yang ditimbulkan daripada dalaman.



Pengasingan ini turut memastikan bahawa penjaga keselamatan IT tidak boleh menjalankan kerja-kerja pentadbiran komputer dan sokongan teknikal.



Jawatan, unit atau jabatan yang diwujudkan untuk keselamatan komputer selain dipertanggung jawabkan dengan penjagaan nama pengguna super, ia turut menjalankan audit komputer, membuat kerja-kerja penembusan komputer dan lain-lain hal keselamatan komputer.




Pada jangka masa berkala, Ketua bahagian atau jabatan IT perlu menjalankan audit kepada jawatan atau jabatan IT melalui bantuan pentadbir komputer IT untuk memastikan wujud periksa dan imbang antara dua tugasan ini.



Pada masa berkala juga, perlu juga wujud penilaian daripada agensi keselamatan luar atau syarikat audit keselamatan IT luar dalam membuat penilaian audit keselamatan IT dalaman.



Masalah keselamatan IT bukan sahaja datang daripada kelemahan applikasi atau sistem operasi. Kebanyakan kes pencerobohan adalah disebabkan oleh kelemahan manusia. Malah serangan melalui "Social Engineering" sering dilakukan bagi mendapatkan nama pengguna dan kata laluan dibandingkan dengan serangan lain.

Saturday, May 26, 2007

ok budak2.. macam ni..


ok let me show my skill on how to hack this pc..
first.. we hack all the participant's pc by running this command...

tcpdump -in

then, we allready know all the participant IP's...
for the next step.. to be continued for Spoof 2008.. hik..hik..hik..

*/ abg root saya dah boleh guna screen.. kekeke toche abg root...

our VVIP


ini lah dia.. Abang Root.. sama root JR (anak beliau) .. terima kasih diucapkan kerana meluangkan masa melawat kami... Insya Allah.. Spoof 2008.. kami datang lagi.. hehehehe

primary jury down.....




begitu panasnya pertandingan ini...
satu juri telah tumbang... dalam 4 jam setelah pertandingan dimulakan...

*/sebenarnya en. haris demam...

serious...





ni muka champion apabila sedang mengodam...
lihatlah bertapa seriusnya... waa manyak takut masa snap this photo..

*/atau muka lapar muahahahhahaa

T34M 5...

white shirt : encik.. hebat tak saya.. saya sorang bawak PC.. semua bawak notebook..
jersey : yaa betullah.. lu manyak hebat.... jangan kalah.. mesti TOP 3 ok.. kalu tak malu MMU.

T34M 4..


dark shirt : kenapa aku rasa macam lapar?
white shirt : belum2 apa lagi ko dah lapar..
dark shirt : masa makan aku ni... kul 12
white shirt : selagi ko x jawab soalan tu bagi habih.. jgn ngada2 ko nak makan!
dark shirt : baik tuan....

T34M 6...





it's looked like.. bantuan talian hayat pertama .. already used by En. Shakir...

T34M 8




yellow shirt : hebat jugak ko ni menjawab
black shirt : ala.. soalan objektif..
yellow shirt : kira hebat jugak ko menembak...
black shirt : ni perkara biasa.....
yellow shirt : agak2 berapa yang salah?

T34M 7....


green shirt : tak tau pulak aku jawapan ni..
red shirt : tembak ajer lah...
green shirt : ko x dengar ke bro tadi cakap.. semua ni ada markah
red shirt : sabar kawan.. hacking proses belum bermula.. aku yakin kita boleh spoof depa punyer server..
green shirt : yeeahahhahhh

T34M 3...


white shirt : depa semua cepatnya bermula..
blue shirt : ko tu cepat lah on notebook ko tu..
white shirt : rileks bro.. kita jalan slow2.. ada 23 jam lagi maaa
blue shirt : aku mau balik awal maa.. malam ni malam minggu.. ada projek baik ni.

T34M 2...

leader (black hat) : ko paham tak apa soalan dia?
partner (redhat) : serius.. apa ke benda ni.. apa bezanya hacker dan cracker?
leader (black hat) : on lah wifi ko tu.. cepat cari jawapan....
partner (redhat) : ye tak yer jugak.. sekejap3......

First team..... UPM


Kekuatan persenjataan.. x pasti...

Ketumbukan askar : 1 Batallion ajer.. 1 team

yang lain belum lagi.. baru ON pc tu.. hehehehe

it's begin....

our tag for team generated by http://www.spywire.net/l337-converter.php

we have only 2 angels.. we need more probably..

the registration counter are guarded with 2 angels.. hehehehe..

champion from BANGI...


the 2nd place for best spoofer for Spoof 2006 last year... En. Shakir ( White Shirt )

ok server is ready...


this sign show that all the server are ready my dear.. muahahaha

our breakfast.....

Menu for our breakfast was roti canai and roti bakar... with super mamak black coffee. at least we don't "ngantuk" for today...

the last touch-up for firewall


En. Shafaizal do the the final check for our firewall to make sure all the server run according to our plan...

spoof 2007 | MITC, MELAKA

all the server are ready... waiting for the spoofer to spoof it.. with one task only...

today... everything has been setup... tuned.. hardened... tweaked.. and ready to be spoof by the best spoofer..

another dinner...


we had our dinner on 1.57 a.m..
our perut has sang "Am I survive for tomorrow" by Gloria Gaynor.. "banned track" hehehehe

Friday, May 25, 2007

tulun check cable....


Him :e1 tulun check cable.. dah cucuk belum...

me: cucuk mana...

Him: Switch besar...

me: ok tuan.. siap.

that is the order from my firewall engineer....

suddenly bos "hilang"

after everybody got "sound".. our bos disappeared suddenly.. most probably "merajuk" muahahahaha .. no lah he went to toilet.. I think..

"kena sound lagi"...


When bos "marah"... never ever do some joke like this.. both girl got another "sound" after this incident.. no picture was taken...

bos always right...


Listen to your bos.... that what i'm thinking of this picture... most probably En.Shafaizal.. "kena sound" .. kekekekeke

a little discussion before......


a discussion between En Haris (our sifu) and En. Syufaat ( Black-shirt) regarding the Security Conference for government staff .... Dewan Sri Negeri, Melaka conjunction with SPOOF 2007 ? Melaka, MALAYSIA.

continue to set-up everything.......


tension... probably.. we have 24 hours to set-up everything... before the game begins...


- 1st problem... blue screen....
- 2nd problem... internet very slow....
- 3rd problem... not enough time... kekekeke

last man.......not standing anymore



this man actually don't have any "ruang" any more to sleep so he went to surau and slept over there...

this picture was taken after 7 am.. he still continued sleeping.. hehehehehe..

second man also tumbang....

this is my boss.. he also tumbang.. coz of super mamak black coffee.. Now I wonder.. is that coffee or black KAS-KAS.. muahahahaha

first man "tumbang"


after we had a super mamak black coffee...
one man down... that is our firewall engineer...

this man "siap dengkur2 maa" kekekekek

another booster....


after we had a mamak black coffee still not power enough...
as a result... of mamak black coffee.. another posting... ehehehhe

after dinner......


still working... it's already in the middle night
I have to crimp all the UTP cable.. for 12 teams,

I need a booster... Now got another problem..
mau tidur maaa....

I need super tongkat ALI coz..... another 20+ network patch cord need to be crimp and lay properly........

Thursday, May 24, 2007

dinner...


like always... McD is the primary choice... since we had mamak restaurant here.. but the price.. "sungguh mencekik"...

dinner on 11.03 pm....

after that.. we have leisure session with Heroes last episode...

our dewi....


is this a real Dewi... ahaks..

green shirt : Fidah..

black shirt : Ina...

Both of them are UiTM student, and not finish yet.. muahahahaha..

*/if you need a contact address.. I don't have it..
but I already got their HP no... kekekeke

powered by CentOS....


we choose CentOS as our main operating system for server because of Community Based. For your information... it's a Red Hat Enterprise Distro and been compiled and developed by community.... need a copy... just download from www.centos.org

my task....


because i'm the "smallest" among the team, so I have to arrange all the table and setup all the wiring for electrical and networking cable.

Me:Done.. boss

Boss: next stage do the electrical wiring...

Me: Ok.. boss..

first task.... it's meeting..


Briefing by En. Shufaat,
first question... Why late?
first answer..... highway got one lane only.. high speed lane was closed for upgrading... kekekeke

second question....
actually I'm already go somewhere else...
to check all the table and arrange according to the plan...

pentas pertandingan Spoof 2007


Ini adalah gelanggang bagi Spoof 2007.. jauh di nun sana adalah Encik Syufaat yang merupakan orang kuat K-Ekonomi.....

meja belum set-up lagi.. ni tengah amek nafas..
baru sampai la katakan...

setibanya kami disana.....


pukul 5.00 petang.. kami sampai... jalan tak berapa sesak, dibawah setelah punggah barang..
kelihatan di sebelah adalah En. Rizal yang sedang memegang Cover CD yang belum dipotong. Beliau merupakan pemilik yang sah Linuxdotmy Solution....

Sebelah beliau adalah, Encik Shafaizal. Untuk pertandingan ini, beliau ditugaskan didalam bahagian dinding berapi atau Firewall dan itu adalah kepakaran beliau.....