Showing posts with label 5 Minit Godam Data Kerajaan. Show all posts

Hacking adalah satu jenayah?



Assalamualaikum & Salam Sejahtera semua, Rasanya sudah lama Mat menyepi dalam blog ini. Alhamdulillah. semak sedikit statistik, masih ada juga pembaca yang berkunjung ke blog Mat ini. So, pagi ini Mat berhasrat untuk berkongsi satu kisah tentang hacking. Hacking ini satu jenayah ke? habis tu ada agensi yang menggunakan teknik hacking untuk mendapatkan maklumat apa semua? macam mana pula kiranya. Teknik yang sama digunakan, hacking, tetapi berapa ramai yang hacking secara beretika?

Apa? cuma etika sahaja yang membezakan baik dan buruk? pelik bukan?. Ya itu lah hakikatnya. jika anda benar benar berminat untuk menjadi seorang hacker, tetapi memikirkan tentang kesalahan yang akan dilakukan, So, adalah lebih baik untuk memperoleh "lesen" sebelum melakukan aktiviti seperti ini.

Terdapat pelbagai agensi yang menyediakan sijil dan lesen untuk hacker supaya mereka menjadikan hacker ini sebagai satu kerjaya yang sah dan halal bak kata sesetengah orang. Diantara agensi yang menyediakannya adalah eccouncil, Dengar khabar, eccouncil sudah menamatkan perkhidmatannya di Malaysia. Tidak pula ketahui punca sebenar dari mereka.

Disini Mat nak berkongsi 5 laman web yang boleh pembaca sekalian untuk belajar hacking. Boleh mencuba, tetapi pastikan tidak melampaui batas. Gunakan ilmu yang diperoleh di jalan yang betul. Tahu apa yang anda lakukan. Paling penting, Beretika.

1 - http://www.hacking-tutorial.com/
2 - http://www.evilzone.org/
3 - http://hackaday.com/
4 - http://www.hackinthebox.org/
5 - http://www.hackthissite.org/
5 Minit Godam Data Kerajaan

Jual Data Kerajaan, Salah Siapa?


Assalamualaikum dan Salam Sejahtera semua rakan pembaca blog Mat,

Sebelum ini, Mat ada kupaskan mengenai 5 minit godam data kerajaan, Hari ini, Mat akan bercerita mengenai isu yang lebih kurang sama dengan isu tersebut, tetapi ia lebih kepada "violation of data privacy". Data merupakan satu sumber yang amat bernilai, jika ianya jatuh kepada tangan yang salah maka buruk lah padahnya nanti. Dalam situasi kali ini, Mat terbaca post dalam satu page facebook tentang penjualan data peribadi yang melibatkan pelajar lepasan SPM yang gagal untuk memasuki institusi pengajian tinggi awam. Jika dilihat, perkara ini mungkin terlalu remeh untuk diambil tindakan kerana ia melibatkan data pelajar, yang tidak mempunyai apa apa kepentingan. Tetapi jika data seperti ini dijual kepada pihak yang memerlukan, maka terjadilah lambakan surat tawaran daripada institusi pengajian tinggi swasta didalam peti surat rumah mereka dan juga privasi mereka mungkin terganggu dengan tawaran demi tawaran untuk melanjutkan pelajaran melalui panggilan telefon.



Jika ada yang menjual data ini, daripada mana pula mereka perolehi data tersebut? Adakah data tersebut diperoleh dari orang dalam atau data yang di digodam seperti post Mat sebelum ini yang penggodam hanya mengambil masa selama 5 minit untuk menggodam data kerajaan. Mat pernah terlibat dengan satu projek penetration testing yang melibatkan sebuah hospital, tidak perlu Mat nyatakan ianya hospital swasta ataupun hospital kerajaan. Masa itu Mat amat terkilan dengan hasil yang Mat perolehi. segala data pesakit disimpan dalam bentuk plaintext termasuklah nombor kad kredit dan segala maklumat peribadi pesakit. Mat terfikir, adakah semua ini salah developer sistem tersebut yang membiarkan data lebih dari 1gb disimpan dalam bentuk plaintext? ataupun salah organisasi yang mengupah mereka kerana tidak menyatakan security baseline yang perlu developer patuhi.

Di Malaysia terutamanya, tidak mempunyai kesedaran yang tinggi kerana data yang disimpan tidak dianggap bernilai, jika mereka mengambil serius perkara ini, masalah ini mungkin dapat dikurangkan. jika sesuatu sistem tidak begitu secure tetapi jika database nya di encrypt, pengodam akan mengalami masalah untuk melihat isi kandungan data tersebut walaupun mereka mempunyai akses kepada sistem. Akan tetapi, untuk encrypt segala data didalam database, haruslah mempunyai pengetahuan yang tinggi kerana Database encryption can add a valuable layer of security to critical data stores, but only if the encryption is done well (sumber dari darkreading.com). Boleh rujuk untuk lebih lanjut mengenai database encryption.
5 Minit Godam Data Kerajaan

5 Minit Godam Data Kerajaan


Assalamualaikum dan Selamat Pagi, Semalam Mat ada terbaca mengenai satu tajuk berita yang menarik dalam Berita Harian. Tajuk yang Mat rasa menarik untuk dikongsi kepada rakan pembaca blog Mat neh. 5 Minit Godam Data Agensi Kerajaan. Bagi yang tidak mengetahui situasi sebenar kenapa perkara seperti ini masih terjadi pada tahun 2015 yang serba maju dari segi teknologi dan sekuriti. Jawapannya hanya lah satu iaitu kesedaran pengguna terbabit. Dalam hal ini, pihak kerajaan sendiri pandang enteng masalah tersebut. 

Mat pernah terlibat dalam beberapa projek yang melibatkan agensi kerajaan untuk menguji selia tahap sekuriti bagi sistem rangkaian dan sistem aplikasi yang digunakan oleh mereka. Terus terang Mat boleh katakan hampir semua tidak menepati piawaian polisi sekuriti yang sedia ada. Setiap agensi kerajaan mempunyai polisi sekuriti yang perlu di patuhi. Antara yang paling mudah adalah, kata kunci perlulah mempunyai lebih dari 8 abjad dan huruf berserta karakter unik. Rata rata pengguna masih menggunakan kata kunci yang mudah untuk dihafal maklumlah kerana kebanyakkan pekerja adalah dari golongan yang berumur 35 tahun keatas. Bagi mereka susah untuk menghafal kata kunci yang rumit. bagi sesetengah agensi yang betul betul mematuhi polisi sekuriti yang ditetapkan pula, pekerja sering menulis kata kunci mereka pada nota tampal dan tampal di dinding kubikel atau pada laptop seperti ini. Ini tidak mustahil untuk 5 minit godam data kerajaan.


Bagi pengodam, teknik ini dipanggil social engineering. Mereka akan meninjau keadaan sekeliling kubikel mangsa dan mencatat apa sahaja maklumat penting yang boleh digunakan sebagai kata kunci untuk mengakses kepada sistem komputer mangsa. Jika kata kunci ditampal sebegini, ini akan memudahkan lagi usaha pengodam untuk mendapatkan maklumat yang dikehendaki selain daripada tarikh hari lahir, no plat kereta, dan lain lain lagi.

Masalah ini juga terjadi kerana sistem rangkaian dan sistem aplikasi tersebut tidak di kawal selia dengan sebaiknya. Bagi server administrator dan network administrator, tugas mereka adalah untuk memantau setiap sistem di bawah mereka berada pada keadaan yang optimum untuk mengelakkan masalah digodam ini berlaku, tetapi kadang kadang mereka ambil mudah pekara ini dengan meletakkan default password pada username admin ataupun default password bagi setiap perkakasan. Yang lebih teruk Mat pernah jumpa, no password. Mat pernah jalankan satu tugas yang dinamakan security posture assessment, bagi tugas ini, Mat dikehendaki untuk mencuba apa cara untuk memecah masuk kedalam sistem aplikasi dan sistem rangkaian mereka. Hampir semua sistem boleh diceroboh dengan mudah. Tidak sampai separuh hari, Mat sudah boleh mengawal sistem mereka, bagi pengodam yang professional, tidak mustahil masa yang diambil hanyalah 5 minit godam data kerajaan!
5 Minit Godam Data Kerajaan
Subscribe to: Posts ( Atom )