Dedahkan atau Sembunyi Kod Anda

9:31 AM Mat Sekuriti 0 Comments



Assalamualaikum dan salam sejahtera. Rasanya sudah lama Mat tidak berkongsi sesuatu dalam blog ini. Sibuk dengan kerja dan tidak sempat untuk mencoret dalam blog Mat ini. Hari ini Mat akan kongsikan dengan rakan pembaca sekalian tentang kod pengaturcaraan. Mat bukanlah seorang "programmer" tapi Mat tahulah serba sedikit tentang "coding". Dalam sekuriti, Mat sering kali juga terlibat dengan secara tidak langsung dengan "coding". Pernahkan rakan pembaca sekalian terfikir, kita bersusah payah, bertungkus lumus untuk menyiapkan satu sistem laman web contohnya. Tetapi, terdapat segelintir orang yang senang lenang untuk menyalin kod tersebut tanpa pengetahuan kita. Mesti rasa sakit hati kan.

Dalam sekuriti, terdapat satu istilah yang di panggil "encrypt" ataupun dalam Bahasa Melayu ianya dipanggil menyulitkan. Hari ini Mat akan tunjukkan bagaimana untuk rakan pembaca melindungi kod yang anda tulis dengan menggunakan teknik "encrypt" ini. Sebelum itu, mari kita lihat dahulu, apa itu HTML ataupun Hyper Text Markup Language. Terdapat pelbagai jenis "coding" selain dari HTML, seperti PHP,ASP.net,VB.net,JavaScript dan lain lain lagi. Dibawah ini Mat sediakan contoh HTML yang mudah untuk rakan pembaca paham apa itu HTML.

<!DOCTYPE html>
<html>
<head>
<title>Page Title</title>
</head>
      <body>
            <h1>This is a Heading</h1>
            <p>This is a paragraph.</p>
      </body>
</html>

Kalau kita lihat contoh "coding" diatas, itu adalah contoh HTML yang biasa yang tidak di "encrypt". Untuk teknik ini, ia akan tukarkan HTML tersebut kepada JavaScript punya "coding". Setelah Mat mencuba, terdapat dua hasil encrypt tersebut. Yang pertama "code" anda akan kelihatan seperti ini,

<script><!--document.write(unescape("%3C%21DOCTYPE%20html%3E%0A%3Chtml%3E%0A%3Chead%3E%0A%3Ctitle%3EPage%20Title%3C/title%3E%0A%3C/head%3E%0A%3Cbody%3E%0A%0A%3Ch1%3EThis%20is%20a%20Heading%3C/h1%3E%0A%3Cp%3EThis%20is%20a%20paragraph.%3C/p%3E%0A%0A%3C/body%3E%0A%3C/html%3E"));//-->
</script> 
Kalau kita lihat "coding" diatas ini, Kita masih boleh lihat terdapat "plaintext" yang masih boleh dipaham untuk dibaca. Ianya bukan lah teknik "encryption" yang baik. Sekarang kita akan lihat contoh yang kedua,

<Script Language='Javascript'><!--document.write(unescape('%3C%21%44%4F%43%54%59%50%45%20%68%74%6D%6C%3E%0A%3C%68%74%6D%6C%3E%0A%3C%68%65%61%64%3E%0A%3C%74%69%74%6C%65%3E%50%61%67%65%20%54%69%74%6C%65%3C%2F%74%69%74%6C%65%3E%0A%3C%2F%68%65%61%64%3E%0A%3C%62%6F%64%79%3E%0A%0A%3C%68%31%3E%54%68%69%73%20%69%73%20%61%20%48%65%61%64%69%6E%67%3C%2F%68%31%3E%0A%3C%70%3E%54%68%69%73%20%69%73%20%61%20%70%61%72%61%67%72%61%70%68%2E%3C%2F%70%3E%0A%0A%3C%2F%62%6F%64%79%3E%0A%3C%2F%68%74%6D%6C%3E'));//--></Script>

Jika kita lihat contoh yang kedua, teknik yang digunakan lebih teratur dan setiap "code" di "encrypt" dengan begitu baik sekali. Tidak terdapat plaintext di dalam "coding" tersebut. Terdapat servis "online" untuk menggunakan teknik "encryption" ini. Rakan pembaca yang berminat boleh mecubanya di encypter.


0 comments :

Salah Hantar Email

2:57 PM Mat Sekuriti 0 Comments

Email merupakan salah satu pengantara yang penting dalam sesebuah organisasi. Kadang kadang setiap orang terpaksa membaca dan membalas email yang banyak setiap hari. Letih bukan situasi begini. Mungkin ada di antara pembaca pernah tersalah hantar email. Mesti pembaca sekalian berasa sangat tertekan dengan situasi ini. Email yang penting tapi kita tersalah hantar. Bak kata orang tua tua, terlajak perahu boleh undur, terlajak (kata)email buruk padahnya. :)

Disini Mat akan kongsikan, bagaimana untuk kita edit email yang telah dihantar. Kita bukan sahaja dapat edit semula email yang telah dihantar, Kita juga dapat delete email tersebut. Oleh itu kita dapat menghantar email yang baru kepada penerima email tersebut. Penerima masih dapat melihat email tersebut masuk, cuma mereka tidak dapat melihat apakah isi kandungan di dalam email tersebut. Menarik bukan? kita semua adalah manusia yang tidak mungkin sempurna dalam apa jua keadaan, walaupun dalam keadaan yang berjaga jaga, kita masih tidak dapat elakkan suratan dan takdir yang bakal berlaku. ceewahhh... bersastera pulak Mat petang petang yang dingin ini.


Perisian yang akan Mat kongsikan ini adalah unSend.it. Rakan pembaca boleh register dan follow cara cara untuk setup didalam email pembaca sekalian. Akan tetapi, servis yang percuma ini terdapat beberapa kekurangannya seperti kita hanya dapat menghantar sebanyak 50 email sahaja sehari, terdapat iklan di dalam email yang kita hantar dan terdapat send via sendgrid.net. Untuk menghapuskan segala iklan dan segala free features ini, rakan pembaca boleh melanggan servis ini dengan kadar serendah $5 sebulan untuk mendapat features ini;

Upgrade today to get the best out of unSend.it. The subscription only costs $5 / month. That is less than two tall lattes in Starbucks. 
Key benefits:
  • Unlimited emails / day (our free members can only send 50 / day)
  • No unSend.it branding or third-party ads in emails
  • Priority support

Dalam sekuriti, perkara seperti ini adalah amat berbahaya sebenarnya. Ia di namakan non-repudiation. Non repudiation ini adalah seseorang tidak boleh mengatakan tidak kepada tindakan yang telah beliau lakukan. Akan tetapi dalam hal ini, penghantar email boleh mengatakan tidak kepada email yang beliau hantar kepada penerima. Dengan ini maka terbatallah elemen sekuriti di dalam email tersebut. Seseorang boleh memutar belit kata katanya di dalam email apabila si pembaca telah reply email kepada si penghantar email ini. Mat sekadar berkongsi ilmu untuk digunakan kepada jalan kebaikan, terpulang kepada pembaca sekalian untuk menggunakan ilmu yang dikongsi ini kepada jalan yang lurus atau bengkang bengkok. :)


0 comments :

Produk Malaysia Untuk Mencegah Penggodam

11:34 AM Mat Sekuriti 0 Comments

Sebelum ini Mat ada kupaskan tentang 5 minit godam data kerajaan. Suatu situasi yang Mat rasa amat kritikal kerana melibatkan data orang ramai. Bayangkan, semua maklumat peribadi yang terdapat dalam server tersebut dapat dicuri oleh penggodam dalam masa kurang dari 5 minit. Ini memang membimbangkan kerana data yang dicuri itu dijual kepada pihak yang tidak bertanggungjawab. Pada kali ini Mat akan kongsikan pengalaman Mat sebagai seorang pak guard dalam bidang IT ini. Mat kerja dalam bidang security dan Mat sering kali terlibat dalam pemasangan produk untuk mencegah penggodam terutamanya. Disini Mat akan kongsikan dua Produk Malaysia Untuk Mencegah Penggodam yang Mat selalu pergi pasang dengan bos Mat. 

Produk tersebut adalah Durio dan Garcinia. Wah, nama tak macam produk Malaysia pun. Sebenarnya nama ini kalau diterjemah kepada Bahasa Malaysia, ia adalah Durian dan Manggis. Produk ini sebenarnya telah lama. Banyak agensi kerajaan dan institusi pengajian yang telah berubah dari produk luar ke produk Malaysia ini kerana harga yang lebih berpatutan. Walaupun harga yang lebih murah berbanding produk luar. Bantuan jika terdapat masalah pada produk tersebut masih diberikan dengan baik. Dengan adanya jaminan penukaran perkakasan jika terdapat kerosakan membuatkan ia menjadi pilihan bagi sesetengah agensi dan institusi dan dalam masa yang sama memberi peluang kepada produk mlaysia untuk mencegah penggodam.
Produk Malaysia Cegah Penggodam - Durio

Apa sebenarnya Durio dan Garcinia ini?. Mat akan cuba terangkan serba sedikit mengenai dua produk ini. Durio adalah unified threat management system. Sistem yang digunakan untuk membuat content filtering, http proxy, dan lebih kepada security kepada sistem rangkaian dan laman web. Contohnya untuk block akses ke laman laman web yang tidak sepatutnya pada waktu bekerja, laman laman web yang tidak sihat. dan pelbagai lagi fungsi produk ini. Bagi Garcinia pula, ia lebih kepada firewall routing iaitu produk yang digunakan untuk mengawal trafik yang akan masuk dan keluar. Contohnya kita boleh mengawal bandwidth untuk setiap pengguna. Dengan ini tidak lah terjadi masalah seperti seorang user menggunakan internet dengan kadar yang berlebihan berbanding orang lain. Terdapat juga fungsi untuk VPN tunneling, load balancing dan banyak lagi.
Produk Malaysia Cegah Penggodam - Garcinia

Bagi yang ingin mengetahui lebih lanjut tentang dua Produk Malaysia Untuk Mencegah Penggodam ini boleh ke laman web rasmi OpenKod.

0 comments :

5 Minit Godam Data Kerajaan

9:06 AM Mat Sekuriti 0 Comments


Assalamualaikum dan Selamat Pagi, Semalam Mat ada terbaca mengenai satu tajuk berita yang menarik dalam Berita Harian. Tajuk yang Mat rasa menarik untuk dikongsi kepada rakan pembaca blog Mat neh. 5 Minit Godam Data Agensi Kerajaan. Bagi yang tidak mengetahui situasi sebenar kenapa perkara seperti ini masih terjadi pada tahun 2015 yang serba maju dari segi teknologi dan sekuriti. Jawapannya hanya lah satu iaitu kesedaran pengguna terbabit. Dalam hal ini, pihak kerajaan sendiri pandang enteng masalah tersebut. 

Mat pernah terlibat dalam beberapa projek yang melibatkan agensi kerajaan untuk menguji selia tahap sekuriti bagi sistem rangkaian dan sistem aplikasi yang digunakan oleh mereka. Terus terang Mat boleh katakan hampir semua tidak menepati piawaian polisi sekuriti yang sedia ada. Setiap agensi kerajaan mempunyai polisi sekuriti yang perlu di patuhi. Antara yang paling mudah adalah, kata kunci perlulah mempunyai lebih dari 8 abjad dan huruf berserta karakter unik. Rata rata pengguna masih menggunakan kata kunci yang mudah untuk dihafal maklumlah kerana kebanyakkan pekerja adalah dari golongan yang berumur 35 tahun keatas. Bagi mereka susah untuk menghafal kata kunci yang rumit. bagi sesetengah agensi yang betul betul mematuhi polisi sekuriti yang ditetapkan pula, pekerja sering menulis kata kunci mereka pada nota tampal dan tampal di dinding kubikel atau pada laptop seperti ini. Ini tidak mustahil untuk 5 minit godam data kerajaan.


Bagi pengodam, teknik ini dipanggil social engineering. Mereka akan meninjau keadaan sekeliling kubikel mangsa dan mencatat apa sahaja maklumat penting yang boleh digunakan sebagai kata kunci untuk mengakses kepada sistem komputer mangsa. Jika kata kunci ditampal sebegini, ini akan memudahkan lagi usaha pengodam untuk mendapatkan maklumat yang dikehendaki selain daripada tarikh hari lahir, no plat kereta, dan lain lain lagi.

Masalah ini juga terjadi kerana sistem rangkaian dan sistem aplikasi tersebut tidak di kawal selia dengan sebaiknya. Bagi server administrator dan network administrator, tugas mereka adalah untuk memantau setiap sistem di bawah mereka berada pada keadaan yang optimum untuk mengelakkan masalah digodam ini berlaku, tetapi kadang kadang mereka ambil mudah pekara ini dengan meletakkan default password pada username admin ataupun default password bagi setiap perkakasan. Yang lebih teruk Mat pernah jumpa, no password. Mat pernah jalankan satu tugas yang dinamakan security posture assessment, bagi tugas ini, Mat dikehendaki untuk mencuba apa cara untuk memecah masuk kedalam sistem aplikasi dan sistem rangkaian mereka. Hampir semua sistem boleh diceroboh dengan mudah. Tidak sampai separuh hari, Mat sudah boleh mengawal sistem mereka, bagi pengodam yang professional, tidak mustahil masa yang diambil hanyalah 5 minit godam data kerajaan!


0 comments :

Subscribe to: Posts ( Atom )