Selasa, 23 Agustus 2016

Midyear Cisco Cybersecurity Report 2016



Hari ini saya dikirimkan laporan tengah tahun dari Cisco tentang Cybersecurity nya. Biasanya memang Cisco akan selalu mengirimkan laporan tengah tahun atau tahunannya kepada pelanggannya.

Dari sekian banyak laporan yang diberikan, saya akan sedikit sharing yang menurut saya menarik untuk di lihat bersama.

Akhir-akhir ini memang sedang marak sekali ransomeware yang melakukan kejahatan dengan mengenkripsi hardisk korban, dan meminta tebusan untuk membuka nya kembali. Di Indonesia pun beberapa case pernah saya baca juga ada yang terkena ransomeware ini.

Cara kerja ransomeware nya seperti ini :

1. Melakukan enkripsi pada file atau folder korban, bisa juga satu isi hardisk penuh
2. Melakukan marking pada korban yang sudah terinfeksi ransomeware tadi
3. Memberikan instruksi kepada korban untuk memberikan tebusan agar file/folder/disk nya agar dapat terbuka lagi
4. Memberikan ancaman akan melakukan detele pada file/folder/disk yang sudah terkena enkripsi oelh ransomeware tadi jika tebusan tidak dipenuhi

Kemudian ada juga yang menarik dari laporan tengah tahun yang diberikan oleh cisco. Yaitu daftar list banyaknya vulnerability pada vendor infrastruktur, berikut laporannya



Ada juga Presence of Web Shells Indicates JBoss Compromises yang terjadi di dunia



Berikut juga laporan negara yang paling banyak spam nya :



Hore.. Indonesia tidak masuk di list nya :)

Ini sudah lama juga sebetulnya, dimana malware digunakan untuk melakukan iklan spam. Dan bagaimana Malvertising as a Service (MaaS) ini bekerja untuk menyebarkan iklan / spam nya :




Dan ini perkembangan jumlah malware yang beredar sampai tengah tahun ini :



Serangan terhadap https pun tak luput dari laporan cisco, berikut TOP penggunaan https sampai tengah tahun ini :



Pesan dari cisco adalah Time to Patch: Lag Times Between Patch and Upgrade Availability and Implementation Create Security Gaps

Hal ini memang terkadang menjadi dilema, dimana kita harus terus mengikuti update patch yang ada, dan juga harus menjaga avaibility agar perangkat yang akan dilakukan update tersebut. Intinya ya mending di update daripada terkena vulnerability yang menyebabkan kerugian lebih besar lagi.


Untuk download report nya dilahkan cek disini : http://www.cisco.com/c/m/en_us/offers/sc04/2016-midyear-cybersecurity-report/index.html?KeyCode=001323238


Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Selasa, 16 Agustus 2016

QuadRooter : Celah Keamanan Baru Pada 900 Juta Perangkat Android


Perusahaan keamanan Check Point mengeluarkan peringatan terhadap lebih dari 900 juta perangkat android akan adanya celah keamanan baru yang dinamakan “QuadRooter”

Celah keamanan QuadRooter ini hanya berdampak pada perangkat android yang menggunakan chipset dari Qualcomm. Hal ini juga di bahas pada DEF CON 24 di Vegas.

Apa itu QuadRooter?

QuadRooter adalah celah keamanan pada perangkat android yang menggunakan chipset dari Qualcomm, dimana 65% LTE chipset saat ini dibuat oleh Qualcomm. Jika selah keamanan ini di salah gunakan, maka penyerang dapat melakukan privilage escalation untuk mendapatkan root di perangkat android tersebut.

Beberapa perangkat terbaru yang menggunakan chipset dari qualcomm dan kemungkinan besar terkena celah keamanan dari QuadRooter ini adalah :

- BlackBerry Priv
- Blackphone 1 and Blackphone 2
- Google Nexus 5X, Nexus 6 and Nexus 6P
- HTC One, HTC M9 and HTC 10
- LG G4, LG G5, and LG V10
- New Moto X by Motorola
- OnePlus One, OnePlus 2 and OnePlus 3
- Samsung Galaxy S7 and Samsung S7 Edge
- Sony Xperia Z Ultra

Bagaimana android bisa terkena celah ini?

Penyerang bisa membuat aplikasi palsu yang isi nya dapat melakukan exploitasi terhadap celah keamanan QuadRooter ini, jika penyerang sudah mendapatkan akses nya, maka dia dapat melakukan keylogging, GPS Tracking, dan merekam video maupun audio pada perangkat android tersebut.

Beberapa cara pencegahannya adalah :
- Download dan install security update pada android yang digunakan saat ini.
- Jangan melakukan root pada device android
- melakukan pengecekan permission yang diminta ketika melakukan instalasi file apk maupun dari google play
- Jangan sembarangan menggunakan free wifi

Untuk perbaikannya Qualcomm akan memberikan update patch ke vendor perangkat masing-masing dan user tinggal menunggu saja update patch dari vendor nya masing-masing.

Untuk melakukan pengecekan apakah perangkat android kita terkena celah keamanan QuadRooter ini atau tidak, kita bisa melakukan instalasi program kecil dari check point dari playstore :

https://play.google.com/store/apps/details?id=com.checkpoint.quadrooter





Kalau perangkat kita terkena celah keamanan QuadRooter ini maka akan terlihat seperti ini :



kalau bersih seperti ini :



Jika perangkat android kita hasil nya adalah terkena celah keamanan QuadRooter, maka pihak check point memberikan juga solusi nya :

- Untuk Enterprise, bisa menggunakan mobile security solution dari check point :
http://www.checkpoint.com/mobilesecurity
- Untuk Personal user, bisa dengan berlangganan zonealarm : https://www.zonealarm.com/mobile-security/android/

Sumber : http://blog.checkpoint.com/2016/08/07/quadrooter/

Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Jumat, 12 Agustus 2016

Membandingan 2 buah file text di Mac


Terkadang kita memerlukan tools untuk membandingankan 2 file text untuk mecari perbedaanya, misal nya saja file konfigurasi perangkat, dimana yang file pertama adalah file sebelum dilakukan perubahan dan satunya lagi adalah file setelah perubahan dan kita ingin mengetahui perbedaan dari kedua file tersebut.

Di OS Mac kebetulan tools untuk melakukan itu berbayar semua di app store nya :



Untuk itu saya mencari alternatif lain, dan ketemu beberapa tools yang free alias gratisan.

1. DiffMerge

Bisa di download di : https://sourcegear.com/diffmerge/



Pemakaiannya juga cukup mudah, hanya tinggal open saja file1 dan file2 text nya.

Nanti akan langsung ketahuan perbedaanya yang tulisan berwarna merah, selain itu juga bisa untuk merge kedua file tersebut



2. Kdiff3

Bisa di download di https://sourceforge.net/projects/kdiff3/

Tidak jauh berbeda denagn DiffMerge, hanya memiliki feature yang lebih banyak



Nanti akan langsung ketahuan perbedaanya yang tulisan berwarna, selain itu juga bisa untuk merge kedua file tersebut



Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Rabu, 27 Juli 2016

Trojan PdfPhish-E, Malware yang digunakan untuk melakukan spamming


Hari ini melihat laporan smtp, ternyata banyak spam nya dari internal, dan ternyata ada salah satu user yang PC/Laptop nya terinfeksi oleh trojan dengan nama “Troj/PdfPhish-E”

08:56:58 (GMT +07:00) Message 15465385 scanned by Anti-Virus engine. Repaired message parts: 'Troj/PdfPhish-E'

Saya sedikit penasaran dengan trojan ini, ternyata tojan ini sebenar nya varian lain dari trojan PdfPhish-A yang cara kerjanya kurang lebih sama yaitu menginfeksi PC/Laptop target yang memiliki OS Windows dan menggunakannya untuk mengirimkan spam dalam jumlah banyak dan juga mengikutsertakan copy trojan nya lewat attachment email spam. Biasanya attachment nya berupa file pdf.

Oleh trendmicro trojan ini terdeteksi kedalam kategory low risk



Sama microsoft defender juga terdeteksi sebagai Troj/PdfPhish-E



Sophos juga mendeteksi “Troj/PdfPhish-E” ini sebagai alias dari Trojan.PDF.Scam.CH :



Ukuran file trojan nya juga tidak besar, hanya 718K saja



Jadi cukup untuk berhati-hati dengan trojan ini karena bisa digunakan untuk mengirimkan spam yang banyak dan juga bisa menyebabkan IP Public kita jadi di blokir oleh RBL jika spam nya sampai keluar.

Pastikan anda menggunakan OS dan Antivirus yang Legal dan Uptodate, serta rajin melakukan scanning PC/Laptop yang anda gunakan.


Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Selasa, 26 Juli 2016

Cara Install Server DHCP di Linux Centos 7



Setelah melakukan install Linux Centos 7, saya kemudian akan membuat DHCP server di linux centos 7 ini.

Berikut langkah-langkah nya :

IP Server DHCP : 192.168.10.2
IP Router : 192.168.10.2

1. Install paket dhcp server nya :

# yum -y install dhcp

2. Kemudian kita edit file konfigurasi DHCP Server yang ada pada folder : /etc/dhcp/dengan nama file : dhcpd.conf

Kita bisa mengunakan perintah :

# nano dhcpd.conf

Atau mengunakan perintah :

# vi dhcpd.conf

Selanjutnya pada file konfigurasi  : /etc/dhcp/dhcpd.conf  ini kita isi dengan perintah :

Authoritative;
  subnet 192.168.10.0 netmask 255.255.255.0 {
  range 192.168.10.5 192.168.10.200;
  option domain-name-servers 8.8.8.8, 8.8.4.4;
  option routers 192.168.10.1;
  option broadcast-address 192.168.10.255;
  default-lease-time 600;
  max-lease-time 7200;

}

Kalau mau tambah user static IP bisa dengan tambahkan option ini juga :

host vip {
 hardware ethernet 08:00:07:26:c0:a5;
 fixed-address 192.168.10.3;
}

3. Restart service dhcp server nya dengan perintah :

# systemctl start dhcpd.service && systemctl enable dhcpd.service

4. Jika menggunakan firewall di linux nya, jangan lupa di permit dhcp nya di firewall dengan perintah :

# firewall-cmd --add-service=dhcp --permanent
# firewall-cmd --reload


Selesai

Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Cara Setting IP di Linux Centos 7



Kali ini saya akan mencoba install linux centos 7 minimal version, dimana tidak ada GUI nya, dan setting IP nya harus manual.

Berikut cara setting IP manual di terminal linux centos 7 :

Setting DHCP Network via CLI

1. Cek Interface yang aktif di Linux Centos 7 bisa menggunakan command “nmcli d”

[root@localhost ~]# nmcli d
DEVICE       TYPE      STATE      CONNECTION
eno16777728  ethernet  connected  eno16777728
lo           loopback  unmanaged  --      

Interface saya nama nya adalah “eno16777728”

2. Edit file /etc/sysconfig/network-scripts/ifcfg-eno16777728

menjadi seperti ini :

TYPE=Ethernet
BOOTPROTO=dhcp
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eno16777728
UUID=42237b7d-6ccd-4358-8787-af93e453ef7e
DEVICE=eno16777728
ONBOOT=yes

3. Setelah itu restart server dan cek kembali apakah sudah mendapatkan IP Address

# service network restart

Untuk cek IP nya :

# ip addr


Cara Setting Static IP via CLI atau terminal

1. Cek Interface yang aktif di Linux Centos 7 bisa menggunakan command “nmcli d”

[root@localhost ~]# nmcli d
DEVICE       TYPE      STATE      CONNECTION
eno16777728  ethernet  connected  eno16777728
lo           loopback  unmanaged  --      

Interface saya nama nya adalah “eno16777728”

2. Edit file /etc/sysconfig/network-scripts/ifcfg-eno16777728

menjadi seperti ini :

TYPE=Ethernet
BOOTPROTO=static
DEFROUTE=yes
PEERDNS=yes
PEERROUTES=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eno16777728
UUID=42237b7d-6ccd-4358-8787-af93e453ef7e
DEVICE=eno16777728
ONBOOT=yes
IPADDR=192.168.0.10
GATEWAY=192.168.0.1
NETMASK=255.255.255.0
DNS1=8.8.8.8
DNS2=8.8.4.4

Pastikan onboot = yes supaya ketika server restart, ip akan up secara otomatis. Dan ubah bootproto menjadi static karena kita setting ip address secara manual.

4. Tambahkan dns di file /etc/resolv.conf agar server bisa terhubung ke DNS

# vi /etc/resolv.conf

Menjadi seperti ini :

# more /etc/resolv.conf
# Generated by NetworkManager
nameserver 8.8.8.8
nameserver 8.8.4.4

5. Setelah itu restart server dan cek kembali apakah sudah mendapatkan IP Address

# service network restart
# ip addr
# # nmcli d show eno16777728
GENERAL.DEVICE:                         eno16777728
GENERAL.TYPE:                           ethernet
GENERAL.HWADDR:                         00:50:56:B8:38:D0
GENERAL.MTU:                            1500
GENERAL.STATE:                          100 (connected)
GENERAL.CONNECTION:                     eno16777728
GENERAL.CON-PATH:                       /org/freedesktop/NetworkManager/ActiveConnection/0
WIRED-PROPERTIES.CARRIER:               on
IP4.ADDRESS[1]:                         192.168.0.10/24
IP4.GATEWAY:                            192.168.0.1
IP4.DNS[1]:                             8.8.8.8
IP4.DNS[2]:                             8.8.4.4


Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Kamis, 21 Juli 2016

Zimbra Release Versi 8.7



Synacor sebagai pemilik merk mail system zimbra mengumumkan bahwa sudah rilis versi terbaru yaitu Zimbra 8.7 pada 13 Juli 2016, dimana banyak peningkatan feature untuk Global Enterprises dan juga Service Provider

Peningkatan dari sisi security juga cukup signifikan dari versi zimbra 8.7 ini dibandingkan dengan versi sebelumnya yaitu 8.6

Untuk Enterprise Customers, Zimbra 8.7 memberikan peningkatan security and tetap rendah TCO nya, beberapa diantara feature security yang baru adalah :

- 2FA (Two-factor authentication) offers enterprises meningkatkan security user-account





- Postscreen offers enterprise customers, peningkatan dari anti-spam capabilities dan menurunkan infrastructure overhead yang dibutuhkan untuk proses SMTP, jadi seperti memisahkan proses deteksi spam dan proses smtp dalam satu waktu



- SSL SNI dimana mengijinkan enterprises untuk melakukan cost-effectively pada SSL certificates, Zimbra SSL SNI (Server Name Indication) bisa memberikan Proxy Server untuk menggunakan multiple certificates pada IPv4 address dan TCP port number yang sama, memungkinkan multiple secure (HTTPS) domains agar dapat diserved pada IP address tanpa menggunakan Multi-SAN certificate.





Sementara untuk Service Providers, Zimbra 8.7 memberikan streamlined deployment, product differentiation, dan reduced TCO

- Packaging baru dari repository untuk meningkatkan ability dari service providers untuk melakukan patch third-party packages tanpa harus upgrade seluruh instalasi yang ada
- 2FA (Two-factor authentication) offers enterprises meningkatkan security user-account
- Postscreen offers enterprise customers, peningkatan dari anti-spam capabilities dan menurunkan infrastructure overhead yang dibutuhkan untuk proses SMTP, jadi seperti memisahkan proses deteksi spam dan proses smtp dalam satu waktu
- SSL SNI dimana mengijinkan enterprises untuk melakukan cost-effectively pada SSL certificates, Zimbra SSL SNI (Server Name Indication) bisa memberikan Proxy Server untuk menggunakan multiple certificates pada IPv4 address dan TCP port number yang sama, memungkinkan multiple secure (HTTPS) domains agar dapat diserved pada IP address tanpa menggunakan Multi-SAN certificate.

Apakah siap untuk upgrade ke Zimbra 8.7?

- Customers jika melakukan upgrade akan mendapatkan 2600+ peningkatan dan juga bug-fixes pada versi zimbra in 8.7 ini
- Packaging repository baru yang memberikan customers kemudahan dalam melakukan patching dari third-party packages zimbra

    “Zimbra Collaboration 8.7, the highly anticipated new Release of Zimbra, is here. The focus of our latest release is security, privacy and reliability specifically geared to our enterprise and service provider customers, and also continuing our dedication to our Open Source Community,”said Brent Rhymes, EVP, Enterprise Sales & Marketing, Synacor.

    “To help our customers and partners better meet critical security needs, Zimbra invested serious development time into a 2FA feature, as well as a new packaging system that helps in the security and administration of Zimbra Collaboration. We also are debuting postscreen functionality and SSL SNI, features that will appeal to hosting providers.”

Zimbra Collaboration Releases Comparison

Sejak di release ZCS 8.0 pada September 2012, sudah banyak features baru didalamnya. Berikut ini adalah perbandingan versinya



Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017

Kamis, 30 Juni 2016

Cara Ping dengan MTU



Tulisan ini saya buat sebagai catatan saya pribadi, kali ini saya ingin menuliskan bagaimana cara untuk melakukan pengecekan network atau jaringan dengan menggunakan ping dengan beban MTU

MTU sendiri menurut wikipedia adalah Unit Transmisi Maksimum (Bahasa Inggris: Maximum Transmission Unit) adalah istilah dalam teknologi informasi yang merujuk kepada ukuran paket data terbesar yang dapat ditransmisikan melalui sebuah media jaringan. Ukuran MTU adalah bervariasi, tergantung teknologi jaringan yang digunakan. Contohnya adalah dalam jaringan berbasis teknologi Ethernet, ukuran MTU yang direkomendasikan adalah 1500 bits.  Ketika paket-paket ditransmisikan melalui jaringan, Path MTU (PMTU), merepresentasikan ukuran paket terkecil di antara semua jaringan yang terlibat dalam jaringan yang sama.



Cara ping dengan MTU adalah sebagai berikut :

OS Windows

c:/>ping -f -l 1492 10.10.10.1
(hasil = "Packet needs to be fragmented but DF set.") berarti MTU terlalu besar
c:/>ping -f -l 1472 10.10.10.1
(hasil = "reply") Nilai optimal MTU

OS Linux

#ping -M do -s 1492 10.10.10.1
(hasil = "Frag needed and DF set (mtu = 1500)" ) berarti MTU terlalu besar
#ping -M do -s 1472 10.10.10.1
(hasil = "1480 bytes from 10.10.10.1 : icmp_seq=1 ttl=48 time=239 ms" ) Nilai optimal MTU

Di Router Cisco

Router#ping vrf vpn_internet 192.168.0.1 df size 1500

Type escape sequence to abort.
Sending 5, 1500-byte ICMP Echos to 192.168.0.1, timeout is 2 seconds:
Packet sent with the DF bit set
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms

kalau reply seperti diatas, berarti dari sisi network atau jaringan bisa melewatkan paket MTU sebesar 1500


Semoga bermanfaat untuk pembaca semua.

Dony Ramansyah
site : http://donyramansyah.net
blog : dony-ramansyah.blogspot.com
email : dony.ramansyah[at]gmail.com
Registered linux user : ID 40017