Assalamualaikum & Salam Sejahtera semua, Rasanya sudah lama Mat menyepi dalam blog ini. Alhamdulillah. semak sedikit statistik, masih ada juga pembaca yang berkunjung ke blog Mat ini. So, pagi ini Mat berhasrat untuk berkongsi satu kisah tentang hacking. Hacking ini satu jenayah ke? habis tu ada agensi yang menggunakan teknik hacking untuk mendapatkan maklumat apa semua? macam mana pula kiranya. Teknik yang sama digunakan, hacking, tetapi berapa ramai yang hacking secara beretika?
Apa? cuma etika sahaja yang membezakan baik dan buruk? pelik bukan?. Ya itu lah hakikatnya. jika anda benar benar berminat untuk menjadi seorang hacker, tetapi memikirkan tentang kesalahan yang akan dilakukan, So, adalah lebih baik untuk memperoleh "lesen" sebelum melakukan aktiviti seperti ini.
Terdapat pelbagai agensi yang menyediakan sijil dan lesen untuk hacker supaya mereka menjadikan hacker ini sebagai satu kerjaya yang sah dan halal bak kata sesetengah orang. Diantara agensi yang menyediakannya adalah eccouncil, Dengar khabar, eccouncil sudah menamatkan perkhidmatannya di Malaysia. Tidak pula ketahui punca sebenar dari mereka.
Disini Mat nak berkongsi 5 laman web yang boleh pembaca sekalian untuk belajar hacking. Boleh mencuba, tetapi pastikan tidak melampaui batas. Gunakan ilmu yang diperoleh di jalan yang betul. Tahu apa yang anda lakukan. Paling penting, Beretika.
1 - http://www.hacking-tutorial.com/
2 - http://www.evilzone.org/
3 - http://hackaday.com/
4 - http://www.hackinthebox.org/
5 - http://www.hackthissite.org/
Assalamualaikum dan Salam Sejahtera semua rakan pembaca blog Mat,
Sebelum ini, Mat ada kupaskan mengenai 5 minit godam data kerajaan, Hari ini, Mat akan bercerita mengenai isu yang lebih kurang sama dengan isu tersebut, tetapi ia lebih kepada "violation of data privacy". Data merupakan satu sumber yang amat bernilai, jika ianya jatuh kepada tangan yang salah maka buruk lah padahnya nanti. Dalam situasi kali ini, Mat terbaca post dalam satu page facebook tentang penjualan data peribadi yang melibatkan pelajar lepasan SPM yang gagal untuk memasuki institusi pengajian tinggi awam. Jika dilihat, perkara ini mungkin terlalu remeh untuk diambil tindakan kerana ia melibatkan data pelajar, yang tidak mempunyai apa apa kepentingan. Tetapi jika data seperti ini dijual kepada pihak yang memerlukan, maka terjadilah lambakan surat tawaran daripada institusi pengajian tinggi swasta didalam peti surat rumah mereka dan juga privasi mereka mungkin terganggu dengan tawaran demi tawaran untuk melanjutkan pelajaran melalui panggilan telefon.
Jika ada yang menjual data ini, daripada mana pula mereka perolehi data tersebut? Adakah data tersebut diperoleh dari orang dalam atau data yang di digodam seperti post Mat sebelum ini yang penggodam hanya mengambil masa selama 5 minit untuk menggodam data kerajaan. Mat pernah terlibat dengan satu projek penetration testing yang melibatkan sebuah hospital, tidak perlu Mat nyatakan ianya hospital swasta ataupun hospital kerajaan. Masa itu Mat amat terkilan dengan hasil yang Mat perolehi. segala data pesakit disimpan dalam bentuk plaintext termasuklah nombor kad kredit dan segala maklumat peribadi pesakit. Mat terfikir, adakah semua ini salah developer sistem tersebut yang membiarkan data lebih dari 1gb disimpan dalam bentuk plaintext? ataupun salah organisasi yang mengupah mereka kerana tidak menyatakan security baseline yang perlu developer patuhi.
Di Malaysia terutamanya, tidak mempunyai kesedaran yang tinggi kerana data yang disimpan tidak dianggap bernilai, jika mereka mengambil serius perkara ini, masalah ini mungkin dapat dikurangkan. jika sesuatu sistem tidak begitu secure tetapi jika database nya di encrypt, pengodam akan mengalami masalah untuk melihat isi kandungan data tersebut walaupun mereka mempunyai akses kepada sistem. Akan tetapi, untuk encrypt segala data didalam database, haruslah mempunyai pengetahuan yang tinggi kerana Database encryption can add a valuable layer of security to critical data stores, but only if the encryption is done well (sumber dari darkreading.com). Boleh rujuk untuk lebih lanjut mengenai database encryption.
Pertama sekali Mat ingin mengucapkan Selamat Menyambut Ramadhan Al-Mubarrak kepada rakan pembaca Mat, Sudah lama rasanya Mat tidak mencoret di dalam blog ini. Kalau sebelum ini Mat ada menceritakan tentang salah hantar email yang dinamakan unSend.it. Satu aplikasi yang Mat rasakan ianya boleh disalahgunakan oleh pihak tertentu untuk niat yang tidak baik. Pada pagi ini, Mat ada menerima satu email daripada pengeluar aplikasi tersebut. Email yang bertajuk, "Soon, You'll Be Able To 'Unsend' Your Text Messages!". Pertama kali Mat membaca email ini, Mat terbayang akan situasi yang akan berlaku pada masa akan datang. Jika dahulu team forensic akan mencari bukti berdasarkan email dan juga sms jika mereka menemui bahan bukti seperti telefon bimbit mahupun komputer. Jika aplikasi ini wujud pada masa akan datang, team forensic akan menghadapi kesulitan dalam menyelesaikan sesuatu kes kerana bahan bukti yang ada telah pun diubah. Situasi ini dipanggil "data tempered".
Setiap aplikasi yang dibangunkan mempunyai satu matlamat iaitu untuk membantu pengguna dalam mengatasi masalah yang dihadapi. Tidak salah sebenarnya aplikasi seperti ini dibangunkan, cuma bagi sesetengah pihak ia akan disalahgunakan dan juga akan mengundang lebih banyak masalah pada masa akan datang. Mat tertarik dengan satu quote dari rancangan tv yang Mat tonton, "Life is like a binary, its either 1 or 0. If you choose 1 then its consider as Yes and if you choose 0, then its consider as No",(Mr Robot, 2015)
Hai semua, sudah lama rasanya Mat tidak berkesempatan untuk mencoretkan sesuatu di dalam blog ini. Tajuk yang Mat akan bangkitkan pada hari ini adalah tentang dunia siber. Sejauh mana kah kita sedar tentang ancaman dari dunia siber. Laman sosial merupakan salah satu laman web yang sering kali di akses tidak kira dimana jua kita berada. Telefon bimbit yang serba canggih, mempunyai talian internet yang pantas mendorong remaja terutamanya untuk terus berkomunikasi secara atas talian walaupun sedang makan. Contohnya, perkara yang sering dilakukan adalah, berkongsi lokasi ketika kita sedang berada diluar. "Makan malam bersama keluarga with Abah,Mak,Adik,Abang at Ikan Bakar Kuala Perlis.". Bagi orang yang tidak mempunyai niat apa apa, status yang di muat naik ini di anggap perkara biasa, tetapi bagi sesorang yang sudah mempunyai niat untuk memecah masuk rumah si mangsa, dia tahu yang mereka sekeluarga telah keluar dari rumah dan sedang menikmati makan malam di Kuala Perlis. Ini secara tidak langsung, memberikan jarak masa kepada si pemangsa untuk memecah masuk rumah si mangsa. Begitu mudah untuk mendapatkan maklumat di dunia siber lebih lebih lagi di laman sosial.
Langkah yang perlu di ambil adalah, kenal pasti rakan rakan yang ada dalam senarai rakan laman sosial kita itu, jangan pula kita hanya mengejar populariti untuk mempunyai rakan yang ramai, tetapi tidak tahu siapa kah yang menjadi rakan kita. Tidak salah untuk berkongsi apa yang kita lakukan di laman sosial, tetapi sebelum berkongsi, kita perlulah sentiasa mengambil langkah berjaga jaga agar perkara yang tidak diingini berlaku.
Perkara yang sering dilakukan oleh penggodam adalah "Reconnaissance". Teknik ini adalah dimana pemangsa akan mengumpul sebanyak mana maklumat yang boleh diperoleh, antaranya tarikh lahir, tarikh perkahwinan,tempat lahir, nama ibu, nama bapa, pekerjaan, tempat kerja, tempat tinggal, bilangan ahli keluarga dan bermacam macam lagi. Kenapa maklumat seperti ini penting? boleh dikatakan hampir 90% pengguna menggunakan tarikh lahir sendiri, tarikh lahir pasangan, tarikh perkahwinan dalam membentuk kombinasi nombor pin antaranya kad atm. Setiap penggodam mempunyai satu sifat yang amat unik iaitu tidak mudah putus asa dalam mengumpul maklumat. kadang kadang maklumat yang dikumpul dalam tempoh setahun dikaji satu per satu untuk mengkaji sifat mangsa.
Hanya satu cara untuk mengatasi semua masalah yang Mat huraikan diatas iaitu sentiasa berada dalam keadaan berjaga jaga tidak kira dimana kita berada. Jangan mudah percaya kepada kata kata seseorang. Setiap perkara yang terjadi di luar tidak semua berlaku secara kebetulan. "Being paranoid can save your life".
Assalamualaikum dan salam sejahtera. Rasanya sudah lama Mat tidak berkongsi sesuatu dalam blog ini. Sibuk dengan kerja dan tidak sempat untuk mencoret dalam blog Mat ini. Hari ini Mat akan kongsikan dengan rakan pembaca sekalian tentang kod pengaturcaraan. Mat bukanlah seorang "programmer" tapi Mat tahulah serba sedikit tentang "coding". Dalam sekuriti, Mat sering kali juga terlibat dengan secara tidak langsung dengan "coding". Pernahkan rakan pembaca sekalian terfikir, kita bersusah payah, bertungkus lumus untuk menyiapkan satu sistem laman web contohnya. Tetapi, terdapat segelintir orang yang senang lenang untuk menyalin kod tersebut tanpa pengetahuan kita. Mesti rasa sakit hati kan.
Dalam sekuriti, terdapat satu istilah yang di panggil "encrypt" ataupun dalam Bahasa Melayu ianya dipanggil menyulitkan. Hari ini Mat akan tunjukkan bagaimana untuk rakan pembaca melindungi kod yang anda tulis dengan menggunakan teknik "encrypt" ini. Sebelum itu, mari kita lihat dahulu, apa itu HTML ataupun Hyper Text Markup Language. Terdapat pelbagai jenis "coding" selain dari HTML, seperti PHP,ASP.net,VB.net,JavaScript dan lain lain lagi. Dibawah ini Mat sediakan contoh HTML yang mudah untuk rakan pembaca paham apa itu HTML.
<!DOCTYPE html>
<html>
<head>
<title>Page Title</title>
</head>
<body>
<h1>This is a Heading</h1>
<p>This is a paragraph.</p>
</body>
</html>
Kalau kita lihat contoh "coding" diatas, itu adalah contoh HTML yang biasa yang tidak di "encrypt". Untuk teknik ini, ia akan tukarkan HTML tersebut kepada JavaScript punya "coding". Setelah Mat mencuba, terdapat dua hasil encrypt tersebut. Yang pertama "code" anda akan kelihatan seperti ini,
<script><!--document.write(unescape("%3C%21DOCTYPE%20html%3E%0A%3Chtml%3E%0A%3Chead%3E%0A%3Ctitle%3EPage%20Title%3C/title%3E%0A%3C/head%3E%0A%3Cbody%3E%0A%0A%3Ch1%3EThis%20is%20a%20Heading%3C/h1%3E%0A%3Cp%3EThis%20is%20a%20paragraph.%3C/p%3E%0A%0A%3C/body%3E%0A%3C/html%3E"));//-->
</script>
Kalau kita lihat "coding" diatas ini, Kita masih boleh lihat terdapat "plaintext" yang masih boleh dipaham untuk dibaca. Ianya bukan lah teknik "encryption" yang baik. Sekarang kita akan lihat contoh yang kedua,
<Script Language='Javascript'><!--document.write(unescape('%3C%21%44%4F%43%54%59%50%45%20%68%74%6D%6C%3E%0A%3C%68%74%6D%6C%3E%0A%3C%68%65%61%64%3E%0A%3C%74%69%74%6C%65%3E%50%61%67%65%20%54%69%74%6C%65%3C%2F%74%69%74%6C%65%3E%0A%3C%2F%68%65%61%64%3E%0A%3C%62%6F%64%79%3E%0A%0A%3C%68%31%3E%54%68%69%73%20%69%73%20%61%20%48%65%61%64%69%6E%67%3C%2F%68%31%3E%0A%3C%70%3E%54%68%69%73%20%69%73%20%61%20%70%61%72%61%67%72%61%70%68%2E%3C%2F%70%3E%0A%0A%3C%2F%62%6F%64%79%3E%0A%3C%2F%68%74%6D%6C%3E'));//--></Script>
Jika kita lihat contoh yang kedua, teknik yang digunakan lebih teratur dan setiap "code" di "encrypt" dengan begitu baik sekali. Tidak terdapat plaintext di dalam "coding" tersebut. Terdapat servis "online" untuk menggunakan teknik "encryption" ini. Rakan pembaca yang berminat boleh mecubanya di
encypter.
Email merupakan salah satu pengantara yang penting dalam sesebuah organisasi. Kadang kadang setiap orang terpaksa membaca dan membalas email yang banyak setiap hari. Letih bukan situasi begini. Mungkin ada di antara pembaca pernah tersalah hantar email. Mesti pembaca sekalian berasa sangat tertekan dengan situasi ini. Email yang penting tapi kita tersalah hantar. Bak kata orang tua tua, terlajak perahu boleh undur, terlajak (kata)email buruk padahnya. :)
Disini Mat akan kongsikan, bagaimana untuk kita edit email yang telah dihantar. Kita bukan sahaja dapat edit semula email yang telah dihantar, Kita juga dapat delete email tersebut. Oleh itu kita dapat menghantar email yang baru kepada penerima email tersebut. Penerima masih dapat melihat email tersebut masuk, cuma mereka tidak dapat melihat apakah isi kandungan di dalam email tersebut. Menarik bukan? kita semua adalah manusia yang tidak mungkin sempurna dalam apa jua keadaan, walaupun dalam keadaan yang berjaga jaga, kita masih tidak dapat elakkan suratan dan takdir yang bakal berlaku. ceewahhh... bersastera pulak Mat petang petang yang dingin ini.
Perisian yang akan Mat kongsikan ini adalah unSend.it. Rakan pembaca boleh register dan follow cara cara untuk setup didalam email pembaca sekalian. Akan tetapi, servis yang percuma ini terdapat beberapa kekurangannya seperti kita hanya dapat menghantar sebanyak 50 email sahaja sehari, terdapat iklan di dalam email yang kita hantar dan terdapat send via sendgrid.net. Untuk menghapuskan segala iklan dan segala free features ini, rakan pembaca boleh melanggan servis ini dengan kadar serendah $5 sebulan untuk mendapat features ini;
Upgrade today to get the best out of unSend.it. The subscription only costs $5 / month. That is less than two tall lattes in Starbucks.
Key benefits:
- Unlimited emails / day (our free members can only send 50 / day)
- No unSend.it branding or third-party ads in emails
Dalam sekuriti, perkara seperti ini adalah amat berbahaya sebenarnya. Ia di namakan non-repudiation. Non repudiation ini adalah seseorang tidak boleh mengatakan tidak kepada tindakan yang telah beliau lakukan. Akan tetapi dalam hal ini, penghantar email boleh mengatakan tidak kepada email yang beliau hantar kepada penerima. Dengan ini maka terbatallah elemen sekuriti di dalam email tersebut. Seseorang boleh memutar belit kata katanya di dalam email apabila si pembaca telah reply email kepada si penghantar email ini. Mat sekadar berkongsi ilmu untuk digunakan kepada jalan kebaikan, terpulang kepada pembaca sekalian untuk menggunakan ilmu yang dikongsi ini kepada jalan yang lurus atau bengkang bengkok. :)
