Kebijakan Kata Sandi yang Memadai

Salah satu kontrol keamanan Teknologi Informasi (TI) yang biasa diterapkan dalam perusahaan adalah kebijakan kata kunci (password).

Tetapi kebijakan password seperti apa yang dinilai sudah memadai?

Contoh aturan password yang rumit:

1. Panjang minimal 8 karakter
2. Memiliki huruf besar dan kecil
3. Memiliki paling sedikit satu angka (contoh: 0-9)
4. Memiliki paling sedikit satu simbol (contoh: !$%^&*()_+|~-=\`{}[]:";'<>?,/)

Kombinasi password yang rumit, bukan berarti anda akan lebih aman.

Gambar xkcd.com

Kekuatan Password

Password yang panjang tidak kebal dari cracking, tetapi lebih sulit ditebak oleh mesin dan lebih mudah diingat oleh manusia.

Sedangkan password yang pendek, menggunakan angka, simbol dan huruf besar/kecil lebih mudah ditebak oleh mesin dan lebih sulit diingat oleh manusia.

Pedoman Pembuatan Password

Password adalah komponen penting dari keamanan informasi. Password berfungsi untuk melindungi pengguna akun; Namun, password yang dibuat dengan buruk dapat menyebabkan sistem, data, atau jaringan ditembus oleh orang yang tidak bertanggung jawab.

Password yang kuat harus memiliki karakter yang panjang, semakin banyak karakter yang Anda miliki, semakin kuat password-nya.

• Rekomendasi panjang minimal password: 14 karakter 

Disarankan menggunakan frasa sandi (passphrase), password yang terdiri dari beberapa kata.

• Contoh: "Sudah waktunya untuk liburan”, karena passphrase lebih mudah diingat dan memenuhi persyaratan kekuatan.

Setiap akun harus harus memiliki password yang unik dan berbeda. 

Disarankan untuk menggunakan ‘Password Manager’, untuk memungkinkan pengguna menyimpan banyak password. 

Apabila memungkinkan, aktifkan juga penggunaan multi-factor authentication.

Pembuatan Password

Semua password tingkat pengguna dan tingkat sistem harus sesuai dengan Pedoman Pembuatan Password.

Pengguna harus menggunakan password yang unik dan terpisah untuk setiap akun terkait pekerjaan mereka. Pengguna tidak boleh menggunakan password terkait pekerjaan untuk akun pribadi mereka.

Akun pengguna yang memiliki hak tingkat sistem diberikan melalui keanggotaan grup (Misal grup Administrator) harus memiliki password yang unik dari semua akun lain yang dipegang pengguna tersebut untuk mengakses hak istimewa tingkat sistem. Sangat disarankan menggunakan multi-factor authentication untuk setiap akun istimewa.

Perubahan Password

Password harus diubah ketika ada alasan untuk meyakini password telah dicuri.

Password cracking atau guessing dapat dilakukan secara berkala atau acak oleh Tim Infosec/audit. Jika password berhasil ditebak atau dipecahkan, pengguna harus diminta untuk mengubahnya agar sesuai dengan Pedoman Pembuatan Password.

Perlindungan Password

Password tidak boleh dibagikan kepada siapa pun, termasuk supervisor dan rekan kerja. Semua password harus diperlakukan sebagai informasi rahasia dan sensitif.

Password tidak boleh dimasukkan ke dalam pesan email atau bentuk lain dari komunikasi elektronik, atau diungkapkan melalui telepon kepada siapa pun.

Password hanya dapat disimpan di “Password Manager" yang disahkan oleh organisasi.

Jangan menggunakan fitur "Ingat Kata Sandi“/”remember password” dari aplikasi (misalnya, web browser).

Setiap pengguna yang mencurigai bahwa password-nya mungkin telah dicuri harus melaporkan insiden tersebut dan mengubah semua password.

Pengembangan Aplikasi

Pengembang aplikasi harus memastikan bahwa aplikasi mereka mengandung tindakan pencegahan keamanan berikut ini:

• Aplikasi harus mendukung otentikasi pengguna individual, bukan grup.
• Aplikasi tidak boleh menyimpan password dalam teks yang jelas (clear text) atau dalam bentuk yang mudah dibalik.
• Aplikasi tidak boleh mengirimkan password dalam clear text melalui jaringan.
• Aplikasi harus menyediakan semacam manajemen peran, sehingga pengguna dapat mengambil fungsi orang lain tanpa harus mengetahui password orang lain.

Multi-Factor Authentication

Penggunaan multi-factor authentication sangat dianjurkan dan harus digunakan apabila memungkinkan, tidak hanya untuk akun yang terkait dengan pekerjaan tetapi juga akun pribadi.

Multi-factor authentication melibatkan penggunaan beberapa atau semua hal berikut ini:

• Something you know (misal, password)
• Something you have (misal, authentication token)
• Something you are (misal, fingerprint, facial scan)

Strategi Pembuatan dan Perubahan Password

Berikut ini beberapa strategi yang perlu diingat oleh para pengguna pada saat membuat atau mengubah password:

• Komunikasikan informasi dengan jelas tentang cara membuat dan mengubah password.
• Komunikasikan persyaratan password dengan jelas.
• Ijinkan setidaknya 64 karakter panjang password untuk mendukung penggunaan passphrase. Ijinkan pengguna untuk membuat password yang bisa dihafal selama yang mereka inginkan, menggunakan karakter apa pun yang mereka suka (termasuk spasi), sehingga memudahkan untuk dihafal.
• Jangan memaksakan aturan komposisi lainnya (misal, campuran dari berbagai jenis karakter) pada password yang dihafal.
• Jangan meminta password yang sudah dihafal diubah secara sewenang-wenang (misal, secara berkala) kecuali ada permintaan pengguna atau bukti bahwa password sudah dicuri.
• Berikan umpan balik yang jelas, bermakna, dan dapat ditindaklanjuti ketika password yang dipilih ditolak (misal, ketika kata itu muncul di "daftar hitam" password yang tidak dapat diterima atau telah digunakan sebelumnya). Sarankan pengguna bahwa mereka perlu memilih password yang berbeda karena pilihan mereka sebelumnya biasa digunakan.

Karakteristik password/passphrase yang lemah

Password/passphrase yang lemah memiliki karakteristik sebagai berikut:

• Hanya terdiri dari delapan (8) karakter atau kurang.
• Berisi informasi pribadi seperti tanggal lahir, alamat, nomor telepon, nama anggota keluarga, hewan peliharaan, teman, nama perusahaan dan karakter fantasi.
• Berisi pola angka seperti aaabbb, qwerty, zyxwvuts, atau 123321.

Referensi:

• Adequate Password Policy.
• Baker, Jessica. (2017). The New NIST SP 800-63 Password Guidelines. IT Freedom. (Diakses 2019-03-22).
• Center for Internet Security. (2015). CIS Debian Linux 7 Benchmark v1.0.0. (Diakses 2018-08-31).
• Center for Internet Security. (2018). CIS Microsoft Windows Server 2012 R2 Benchmark v2.3.0.  (Diakses 2018-08-31).
• Garcia, Mike. (2017). Easy Ways to Build a Better P@$5w0rd. NIST. (Diakses 2019-03-22).
• Grassi, Paul. (2017). Mic Drop — Announcing the New Special Publication 800-63 Suite!. NIST. (Diakses 2019-03-22).
• Johnston, Casey. (2013). Password complexity rules more annoying, less effective than lengthy ones. (Diakses 2019-03-22).
• Masters, Greg. (2017). Shift in password strategy from NIST. Haymarket Media. (Diakses 2019-03-22).
• NIST. (2017). NIST Special publication 800-63-3 Digital Identity Guidelines. National Institute of Standards and Technology. (Diakses 2019-03-22).
• NIST. (2017). NIST Special publication 800-63A Digital Identity Guidelines Enrollment and Identity Proofing. National Institute of Standards and Technology. (Diakses 2019-03-22).
• NIST. (2017). NIST Special publication 800-63B Digital Identity Guidelines Authentication and Lifecycle Management. National Institute of Standards and Technology. (Diakses 2019-03-22).
• NIST. (2017). NIST Special publication 800-63C Digital Identity Guidelines Federation and Assertions. National Institute of Standards and Technology. (Diakses 2019-03-22).
• SANS Policy Team. (2014). Password Construction Guidelines. SANS Institute. (Diakses 2017-06-15).
• SANS Policy Team. (2017). Password Construction Guidelines. SANS Institute. (Diakses 2019-03-21).

Access RouterOS using Multi-Factor Authentication

With various data breach events happening in the world, we cannot rely solely on using username and password. Data breach is not only at the application level. Data breaches also occur in network devices such as MikroTik. We as network administrators must apply more security to the authentication of our MikroTik devices.

In reality there is many bad guys out there with powerful exploit and have tons of password dictionary, ready to attack your router.

Multi-Factor Authentication on RouterOS

MikroTik RouterOS support multi-factor authentication using password, SSH keys and source IP address. For detail configuration you could check my presentation document or video.

Reference:

• Access RouterOS using Multi-Factor Authentication.
• MikroTik User Meeting Indonesia 2018. mum.mikrotik.com.

Sertifikasi CCNA CyberOps

Sertifikasi CCNA CyberOps, salah satu sertifikasi Cisco yang fokus di desain, konfigurasi, dan analisa di operasional Security Operation Center (SOC).

CCNA CyberOps Overview

Topik CCNA CyberOps mencakup: Cybersecurity Fundamentals (Network Concepts, Security Concepts, Cryptography, Host-based Security Analysis, Security Monitoring, Attack Methods), dan Cybersecurity Operations (Endpoint Threat Analysis and Computer Forensics, Network Intrusion Analysis, Incident Response, Data and Event Analysis, Incident Handling).

DoD IA Approved Baseline Certifications

CCNA CyberOps juga masuk sebagai salah satu sertifikasi Department of Defense (DoD) Information Assurance (IA) Approved Baseline Certifications sebagai Cyber Security Service Provider (CSSP) Analyst dan CSSP Incident Responder.

Notifikasi Penggunaan Sistem

Contoh Notifikasi Penggunaan Sistem

Salah satu pengendalian dalam penggunaan sistem informasi, yaitu Notifikasi Penggunaan Sistem. Dengan menerapkan pengendalian ini Entitas dapat mengurangi risiko terhadap penyalahgunaan sistem informasi, dan dapat meningkatkan tingkat kesadaran pengguna sistem informasi.

Hal yang perlu diperhatikan dalam pengendalian ini adalah menampilkan notifikasi kepada pengguna sebelum memberikan akses ke sistem, yang menginformasikan privasi dan keamanan yang konsisten dengan hukum perundang-undangan yang berlaku, arahan, kebijakan, peraturan, standar, dan panduan yang menyatakan bahwa:

1. Pengguna akan mengakses sistem informasi Entitas.
2. Penggunaan sistem informasi dapat dipantau, direkam, dan dapat diaudit.
3. Penggunaan yang tidak sah pada sistem informasi dilarang dan tunduk pada hukuman pidana dan perdata.

Notifikasi penggunaan sistem dapat diimplementasikan menggunakan pesan atau peringatan yang ditampilkan sebelum individu masuk ke dalam sistem informasi.

Contoh konfigurasi Notifikasi Penggunaan Sistem pada sistem operasi Windows menggunakan Registry Editor:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

Konfigurasi Regedit Notifikasi Penggunaan Sistem

Contoh konfigurasi Notifikasi Penggunaan Sistem pada sistem operasi Windows Server 2012 R2:

Ubah konfigurasi menggunakan fitur group policy “gpedit.msc”:

Computer Configuration\Policies\Windows Settings\ Security Settings\Local Policies\Security Options

• Interactive logon: Message text for users attempting to log on
• Interactive logon: Message title for users attempting to log on

Contoh konfigurasi Notifikasi Penggunaan Sistem pada sistem operasi Debian Linux 7:

Ubah konfigurasi file “/etc/ssh/sshd_config” untuk mengatur parameter sebagai berikut:

Banner /etc/issue.net

Banner/notifikasi digunakan untuk memperingatkan pengguna yang akan terhubung dari kebijakan Entitas terkait hak akses. Menyajikan pesan peringatan sebelum login kepada pengguna biasa. Hal ini dapat membantu penuntutan kepada pelanggar yang mengakses sistem informasi Entitas.

Referensi:

• NIST Special Publication 800-53 Revision 4. Security and Privacy Controls for Federal Information Systems and Organizations.
• CIS Microsoft Windows Server 2012 R2 Benchmark v2.3.0 - 03-30-2018.
• CIS Debian Linux 7 Benchmark v1.0.0 - 12-31-2015.

MikroTik Vulnerability - Please update your devices!

Harga yang terjangkau dan mempunyai fitur yang lengkap, mungkin itu yang selalu terbesit di benak kita pada saat menggunakan MikroTik. Sesuai dengan misi yang dimiliki oleh MikroTik "Our mission is to make existing Internet technologies faster, more powerful and afforable to wider range of users".

MikroTik Mission

Karena harga yang terjangkau dan fitur yang lengkap itulah pengguna MikroTik di Indonesia dan di dunia semakin banyak. Semakin banyak yang menggunakan, tentunya akan semakin dilirik oleh seorang aktor ancaman (threat actor) untuk menjadi targetnya. Sebagai contoh kasus VPNFilter, dan yang terbaru adanya vulnerability yang ditemukan pada WinBox.

Securityweek headline Vulnerability in MikroTik RouterOS

Tentunya vulnerability tersebut sudah diperbaiki pada RouterOS versi terbaru. Tapi berapa banyak sih dari kita yang rajin untuk melakukan update perangkat jaringan kita?

MikroTik Version Release

Vulnerability dan exploit di MikroTik RouterOS bukanlah hal yang baru, sampai dengan saat ini sudah terdapat 13 Common Vulnerabilities and Exposures (CVE) berdasarkan mitre.org dan 9 exploit berdasarkan exploit-db.com.

MikroTik Exploit

Anda bisa mengikuti panduan dari Manual:Securing Your Router untuk mengamankan router MikroTik Anda. Atau hubungi MikroTik Consultant untuk meminta saran.

Tidak ada sistem yang 100% aman, keamanan hanya berlangsung pada suatu waktu saja, untuk lebih aman anda harus bisa beradaptasi.

Referensi:

• Cybersecurity Help (2018). Authentication bypass in MikroTik RouterOS. [Online] Cybersecurity Help. Available at: https://www.cybersecurity-help.cz/vdb/SB2018042420 [Accessed 28 Jul. 2018].
• Mikrotik (2018). Manual:Securing Your Router. [Wiki] Mikrotik Wiki. Available at: https://wiki.mikrotik.com/wiki/Manual:Securing_Your_Router [Accessed 28 Jul. 2018].
• Mosajjal, Alireza (2018). Dissection of Winbox critical vulnerability. [Blog] n0p.me. Available at: https://n0p.me/winbox-bug-dissection/ [Accessed 28 Jul. 2018].
• Normis (2018). Advisory: Vulnerability exploiting the Winbox port [SOLVED]. [Forum] Mikrotik Forum. Available at: https://forum.mikrotik.com/viewtopic.php?f=21&t=133533 [Accessed 28 Jul. 2018].
• Normis (2018). VPNfilter official statement. [Forum] Mikrotik Forum. Available at: https://forum.mikrotik.com/viewtopic.php?f=21&t=134776 [Accessed 28 Jul. 2018].
• Normis (2018). Urgent security advisory. [Forum] Mikrotik Forum. Available at: https://forum.mikrotik.com/viewtopic.php?f=21&t=132499 [Accessed 28 Jul. 2018].
• Townsend, Kevin (2018). Remotely Exploitable Vulnerability Discovered in MikroTik's RouterOS. [Online] Wired Business Media. Available at: https://www.securityweek.com/remotely-exploitable-vulnerability-discovered-mikrotiks-routeros [Accessed 28 Jul. 2018].

Training UEWA No Exam 23-24 Juni 2018

Kelas Training UEWA No Exam tanggal 23-24 Juni 2018 menyajikan pelatihan menggunakan Access Point UniFi dan Wireless Controller UniFi. Mempelajari fitur-fitur perangkat UniFi yang sesuai dengan kebutuhan wireless LAN saat ini.

Training UEWA No Exam 23-24 Juni 2018

Materi yang disajikan termasuk dasar teori wireless LAN, perencanaan desain wireless LAN, implementasi, basic adoption, konfigurasi, advance adoption dan guest accesss.

Training UEWA No Exam 23-24 Juni 2018

Ujian diganti dengan konfigurasi dan implementasi jaringan wireless menggunakan perangkat Access Point UniFi, UniFi Controller, implementasi VLAN menggunakan EdgeSwitch, DHCP server dan VPN Server menggunakan EdgeRouter, dan simulasi remote adoption dari kantor cabang ke UniFi Controller yang ada di Head Office.

UEWA No Exam Labs

Malware VPNFilter Terus berkembang

VPNFilter logo by Cisco's Talos Intelligence

Sebelumnya VPNFilter menyerang berbagai perangkat jaringan pada small and home office (SOHO) seperti Linksys, MikroTik, NETGEAR dan TP-Link serta perangkat network-attached storage (NAS) QNAP.

VPNFilter Targeted Device

Berdasarkan laporan dari Cisco's Talos Intelligence Group, sekarang VPNFilter juga menyerang perangkat lain seperti ASUS, D-Link, Huawei, Ubiquiti, UPVEL, dan ZTE.

VPNFilter New Target

Malware ini memiliki banyak kemampuan seperti mengambil data, membuat perangkat menjadi batu loncatan untuk masuk ke perangkat lain, memasukkan konten jahat pada trafik web tanpa sepengetahuan pengguna, bahkan juga memiliki kemampuan untuk merusak perangkat korban untuk menghilangkan jejak.

Referensi:

• Chirgwin, Richard (2018). VPNFilter router malware is a lot worse than everyone thought. [Online] The Register. Available at: https://www.theregister.co.uk/2018/06/07/vpnfilter_is_much_worse_than_everyone_thought/ [Accessed 28 Jun. 2018].
• Krebs, Brian (2018). FBI: Kindly Reboot Your Router Now, Please. [Blog] Krebs on Security. Available at: https://krebsonsecurity.com/2018/05/fbi-kindly-reboot-your-router-now-please/ [Accessed 27 Jun. 2018].
• Largent, William (2018). VPNFilter Update - VPNFilter exploits endpoints, targets new devices. [Blog] Cisco's Talos Intelligence Group Blog. Available at: https://blog.talosintelligence.com/2018/06/vpnfilter-update.html [Accessed 28 Jun. 2018].
• Largent, William (2018). New VPNFilter malware targets at least 500K networking devices worldwide. [Blog] Cisco's Talos Intelligence Group Blog. Available at: https://blog.talosintelligence.com/2018/05/VPNFilter.html [Accessed 27 Jun. 2018].