MikroTik as Low-Interaction HoneyPot

Menurut EC-Council ada 5 tahap dalam kegiatan hacking. Reconnaissance, Scanning, Gaining Access, Maintaining Access, dan Clearing Tracks. Apabila dianalogikan kegiatan tersebut seperti seorang pencuri yang mencoba masuk ke dalam rumah.

Analogi Tahap Hacking

Layaknya seorang pencuri, seorang hacker juga perlu mencari tau informasi sebanyak-banyaknya rumah yang akan dia serang. Berapa banyak pintu yang dimiliki rumah tersebut, dan seberapa kuat pintu rumah tersebut. Inilah proses yang dilakukan pada saat Reconnaissance dan Scanning. Setelah tau cara menjebol pintu, barulah hacker masuk ke dalam rumah (Gaining Access, Maintaining Access, dan Clearing Tracks).

Hacker Scanning Phase

Tentunya perlu ada interaksi langsung pada saat mencari informasi kekuatan pintu rumah, seperti bahan pintu yang digunakan dan kunci yang digunakan. Seperti pada contoh di atas: Telnet akan lebih mudah dibandingkan dengan SSH, begitu juga dengan Windows XP, akan lebih mudah dibandingkan dengan Windows 10.

Fools your enemy

Pada saat inilah kita sebagai network/system administrator dapat mengelabui pencuri tersebut dengan membuat pintu palsu, atau bahkan rumah palsu untuk menjebak si pencuri. Dengan perintah sederhana pada perangkat MikroTik kita bisa membuat pintu palsu, yang berfungsi layaknya sebuah Low-Interaction HoneyPot. 

Cek dokumentasi dan video lengkapnya di sini:

Fools your enemy with MikroTik.

Sumber:

• Fools your enemy with MikroTik.
• Certified Ethical Hacker. eccouncil.org.
• Mikrotik User Meeting Indonesia 2016. mum.mikrotik.com.

Network Time Protocol

Network Time Protocol (NTP) salah satu protokol di jaringan komputer yang cukup sering kita gunakan tanpa sadar. 

NTP di Windows

NTP di Linux

Suka atau tidak, peran protokol NTP sangat penting. Dalam sebuah aplikasi apabila tidak menggunakan NTP, bisa jadi data antar aplikasi/server menjadi tidak sinkron yang akhirnya bisa membuat data yang diterima menjadi tidak valid, atau bahkan hilangnya data.

NTP di Cisco Router

NTP di Mikrotik Router

Dalam IT Security penggunaan NTP memegang peranan penting, khususnya pada saat melakukan forensik terhadap Incident IT Security seperti malware infection, security breach, service down, dll. Dengan NTP kita bisa membuat korelasi serangan yang terjadi secara akurat. Kapan dan dimana serangan awal terjadi, bahkan mungkin siapa yang melakukan.

Forensic investigation

Sumber:

• Checking the Status of NTP. redhat.com.
• Configuring NTP on a Cisco Router. firewall.cx.
• Setup local NTP servers. mikrotik.com.

Sharing Knowledge Basic Networking

MST Sharing Knowledge 'Basic Networking' menggunakan tools Network Simulator Cisco Packer Tracer untuk Tim Elnusa pada tgl 19 September 2016.

Sharing Knowledge Basic Networking

Pemahaman basic network sangat penting, bahkan untuk customer kami. Dimulai dari video analogi traffic data menggunakan video 'Warriors of the net'.

Warriors of the net

Contoh Local Area Network (LAN) sederhana menggunakan 2 PC, sampai ke typical enterprise network, dan hierarchical network.

Simple LAN

Pada sesi ini juga disimulasikan bagaimana perbedaan traffic data yang lewat apabila menggunakan HUB dan SWITCH.

Perbedaan HUB dan SWITCH

Contoh implementasi jaringan yang umum di perusahaan juga tidak luput, seperti penggunaan VLAN untuk membedakan segmen jaringan divisi yang satu dengan yang lainnya, dan juga simulasi traffic data ARP, ICMP, HTTP, DNS, dan DHCP.

Typical Enterprise Network

Untuk menunjang scalabilitas, redundancy, dan flexibility saya juga menyampaikan konsep desain LAN secara hirarki. Core, Distribution, dan Access.

LAN Hierarchical Design

OWASP Cheat Sheets

OWASP Cheat Sheets

Dengan tools web application vulnerability assessment seperti OWASP Zed Attack Proxy (ZAP), kita bisa mendapatkan berbagai informasi vulnerability yang mungkin dimiliki oleh web application milik kita.

Contoh Alert OWASP ZAP

Seperti pada contoh diatas, merupakan hasil temuan beberapa vulnerability yang terdapat pada sebuah web application. Cross Site Scipting (XSS), Path Traversal, Remote OS Command Injection, SQL Injection, dll.

Tetapi bagaimana solusi / cara untuk melakukan remediasi terhadap vulnerability yang ditemukan?

XSS Prevention Rules Summary

Pada OWASP Cheat Sheet, kita dapat menemukan berbagai panduan / best practice web application untuk melakukan mitigasi terhadap vulnerability. Lihat OWASP Cheat Sheet Series.

OWASP Cheat Sheets

Sumber: OWASP Cheat Sheet Series. owasp.org.

Virus Scan Gratis (virustotal)

Semakin anda sadar akan pentingnya IT Security, anda akan semakin berhati-hati dalam menangani file-file yang akan anda gunakan. Terkadang 1 buah anti virus dirasa tidak cukup untuk membuat anda yakin kalau file tersebut sudah aman atau belum.

www.virustotal.com adalah salah satu layanan gratis yang berada di Internet yang memungkinkan kita untuk melakukan upload file yang mencurigakan dan dapat di analisa secara langsung oleh 56 Anti Virus yang berbeda.

Hasil scan virustotal

Bahkan apabila ada alamat URL, atau IP address yang mungkin anda ragu keamanannya, bisa anda analisa dulu menggunakan virustotal.com.

Virustotal IP Address Information

Sumber: Virustotal. www.virustotal.com.

Vulnerability Assessment Tools Microsoft

Microsoft Baseline Security Analyzer (MBSA), salah satu tools Vulnerability Assessment (VA) dari Microsoft yang memungkinkan untuk melihat status security pada host yang menggunakan sistem operasi Microsoft Windows.

Microsoft Baseline Security Analyzer Logo

Tools ini bisa melakukan assessment terhadap beberapa Windows komponen seperti Internet Explorer, IIS Web Server, Microsoft SQL Server dan Microsoft Office macro settings.

Report Details

Security Scan Result

Administrative Vulnerabilities

Sumber:

• Microsoft Baseline Security Analyzer 2.3. microsoft.com.
• How To: Use the Microsoft Baseline Security Analyzer. microsoft.com.

Pokemon Go bisa mengubah bisnis retail

Game Online berbasis GPS dan Augmented Reality, Pokemon Go, bisa memberikan dampak positif bagi pebisnis retail. Dengan teknologi GPS game Pokemon Go bisa menempatkan Pokestop di tempat-tempat strategis. Yang mengharuskan seorang pemain mendekati lokasi tersebut untuk menggunakan fitur pada Pokestop.

Pokestop

Bayangkan apabila game ini bisa bekerja sama dengan pemilik mall dan para tenant yang ada didalamnya. Dengan event yang pas bisa meningkatkan jumlah pengunjung pada mall tersebut dan tentu saja meningkatkan penjualan bagi para tenant di mall tersebut.

Super Mario Bros Power Up Items

Atau mungkin dengan bentuk kerjasama setiap pembelian produk tertentu atau jumlah pembelian tertentu, bisa memberikan pemain sebuah Power Up Items yang membantu pemain di dalam game online tersebut.

Pokemon Go Repackaged Malware

'Gotta catch 'em all!' Slogan yang ada animasi di Pokemon. Bagi para penggemar anime, manga dan game Nintendo pasti sudah akrab akan istilah ini. Tapi ini mungkin akan menjadi trend juga bagi para hacker.

Aplikasi mobile 'Pokemon Go' yang baru saja release tanggal 4 juli 2016, langsung menjadi trend dunia online dan media sosial. Bahkan Indonesia juga tidak ketinggalan dengan demam 'Pokemon Go' ini.

Google Trend Pokemon Go Indonesia

Lihat saja di Google Trend, tingkat pencarian Pokemon Go di Indonesia sudah melebihi pencarian porn dan mulai menyalip pencarian facebook.

Sayangnya aplikasi ini belum release di Indonesia, hanya baru ada di USA, Australia, dan New Zealand. Lalu bagaimana pengguna aplikasi 'Pokemon Go' di Indonesia bisa menikmati layanan tersebut? Padahal 'wabah' nya juga sudah terasa di Indonesia. Lihat saja tweet dari @gojekindonesia dan Facebook post @JSCLounge berikut:

Pokemon Go Twitter Go-Jek

Pokemon Go Facebook Post Jakarta Smart City

Hal ini karena para pengguna 'Pokemon Go' di Indonesia mengakali aplikasi tersebut supaya bisa bermain, ada yang menggunakan VPN ke negara yang sudah release, buat login ios baru dengan region yang berbeda atau ada juga yang meng-unduh aplikasi tersebut dari situs yang tidak resmi.

Tentunya ini adalah event emas yang sangat ditunggu-tunggu oleh hacker di dunia untuk membungkus aplikasi 'Pokemon Go' dengan "sedikit aplikasi tambahan". Seperti pada contoh di bawah aplikasi 'Pokemon Go' di bungkus dengan Droidjack.

Pokemon Go Droidjack

Remote access, copy photo, baca/kirim sms, remote eyes, remote ears, semua bisa dilakukan dengan Droidjack mRAT. Lihat video berikut untuk ilustrasi lebih jelas yang sudah dibuat oleh Check Point Software Technologies.

Masih berani download aplikasi dari situs ga jelas?

'Gotta catch hack 'em all!' 

Sumber:

• Overeager 'Pokemon Go' fans are an opportunity for cybercriminals, cybersecurity expert says. Aza Wee Sile. cnbc.com.
• Stop Before You (Pokemon) GO. Check Point Research Team. checkpoint.com.

Ransomware drugvokrug727 Troldesh Shade

Pada bulan Mei 2016 kemaren sempat heboh dengan kejadian infeksi oleh ransomware. Dan kebetulan salah satu client saya juga sempat mengalaminya. Hampir semua file yang ada di server ter-encrypt, berubah nama dan extensionnya menjadi .xtbl.

Contoh file terinfeksi ransomware

Awal kejadiannya administrator server tersebut baru menyadari server tersebut tidak berfungsi sebagai mestinya. Beberapa service tidak bisa diakses. Bahkan proses dari Task Manager pun juga terlihat aneh.

Contoh proses terinfeksi ransomware

Dari perubahan nama file memang sudah jelas bahwa server sudah terinfeksi oleh ransomware dan seolah-olah kita dipaksa untuk menghubungi drugvokrug727@india.com. Berikut salah satu screenshot oleh orang yang pernah menghubungi alamat email tersebut.

Contoh email pemerasan

Dia menyatakan bahwa dia adalah sekelompok tim Network Security, yang sudah menemukan vulnerability pada server dan menawarkan untuk melakukan dekripsi file-file yang sudah terinfeksi. Tentunya dengan membayar sejumlah uang. Pada contoh diatas diharuskan untuk membayar sebesar 3-5 bitcoin. Saat ini 5 Bitcoin = Sekitar 43 Juta Rupiah. Bayangkan pada 2014 lalu 1 bitcoin bisa mencapai 14 Juta Rupiah.

Bitcoin to Rupiah

Tidak berhenti sampai dengan melakukan infeksi server dengan ransomware, server tersebut tenyata juga dijadikan budak untuk menambang bitcoin. Dengan ditemukannya aplikasi Claymore CryptoNote CPU Miner.

Bitcoin miner Claymore CryptoNote

Tentunya ini adalah contoh sederhana dari bisnis pemerasan yang sedang booming saat ini. Satu hal yang pasti, sangat tidak disarankan untuk membayar kepada pelaku pemerasan.

Dengan adanya kejadian ini kita diharapkan untuk lebih hati-hati dan lebih peka terhadap IT Security. Selalu mengikuti IT Security best practice, penerapan security policy seperti password policy, melakukan backup secara berkala, update secara berkala, vulnerability assessment secara berkala, dan sesering mungkin untuk melakukan security awareness.

Sumber:

• Ransomware. Forum Bleeping Computer. bleepingcomputer.com.
• Troldesh/Shade. Forum Bleeping Computer. bleepingcomputer.com.
• Ransomware avoidance. Forum Bleeping Computer. bleepingcomputer.com.
• "Troldesh" - New Ransomware from Russia. Natalia Kolesova. checkpoint.com.
• Claymore's CryptoNote Windows CPU Miner v3.4. Forum Bitcoin. bitcointalk.org.

Tingkat ketakutan Ransomware 2016

Infographic Ransomware Threats Concern Survey

Tingkat ketakutan terhadap Ransomware di tahun 2016 ini semakin tinggi. Sedangkan tingkat kepercayaan pada berbagai solusi perangkat security yang digunakan semakin turun.
Pada akhirnya akan lebih efektif untuk melakukan Security Awareness Training/Campaign dan melakukan backup secara berkala.

Sumber: 

• Ransomware awareness and fear growing: Study. scmagazine.com.
• [InfoGraphic] Ransomware Threats Concern Survey. knowbe4.com.

Contoh email phishing with malware

Kadang-kadang kita menerima email yang cukup menarik seperti dokumen invoice, daftar gaji pegawai, sexy photo, dll. Tentunya ini bikin kita gatal kalau ga dibuka. Apa sih salahnya toh cuma diintip bentar :-)

Contoh email phishing with malware

Gambar diatas adalah contoh email sederhana kelihatannya berisi dokumen invoice, yang ada kemungkinan salah kirim ke email saya. Tapi, jangan salah sebenarnya email tersebut merupakan email phishing dengan malware disamarkan seperti file Microsoft Word dengan extension .doc.

File properties

Cara sederhana untuk melihat file tersebut berbahaya atau tidak, bisa dengan cara melihat file properties seperti pada gambar di atas. Coba bandingkan dengan dengan file Microsoft Word yang anda punya. Tentunya akan sangat mencurigakan apabila character count sebuah dokumen invoice hanya memiliki 1 karater saja.

Contoh test dokumen

Cara lain yang lebih akurat bisa dengan melakukan scanning menggunakan Anti Virus favorit anda. Berikut contoh hasil scan menggunakan Windows Defender / Microsoft System Center End Point Protection.

Hasil scan windows defender

Tetapi bagaimana kalau anda tidak memiliki Anti Virus, atau mungkin Anti Virus anda belum mengenali jenis virus tersebut. Tapi anda yakin file tersebut merupakan file yang berbahaya.

Hasil scan virustotal

Untungnya di Internet cukup banyak situs yang menyediakan analisa file terhadap virus, salah satunya dari virustotal.com. Bisa dilihat dari 56 daftar Anti Virus yang dimiliki oleh virustotal, ada 2 Anti Virus yang menyatakan dokumen tersebut merupakan virus/trojan.

Panduan pemilihan wireless Routerboard Mikrotik

Biasanya untuk memilih perangkat Routerboard Mikrotik yang sesuai kita memilih berdasarkan jumlah port, spesifikasi CPU, memory dan packet per second (pps) yang bisa ditangani oleh sebuah perangkat.

Mikrotik Routerboard

Bagaimana dengan perangkat Routerboard wireless outdoor? Tentunya kita akan melihat spesifikasi wireless standard yang digunakan 802.11 b/g/n, 802.11 ac, frekuensi, antenna gain, power, dan jumlah chain yang digunakan oleh perangkat tersebut.

Mikrotik Routerboard Wireless Outdoor

Akan cukup sulit pada saat kita ditanya jarak maximum, dan jumlah throughput yang bisa dilakukan oleh sebuah perangkat wireless. Karena cukup banyak faktor yang harus dihitung untuk memberikan angka tersebut, pada akhirnya kita berpatokan pada pengalaman di lapangan.

Wireless product selection guide

Untungnya Mikrotik mengeluarkan panduan pemilihan perangkat wirelessnya pada Mikrotik Newsletter Issue #27. Dengan adanya panduan ini pemilihan perangkat wireless outdoor akan semakin mudah. Lihat panduan pemilihan wireless antar produk yang sama dan dengan produk mANTBox 19.

Sumber: MikroTik Newsletter, Issue #27 - May 2016. mikrotik.com.

Access Point di dalam tembok

UniFi AP IN-WALL

UniFi AP In-Wall (UAP-IW), solusi pintar dalam menyediakan jaringan LAN dan WLAN dalam 1 buah perangkat sederhana. Cocok untuk kamar hotel, apartemen, kontrakan, bahkan kos-kosan.

UniFi AP In-Wall Deployment

UAP-IW menyediakan 1 buah konektor RJ45 untuk data dan 1 buah port PoE yang bisa menghidupkan perangkat lain seperti VoIP  Phone.

UniFi AP In-Wall Specification

Sumber: UniFi AP IN-Wall. ubnt.com.