Amaran Untuk Pentadbir Sistem Laman Web : OpenSSL Heartbleed Information Disclosure Vulnerability

Amaran Untuk Pentadbir Sistem Laman Web : OpenSSL Heartbleed Information Disclosure Vulnerability

[HIGH ALERT] Status SEGERA dan KRITIKAL.

Semua laman web HTTPS, yang menggunakan OpenSSL sama ada Apache, Nginx dan lain-lain, dalam Linux atau Windows, XAMPP. Sila segerakan kemasan (upgrade).

Rujukan

https://www.openssl.org/news/secadv_20140407.txt

Amaran dari MyCERT http://www.mycert.org.my/en/services/advisories/mycert/2014/main/detail/963/index.html

Pengesanan

Saya gunakan https://www.ssllabs.com/ssltest/ untuk periksa OpenSSL apa yang digunakan.

Selepas keputusan keluar gunakan fungsi find (CTRL dan F) dalam page result, cari OpenSSL. Apa jua versi 1.0.1 perlu kemasan ke 1.0.1g

Bacaan lanjut

http://heartbleed.com/

Bantuan

Pertanyaan dan panduan boleh berbincang di Perbincangan OWASP.my di Facebook

https://www.facebook.com/groups/owaspmy/

Sebaran oleh Harisfazillah Jamel (LinuxMalaysia)

8 Apr 2014

OpenSSL Security Advisory [07 Apr 2014]

TLS heartbeat read overrun (CVE-2014-0160)

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Only 1.0.1 and 1.0.2-beta releases of OpenSSL are affected including
1.0.1f and 1.0.2-beta1.

Thanks for Neel Mehta of Google Security for discovering this bug and to
Adam Langley <agl@chromium.org> and Bodo Moeller <bmoeller@acm.org> for
preparing the fix.

Affected users should upgrade to OpenSSL 1.0.1g. Users unable to immediately
upgrade can alternatively recompile OpenSSL with -DOPENSSL_NO_HEARTBEATS.

1.0.2 will be fixed in 1.0.2-beta2.

Hala Tuju Kemahiran Keselamatan Komputer Dan Internet (ICT)

OWASP Malaysia

Panduan ringkas ini saya sediakan apabila seorang sahabat bertanya tentang kemahiran keselamatan ICT yang beliau boleh pelajari dan kuasai. Dalam bidang keselamatan ICT (Information Security) secara umum terbahagi kepada tiga bahagian.

1) Menjalankan kerja-kerja menguatkan (hardening) pertahanan server dalam sistem rangkaian (Network).

2) Menjalankan kerja-kerja audit kepada server dan sistem rangkaian dalam memastikan sistem pertahanan dalam keadaan baik.

3) Menjalankan ujian serangan anda sendiri bagi menguji pertahanan (Pentest)

Sebagai permulaan, mulakan dengan hardening dan membuat audit server. Laman web CISecurity menyediakan pelbagai dokumen benchmark yang boleh digunakan sebagai rujukan dalam usaha hardening server. Sila rujuk laman web ini :-

http://benchmarks.cisecurity.org/en-us/?route=default

Jika anda pengguna Ubuntu Server, sila Download dokumen bertajuk Debian Linux Benchmark. Baca dan ikut arahan-arahan dan panduan yang diberikan. Ini termasuk penjelasan mengapa ia perlu dilakukan dalam usaha hadening server.

Untuk hardening pensijilan seperti  LPI1 dan LPI2 adalah sijil yang kita perlu ambil untuk nilaikan diri kita. Lawat Linux Professional Institute (LPI)  http://www.lpi.org/ untuk maklumat lanjut persijilan ini. Di Malaysia sila sertai

Facebook LPI Malaysia http://www.facebook.com/LPI.Malaysia

Selepas kita harden server sudah tentu kita hendak menguji kemampuan ia. Kita perlu jalankan Penetration Test (Ujian penembusan). Dokumen ini agak lama, namun ia boleh digunakan untuk dapatkan konsep pentest.

http://www.sans.org/reading_room/whitepapers/testing/penetration-101-introduction-penetration-tester_266

Maka saya cadangkan Certified Ethical Hacker (CEH) untuk sijil

http://www.eccouncil.org/courses/certified_ethical_hacker.aspx

dan bapa kepada semua diatas adalah CISSP

https://www.isc2.org/cissp/default.aspx

dan Cybersecurity Malaysia ada sediakan latihan persediaan CISSP ini. Sila rujuk laman web http://www.cybersecurity.my/

Bagi yang mahu kembangkan lagi kemahiran dalam keselamatan ICT boleh mengambil pensijilan  Red Hat Certified Security Specialist (RHCSS). Ia ada  sijil keselamatan ICT bagi membukti kemahiran dalam penggunaan Red Hat Enterprise Linux dan SELinux.

http://sg.redhat.com/certification/rhcss/?sc_cid=70160000000TmB8AAK

Bagi yang hendak belajar sendiri boleh menggunakan merujuk kepada laman web ini :-

OWASP Webgoat

https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

Belajar dengan ketahui kelemahan server yang disediakan diatas oleh OWASP. Sertai OWASP Malaysia

https://www.owasp.org/index.php/Malaysia

dan juga disini untuk latihan bagi menguatkan Web Application, "Web Application Exploits and Defenses"

https://google-gruyere.appspot.com/

Jangan lupa kepada Smart phone security terutamanya telepon bimbit yang dijalankan oleh Google Android. Boleh gunakan panduan ini sebagai permulaan.

http://benchmarks.cisecurity.org/en-us/?route=downloads.show.single.android.100

Laman-laman web yang dicadangkan untuk dilawati untuk berita bugs dan masalah keselamatan ICT

http://www.linux.com/

http://www.sans.org/

http://www.cybersecurity.my/

Dapatkan notis keselamatan terkini daripada laman-laman web berikut :-

http://www.kb.cert.org/vuls/

http://packetstormsecurity.org/

http://www.mycert.org.my/

Internet Storm Center

http://isc.sans.edu/

Gunakan Google untuk mengetahui mana-mana laman web yang mungkin mempunyai masalah bugs atau exploit.

http://www.exploit-db.com/google-dorks/

Anda boleh daftarkan laman web anda dengan Google Webmaster Tools untuk mengetahui sebarang perubahan yang berlaku dalam isi kandungan laman web anda.

https://www.google.com/webmasters/tools/

Moga ia menjadi panduan semua.

Harisfazillah Jamel aka LinuxMalaysia

6 Nov 2012

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Malaysia License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Jemputan Sertai IRC MySecurity.my

Jemputan Sertai IRC MySecurity.my

Assalamualaikum dan salam sejahtera,

Saya panjangkan email daripada rakan-rakan MySecurity.my bagi anda yang berminat dengan keselamatan komputer. Kita berkongsi ilmu dan nasihat.

Diskusi email FreeBSD / PCBSD
http://lists.pcbsd.org/mailman/listinfo/pcbsd-malaysia

MyBSD Portal
http://mybsd.org.my/

OSDC.my
http://groups.google.com/group/osdcmy-list

Wassalam.

Harisfazillah Jamel.

---

Hi all,

After our meeting today at Bangi Oldtown with 9 members . We are agreed to invite all of you guy to join our irc community for discussion about security and etc. Our agenda will sent to all after this meetup.

FreeBSD/PCBSD community are happy to invite all community to join to build more strongest security among us.

IRC server
/server irc.mysecurity.my 80

We use port 80 because many of us have policy  block default irc port 6667. For that we use port 80 so everybody can go in to irc server. Any comment and opinion are welcome.

Mohd Fazli Azran
PCBSD Malaysia
MySecurity.my

Laman Web Minum Pagi Pentadbir Sistem Komputer

Laman Web Minum Pagi Pentadbir Sistem Komputer adalah laman-laman web yang perlu dilawati oleh pentadbir sistem komputer sebaik sahaja memulakan tugas. Laman-laman ini adalah untuk keperluan memastikan sebarang notis keselamatan komputer diketahui dengan lebih awal.

http://isc.sans.org/

http://www.cert.org/blogs/vuls/

http://www.linux.com/

http://gcert.mampu.gov.my/

http://www.mycert.org.my/en/

http://www.cert.org/vuls/discovery/

http://slashdot.org/

Panduan Keselamatan Nama Pengguna Dan Kata Laluan

Panduan Keselamatan Nama Pengguna Dan Kata Laluan

Rutin atau kelemahan dalam perilaku manusia (Social Engineering) sering digunakan oleh penceroboh komputer untuk mendapatkan laluan masuk. Salah satu pintu masuk kepada sesebuah sistem adalah nama pengguna dan kata laluannya.

Nama pengguna yang boleh diteka, kata laluan menggunakan perkataan daripada kamus, kata laluan yang tidak ditukar begitu lama, pengkongsian nama pengguna dan kata laluan, tidak melakukan audit kepada log kemasukkan dan sistem, tidak menjalankan ujian penembusan dan menulis kata laluan adalah diantara perkara kecil tapi penting yang tidak dilakukan dalam mengurangkan risiko kejayaan serangan melalui "Social Engineering".

Artikel ini ditulis untuk pentadbir komputer IT, namun begitu amalannya bersesuaian untuk pengguna-pengguna lain dalam menjaga nama pengguna dan kata laluan masing-masing.

Diantara langkah-langkah mudah yang boleh diambil dalam meningkatkan taraf keselamatan dalam penggunaan nama pengguna dan kata laluan.

(1) Gunakan nama pengguna yang unik

Menjadi kebiasaan nama pengguna dikaitkan dengan nama individu atau applikasi yang dipasang. Sebagai contoh menggunakan nama pengguna Oracle. Ia dengan mudah boleh diandaikan sebagai nama pengguna untuk pangkalan data Oracle. Dengan kelemahan menggunakan kata laluan daripada kamus, peluang pencerobohan akan menjadi semakin tinggi.

Inilah yang dicari oleh penceroboh komputer. Sesuatu yang mudah untuk pentadbir maka mudahlah untuk mereka.

Gunakan nama penggunaan yang tiada kaitan sebagai contoh ora123. Gunakan campuran huruf dan nombor untuk menyukarkan tekaan.

Serangan menggunakan perkataan dalam kamus sering digunakan untuk mendapatkan nama pengguna dan juga kata laluan. Menggunakan nama pengguna campuran huruf dan nombor akan meningkatkan tahap kesukaran untuk membuat tekaan.

Begitu juga menggunakan nama pengguna berkaitan dengan individu. Apabila nama pengguna dikait dengan individu dan pangkat, maka ia boleh dijangkakan pengguna itu mempunyai keistimewaan pentadbiran yang lebih tinggi daripada orang lain. Adalah dinasihatkan membuat nama pengguna yang tiada kaitan dengan individu dan pangkat, agar ia tidak mudah untuk diteka kemampuannya.

Penceroboh akan cuba menyerang nama pengguna yang dijangkakan akan memberikan mereka peluang untuk pergi lebih jauh lagi dengan keistimewaan pengguna tersebut.


(2) Kata laluan yang senang diingat tetapi sukar diteka.

Kata laluan perlulah menggunakan enam atau lebih campuran huruf kecil, besar dan nombor. Tambahan simbol khas seperti ! @ # $ % ^ & * akan meningkatkan lagi tahap kesukaran untuk diteka. Sebagai contoh, jika mahu menggunakan kata laluan cilipadi, maka kata laluan boleh menjadi

c1L1p4d1

dan penambahan simbol khas

c1L1p4d1@7

Campuran kata laluan begini akan meningkatkan tahap kesukaran dan menambahkan masa yang terlalu untuk dipecah masuk dengan menggunakan perisian pemecah kata laluan.

Perisian-perisian pencerobohan menggunakan perkataan-perkataan dalam kamus bagi membuat serangan kepada nama pengguna dan kata laluan. Elakkan langsung menggunakan perkataan-perkataan dalam kamus.

(3) Kata laluan hanya perlu diingat

Jangan sekali menulis kata laluan dimana-mana. Kata laluan hanya perlu diingat. Jangan ditulis didalam diari, atau ditulis dan disimpan dalam dompet atau membuat catatan dalam telpon bimbit.

Tiada yang selamat jika kata laluan ditulis. Jika ada keperluan untuk menulis kata laluan, pastikan ia ditulis diatas kertas yang tebal kemudian dilipat dan dimasukkan dalam sampul bergam, sampul dicop pada bahagian boleh buka dan disimpan dalam peti keselamatan.

(4) Amalan tukaran kata laluan secara berkala

Jika ada ditanya bilakah kata laluan anda kali terakhir ditukar? Pasti ramai yang menjawab tidak pernah menukarnya. Standard jangka masa tukaran kata laluan, adalah 90 hari untuk pengguna biasa, 60 hari untuk akaun super dan akaun penting. Bagi komputer pelayan (server) yang dengan sensitif tinggi, 30 hari adalah standard utama.

Dengan menukar kata laluan secara berkala, ia akan mengurangkan peluang untuk kata laluan yang dicuri daripada ia dipergunakan. Ada banyak cara untuk mendapatkan kata laluan sama ada dengan key logger, intipan dan pelbagai.

Unik dan sukar bagaimana pun kata laluan anda, pasti ia akan didapatkan oleh penceroboh yang betul-betul mahir dan dedikasi.

(5) Jangan berkongsi nama pengguna dan kata laluan

Jangan sesekali kongsikan nama pengguna dan kata laluan dengan orang lain. Apabila ini berlaku ia sudah diluar kawalan pemiliknya dalam soal apabila ia diturut dikongsikan kepada orang lain tanpa pengetahuan pemiliknya. Sekiranya berlaku masalah, pemilik nama pengguna dan kata laluan akan dipersalahkan walaupun kesalahan itu bukan dilakukan olehnya.

Sekiranya ada keperluan untuk berkongsi nama pengguna, tukarkan kata laluannya dengan cepat apabila selesai digunakan.

(6) Pelbagaikan kata laluan untuk setiap nama pengguna

Kata laluan perlu unik untuk setiap nama pengguna. Jangan samakan kata laluan hanya kerana mahu senang ingat kerana apabila berlaku pencerobohan kepada satu server akan membahayakan server yang lain.

Amalan ini sepatutnya diamalkan oleh pengguna lain terutama melibatkan penggunaan kemudahan di Internet. Jangan samakan kata laluan email dengan kata laluan pengguna di forum. Jangan sesekali samakan nama pengguna dan kata laluan kemudahan perbankan Internet anda. Biarlah unik agar pencerobohan dalam akaun email tidak akan menggugat akaun bank Internet anda.

(7) Berhati-hati dengan laman Phising

Apabila mengisikan satu borang di Internet untuk apa jua kemudahan berhati-hatilah. Kes curian nama pengguna dan kata laluan sering berlaku. Sekiranya anda mendapat email daripada laman web yang sering anda lawati, perhatikan linknya agar ia sama dengan link laman web yang sepatutnya anda lawati.

Terdapat banyak kes phising. Phising adalah usaha mendapatkan nama pengguna dan kata laluan melalui laman web yang dibuat hampir sama dengan laman web asal tetapi ia dibuat dalam server lain yang hanya dengan tujuan mendapat nama pengguna dan kata laluan anda.

Edaran link laman phising sering dilakukan dengan email, yang seakan datang daripada laman yang biasa dan terkenal. Berhati-hati juga dengan email yang disangkakan datang daripada laman Internet bank anda. Menjadi polisi semua bank untuk tidak edarkan maklumat atau link melalui email.

Mozilla Firefox dengan Google toolbar memberikan kemudahan peringatan laman phising apabila ia mengesan laman yang dilawati pengguna dalam senarai laman phising.

Begitu juga dengan kemudahan penapisan email daripada sumber terbuka yang menggunakan enjin Clamav dapat mengesan email yang mengandungi link phising.

(8) Hadkan penggunaan nama pengguna super

Salah satu serangan pencerobohan adalah untuk mencuba memasuki akaun adalah dengan menggunakan nama pengguna super yang biasa digunakan. Antaranya adalah administrator atau root. Akaun berkuasa ini perlu dikurangkan penggunaannya.

Satu akaun lain perlu dibuat dimana ia perlu dengan keistimewaan pentadbiran (privilage) yang rendah dan bersesuaian dengan tugasan yang berkaitan sahaja. Sebagai contoh, untuk menjalankan Oracle, hanya buat satu akaun dengan hanya kemampuan untuk oracle sama ada untuk menjalankan "Service" Oracle atau hak terhadap folder Oracle.

Kata laluan (password) untuk pengguna super perlulah ditetap supaya ia tidak mudah untuk diteka atau diingati. Ia perlulah ditaip oleh kaki tangan yang tidak terlibat dengan IT. Ia perlu dtuliskan sendiri oleh kakitangan tadi diatas kertas yang tebal yang dilipat dan dimasukkan dalam sampul surat bergam. Sampul surat ini perlulah dicop pada lipatan mudah buka dan disimpan dalam peti simpanan keselamatan.

Bagi keselamatan tahap tinggi, kata laluan akaun super ini akan dimasukkan dua bahagian oleh dua orang daripada jabatan-jabatan luar IT dan masing-masing tidak akan beritahu apa yang dimasukkan. Dua bahagian ini akan disimpan dalam kertas berlipat yang berlainan, dimasukkan dalam sampul surat berlainan dan disimpan dalam dua peti keselamatan yang berlainan.

Apabila nama pengguna super dan kata laluannya digunakan. Kata laluan perlu ditukarkan dengan kata laluan baru berdasarkan langkah-langkah yang dinyatakan tadi.

Kata laluan super juga termasukkan dalam pertukaran secara berkala. Tukarkan kata laluan pengguna super setiap 60 hari atau bagi komputer pelayan (server) dengan data sensitif setiap 30 hari.

Terdapat langkah khusus yang membuat nama pengguna super ini hanya boleh digunakan pada terminal di komputer pelayan. Nama pengguna super sepatutnya tidak digunakan melalui sistem rangkaian. Terdapat pelbagai perisian yang boleh mendapatkan paket data sistem rangkaian dan membuat analisa carian nama pengguna dan kata laluan.

(9) Audit dan ujian penembusan perlu dijalankan

Audit komputer pelayan dan ujian penembusan rangkaian perlu dijalankan setiap tahun bagi memastikan komputer pelayan adalah dalam keadaan selamat dan tidak diceroboh.

Kebanyakan kes pencerobohan tidak dikesan dengan cepat. Dengan menjalankan audit ia boleh memastikan tahap keselamatan komputer pelayan sentiasa tinggi dan mematuhi standard disamping melihat sama ada berlaku kes pencerobohan.

Lebih baik mengetahui kelemahan itu awal daripada mengetahuinya melalui penglibatan penceroboh.

(10) Wujudnya jabatan, unit atau jawatan khusus untuk penjagaan keselamatan IT

Tugasan menjaga nama pengguna super dan kata laluan sepatutnya diasingkan daripada pentadbir komputer dan sokongan teknikal. Pengasingan tugas akan mengurangkan risiko keselamatan yang ditimbulkan daripada dalaman.

Pengasingan ini turut memastikan bahawa penjaga keselamatan IT tidak boleh menjalankan kerja-kerja pentadbiran komputer dan sokongan teknikal.

Jawatan, unit atau jabatan yang diwujudkan untuk keselamatan komputer selain dipertanggung jawabkan dengan penjagaan nama pengguna super, ia turut menjalankan audit komputer, membuat kerja-kerja penembusan komputer dan lain-lain hal keselamatan komputer.

Pada jangka masa berkala, Ketua bahagian atau jabatan IT perlu menjalankan audit kepada jawatan atau jabatan IT melalui bantuan pentadbir komputer IT untuk memastikan wujud periksa dan imbang antara dua tugasan ini.

Pada masa berkala juga, perlu juga wujud penilaian daripada agensi keselamatan luar atau syarikat audit keselamatan IT luar dalam membuat penilaian audit keselamatan IT dalaman.

Masalah keselamatan IT bukan sahaja datang daripada kelemahan applikasi atau sistem operasi. Kebanyakan kes pencerobohan adalah disebabkan oleh kelemahan manusia. Malah serangan melalui "Social Engineering" sering dilakukan bagi mendapatkan nama pengguna dan kata laluan dibandingkan dengan serangan lain.

Harisfazillah Jamel

http://blog.harisfazillah.info/

30 Mei 2007

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Malaysia License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Di Internet
http://www.harisfazillah.info-a.googlepages.com/katalaluan