Nexpose

Nexpose, salah satu tools Vulnerability Management dari Rapid7. Dengan tools ini anda bisa dengan mudah mengidentifikasi vulnerability apa saja yang ada pada perangkat anda.

Nexpose Edition Comparison

Bahkan dengan menggunakan Nexpose Community Edition, anda bisa langsung mengidentifikasi apakah server anda sudah aman atau belum. Default password, legacy software, dan berbagai well-known vulnerability dari CVE, Microsoft, dll. Bisa dengan mudah ditemukan oleh Nexpose Community Edition secara GRATIS.

Nexpose Dashboard

Nexpose juga menyediakan Remediation report, yang membuat application developer atau system enginner untuk melakukan remediasi terhadap vulnerability yang telah ditemukan.

Nexpose Remediation Report

Sumber: Nexpose. rapid7.com.

Port Scanner - Nmap

Dilihat dari sisi network engineer atau system engineer ini adalah tools yang cukup berguna untuk melakukan verifikasi terhadap service dijalankan. Misalnya pada saat menjalankan web service apache, atau mungkin saat melakukan konfigurasi Port Address Translation (PAT)/ Network Address Translation (NAT).

Tetapi dilain pihak tools ini sangat berguna bagi para hacker untuk melakukan reconnaissance. Dengan Nmap para hacker bisa dengan mudah untuk melihat tingkat kesulitan target berdasarkan informasi yang didapat.

Dengan semakin banyak "pintu" yang terlihat pada suatu target, ini akan memberikan banyak opsi serangan yang bisa diberikan oleh hacker.

Sumber: Nmap. nmap.org.

OWASP Zed Attack Proxy

OWASP Zed Attack Proxy (ZAP), salah satu tools untuk melakukan webapp pentest yang free dan opensource. Cukup mudah digunakan untuk menemukan vulnerability yang mungkin ada pada aplikasi web anda.

Dengan menggunakan tools OWASP ZAP, vulnerability seperti cross site scripting (XSS) dan SQL Injection bisa dengan mudah ditemukan, seperti pada screenshot dibawah.

Sumber:

• OWASP Zed Attack Proxy Project. owasp.org.
• 2015 Top Security Tools as Voted by ToolsWatch.org Readers. toolswatch.org.

Gak perlu pinter buat hacking

Hari ini gak perlu jadi orang pinter buat hacking, tiap hari selalu ada vulnerability baru yang ditemukan, dan tools yang tersedia di Internet juga sangat banyak. DoS Attack, Trojan, Backdoor, MitM Attack,  you name it lah semua ada.

Berikut data yang didapat tahun 2003 lalu oleh CERT Centers, Software Engineering Institute , Carnegie Mellon.

Tahun berapa sekarang? Apakah anda masih merasa aman setelah melihat data ini?

 Sumber: Threat Trends and Protection Strategies. Barbara Laswell, CERT Centers, Software Engineering Institute - Carnegie Mellon. cert.org.

Professional Certification & MEA 2016

Perdagangan bebas di kawasan ASEAN atau lebih dikenal sebagai Masyarakat Ekonomi Asean (MEA) 2016. Salah satu bentuk kerjasamanya adalah tenaga kerja terampil/profesional. Indonesia akan menerima tenaga kerja dari ASEAN dan juga sebaliknya.

Intinya kita sebagai tenaga kerja profesional harus bisa bersaing dengan tenaga kerja asing dari sesama negara Asia Tenggara.

Strategi saya adalah dengan mendapatkan pengakuan dalam bentuk sertifikasi internasional, bagaimana dengan anda?

Berikut daftar sertifikasi yang sudah saya miliki:

Banyak yang bisa berkata manis tapi berapa banyak yang bisa membuktikan perkataannya? Khususnya dalam hal teknis.

Infografis: 10 Negara Anggota Masyarakat Ekonomi ASEAN (MEA).

Sumber:

• Sertifikasi Information Security di Indonesia Jelang MEA. Ciso Magazine. ciso.co.id.
• 8 profesi yang akan bersaing di Masyarakat Ekonomi ASEAN (MEA). rappler.com.
• 2016 MEA dimulai, pengertian apa itu MEA masih banyak masyarakat Indonesia yang tidak mengerti. news.hargatop.com.

Vulnerability Assessment Vs Penetration Testing

Berdasarkan peraturan/regulasi dari Peraturan Bank Indonesia (PBI) atau Otoritas Jasa Keuangan (OJK) beberapa perusahaan di Indonesia diharuskan untuk diuji segi keamanan IT-nya (Penetration Testing) minimal 1 tahun sekali.

Tetapi terkadang kita bingung apa perbedaan dari Vulnerability Assessment dengan Penetration Testing.

Industry Standard References:

• National Vulnerability Database (NVD)
• Common Vulnerability Scoring System (CVSS)
• Common Vulnerabilities and Exposure (CVE)
• Common Weakness Enumeration (CWE)
• Bugtraq ID (BID)
• Open Source Vulnerability Database (OSVDB)

Sumber: Dokumen PCI DSS v1.0 March 2015. Penetration Testing Guidance.

The Dude

The Dude, aplikasi network monitoring dari MikroTik. Dapat melakukan scan dan menggambar topologi jaringan secara otomatis. Dan yang paling penting, GRATIS.

Monitor CPU Usage, Memory Usage, Disk Usage, Uptime, bandwidth traffic, semua yang bisa dimonitor menggunakan SNMP.

Monitoring perangkat Cisco, Forwarding Rates, Active Calls, DSP.

Bisa juga monitor wireless signal, atau bahkan melakukan spectral scan.

Sumber:

• The Dude. mikrotik.com.
• Monitoring Network with the DUDE. Syed Jahanzaib. aacable.wordpress.com.
• Dude 4.0 beta3: high CPU on cisco devices. gsandul. forum.mikrotik.com.
• Display live values on Dude. Mirek. forum.mikrotik.com.

Stuxnet

Senjata Cyber pertama yang digunakan untuk menyerang infrastruktur kritikal.
Stuxnet, menyerang perangkat PLC (Programmable Logic Controller) yang sering digunakan sebagai bagian dari mesin kontrol di sebuah pabrik. Stuxnet terbukti berhasil melumpuhkan fasilitas nuklir Iran.

Sumber:

• The Real Story of Stuxnet. ieee.org.
• Stuxnet 0.5 – The Missing Link. Symantec.com.

BTest MikroTik

Tools Bandwidth Test dari MikroTik, tersedia dalam bentuk aplikasi yang bisa dijalankan pada OS Windows, dan juga tersedia sebagai salah satu fitur pada RouterOS MikroTik.

Dengan tools ini memungkinkan seorang administrator jaringan untuk melakukan verifikasi throughput upload/download yang dimiliki dari titik satu ke titik lainnya.

Sumber: Tools Bandwidth Test. mikrotik.com.

Cryptography

Cryptography adalah sebuah metode untuk mengubah data menjadi data yang acak supaya data tersebut tidak dapat dilihat oleh orang yang tidak berkepentingan.
Cryptography biasanya digunakan untuk melindungi data penting seperti email, chatting, transaksi web, data pribadi, data perusahaan, e-commerce, dll.

To know more about how to secure your Information Systems become a Certified Ethical Hacker.

Sumber: eccouncil.org.

Torch MikroTik

Salah satu tools untuk troubleshoot pada perangkat MikroTik. Torch, memungkinkan seorang administrator jaringan untuk menganalisa traffic apa saja yang lewat pada interface tertentu.

Dengan adanya tools ini kita bisa menganalisa protokol apa saja yang digunakan pada suatu aplikasi. Tools ini juga sangat berguna pada saat membuat konfigurasi QoS (Quality of Service) atau Queue berdasarkan jenis traffic yang lewat.

Sumber: Troubleshooting Tools. wiki.mikrotik.com.

Protocol yang rentan terhadap sniffing

Kalau anda masih menggunakan beberapa protocol berikut seperti HTTP, Telnet, rlogin, POP, IMAP, SNMP, NNTP, dan FTP. Jangan kaget kalau suatu saat username dan password anda digunakan oleh orang-orang yang tidak bertanggung jawab karena data yang dikirim dalam bentuk clear text.

To know more about these attacks and how to secure your Information Systems become a Certified Ethical Hacker.

Sumber: eccouncil.org.

Panduan keamanan perangkat jaringan TI

Router, Switch, Firewall, Load Balancer, you name it lah... Semua perangkat jaringan tentunya perlu panduan praktis untuk menjaga keamanannya.

Cisco Network Security Baseline, bisa menjadi panduan praktis dalam mengelola keamanan perangkat jaringan TI anda.

Berikut cuplikan dari security checklist pada dokumen Cisco Network Security Baseline.

Tentunya dokumen ini bisa digunakan pada berbagai produk atau merek apapun.

Sumber:

• Cisco Network Security Baseline. Cisco.com.
• Cisco Router Checklist - ISO 27001 Security. iso27001security.com.

Panduan Keamanan Web Server

Bingung harus mulai dari mana untuk mengamankan sebuah server yang akan di publish ke Internet? Harus pakai firewall berapa lapis, pakai password yang panjang dan kompleks, harus ini dan itu. Apalagi server tersebut akan digunakan sebagai aplikasi e-commerce atau mungkin harus memenuhi sertifikasi PCI DSS.

Coba cek dokumen NIST SP800-44v2.

Berikut cuplikan dari security checklist yang ada dalam dokumen tersebut.

Mulai dari proses logging, bakcup, remote administration, content updates, patching, authentication, encryption, dll.

Sumber: National Institute of Standards and Technology (NIST) SP 800-44v2 Guidelines on Securing Public Web Servers. Nist.gov.

Server di dalam Router

Apakah pernah terbayang, ada server di dalam router?

Cisco UCS E-Series, memungkinkan 1 box perangkat sudah termasuk router dan server di dalamnya. Sangat cocok untuk kantor cabang, tidak perlu pusing dengan rack server yang besar. Konsumsi daya dan kabel juga berkurang.

Berikut beberapa model Cisco UCS-E Series:

Bisa untuk virtualisasi juga lho.

Sumber: Cisco UCS-E Series Servers. Cisco.com.