Jual Data Kerajaan, Salah Siapa?

12:22 AM Mat Sekuriti 0 Comments


Assalamualaikum dan Salam Sejahtera semua rakan pembaca blog Mat,

Sebelum ini, Mat ada kupaskan mengenai 5 minit godam data kerajaan, Hari ini, Mat akan bercerita mengenai isu yang lebih kurang sama dengan isu tersebut, tetapi ia lebih kepada "violation of data privacy". Data merupakan satu sumber yang amat bernilai, jika ianya jatuh kepada tangan yang salah maka buruk lah padahnya nanti. Dalam situasi kali ini, Mat terbaca post dalam satu page facebook tentang penjualan data peribadi yang melibatkan pelajar lepasan SPM yang gagal untuk memasuki institusi pengajian tinggi awam. Jika dilihat, perkara ini mungkin terlalu remeh untuk diambil tindakan kerana ia melibatkan data pelajar, yang tidak mempunyai apa apa kepentingan. Tetapi jika data seperti ini dijual kepada pihak yang memerlukan, maka terjadilah lambakan surat tawaran daripada institusi pengajian tinggi swasta didalam peti surat rumah mereka dan juga privasi mereka mungkin terganggu dengan tawaran demi tawaran untuk melanjutkan pelajaran melalui panggilan telefon.



Jika ada yang menjual data ini, daripada mana pula mereka perolehi data tersebut? Adakah data tersebut diperoleh dari orang dalam atau data yang di digodam seperti post Mat sebelum ini yang penggodam hanya mengambil masa selama 5 minit untuk menggodam data kerajaan. Mat pernah terlibat dengan satu projek penetration testing yang melibatkan sebuah hospital, tidak perlu Mat nyatakan ianya hospital swasta ataupun hospital kerajaan. Masa itu Mat amat terkilan dengan hasil yang Mat perolehi. segala data pesakit disimpan dalam bentuk plaintext termasuklah nombor kad kredit dan segala maklumat peribadi pesakit. Mat terfikir, adakah semua ini salah developer sistem tersebut yang membiarkan data lebih dari 1gb disimpan dalam bentuk plaintext? ataupun salah organisasi yang mengupah mereka kerana tidak menyatakan security baseline yang perlu developer patuhi.

Di Malaysia terutamanya, tidak mempunyai kesedaran yang tinggi kerana data yang disimpan tidak dianggap bernilai, jika mereka mengambil serius perkara ini, masalah ini mungkin dapat dikurangkan. jika sesuatu sistem tidak begitu secure tetapi jika database nya di encrypt, pengodam akan mengalami masalah untuk melihat isi kandungan data tersebut walaupun mereka mempunyai akses kepada sistem. Akan tetapi, untuk encrypt segala data didalam database, haruslah mempunyai pengetahuan yang tinggi kerana Database encryption can add a valuable layer of security to critical data stores, but only if the encryption is done well (sumber dari darkreading.com). Boleh rujuk untuk lebih lanjut mengenai database encryption.

0 comments :

Salah Hantar Email dan SMS

8:39 AM Mat Sekuriti 0 Comments


Pertama sekali Mat ingin mengucapkan Selamat Menyambut Ramadhan Al-Mubarrak kepada rakan pembaca Mat, Sudah lama rasanya Mat tidak mencoret di dalam blog ini. Kalau sebelum ini Mat ada menceritakan tentang salah hantar email yang dinamakan unSend.it. Satu aplikasi yang Mat rasakan ianya boleh disalahgunakan oleh pihak tertentu untuk niat yang tidak baik. Pada pagi ini, Mat ada menerima satu email daripada pengeluar aplikasi tersebut. Email yang bertajuk, "Soon, You'll Be Able To 'Unsend' Your Text Messages!". Pertama kali Mat membaca email ini, Mat terbayang akan situasi yang akan berlaku pada masa akan datang. Jika dahulu team forensic akan mencari bukti berdasarkan email dan juga sms jika mereka menemui bahan bukti seperti telefon bimbit mahupun komputer. Jika aplikasi ini wujud pada masa akan datang, team forensic akan menghadapi kesulitan dalam menyelesaikan sesuatu kes kerana bahan bukti yang ada telah pun diubah. Situasi ini dipanggil "data tempered".



Setiap aplikasi yang dibangunkan mempunyai satu matlamat iaitu untuk membantu pengguna dalam mengatasi masalah yang dihadapi. Tidak salah sebenarnya aplikasi seperti ini dibangunkan, cuma bagi sesetengah pihak ia akan disalahgunakan dan juga akan mengundang lebih banyak masalah pada masa akan datang. Mat tertarik dengan satu quote dari rancangan tv yang Mat tonton, "Life is like a binary, its either 1 or 0. If you choose 1 then its consider as Yes and if you choose 0, then its consider as No",(Mr Robot, 2015)

0 comments :

Subscribe to: Posts ( Atom )