Sesi Berkenalan dengan Blog

Pernah dengar tentang “Blog” tapi tidak pernah mempunyai “Blog” sendiri? Mengetahui tentang “Blog” sebagai tempat membina “positioning” anda di dalam dunia online tetapi tidak mengetahui  bagaimana membinanya? Hilang punca?

Saya akan bantu anda!

Saya akan berkongsi pengetahuan bagi membantu anda membangunkan Blog anda sendiri dalam beberapa siri artikel yang akan diterbitkan dari semasa ke semasa.  Perkongsian ini adalah berdasarkan pengalaman saya membangunkan Blog “mdnazri.com” ini menggunakan platform WordPress.

 

Saya akan cuba berkongsi pengalaman membina Blog sendiri melalui artikel-artikel yang akan merangkumi:

  • Sesi berkenalan dengan Blog – apa itu blog?
  • Membina Blog dengan WordPress
  • Bagaimana bermula untuk “blogging” dengan WordPress
  • Mengubah suai rekabentuk blog WordPress anda
  • Perkara berkaitan Plugin dan ciri-ciri lain WordPress
  • Menhubungkan blog WordPress anda dengan dunia media sosial lain seperti Facebook dan Twitter
  • Memasang dan menghoskan WordPress blog pada tapak anda sendiri

Moga siri-siri artikel ini boleh dimanafaatkan sepenuhnya!

Pengukuhan Apache Web Server – Bhg. 4

Selain daripada web server banner, terdapat satu lagi kaedah bagaimana penceroboh boleh mengetahui versi Apache web server yang digunakan.  Penceroboh boleh mengetahuinya melalui signature yang dipaparkan melalui laman web apabila terdapat ralat seperti fail tidak ditemui (file not found), fail tidak boleh dicapai (access forbidden), terdapat masalah seperti internal server error dan sebagainya.

Berikut merupakan contoh bagi capaian terhadap fail yang tidak ditemui dan web server signature yang dipaparkan:

 

Fungsi directory listing bagi memaparkan kandungan laman web juga memaparkan maklumat bagi Apache web server yang digunakan:

 

Pengukuhan

Maklumat web server signature ini perlu dimatikan bagi mengelakkan penceroboh dengan mudah melakukan carian terhadap kelemahan berkaitan dengan server yang dipasang.   Direktif ServerSignature perlu disetkan kepada Off bagi mematikan fungsi ini.  Direktif ServerSignature Off ini perlu ditukar pada fail konfigurasi yang sama sebagai mana dibincangkan bagi mematikan banner pada artikel sebelum ini.

Pengukuhan Apache Web Server – Bhg. 3

Secara default, Apache web server memaparkan maklumat versi server yang dipasang.  Antara maklumat lain yang juga boleh diketahui termasuklah sistem pengoperasian serta modul-modul web server yang dipasang.  Maklumat-maklumat ini pada kebiasaannya akan digunakan oleh penceroboh untuk mengetahui kelemahan yang ada sebelum dieksploitasi bagi memasuki sistem.

Sebagai analogi, pencuri akan cuba untuk mengetahui jenis kunci yang digunakan, mencari maklumat kelemahan kunci tersebut dan cara-cara membukanya.

Banner Grabbing

Maklumat bagi web server yang digunakan boleh didapati dengan teknik “Banner Grabbing”.  Pengunaan tool ringkas seperti telnet dan netcat boleh digunakan bagi tujuan ini.  Berikut merupakan contoh teknik yang digunakan oleh penceroboh bagi tujuan ini:

# nc www.organisasi.gov.my 80
HEAD /HTTP /1.0

Berdasarkan arahan di atas, penceroboh membuat sambung ke port 80 (HTTP)  dan arahan berikutnya dihantar ke server.  Arahan tersebut akan memberikan output seperti berikut:

HTTP/1.1 302 Found
Date: Fri, 05 Dec 2008 01:24:41 GMT
Server: Apache/2.2.9 (Win32) DAV/2 mod_ssl/2.2.9 OpenSSL/0.9.8h mod_autoindex_co lor PHP/5.2.6

Output di atas merupakan maklumat bagi web server yang digunakan.  Di sini kita mengetahui bahawa server yang digunakan adalah Apache web server versi 2.2.9 dan berkemungkinan menggunakan sistem pengoperasian Microsoft Windows.  Modul-modul yang dipasang termasuklah DAV, mod_ssl, OpenSSL, mod_autoindex_color dan PHP.

Google

Maklumat ini kemudiannya boleh digunakan untuk mengetahui kelemahan yang terdapat dan cara eksploitasi yang berkaitan melalui enjin carian Google seperti berikut:

Cadangan Pengukuhan

Maklumat yang dipaparkan melalui banner ini boleh dihadkan dengan mengubah konfigurasi Apache web server ini melalui direktif ServerTokens di dalam fail konfigurasi berdasarkan lokasi pemasangan seperti di:

  • CentOS Linux: /etc/httpd/conf/httpd.conf
  • Ubuntu Linux: /etc/apache2/conf.d/security
  • XAMPP Windows: c:\XAMPP\apache\conf\extra\httpd-default.conf

Berikut merupakan konfigurasi  yang boleh digunakan dan output yang akan dikeluarkan bagi bagi direktif ini:

  • ServerTokens Prod: “Server: Apache”
  • ServerTokens Major: “Server: Apache/2″
  • ServerTokens Minor: “Server: Apache/2.2″
  • ServerTokens Min: “Server: Apache/2.2.17″
  • ServerTokens OS: “Server: Apache/2.2.17 (Unix)”
  • ServerTokens Full: “Server: Apache/2.2.17 (Unix) PHP/5.3.5″

Secara default, direktif ServerTokens Full digunakan pada setiap pemasangan Apache web server.  Oleh itu, bagi tujuan keselamatan, direktif ServerTokens Prod perlu digunakan pada setiap pemasangan bagi menghadkan maklumat yang boleh diperolehi oleh sesiapa sahaja terutamanya penceroboh.

Pengukuhan Apache Web Server – Bhg. 2

Sejarah pembangunan perisian pelayan Apache web server memperlihatkan beberapa kelemahan dikenalpasti, diperbaiki dan dikemaskini dari masa ke semasa. Walaupun begitu, tahap keselamatan perisian ini masih boleh diperkukuhkan.

 

 Isu-isu keselamatan Apache Web server

Antara isu-isu keselamatan terdapat pada pemasangan dan konfigurasi web server ini adalah seperti berikut:

  • Maklumat versi dan modul yang dipasang boleh diperolehi dengan mudah;
  • Penyenaraian kandungan direktori atau folder server yang boleh mengakibatkan maklumat sulit terdedah (directory listing);
  • Pemasangan modul-modul yang tidak diperlukan; dan
  • Penghalang perkhidmatan laman web (Denial of Service).

Punca Insiden

Isu-isu keselamatan seperti di atas ini antara penyebab utama terjadinya insiden keselamatan ICT.  Isu-isu ini berlaku kerana penyelenggara sistem atau pembekal tidak mempunyai pengetahuan dan kepakaran bagi melaksanakan pengukuhan yang sepatutnya.

Bahagian 3 dan seterusnya bagi artikel ini akan membincangkan cadangan-cadangan pengukuhan yang perlu dilakukan bagi meningkatkan lagi keselamatan laman web.

Pengukuhan Apache Web Server – Bhg. 1

Apache Web Server (atau httpd) merupakan server bagi menghoskan laman web yang paling popular digunakan di Internet. Menurut data statistik Netcraft bagi bulan September 2013, lebih 93 juta pelayan jenis ini digunakan sebagai server laman web bagi organisasi atau peribadi di seluruh dunia. Kebanyakan organisasi di Malaysia juga mengunakan pelayan Apache bagi laman web masing-masing.

 

Pelayan sumber terbuka (open source) ini dibangunkan berasakan perisian pelayan NCSA httpd versi 1.3 oleh Rob McCool di Universiti Illinois. Pada masa ini, pembangunan dan penyelangaraan pelayan Apache terletak di bawah projek Pelayan HTTP (HTTP Server) oleh Apache Software Foundation.  Antara tujuan utama projek ini adalah membangun dan menyenggara perisian sumber terbuka web server yang selamat dan cekap untuk sistem operasi moden seperti UNIX, Linux serta Microsoft Windows NT/2000/XP/2003.

Versi Apache

Terdapat 4 versi utama perisian pelayan Apache:

  • Versi 1.3.x – pembangunan telah dihentikan tetapi perisian akan dikemaskini jika terdapat kelemahan terhadap masalah keselamatan;
  • Versi 2.0.x – pembangunan telah dihentikan tetapi akan dikemaskini jika terdapat kelemahan pada masalah keselamatan dan ralat pada perisian;
  • Versi 2.2.x – pembangunan sedang giat dijalankan dengan pertambahan beberapa ciri-ciri baru seperti Smart Filtering dan Proxy Load Balancing; dan
  • Versi 2.4.x – versi terkini dengan pelbagai ciri-ciri baru.

Tahap Keselamatan

Apache Security Team mengkategorikan kelemahan (vulnerability) pelayan Apache berdasarkan tahap kesan atau impak kepada keselamatan:

  • Kritikal (Critical) – melibatkan eksploitasi kelemahan yang membolehkan penyerang menceroboh sistem dan menjalankan arahan atau kod secara jarak jauh (remote code execution). Kelemahan seperti ini juga boleh dieksploitasi dan menjadi ejen penyebaran malware seperti worm;
  • Penting (Important) – eksploitasi kelemahan boleh menyebabkan kerahsiaan maklumat di dalam pelayan terdedah dan berlakunya kes penghalang perkhidmatan (Denial of Service);
  • Sederhana (Moderate) – kesan sederhana seperti melibatkan konfigurasi yang tidak digunakan secara meluas atau memerlukan pengguna melalui proses identifikasi sebelum berjaya mengeksploitasi kelemahan tersebut; dan
  • Rendah (Low) – isu-isu kelemahan lain yang dianggap sukar untuk dieksploitasi.

Antara kelemahan kritikal yang dikenal pasti sebelum ini adalah seperti berikut:

  • Apache Chunked encoding vulnerability (CVE-2002-0392) dikenal pasti terdapat pada Apache httpd versi 1.3.26 dan 2.0.37;
  • Win32 Apache Remote command execution ( CVE-2002-0061) bagi Apache httpd versi 1.3.24 untuk sistem operasi Microsoft Windows NT/2000/XP/2003;
  • IPv6 URI parsing heap overflow (CVE-2004-0786), Apache httpd versi 2.0.51;
  • APR remote crash (CVE-2003-0245), Apache httpd versi 2.0.46;
  • MS-DOS device name filtering (CVE-2003-0016), Apache httpd versi 2.0.44 untuk sistem operasi Microsoft Windows NT/2000/XP/2003; dan
  • mod_rewrite off-by-one error CVE-2006-3747, Apache httpd versi 2.0.59 dan 2.2.37.

Kelemahan yang ditemui ini tidaklah banyak dan kemudiannya telah diperbaiki dari semasa ke semasa untuk mengukuhkan lagi tahap keselamatan pada perisian Apache web server ini.

Adakah Apache selamat untuk digunakan?

Berdasarkan jumlah kelemahan kritikal yang agak sedikit dan diperbaiki dari masa ke semasa, perisian Apache web server ini pada dasarnya adalah selamat untuk digunakan. Walaubagaimana pun, pengguna disarankan untuk sentiasa memantau maklumat berkaitan dengan web server ini bagi mengelakkan dari server diceroboh.

Pengguna web server jenis ini perlu memantau setiap kelemahan baru yang ditemui dan versi-versi terkini yang dikeluarkan.  Jika terdapat penemuan kelemahan, pengguna perlu untuk menaik taraf versi yang sedia ada kepada versi terkini.  Isu-isu keselamatan berkaitan keselamatan web server ini boleh dirujuk di sini.  Secara umumnya, pengguna perlu mengaplikasi kaedah ini terhadap apa juga jenis perisian yang digunakan.

Password saya ialah “password”!

Password atau kata laluan merupakan antara kaedah perlindungan utama bagi laman web, blog, Facebook mahu pun Twitter. Jadi bagaimana jika password kita telah diketahui oleh orang lain? Kita boleh bayangkan jika kunci rumah kita boleh diperolehi oleh pencuri dengan mudah bukan?

Bagaimana pula orang lain boleh mengetahui password yang kita gunakan?

Penggunaan password yang mudah merupakan punca utama kes-kes insiden pencerobohan di dunia online.  Berdasarkan kajian yang dilaksanakan pada tahun lalu (2012),  90% kes pencerobohan online yang dikesan adalah berpunca dari kelemahan jenis ini.

Jika password yang anda gunakan adalah “password”, “abc123”, “pass123”, “putrajaya” dan “semenchu”, sila angkat tangan!  Akaun anda mungkin akan diceroboh sebentar lagi!

Antara kategori password yang mudah adalah seperti berikut:

  • Terdiri dari perkataan yang terdapat di dalam kamus / dictionary: password, kucing, makan, minum, sayang …
  • Nama tempat/negeri/negara: malaysia, putrajaya, johor …
  • Kombinasi nombor seperti: 12345, 123456, 11111 …
  • Kombinasi aksara dari keyboard yang biasa digunakan: qwerty, asdfg, poiuy …
  • Kombinasi aksara dan nombor mudah yang biasa digunakan: abc123, pass123 …

Akaun penyenggaraan “admin”

Akaun penyenggaraan laman web yang menggunakan ID “admin” juga merupakan antara akaun di dunia online yang paling diminati oleh penjenayah siber. Berdasarkan pengalaman dalam bidang keselamatan IT selama 15 tahun, akaun ini merupakan sasaran utama penceroboh dan amat mudah diceroboh apabila password yang digunakan juga adalah “admin”!  Peringatan ikhlas, sila pastikan password bagi akaun “admin” ini telah ditukar!  Kepada rakan-rakan dunia online yang menyediakan perkhidmatan pembangunan laman web, kedai online dan sebagainya, sila pastikan anda tidak memberikan password ini kepada pelanggan anda ya…

Tip penggunaan dan pengurusan password

Tip-tip pada gambarajah di bawah ini mungkin boleh membantu kita untuk memilih password yang selamat untuk digunakan:

 

Sila tukar password anda sekarang juga!

Penipuan Bungkusan

Dunia online penuh dengan pancaroba.  Jika sebelum ini saya kongsikan penipuan Internet dengan harta wasiat, saya ingin pula berkongsi maklumat dengan Penipuan Bungkusan.

 

Modus Operandi

  1. Sindiket penipuan memilih dan berkenalan dengan mangsa melalui laman sosial seperti Facebook & Twitter.
  2. Mereka akan menjalinkan persahabatan dengan mangsa dan seterusnya berhubung melalui laman sosial tersebut dan medium lain seperti emel dan WhatsApp.  Jerat persahabatan atau percintaan sering digunakan bagi mendapat kepercayaan mangsa.
  3. Selepas mendapat kepercayaan dari mangsa, penjenayah ini akan memaklumkan bahawa mereka telah menghantar bungkusan kepada mangsa sebagai hadiah.  Hadiah berupa barangan beharga seperti barang kemas, wang atau emas.
  4. Penjenayah juga akan menghantar resit palsu sama ada melalui emel, fax atau pos.
  5. Mangsa akan diberitahu bahawa bungkusan tersebut telah ditahan oleh pihak Kastam Di Raja Malaysia (KDRM).
  6. Mangsa akan diminta menghubungi dan memasukkan wang pemprosesan kepada pihak KDRM dengan menghubungi ejen yang dilantik yang sebenarnya adalah anggota sindiket tempatan sebagai orang tengah.
  7. Mangsa diminta untuk memasukkan wang ke dalam akaun yang disediakan oleh pihak sindiket.

Dalam kes penipuan ini, mangsa hanya menyedari tertipu setelah memasukkan wang ke dalam akaun tersebut tanpa mendapat bungkusan yang dijanjikan.

Apa macam? Adakah kita mahu sudah terhantuk baru tergadah? Atau sudah kalah baru berkubu? Berhati-hatilah dengan dunia Internet! Jangan mudah percaya kepada orang yang baru dikenali.

 

Anda Mahu Cepat Kaya? Tunggu Sekejap…

Anda mahu cepat kaya? Ya, saya dan anda sememangnya mengimpikan kekayaan dan kejayaan datang dengan pantas dari pelbagai sumber rezeki.  Usaha mesti luar biasa!  Tetapi dalam keghairahan mengejar kekayaan dan kejayaan, anda perlu bertindak dan berfikir dengan waras.

Awas Penipuan Internet!

Anda pernah menerima emel seperti ini?

Assalamualaikum,

Hidup saya adalah diibaratkan sedang diseru oleh Allah dengan keadaan kesihatan saya yang mendadak kerana telah diberitahu oleh doktor saya yang saya ada beberapa hari lagi untuk hidup.Dengan ini,saya ingin menderma hartanah saya untuk menolong pesakit barah seperti saya untuk rawatan dan program-program kesihatan kerana ini adalah cadangan arwah suami saya dan saya tidak mempunyai zuriat.

Dengan ini saya hendak membuat sesuatu dengan niat baik untuk menderma 2 juta sterling paun kepada persatuan barah yang terlibat.dan sila beritahu informasi tentang warganegara anda dan di mana tempat tinggal,nombor telefon informasi lain yang diperlukan oleh peguam saya.Dengan ini saya memindahkan warisan saya kepada anda.

Semoga anda dirahmati oleh Allah dan menggunakan wang dermaan saya dengan adil untuk kerja kebajikan.

Yang Benar

Pn. Zanzila binti Hashim 
From: Malaysia 
Email: Zanzila@hotmail.my

Jika anda percaya dengan menjawab emel ini anda akan mendapat 2 juta sterling paun, anda bermimpi disiang hari.  Mana ada orang beri duit percuma beb! Jumlah? 2 juta pound sterling pula. Jangan berangan! Ini semua poyo!

SCAM ALERT! Penipuan Internet dengan Harta Wasiat

Anda dinasihatkan jangan mudah terpedaya dengan janji-janji manis seperti ini.  Anda mungkin menjadi mangsa seterusnya! Jika sebelum ini kebanyakkan emel sebegini diterima dalam bahasa Inggeris, kini mereka mensasarkan pengguna Internet di Malaysia dengan penggunaan bahasa Melayu. Sepanjang tahun 2013 sahaja, emel yang sama ini telah diterima sebanyak 6 kali dengan penghantar yang berlainan.

Modus Operandi

Antara modus operandi penipuan jenis ini adalah:

  1. Anda akan menerima emel yang menyatakan anda adalah pewaris harta daripada hartawan dari dalam dan/atau luar negara yang sudah meninggal dunia atau sedang sakit.
  2. Anda akan diberikan nombor telefon untuk dihubungi sama ada dari dalam atau luar negara.  Sindiket penipuan mempunyai dalang di Malaysia yang dilatih dan diupah untuk menyakinkan mangsa.
  3. Anda akan dibekal dokumen-dokumen sokongan dari jabatan atau organisasi tertentu dari dalam dan/atau luar negara.  Contoh dokumen adalah dari Bank Negara Malaysia (BNM), Mahkamah Persekutuan dan sebagainya.
  4. Anda akan diminta untuk menjelaskan bayaran bagi yuran pemprosesan pengurusan perpindahan wang.
  5. Anda hanya menyedari anda tertipu apabila wang tersebut tidak diperolehi dan orang tengah yang berurusan dengan anda menghilangkan diri dan tidak dapat dihubungi.

Anda mahu kaya dengan menjawab emel seperti ini? Berfikirlah kembali… Layarilah dunia online dengan penuh waspada!

Oh ya, sebelum terlupa.. jangan click alamat emel di atas untuk mendapatkan 2 juta pound sterling dengan mudah!