Halo Halo .. I’m back dude.. Hehehe.. Kali ini saya akan menulis mengenai SSH Login menggunakan Two Factor Authentication dengan menggunakan layanan dari Duo Security (You are great !!) Melanjutkan pembahasan kita yang kemarin mengenai Two Factor Authentication . Kali ini saya akan menuliskan pengalaman saya implementasi two factor authentication untuk Login SSH. Kebetulan saya mempunyai VPS yang biasa saya pakai. Saya mencoba mengimplementasikannya, berikut ini step by step nya :

Sebelumnya berikut requirement nya :

1. Mempunyai akun Duo Security
2. Mempunyai SSH Server yang bisa di manage
3. Mempunyai Handphone (yang penting bisa menerima SMS dan panggilan )

POC step by step :

1. Setelah sign up account di Duo Security, silakan klik di Tab Integration di sebelah kiri, dan Klik New Integration
2. Pada pilihan integration type silakan anda pilih Unix integration, dan Integration Name nya terserah anda, dan klik Add Integration
3. Nanti anda akan mendapatkan Integration Key, Secret Key, dan API Hostname. Stop disini sekarang kita akan setup aplikasi duo security di sisi server anda

Instalasi Aplikasi Duo Security di server anda :

1. Login ke server anda via SSH
2. DOwnload aplikasi Duo Security terbaru https://github.com/downloads/duosecurity/duo_unix/duo_unix-1.7.tar.gz
3. Install Duo Security (pastikan tidak ada dependensi package yang kurang)

tar -zxvf uo_unix-1.7.tar.gz
cd duo_unix-1.7
./configure –prefix=/usr && make && sudo make install

4. Config Duo Security
sudo nano /etc/duo/login_duo.conf

[duo]
; Duo integration key
ikey = isi sesuai dengan integration key anda
; Duo secret key
skey = isi sesuai dengan secret key anda
; Duo API hostname
host = api-dad69f23.duosecurity.com

Save dan Exit

5. Test login Duo Security
sudo /usr/sbin/login_duo

Jika semua setup sudah benar akan muncul seperti di bawah ini :

digit@cybertron:~$ sudo /usr/sbin/login_duo
Please enroll at https://api-dad69f23.duosecurity.com/portalxxxxxxxxxxxxxxx

Silakan Klik URL tersebut untuk melakukan Aktivasi

6. Setelah selesai authentikasi silakan coba kembali :

digit@cybertron:~$ sudo /usr/sbin/login_duo echo berhasil
Duo two-factor login for digit

Enter a passcode or select one of the following options:

1. SMS passcodes to +XXXXX XXXXxxxx (next code starts with: B)

Passcode or option (1-1): 1

digit@cybertron:~$

7. Enable Login Duo Security –> Edit SSH Config di server anda :
digit@cybertron:~$ sudo nano /etc/ssh/sshd_config

Tambahkan baris berikut ini :

ForceCommand /usr/sbin/login_duo

8. Save, Exit, dan Restart SSH Service
digit@cybertron:~$sudo /etc/init.d/ssh restart

Login dari PC / Laptop kita ke Server kita :

digit@my-laptop:~$ ssh digit@cybertron
Duo two-factor login for digit

Enter a passcode or select one of the following options:

1. SMS passcodes to +XXXXX XXXXXXXX

Passcode or option (1-1): 1

New SMS passcodes sent.

Duo two-factor login for digit

Enter a passcode or select one of the following options:

1. SMS passcodes to +XXXXX XXXXXXXX (next code starts with: A)

Passcode or option (1-1): AXXXXXX

Success. Logging you in…

digit@cybertron:~$

Berhasil

Selamat Mencoba.

Halo kawan, kembali lagi bersama saya. Hehehehe. Kali ini saya akan menuliskan sebuah artikel menarik mengenai two factor authentication. Sudah pernah mendengar two factor auth sebelumnya? two factor auth adalah istilah untuk mengkombinasikan security lebih dari 1 jenis. Secara sederhana bisa dikatakan two factor auth menggunakan 2 jenis pendekatan security yang berbeda. Misalnya ketika anda bertransaksi menggunakan Internet Banking, pasti selain anda harus login ke halaman akun internet banking, ketika anda ingin bertransaksi nda membutuhkan token kan? Bank Mandiri menggunakan hardware token untuk meng-generate key yang harus kita input lagi untuk melakukan transaksi, sementara CIMB menggunakan nomor handphone, dimana nanti secret key untuk bertransaksi di kirimkan ke nomor handphone yang sudah di daftarkan. Seperti itulah contohnya two factor authentication (CMIIW ). Apa sih keuntungan menggunakan two factor auth ini? Keuntungannya jelas, keamanan berlapis ini dapat meminimalisir agar akun kita tidak mudah di compromise. Ketika username dan password kita dapat di ketaui oleh orang lain, misal karena kita terperangkap keylogger, Man In The Middle, Fact Web login, dan lainnya, si attacker tidak dapat dengan mudah menembus sistem pertahanan kita karena membutuhkan factor lainnya itu (misal hardware token, SMS Passcode).

Implementasi two factor authentication ini sudah banyak diterapkan oleh beberapa macam penyedia layanan email, atau social media. Misalnya Gmail yang sudah menerapkan two factor authentication ini, sehingga nanti ketika sudah memasukkan username dan password, akan ada passcode lainnya yang akan di kirimkan via SMS ke nomor handphone kita. Kita harus memasukkan passcode tersebut baru kita dapat login ke account kita. Sama halnya dengan Gmail, Facebook juga menyediakan layanan two factro authentication melalui layanan passcode yang dikirim via SMS (sayangnya entah kenapa saya belum berhasil mengaktifkan layanan ini, SMS dari Facebook untuk aktivasinya nggak masuk euy ). Sangat menarik bukan two factor authentication ini? Bagaimana implementasinya jika kita mempunyai blog atau web yang ingin mengaktifkasn two factor authentication ini? Jawabannya adalah menggunakan layanan dari Duo Security.

Duo Security adalah penyedia layanan two factor authentication dimana handphone kita bersifat sebagai token, sesuai dengan slogannya, “your handphone is your token”. Saya mencoba layanan DUo Security ini pad blog saya di WordPress. Untuk platform apa saja Duo Security ini dapat digunakan? Duo Security ini dapat di gunakan sebagai token untuk akses VPN anda (Cisco, OpenVPN, Juniper, Fortinet, Citrix, dll), dapat juga di gunakan sebagai token untuk SSH Akses anda, atau juga Web Apps. Mantap kan !! (keren juga nih SSH make token )

Untuk prakteknya kali ini saya akan memberikan contoh bagaimana mengaktifkan Duo Security pada Blog WordPress.

Requirement :

1. WordPress yang di hosting sendiri
2. Plugin WordPress Duo Security
3. Handphone (handphone biasa, J2ME, Android, Blackberry, iPhone)

Step by step :

1. Search Plugin Duo Security di halaman Add Plugin pada Dashboard WordPress anda

2. Install Plugin Duo Security tersebut

3. Activate Plugin Duo Security

4. Pilih Setting terlebih dahulu di plugin Duo Security tersebut

5. Ada box isian untuk Integration Key, Secret Key, API HOstname, dan Enable for Roles. Stop dsini sekarang kita daftar terlebih dahulu di web http://www.duosecurity.com/

6. Daftar Free Account Duo Security (Hanya untuk 10 User saja) di http://www.duosecurity.com/pricing

7. Di Tab Sebelah kanan ada Form ISian untuk SIgn UP, Pilih type Personal. Lalu Isi First Name, Las Name, Email anda, dan Organization, setelah itu silakan cek Email anda untuk mendapatkan activation link.

8. Masuk ke dashboard anda. Dan Buat New Integration. Untuk Type nya silakan pilih Web SDK. Name nya terserah anda, Nanti setelah anda buat akan ada Integration Key, Secret Key, dan API Hostname. Silakan copykan ketiga nya ke Dashboard Setting Plugin Duo Security di WordPress anda tadi (Step 4)
9. Save changes di Dashboard WordPress Anda.

10. Kembali ke halaman di Dashboard di Web www.duosecurity.com anda, di bagian Tab Integration Visual Style nya silakan di rubah ke WordPress (Ini untuk tampilan halaman login di WordPress Anda ketika di minta pascode token Duo Security)

11. Save changes.

12. Silakan Gunakan browser lain untuk mencoba Login ke Dashboard WP anda. Dan aktifkan Layanan Duo Security menggunakan Two Factor Authentication. Token ini bisa di kirimkan berupa SMS Passcode atau berupa Telephone (Nanti akan ada Mesin operator yang menelpon anda dan memberikan Token anda).

Selamat mencoba

Saya menemukan Catatan menarik dari Punter Infosec mengenai Beberapa Security Assesment dan Pentest Tools Cheat Sheet. Sebagian juga ada yang saya tambahkan berdasarkan hasil googling dan juga bookmark saya. Cheat sheet ini sebagai pengingta saya apabila ada yang lupa. Kalau berguna bagi anda, atau anda mempunya link cheat sheet lainnya silakan PM saya jika ada broken link mohon informasinya yah, sebagian besar sudah saya tes dan masih oke.

Backtrack 4
http://www.corelan.be:8800/index.php/2009/07/04/backtrack-4-cheat-sheet/

CEH cheatsheets from Mindcert

http://www.mindcert.com/resources/MindCert_Nmap_MindMap.pdf

http://www.mindcert.com/resources/MindCert_CEH_Enumeration_MindMap.pdf

http://www.mindcert.com/resources/MindCert_CEH_Ethical_Hacking_MindMap.pdf

http://www.mindcert.com/resources/MindCert_CEH_Footprinting_MindMap.pdf

http://www.mindcert.com/resources/MindCert_CEH_Scanning_MindMap.pdf

http://www.mindcert.com/resources/MindCert_CEH_System_Hacking_MindMap.pdf

http://www.mindcert.com/resources/MindCert_CEH_Trojans_MindMap.pdf

http://www.mindcert.com/resources/CCNA_Cisco_IP_Routing.pdf

sec-c.org/wp-content/uploads/2009/02/metasploit_quick.pdf

DDoS Incident Response Cheat Sheet
http://cert.societegenerale.com/resources/files/IRM-4-DDoS.pdf
Hping Cheat Sheet
http://sbdtools.googlecode.com/files/hping3_cheatsheet_v1.0-ENG.pdf

IPTables Cheat Sheet
http://technotes.1000lines.net/?p=47

Read the rest of this entry

Saya mendapatkan Link menarik dari Blog Coresec mengenai Online penetration test tools. Saya coba tuliskan kembali sebagai bookmark untuk saya sendiri

Online penetration test tools ini merupakan project dari Subhash Dasyam:

Online Port Scanner

http://scan.subhashdasyam.com/port-scanner.php

Online VNC Scanner

http://scan.subhashdasyam.com/dumper-with-login.php

Online SSH Scanner

http://scan.subhashdasyam.com/ssh-scanner.php

Online Admin Page Bruter

http://scan.subhashdasyam.com/admin-page-finder.php

  Read the rest of this entry

Hari ini menemui sedikit keanehan dalam pekerjaan mengenai certificate. Ternyata ini hanya basic konsep mengenai certificate itu sendiri (doh). Untuk mencoba membagikan kepada teman-teman semua, saya mencoba menuliskannya, mudah-mudahan bahasa yang saya gunakan tidaklah terlalu rumit.

Apakah x.509 itu? X.509 adalah standard untuk sertifikasi dokumen digital yang telah di setujui oleh ITU (International Telecommunication Union) sebuah standard untuk bidang telekomunikasi. Sertifikat X.509 adalah dokumen digital yang telah di encode dan / atau telah di sign berdasarkan RFC 5280.

Ekstensi X.509

Banyak orang yang salah dalam mengartikan ekstensi-ekstensi X.509 (termasuk saya) hehehe.. Mungkin banyak juga yang masih merasa bingung mengenai ekstensi .cer, .der, .crt, .pem, .key.

Berikut ini penjelasan mengenai perbedaan-perbedaan ekstensi tersebut :

• Encoding (biasanya juga digunakan sebagai ekstensi)

.DER = ekstensi .DER digunakan sebuah sertifikat biner yang di encode dengan DER. Jadi penggunaan bahasa yang tepat adalah seperti ini : “Saya memiliki sertifikat yang di encode DER” bukan “Saya memiliki sertifikat DER”.

.PEM = Ekstensi .PEM digunakan untuk menjelaskan dari berbagai tipe X.509v3 yang mana berisi ASCII (Base64). .PEM ini biasanya diawali dengan kata-kata seperti ini “—– BEGIN …”

.DER dan .PEM ini bisa saling di convert. baik itu di convert dari .DER ke .PEM ataupun sebaliknya.

• Ekstensi Umum

.CRT = Ekstensi .CRT merupakan ekstensi sertifikat. Serifikat tersebut mungkin saja bisa di encode dengan binary .DER atau ASCII .PEM. (Jadi .DER dan .PEM merupakan cara encoding nya saja, bukan merupakan sertifikatnya. Ingat !! Ingat !!).

.CER = ekstensi .CER juga merupakan ekstensi untuk sertifikat. .CER sama saja dengan .CRT. .CER dan .CRT bisa saling di convert. dari .CRT ke .CER ataupun sebaliknya..

.KEY = Ekstensi .KEY digunakan baik itu oleh public key ataupun private key PKCS#8 key. .KEY dapat di encode dengan binary .DER ataupun ASCII .PEM.

Satu-satunya cara yang aman dapet dilakukan untuk meng-convert .CER dapat menjadi .CRT (atau sebaliknya) ialah jika .CER dan .CRT itu di encode dengan jenis encoding yang sama / identik. Misal :

.CER yang di encode dengan .PEM akan di convert menjadi .CRT dengan encode PEM juga.

Jadi jangan salah lagi yah ketika melakukan convert

Demikian penjelasan singkat mengenai X.509, karena saya juga manusia, apabila ada tulisan yang salah saya mohon di koreksi. Insya Allah saya besok menulis bagaimana agar dapat saling menconvert ekstensi satu sertifikat ke ekstensi lainnya.

Happy Learning

Sorce and reference :

http://www.gtopia.org/blog/2010/02/der-vs-crt-vs-cer-vs-pem-certificates/

Halo semua.. Jumpa kembali.. Malam ini saya melihat sebuah tulisan di www.ehacking.net yang berjudul How to Find Vulnerability on Computer Using CVEChecker. Link nya ada di sini : http://www.ehacking.net/2011/11/how-to-find-vulnerability-on-computer.html. Saya sangat tertarik sekali ingin mencoba tutorial tersebut dan menuliskan kembali dengan Bahasa Indonesia, tentu saja seperti biasa yang sudah saya tambahkan bumbu-bumbu.

Pertama kali, mungkin kita sudah sering mendengar mengenai Vulnerability Assesmnet. Jika kita berbicara mengenai Vulnerability Assesment, tentu saja yang langsung terlintas di pikiran kita adalah Nessus, atau OpenVAS. 2 tool yang sudah sangat tidak asing dan sering kita dengar sehari-hari. Seperti tulisan saya sebelumnya yang membahas mengenai instalasi / penggunaan Nessus, dan juga OpenVAS. Lalu kali ini kita mencoba menggali vulnerability yang ada pada komputer kita / client kita menggunakan CVE Checker. Sebenarnya ap sih CVE itu? CVE kepanjangan dari Common Vulnerability and Exposure. Websitenya ada di http://cve.mitre.org/ CVE menyediakan referensi mengenai vulnerability yang ada pada satu produk. CVE bisa dikatakan sebuah database mengenai setiap vulnerability yang di publish. CVE ini di maintain oleh MITRE sebuah organisasi non-profit

Jadi secara sederhana seperti ini cara kerja CVEChecker : kita akan melakukan inspeksi scanning terhadap operating system komputer kita (kita disini maksudnya kita sendiri yng akan melakukan scanning dengan menggunakan command find / -type f -perm -o+x > scanlist.txt di step yang ke-6), beserta aplikasi nya, lalu hasil scanning itu akan di cocokkan dengan database CVE yang ada menggunakan CVEChecker ini (itu terbukti dengan perintah update database CVE di step 5 nanti, kita mendownload db CVE dari tahun 2002 – 2011). Setelah kira-kira CVEChecker menemukan vulnerability yang ada pada komputer kita, CVEChecker akan memberitahukan hasilnya. Seperti itu menurut saya cara kerjanya (CMIIW)

Baiklah mungkin itu sedikit penjelasan mengenai CVE, Berikut step by step menggunakan CVEChecker untuk
menemukan vulnerabilities :

1. sudo apt-get install libconfig8-dev libsqlite3-dev libxslt1-dev

2. Download CVEChecker di http://sourceforge.net/projects/cvechecker/files/ (yang saya gunakan saat ini menggunakan versi 3.1

3. Extract CVE Checker :
tar -zxvf cvechecker-3.1.tar.gz

4. Compile CVE Checker
cd cvechecker-3.1
./configure –enable-sqlite3
sudo make
sudo make install

5. Download database CVE :
sudo pullcves pull

6. Generate List vulnerability yang ada di komputer kita :
find / -type f -perm -o+x > scanlist.txt
echo “/proc/version” >> scanlist.txt

7. Seakrang mencocokkan hasil scan dengan DB CVE :
cvechecker -b scanlist.txt
cvechecker -r

8. Export Hasilnya :
cvechecker -r -C

NB : semua proses masih di lakukan di dalam foder chechecker

Selamat Mencoba Happy Hacking

Halo kawan kawan semua, jumpa lagi dengan saya. Ada yang kangen? hehehe.. Kali ini saya akan menuliskan mengenai step by step bagaimana cara Instalasi OpenVAS . Tutorial kali ini saya terjemahkan “plek” dari resource di Web OpenVAS di sini. Dengan beberapa bumbu tambahan tentunya Kali ini saya akan memberikan tutorial Instalasi OpenVAS di Ubuntu 10.04. Cara ini berhasil di lakukan di ubuntu 10.04, namun tidak menutup kemungkinan pula dapat di lakukan di Versi Ubuntu yang lebih baru. Instalasi OepnVAS ini melalui OBS (OpenSuse Build Service). Baik mari kita langsung praktekkan saja :

Step 1: Konfigurasi OBS Repository

Step 2: Install OpenVAS

Step 3: Start OpenVAS
(copy dan paste seluruh perintah di bawah ini, ddi step terakhir nanti anda akan di minta untuk membuat password untuk admin, silakan isi terserah anda)

openvasad -c add_user -n admin -r Admin 

Step 4: Log into OpenVAS as “admin”

Silakan buka browser anda https://localhost:9392/ atau start “gsd” di terminal anda sebagai regular user (bukan root!).

Silakan anda mencoba-coba fiturnya.. Lain kesempatan saya akan menuliskan bagaimana melakukan Vulnerability Assesment menggunakan OpenVAS. Selamat Mencoba. Happy Hacking