Memaparkan catatan dengan label Security. Papar semua catatan
Memaparkan catatan dengan label Security. Papar semua catatan

Hala Tuju Kemahiran Keselamatan Komputer Dan Internet (ICT)

06 November 2012 | Label: , | |


OWASP Malaysia
Panduan ringkas ini saya sediakan apabila seorang sahabat bertanya tentang kemahiran keselamatan ICT yang beliau boleh pelajari dan kuasai. Dalam bidang keselamatan ICT (Information Security) secara umum terbahagi kepada tiga bahagian.

1) Menjalankan kerja-kerja menguatkan (hardening) pertahanan server dalam sistem rangkaian (Network).

2) Menjalankan kerja-kerja audit kepada server dan sistem rangkaian dalam memastikan sistem pertahanan dalam keadaan baik.

3) Menjalankan ujian serangan anda sendiri bagi menguji pertahanan (Pentest)

Sebagai permulaan, mulakan dengan hardening dan membuat audit server. Laman web CISecurity menyediakan pelbagai dokumen benchmark yang boleh digunakan sebagai rujukan dalam usaha hardening server. Sila rujuk laman web ini :-

http://benchmarks.cisecurity.org/en-us/?route=default

Jika anda pengguna Ubuntu Server, sila Download dokumen bertajuk Debian Linux Benchmark. Baca dan ikut arahan-arahan dan panduan yang diberikan. Ini termasuk penjelasan mengapa ia perlu dilakukan dalam usaha hadening server.

Untuk hardening pensijilan seperti  LPI1 dan LPI2 adalah sijil yang kita perlu ambil untuk nilaikan diri kita. Lawat Linux Professional Institute (LPI)  http://www.lpi.org/ untuk maklumat lanjut persijilan ini. Di Malaysia sila sertai

Facebook LPI Malaysia http://www.facebook.com/LPI.Malaysia

Selepas kita harden server sudah tentu kita hendak menguji kemampuan ia. Kita perlu jalankan Penetration Test (Ujian penembusan). Dokumen ini agak lama, namun ia boleh digunakan untuk dapatkan konsep pentest.

http://www.sans.org/reading_room/whitepapers/testing/penetration-101-introduction-penetration-tester_266

Maka saya cadangkan Certified Ethical Hacker (CEH) untuk sijil

http://www.eccouncil.org/courses/certified_ethical_hacker.aspx

dan bapa kepada semua diatas adalah CISSP

https://www.isc2.org/cissp/default.aspx

dan Cybersecurity Malaysia ada sediakan latihan persediaan CISSP ini. Sila rujuk laman web http://www.cybersecurity.my/

Bagi yang mahu kembangkan lagi kemahiran dalam keselamatan ICT boleh mengambil pensijilan  Red Hat Certified Security Specialist (RHCSS). Ia ada  sijil keselamatan ICT bagi membukti kemahiran dalam penggunaan Red Hat Enterprise Linux dan SELinux.

http://sg.redhat.com/certification/rhcss/?sc_cid=70160000000TmB8AAK

Bagi yang hendak belajar sendiri boleh menggunakan merujuk kepada laman web ini :-

OWASP Webgoat

https://www.owasp.org/index.php/Category:OWASP_WebGoat_Project

Belajar dengan ketahui kelemahan server yang disediakan diatas oleh OWASP. Sertai OWASP Malaysia

https://www.owasp.org/index.php/Malaysia

dan juga disini untuk latihan bagi menguatkan Web Application, "Web Application Exploits and Defenses"

https://google-gruyere.appspot.com/

Jangan lupa kepada Smart phone security terutamanya telepon bimbit yang dijalankan oleh Google Android. Boleh gunakan panduan ini sebagai permulaan.

http://benchmarks.cisecurity.org/en-us/?route=downloads.show.single.android.100

Laman-laman web yang dicadangkan untuk dilawati untuk berita bugs dan masalah keselamatan ICT

http://www.linux.com/

http://www.sans.org/

http://www.cybersecurity.my/

Dapatkan notis keselamatan terkini daripada laman-laman web berikut :-

http://www.kb.cert.org/vuls/

http://packetstormsecurity.org/

http://www.mycert.org.my/

Internet Storm Center

http://isc.sans.edu/

Gunakan Google untuk mengetahui mana-mana laman web yang mungkin mempunyai masalah bugs atau exploit.

http://www.exploit-db.com/google-dorks/

Anda boleh daftarkan laman web anda dengan Google Webmaster Tools untuk mengetahui sebarang perubahan yang berlaku dalam isi kandungan laman web anda.

https://www.google.com/webmasters/tools/

Moga ia menjadi panduan semua.

Harisfazillah Jamel aka LinuxMalaysia

6 Nov 2012

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Malaysia License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Facebook Anda Dalam Bahaya Jika

27 September 2012 | Label: , | |


Facebook anda dalam bahaya jika :-

a) Password Email anda sama dengan password Facebook anda. Sila tukarkan sekarang. Jangan mudahkan orang lain untuk ceroboh akaun anda terutama akaun email.


Bahaya lain sila rujuk kepada gambar, sekurangnya dua "Security Setting" dalam Facebook ini perlu Enabled.


b) Anda tidak login dengan HTTPS

Secure Browsing mesti Enabled.

Login dan Facebook anda akan mengggunakan HTTPS. HTTPS akan memastikan data dan password dengan menggunakan wireless dilindungi. Lihat contoh pautan Bukan Sekadar Internet Sahaja dibawah.


c) Anda tidak tahu bila anda login Facebook sebelum ini

Login Notification mesti Enabled.

Membolehkan anda diberitahu melalui email sebarang penggunaan Facebook anda tanpa izin.


d) Anda tidak tahu "Logout" dimana

Biasakan diri untuk "logout" daripada Facebook jika anda hendak ke mana-mana.

Ia umpama keluar rumah lupa hendak kunci pintu. Walaupun browser telah ditutup atau anda telah tutup komputer, bila kita lalai, Facebook boleh dimasuki tanpa perlu masukkan "Password". Ada setting "Remember Me" yang default selalu bertanda dan kita alpa untuk matikan ia.

Lain-lain nasihat komputer dan Internet di


Facebook security setting.

Jemputan Hari Keselamatan ICT - OWASP Day Malaysia 2011

04 September 2011 | Label: , , | |



OWASP Day Kuala Lumpur Malaysia 2011



Assalamualaikum dan salam sejahtera

Kami ingin menjemput anda untuk menyertai OWASP Day Malaysia 2011

Hari The Open Web Application Security Project 2011 atau dengan ringkasnya OWASP Day Malaysia 2011 adalah acara julung kali diadakan. Ia adalah anjuran bersama OWASP Malaysia dan Malaysian Institute of Information Technology (MIIT), Universiti Kuala Lumpur (UniKL-MIIT) dengan kerja sama Open Source Developers Community Malaysia (OSDC.my)

Ia akan diadakan dari 20 hingga 21 September 2011 di Universiti Kuala Lumpur (UniKL), Jalan Sultan Ismail, Kuala Lumpur, Malaysia.

Maklumat lanjut boleh dirujuk di laman web rasmi



OWASP Day Malaysia 2011 akan menjadi pentas perkongsian pengetahuan yang mengandungi perbincangan dua hala yang akan mewakili semua pihak yang terlibat dalam dunia keselamatan komputer. Iaitu pembangun perisian berasaskan web (web application), sektor swasta dan kerajaan.

Persidangan ini menyasarkan penyertaan daripada agensi kerajaan dan sektor perindustrian dan perniagaan, diseluruh negara terutama anda yang terlibat dalam keselamatan ICT. Ini adalah peluang yang amat baik untuk anda meningkatkan keupayaan teknologi keselamatan ICT kepada organisasi anda dan membina rangkaian hubungan kepakaran.

Senarai penuh penceramah-penceramah dan jadual terkini OWASP Day Malaysia 2011 boleh dirujuk di laman web


Pendaftaran dan bayaran penyertaan diuruskan oleh MIIT UNIKL


Sekiranya tuan/puan memerlukan penjelasan lanjut, sila hubungi Jawatan kuasa penganjur di alamat emel owaspday@osdc.my atau rujuk kepada laman web diatas untuk nombor telepon hubungan ahli jawatan kuasa.

Facebook Event Page OWASP Day Malaysia 2011




UniKL Malaysian Institute of Information Technology (UniKL MIIT)


OWASP Malaysia


The Open Web Application Security Project (OWASP)


OSDC.my


Sekian, Terima Kasih.

Harisfazillah Jamel

Bagi pihak penganjur OWASP Day Malaysia 2011

3 September 2011

Be An OWASP Member

Wireless Sekarang Mudah Kena Hack

27 Oktober 2010 | Label: , | |


Wireless Sekarang Mudah Kena Hack
Artikel ini telah dikembangkan lagi atas usaha rakan di 

http://bagaimana.oss.my/2010/10/bagaimana-mengekang-kemaraan-firesheep.html 


Terima kasih.

Assamualaikum dan salam sejahtera,

Dengan berita yang tersebar luas tentang Firesheep, Mozilla Firefox extension bagi mengintai dan menculik (session hijacking) sesi perisian web, seperti Facebook, Twitter, Flickr dan pelbagai, maka pengguna wireless sekarang terdedah dengan ancaman. Rujuk :-

Firefox Add-on Firesheep Brings Hacking to the Masses

Firesheep Sourcecode

Session Hijacking Attack


Ancaman dalam bentuk "Session Hijacking", boleh dihindari dengan memastikan capaian kepada laman web anda sentiasa menggunakan SSL (HTTPS). Kebanyakan laman utama di Internet mempunyai kemudahan SSL ini terutama sewaktu anda masukkan nama pengguna dan kata laluan. Namun ia tidak dibuat secara keseluruhan dalam capaian.

Ancaman Session Hijacking berlaku selepas anda berjaya masukkan nama pengguna dan kata laluan anda. Penggunaan SSL (HTTPS) tidak dilaksanakan selepas itu. Tanpa SSL ia membuka peluang kepada ancaman Session Hijacking dan dengan Firesheep, ia boleh dilakukan dengan mudah sekali.



Lindungi Diri Anda

Saya senaraikan beberapa kemudahan yang boleh menggunakan SSL (HTTPS) secara terus, dan akan sentiasa dikemas kini. Hanya sambungan laman dapat saya sediakan.

(1) Anda perlu tahu sama ada anda dalam Secure Site atau SSL (HTTPS) rujuk disini.


Bahagian Browser integration

Mozilla Firefox


Untuk Internet Explorer rujuk


(2) Gunakan extension Firefox ini untuk sentiasa menggunakan HTTPS bila melayari Internet (bagi laman web yang menyokongnya). Ini berguna untuk capaian ke laman web Facebook dan Twitter.

Muat turun di sini




Anda perlukan pelayar Internet Mozilla Firefox


(3) Capaian Selamat Dengan Google Gmail


Secara umum Gmail menggunakan HTTPS. Anda boleh memastikan ia dengan perkara 1.

(4) Capaian Wikipedia Cara Selamat (Secure Server)


Petua paling mudah adalah, apabila keluar notis yang pelik-pelik dari broswer anda, seperti https certificate invalid. Maka hentikan pelayaran anda. Anda mungkin kena Session Hijack.


Bukan Sekadar Internet Sahaja

Harisfazillah Jamel


27 Okt 2010.


Bagi pengguna Facebook.com jemput sertai Facebook Fan Page saya Bukan Sekadar Internet Sahaja di

http://www.facebook.com/Bukan.Sekadar.Internet.Sahaja

Facebook.com LinuxMalaysia berada di

http://www.facebook.com/linuxmalaysia

Bagi kemas kini terbaru anda dijemput untuk sertai senarai terhad email di

http://groups.yahoo.com/group/haris/ atau email kepada

haris-subscribe@yahoogroups.com

Pelbagai artikel, nota komputer dan Internet untuk Malaysia di

http://cikgucyber.blogspot.com/

Harisfazillah Jamel linuxmalaysia hafnie hafija

Bukan Sekadar Internet Sahaja Nantikan kehadiran buku ini dipasaran...

Email : linuxmalaysia @ gmail . com

http://www.harisfazillah.info/harisfazillahjamel

Dapatkan email-email terus dari

http://groups.google.com/group/hafnie

I love Aardvark! Join my network so we can help each other out... http://vark.com/s/foGQ

Berhati-hati Dengan Email Phishing

23 Januari 2010 | Label: , | |


Berhati-hati Dengan Email Phishing

Jangan percaya email daripada bank-bank di Malaysia. Ia hanyalah phishing email. Bank tidak akan hantar email kepada pelanggan mereka untuk apa-apa tujuan pun kerana ianya adalah berisiko tinggi. Pencerobohan mudah dilakukan. Percayalah.

Berhati-hatilah apabila menerima email daripada pihak yang tidak dikenal pasti. Email adalah mudah untuk ditipu (spoof). Ia mungkin daripada orang yang anda kenali atau daripada pihak bank atau pihak berkuasa maka berhati-hatilah. Buat pengesahan dengan membuat panggilan telepon kepada rakan, bank dan pihak yang menghantar email sebelum mempercayai atau berkongsi maklumat peribadi.



Sekiranya anda mendapat email kononnya dari Maybank, CIMB dan pelbagai bank sila forward kepada mycert@mycert.org.my bersama header email.

Sila lawat laman rasmi MyCERT untuk amaran dan nasihat terkini keselamatan komputer.


Phishing email adalah email yang dihantar kononnya daripada bank yang mungkin anda mempunyai akaun bank terbabit. Sebagai contoh adalah email dibawah ini

--- Mula contoh Email Phishing

Dear Valued Customer,

Maybank security systems detected a serious (PR2) security problem in your account.
Your account has been restricted due to several invalid login attempts from an unauthorized third-party.
Your immediate attention is required to reactivate your account.

Please be informed that your account will be temporarily closed if not activated now.

Activate Below http://www.maybank2u.uk.com Thank you for your understanding and support.

Maybank Berhad

From:
"info@maybank2u.com.my"


--- Akhir contoh Email Phishing


Sila perhatikan sambungan laman akan membawa ke laman web lain. Di laman web tersebut mereka yang tidak bertanggung jawab akan membina ia seakan-akan laman web Maybank2u. Warna sama, kedudukan sama dan imej pun sama. Anda akan diminta login dan akibatnya nama pengguna dan kata laluan (username dan password) akan dicuri oleh mereka. Anda mungkin tidak menyedarinya, kerana selepas cubaan masuk anda akan ke laman web Maybank2u yang sebenar.


Adalah risiko tinggi untuk pihak bank hubungi pelanggan mereka melalui email atau media lain untuk masalah akaun atau pelbagai lagi. Penipuan dengan mudah dilakukan. Bank-bank di Malaysia tidak akan email anda. Jika ada masalah dengan akaun, bank akan terus halang akaun anda. Ini memaksa anda menghubungi bank. Cara ini lebih selamat kepada pelanggan bank.


Bank tidak akan meminta sebarang maklumat anda melalui email. Baca lanjut tentang Phishing email di

 
http://www.phishtank.com/what_is_phishing.php


Cybersecurity Malaysia telah menyediakan laman web untuk pengguna komputer dan Internet Malaysia mengenai keselamatan penggunaan Internet. Sila lawat laman ini untuk mempelajari pelbagai langkah-langkah perlindungan.

 
http://www.cybersafe.my/

 Lagi laman yang bersesuaian :-


Cybersecurity Malaysia
http://www.cybersecurity.my/


GCERT MAMPU
http://gcert.mampu.gov.my/


MyCERT Facebook Fanpage
http://www.facebook.com/pages/Seri-Kembangan-Malaysia/MyCERT/109264477618


Dunia Digital Facebook Fanpage
 http://www.facebook.com/pages/Dunia-Digital/216290990218


Banking Info

http://www.bankinginfo.com.my/


Menu -> Khidmat Nasihat -> Panduan Berguna -> Penipuan Kewangan

http://www.bankinginfo.com.my/04_help_and_advice/0402_helpful_guides/financial_scams.php


Google Gmail Advice About Phishing
http://www.youtube.com/watch?v=tqWVoPu1lLM


Mendapatkan Email Header
http://www.spamcop.net/fom-serve/cache/19.html


Artikel-artikel lain yang menarik untuk dibaca


Sistem Laman Web Dengan Perisian Sumber Terbuka
http://cikgucyber.blogspot.com/2010/01/sistem-laman-web-dengan-open-source.html


Ketahui kemas kini laman-laman web dengan RSS feed
http://planet-oss-malaysia.blogspot.com/2010/01/ketahui-kemas-kini-laman-laman-web.html


Sempena tahun baru 2010. Suaikan jam anda.
http://www.scribd.com/doc/24669433/Sesuaikan-Masa-Anda-Sempena-2010


Harisfazillah Jamel aka LinuxMalaysia aka Hafnie

Email : linuxmalaysia@gmail.com


23 Januari 2010

 
http://blog.harisfazillah.info/

 
http://www.harisfazillah.info/harisfazillahjamel


Dapatkan email-email terus dari

http://groups.google.com/group/hafnie

Panduan Keselamatan Nama Pengguna Dan Kata Laluan

07 Julai 2008 | Label: , , , | |


Panduan Keselamatan Nama Pengguna Dan Kata Laluan


Rutin atau kelemahan dalam perilaku manusia (Social Engineering) sering digunakan oleh penceroboh komputer untuk mendapatkan laluan masuk. Salah satu pintu masuk kepada sesebuah sistem adalah nama pengguna dan kata laluannya.

Nama pengguna yang boleh diteka, kata laluan menggunakan perkataan daripada kamus, kata laluan yang tidak ditukar begitu lama, pengkongsian nama pengguna dan kata laluan, tidak melakukan audit kepada log kemasukkan dan sistem, tidak menjalankan ujian penembusan dan menulis kata laluan adalah diantara perkara kecil tapi penting yang tidak dilakukan dalam mengurangkan risiko kejayaan serangan melalui "Social Engineering".

Artikel ini ditulis untuk pentadbir komputer IT, namun begitu amalannya bersesuaian untuk pengguna-pengguna lain dalam menjaga nama pengguna dan kata laluan masing-masing.

Diantara langkah-langkah mudah yang boleh diambil dalam meningkatkan taraf keselamatan dalam penggunaan nama pengguna dan kata laluan.

(1) Gunakan nama pengguna yang unik

Menjadi kebiasaan nama pengguna dikaitkan dengan nama individu atau applikasi yang dipasang. Sebagai contoh menggunakan nama pengguna Oracle. Ia dengan mudah boleh diandaikan sebagai nama pengguna untuk pangkalan data Oracle. Dengan kelemahan menggunakan kata laluan daripada kamus, peluang pencerobohan akan menjadi semakin tinggi.

Inilah yang dicari oleh penceroboh komputer. Sesuatu yang mudah untuk pentadbir maka mudahlah untuk mereka.

Gunakan nama penggunaan yang tiada kaitan sebagai contoh ora123. Gunakan campuran huruf dan nombor untuk menyukarkan tekaan.

Serangan menggunakan perkataan dalam kamus sering digunakan untuk mendapatkan nama pengguna dan juga kata laluan. Menggunakan nama pengguna campuran huruf dan nombor akan meningkatkan tahap kesukaran untuk membuat tekaan.

Begitu juga menggunakan nama pengguna berkaitan dengan individu. Apabila nama pengguna dikait dengan individu dan pangkat, maka ia boleh dijangkakan pengguna itu mempunyai keistimewaan pentadbiran yang lebih tinggi daripada orang lain. Adalah dinasihatkan membuat nama pengguna yang tiada kaitan dengan individu dan pangkat, agar ia tidak mudah untuk diteka kemampuannya.

Penceroboh akan cuba menyerang nama pengguna yang dijangkakan akan memberikan mereka peluang untuk pergi lebih jauh lagi dengan keistimewaan pengguna tersebut.


(2) Kata laluan yang senang diingat tetapi sukar diteka.

Kata laluan perlulah menggunakan enam atau lebih campuran huruf kecil, besar dan nombor. Tambahan simbol khas seperti ! @ # $ % ^ & * akan meningkatkan lagi tahap kesukaran untuk diteka. Sebagai contoh, jika mahu menggunakan kata laluan cilipadi, maka kata laluan boleh menjadi

c1L1p4d1

dan penambahan simbol khas

c1L1p4d1@7

Campuran kata laluan begini akan meningkatkan tahap kesukaran dan menambahkan masa yang terlalu untuk dipecah masuk dengan menggunakan perisian pemecah kata laluan.

Perisian-perisian pencerobohan menggunakan perkataan-perkataan dalam kamus bagi membuat serangan kepada nama pengguna dan kata laluan. Elakkan langsung menggunakan perkataan-perkataan dalam kamus.

(3) Kata laluan hanya perlu diingat

Jangan sekali menulis kata laluan dimana-mana. Kata laluan hanya perlu diingat. Jangan ditulis didalam diari, atau ditulis dan disimpan dalam dompet atau membuat catatan dalam telpon bimbit.

Tiada yang selamat jika kata laluan ditulis. Jika ada keperluan untuk menulis kata laluan, pastikan ia ditulis diatas kertas yang tebal kemudian dilipat dan dimasukkan dalam sampul bergam, sampul dicop pada bahagian boleh buka dan disimpan dalam peti keselamatan.

(4) Amalan tukaran kata laluan secara berkala

Jika ada ditanya bilakah kata laluan anda kali terakhir ditukar? Pasti ramai yang menjawab tidak pernah menukarnya. Standard jangka masa tukaran kata laluan, adalah 90 hari untuk pengguna biasa, 60 hari untuk akaun super dan akaun penting. Bagi komputer pelayan (server) yang dengan sensitif tinggi, 30 hari adalah standard utama.

Dengan menukar kata laluan secara berkala, ia akan mengurangkan peluang untuk kata laluan yang dicuri daripada ia dipergunakan. Ada banyak cara untuk mendapatkan kata laluan sama ada dengan key logger, intipan dan pelbagai.

Unik dan sukar bagaimana pun kata laluan anda, pasti ia akan didapatkan oleh penceroboh yang betul-betul mahir dan dedikasi.

(5) Jangan berkongsi nama pengguna dan kata laluan

Jangan sesekali kongsikan nama pengguna dan kata laluan dengan orang lain. Apabila ini berlaku ia sudah diluar kawalan pemiliknya dalam soal apabila ia diturut dikongsikan kepada orang lain tanpa pengetahuan pemiliknya. Sekiranya berlaku masalah, pemilik nama pengguna dan kata laluan akan dipersalahkan walaupun kesalahan itu bukan dilakukan olehnya.

Sekiranya ada keperluan untuk berkongsi nama pengguna, tukarkan kata laluannya dengan cepat apabila selesai digunakan.

(6) Pelbagaikan kata laluan untuk setiap nama pengguna

Kata laluan perlu unik untuk setiap nama pengguna. Jangan samakan kata laluan hanya kerana mahu senang ingat kerana apabila berlaku pencerobohan kepada satu server akan membahayakan server yang lain.

Amalan ini sepatutnya diamalkan oleh pengguna lain terutama melibatkan penggunaan kemudahan di Internet. Jangan samakan kata laluan email dengan kata laluan pengguna di forum. Jangan sesekali samakan nama pengguna dan kata laluan kemudahan perbankan Internet anda. Biarlah unik agar pencerobohan dalam akaun email tidak akan menggugat akaun bank Internet anda.

(7) Berhati-hati dengan laman Phising

Apabila mengisikan satu borang di Internet untuk apa jua kemudahan berhati-hatilah. Kes curian nama pengguna dan kata laluan sering berlaku. Sekiranya anda mendapat email daripada laman web yang sering anda lawati, perhatikan linknya agar ia sama dengan link laman web yang sepatutnya anda lawati.

Terdapat banyak kes phising. Phising adalah usaha mendapatkan nama pengguna dan kata laluan melalui laman web yang dibuat hampir sama dengan laman web asal tetapi ia dibuat dalam server lain yang hanya dengan tujuan mendapat nama pengguna dan kata laluan anda.

Edaran link laman phising sering dilakukan dengan email, yang seakan datang daripada laman yang biasa dan terkenal. Berhati-hati juga dengan email yang disangkakan datang daripada laman Internet bank anda. Menjadi polisi semua bank untuk tidak edarkan maklumat atau link melalui email.

Mozilla Firefox dengan Google toolbar memberikan kemudahan peringatan laman phising apabila ia mengesan laman yang dilawati pengguna dalam senarai laman phising.

Begitu juga dengan kemudahan penapisan email daripada sumber terbuka yang menggunakan enjin Clamav dapat mengesan email yang mengandungi link phising.

(8) Hadkan penggunaan nama pengguna super

Salah satu serangan pencerobohan adalah untuk mencuba memasuki akaun adalah dengan menggunakan nama pengguna super yang biasa digunakan. Antaranya adalah administrator atau root. Akaun berkuasa ini perlu dikurangkan penggunaannya.

Satu akaun lain perlu dibuat dimana ia perlu dengan keistimewaan pentadbiran (privilage) yang rendah dan bersesuaian dengan tugasan yang berkaitan sahaja. Sebagai contoh, untuk menjalankan Oracle, hanya buat satu akaun dengan hanya kemampuan untuk oracle sama ada untuk menjalankan "Service" Oracle atau hak terhadap folder Oracle.

Kata laluan (password) untuk pengguna super perlulah ditetap supaya ia tidak mudah untuk diteka atau diingati. Ia perlulah ditaip oleh kaki tangan yang tidak terlibat dengan IT. Ia perlu dtuliskan sendiri oleh kakitangan tadi diatas kertas yang tebal yang dilipat dan dimasukkan dalam sampul surat bergam. Sampul surat ini perlulah dicop pada lipatan mudah buka dan disimpan dalam peti simpanan keselamatan.

Bagi keselamatan tahap tinggi, kata laluan akaun super ini akan dimasukkan dua bahagian oleh dua orang daripada jabatan-jabatan luar IT dan masing-masing tidak akan beritahu apa yang dimasukkan. Dua bahagian ini akan disimpan dalam kertas berlipat yang berlainan, dimasukkan dalam sampul surat berlainan dan disimpan dalam dua peti keselamatan yang berlainan.

Apabila nama pengguna super dan kata laluannya digunakan. Kata laluan perlu ditukarkan dengan kata laluan baru berdasarkan langkah-langkah yang dinyatakan tadi.

Kata laluan super juga termasukkan dalam pertukaran secara berkala. Tukarkan kata laluan pengguna super setiap 60 hari atau bagi komputer pelayan (server) dengan data sensitif setiap 30 hari.

Terdapat langkah khusus yang membuat nama pengguna super ini hanya boleh digunakan pada terminal di komputer pelayan. Nama pengguna super sepatutnya tidak digunakan melalui sistem rangkaian. Terdapat pelbagai perisian yang boleh mendapatkan paket data sistem rangkaian dan membuat analisa carian nama pengguna dan kata laluan.

(9) Audit dan ujian penembusan perlu dijalankan

Audit komputer pelayan dan ujian penembusan rangkaian perlu dijalankan setiap tahun bagi memastikan komputer pelayan adalah dalam keadaan selamat dan tidak diceroboh.

Kebanyakan kes pencerobohan tidak dikesan dengan cepat. Dengan menjalankan audit ia boleh memastikan tahap keselamatan komputer pelayan sentiasa tinggi dan mematuhi standard disamping melihat sama ada berlaku kes pencerobohan.

Lebih baik mengetahui kelemahan itu awal daripada mengetahuinya melalui penglibatan penceroboh.

(10) Wujudnya jabatan, unit atau jawatan khusus untuk penjagaan keselamatan IT

Tugasan menjaga nama pengguna super dan kata laluan sepatutnya diasingkan daripada pentadbir komputer dan sokongan teknikal. Pengasingan tugas akan mengurangkan risiko keselamatan yang ditimbulkan daripada dalaman.

Pengasingan ini turut memastikan bahawa penjaga keselamatan IT tidak boleh menjalankan kerja-kerja pentadbiran komputer dan sokongan teknikal.

Jawatan, unit atau jabatan yang diwujudkan untuk keselamatan komputer selain dipertanggung jawabkan dengan penjagaan nama pengguna super, ia turut menjalankan audit komputer, membuat kerja-kerja penembusan komputer dan lain-lain hal keselamatan komputer.

Pada jangka masa berkala, Ketua bahagian atau jabatan IT perlu menjalankan audit kepada jawatan atau jabatan IT melalui bantuan pentadbir komputer IT untuk memastikan wujud periksa dan imbang antara dua tugasan ini.

Pada masa berkala juga, perlu juga wujud penilaian daripada agensi keselamatan luar atau syarikat audit keselamatan IT luar dalam membuat penilaian audit keselamatan IT dalaman.

Masalah keselamatan IT bukan sahaja datang daripada kelemahan applikasi atau sistem operasi. Kebanyakan kes pencerobohan adalah disebabkan oleh kelemahan manusia. Malah serangan melalui "Social Engineering" sering dilakukan bagi mendapatkan nama pengguna dan kata laluan dibandingkan dengan serangan lain.

Harisfazillah Jamel

http://blog.harisfazillah.info/

30 Mei 2007

This work is licensed under the Creative Commons Attribution-NonCommercial-ShareAlike 2.5 Malaysia License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc-sa/2.5/my/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Di Internet
http://www.harisfazillah.info-a.googlepages.com/katalaluan
Langgan: Catatan (Atom)

Related Posts Plugin for WordPress, Blogger...

Yang Popular