Archive for March, 2010

Phishing

Posted on March 26, 2010. Filed under: IT | Tags: , , , , , |

Jangan disamakan dengan memancing, pish, atau Phish.

Di bidang keamanan komputer, phishing adalah proses kriminal / kecurangan dengan cara berusaha untuk mendapatkan informasi sensitif seperti nama pengguna, password dan rincian kartu kredit dengan menyamar sebagai entitas yang dapat dipercaya dalam komunikasi elektronik. Komunikasi yang mengaku berasal dari situs web sosial populer, situs lelang, prosesor pembayaran online atau administrator IT biasanya digunakan untuk memikat publik yang tidak curiga. Phishing biasanya dilakukan oleh e-mail atau pesan instan, dan sering mengarahkan pengguna untuk memasukkan data di website palsu yang terlihat dan terasa hampir sama dengan yang website sah.Bahkan ketika menggunakan otentikasi server, hal itu mungkin memerlukan keterampilan luar biasa untuk mendeteksi bahwa situs Web adalah palsu.Phishing adalah contoh tehnik rekayasa sosial yang digunakan untuk mengelabui pengguna,dan memanfaatkan fungsi yang buruk saat ini dalam teknologi keamanan web.Usaha yang dilakukan dalam urusannya dengan meningkatnya jumlah phishing termasuk didalamnya adalah legislasi, pelatihan pengguna, kesadaran publik, dan teknis keamanan.

Sebuah teknik phishing dijelaskan secara rinci pada tahun 1987, dan tercatat pertama penggunaan istilah “phishing” dibuat pada tahun 1996.Istilah phishing adalah varian dari memancing, mungkin dipengaruhi oleh phreaking,dan dipengaruhi oleh umpan yang digunakan untuk “menangkap” informasi keuangan dan password.

Contoh-Contoh Phising

Phising-Facebook

Phishing-Paypal

Phising-Citibank

Phising-Email

Sumbernya

Read Full Post | Make a Comment ( None so far )

Sandi(Password)

Posted on March 26, 2010. Filed under: IT | Tags: , , , |

Sandi dalam tulisan ini saya akan menyebutnya dengan password

Password adalah sebuah kata rahasia atau rangkaian karakter yang digunakan untuk otentikasi, untuk membuktikan identitas atau mendapatkan akses ke sumber daya (contoh: sebuah kode akses adalah jenis sandi). Password harus tetap rahasia dari orang-orang tidak diperbolehkan mengakses.

Penggunaan password diketahui sejak dahulu.Penjaga akan menantang mereka yang ingin memasuki suatu daerah atau mendekatinya untuk memberikan password atau semboyan. Penjaga hanya akan membiarkan orang atau kelompok melanjutkan jika mereka tahu passwordnya.Di zaman modern, nama pengguna dan password yang umum digunakan oleh orang-orang selama proses login yang mengontrol akses ke komputer yang dilindungi sistem operasi, ponsel, TV kabel decoders, anjungan tunai mandiri (ATM) dsb,pengguna(user) komputer mungkin memerlukan password untuk berbagai tujuan: log in ke account komputer, pengambilan e-mail dari server, mengakses program, database, jaringan, situs web, dan bahkan membaca koran pagi online.

Walaupun nama, tidak perlu password untuk kata-kata yang sebenarnya; memang password yang bukan kata-kata sebenarnya mungkin lebih sulit untuk ditebak, properti yang diinginkan.Beberapa password yang terbentuk dari beberapa kata dan mungkin lebih tepat disebut sebagai passphrase. Istilah Kode password ini kadang-kadang digunakan ketika informasi rahasia adalah murni numerik, seperti nomor identifikasi pribadi (PIN) yang biasa digunakan untuk akses ATM. Sandi umumnya cukup pendek agar mudah diingat dan diketik.

Untuk keperluan lebih compellingly otentikasi identitas komputasi dari satu perangkat ke perangkat lainnya, password memiliki kelemahan yang signifikan (mereka mungkin dicuri, palsu, lupa, dll) lebih dari mengandalkan sistem autentikasi protokol kriptografi ( Kriptografi), yang lebih sulit untuk mengelak.

Mudah diingat, sulit untuk menebak

Password yang mudah bagi pemiliknya untuk mengingat umumnya berarti akan lebih mudah bagi seorang hacker untuk menebak.
Password yang sulit untuk diingat akan mengurangi keamanan dari sebuah sistem karena (a) pengguna mungkin akan menuliskan atau menyimpan password kedalam perangkat, (b) pengguna perlu sering me-reset password dan (c) pengguna lebih mungkin untuk kembali menggunakan password yang sama. Demikian pula, persyaratan yang lebih ketat untuk kekuatan password, misalnya “memiliki campuran huruf besar dan huruf kecil dan angka” atau “mengubahnya bulanan,” semakin besar tingkat di mana pengguna akan merusak sistem.

Dalam The Memorability and Security of Password, Jeff Yan et al. memeriksa efek dari nasihat yang diberikan kepada pengguna tentang pilihan yang baik untuk password.Mereka menemukan bahwa password berdasarkan memikirkan sebuah frase dan mengambil huruf pertama dari setiap kata, adalah sama naif dipilih diingat sebagai password, dan seperti sulit untuk membobol password yang dihasilkan secara acak. Menggabungkan dua kata yang tidak berhubungan adalah metode lain yang baik.Memiliki algoritma pribadi yang dirancang untuk menghasilkan password tidak jelas adalah salah satu metode yang baik.

Namun, meminta pengguna untuk mengingat password yang terdiri dari sebuah “campuran huruf besar dan huruf kecil” adalah seperti meminta mereka untuk mengingat urutan bit: susah untuk mengingat, dan hanya sedikit lebih sulit untuk membobol (misalnya hanya 128 kali lebih sulit untuk membobol 7-huruf sandi, kurang jika pengguna mendapatkan keuntungan hanya huruf pertama). Meminta pengguna untuk menggunakan “huruf dan angka” akan sering mengakibatkan mudah menebak pergantian seperti ‘E’ -> ‘3 ‘dan’ aku ‘-> ‘1’, pergantaian yang sudah dikenal dengan kerupuk. Similarly typing the password one keyboard row higher is a common trick known to crackers. Demikian pula mengetikkan password satu baris keyboard yang lebih tinggi adalah trik yang umum dikenal oleh peretas(cracker).

Sumbernya

Read Full Post | Make a Comment ( None so far )

SQL Injection #1

Posted on March 11, 2010. Filed under: SQL Server | Tags: , , |

Topik ini mungkin sudah lama (usang) namun demi sebuah nilai yang harus saya dapatkan :-p, saya coba untuk mengupas ke dalam tutorial 🙂

Pengertian SQL Injection
1)SQL injection adalah sebuah aksi hacking yang dilakukan di aplikasi client dengan cara memodifikasi perintah SQL yang ada di memori aplikasi client.
2)SQL Injection merupakan teknik mengeksploitasi web aplikasi yang didalamnya menggunakan database untuk penyimpanan data.

Sebab terjadinya SQL Injection
1)Tidak adanya penanganan terhadap karakter – karakter tanda petik satu ’ dan juga karakter double minus — yang menyebabkan suatu aplikasi dapat disisipi dengan perintah SQL.
2)Sehingga seorang Hacker menyisipkan perintah SQL kedalam suatu parameter maupun suatu form.

Bug SQL Injection berbahaya ?

1)Teknik ini memungkinkan seseorang dapat login kedalam sistem tanpa harus memiliki account.
2)Selain itu SQL injection juga memungkinkan seseorang merubah, menghapus, maupun menambahkan data–data yang berada didalam database.
3)Bahkan yang lebih berbahaya lagi yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.

Berikut adalah sebuah contoh tentang SQL Injection, semoga tutorial ini dipergunakan untuk kebaikan bersama dan bukan untuk menghancurkan musuh eh…system orang :-).
mohon maaf dikarenakan untuk membuat contoh ini saya mempergunakan sebuah windows aplication karena sekali lagi maaf saya belum mampu untuk membeli atau bahkan hanya menyewa sebuah domain.Namun demikian secara intinya sama yaitu bagaimana membuat sebuah SQL Injection.

1.Pergunakan Google.
Google bagai pedang bermata2, satu mata untuk membantu kita dalam pencarian sesuatu namun dengan kemampuan yang dimiliki oleh google dan juga ke-isengan kita, google menjadi sangat mematikan.
sercing form yang akan menerima inputan user :
1. allinurl:.co. id/login. asp
2. allinurl:.com/ admin.asp

2.Segera menuju ke tkp.

lihat gambar dibawah.

'Having 1=1--

untuk selanjutnya karakter ‘ (petik tunggal) dan — (double minus) harus/wajib/kudu dipergunakan.dimana ‘ (petik) berarti sebuah value,dan — adalah mark dari SQL.
1=1 adalah sebuah nilai TRUE.

Hasil Eksekusi

Error 1

dari gambar error 1 diatas, kita bisa lihat table apa dan nama kolom (table Master_User,kolom:User_ID) yang dipergunakan,udah cukup?? ya tentu belum ;-p … masih kurang bro…ulangi langkah diatas hingga seluruh kolom kita dapatkan.
langsung saja tanpa basa-basi lihat gambar dibawah untuk mendapatkan seluruh kolom yang dipergunakan.

Group BY

nah..sudah dapat khan untuk masing-masing nama kolom dari table Master_User…
berikut dibawah ini adalah query asli sampai dengan query mendapatkan seluruh nama kolom.

Query Awal

Select Having

Query untuk Mendapatkan Seluruh KOLOM

3.Memulai tehnik Injection
setelah semua langkah2 diatas kita lakukan dan berhasil, tentunya kita sudah mendapatkan seluruh kolom dari table Master_User yang akan dipergunakan pada saat validasi User.Berikut dibawah adalah cara untuk membuat sebuah record ke dalam table Master_User.

a.Contoh DML(INSERT)

Memasukkan sebuah record ke table Master_User

Query Insert

Record ASLI

Setelah di Insert

b.Contoh DDL (alter & drop)
ALTER table Master_User

ALTER Table

Query ALTER Table

Struktur Table Master_User Setelah di-ALTER

DROP

DROP Table

Query DROP Table dan Kondisi Setelah di-DROP

nah setelah kita tahu berbahayanya SQL Injection ini, bagaimana cara kita untuk menghadapi serangan SQL Injection ini?
ada beberapa langkah untuk Programer (baik windows aplication maupun web aplication) maupun ADMIN dalam menghadapi SQL Injection, diantaranya :
1.Batasi panjang inputan
baik melalui text box user maupun dari koding.
sebaiknya disesuaikan dengan panjang table yang dipergunakan.misal dalam hal ini User_ID char(10) ya tentu saja input text box dan juga variable dalam script program tidak boleh melebihi 10 char.hal ini untuk menghindari perintah SQL inputan dari hacker.
2.Validasi inputan.
batasi penggunaan karakter-karakter tertentu ‘(petik tunggal),–(double minus),;(titik koma) gunakan karakter escape pada bahasa pemrograman yang dipergunakan.
3.Sembunyikan Error dari SQL
pergunakan blok TRY-CATCH, dengan adanya blok TRY kita dapat “menangkap” kesalahan-kesalahan, dan pesan2 kesalahan dapat kita custom sehingga pesan yang keluar tidak dapat dibaca langsung oleh hacker.
4. Matikan fasilitas-fasilitas standar seperti Stored Procedures,
Extended Stored Procedures jika memungkinkan.
5. Ubah “Startup and run SQL Server” menggunakan low privilege user
di SQL Server Security tab.

setelah hal-hal diatas kita lakukan, trus apakah kita sudah aman dari SQL Injection??wahhh….belum tau nih,tunggu perkembangan ilmu lebih lanjut dah…

Read Full Post | Make a Comment ( 1 so far )

Penggunaan DES enkripsi pada Visual Basic.NET

Posted on March 11, 2010. Filed under: Kampus, VB.NET | Tags: , , , , |

Berikut adalah tutorial penggunaan Class Enkripsi dari DES pada Visual Basic.net

1.Create NEW FORM

Create NEW Form

2.Tambahkan object Textbox&button

Design OUTPUT DES

3.Koding Enkripsi dan Dekripsi menggunakan DES

Koding FORM LOAD

Koding Enkripsi-Dekripsi

4.Output Eksekusi Enkripsi DES

DES-Plaintext

Saat Eksekusi Enkripsi

5.Output Eksekusi Dekripsi DES

DES-Chiper

DES-Dekrip

Read Full Post | Make a Comment ( 4 so far )

Advanced Encryption Standard

Posted on March 9, 2010. Filed under: IT | Tags: , , |

Dalam Kriptografi, Advanced Encryption Standard (AES) adalah standar enkripsi yang diadopsi oleh pemerintah AS. Standar terdiri dari tiga blok cipher, AES-128, AES-192 dan AES-256, diadopsi dari koleksi yang lebih besar awalnya diterbitkan sebagai Rijndael. Setiap AES cipher memiliki 128-bit ukuran blok, dengan ukuran kunci 128, 192 dan 256 bit, masing-masing. AES cipher telah dianalisis secara ekstensif dan sekarang digunakan di seluruh dunia, seperti yang terjadi dengan pendahulunya, Data Encryption Standard (DES).

AES diumumkan oleh National Institute of Standards and Technology (NIST) sebagai FIPS PUB US 197 (FIPS 197) pada 26 November 2001 setelah 5 tahun proses standarisasi yang bersaing lima belas rancangan dipresentasikan dan dievaluasi sebelum Rijndael terpilih sebagai yang paling sesuai (lihat Advanced Encryption Standard proses untuk lebih rinci). Ini menjadi efektif sebagai standar pemerintah Federal pada 26 Mei 2002 setelah disetujui oleh Menteri Perdagangan. Ini tersedia dalam berbagai paket enkripsi. AES adalah yang pertama dapat diakses publik dan terbuka sandi disetujui oleh NSA untuk informasi rahasia

Rijndael cipher yang dikembangkan oleh dua kriptografer Belgia, Joan Daemen dan Vincent Rijmen, dan diajukan oleh mereka untuk proses seleksi AES. Rijndael (pengucapan [rɛinda ː l]) adalah portmanteau dari nama-nama dari kedua penemu.

Langkah SubBytes
Dalam langkah SubBytes, setiap byte dalam array diperbarui menggunakan 8-bit substitusi kotak itu, Rijndael S-box. Operasi ini menyediakan non-linearitas dalam sandi. S-box yang digunakan adalah berasal dari perkalian invers atas GF (28), dikenal mempunyai sifat non-linearitas. Untuk menghindari serangan didasarkan pada sifat-sifat aljabar sederhana, S-kotak tersebut dibangun dengan menggabungkan fungsi invers dengan transformasi affine invertible. S-box ini juga dipilih untuk menghindari titik tetap (dan begitu adalah kekacauan), dan juga setiap titik tetap yang berlawanan.

Dalam langkah SubBytes, setiap byte di negara diganti dengan entri dalam tetap 8-bit tabel pencarian, S; bij = S (aij).

Langkah yang ShiftRows
Dalam langkah ShiftRows, byte di setiap baris dari state dialihkan putaran ke kiri. Jumlah tempat setiap byte digeser berbeda untuk setiap baris.

Langkah ShiftRows beroperasi di deretan state ; putaran menggeser byte di setiap baris dengan offset tertentu. Untuk AES, baris pertama yang tersisa tidak berubah. Setiap byte dari baris kedua bergeser satu ke kiri. Demikian pula, baris ketiga dan keempat dialihkan oleh offset masing-masing dari dua dan tiga. Untuk ukuran blok 128 bit dan 192 bit dengan pergeseran pola adalah sama. Dengan cara ini, setiap kolom dari keadaan keluaran dari langkah ShiftRows terdiri dari byte dari setiap kolom dari masukan state. (Rijndael varian dengan ukuran blok lebih besar memiliki sedikit berbeda offset). Dalam kasus blok 256-bit, baris pertama tidak berubah dan bergeser untuk kedua, ketiga dan keempat berturut-turut adalah 1 byte, 3 byte dan 4 byte masing-masing – perubahan ini hanya berlaku untuk cipher Rijndael jika digunakan dengan 256 — bit blok, seperti tidak AES menggunakan 256-bit blok.

Dalam langkah ShiftRows, byte di setiap baris dari state dialihkan berputar ke kiri. Jumlah tempat setiap byte digeser berbeda untuk setiap baris.


Langkah MixColumns
Dalam langkah MixColumns, masing-masing kolom negara dikalikan dengan tetap polinomial c (x).

Dalam langkah MixColumns, empat byte dari setiap kolom state digabungkan dengan menggunakan transformasi linier invertible. Fungsi MixColumns mengambil empat byte sebagai masukan dan keluaran empat byte, dimana setiap masukan byte mempengaruhi semua keluaran empat byte. Bersama dengan ShiftRows, MixColumns memberikan difusi dalam sandi. Setiap kolom diperlakukan sebagai polinom atas GF (28) dan ini kemudian dikalikan dengan 1 Modulo x4 tetap polinomial c (x) = 0x03 · x3 + x2 + x + 0x02. Koefisien ditampilkan dalam heksadesimal setara dengan representasi biner bit polinomial dari GF (2) [x]. Langkah MixColumns juga dapat dilihat sebagai perkalian dengan matriks MDS tertentu dalam bidang yang terbatas. Proses ini dijelaskan lebih lanjut dalam artikel campuran Rijndael kolom.

Dalam langkah MixColumns, masing-masing kolom negara dikalikan dengan tetap polinomial c (x).

Langkah AddRoundKey
Dalam langkah AddRoundKey, setiap byte dari state dikombinasikan dengan byte dari subkunci putaran menggunakan operasi XOR (⊕).

Dalam AddRoundKey langkah, subkey dikombinasikan dengan state. Untuk setiap putaran, sebuah subkunci berasal dari kunci utama menggunakan Rijndael’s kunci jadwal; setiap subkunci adalah ukuran yang sama sebagai state. Subkunci ditambahkan dengan menggabungkan setiap byte dari state sesuai dengan byte dari subkey menggunakan bitwise XOR.

Dalam langkah AddRoundKey, setiap byte dari state dikombinasikan dengan byte dari subkunci putaran menggunakan operasi XOR (⊕).

Optimalisasi sandi

Pada sistem dengan kata-kata 32-bit atau lebih , adalah mungkin untuk mempercepat pelaksanaan cipher ini dengan menggabungkan SubBytes dan ShiftRows dengan MixColumns, dan mentransformasikannya menjadi urutan tabel lookup. Ini memerlukan empat 256-entri tabel 32-bit, yang memanfaatkan total empat kilobyte (4096 bytes) dari memori-satu kilobyte untuk setiap tabel. satu putaran kini dapat dilakukan dengan 16 tabel lookup dan 12 32-bit eksklusif-atau operasi, diikuti oleh empat 32-bit eksklusif-atau operasi dalam langkah AddRoundKey.

Jika yang dihasilkan empat table berukuran kilobyte terlalu besar untuk suatu platform sasaran, table operasi pencarian dapat dilakukan dengan satu 256-entry 32-bit (yaitu: 1 kilobyte) table dengan menggunakan lingkaran berputar.

Menggunakan pendekatan berorientasi byte adalah mungkin untuk menggabungkan SubBytes, ShiftRows, dan MixColumns langkah-langkah ke dalam satu putaran operasi.

Sumber

Read Full Post | Make a Comment ( None so far )

« Previous Entries

Liked it here?
Why not try sites on the blogroll...