Thursday, September 18, 2014

Honeypot Login


Github : https://github.com/dimazarno/honeypot-login

Honeypot Login, merupakan sebuah file php yang berisikan fungsi login... ya fungsi login.

~ah itu kan biasa

Eh.. sebentar dulu fungsi login yang ini berbeda. Kali ini saya membuat fungsi login yang bukan untuk diakses oleh admin tetapi oleh orang yang tidak diundang, ya bisa jadi dia adalah seorang hacker.

Lalu bagaimana cara kerjanya?

Jadi begini.. hacker sangat senang dengan sesuatu yang memiliki inputan atau form, salah satunya fungsi login ini. Kita tidak perlu memberi tahu ke hacker kalo halaman login admin kita berada di suatu tempat, cepat atau lambat biasanya mereka tahu. Lalu apa yang bisa kita lakukan?

Dengan honeypot login ini, kita bisa mengelabui si hacker setidaknya mengulur waktu sampai dia bosen kok ga tembus-tembus ho ho, misal website saya adalah :

http://dimazarno.blogspot.com/

lalu halaman admin/cms saya saya letakkan di :

http://dimazarno.blogspot.com/admin/

Secara mudah hacker pasti akan tahu halaman admin saya lalu mulai melakukan serangan berikutnya. Kalo password saya standar, mungkin cuma butuh waktu kurang dari 10 detik untuk menjebol admin saya. Ngeri kan? ya ngeri-ngeri sedap, berdasarkan hal tersebut maka saya melakukan pergeseran halaman admin, sekarang halaman admin saya pindah ke :

http://dimazarno.blogspot.com/ngeringerisedap/

Dijamin hacker bakalan bingung nebaknya, nah lalu langkah selanjutnya pada alamat admin yang sebelumnya, yaitu http://dimazarno.blogspot.com/admin/ saya pasangkan honeypot login. Kemudian suatu hari datanglah hacker ke situs saya, lalu mencoba menebak halaman admin saya yang palsu (http://dimazarno.blogspot.com/admin/) sambil berkata :

"Ah udah gila kali, gampang banget dapet halaman adminnya, masa cuma /admin, gw bruteforce dolo ah"

Mulai lah dijalanin tuh bruteforce di halaman login saya, hasilnya 1 jam, 2 jam, 5 jam, 1 hari, 2 hari, 1 minggu.

"Lah kok ga dapet-dapet, pasti kuat banget nih passwordnya"

Padahal mau sampai kiamat juga ga bakal bisa masuk ke halaman admin, lha wong honeypot login kan dibuat ga pake password wong koneksi ke database aja gak =))

Lalu apalagi yang bisa dilakukan honeypot login? Secara diam-diam honeypot login mencatat aktivitas dan IP hacker dalam bentuk log, berikut adalah hal-hal yang dicatat :

- Timestamp
- Username
- Password
- IP
- Hostname
- City
- Region
- Country
- Location (GPS coordinate)
- ISP
- Browser
- OS
- Useragent
- Cookies
- Session 

Nah lho jadi keliatan kan infonya. Langkah selanjutnya bisa anda lakukan IP Banned atau tindakan lainnnya. Hmm.. cukup menarik kan? :)

Anda dapat mendownload Honeypot Login di : https://github.com/dimazarno/honeypot-login


Thanks!

Road to CEH Part 3 | Defenses - Pertahanan Sistem



Dalam postingan kali ini kita akan membahas tentang security control tapi tidak dibahas dengan detail ya masih pemanasan dulu ho ho, jika kita bicara strategi pertahanan secara umum maka kita membahas mengenai pertahanan network. Dan tujuan kita mempelajari strategi pertahanan adalah untuk mempelajari countermeasure atau penanggulangan dari serangan-serangan hacker, sebagai konsultan sekuriti selain mengetahui serangan jahat tetapi harus juga mengetahui cara menanggulanginya karena tujuan dari CEH  adalah memberikan keamanan yang lebih baik dari suatu sistem maupun organisasi.

Security Controls

Berbicara mengenai security controls berarti berbicara mengenai keamanan sistem, data, dan organisasi.

1. Use a defense-in-depth strategy - Menggunakan Strategi Berlapis

Hal ini berarti melakukan penyebaran keamanan di setiap level organisasi, bisa saja berupa pertahanan firewall dan enkripsi tetapi bisa juga pertahanan user-nya, pertahanan dari luar seperti social engineering, pertahanan fisik dll. Teori dibalik strategi ini adalah jika salah satu pertahanan ada yang gagal maka ada pertahanan lain yang melakukan back up. Karena jika seorang hacker telah masuk di satu level dia akan mendapatkan angle baru lagi untuk melakukan exploit selanjutnya.

2. Administrative / Management Controls

Pertahanan ini meliputi pertahanan yang menyangkut manajemen perusahaan, dapat berupa policy, prosedur, personal policy.

3. Operational / Physical Control

Pada operational control berkaitan dengan data harian yang mereka lakukan/hasilkan selama bekerja yang berkaitan dengan keamanan. Sedangkan Physical Control meliputi hal-hal fisik yang melindungi bangunan/fisik seperti fasilitas gerbang, senjata, penjaga, cctv, dll. Operational dan physical control terkadang dilakukan secara berbarengan, contoh harus 2 orang untuk melakukan operasi tertentu terhadap suatu fisik kemanan (memutar CCTV, membuka dokumen tertentu, dl)

4. Logical / Technical Controls.

Disini kita berbicara tentang hal teknis keamanan seperti firewall, encryption, network security devices, permission privileges, apapun yang dapat membantu mengontrol sistem ataupun data.

Dibawah ini adalah penggambaran layer security controls :



Dibawah ini merupakan vektor pertahanan-pertahanan yang dapat dikontrol pengamanannya :

- Users
- Patches
- Secure Configurations
- Anti-malware
- Policies
- Procedures
- Planning
- Need-to-know
- Security clearances
- Network security devices
- Data encryption
- Secure authentication
- Right, privileges, permissions
- Training and education
- Access controls
- Gates, guards, and guns
- Alarms
- CCTVs

Sekian dulu mengenai pertahanan sistem, selanjutnya akan kita bahas mengenai hacking metodology, stay tune!

Thanks.

Wednesday, September 17, 2014

Road to CEH Part 2 | Types of Tests



Kali ini kita akan bahas tentang jenis-jenis test/percobaan yang biasa dilakukan oleh seorang konsultan sekuriti terhadap suatu sistem. Jenis-jenis test tersebut antara lain :

1. Vulnerability Testing

Vulnerability testing dilakukan dengan cara melakukan scan terhadap sistem, dapat dilakukan secara manual maupun menggunakan tools dengan tujuan untuk mengetahui apakah sistem tersebut memiliki kelemahan, lalu apa solusi untuk menambal kelemahannya, apa konfigurasi sistem yang mereka pakai, kemudian dihasilkan sebuah laporan keamanan. Dalam testing ini tidak dilakukan tindakan eksploitasi hanya melaporkan temuan/hasil scan yang telah dilakukan. Report tersebut akan menjadi inputan bagi tim penetrasi.

2. Full Penetration Testing

Pada testing ini akan dilakukan ujicoba penyerangan dari berbagai vektor, seperti penyerangan aplikasi web, sql injection, firewall, wireless network, OS. Lihat postingan sebelumnya yang membahas vektor serangan.

3. Targeted Testing
Prosesnya sama seperti full penetration testing, hanya saja penyerangan difokuskan ke satu hal saja, Contoh : 

- Database
- Website
- Aplikasi Klien Server
- Code
- Physical Security
- Social Engineering
- Network Scanning
- Malware
- Kebocoran informasi
- dll

Diklasifikasikan lagi berdasarkan tingkat pengetahuan :

1. Black Box Testing
Pada jenis testing ini kita tidak memiliki pengetahuan apapun tentang target alias zero knowledge, dilakukan dari luar sistem.

2. Grey Box Testing
Disini kita tahu sedikit tentang target, mungkin tahu organisasinya, tahu mengenai security administrator-nya, atau IPnya, tidak banyak pengetahuan yang didapat tapi setidaknya tahu harus mulai darimana. Bisa saja dilakukan dari dalam sistem.

3. White Box Testing
Berbeda dengan yang lainnya, white box testing dilakukan dengan pengetahuan yang penuh, kita tahu sistemnya menggunakan apa, firewall role nya seperti apa, scriptnya seperti apa, dll. Dalam testing ini berusaha untuk mencari exploit apa yang mungkin ditemukan dengan pengetahuan yang dimiliki.

Sekian dulu ya, nanti kita lanjut lagi ke Part 3 mengenai pertahanan. Stay tune!

Thanks.