Pertama sekali Mat ingin mengucapkan Selamat Menyambut Ramadhan Al-Mubarrak kepada rakan pembaca Mat, Sudah lama rasanya Mat tidak mencoret di dalam blog ini. Kalau sebelum ini Mat ada menceritakan tentang salah hantar email yang dinamakan unSend.it. Satu aplikasi yang Mat rasakan ianya boleh disalahgunakan oleh pihak tertentu untuk niat yang tidak baik. Pada pagi ini, Mat ada menerima satu email daripada pengeluar aplikasi tersebut. Email yang bertajuk, "Soon, You'll Be Able To 'Unsend' Your Text Messages!". Pertama kali Mat membaca email ini, Mat terbayang akan situasi yang akan berlaku pada masa akan datang. Jika dahulu team forensic akan mencari bukti berdasarkan email dan juga sms jika mereka menemui bahan bukti seperti telefon bimbit mahupun komputer. Jika aplikasi ini wujud pada masa akan datang, team forensic akan menghadapi kesulitan dalam menyelesaikan sesuatu kes kerana bahan bukti yang ada telah pun diubah. Situasi ini dipanggil "data tempered".
Setiap aplikasi yang dibangunkan mempunyai satu matlamat iaitu untuk membantu pengguna dalam mengatasi masalah yang dihadapi. Tidak salah sebenarnya aplikasi seperti ini dibangunkan, cuma bagi sesetengah pihak ia akan disalahgunakan dan juga akan mengundang lebih banyak masalah pada masa akan datang. Mat tertarik dengan satu quote dari rancangan tv yang Mat tonton, "Life is like a binary, its either 1 or 0. If you choose 1 then its consider as Yes and if you choose 0, then its consider as No",(Mr Robot, 2015)
Assalamualaikum dan salam sejahtera. Rasanya sudah lama Mat tidak berkongsi sesuatu dalam blog ini. Sibuk dengan kerja dan tidak sempat untuk mencoret dalam blog Mat ini. Hari ini Mat akan kongsikan dengan rakan pembaca sekalian tentang kod pengaturcaraan. Mat bukanlah seorang "programmer" tapi Mat tahulah serba sedikit tentang "coding". Dalam sekuriti, Mat sering kali juga terlibat dengan secara tidak langsung dengan "coding". Pernahkan rakan pembaca sekalian terfikir, kita bersusah payah, bertungkus lumus untuk menyiapkan satu sistem laman web contohnya. Tetapi, terdapat segelintir orang yang senang lenang untuk menyalin kod tersebut tanpa pengetahuan kita. Mesti rasa sakit hati kan.
Dalam sekuriti, terdapat satu istilah yang di panggil "encrypt" ataupun dalam Bahasa Melayu ianya dipanggil menyulitkan. Hari ini Mat akan tunjukkan bagaimana untuk rakan pembaca melindungi kod yang anda tulis dengan menggunakan teknik "encrypt" ini. Sebelum itu, mari kita lihat dahulu, apa itu HTML ataupun Hyper Text Markup Language. Terdapat pelbagai jenis "coding" selain dari HTML, seperti PHP,ASP.net,VB.net,JavaScript dan lain lain lagi. Dibawah ini Mat sediakan contoh HTML yang mudah untuk rakan pembaca paham apa itu HTML.
<!DOCTYPE html>
<html>
<head>
<title>Page Title</title>
</head>
<body>
<h1>This is a Heading</h1>
<p>This is a paragraph.</p>
</body>
</html>
Kalau kita lihat contoh "coding" diatas, itu adalah contoh HTML yang biasa yang tidak di "encrypt". Untuk teknik ini, ia akan tukarkan HTML tersebut kepada JavaScript punya "coding". Setelah Mat mencuba, terdapat dua hasil encrypt tersebut. Yang pertama "code" anda akan kelihatan seperti ini,
<script><!--document.write(unescape("%3C%21DOCTYPE%20html%3E%0A%3Chtml%3E%0A%3Chead%3E%0A%3Ctitle%3EPage%20Title%3C/title%3E%0A%3C/head%3E%0A%3Cbody%3E%0A%0A%3Ch1%3EThis%20is%20a%20Heading%3C/h1%3E%0A%3Cp%3EThis%20is%20a%20paragraph.%3C/p%3E%0A%0A%3C/body%3E%0A%3C/html%3E"));//-->
</script>
Kalau kita lihat "coding" diatas ini, Kita masih boleh lihat terdapat "plaintext" yang masih boleh dipaham untuk dibaca. Ianya bukan lah teknik "encryption" yang baik. Sekarang kita akan lihat contoh yang kedua,
<Script Language='Javascript'><!--document.write(unescape('%3C%21%44%4F%43%54%59%50%45%20%68%74%6D%6C%3E%0A%3C%68%74%6D%6C%3E%0A%3C%68%65%61%64%3E%0A%3C%74%69%74%6C%65%3E%50%61%67%65%20%54%69%74%6C%65%3C%2F%74%69%74%6C%65%3E%0A%3C%2F%68%65%61%64%3E%0A%3C%62%6F%64%79%3E%0A%0A%3C%68%31%3E%54%68%69%73%20%69%73%20%61%20%48%65%61%64%69%6E%67%3C%2F%68%31%3E%0A%3C%70%3E%54%68%69%73%20%69%73%20%61%20%70%61%72%61%67%72%61%70%68%2E%3C%2F%70%3E%0A%0A%3C%2F%62%6F%64%79%3E%0A%3C%2F%68%74%6D%6C%3E'));//--></Script>
Jika kita lihat contoh yang kedua, teknik yang digunakan lebih teratur dan setiap "code" di "encrypt" dengan begitu baik sekali. Tidak terdapat plaintext di dalam "coding" tersebut. Terdapat servis "online" untuk menggunakan teknik "encryption" ini. Rakan pembaca yang berminat boleh mecubanya di
encypter.
Email merupakan salah satu pengantara yang penting dalam sesebuah organisasi. Kadang kadang setiap orang terpaksa membaca dan membalas email yang banyak setiap hari. Letih bukan situasi begini. Mungkin ada di antara pembaca pernah tersalah hantar email. Mesti pembaca sekalian berasa sangat tertekan dengan situasi ini. Email yang penting tapi kita tersalah hantar. Bak kata orang tua tua, terlajak perahu boleh undur, terlajak (kata)email buruk padahnya. :)
Disini Mat akan kongsikan, bagaimana untuk kita edit email yang telah dihantar. Kita bukan sahaja dapat edit semula email yang telah dihantar, Kita juga dapat delete email tersebut. Oleh itu kita dapat menghantar email yang baru kepada penerima email tersebut. Penerima masih dapat melihat email tersebut masuk, cuma mereka tidak dapat melihat apakah isi kandungan di dalam email tersebut. Menarik bukan? kita semua adalah manusia yang tidak mungkin sempurna dalam apa jua keadaan, walaupun dalam keadaan yang berjaga jaga, kita masih tidak dapat elakkan suratan dan takdir yang bakal berlaku. ceewahhh... bersastera pulak Mat petang petang yang dingin ini.
Perisian yang akan Mat kongsikan ini adalah unSend.it. Rakan pembaca boleh register dan follow cara cara untuk setup didalam email pembaca sekalian. Akan tetapi, servis yang percuma ini terdapat beberapa kekurangannya seperti kita hanya dapat menghantar sebanyak 50 email sahaja sehari, terdapat iklan di dalam email yang kita hantar dan terdapat send via sendgrid.net. Untuk menghapuskan segala iklan dan segala free features ini, rakan pembaca boleh melanggan servis ini dengan kadar serendah $5 sebulan untuk mendapat features ini;
Upgrade today to get the best out of unSend.it. The subscription only costs $5 / month. That is less than two tall lattes in Starbucks.
Key benefits:
- Unlimited emails / day (our free members can only send 50 / day)
- No unSend.it branding or third-party ads in emails
Dalam sekuriti, perkara seperti ini adalah amat berbahaya sebenarnya. Ia di namakan non-repudiation. Non repudiation ini adalah seseorang tidak boleh mengatakan tidak kepada tindakan yang telah beliau lakukan. Akan tetapi dalam hal ini, penghantar email boleh mengatakan tidak kepada email yang beliau hantar kepada penerima. Dengan ini maka terbatallah elemen sekuriti di dalam email tersebut. Seseorang boleh memutar belit kata katanya di dalam email apabila si pembaca telah reply email kepada si penghantar email ini. Mat sekadar berkongsi ilmu untuk digunakan kepada jalan kebaikan, terpulang kepada pembaca sekalian untuk menggunakan ilmu yang dikongsi ini kepada jalan yang lurus atau bengkang bengkok. :)
Assalamualaikum
dan Selamat Pagi, Semalam Mat ada terbaca mengenai satu tajuk berita yang
menarik dalam Berita Harian. Tajuk yang Mat rasa menarik untuk dikongsi kepada
rakan pembaca blog Mat neh. 5 Minit Godam Data Agensi Kerajaan. Bagi yang tidak
mengetahui situasi sebenar kenapa perkara seperti ini masih terjadi pada tahun
2015 yang serba maju dari segi teknologi dan sekuriti. Jawapannya hanya lah
satu iaitu kesedaran pengguna terbabit. Dalam hal ini, pihak kerajaan sendiri
pandang enteng masalah tersebut.
Mat
pernah terlibat dalam beberapa projek yang melibatkan agensi kerajaan untuk
menguji selia tahap sekuriti bagi sistem rangkaian dan sistem aplikasi yang
digunakan oleh mereka. Terus terang Mat boleh katakan hampir semua tidak
menepati piawaian polisi sekuriti yang sedia ada. Setiap agensi kerajaan
mempunyai polisi sekuriti yang perlu di patuhi. Antara yang paling mudah
adalah, kata kunci perlulah mempunyai lebih dari 8 abjad dan huruf berserta
karakter unik. Rata rata pengguna masih menggunakan kata kunci yang mudah untuk
dihafal maklumlah kerana kebanyakkan pekerja adalah dari golongan yang berumur
35 tahun keatas. Bagi mereka susah untuk menghafal kata kunci yang rumit. bagi
sesetengah agensi yang betul betul mematuhi polisi sekuriti yang ditetapkan
pula, pekerja sering menulis kata kunci mereka pada nota tampal dan tampal di
dinding kubikel atau pada laptop seperti ini. Ini tidak mustahil untuk 5 minit godam data kerajaan.
Bagi
pengodam, teknik ini dipanggil social engineering. Mereka akan meninjau keadaan
sekeliling kubikel mangsa dan mencatat apa sahaja maklumat penting yang boleh
digunakan sebagai kata kunci untuk mengakses kepada sistem komputer mangsa.
Jika kata kunci ditampal sebegini, ini akan memudahkan lagi usaha pengodam
untuk mendapatkan maklumat yang dikehendaki selain daripada tarikh hari lahir,
no plat kereta, dan lain lain lagi.
Masalah
ini juga terjadi kerana sistem rangkaian dan sistem aplikasi tersebut tidak di
kawal selia dengan sebaiknya. Bagi server administrator dan network
administrator, tugas mereka adalah untuk memantau setiap sistem di bawah mereka
berada pada keadaan yang optimum untuk mengelakkan masalah digodam ini berlaku,
tetapi kadang kadang mereka ambil mudah pekara ini dengan meletakkan default
password pada username admin ataupun default password bagi setiap perkakasan.
Yang lebih teruk Mat pernah jumpa, no password. Mat pernah jalankan satu tugas
yang dinamakan security posture assessment, bagi tugas ini, Mat dikehendaki
untuk mencuba apa cara untuk memecah masuk kedalam sistem aplikasi dan sistem
rangkaian mereka. Hampir semua sistem boleh diceroboh dengan mudah. Tidak
sampai separuh hari, Mat sudah boleh mengawal sistem mereka, bagi pengodam yang
professional, tidak mustahil masa yang diambil hanyalah 5 minit godam data kerajaan!
