A Little Note

Sistem berbasis Web yang rentan terhadap Denial of Service

meylee — Fri, 30 Sep 2011 16:20:02 +0000

Triggered (again) by Mr. Budi Rahardjo (thanks sir ), di tulisan kali ini akan dibahas dan mencoba melakukan sedikit “percobaan” tentang apa itu Denial of Sevice (DoS). Kenapa dalam tanda kutip? karena percobaan kali ini belum dikategorikan mewakili tindakan sebenarnya dari DoS Attack :p hanya salah satu dari beberapa cara yang memang sudah banyak dilakukan, ok than sebelum kemana-mana sebaiknya di definisikan sedikit apa itu DoS.

Kalau diartikan secara harfiah DoS adalah “Penolakan Layanan”.
Dalam dunia internet, Denial of Service adalah suatu serangan yang bertujuan untuk mencegah pihak yang berwenang untuk mengakses sistem tersebut atau memperberat beban kerja suatu sistem sehingga performanya menjadi lambat atau bahkan tidak berfungsi sama sekali (crash).

Secara umum ada 2 cara melakukan serangan DoS : [1]
1. Dengan Mematikan Server/Sistem, tujuan serangan ini adalah membuat sistem/server crash, reboot, shutdown, atau “not responding”. Serangan ini menghasilkan kerusakan yang sifatnya persisten artinya kondisi DoS akan tetap terjadi walaupun attacker sudah berhenti menyerang, server baru normal kembali setelah di-restart/reboot. Bagaimana serangan DoS ini dilakukan? yaitu denganmenggunakan bug atau kelemahan “vulnerability” yang ada di sistem tersebut, namun membutuhkan suatu request/paket khusus yang di desain sesuai bug sistem tersebut, contohnya Ping of Death ( CA-1996-26 ) dll
2. Dengan Menyibukkan Server/Sistem, serangan ini tidak mematikan sistem/server, bersifat sementara dan server akan kembali normal bila attacker berhenti mengirimkan request yang membuat sibuk server, yaitu :

Menggunakan bug/vulnerability, merupakan serangan dengan malicious request/packet, serangan ini memanfaatkan bug yang membuat sistem berlebihan dalam menggunakan resource yang ada (cpu, memory, dsb) dilakukan dengan melakukan banyak request dan setiap request tersebut membuat server mengambil resource lebih banyak dari request yang normal. Contohnya : TCP SYN Flood DoS
Tanpa bug/vulnerability, serangan yang dilakukan dengan mengirimkan normal request sebanyak-banyaknya sehingga server menjadi sibuk namun adalah request yang normal seperti yang dilakukan pengguna biasa, sistem tidak mengonsumsi resource berlebihan namun hanya menyebabkan sistem menjadi error (tidak permanen) atau mengalami “hang” selama beberapa waktu

Nah, apa yang saya coba?
Tentu saja hal yang tidak berbahaya, hanya bertujuan melakukan sedikit riset terhadap beberapa website di Indonesia yang rentan terhadap serangan DoS yang PALING SEDERHANA tanpa bug/vulnerability, menggunakan : Out Bound of Array yaitu dengan menginput banyak karakter pada kolom yang tersedia di web tersebut (misal kolom login, search, dll), tanpa bahasa pemograman web tertentu maka hal ini akan mengakibatkan sistem menjadi error atau hang beberapa waktu, dan tentu saja akan kembali stabil ketika kita me-refresh kembali. Tidak berbahaya kaaan? . Saya akan mencoba mencari beberapa website dan menginput sekitar 20.000 karakter (21.635 tepatnya) untuk melihat respon dari web-web tersebut.

Target saya adalah : Website Pemerintahan Indonesia, Search Engine, Website komunitas di Indonesia dan Web bank-bank di Indonesia

1. Website Pemerintahan

Ternyata cukup banyak web pemerintahan telah di desain dengan baik untuk serangan jenis ini, ada beberapa web yg tidak menyediakan kolom login dan membatasi karakter untuk kolom search. Atau jika adapun ternyata tidak menyebabkan sistem error dan menghasilkan result “username dan password anda salah”, good job *coba dengan serangan lain yang lebih sulit tentunya ya untuk mengetes kehandalan nya :p*. Ada beberapa yang ternyata rentan juga, seperti :

Web Perpustakaan Kementerian PAN (perpus.menpan.go.id)

Gb.1 Sebelum di eksekusikan 20.000 karakter di dalamnya

Gb. 2 Setelah dieksekusi dan muncul tampilan error

Pembahasan : Tampilan error tersebut menjelaskan bahwa Panjang URL yang diminta melebihi batas kapasitas untuk server tersebut

Website Departemen Pertanian (deptan.go.id)

Gb 3. Sebelum di input karakter dalam jumlah besar kedalam kolom searchnya

Gb. 4 Tampilan setelah di eksekusi

Pembahasan : Kode error 414 tersebut sama dengan penjelasan error pada gambar sebelumnya yaitu dimana panjang URL melebihi kapasitas server tersebut, namu pencarian pada web deptan ini ternyata menggunakan search engine google dan akhirnya membuat saya mencoba apakah google rentan terhadap DoS (tidak terpikir sebelumnya, saya pikir pasti google sudah antisipasi)

2. Search Engine

Google (www.google.co.id)

Gb. 5 Halaman google sebelum dieksekusi

Gb. 6 halaman google setelah eksekusi Large Character

Pembahasan : Yap, diketemukan error pada percobaan kali ini, tapi yang menarik adalah 20.000 input karakter yang saya masukkan langsung dibatasi oleh sistem google dengan hanya menjadi sekitar 2000 karakter, namun ternyata belum menjamin terjadinya error setelah di eksekusi. Mungkin karena google ingin menfasilitasi para usernya yang ingin mencari kalimat yang panjang, tapi sepertinya jarang sekali user yang memang ingin mendapatkan result dengan keyword sepanjang 2000 karakter yah ? *diluar saya tentunya*

3. Web Komunitas (Forum) di Indonesia

Forum Kaskus Online (www.kaskus.us)

Gb 7. Halaman kaskus sebelum diinput large character

Gb 8. Tampilan halaman setelah dieksekusi

Gb 9. Tampilan halaman sekitar 5 detik setelah tampilan error

Pembahasan : Kaskus merupakan website komunitas berbentuk forum yang terbesar di Indonesia, saya agak ingin tahu sedikit kira-kira kalau di input 20 ribu karakter di kolom login, passpord atau search nya gimana hasilnya yah *di gambar diatas yg saya crop hanya saat mengisi kolom search namun hasil yang sama akan didapatkan jika di kolom login, password atau kombinasi keseluruhannya, kalau ga percaya coba sendiri deh :p*.

Hasil yang didapatkan rangkaian baris error yang cukup banyak, seperti warning pada listing program yang terjadi error di dalamnya. Saya belum memahami arti error tersebut, mungkin akan saya coba bahas di tulisan yang berbeda. Namun sekitar 5 detik setelah kemunculan halaman error tersebut, muncul halaman tersendiri yang menyebutkan bahwa ”Kaskusnya kepenuhan” dan akan bertahan seperti itu terus sampai kita refresh.

Ternyata kaskus juga rentan yah, tapi diatasi dengan forwarding halaman yang error tersebut ke halaman penjelasan over posting, para kaskuser sudah biasa melihat halaman ini karena memang kaskus sering kepenuhan dan mereka tidak noticed bahwa memang ada error yang mungkin disebabkan oleh serangan DoS di web favoritnya.

4. Website bank-bank Indonesia

Bank Mandiri (www.bankmandiri.co.id)

Gb. 10 Setelah diinput 20 ribu karakter pada kolom login dan password e-banking mandiri

Hasil : Tidak terjadi apa-apa , karena sistem e-banking mandiri langsung membatasi 10 karakter pada user dan 6 karakter pada password.

Pembahasan : Sepertinya layanan e-banking mandiri sudah mengantisipasi berbagai serangan, apalagi yang biasa-biasa saja seperti ini . Lalu saya mencoba berbagai layanan e-banking bank lain terutama bank-bank yang saya pakai fasilitas e-bankingnya dan ternyata hasilnya sama seperti bank mandiri. Pfiiuhh saya cukup lega karena saya kan nasabah dan pengguna e-banking yang cukup aktif dan setia, minimal kalau tidak lupa perpanjang domain :p maka web e-banking ini tidak akan error jika ada serangan sederhana dan simple seperti ini hehehehe…

Sekali lagi saya terangkan bahwa “percobaan” ini tidak berbahaya dan ”educative purpose only”, lebih kearah menguji kehandalan sebuah sistem atau website dari sebuah cara yang termasuk paling sederhana. Hal ini utamanya agar kita sebagai pengguna internet lebih dapat meningkatkan security awareness kita.

Referensi :

[1] R. Wicaksono, Memahami Serangan Denial of Service, http://www.ilmuhacking.com/web-security/memahami-serangan-denial-of-service/. Diakses tanggal 30 September 2011.

3 Insiden IT di Indonesia

meylee — Thu, 22 Sep 2011 02:24:27 +0000

Masalah keamanan informasi merupakan salah satu issue yang menarik beberapa tahun belakangan ini, lebih menarik karena muncul berbagai kasus yang berhubungan dengan hal tersebut, dimulai dari phising, hacking, penipuan menggunakan internet dan banyak hal lain nya, hal-hal besar yang terjadi tahun ini di beberapa negara antara lain pembobolan situs FBI, CIA, PS3 Network dan lainnya, di Indonesia ada beberapa kasus yang cukup menarik, antara lain
KASUS Pembobolan situs pemerintahan, berikut beberapa pemberitaan media tentang pembobolan situs pemerintahan di Indonesia

1. Pembobolan situs POLRI
Source : http://www.detikinet.com/read/2011/05/16/172347/1640925/323/situs-polri-dibobol-hacker

Senin, 16/05/2011 17:24 WIB
Situs Polri Dibobol Hacker
Trisno Heriyanto – detikinet

Screenshot situs Polri (inet)

Jakarta – Ada yang aneh pada situs resmi Kepolisian Negara Republik Indonesia (Polri), di dalamnya terselip sebuah halaman yang isinya jauh dari konteks lingkup yang diurus sang pihak berwajib.
Ketika disambangi detikINET, Senin (16/5/2011) sekitar pukul 17.20 WIB, halaman utama situs Polri tidak bisa diakses tanpa sebab. Namun pada bagian tertentu, masih ‘hidup’ dengan konten berbau agama.
Selain menampilkan pesan teks bernuansa agama, di dalam situs tersebut juga menampilkan sebuah gambar dan video yang dihubungkan ke YouTube dengan pesan sejenis.
Belum jelas apa motif melakukan aksi ini, hingga kini halaman asing tersebut masih bernaung di bawah situs beralamat www.polri.go.id itu.
Pelaku pun tidak meninggalkan pesan untuk menyisakan rekam jejaknya, sepertinya yang biasa dilakukan para peretas ketika menyusup suatu situs.
( eno / ash )

2. Pembobolan situs Lemhanas
Source : http://www.detiknews.com/read/2011/05/18/223148/1642001/10/setelah-polri-kini-situs-lemhannas-juga-dibajak-hacker

Rabu, 18/05/2011 22:31 WIB
Setelah Polri, Kini Situs Lemhannas Juga Dibajak Hacker
Hery Winarno - detikNews

Jakarta – Setelah situs Mabes Polri, kini giliran situs Lembaga Ketahanan Nasional (Lemhannas) yang dibajak hacker. Dalam situs resmi Lemhanas itu, di dalamnya terselip sebuah laman yang isinya tidak berhubungan dengan Lemhannas.
Ketika disambangi detikcom, Rabu (18/5/2011) sekitar pukul 21.20 WIB, halaman utama situs Lemhannas di alamat http://www.lemhannas.go.id/index_hack.html bisa diakses secara normal. Tetapi pada bagian tertentu, di sisipi kritikan bertuliskan.

“Pembobol web polri mau di buron? kapan majunya negri ini ? Berdayakan org2 seperti itu !!! bukan di uber seperti maling !!! setidak nya dengan begitu kalian tau kelemahan nya !!! bagaimana klw di bobol orang luar yg tidak bertanggung jawab !!!
WOW web dpr menghabiskan dana milyaran ?? bapak KPK yg terhormat tolong di audit tuh !!!
web tak sekelas facebook or twitter yg di access dunia setiap hari kok sampai milyaran biaya pembuatan nya !!!
NOTE to roy suryo: Rendah kan Hati Elok Berbudi Belum Bertaji Usah Kau Berkokok

Selain menampilkan pesan teks bernuansa kritikan kepada Polri, dan DPR, di dalam situs tersebut juga menampilkan sebuah gambar sayap malaikat berwarna putih dengan lingkaran menyerupai cincin di tengahnya. Belum jelas siapa hacker yang menyerang situs ini, namun si hacker menyebut dirinya sebagai silent assassin.
“I am The silent assassin Nothing Impossible in This World even Nobody`s Perfect. Hacking Is Art,” tulisnya di baian bawah laman tersebut.
Belum jelas apa motif melakukan aksi ini, hingga kini halaman asing tersebut masih bernaung di bawah situs beralamat www.Lemhannas.go.iditu.(her/gah)

3. Pembobolan situs Pertamina
Source :http://www.detikinet.com/read/2011/05/19/104928/1642239/398/giliran-situs-pertamina-disambangi-hacker?nd991103605

Kamis, 19/05/2011 10:57 WIB
Giliran Situs Pertamina Disambangi Hacker
Fajar Widiantoro – detikinet

Setelah situs Kepolisian Republik Indonesia (Polri) dan Lemhanas dibobol hacker, kini giliran situs Pertamina menjadi sasaran para dedemit maya. Apa isi pesannya?
Ketika disambangi detikINET, Kamis (19/5/2011) sekitar pukul 10.00 WIB, halaman utama situs Pertamina (pertamina.com) memang bisa diakses. Pelaku hanya melakukan aksi deface pada link berikut: http://www.pertamina.com/indonesiaraya.html

“Tetap Bangga Menjadi Bangsa Indonesia Tanah Air Ku . Tanah Air Indonesia!!,” tulis pelaku ketika mendeface situs tersebut dengan gambar anak Indonesia dengan bendera merah putih.
Beberapa celah keamanan situs tersebut juga dikirim seorang pembaca kepada redaksi detikINET. Belum diketahui tujuan pasti para dedemit maya melakukan hal tersebut.
Pelaku deface sempat menyebutkan rasa terima kasihnya kepada beberapa kelompok berikut: kiLL-9 CrEw And IndonesianCoder Team, Mc-CrEw, Pekalongan-Cyber, JatimCom, Hacker-newbie, Balikita Tarakan-Coder, Arumbia CrEw, JatimCrew , Surabayagetar,Motaroirhaby, KamTiEz, Hax0r, Herneva, Alex Rock, Keluarga Balikita, Xrobot, 1bL1ez, Kido Yur4k4, Jundab, bobyhikaru, bekasi0donk, onestree, Vampire, z0mbie , g3mb3ls, ladyZcute, Kenzhin, Debyangel, Goyangkarawang, TRavis, dan bUnKLon

4. Pembobolan situs Kominfo
Source : http://mdev.detik.com/read/2011/05/23/112341/1644556/323/situs-kominfo-pun-disusupi-hacker

Senin, 23/05/2011 11:32 WIB
Situs Kominfo Pun Disusupi hacker
Trisno Heriyanto : detikInet
detikcom – Jakarta, Setelah situs Polri, Lemhanas, dan Pertamina, kini giliran situs Kementrian Komunikasi dan Informatika (Kominfo) yang disusupi hacker.

Situs yang beralamatkan di www.depkominfo.go.id itu memang masih bisa diakses seperti biasa, namun di dalamnya ternyata terselip sebuah halaman khusus dari peretas.
Ketika disambangi detikINET, Senin (23/5/2011), sekitar pukul 11.17 WIB situs tersebut meninggalkan pesan dari sang pelaku yang menyatakan kekecewaanya dengan kinerja Kominfo.

“Namun kenyataannya kalian terlalu malas untuk membenahi
apa yg kalian miliki dan selalu ingin melakukan/terlihat
yg terhebat di depan publik, no.. you’re not!
Kami YOGYACARDERLINK dengan senang hati memberikan kalian
sebuah _FREE_FULL_SECURITY_AUDIT_ agar kalian semakin
terlihat hebat di hadapan publik
Well, we gonna have fun now
Letz begin…,” tulis pelaku pada situs http://xxxxxx.depkominfo.go.id/xxx.txt

Hacker yang mengaku dari komunitas YOGYACARDERLINK itu juga mengklaim telah mendapatkan akses root dari situs kominfo. Ini berarti, pelaku bisa dengan mudah menghapus semua data di server, atau menjadikannya sebagai komputer ‘zombie’.

————————————————————

Pembobolan situs pemerintahan ini telah terjadi pada tahun-tahun sebelumnya, kasus yang cukup menarik adalah pembobolan situs KPU pada saat pelaksanaan pemilu. Perlu peningkatan security awareness pada pemerintahan yang merupakan unsur inti negara.
Situs-situs biasanya hanya berisi informasi umum, namun bagaimana dengan teknologi yang berisi informasi-informasi strategis negara? Dan apa seorang hacker akan mempublish informasi strategis yang ia dapatkan sehingga kita bisa tahu jika sistem kita dihacking seperti web diatas? Pertanyaan retorik atau butuh jawaban?

Fundamental of Cryptographic Hash Function

meylee — Wed, 05 Mar 2008 04:10:59 +0000

Sebenarnya ini bukan pertama kalinya aku belajar tentang Hash Function, berawal dari suatu project dan aku memutuskan untuk mengkhususkan diri di sini setelahnya. Memang masih banyaaak yang belum aku tau, tapi ga ada salah nya memulai walau sudah terlambat . Sempat membuat suatu tulisan kecil dan di terbitkan di ezine echo (sudah lupa ezine yg keberapa.. hehehe.. cek dulu ah di echo.or.id). Tapi disini akan dimulai lagi dari awal deh, dan nyuplik dikit dari tulisan ku yg itu hehehe..

Dalam dunia kriptografi, hash function bukan merupakan suatu barang yang baru. Merupakan salah satu cabang dalam kriptografi, hash function memiliki daya tarik tersendiri dikarenakan cukup banyak aplikasi yang menggunakan hash function dalam penerapannya. Hash function digunakan sebagai autentikasi, integritas dan digital signature, salah satu aplikasinya yaitu penggunaan password dalam aplikasi digital atau internet.

Cryptographic Hash Function adalah suatu fungsi dengan inputan yang berubah-ubah panjangnya (atau sangat panjang) dan memetakannya sehingga menghasilkan output yang pendek dan panjang nya tetap.

Pada aplikasi kriptografi, hash function dibedakan menjadi unkeyed dan keyed hash functions.

1. Unkeyed Hash Function (Manipulation Detection Codes = MDCs)

Hanya memerlukan satu parameter input, yaitu berita

2. Keyed Hash Function (Message Authentication Codes = MACs)

Menggunakan dua parameter input, yaitu berita dan kunci

Selanjutnya, Unkeyed hash functions atau MDCs yang akan dikenal sebagai Hash Functions.

Hash functions juga dapat digunakan untuk keamanan pada autentikasi berita yaitu dengan melakukan autentikasi dari hasil hash berita tersebut. Contoh sederhana misalnya proses komunikasi pengiriman file ukuran besar yang melalui jalur insecure, autentikasi yang dilakukan yaitu dengan mengirimkan hasil hash dari berita melalui jalur komunikasi biasa misalnya mail biasa atau melalui telefax.

Aplikasi hash functions yang umum adalah digital signatures yaitu aplikasi untuk menandatangani hasil hash dan hal ini jauh lebih baik daripada menandatangani berita aslinya, dan akan mendapatkan keuntungan keamanan sekaligus performance.

Dengan hash functions kita dapat membandingkan dua buah nilai tanpa harus membuka berita. Misalnya password dan passphrase.

Bagaimanakan penerapan hash function dalam sebuah password??

A adalah seorang user pada suatu aplikasi yang memerlukan proses autentikasi dalam hal ini password.

Aplikasi tersebut akan meminta input dari A kemudian dengan algoritma hash functions yang digunakan oleh aplikasi tersebut maka akan diubah inputan tersebut menjadi suatu output yang unik dan dengan suatu panjang tertentu. Tidak ada satupun output atau hasil hash functions dalam aplikasi tersebut yang nilainya sama.

Selanjutnya, aplikasi tersebut hanya akan mencocokkan hasil output setiap kali user A login dengan database yang ia punya.

Bagaimanakan penerapannya dalam digital signatures??

Sebuah digital signatures digunakan sebagai fungsi integritas suatu berita atau data yang dikirim. Apakah berita itu asli? Adakah kekurangan dalam berita tersebut?

Inputan dalam algoritma Hash Function dapat berubah-ubah panjangnya (atau sangat panjang) untuk kemudian menghasilkan output yang panjang nya tetap (misalnya 128 bit, 256 bit).

User A ingin mengirimkan sebuah berita kepada user B, sebelumnya user A mencari digital signatures berita yang telah terenkripsi dengan menggunakan suatu algoritma hash function. Dan mengenkripsi digital signature tersebut.

Kemudian user A mengirimkan berita dan digital signature berita yang keduanya telah di enkripsi tersebut kepada user B.

User B akan menerima berita yang telah terenkripsi dan digital signature dari user A.

Langkah pertama, user B akan mendekripsi digital signature tersebut. Kemudian ia mencari nilai hash dari berita yang telah terenkripsi untuk kemudian dicocokkan dengan digital signature berita tersebut. Jika hasil nya sama, maka berita tersebut asli, dan berita tersebut terjamin keutuhannya. Jika hasilnya berbeda maka integritas berita tersebut patut dipertanyakan. Karena perbedaan satu huruf pada inputan hash function akan menghasilkan nilai hash yang jauh berbeda. Sehingga kita dapat melihat integritas atau keaslian berita tersebut tanpa harus membuka berita tersebut.

First Note

meylee — Wed, 05 Mar 2008 04:10:02 +0000

Actually, this isn’t my first blog, but.. the third !!

The first blog for my tiny projects of learning and studying

and trying to make a note for it.

So, it isn’t perfect at al.

Than lets begin..