Wednesday, September 19, 2007

KEAMANAN SISTEM OPERASI Linux

Komponen Arsitektur Keamanan Linux : 1. Account Pemakai (user account) Keuntungan : • Kekuasaan dalam satu account yaitu root, sehingga mudah dalam administrasi system. • Kecerobohan salah satu user tidak berpengaruh kepada system secara keseluruhan. • Masing-masing user memiliki privacy yang ketat Macam User : Root : kontrol system file, user, sumber daya (devices) dan akses jaringan User : account dengan kekuasaan yang diatur oleh root dalam melakukan aktifitas dalam system. Group : kumpulan user yang memiliki hak sharing yang sejenis terhadap suatu devices tertentu. 2. Kontrol Akses secara Diskresi (Discretionary Access control) Discretionary Access control (DAC) adalah metode pembatasan yang ketat, yang meliputi : • Setiap account memiliki username dan password sendiri. • Setiap file/device memiliki atribut(read/write/execution) kepemilikan, group, dan user umum. Jika kita lakukan list secara detail menggunakan $ls –l, kita dapat melihat penerapan DAC pada file systemlinux : d rw- - -x - - - 5 fade users 1024 Feb 8 12:30 Desktop - rw- r - - r - - 9 Goh hack 318 Mar 30 09:05 borg.dead.letter - rw- r - - r - - 9 Goh hack 318 Mar 30 09:05 borg.dead.letter 1 2 3 4 5 6 7 8 9 10 11

Keterangan :

1 = tipe dari file ; tanda dash ( - ) berarti file biasa, d berarti directory, l berarti file link, dsb 5 = 6 = 7 = Jumlah link file Nama pemilik (owner) Nama Group 2 = Izin akses untuk owner (pemilik), r=read/baca, w=write/tulis, x=execute/eksekusi 8 = 9 = 10 = Besar file dalam byte Bulan dan tanggal update terakhir Waktu update terakhir 3 = Izin akses untuk group 11 = Nama file/device 4 = Izin akses untuk other (user lain yang berada di luar group yang didefinisikan sebelumnya)

Perintah-perintah penting pada DAC :

• Mengubah izin akses file : 1. bu : chmod <> < + | - > <> nama file, contoh : chmod u+x g+w o-r borg.dead.letter ; tambahkan akses eksekusi(e) untuk user (u), tambahkan juga akses write(w) untuk group (g) dan kurangi izin akses read(r) untuk other(o) user.2. chmod metode octal, bu: chmod - - - namafile , digit dash ( - ) pertama untuk izin akses user, digit ke-2 untuk izin akses group dan digit ke-3 untuk izin akses other, berlaku ketentuan : r(read) = 4, w(write) = 2, x (execute) = 1 dan tanpa izin akses = 0. Contoh : Chmod 740 borg.dead.letter Berarti : bagi file borg.dead.letter berlaku digit ke-1 􀃆 7=4+2+1=izin akses r,w,x penuh untuk user. digit ke-2 􀃆 4=4+0+0=izin akses r untuk group digit ke-3 􀃆 0=0+0+0=tanpa izin akses untuk other user. • Mengubah kepemilikan : chown • Mengubah kepemilikan group : chgrp • Menggunakan account root untuk sementara : ~$su ; system akan meminta password password : **** ; prompt akan berubah jadi pagar, tanda login sebagai root ~# • Mengaktifkan shadow password, yaitu membuat file /etc/passwd menjadi dapat dibaca (readable) tetapi tidak lagi berisi password, karena sudah dipindahkan ke /etc/shadow Contoh tipikal file /etc/passwd setelah diaktifkan shadow: … root:x:0:0::/root:/bin/bash fade:x:1000:103: , , , :/home/fade:/bin/bash … Lihat user fade, dapat kita baca sebagai berikut : username : fade Password : x User ID (UID) : 1000 Group ID (GUID) : 103 Keterangan tambahan : - Home directory : /home/fade Shell default : /bin/bash Password-nya bisa dibaca (readable), tapi berupa huruf x saja, password sebenarnya disimpan di file /etc/shadow dalam keadaan dienkripsi : … root:pCfouljTBTX7o:10995:0::::: fade:oiHQw6GBf4tiE:10995:0:99999:7::: … Perlunya Pro aktif password Linux menggunakan metode DES (Data Encription Standart) untuk password-nya. User harus di training dalam memilih password yang akan digunakannya agar tidak mudah ditebak dengan program-program crack password dalam ancaman bruto force attack. Dan perlu pula ditambah dengan program Bantu cek keamanan password seperti : • Passwd+ : meningkatkan loging dan mengingatkan user jika mengisi password yang mudah ditebak, ftp://ftp.dartmouth.edu/pub/security • Anlpasswd : dapat membuat aturan standar pengisian password seperti batas minimum, gabungan huruf besar dengan huruf kecil, gabungan angka dan huruf dsb, ftp://coast.rs.purdue.edu/pub/tools/unix/

3. Kontrol akses jaringan (Network Access Control)

Firewall linux 1 : alat pengontrolan akses antar jaringan yang membuat linux dapat memilih host yang berhak / tidak berhak mengaksesnya. Fungsi Firewall linux : • Analisa dan filtering paket Memeriksa paket TCP, lalu diperlakukan dengan kondisi yang sudah ditentukan, contoh paket A lakukan tindakan B. • Blocking content dan protocol Bloking isi paket seperti applet java, activeX, Vbscript, Cookies • Autentikasi koneksi dan enkripsi Menjalankan enkripsi dalam identitas user, integritas satu session dan melapisi data dengan algoritma enkripsi seperti : DES, triple DES, Blowfish, IPSec, SHA, MD5, IDEA, dsb. Tipe firewall linux : • Application-proxy firewall/Application Gateways Dilakukan pada level aplikasi di layer OSI, system proxy ini meneruskan / membagi paket-paket ke dalam jaringan internal. Contoh : software TIS FWTK (Tursted Information System Firewall Toolkit) • Network level Firewall, fungsi filter dan bloking paket dilakukan di router. Contoh : TCPWrappers, aplikasinya ada di /usr/sbin/tcpd. Cara kerjanya : Lihat isi file /etc/inetd.conf : ... telnet stream tcp nowait root /usr/sbin/telnetd shell stream tcp nowait root /usr/sbin/rshd pop3 stream tcp nowait root /usr/sbin/pop3d … dengan diaktifkan TCPwrappers maka isi file /etc/inetd.conf : ... telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd shell stream tcp nowait root /usr/sbin/tcpd in.rshd -L pop3 stream tcp nowait root /usr/sbin/tcpd in.pop3d … setiap ada permintaan layanan jarak jauh, dipotong dulu dengan pencocokan rule set yang telah diatur oleh tcp in, jika memenuhi syarat diteruskan ke file yang akan diekseskusi, tapi jika tidak memenuhi syarat digagalkan. Pengaturan TCPWrapper dilakukan dengan mengkonfigurasi 2 file, yaitu : • /etc/host.allow 􀃆 host yang diperbolehkan mengakses. • /etc/host.deny 􀃆 host yang tidak diperbolehkan mengakses.

4. Enkripsi (encryption)

Penerapan Enkripsi di linux : • Enkripsi password 􀃆 menggunakan DES ( Data Encryption Standard ) • Enkripsi komunikasi data : 1. Secure Shell (SSH) 􀃆 Program yang melakukan loging terhadap komputer lain dalam jaringan, mengeksekusi perintah lewat mesin secara remote dan memindahkan file dari satu mesin ke mesin lainnya. Enkripsi dalam bentuk Blowfish, IDEA, RSA, Triple DES. Isi SSH Suite : • scp (secure shell copy) 􀃆 mengamankan penggandaan data • ssh (secure shell client) 􀃆 model client ssh seperti telnet terenkripsi. • ssh-agent 􀃆 otentikasi lewat jaringan dengan model RSA. • sshd (secure shell server) 􀃆 di port 22 • ssh-keygen 􀃆 pembuat kunci (key generator) untuk ssh Konfigurasi dilakukan di : • /etc/sshd_config (file konfigurasi server) • /etc/ssh_config (file konfigurasi client) 2. Secure socket Layer (SSL) 􀃆 mengenkripsi data yang dikirimkan lewat port http. Konfigurasi dilakukan di : web server APACHE dengan ditambah PATCH SSL. 5. Logging Def : Prosedur dari Sistem Operasi atau aplikasi merekam setiap kejadian dan menyimpan rekaman tersebut untuk dapat dianalisa. Semua file log linux disimpan di directory /var/log, antara lain : • Lastlog : rekaman user login terakhir kali • last : rekaman user yang pernah login dengan mencarinya pada file /var/log/wtmp • xferlog : rekaman informasi login di ftp daemon berupa data wktu akses, durasi transfer file, ip dan dns host yang mengakses, jumlah/nama file, tipe transfer(binary/ASCII), arah transfer(incoming/outgoing), modus akses(anonymous/guest/user resmi), nama/id/layanan user dan metode otentikasi. • Access_log : rekaman layanan http / webserver. • Error_log : rekaman pesan kesalahan atas service http / webserver berupa data jam dan waktu, tipe/alasan kesalahan • Messages : rekaman kejadian pada kernel ditangani oleh dua daemon : o Syslog 􀃆 merekam semua program yang dijalankan, konfigurasi pada syslog.conf o Klog 􀃆 menerima dan merekam semua pesan kernel 6. Deteksi Penyusupan (Intrusion Detection) Def : aktivitas mendeteksi penyusupan secara cepat dengan menggunakan program khusus secara otomatis yang disebut Intrusion Detection System

Tipe dasar IDS :

• Ruled based system : mencatat lalu lintas data jika sesuai dengan database dari tanda penyusupan yang telah dikenal, maka langsung dikategorikan penyusupan. Pendekatan Ruled based system : o Preemptory (pencegahan) ; IDS akan memperhatikan semua lalu lintas jaringan, dan langsung bertindak jika dicurigai ada penyusupan. o Reactionary (reaksi) ; IDS hanya mengamati file log saja. • Adaptive system : penerapan expert system dalam mengamati lalu lintas jaringan. Program IDS : • Chkwtmp : program pengecekan terhadap entry kosong • Tcplogd : program pendeteksi stealth scan (scanning yang dilakukan tanpa membuat sesi tcp) • Host entry : program pendeteksi login anomaly (perilaku aneh) 􀃆 bizarre behaviour (perilaku aneh), time anomalies (anomaly waktu), local anomaly.

sumber saya dari dosen saya yang baik...(gurupadi.wordpress.com) n (grenstevevai.blogspot.com)

posted by aRe u HaCkEr's at 6:41 AM | 0 comments

Istilah pada penerapan Firewall

• Host Suatu sistem komputer yang terhubung pada suatu network • Bastion host Sistem komputer yang harus memiliki tingkat sekuritas yang tinggi karena sistem ini rawan sekali terhadap serangan hacker dan cracker, karena biasanya mesin ini diekspos ke network luar (Internet) dan merupakan titik kontak utama para user dari internal network. • Packet Filtering Aksi dari suatu devais untuk mengatur secara selektif alur data yang melintasi suatu network. Packet filter dapat memblok atau memperbolehkan suatu paket data yang melintasi network tersebut sesuai dengan kebijaksanaan alur data yang digunakan (security policy). • Perimeter network Suatu network tambahan yang terdapat di antara network yang dilindungi dengan network eksternal, untuk menyediakan layer tambahan dari suatu sistem security. Perimeter network juga sering disebut dengan DMZ (De-Millitarized Zone). Keuntungan Firewall : • Firewall merupakan fokus dari segala keputusan sekuritas. Hal ini disebabkan karena Firewall merupakan satu titik tempat keluar masuknya trafik internet pada suatu jaringan. • Firewall dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali service-service yang digunakan di Internet. Tidak semua service tersebut aman digunakan, oleh karenanya Firewall dapat berfungsi sebagai penjaga untuk mengawasi service-service mana yang dapat digunakan untuk menuju dan meninggalkan suatu network. • Firewall dapat mencatat segala aktivitas yang berkaitan dengan alur data secara efisien. Semua trafik yang melalui Firewall dapat diamati dan dicatat segala aktivitas yang berkenaan dengan alur data tersebut. Dengan demikian Network Administrator dapat segera mengetahui jika terdapat aktivitasaktivitas yang berusaha untuk menyerang internal network mereka. • Firewall dapat digunakan untuk membatasi pengunaan sumberdaya informasi. Mesin yang menggunakan Firewall merupakan mesin yang terhubung pada beberapa network yang berbeda, sehingga kita dapat membatasi network mana saja yang dapat mengakses suatu service yang terdapat pada network lainnya. Kelemahan Firewall : • Firewall tidak dapat melindungi network dari serangan koneksi yang tidak melewatinya (terdapat pintu lain menuju network tersebut). • Firewall tidak dapat melindungi dari serangan dengan metoda baru yang belum dikenal oleh Firewall. • Firewall tidak dapat melindungi dari serangan virus. Pilihan klasifikasi desain Firewall : 1. Packet Filtering Sistem paket filtering atau sering juga disebut dengan screening router adalah router yang melakukan routing paket antara internal dan eksternal network secara selektif sesuai dengan security policy yang digunakan pada network tersebut. Informasi yang digunakan untuk menyeleksi paket-paket tersebut adalah: • IP address asal • IP address tujuan • Protocol (TCP, UDP, atau ICMP) • Port TCP atau UDP asal • Port TCP atau UDP tujuan Beberapa contoh routing paket selektif yang dilakukan oleh Screening Router : • Semua koneksi dari luar sistem yang menuju internal network diblokade kecuali untuk koneksi SMTP • Memperbolehkan service email dan FTP, tetapi memblok service-service berbahaya seperti TFTP, X Window, RPC dan ‘r’ service (rlogin, rsh, rcp, dan lain-lain). Selain memiliki keuntungan tertentu di antaranya aplikasi screening router ini dapat bersifat transparan dan implementasinya relatif lebih murah dibandingkan metode firewall yang lain, sistem paket filtering ini memiliki beberapa kekurangan yakni : tingkat securitynya masih rendah, masih memungkinkan adanya IP Spoofing, tidak ada screening pada layer-layer di atas network layer. 2. Application Level Gateway (Proxy Services) Proxy service merupakan aplikasi spesifik atau program server yang dijalankan pada mesin Firewall, program ini mengambil user request untuk Internet service (seperti FTP, telnet, HTTP) dan meneruskannya (bergantung pada security policy) ke host yang dituju. Dengan kata lain adalah proxy merupakan perantara antara internal network dengan eksternal network (Internet). Pada sisi ekternal hanya dikenal mesin proxy tersebut, sedangkan mesin-mesin yang berada di balik mesin proxy tersebut tidak terlihat. Akibatnya sistem proxy ini kurang transparan terhadap user yang ada di dalam Sistem Proxy ini efektif hanya jika pada konjungsi antara internal dan eksternal network terdapat mekanisme yang tidak memperbolehkan kedua network tersebut terlibat dalam komunikasi langsung. Keuntungan yang dimiliki oleh sistem proxy ini adalah tingkat sekuritasnya lebih baik daripada screening router, deteksi paket yang dilakukan sampai pada layer aplikasi. Sedangkan kekurangan dari sistem ini adalah perfomansinya lebih rendah daripada screening router karena terjadi penambahan header pada paket yang dikirim, aplikasi yang di-support oleh proxy ini terbatas, serta sistem ini kurang transparan.

Arsitektur dasar firewall :

• Arsitektur dengan dual-homed host (kadang kadang dikenal juga sebagai dual homed gateway/ DHG) Sistem DHG menggunakan sebuah komputer dengan (paling sedikit) dua network-interface. Interface pertama dihubungkan dengan jaringan internal dan yang lainnya dengan Internet. Dual-homed host nya sendiri berfungsi sebagai bastion host (front terdepan, bagian terpenting dalam firewall). • screened-host (screened host gateway/ SHG) Pada topologi,fungsi firewall dilakukan oleh sebuah screening-router dan bastion host. Router ini dikonfigurasi sedemikian sehingga akan menolak semua trafik kecuali yang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan pembatasan. Dengan cara ini setiap client servis pada jaringan internal dapat menggunakan fasilitas komunikasi standard dengan Internet tanpa harus melalui proxy.

posted by aRe u HaCkEr's at 6:31 AM | 0 comments

KEAMANAN JARINGAN

1. Membatasi Akses ke Jaringan A. Membuat tingkatan akses : Pembatasan-pembatasan dapat dilakukan sehingga memperkecil peluang penembusan oleh pemakai yang tak diotorisasi, misalnya : • Pembatasan login. Login hanya diperbolehkan : • Pada terminal tertentu. • Hanya ada waktu dan hari tertentu. • Pembatasan dengan call-back (Login dapat dilakukan siapapun. Bila telah sukses login, sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah disepakati, Penyusup tidak dapat menghubungi lewat sembarang saluran telepon, tapi hanya pada saluran telepon tertentu). • Pembatasan jumlah usaha login. • Login dibatasi sampai tiga kali dan segera dikunci dan diberitahu ke administrator. • Semua login direkam dan sistem operasi melaporkan informasi-informasi berikut : 􀂾 Waktu, yaitu waktu pemakai login. 􀂾 Terminal, yaitu terminal dimana pemakai login. • Tingkat akses yang diizinkan ( read / write / execute / all ) B. Mekanisme kendali akses : Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication). Kebanyakan metode otentifikasi didasarkan pada tiga cara, yaitu : 1. Sesuatu yang diketahui pemakai, misalnya : • Password. • Kombinasi kunci. • Nama kecil ibu mertua. • Dan sebagainya. 2. Sesuatu yang dimiliki pemakai, misalnya : • Badge. • Kartu identitas. • Kunci. • Dan sebagainya. 3. Sesuatu mengenai (ciri) pemakai, misalnya : • Sidik jari. • Sidik suara. • Foto. • Tanda tangan..

posted by aRe u HaCkEr's at 6:26 AM | 0 comments

Alternatif Penahan Expired Ms. Virtual PC 2004

Teknik Cracking : Langkah – Langkah : 1. Install Microsoft® Virtual PC 2004. Ada baeknya jika program Microsoft® Virtual PC 2004 ini dijalanin dulu. Hal ini untuk mengetahui metode proteksi yang digunakan. [Microsoft® Virtual PC 2004 pake Nag Screen plus batas pemakaian selama 45 hari] dan kabar gembiranya tidak di Pack sehingga tidak perlu melakukan proses Unpack. 2. Jalanin OllyDbg

3. Load Microsoft® Virtual PC 2004 ke Olly [File|Open]

4. Setelah program selesai loading, klik kanan & pilih [Search for|All intermodullar calls]. Kita akan dapet window baru lagi yang berisi fungsi – fungsi API yang akan dipake Microsoft® Virtual PC 2004.

5. pada langkah 1 kita kan udah nganalisa model proteksi yang dipake Microsoft® Virtual PC 2004, so sekarang kita buat BreakPoint [sebenernya sich ga BreakPoint murni..]. Ketikan EnableWindow [Eitz.. jangan kaget dulu, jika anda ga ngeliat apa yang anda ketik.. coba liat ke title barnya Olly, disana terlihat tulisan EnableWindow, dan kata yang kita ketikan akan disorot oleh Olly]. Truz klik kanan & Pilih Set breakpoint on every call to EnableWindow [Tulisan itu akan dikasi warna merah]. Truz scroll kebawah lagi ampe ketemu code berikut [Lihat gambar dibawah : ]

6. Double Klik Fungsi API diatas dan kita akan menuju window sebelumnya [Lihat Gambar berikut : ]

Perhatikan perintah yang dilingkari diatas..

0058D141 74 52 JE SHORT Virtual_.0058D195 | Perintah inilah yang akan kita manipulasi coz disinilah letak inti permasalahan pemanggilan kotak dialog Nag Screen yang berisi batas pemakaian baru berlangsung x-hari. Kita ubah perintah tersebut menjadi :

0058D141 75 52 JNE SHORT Virtual_.0058D195 [Klik ganda code tersebut, maka akan muncul dialog baru & ketikan dah langsung truz tekan Assembly] 7. Setelah diubah, Klik kanan pilih Copy to executable|All modifications. Jika muncul kotak dialog baru pilih Copy all, setelah itu kita akan dibukakan lagi window baru. Klik kanan pada window baru itu dan pilih Save File, truz tuliskan nama file hasil pacthing.
8. Coba jalanin file patching yang telah kita dapat [tentunya Nag Screen tidak akan muncul lagi], Cuma di bagian aboutnya masih terlihat Microsoft® Virtual PC 2004 Trial Edition..selamat mengerjakan..

posted by aRe u HaCkEr's at 6:19 AM | 0 comments

Menyembunyikan Drive di PC

Sebelumnya maaf jika ada pihak-pihak yang ngerasa dilangkahin about artikel ini, artikel ini gw kutip dari tabloid PCMILD n JASA KOM, gue share ini artikel coz mungkin aja da yang belum tau atau sekedar ngingetin lagi bagi yang udah tau. nah bagi yang udah tau, kali aja di artikel ni ada kesalahan, gw mohon jangan diketawain. sebenernya ga ada persipan khusus buat ngilangin drive di PC km, cuma ngerubah registry aja kok, berarti yang kamu butuhkan just only PC yang pake OS Win XP (all SP) n Win ME, (kalo di 98 blm dicoba). itu aja...... Nah skr ikutin langkah2 nya: 1. Klik tombol START trus lo pilih RUN di jendela RUN tadi itu lo ketik "Regedit" (gak pake tanda kutip)

2. Nah skr lo dah di jendela Registry Editor, trus cari HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

3. Buka folder EXPLORER tadi, trus klik kanan di area kosong di panel bagian kanan, klik NEW trus klik DWORD Value, trus beri nama NoDrives

4. klik ganda NoDrives tadi, trus ubah angka di value data nya sesuai dgn drive mana yg mau lo ilangin, ni angka bwt ngilangin drive nya: Drive A = 1 Drive H = 128 Ngilangin semua drive = 67108863 Drive B = 2 Drive I = 256 Drive C = 4 Drive J = 512 Drive D = 8 Drive K = 1024 Drive E = 16 Drive L = 2048 Drive F = 32 Drive M = 4096 Drive G = 64 Drive N = 8192

5. kalo udah, close registry editornya trus restart PC nya...!! 6. kalo udah lo restart buka My Computer trus liat, ga ada kan drive yang dah lo ilangin tadi.... 7. tenang aja semua data yang ada di drive tadi aman kok.....suerrr!!!! CARA NGEMBALIIN KE SEPERTI SEMULA: 1. ikuti langkah diatas (no 1 ampe no 2) yach!!!!! 2. Buka folder EXPLORER nya, trus cari NoDrives nya 3. Nah di jendela NoDrives, rubah Value Data yang tadinya 4 (misal: untuk drive C) atau angka drive yang dah lo masukin, trus ganti jadi 0 (nol), atau hapus aja langsung nama file NoDrives tadi 4. Restart tuch PC, and than liat aja di my computer drive yang diilangin tadi pasti udah ada...... 5. udah gtu doank kok.... Segala bentuk ejekan, cacian n apaan kEy sUka2 kMu kirim ja ke sini: gren_stevevai@yahoo.co.id

posted by aRe u HaCkEr's at 6:10 AM | 0 comments

Friday, September 14, 2007

Guns and Roses adalah salah satu "American Hard Rock" paling terkenal didunia.Musik mereka, (yang dengan unik merupakan gabungan dari blues,punk,dan glam musik) telah banyak banyak merubah pandangan dan arah serta definisi dari musik rock itu sendiri.Sebelum debut mereka pada tahun 1987 yang menggemparkan, glam rock adalah aliran musik yang paling dominan saat itu, musik keras mereka yang di barengi dengan penampilan panggung mendapatkan tempat tersendiri bagi penggemar mereka.dan menjelaskan satu hal: mereka adalah masa depan dari musik rock!! GnR mendunia dengan penjualan yang lebih dari 20 JUTA kopi,dan menduduki peringkat TERATAS dari seluruh charts rock di Amerika dengan lagu yang luar-biasa dan akan dikenang sepanjang masa semacam:Welcome to the Jungle, Sweet Child o'mine, don't cry, november rain, you could be mine, civil war,ain't it fun, sympaty for devil, yesterday, live a let die, patience dan Paradise city dimana semua lagu tersebut menduduki 10 besar di Billboard charts. Sampai sekarang, ini merupakan album debut paling dahsyat sedunia!! Album kedua dan ketiga GnR yang berjudul Use Your Illusion dan Use Your Illusion2 (keduanya dirilis di saat yang sama) menduduki nomor 1 dan 2 di Billboard Charts saat pertamakali diluncurkan.Bahkan konser dan tour mereka sukses besar untuk para fans. Band ini terbentuk pada tahun 1985 di Los Angeles dengan Axl rose sebagai front man,Tracii Guns sebagai gitar bersama Izzy Stradlin, bass pada Ole Beich serta drummer Rob Gardner (formasi ini berubah dengan masuknya Slash dan Steven Adler). Nama Guns and Roses sendiri merupakan gabungan dari 2 band mereka yang sebelumnya terpisah:Hollywood Rose dan L.A. Guns. Kesuksesan besar yang membuat nama mereka meroket dan menjadikan mereka sebagai simbol rock tahun itu juga berpengaruh banyak pada kehidupan mereka, Alkohol dan obat-obatan terlarang mulai mewarnai kehidupan para personelnya,bahkan Slash(yang akhirnya pindah dan bergabung dengan Velvet Revolver) membawa keduanya (alkohol&narkoba) keatas panggung!! Kejadian lain yang pantas disorot adalah: kematian 2 orang fans mereka di tengah konser. Kejadian tersebut terjadi saat kerumuman menjadi liar dan tidak terkontrol diwaktu GnR muncul di panggung dan memulai konsernya saat itu.Guns and Roses dituding sebagai yang bersalah atas kematian mereka dan men-Capnya sebagai "band paling berbahya didunia"!! Axl dan kawan2 sendiri baru tahu kalau ada yang tewas di konser mereka setelah pertunjukan selesai dan dengan sukses media menjadikan mereka sebagai kambing hitam. Status "Dewa Rock" mereka dapatkan dari perjalanan jauh yang telah ditempuhnya sampai sekarang. Album terakhir yang mereka rilis:Greatest hits di tahun 2004 sukses mendapatkan doble platinum, hal tersebut setidaknya menunjukkan kalau Guns And Roses mempunya arti sendiri bagi perkembangan rock tahun ini. Beberapa majalah/media yang mengangkat GnR: -Q magazine memasukkan GnR kedalam daftar"50 band yang harus kalian lihat sebelum mati" gila! -VH1 mencamtumkan nama mereka pada "100 artis Hard Rock terhebat" -Sementara Rolling Stones "500 album terbaik sepanjang masa".by grenstevevai.blogspot.com

posted by aRe u HaCkEr's at 11:04 PM | 0 comments

Monday, September 03, 2007

Cara pemakaian ANSAV yang benar

Ditulis oleh ANVIE

beberapa waktu lalu ada yang lapor kalo data-data word dan xls yang kedeteksi suspect ma ansav raib karena di delete oleh ansav. saya membenarkan hal itu kenapa? Apakah ansav ada bug seperti itu? Bukan bug tetapi kesalahan cara pemakaian ANSAV. berikut tip cara penggunaan ANSAV yang benar: 1. jangan lakukan aksi delete pada virus/object yang masih berpredikat sebagai suspected/dicurigai yang artinya ansav belum dapat menghandle virus tersebut, tidak ada dalam database, tetapi berhasil terdeteksi oleh heuristic-nya. 2. hapus object suspected hanya apabila kamu telah yakin bahwa itu memang benar2 virus dan tidak membahayakan data-data kamu apabila dihapus. 3. lakukan aksi karantina bila kamu tetap ragu antara hapus dan tidak. direkomendasikan kirimkan file hasil karantina kamu ke author atau developer, bisa melalui e-mail saya. 4. jika kamu tidak mau peduli dengan 3 tip diatas dan memang kamu terlalu takut melakukan delete secara tidak sengaja, turunkan level scanning ANSAV menjadi medium, jangan pake HARDCORE. apabila bingung tentang level? Baca file readme.txt! pengaturan level scanning bisa lewat menu options > configuration. NOTE: untuk menjaga terjadinya aksi delete tak disengaja mulai ANSAV versi 1.2.1, aksi delete untuk object yang masih berstatus suspected/dicurigai akan diberi peringatan. grenstevevai.blogspot.com

posted by aRe u HaCkEr's at 6:22 AM | 0 comments

Virus Tunggul Kawung Ditulis oleh zurick zaryan Digg N grenstevevai.blogspot.com

Sebenarnya virus ini dibuat menggunakan software virus maker AzVirGen Versi 5.50, kalau dilihat dari jenisnya mungkin bisa saja termasuk Worm atau trojan, karena virus yang asli dibuat menggunakan Visual Basic dan di dalam virus tersebut ditumpangi trojan. Nama Virus dari Visual Basic RainCity.exe (kebetulan saya belum mengirimkan sampel virus ini), kalau Raincity dijalankan maka akan membuat Tunggul.vbs, Kotahujan.htm, Kujang.bat dan kebunraya.exe. Dari masing-masing file berbeda cara menginfeksinya. File RainCity.exe adalah file induk yang menyimpan beberapa file dan membuat di folder masing-masing file, file tunggul.vbs menyembunyikan file DOC dan membuat file dengan nama sama dengan file DOC tapi berakhiran VBS, file Kotahujan.html, kujang.bat saya belum mendapatkan samplenya dan kebunraya.exe menumpangi file yang berakhiran DOC (sama seperti Kspoold) di semua drive kecuali A:. Dari semua file tersebut masing-masing punya tugas tersendiri dan yang paling banyak tugasnya adalah file Tunggul.vbs.

posted by aRe u HaCkEr's at 6:07 AM | 0 comments

W32.Trafox.A Worm Semi Virus buatan lokal: Sebuah Evolusi Malware Lokal

Ditulis oleh GRENSTEVEVAI.BLOGSPOT.COM N ANSAV.COM

Akhir-akhir ini perkembangan malware lokal di Indonesia cukup pesat, lihat saja pada malware yang baru saya dapatkan ini. Hal ini berawal dari saat saya sedang asik membuat versi terbaru Ansav Advanced yang sedang dalam proses pembuatan --dan tunggu saja mungkin sebentar lagi akan saya rilis ke publik--.

Pada saat itu saya heran, kenapa setiap kali selesai mengkompilasi Ansav dan ketika mencoba untuk mendebugnya dengan OllyDebug selalu saja Olly-nya tertutup sendiri, awalnya saya pikir normal saja, mungkin saja Olly-nya yang error, eh ternyata ketika saya mencoba menjalankan ansav-pun, ansavnya gak bisa dibuka, akhirnya rasa heranpun berubah menjadi curiga. Ternyata setelah dianalisa, KYAAAA!! komputer saya terkena virus, Ehm... jangan salah persepsi dulu walaupun saya merupakan pembuat ansav dan bisa dibilang paling getol membasmi virus, eh ternyata masih bisa saja komputer saya terkena virus, hal ini karena: saya adalah manusia, dimana manusia adalah tempatnya salah, sehingga wajar kalau saya bisa lengah, teledor dan akhirnya komputernya terkena virus ~_~". Saya tidak ingat kapan dan dari mana datangnya virus bren***k ini, tapi seingat saya, terkahir komputer saya berhubungan dengan media eksternal adalah pada waktu men-copy program game pendidikan, mungkin dari situ. Karena itu berhati-hatilah jika sering melakukan pertukaran data dari luar. lalu apa yang menarik dari cerita diatas, dan juga apa bagusnya menulis artikel ini? Akan saya jelaskan terlebih dahulu. Beberapa lama saya mencoba menganalisa malware ini, dan ternyata malware ini tidak hanya menggandakan diri seperti kebanyakan worm lokal Indonesia, tetapi juga menginfeksi file-file eksekutable bertipe .EXE, sehingga lebih pantas disebut sebagai Worm semi virus, karena dia menggandakan diri dan juga mampu menjadi parasit dalam tubuh program lainnya. Awalnya saya beranggapan bahwa ini adalah virus buatan luar, karena memang jarang virus lokal atau yang lebih lazim disebut worm melakukan modifikasi dan infeksi pada program lain, ternyata dugaan saya meleset, karena virus ini adalah virus buatan asli Indonesia, dan saya bisa mengatakan demikian karena: saya mendapatkan informasi string berikut pada tubuh raw yang saya dump menggunakan Ansav Advanced (Klw ga kmu bisa lihat situs nya di www.ansav.com tentang Ansav Advanced..sabar ya saya kan manusia biasa... :L) :

head>

W32.TR4F0X.Ah1> - Say War To #VM Community (Jowoboot) - Kill all AV - Destroy all fuckin company. [ IVS * INDONESIAN VIRUS SOCIETY ]font>center> body>

String tersebut berada di dalam tubuhnya yang dienkripsi sekaligus dipack dimana packernya menggunakan ASpack, dan tidak terlihat apabila dibuka file rawnya menggunakan hexa editor, dan hanya bisa dibaca dengan cara men-dump memori prosesnya. String tersebut apabila dibuat dan dibuka pada file dengan ekstensi .HTM atau .HTML akan tampak seperti berikut :

Kata-kata yang tidak mengenakkan ada pada pesan diatas pada baris kedua yaitu "Say War To #VM Community (Jowoboot)", mengapa hal ini mengkhawatirkan?, karena kata-kata tersebut bisa memancing atau istilahnya memprovokasi para Vxer-vxer lain untuk berlomba-lomba membuat virus-virus baru dan dapat berakibat Cyber War, seperti yang pernah terjadi sebelumnya yaitu pertarungan antara Gang Antibrontok yang diwakili RomanticDevil + NoBron melawan Gang Jowoboot yang diwakili Brontok + Rontokbro, dan saya yakin Anda pasti tidak mengharapkan yang demikian ini terjadi ~_~". Hal itulah yang membuat saya tertarik untuk menulis artikel ini, selain itu pula secara tidak langsung hal ini menjadi tanda-tanda bahwa para vxer lokal telah mengalami kemajuan dibidang Malcoding, mengapa? karena apa yang saya temukan pada virus ini sangat mengejutkan, dimana sudah menerapkan beberpapa tehnik-tehnik yang tidak kalah hebatnya dengan worm-worm dan virus mancanegara pada umumnya, beberapa tehnik antara lain seperti Encryption, Polymorphic, Antidebug dan yang tidak kalah pentingnya adalah PE Infector, sudah diterapkan dalam pembuatannya. Memang beberapa worm lokal lainnya ( sebelumnya ) juga ada yang melakukan modifikasi pada file/program lainnya, contohnya worm Grogotix, tapi kenapa worm grogotik tidak disebut sebagai Worm semi virus? padahal dia juga melakukan modifikasi pada file EXE lainnya. Tidak, Grogotix tidak memodifikasi file/program lainnya, seandainya iya pasti hanya berupa modifikasi yang tak berarti, Grogotix justru malah memodifikasi tubuhnya sendiri dan tentu saja hal ini tidak bisa dimasukkan dalam katagori infeksi, karena modifikasi tubuhnya sendiri itu maksudnya hanya menyimpan file/program lainnya kedalam tubuh worm yang tepatnya pada offset terakhir file-nya dan menjadi Overlays Data pada tubuh Grogotix sendiri, sehingga file/program asli tidak jalan dengan semestinya karena Grogotix butuh untuk mengekstraknya terlebih dahulu ke direktori tertentu ( dalam kasus ini direktori Temp ) dan menjalankan program tersebut dari situ, sehingga tidak semua program bisa jalan dengan sewajarnya, terutama program-program yang meletakkan runtime pada direktori instalasinya, sehingga tidak bisa disebut sebagai infeksi. hal ini berbeda dengan worm semi virus W32.Trafox.A yang saya dapatkan ini, karena virus ini benar-benar melakukan modifikasi pada program lainnya dan tidak hanya menumpuki atau meng-Append (menempelkan) file rawnya saja seperti Grogotix, (tentang perbedaan worm dan virus baca pada artikel yang pernah saya posting sebelumnya). Adapun yang dilakukan Trafox untuk menginfeksi file EXE adalah dengan cara membelokkan entrypoint program aslinya ke tubuh virus, hal ini bisa dilakukan dengan cara menempelkan tubuh virus ke program lain dengan membuat section baru pada section terakhir, section tersebut memiliki nama '.idata' ( ini pada varian virus yang saya dapatkan, pada varian lainnya mungkin akan berubah/berbeda ) dan virus ini akan membelokkan entrypoint program aslinya ke entrypoint virus. Sebentar..., apa itu entrypoint? Entrypoint adalah alamat awal suatu program yang akan dibaca dan dieksekusi terlebih dahulu ketika program pertama kali dijalankan, jadi apabila misalnya program kita asumsikan Winamp.exe (program pemutar musik paling terkenal) apabila winamp.exe tersebut terinfeksi oleh virus ini dan Anda mencoba menjalankan winamp, maka winamp akan tetap berjalan seperti biasa tetapi.., ini ada tetapi berarti anda juga secara tidak langsung telah menjalankan virus-nya, mengapa? Karena kode virus akan terlebih dahulu dieksekusi oleh komputer sebelum kode asli program winamp dijalankan, adapun apa yang akan diperbuat oleh kode virus ini adalah dengan cara menjalankan rutin untuk mengekstrak file (berupa worm induk) pada direktori System dan menjalankan worm induk tersebut dari sana, setelah proses tersebut selesai, virus akan segera mengembalikan kendali ke program yang sebenarnya (winamp.exe) sehingga sangat sulit untuk mengidentifikasi keberadaan virus ini, hal ini berpengaruh juga pada proses pembersihan virus tersebut, proses pembersihan menjadi lebih sulit dibandingkan membersihkan worm lokal lainnya, mengapa? karena kita harus panda-pandai memisahkan antara program asli dengan virus, jadi tidak bisa langsung Seek And Delete, karena apabila asal delete file program aslinya pun akan ikut hilang beserta virusnya, dan jarang ada orang yang berkeinginan demikian.

Awalnya saya berpikiran untuk menghapus setiap file yang telah terinfeksi dan menginstall ulang program yang terinfeksi, karena saya memang paling gak suka berurusan dengan virus yang menginfeksi file EXE, tetapi saya berubah pikiran karena ini adalah virus buatan lokal dan pasti akan menarik untuk dibahas dan dipelajari bersama, (lama-lama bosen juga melihat worm-worm lokal yang bisanya itu-itu saja :P). Akhirnya setelah memiliki tekad untuk memecahkan bagaimana cara mengobati file (program yang terinfeksi) setelah beberapa lama bengong dan termenung sendiri, sedikit demi sedikit saya coba untuk menganalisanya setelah komputer kepunyaan saya dibekukan terlebih dahulu untuk kemudian menggunakan komputer teman yang telah saya pasang Virtual Machine untuk menganlisa nih virus, tidak biasanya saya menggunakan Virtual Machine untuk menganalisa worm lokal apabila tidak benar-benar kepepet, tetapi saya juga manusia sehingga tidak mau menggadaikan data-data berharga saya untuk menganalisa virus, so be carefull.. :) Satu..Dua..Tiga menit berlalu bahkan Satu..Dua.. jam pun berlalu, awalnya saya mengatakan sulit untuk menganalisa virus ini, tetapi karena rasa penasaran dan ketertarikan sendiri dengan uniknya virus ini berhasil membangkitkan semangat saya untuk memecahkan virus ini dan saya pun bisa mengatakan "tidak terlalu sulit" :P. Proyek membuat Ansav Advance saya pending terlebih dahulu dan saya backup dalam CD, untuk kemudian berurusan dengan virus ini, lama melakukan analisa dan setelah mendapatkan titik terang, perlahan-lahan untaian kode mesin pun bisa terbaca dan informasi-informasi penting pun diperoleh seperti entrypoint asli yang disembunyikan virus dan alghoritma encryptionnya, tidak lupa setiap informasi penting saya catat dengan notepad, dan beberapa kali saya membuat honey file, akhirnya sumuanya bisa dipahami seperti saya memahami angka 2 dari penambahan 1+1. Sebentar.., apa itu honey file?, oh ya lupa, honey file adalah cara saya untuk memancing virus agar menginfeksi file honey tersebut, dan membandingkan file honey tersebut setelah dan sebelum diinfeksi, atau lebih mudahnya disebut sebagai umpan, sehingga saya bisa menangkap perubahan-perubahan yang terjadi pada file yang diinfeksi untuk kemudian menciptakan alghoritma untuk mengobati file yang sudah terinfeksi agar bisa dikembalikan seperti semula tanpa kekurangan atau kelebihan apapun, jika perlu gunakan MD5 untuk memastikan bahwa file 100% telah kembali seperti semula :) (oh ya sedikit bocoran, Ansav Advanced telah menyediakan tool khusus untuk mengkalkulasi baik CRC32 maupun MD5). Terakhir saya menarik kesimpulan, saya akui worm semi virus ini memang lebih maju dibandingkan dengan worm-worm lokal generasi sebelumnya, terutama dilihat dari cara infeksinya, tetapi ternyata masih ada kekurangan yang saya temukan dalam virus ini, apa itu? Walaupun virus ini mampu menginfeksi file/program lain, ternyata dalam proses infeksi virus masih selalu menyisakan overlays data (data sampah) pada akhir file yang ditumpanginya, sehingga akan menyebabkan banyak antivirus bisa men-suspect-nya, mengapa? saya tidak tahu secara jelas tujuan pembuatnya tetapi yang pasti file yang terinfeksi ukurannya akan semakin membengkak dari ukuran aslinya, sehingga akan sangat mencolok radar antivirus. Dilihat dari sini kemungkinan pembuatnya masih pemula dalam hal PE Infection terutama dalam pemahaman struktur file PE, karena saya temukan juga beberapa kesalahan dalam format image base yang ditambahkan tidak disesuaikan dengan besar sectionnya, hal ini bisa berakibat fie/program yang dipack atau diprotect dengan packer/protector tertentu akan rusak dan tidak bisa jalan apabila sudah terinfeksi, sehingga proses infeksi tidak bersih. Dalam waktu kurang lebih 3-4 jam saya berhasil membuatkan remover-nya untuk virus ini, remover tersebut saya buat menggunakan assembly dan juga saya jadikan Open Source maka anda dipersilahkan untuk memodifikasinya dan atau mengimprovisasi source code ini, tentu masih bisa dioptimasi dan mungkin masih banyak bug yang harus diperbaiki. Cleaner ini bisa mengobati file yang telah terinfeksi dengan tuntas, tehnik yang digunakan untuk membersihkan bisa anda pelajari pada source code cleaner-nya, disitu sudah saya sertakan komentar-komentar untuk mempermudah pemahaman. Bagi siapa saja yang merasa telah terinfeksi virus ini, berikut adalah cara membersihkannya : Matikan fasilitas system restore pada Windows versi 2K/XP keatas Matikan proses dengan nama "Services_test.exe", bisa menggunakan Windows Task Manager. Jalankan remover yang telah saya buat.

Lihatlah pada screenshot diatas, terlihat komponen-komponen MASM saya diinfeksi oleh virus tersebut, hal ini terjadi pada saat saya sedang mengambangkan Ansav dan terpaksa kegiatan saya pun tertunda oleh gangguan virus ini. Dalam membuat remover ini belum saya sertakan listing untuk membunuh virus trafox yang aktif dalam memori, hal ini dikarenakan saya belum sempat menuliskan listingnya, disebabkan saya sedang sibuk membuat Ansav Advanced, mungkin suatu saat, atau anda sendiri yang akan menambahkan? silahkan.., walupun begitu anda bisa mematikannya dari task manager, santai saja virus ini sangat mudah dihentikan lewat task manager. Sejauh ini saya hanya memahami cara kerja virus ini pada file yang telah terinfeksi, sedangkan pada worm induknya belum sempat saya analisa apa dan bagaimana kerjanya, sehingga maklumlah apabila saya belum dapat membeberkan lebih banyak tentang virus ini, mungkin di postingan yang akan datang tentunya setelah saya menyelesaikan pembuatan Ansav Advanced-nya. Atau jika ada yang sudah menganalisanya silahkan beritahu saya nanti akan saya posting :-). Oh ya, sekalian saja untuk siapa saja yang punya artikel-artikel menarik seputar virus dan malware kirimkan saja ke saya di gren_stevevai@yahoo.com Owkeh sekian dulu, untuk remover dan source codenya bisa di download disitus ny ANSAV.COM

posted by aRe u HaCkEr's at 5:48 AM | 0 comments