Beberapa waktu yang lalu saya sempat berharap cukup besar pada sepak terjang GOBBLES yang akan menantang matasano, dengan begitu mungkin akan membangkitkan kembali gairah di underground dan yang pasti…mendapatkan hiburan dari kreativitas penghuni underground. Tapi ternyata ZF0 lebih aktif dibandingkan blog GOBBLES yang tidak pernah diupdate, sedangkan matasano masih tetap update blog mereka (unless…saya yang ketinggalan berita).
Well, sekarang muncul lul-disclosure.net dengan style underground-nya. lul-disclosure menjadi tempat pembuktian LMH untuk local eksploit pada openbsd yang sebelumnya sempat dibicarakan oleh LMH di email ‘perpisahan’ yang dikirimkan pada mailing list daily dave. Eksploit yang diklaim telah lama beredar di underground ini melakukan eksploitas pada bugs lama openbsd, dan sekali lagi menunjukan kreativitas LMH selain hasil kreasinya pada web interface metasploit (msfweb of metasploit) yang menggunakan Ruby on Rails. Silahkan berpendapat masing-masing apakah LMH itu satu orang, atau sebuah group, atau individu-individu yang saling terpisah satu sama lain namum memanfaatkan kepopuleran LMH.
At least, mungkin lul-disclosure inc. bisa memberikan warna tersendiri untuk aktivitas underground berikutnya (setelah h0n0, el8, pHC, GOBBLES). Let’s see…
Call Tapping merupakan standar umum didunia telekomunikasi, termasuk telekomunikasi selular/GSM. Hal ini umumnya dilakukan pada sisi MSC.
Pada dunia wire-telecom alias telekomunikasi yang menggunakan kabel (non-wireless), tapping merupakan hal yang umum. Dan biasanya tapping dilakukan sebagai salah satu metode untuk debugging apabila terjadi gangguan. Banyak orang mengira bahwa komunikasi menggunakan telepon selular akan lebih aman dibandingkan komunikasi menggunakan telepon kabel, alasannya jelas sederhana…karena phreaking/hijacking menggunakan telekomunikasi selular lebih sulit dibandingkan hijack komunikasi yang menggunakan kabel. Selain peralatan sadapnya mahal, harus berhadapan dengan tehnik authentifikasi yang dilakukan mesin HLR. Walaupun saat ini skyper berhasil melakukan cracking A5 dengan bantuan FPGA, namun hal tersebut termasuk kompleks untuk diimplementasikan.
Cara paling mudah adalah melakukan tapping dari sisi operator. FYI, roll-out implementasi tapping pada jaringan selular di Indonesia telah dilakukan sejak tahun 2006 akhir, yang intinya adalah mengaktifkan feature Law Interception pada perangkat telekomunikasi, terutama MSC. Dalam dunia IP network, MSC bisa diibaratkan sebagai perangkat router. MSC akan mengendalikan proses call, routing, setup, dll. Dan feature Law Interception memang digunakan pada standar GSM untuk keperluan pemerintah.
Isu terorisme bisa dianggap sebagai akar dominan diberlakukannya Law Interception oleh operator-operator seluler seluruh dunia. Imam Mahdi a.k.a Abdul Aziz a.k.a Qudama yang dijadikan tersangka teroris yang melakukan pemboman di bali tahun 2002 ditangkap berkat pihak inteligent mendapatkan bantuan dari pihak asing (australia?!) untuk menyadap komunikasi selular imam mahdi. Berdasarkan keterangan yang beredar, Abdul Aziz menggunakan perangkat komunikasi khusus sehingga sulit untuk dilacak menggunakan metode Law Interception standar sehingga dibutuhkan perangkat khusus untuk mendeteksinya. Ada beragam metode yang digunakan utk tapping, mulai dari sisi yang paling dekat dengan subscriber (pengguna telepon) dengan memanfaatkan sinyal radio (wireless) ataupun dari sisi operator seperti yang telah disebutkan diatas.
Isu terorisme saat ini mungkin sudah bukan menjadi alasan utama dibeberapa negara, termasuk Indonesia. Namun feature tapping masih terus digunakan untuk berbagai macam kepentingan, mulai dari kepentingan negara dengan badan inteligence nya, maupun untuk kepentingan bisnis komersial. Salah satu contoh yang mudah untuk dilihat adalah fakta rekaman suara beberapa peserta koruptor yang menjadi berita di Indonesia saat ini. Dari beragam berita yang beredar, jelas kemungkinan sistem telekomunikasi yang di record adalah sistem telekomunikasi selular. Banyak orang yang merasa menggunakan handphone untuk berkomunikasi lebih aman, apalagi penggunaan kartu pra-bayar di Indonesia sangat sangat bebas dan mudah. Tinggal beli, registrasi asal-asalan, pakai, buang.
Selain menggunakan mekanisme tapping terhadap nomor-nomor tertentu, tapping juga bisa dilakukan terhadap cell tertentu dengan bantuan BSC (Base Station Controller). Cell disini bisa diperkirakan rumah target, atau tempat kerja target. Dengan location-based tapping semacam ini, maka walaupun target menggunakan no yang berbeda namun masih tetap dapat terlacak apabila ada aktivias komunikasi dari cell tersebut.
Paling tidak, setelah 2 tahun di roll-out akhirnya feature Law Interception digunakan dengan baik oleh pemerintah, rasanya tidak sia-sia pemerintah ‘memaksa’ seluruh operator memberlakukan feature ini, dan tentunya secara gratis :).
Namun rasanya cukup aneh pemerintah membeberkan hasil tapping tersebut kepada publik. Dengan adanya kejadian tersebut, tentu akan menyebabkan para kriminal berpikir untuk lebih hati-hati lagi karena mengetahui pemerintah dapat menyadap komunikasi seluler mereka, termasuk mungkin memesan private handphone untuk digunakan dalam berkomunikasi yang telah dilengkapi private channel. Dan tentunya akan berakibat proses pelacakan aksi kriminal di Indonesia semakin sulit.
Well, membeli private communication channel bagi para kriminal Indonesia yang mampu mengeluarkan $660.000 sebagai upah cuma-cuma tentu bukan masalah besar, bukan begitu?!
$ osascript -e ‘tell app “ARDAgent” to do shell script “whoami”‘
root
Simple, tapi critical. Untuk yang menggunakan OS X dan masih mendapatkan response dari shell seperti diatas ada baiknya mengikuti workaround dari http://www.tuaw.com/ardfix/. Walaupun banyak pendapat yang mengatakan bugs ini butuh ‘physical access’, tapi tetap saja setuid root vulnerability ini bisa jadi jalan masuk trojan melalui web, yang pasti bisa melakukan banyak hal tanpa password.
Im really appreciate to some people who made this website, that’s good website, we can learn a lot about Security from that sites. The sites is currently in Beta and features will be added as per user demand.
Check it out : SecurityTube.Net
Fabulous,
Sebelumnya saya ingin meminta maaf atas nama pribadi dan Okezone terkait pemberitaan tentang presentasi Ricky “th0R” pada Hacker’s Day di Jakarta silam.
Oleh karena itu, berdasarkan permintaan pihak yang bersangkutan, Anselmus Ricky alias th0R, saya bermaksud untuk meluruskan kesalahan editorial pada berita bertajuk Teknik X Hacking ala Ricky th0R yang dipaparkan pada 12 Juni 2008.
Pada salah satu sesi chit-chat dengan CyberTank beberapa tahun yang lalu ketika saya menanyakan sejarah k-elektronik, dia mengatakan “setiap kelompok/komunitas punya saatnya masing-masing, dan k-elektronik pernah mengalami masa-masa itu”. While in another chit-chat with old-guys from aNtIhaCkerlink sometime ago, he also told me the same fact. Saat suatu kelompok mendapatkan public attention, dikagumi dan dijadikan idola maka kelompok tersebut akan memiliki massa, menjadi pusat bookmark untuk setiap aktivitas underground masyarakat Indonesia, dihormati, dan diikuti.
Setiap generasi selalu ada hal unik yang terjadi didalamnya, dan yang mengherankan adalah filosofi sejarah akan berulang. Dari berbagai macam hal “Mr.Popular” generasi pertama, mungkin bisa diambil cerita dari salah satu contoh link. Para aktivis Information & Techno di Indonesia saat itu telah berusaha dengan berbagai macam cara untuk menyadarkan publik dengan metode ‘tembak langsung’ maupun dengan metode sindiran. But still, he was getting MORE popular. At least, until he taken down by underground.
Kemunculan tokoh populer yang mengatasnamakan Hacking untuk menarik perhatian masyarakat akhir-akhir ini menjadi topik pembicaraan tersendiri di dunia IT&Security Indonesia, terutama underground-nya. Seorang rekan non-security-background bahkan sempat bertanya,
Eh, itu tuh beneran?di brosur itu katanya hacker-hacker terkenal dunia akan berkumpul di Indonesia, gw fans banget nih sama Rsnake, dia bakalan datang juga ya?!
Well, rasanya sudah cukup banyak bertebaran berita mengenai ini di forum-forum maupun mailing list Indonesia. Dan rasanya sudah terjawab bahwa apakah memang benar hacker-hacker dunia dengan athmosphere hacking datang ke Indonesia pada malam tersebut. No need to make it worst here.
Yang menarik, ‘Mr. Popular’ generasi kedua ini mengundang perhatian cukup banyak aktivis underground sehingga kita bisa menemukan kondisi true dari filosofi sejarah akan berulang. Dari semua diskusi di Internet, mungkin media massa juga membaca dan mengetahui cerita-cerita tersebut, terkecuali mereka tidak membaca resource lain di Internet dan tetap mengidolakan sang Mr. Popular, maka mungkin salah satu alasan Mr. Popular tetap dipakai karena ke-populerannya. Yes, my friend. They need something to make people read their stuff.
Dari semua ignorance media massa ataupun ‘Mr. Popular’ 2nd generation, ada satu kritikan yang ternyata bisa membuat mereka mendengarkan. Sesaat setelah postingan mengenai presentasi acara Hackers Night dimuat pada okezone.com, beberapa pihak mengkritik ’saran’ salah satu presenter yang namanya sedang melambung tinggi berkat kritik, cacian, pro&kontra tersebut. Termasuk seorang founder komunitas underground Indonesia yang cukup populer saat ini melalui media blog.
Alasannya cukup sederhana, dikuatirkan masyarakat awam yang membaca berita akan secara langsung menghapus NoScript dan Disable Patch pada browser mereka (I doubt they understand the vmware part since not much people use it) akibat membaca hasil presentasi Mr. Popular yang dimuat pada okezone.com. Dan ternyata kritikan tersebut ditanggapi cukup serius oleh pihak okezone dan bahkan oleh Mr. Popular yang kemudian meminta berita tersebut diperbaiki. Good thing!
Moral of these boring stories?!
Cheers
Website defacement is so last year, men!
Bagi pecinta teknologi security plus dunia underground di Indonesia pasti pernah melihat kata-kata tersebut tertulis disuatu tempat :). While I am agree with his action-reaction, but I have some doubt about this one.
Betul sekali jika defacement adalah ciri tindakan seorang script kiddies, bahkan seorang security profesional seperti RSnake pun pernah mengalami masa-masa kiddies dengan melakukan defacement untuk memprotes suatu hal. Dan tidak bisa dipungkiri bahwa sebagian besar aktivis security profesional di Indonesia yang saat ini sudah menjadi security consultant profesional pernah mengalami fase-fase kiddies tersebut. Well, setiap orang pernah menjadi anak kecil, pernah melalui tangga pertama, pernah mengalami merangkak sebelum akhirnya bisa berjalan dan berlari, bukan begitu?!
Namun bukan permasalahan apakah defacement itu ciri tindakan kiddies atau bukan, namun apakah benar defacement tidak memiliki dampak apapun dan hanya tindakan anak kecil tahun lalu.
Kalangan underground pernah mendengar aksi siapakah.akyu di dunia cyber Indonesia beberapa bulan terakhir. Bahkan aksinya juga membuat gempar media massa dan pemerintah. Satu hal yang menarik adalah siapakah.akyu masih tetap teguh menyimpan identitasnya untuk tidak muncul dihadapan publik. Aksi deface di Indonesia umumnya dilakukan oleh individu yang justru menampilkan nicknya agar populer atau demi tujuan tertentu. Hm, yeah, kami pun pernah melakukannya :).
Coba kita lihat formula berikut ini:
Hole+ Mass Media + X = Public Attention
Apakah situs depkominfo merupakan satu-satunya situs pemerintah yang diserang oleh kalangan underground?!nope. Apakah bugs situs depkominfo merupakan hal yang sangat sulit ditemukan karena perlindungan yang luar biasa?! nope. Apakah bugs depkominfo sudah menyebar dikalangan underground jauh hari sebelum situs tersebut di deface?! Yes. Apakah bugs depkominfo hanya dapat ditemukan oleh sang defacer?! nope.
Jika kita melihat faktor ‘X’ diatas tentunya ada satu hal yang kurang untuk menarik public attention selain security hole itu sendiri serta peran media massa untuk membesarkannya. Faktor ‘X’ tersebut bisa berbagai macam, dan tidak salah jika kita menyebutkan bahwa faktor ‘X’ tersebut adalah ‘moment yang tepat’.
Bagi kalangan underground, aksi deface adalah hal yang biasa. Bahkan banyak kelompok yang memiliki koleksi backdoor di server-server pemerintah yang awalnya berasal dari web bug. Dan hole di website depkominfo adalah jenis bug yang umum digunakan untuk ‘break-in’ ke situs-situs lainnya. Sering juga kita lihat di media massa seperti detik adanya aksi deface terhadap beberapa situs pemerintah, namun hal tersebut paling hanya menjadi perbincangan 1-2 hari. Itu disebabkan tidak adanya faktor ‘X’ diatas.
Kreativitas siapakah.akyu dalam hal deface yang awalnya untuk menjadi bahan joke mungkin tanpa disadari berubah menjadi hal yang serius, dan ditambah lagi dengan peran media massa yang membesar-besarkan karena terkait peristiwa pemberlakukan UU ITE di Indonesia. Ditambah lagi dicantolkannya gambar security profesional ‘populer’ Indonesia sebagai bahan ejekan pada situs tersebut. Dan who knows, akibat peristiwa tersebut secara tidak langsung mengakibatkan jatuhnya pamor security profesional ‘kawakan’ tersebut.
Mungkin sebagian besar orang terutama di lingkungan IT&security heran mengapa sang security profesional ‘kawakan’ tersebut masih saja dipercaya padahal sudah diketahui melakukan kebohongan terhadap publik, namun masih banyak yang percaya dengan ke-profesionalitas an nya. Dan hebatnya, aksi siapakah.akyu tersebut berhasil memudarkan pamor dan menjatuhkan karir sang security profesional ‘kawakan’. Banyak yang menentang dia, banyak yang tidak setuju dengan omongannya dan bahkan media massa pun mulai beralih ke security profesional lain untuk dimintai pendapat mengenai hal-hal yang berbau IT&Security.
“SQL injection” + “Detik.com” + “UU ITE & RS” = Public Attention + Lessen public confidence
Walaupun mungkin aksi deface merupakan angin lalu yang hanya dilakukan oleh anak kecil, namun jika dilakukan pada saat dan motif yang tepat akan berdampak cukup telak. Tunggu, jika begitu mungkin bisa dilakukan secara tidak “tidak sengaja”. Ambil contoh saat ini menemukan hole disuatu server, disimpan, dibackdoor, dan jika ada kejadian penting dijadikan sebagai alat untuk propaganda, menjatuhkan kredibilitas, mengadu domba, etc etc etc. Hm, Evil.
More than evil?!take it a little higher, seperti berdasarkan teori security saat ini seperti yang dikatakan teman kita jhoni (gee…still love seducing others with ur freakin joke?), defacement dalam arti mengganti halaman suatu website dengan berbagai hal yang merusak. Misalnya: dengan suatu content yang dapat mendownload ActiveX melalui browser exploit sehingga apabila situs dibuka akan melakukan instalasi backdoor pada komputer korban, mencuri password melalui firefox/ie bugs, atau sekedar flash exploit untuk melakukan internal network scanning pada network perusahaan korban, dsb. Oke, terlalu berlebihan. Itu bukan permainan kiddies atau lammers lagi. At least bisa mengambil password friendster dan setidaknya sedikit lebih unik dibandingkan teknik phissing :).
Points taken?!faktor ‘X’ juga terjadi saat schizoprenic melakukan deface terhadap situs pemilu, walaupun dia tidak bisa dikategorikan sebagai kiddies or lammer, namun penyembunyian identitas siapakah.akyu jauh lebih menarik karena sampai saat ini masih tetap misteri.
Keep Underground, guys!
Rasanya baru beberapa minggu yang lalu saat phoenix nge-buzz saya via YM mengenai POC yang dia buat berdasarkan informasi di bugtraq untuk dapat melakukan DOS (dan mungkin remote exploitation) pada openssh (masalah pada malloc memory allocation) dimana masih terdapat kegagalan untuk kemudian di diskusikan bersama, minggu ini sudah ada berita lain yang cukup mengejutkan dari distribusi debian.
Seperti yang kita ketahui bersama bahwa Luciano Bello menemukan bugs pada paket openssl Debian dimana kita dapat dengan mudah memperkirakan data random yang di generate oleh openssl. Data random ini digenerate oleh beberapa parameter yang disebut ’seed’, misalnya gerakan mouse, ketikan keyboard, dll. Hasil generate tergantung algoritma yang digunakan, apabila menggunakan DSA 1024 bit maka kemungkinan key yang digunakan adalah 2^1024. Bugs pada openssl ini telah digunakan oleh distribusi Debian sejak tahun 2006, penyebab awalnya adalah informasi dari Daniel Brahneborg yang mengatakan bahwa tools Valgrind dan juga Purify yang dia gunakan saat develop suatu aplikasi menyatakan adanya Uninitialized Variable, kemudian diputuskan bahwa ada masalah pada salah satu code di md_rand.c sehingga baris tersebut di hapus dari distribusi openssl debian. Penghapusan code tersebutlah akar dari permasalahan PRNG openssl debian.
Dan seperti yang kita ketahui juga bahwa openssl merupakan library yang umum digunakan oleh banyak aplikasi user dalam hal menangani masalah kriptografi, salah satunya adalah SSH. Jika awalnya total kemungkinan keys yang digenerate adalah 2^1024, maka pada distribusi debian tersebut total kemungkinan unique keys yang digenerate adalah 2^15. Kenapa?!karena ternyata dengan penghapusan baris code di md_rand.c tersebut menyebabkan satu-satunya parameter yang digunakan sebagai seed untuk randomisasi adalah PID (Process ID), dan di sistem Linux umumnya total proses ID berjumlah 32,767. HDM memberikan penjelasan yang lebih teknikal disini.
HDM juga telah develop tools yang dapat digunakan untuk membuat ‘kamus data’ berisi seluruh SSH Keys untuk algoritma 1024-bit DSA, 2048-bit RSA, dan 4096-bit RSA. Key-key tersebut digenerate dengan menggunakan GetPID Faker shared library yang akan membantu generate keys dengan memberikan informasi Proses ID palsu, mulai dari 1 s/d 32,767.
Sisanya?! mungkin cara gampangnya adalah memanfaatkan script Markus Mueler untuk bruteforce SSH server dengan bermodalkan ‘kamus data’ HDM diatas. HDM juga memberikan tips dimana untuk bruteforce SSH bisa memanfaatkan key-key dengan PID dibawah 200, karena keys-keys tersebut digenerate saat boot time sehingga process ID yang umumnya digunakan dibawah 200. Dan untuk aplikasi user lainnya bisa diperkirakan menggunakan Proses ID antara 500 ~ 10,000. Dengan mekanisme ini maka proses bruteforce bisa lebih efektif, dan kita juga bisa men-develop script sendiri untuk melakukan tugas ini.
Syarat vulnerable-nya hanya satu, aplikasi yang hendak di bruteforce (entah itu SSH, HTTPS, SSL type, dll) meng-generate keys pada distribusi debian yang vulnerable (termasuk turunannya seperti ubuntu, kubuntu, dll). Meskipun target bukanlah sistem debian, namun jika keys-nya di generate oleh sistem debian dan digunakan oleh distribusi lain tersebut maka akan tetap vulnerable. Hal inilah yang membuat sangat berbahaya mengingat pecinta debian sangat banyak, bahkan di Indonesia juga banyak sekali sistem yang dibangun menggunakan debian based. Setau saya para dedengkot seperti andhika triwidada juga pecinta debian :D.
Selama sistem target tidak memiliki pelindung terhadap serangan bruteforce, maka kita bisa melakukan SSH bruteforce ke sistem tersebut. Ada beberapa cara dan tools yang telah disediakan debian untuk mencari tau apakah sistem kita aman atau tidak, cara paling mudah (khususnya utk para admin server) mungkin dengan mencoba langsung script markus mueller terhadap sistem localhost untuk meng-crack SSH keys yang tersimpan pada
/root/.ssh/authorized_keys
Hm, jika yang vulnerable adalah suatu aplikasi, maka mungkin hanya akan berdampak pada sistem yang install aplikasi tersebut. Namun jika yang vulnerable adalah library, maka hal tersebut akan menjadi bencana. Karena library digunakan oleh beragam aplikasi, maka akan luar biasa banyaknya target yang dapat diserang melalui celah library tersebut. Lebih parah lagi, kita bukan hanya diharuskan untuk update package OpenSSL debian yang bersangkutan, namun juga diharuskan meng-generate ulang seluruh aplikasi pada sistem milik kita yang sebelumnya memanfaatkan OpenSSL debian. Dan pecinta debian juga banyak sekali, bukan hanya di Indonesia tapi juga di luar negeri. Dan jangan lupa, debian merupakan base distro untuk distro-distro populer semacam ubuntu dan kubuntu. Wew.
Btw, komo pake apa ya?gentoo kah?! :P.
Some individual which is used to be called ‘old people’ in Indonesian Underground said today’s scene is ‘membosankan, menjemukan, gak seru, gak rame, full-of-bullshit, terlalu sopan, terlalu money-oriented, profitable, etc ftc de-el-el’. But some (most?) of them said that this is a good thing, and it mean our community has developed where Indonesian Security beeing one of Industry field and seriously chosen as occupation.
Quite much of people/group use their community website to look for more money using SEO. Or even ‘talking about popular security from scenes‘ (yes, obviously not you who cracked that gov thing) to the media and started to setup their own security consultant business. Ah ya, there’s also seminar, workshop, write a book, hacking competition, media interview. Hum, tell me about it.