Feed on
Posts
Comments

Dibawah ini merupakan bagian wawancara saya dengan admin Codenesia (anharku), dan telah dimuat di majalah CN-ZINE19 . Wawancara ini rupanya terkait dengan kasus situs presidensby.info yang pernah saya tulis di sini. Jika ingin membaca versi lengkap dari isi majalah tersebut dapat langsung mendownload di website codenesia.com dengan terlebih dahulu mendaftar menjadi member.

Assalamualaikum,wr,wb

Alhamdulilah kali ini saya mendapat kesempatan untuk mewawancarai om Joshua M Sinambela seorang Investigator, Professional IT Trainer, System & Network Security and Cybersecurity Lecturer (juga yang menggawangi rootbrain.com) serta sudah pernah menulis analisis forensik terkait kasus website presidensby. Langsung saja ke pertanyaannya:

1. Bagaimana kronologi kejadiannya sehingga website presiden yang beralamatkan
http://presidensby.info bisa diretas oleh MJL007 om?

JOSH:
Berdasarkan analisis internet forensik yang saya lakukan terkait kasus website “presidensby.info” terdapat beberapa fakta yang mungkin dapat dijadikan sebagai bukti hukum atau memperjelas beberapa bagian kronologis terjadinya kasus ini (sebagai informasi, internet forensik artinya teknik pencarian informasi dengan memanfaatkan artifak-artifak atau informasi/data yang masih tersimpan di internet yang dapat digunakan mengungkap suatu kasus hukum/cybercrime)
Pelaku atau yang menggunakan nama alias MJL007 pada kenyataannya tidaklah melakukan pembobolan atau defacing terhadap mesin server presidensby.info. Tidak ada perubahan informasi pada mesin server presidensby.info yang dilakukan oleh pelaku. Ini terbukti pada saat kejadian, situs dengan domain mengacu server dan lokasi aplikasi yang sama yakni presidenri.go.id tidak terjadi perubahan sama sekali. Jika yang terjadi adalah defacing, maka harusnya kedua alamat akan menghasilkan halaman yang sama (defaced). Website presidensby.info merupakan nama alias dari website presidenri.go.id yang berada pada sebuah alamat VirtualHost yang sama di mesin ber-IP 203.130.196.114. Mesin ini dihosting di jaringan PT Telkom Indonesia. Selain presidensby.info dan presidenri.go.id, sebuah situs dengan VirtualHost lain yang pernah ditempatkan pada webserver mesin ini adalah paskibrakaindonesia.com. Dari informasi mirror “defacing” di zone-h, juga menunjukkan bahwa IP yang statusnya terdefaced itu bukan IP mesin server yang sebenarnya (203.130.196.114), tetapi IP Mesin salah satu Server Hosting lain dengan alamat IP 210.247.249.58
Dalam melakukan aksinya dalam kasus ini, pelaku sebelumnya berhasil membobol sebuah situs hosting jatirejanetwork (http://www.zone-h.org/mirror/id/18907939) pada tanggal kejadian (8 Januari 2013), dari situs ini kemungkinan besar pelaku mendapatkan account WHM jatirejanetwork, sehingga dapat membuatkan account dengan domain (zone) presidensby.info pada DNSnya. DNS server pada jatirejanetwork inilah yang digunakan pelaku sebagai alat (tools) untuk memberikan alamat IP yang keliru nantinya pada presidensby.info.
Berikut informasi zone domain presidensby.info yang dibuat pelaku:

A
host type ip class ttl
presidensby.info A 210.247.249.58 IN 14400

NS
host type target class ttl
presidensby.info NS id1.jatirejanetwork.com IN 86400
presidensby.info NS id2.jatirejanetwork.com IN 86400

SOA
host type mname rname serial refresh retry expire minimum-ttl class ttl
presidensby.info SOA id1.jatirejanetwork.com admin.jatirejanetwork.com 2013010802 86400 7200 3600000 86400 IN 86400

MX
host type pri target class ttl
presidensby.info MX 0 presidensby.info IN 14400

Selanjutnya, bagaimana pelaku merubah atau mendelegasikan DNS yang mengelola domain presidensby.info ke Server DNS yang disiapkan pelaku. Atau bagaimana si pelaku merubah data Administrative Domain/Nameserver untuk domain presidensby.info tersebut, dari yang aslinya adalah

SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM

Menjadi
id1.jatirejanetwork.com
id2.jatirejanetwork.com

Ada dua kemungkinan yang biasa terjadi,
Pertama, pelaku melakukan serangan terhadap DNS (DNS Poisoning) terhadap mesin yang mengelola domain presidensby.info yang asli (dalam hal ini DNS yang diserang adalah DNS ORDERBOX-DNS.COM) , sehingga memberikan alamat IP yang keliru atau mendelegasikan domain ke Nameserver yang disiapkan pelaku (id1.jatirejanetwork.com dan id2.jatirejanetwork.com )
Berdasar analisis akhir saya, kemungkinan pertama ini tidak terjadi, dengan beberapa alasan antara lain: Jika yang terjadi DNS Poisoning ke DNS Orderbox-DNS.COM, artinya tidak hanya domain presidensby.info yang mampu diserang dengan teknik yang sama, tetapi ada banyak sekali domain lainnya yang dikelola DNS Server tersebut, dan tidak ada informasi yang menyebutkan domain lain yang mengalami hal yang sama, disamping itu juga tidak ada peringatan/informasi dari pengelola DNS resmi tersebut terkait incident tersebut. Alasan lainnya yang tidak kalah kuat adalah DNS yang digunakan mengelola domain presidensby.info hingga saat ini masih tetap dipertahankan tim IT paspampres pada ORDERBOX-DNS.COM (DNS yang digunakan sebelum kejadian hingga saat ini). Bahkan domain presidenri.go.id pun saat ini dikelola DNS yang sama (*.ORDERBOX-DNS.COM). Masa ada orang yang mau jatuh ke lubang yang sama ? ūüôā Jika serangan DNS Poisoning yang terjadi, maka sudah pasti tim IT paspampres ini akan memindahkan DNS tersebut ke DNS yang lebih aman/terpercaya.
Dapat di check dengan perintah host/dig di Unix/Linux spt dibawah:

$ host -t ns presidensby.info
presidensby.info name server sahi78679.mercury.orderbox-dns.com.
presidensby.info name server sahi78679.earth.orderbox-dns.com.
presidensby.info name server sahi78679.venus.orderbox-dns.com.
presidensby.info name server sahi78679.mars.orderbox-dns.com.

$ host -t ns presidenri.go.id
presidenri.go.id name server sahi78679.mercury.orderbox-dns.com.
presidenri.go.id name server sahi78679.mars.orderbox-dns.com.
presidenri.go.id name server sahi78679.venus.orderbox-dns.com.
presidenri.go.id name server sahi78679.earth.orderbox-dns.com.

Kemungkinan kedua menurut saya yang paling mungkin terjadi, yakni pelaku mendapatkan akses illegal ke administrative domain presidensby.info, sehingga dengan mudah mengubah atau mendelegasikan NS yang digunakan untuk mengelola domain presidensby.info tersebut. Untuk mendapatkan account (user/password) agar pelaku memiliki akses ilegal terhadap account pengelola domain tersebut dapat dilakukan dengan berbagai jenis serangan seperti coba-coba, bruteforce attack, dictionary attack, penyadapan, social engineering, dll terhadap beberapa account milik pengelola domain. Jika pengelola domain sebelumnya tidak menjaga account tersebut dengan baik dan tidak ada awareness terhadap ancaman serangan tersebut, maka sangat mungkin take-over dapat dilakukan si pelaku.

2. MJL007 bisa deface website presiden tersebut masuk dari mana om?
SQL injection? LFI? RFI? ataukah memang benar mengganti DNS?
soalnya terjadi kerancuan public mengenai pemberitaan media om, mohon kejelasannya.

JOSH:
Pelaku mengganti atau mendelegasikan DNS yang mengelola domain presidensby.info ke server hosting yang sebelumnya dibobol dan dipersiapkan memberikan alamat IP yang keliru (lihat jawaban no 1 diatas)
Serangan SQLi, LFI, RFI, XSS dll dengan cara konvensional untuk situs presidensby.info atau presidenri.go.id hampir tidak mungkin di lakukan, karena situs itu bersifat static (HTML), update situs pun dilakukan degan prosedur manual (syncronize/mirroring) dari site sumber berbasis CMS di PC administrator/operator menjadi format HTML. Anda dapat melihat source code semua index dan pagenya. Jadi attack vektor dengan serangan SQLi, XSS, LFI, RFI dll hampir mustahil untuk dilakukan. Tetapi dengan berbagai trik atau metode lain tetap masih ada yang bisa dilakukan jika sudah nizat. Karena tidak ada yang aman 100% bukan?

3. Bukannya situs resmi milik presiden beralamatkan di presidenri.go.id lalu kenapa ini yang .info
diretas sepertinya terlalu dipermasalahkan dan dibesar2kan om?

JOSH:
Yang memperbesar-besarkan adalah media sendiri. Bagi media, berita seperti ini pasti menarik dan dapat laku dijual :), meskipun kadang kala informasi yang diperoleh/dipublikasikan media tersebut tidak akurat dan banyak perlu dikoreksi (keliru), atau bahkan sering mengutip pernyataan orang yang tidak kompeten atau tidak tepat dengan konteks beritanya.

4. Banyak yang belum mengerti tentang UU ITE terutama pasal yang menyebutkan hukuman bagi orang yang mengubah konten website secara illegal, tolong diberi penjelasan om UU ITE pasal berapa dan apa hukumannya.

JOSH:
Pada pasal 32 dan 35 UU ITE memang sudah sangat tegas diatur bahwa
Pasal 32
“Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum dengan cara apa pun mengubah, menambah, mengurangi, melakukan transmisi, merusak, menghilangkan, memindahkan, menyembunyikan suatu Informasi Elektronik dan/atau Dokumen Elektronik milik Orang lain atau milik publik”
Pasal 35
“Setiap orang dengan sengaja dan tanpa hak atau melawan hukum melakukan manipulasi, penciptaan, perubahan, penghilangan, pengrusakan informasi elektronik dan atau dokumen elektronik dengan tujuan agar informasi elektronik dan atau dokumen elektronik tersebut dianggap seolah-olah data yang otentik”.

Jadi orang yang mengubah konten website secara ilegal seperti defacing dapat diartikan _mengubah_/_menambah_ informasi elektronik milik orang lain (pasal 32 UU ITE) atau dapat didefinisikan juga melakukan _manipulasi_ atau _perubahan_ seperti ya disebut di pasal 35 UU ITE tersebut.

Jika terbukti bersalah, sebagaimana disebutkan dalam Pasal 48 (1) Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 32 ayat (1) dipidana dengan pidana penjara paling lama 8 (delapan) tahun dan/atau denda paling banyak Rp2.000.000.000,00 (dua miliar rupiah).
Pasal 51 ayat (1) UU ITE, Setiap Orang yang memenuhi unsur sebagaimana dimaksud dalam Pasal 35 maka pelaku bisa dikenakan hukuman pidana penjara paling lama 12 tahun dan atau denda paling banyak Rp 12 miliar.

Yang perlu dicermati dan perlu disadari oleh rekan rekan “aktivis” adalah bahwa saat ini ancaman hukuman untuk pelanggaran kedua pasal diatas (yang sering dilakukan para rekan “aktivis”) lebih dari 5 tahun penjara. Artinya, jika ada bukti awal yang cukup, pelaku yang tertangkap akan langsung dapat ditahan tanpa harus menunggu proses pengadilan.

5. Menurut baom adilkah hukumannya?
heker 12 tahun penjara
nyuri sendal 5 tahun penjara
bikin vidio bokep 3,6 tahun penjara
korupsi 1 tahun penjara

JOSH:
Keadilan nanti akan diperoleh saat proses di pengadilan. Keputusan tertinggi ada di MA/MK.
Kita jangan terjebak dengan ancaman yang tercantum pada UU ITE saja, tetapi harus dilihat konteksnya juga seperti motif, dampak, akibat dll. Seorang hacker bisa saja pantas dihukum 12 tahun bahkan lebih, jika memang akibat atau dampaknya misalnya menyebabkan kematian banyak orang (misal karena membobol sistem SCADA suatu pembangkit sehingga menyebabkan incident serius pada lingkungan sekitar sebuah waduk atau membobol sistem navigasi atau komunikasi pesawat yang berakibat fatal dll). Untuk kasus Wildan, tidak perlu kuatir, menurut saya pribadi Wildan pasti segera dibebaskan, paling juga dihukum hanya beberapa bulan sebagai proses pembelajaran dan pembinaan saja. Lagi pula tidak ada perubahan yang dilakukan pada situs resmi presiden (situs resmi presiden sebenarnya hanya presidenri.go.id, nama alias presidensby.info tersebut dapat dikategorikan alamat situs pribadi seperti halnya web/blog rekan rekan lainnya ), dan klo dilihat motifnya tidak dalam kategori “jahat”. Hanya saja dia tetap harus mengakui kesalahannya yang memang jelas melanggar aturan yang berlaku di negara kita. Btw apa sudah ada jaksa penuntut yang menuntut Wildan dengan tuntutan tersebut?

6. Misalkan kita tahu teknik2 hacking website dan pernah mendalami dunia defacement, lalu sampai seberapa batasan
pelanggaran yg tidak boleh dilakukan? masuk ke system tanpa ijin meruoman pelanggaran kah? nitip file di server tanpa ijin pemilik server pelanggaran kah?
pasang index (yang ini jelas lah pelanggaran soalnya udah ada buktinya yg diciduk dan akan dipenjarakan , KHUSUS DI INDONESIA DAN ORANG INDONESIA SAJA)
Batasan2nya seperti apa? lalu bagaimana sikap kita agar kita tetap berkembang namun tidak menjadi korban dari hukum itu sendiri?

JOSH:
Batasan atau hal hal yang harusnya tidak dilanggar sebenarnya sudah sangat jelas pada UU ITE, hanya saja banyak rekan rekan “aktivis” yang memiliki prinsip atau pemahaman sendiri atau bahkan memang dari awal tidak mau mengikuti aturan yang ditetapkan pemerintah. Pada prinsipnya, kita tetap bisa melakukan teknik teknik hacking website atau defacement tersebut, asal tetap pada koridor aturan yang berlaku. Misalnya, para pentester (legal/beretika) melakukan hal-hal teknis yang persis yang dilakukan para defacer (ilegal). Bedanya pentester melakukan dengan adanya izin dari pemilik sistem dengan tujuan bersifat mutualisme (pemilik sistem akan mengetahui seberapa pertahanan sistem mereka, dapat di tembus atau dibobol atau tidak, pentester mendapatkan pekerjaan secara professional sesuai bidangnya testing keamanan system). Pentester juga kadang berhak melakukan defacing website (saat membuktikan temuannya atau PoC), hanya saja saat dilakukan, aktifitas ini harus diketahui si pemilik system sebelumnya.

Masuk ke system orang lain tanpa izin, nitip file di server tanpa izin adalah aktifitas yang termasuk melanggar UU ITE. Saat seseorang memasuki sistem orang lain, tentu saja dia akan mampu membaca informasi atau dokumen dokumen yang harusnya tidak dapat dibacanya. Demikian juga saat menitip file di server tanpa izin. File yang dititip ini bisa saja beragam tujuan/fungsi/target/motif dll. Jika file tersebut akhirnya bisa membahayakan pemilik server ataupun informasinya spt php shell, script untuk spam, file-file besar, software ilegal dll, juga mampu mengurangi performance sistem maka tentu saja ini dapat dikenai ancaman hukuman sesuai UU ITE pasal 48 (Pelanggaran terhadap pasal 32 UU ITE).

7. Menurut baom MJL007 sengaja mendeface untuk mencari nama atau ketenaran di dunia maya
atau memang memperingatkan admin website agar memperbaiki systemnya??

JOSH:
Menurut saya MJL007 dalam kasus ini untuk cari nama/tenar/ingin lebih dihormati sama seperti motif kebanyakan defacer lainnya.
Jika ingin memperingatkan admin website atau pengelola situs, banyak cara yang dapat dilakukan tanpa menampilkan informasi seolah-olah terdefaced tersebut sehingga terhindar dari kasus ini. Misalnya menginformasikan ke Pengelola Domain situs yang bisa didapat dari informasi kontak dihalaman website atau informasi whois, atau dapat juga mengirimkan informasi kelemahan ke IDSIRTII ([email protected]) dan Gov-CSIRT ([email protected])
Saya yakin salah satu dari kontak yang kita lakukan pasti akan mendapat tanggapan yang baik dan bahkan apresiasi. Jika memang ternyata tidak ada tanggapan, toh masih banyak sistem/situs lain yang lebih menantang untuk dipelajari :).

8. Bagaimana pendapat baom aomah website pemerintahan di indonesia (.gov) aman?
atau masih rentan terhadap serangan attacker? soalnya setelah kasus diatas
banyak sekali website pemerintahan yang di deface oleh hacker Indonesia sendiri
dengan memajang pesan “menuntut pembebasan WILDAN a.k.a MJL007”

JOSH:
Khususnya website pemerintahan di indonesia, menjadi PR kita bersama untuk ikut membantu mengamankan sistem sistem dipemerintahan tersebut, bukan malah memperkeruh kondisi dengan ikut-ikutan melakukan serangan terhadap situs pemerintahan. Aktifitas tersebut hanya akan merugikan pihak lain dan pelaku sendiri. Jika pelaku lain tersebut tertangkap seperti halnya Wildan, saya yakin akan menyesali perbuatannya yang seharusnya bisa dihindari.

9. Pantaskah orang sepintar wildan yang sanggup meng-hack website presiden dipenjara
sementara koruptor-koruptor dibebaskan? aomah tidak lebih baik memberikan wildan beasiswa
atau kesempatan bekerja di bidangnya misal menjadi profesional security website?
bagaimana pendapat baom?

JOSH:
Saya kira kita tidak perlu membandingkan hukuman koruptor dengan aktifitas “hacking” yang dilakukan oleh Wildan karena nanti bisa melebar ke banyak hal yang bukan kompetensi kita. Jika Wildan memang ingin menjadi professional dibidang tersebut, seharusnya fokus untuk mencapai level professional tersebut tanpa terlibat aktifitas yang melawan aturan hukum (UU ITE). Di dunia industri, banyak perusahaan yang juga memperhatikan latar belakang seseorang yang ingin bergabung atau berpartner dengan mereka. Selain memperhatikan skill seseorang, attitude dan moral juga menjadi pertimbangan bagi mereka.

10. Menurut baom Hacking itu tindakan kriminal atau bukan? kalo iya kriminalnya disisi sebalah mana?
kalo bukan disisi sebelah mana? mohon penjelasannya.

JOSH:
Ada dua jenis aktifitas hacking, yang pertama ethical hacking (hacking ber-etika) dimana pelaku sering disebut sebagai pentester/auditor/ethical-hacker yang melakukan aktifitas hacking dengan izin dan sepengetahuan pemilik sistem. Yang kedua, unethical hacking, dimana pelaku melakukan aktifitas hacking secara ilegal atau tanpa sepengetahuan dan izin pemilik sistem.
Jenis aktifitas hacking yang kedualah yang dapat dikategorikan sebagai kriminal (cybercrime), meskipun cara/teknik/metode yang dilakukan pada kedua jenis aktifitas hacking tersebut mungkin sama persis.

11. Terakhir Bagaimana caranya agar hacking di indonesia bisa memiliki citra yang baik dimata media maupun public, dan kembali kepada filosofinya yaitu untuk kemajuan teknologi dan informasi. Saran maupun nasehat juga boleh

JOSH:
Kita bisa memposisikan pengertian hacking/hacker dan bagaimana menjadi seorang hacker seperti yang pernah ditulis oleh Eric S Raymond (http://www.catb.org/esr/faqs/hacker-howto.html)
Banyak aktifitas hacking saat ini dilakukan dengan cara-cara instan, tanpa mengetahui dan menguasai teknologi dibelakang suatu sistem tersebut, sehingga sering tidak ada penghargaan terhadap yang membangun dan mengelola sebuah system, para defacer kadang merasa paling hebat dibanding pengelola system yang didefacednya ūüôā . Jika kita mengikuti petunjuk dan memahami yang dituliskan ERS, harusnya akan lebih banyak hacker indonesia yang disegani di dunia dengan produk produk sistem/aplikasi TI yang lebih baik dari yang ada saat ini.

Terimakasih om Joshua atas jawabannya. Dari wawancara diatas pasti dapat menambah wawasan pengetahuan pembaca setia CN-ZINE, terutama dari sisi Hacking is Not Crime jika dilakukan sesuai dengan ETIKA (CyberEtic). Dimana pentester melakukan penetrasi testing sebuah website dengan se-izin dari pemilik sistem dengan tujuan bersifat mutualisme (pemilik sistem akan mengetahui seberapa pertahanan sistem mereka, dapat di tembus atau dibobol atau tidak, pentester mendapatkan pekerjaan secara professional sesuai bidangnya testing keamanan system).
Kalo membaca pasal-pasal yang disebutkan oleh om joshua, saya sendiri jadi mikir kalo mau mepes website, apalagi website INDONESIA, Takut kena Pasal 51 ayat (1) . Kalian semua gimana hayo yang biasa main deface? =)) .Sepertinya jawaban dari om Joshua cukup jelas dan cukup memberikan gambaran analisa forensik mengenai aksi deface website presidensby.info , bisa disimpulkan sendiri yah. Kalian udah cerdas masak harus saya bikin kesimpulan satu persatu? Jika kalian kurang jelas mungkin bisa bertanya langsung dengan om Wildan a.k.a MJL007

Semoga bermanfaat

Sejak pertengahan tahun 2012 lalu, Telkom Speedy sangat gencar mempromosikan Speedy dengan memberikan Modem Wifi gratis. Selain promosi speedy saat itu, Telkom juga ternyata sedang gencar memperkenalkan @wifi.id

Penjelasan tentang program @wifi.id bisa dilihat disini

Hanya saja sangat disayangkan, promosi dan distribusi jaringan @wifi.id ini dilakukan oleh Telkom dengan memanfaatkan modem Speedy ADSL+ Wireless pengguna/pelanggan telepon rumah  yang umumnya tanpa sepengetahuan dan izin dari pelanggan. Modem ADSL+Wireless ini didapat dari TELKOM saat akan berlangganan Internet SPEEDY. Modem ADSL+Wireless ini sudah dimodifikasi firmware dan rom-nya oleh pihak Telkom, sehingga selain memancarkan sinyal wireless khusus pengguna (nama wireless/SSID dapat di ubah/setting sendiri oleh pengguna), tetapi juga memancarkan sinyal wireless untuk publik lainnya dengan nama jaringan wireless atau SSID @wifi.id, beberapa modem juga pernah memancarkan SSID lainnya spt GROOVIA, @Speedy dan bahkan Hidden SSID..

Terus apa saja permasalahannya ? Hmm, yang pasti banyak! Saya coba jelaskan beberapa hal diantaranya:

  1. Bandwidth internet tidak dapat maksimal  digunakan oleh pelanggan Speedy
    Bandwidth line ADSL yang pengguna terima umumnya terbatas, sekitar 1-1.3Mbps (setidaknya data ini untuk pengguna ADSL yang saya amati, meskipun mungkin ada pelanggan yang berlangganan 3Mbps), jika line ADSL ini digunakan bersama antara pengguna SSID private (pemilik/pelanggan) dengan pengguna umum lain (SSID @wifi.id), maka otomatis bandwidth yang seharusnya diterima oleh pelanggan Speedy akan terkurangi oleh pengguna lain.
  2. Jumlah user wireless terbatas.
    Modem ADSL+Wireless yang didistribusikan (dimodifikasi) oleh Telkom kepada pengguna umumnya ber-merk TP-Link seperti yang ada disini. Secara umum modem wireless tersebut memiliki keterbatasan maksimal client yang terhubung bersamaan. Dari datasheet dan informasi faq disebut hanya sekitar maksimal 24 client secara simultan. Bayangkan jika lokasi jaringan wireless Speedy Anda ternyata berada dekat dengan keramaian (pusat perbelanjaan/pertokoan atau bahkan kos-kosan/dll), ini akan membuat jaringan wireless kita menjadi tidak reliable, apalagi jika kita memiliki banyak pengguna sendiri.
  3. Menjadi ancaman keamanan intranet/internet.
    Konfigurasi wireless dengan Multi-SSID, tanpa adanya pengelolaan VLAN ID yang benar (biasanya dapat dikombinasikan dengan switch manageable), maka memungkinkan kesalahan managemen broadcast domain jaringan. Seperti konfigurasi multi-SSID yang digunakan pada Modem ADSL Wireless yang didistribusikan oleh Telkom. Jaringan Wireless dengan SSID @wifi.id yang bersifat open network dan tidak memiliki proteksi enkripsi, maka setiap client public (umum) yang terhubung ke SSID @wifi.id, maka otomatis sudah masuk ke internal jaringan Modem Wireless itu sendiri , karena dalam satu broadcast domain (VLAN). Sehingga akses ke sistem otentikasi administrasi Modem ADSL + Wireless bisa dilakukan, seperti akses web administration http, telnet, tftp dst yang memang dapat diakses dari LAN. Jika tidak dilakukan proteksi yang baik (seperti password yang aman/tidak mudah ditebak/tidak ada dikamus, disable tftp, disable FTP atau TELNET dst) maka para hacker dapat dengan mudah mendapatkan akses administrative ke modem tersebut. Bahkan memungkinkan juga untuk mengakses jaringan intranet jaringan dengan SSID yang dibuat oleh pengguna/pelanggan.Jika pernah membaca tulisan saya sebelumnya disini  tentang backdoor account yang dibuat oleh pihak Telkom serta resikonya, maka tidak tertutup kemungkinan juga akses administrasi ke modem lebih mudah.Untuk menanggulangi atau menonaktifkan/mengubah konfigurasi modem wireless sehingga tidak memancarkan SSID yang dibuat pihak telkom (spt @wifi.id dll) dan kemungkinan adanya backdoor lain dapat mengikuti langkah langkah dibawah ini.

# telnet 192.168.1.1 # ip modem/router/gateway biasanya 192.168.1.1

Password: ***** # masukkan password admin cpe, defaultnya admin jika belum diganti

Copyright (c) 2001 – 2012 TP-LINK TECHNOLOGIES CO.,LTD.

TP-LINK>

# Note 1. :

( Beberapa perintah-perintah berikutnya dibawah ini merupakan perintah-perintah yang diperoleh dari dokumen bersifat rahasia (confidential) dari produsen chipset modem/wireless)

Untuk menampilkan konfigurasi wireless SSID pertama (ke-1) merupakan SSID wifi yang disetup pengguna/pelanggan , konfigurasi SSID ini juga dapat di ubah lewat GUI (Web Based) modem wireless.

TP-LINK>  rt rtdisplay 1
 ** Wlan Info  
 Ssid Wireless-Rumxxx
 Channel 1  
 Auth Mode Wpa2psk  
 Encryp Type tkipaes  
 Active 1  
 Rts Threshold 2347  
 Fragment Threshold 2346  
 Default Key   2  
 WPA-PSK Key xxxxxxxxxx  
 DtimPeriod   1  
 BeaconPeriod 100  
 AccessControlList.Policy [0]=DISABLE [1]=ALLOW [2]=REJECT    :0  

 WlanExt->Active 1  
 WlanExt->securityOptions 0  
 WlanExt->AuthMode 7  
 WlanExt->EncryMode  8  
 WlanExt->EncryKeyId  0  
 WlanExt->EncryOnOff  0  
 WlanExt->rtsThreshold  2347  
 WlanExt->fraThreshold  2346  
 WlanExt->channId   0  
 WlanExt->ssid  Wireless-Rumxxx
 WlanExt->dtim  1  
 WlanExt->bgProtection  144  
 WlanExt->BeaconInterval  100  
 WlanExt->FilterEnable  0  
 WlanExt->FilterMethod  0  
 WlanExt->magic_num  3390  
 WlanExt->(wmm)  Enable  
 QID_AC_BE=0
 QID_AC_BK=0
 QID_AC_VI=0
 QID_AC_VO=0
 WMM  Enable  
 IGMP Snoop  Disable  
 WlanExt->(wmm)  Enable  
 WlanExt->(igmpsnoop)  Disable  
 MAC Address  647002ac87f8
 WscEnrolleePinCode: xxxxx007

 MacTab.fAnyStationInPsm=FALSE
 MacTab.McastPsQueue #=0
Txd index[0] has 63 free
Txd index[1] has 63 free
Txd index[2] has 63 free
Txd index[3] has 63 free
Free Mgmt number = 127
0 Rxd has been used!

polling_interrupt_mode = 1  (1 :interrupt mode; 0: Polling mode
)
WLANEthernetQueue Lenth = 0
Driver version-2.5.0.2

Untuk menampilkan konfigurasi wireless SSID kedua (ke-2) merupakan SSID ‚Äú@wifi.id‚ÄĚ yang dicreate oleh Telkom, konfigurasi SSID ini tidak dapat dilihat atau diubah melalui GUI (Web Based) modem wireless karena firmwarenya sudah di modifikasi.

TP-LINK>  rt rtdisplay 2
 ** Wlan Info  
 Ssid @wifi.id  
 Channel 1  
 Auth Mode open  
 Encryp Type none  
 Active 1  
 Rts Threshold 2347  
 Fragment Threshold 2346  
 Default Key   1  
 WPA-PSK Key   
 DtimPeriod   1  
 BeaconPeriod 100  
 AccessControlList.Policy [0]=DISABLE [1]=ALLOW [2]=REJECT    :0  

 WlanExt->Active 1  
 WlanExt->securityOptions 0  
 WlanExt->AuthMode 0  
 WlanExt->EncryMode  1  
 WlanExt->EncryKeyId  0  
 WlanExt->EncryOnOff  0  
 WlanExt->rtsThreshold  2347  
 WlanExt->fraThreshold  2346  
 WlanExt->channId   6  
 WlanExt->ssid  @wifi.id  
 WlanExt->dtim  1  
 WlanExt->bgProtection  0  
 WlanExt->BeaconInterval  100  
 WlanExt->FilterEnable  0  
 WlanExt->FilterMethod  0  
 WlanExt->magic_num  3390  
 WlanExt->(wmm)  Enable  
 QID_AC_BE=0
 QID_AC_BK=0
 QID_AC_VI=0
 QID_AC_VO=0
 WMM  Enable  
 IGMP Snoop  Disable  
 WlanExt->(wmm)  Enable  
 WlanExt->(igmpsnoop)  Disable  
 MAC Address  647002ac87f9
 WscEnrolleePinCode: 13070007

 MacTab.fAnyStationInPsm=TRUE
 MacTab.McastPsQueue #=0
Txd index[0] has 63 free
Txd index[1] has 63 free
Txd index[2] has 63 free
Txd index[3] has 63 free
Free Mgmt number = 127
0 Rxd has been used!

polling_interrupt_mode = 1  (1 :interrupt mode; 0: Polling mode
)
WLANEthernetQueue Lenth = 0
Driver version-2.5.0.2 

Untuk menampilkan konfigurasi wireless SSID ketiga dan keempat dapat menggunakan perintah:

TP-LINK> rt rtdisplay 3

TP-LINK> rt rtdisplay 4

Umumnya SSID ke-3 dan ke-4 masih kosong, tetapi pada beberapa modem wireless, SSID ke-3 ada yang berstatus mode hidden (SSID tersembunyi).

Cara lain untuk menampilkan konfigurasi multi-SSID sekaligus dapat merubah setting masing masing SSID sbb:

Untuk menampilkan SID pertama (ke-1) merupakan SSID wifi yang disetup pengguna/pelanggan , konfigurasi SSID ini juga dapat di ubah lewat GUI (Web Based) modem wireless.

TP-LINK> rt node index 1
TP-LINK> rt node display

WLAN index:1
WLAN CountryRegion:1
WLAN CountryChannel:40
WLAN SSID:Wireless-Rumxxxxx
WLAN WirelessMode(0-11b/g mixed,1-11b only,4-11g only,6-11n_2_4G,7-11gn mixed,9-11bgn_mixed,11-11n_5G):9
WLAN txRate:0
WLAN channel:0
WLAN BeaconPeriod:100
WLAN BGProtection(0-Auto,1-Always on,2-Always off):0
WLAN TxPreamble:(0-Long Preamble,1-Short Preamble,2-Auto)0
WLAN RtsThresh:2347
WLAN FragThresh:2346
WLAN TxBurst(0-disable,1-enable):0
WLAN NoForwarding(0-disable,1-enable):0
WLAN Max Station Number :0
WLAN bHideSsid(0-disable,1-enable):0
WLAN ShortSlot(0-disable,1-enable):1
WLAN OpMode:6
WLAN Auth Mode wpa2psk  
WLAN Encryp Type tkipaes  
WLAN DefaultKeyId:2
WLAN key 1 0x  
WLAN key 2 0x  
WLAN key 3 0x  
WLAN key 4 0x  
Rekey Method (0-time,1-pkt,2-disable):2

Rekey Interval :0xe10

WLAN policy(0-disable,1-allow,2-reject):0
WLAN AccessControlList:

WLAN wpapsk:xxxxxxxxxxxxx
WLAN StaIdleTimeout:300

TP-LINK>

Untuk menampilkan konfigurasi SSID ke-2 (@wifi.id) dst

TP-LINK> rt node index 2
TP-LINK> rt node display

WLAN index:2
WLAN CountryRegion:1
WLAN CountryChannel:40
WLAN SSID:@wifi.id
WLAN WirelessMode(0-11b/g mixed,1-11b only,4-11g only,6-11n_2_4G,7-11gn mixed,9-11bgn_mixed,11-11n_5G):9
WLAN txRate:0
WLAN channel:0
WLAN BeaconPeriod:100
WLAN BGProtection(0-Auto,1-Always on,2-Always off):0
WLAN TxPreamble:(0-Long Preamble,1-Short Preamble,2-Auto)0
WLAN RtsThresh:2347
WLAN FragThresh:2346
WLAN TxBurst(0-disable,1-enable):0
WLAN NoForwarding(0-disable,1-enable):0
WLAN Max Station Number :0
WLAN bHideSsid(0-disable,1-enable):0
WLAN ShortSlot(0-disable,1-enable):1
WLAN OpMode:0
WLAN Auth Mode open  
WLAN Encryp Type none  
WLAN DefaultKeyId:1
WLAN key 1 0x  
WLAN key 2 0x  
WLAN key 3 0x  
WLAN key 4 0x  
Rekey Method (0-time,1-pkt,2-disable):2

Rekey Interval :0xe10

WLAN policy(0-disable,1-allow,2-reject):0
WLAN AccessControlList:

WLAN wpapsk:
WLAN StaIdleTimeout:300 

Untuk merubah SSID yang ke-2 dst

TP-LINK> rt node index 2
TP-LINK> rt node ?
index           countryregion   countrychannel  ssid               
wirelessmode    txrate          channel         beaconperiod       
bgprotection    txpreamble      rtsthreshold    fragthreshold      
dtimperiod      txburst         noforwarding    maxstanum          
hidessid        shortslot       authmode        encryptype         
defaultkeyid    key             rekeymethod     rekeyinterval      
accesspolicy    acladdentry     wpapsk          save               
display         shortcut               

TP-LINK> rt node ssid ‚ÄúSSID-Baru‚Ä̬†¬†¬†¬†¬†¬†¬†¬†¬†¬†¬†¬†¬†¬†¬† # Mengubah SSID @wifi.id menjadi SSID-Baru
TP-LINK> rt node authmode wpapsk
TP-LINK> rt node encryptype
Usage: rt node enc <none|wep64|wep128|tkip|aes>
TP-LINK> rt node encryptype  aes
TP-LINK> rt node wpapsk <passphrase>     #Kunci untuk masuk SSID-Baru
TP-LINK> rt node save  # Simpan konfigurasi ke rom
TP-LINK> rt node display # Verifikasi konfigurasi

Beberapa perintah lainnya
TP-LINK> rt disableap  # Disable Wireless
TP-LINK> rt enableap  # Enable Wireless
TP-LINK> rt node index <1-4> # select WLAN configuration
TP-LINK> rt node display # display selected index configuration
TP-LINK> rt node hidessid <0/1>
TP-LINK> rt node wirelessmode <0-11> # (0-11b/g mixed,1-11b only,4-11g only,6-11n_2_4G,7-11gn mixed,9-11bgn_mixed,11-11n_5G)
TP-LINK> rt node authmode <wepauto|open|shared|wpapsk|wpa2psk|wpa|wpa2|wpa1wpa2|wpapskwpa2psk|waicert|waipsk>
TP-LINK> rt node encryptype <none|wep64|web128|tkip|aes|tkipaes>
TP-LINK> rt node wpapsk
TP-LINK> rt node accesspolicy <0-2> # ACL for this SSID (0-disable,1-allow following MACs,2-reject following MACs)
TP-LINK> rt node acladdentry ma:ca:dd:re:ss:01;ma:ca:dd:re:ss:02;… # set the ACL (full replace, not add), to empty use “”
TP-LINK> rt node save # save modified config

Perintah-perintah selengkapnya dapat didownload disini  (berhubung dokumen ini katanya bersifat confidential, sementara hanya saya izinkan download untuk kalangan terbatas, silahkan request ke email saya yang tercantum pada halaman kontak. Hendaknya menggunakan Nama Asli dan info lainnya yang  menunjukkan identitas asli spt email kantor, website/blog pribadi untuk merequest dokumen tersebut, jika menggunakan nama samaran tidak akan dilayani)

Demikian sedikit tulisan tentang hebohnya @wifi.id pada modem ADSL Wireless dan cara merubah konfigurasi modem wireless didapat dari Telkom tersebut, sehingga tidak perlu kuatir adanya penyalahgunaan akses ke modem kita yang memang tidak kita inginkan diakses oleh kalangan lain. Disamping cara diatas, perlu juga memperhatikan konfigurasi modem adsl + wireless agar hanya dapat diakses dari lokal LAN atau PC tertentu saja dan oleh administrator dengan mengikuti tutorial saya sebelumnya pada halaman http://josh.rootbrain.com/blog/2012/04/03/backdoor-modem-speedy/

Selain cara manual (dengan telnet) merubah konfigurasi diatas, cara lain yang tidak kalah efektif adalah mengganti firmware dan rom bawaan modem dengan firmware yang disediakan oleh vendor (TP-Link), bisa di download disini

Jika ada pertanyaan atau komentar silahkan mengisi pesan dibawah.

Semoga bermanfaat. Terimakasih.

 

@update

Untuk mendisable fitur MultiSSID  atau hanya mengaktifkan 1 SSID saja pada Modem Wireless TP-Link dapat dilakukan melalui perintah :

rt setbssidnum 1

Jika hanya ingin mengaktifkan 2 atau 3 atau 4 SSID

rt setbssidnum 2|3|4

Setelah perintah dieksekusi, maka Modem Wireless akan reboot dan hanya mengaktifkan jumlah SSID yang kita setting diatas


@update pukul 15.38 WIB 16 Jan 2013

Untuk mencegah terkonfigurasi ulang oleh pihak Provider  melalui proses sinkronisasi konfigurasi  TR-069  (Technical Report 069) atau protokol CWMP (CPE WAN Management Protocol). Ada baiknya semua account ACSnya dihapus beserta VPI/VCInya untuk ACSnya didisable :).  CWMP dan TR-069 masih memungkinkan provider merubah konfigurasi pada Modem kita.

Teknisnya  sbb:

Untuk mempermudah, masuk menu administrasi berbasis web. Check Status (catat PVC yang aktif dan mendapat IP public) Terus masuk ke Menu Interface Setup > ATM VC (Virtual Circuit) . Pada menu ini ada beberapa PVC yang aktif (activated), silakan di deactivated semuanya selain yang digunakan untuk mendapatkan IP (pada menu status sebelumnya)

Selanjutnya, disable CWMP. Masuk menu Access Management > Deactivated CWMP

 

@update pukul 7.59 WIB 24 May 2013

Ada informasi dari pengunjung yang menyatakan bahwa beberapa web administrasi modem dimodifikasi pihak provider  untuk melakukan penyembunyian menu CWMP, sehingga pengguna kesulitan untuk mendisablenya. Untuk mendisable CWMP, dapat menggunakan trik berikut

Login terlebih dahulu via web administrasi ke http://IP-Modem/

Lalu masuk secara manual (klik) http://IP-Modem/access/access_cwmp.htm

Dari sana dapat mendisable protokol CWMPnya.

@update 2 Oktober 2013

Untuk mendisable CWMP via CLI untuk Modem TP-Link maupun ZTE (kebetulan firmwarenya sama), dapat dengan perintah

sys cwmp switch 0

0= disable/deactivated

1=enable/activated

Semoga bermanfaat

@update 15 Oct 2013

Bagi para newbie, bisa ikutin panduan bergambar di kaskus. liong_twap sudah membuatkan panduan menghilangkan SSID wifi.id bergambar yang dapat diakses disini

 

 

 

Sejak mulai diliputnya oleh berbagai media terkait perubahan situs presidensby.info, banyak rekan it’ers dan¬† praktisi¬† yang mencoba mengungkap kasus ini, meskipun menurut saya beberapa diantaranya belum memberikan kesimpulan atau informasi yg signifikan dalam pengungkapan kasus tersebut.
Saya akan mencoba menganalisis dengan cara yang lebih sederhana sebagai berikut :

Dari informasi tim IT situs presidensby.info dinyatakan bahwa situs tersebut tidaklah di ‚Äúhacked‚ÄĚ atau kenyataan bahwa tidak ada perubahan sama sekali pada mesin server presidensby.info, tetapi hanya terjadi perubahan penunjuk jalan (serangan di level DNS) menuju server tersebut ketika diakses pengguna oleh attacker.¬† Pada saat terjadinya serangan, hal ini dibuktikan dengan akses ke situs yang sama dengan alamat domain berbeda yaitu presidenri.go.id tetap dapat berjalan dengan baik tanpa ada perubahan tampilan.
Secara teknikal, mesin server situs presidensby.info memiliki alias  name (domain) presidenri.go.id
Lantas apa yang terjadi? .. hehe sabar dulu.. para pembaca ūüôā

Saya coba ungkapkan beberapa fakta, meski mungkin tidak akan mendetail termasuk bagaimana cara saya mendapatkan informasi ini.
Sebenarnya persiapan serangan melalui pembelokan domain presidensby.info ke sebuah situs lain sudah dimulai sejak 8 Januari 2013.  Ini tercatat di serial zone domain (presidensby.info) yang dibuat oleh attacker/pelaku pada sebuah server Hosting/DNS Lokal.

Berikut informasi zone domain presidensby.info yang dibuat oleh attacker.

A

host

type

ip

class

ttl

presidensby.info A 210.247.249.58 IN 1440

NS

host

type

target

class

ttl

presidensby.info NS id1.jaxxxxxnetwork.com IN 86400
presidensby.info NS id2.jaxxxxxnetwork.com IN 86400

SOA

host

type

mname

rname

serial

refresh

retry

expire

minimum-ttl

class

ttl

presidensby.info SOA id1.jaxxxxxnetwork.com admin.jaxxxxxnetwork.com 2013010802 86400 7200 3600000 86400 IN 8640

MX

host

type

pri

target

class

ttl

presidensby.info MX 0 presidensby.info IN 14400

 

Sedangkan host kedua NameServer (id1.jaxxxxxnetwork.com dan id2.jaxxxxxnetwork.com)  memiliki IP yang sama dengan mesin yang ditunjuk sebagai presidensby.info yaitu 210.247.249.58.

Server Hosting inilah yang memiliki virtual host untuk domain presidensby.info berisi halaman dengan Status Hacked by MJL007  dan Jember Hacker Team. Jadi konten halaman berjudul  Hacked by MJL007 bukan terdapat pada mesin server presidensby.info atau presidenri.go.id  yang beralamat di 203.130.196.114.

Untuk menelurusi siapa dan dari mana pelaku yang mengaku MJL007 dan Jember Hacker Team, tim digital forensic Polri seharusnya sudah melakukan investigasi dan data acquisition dari mesin hosting beralamat 210.247.249.58  tersebut, karena pada mesin tersebutlah terdapat system dan access log aplikasi server yang digunakan si pelaku untuk membelokkan penunjuk alamat domain presidensby.info. Jadi log server yang dianalis harusnya bukan pada server  203.130.196.114, melainkan mesin  hosting beralamat 210.247.249.58. Dari mesin ini akan dapat diidentifikasi alamat yang digunakan pelaku, meskipun saat kejadian pelaku bisa saja menggunakan alamat-alamat palsu, biasanya sepandai-pandainya seseorang pelaku, tetap ada kesalahan (kecil) yang berakibat fatal yang mengungkap dirinya.

Selain dari mesin tersebut, berdasarkan zone yang dibuat pelaku, maka terhadap pemilik atau administrator domain dan hosting jaxxxxxnetwork.com juga wajib harus  dilakukan investigasi. Karena jelas-jelas pelaku menggunakan  subdomain  jaxxxxxnetwork.com (id1 dan id2) sebagai tools pelaku.

Informasi dari whois untuk jaxxxxxnetwork.com menghasilkan informasi sbb:

Domain Name: jaxxxxxnetwork.COM       

 Registrant:                        
     N/A
¬†¬†¬† Exxx¬† Sxxxxxxx¬†¬†¬†¬†¬†¬†¬† ([email protected])
       Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja РCikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx     

 Creation Date: 15-Mar-2012   
 Expiration Date: 15-Mar-2013   

 Domain servers in listed order:    
     ph1.xxxxxxjahost.com
     ph2.xxxxxxjahost.com

 Administrative Contact:            
     N/A
¬†¬†¬† Exxx¬† Sxxxxxxx¬†¬†¬†¬†¬†¬†¬† ([email protected])
       Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja РCikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx

 Technical Contact:                 
     N/A
¬†¬†¬† Exxx¬† Sxxxxxxx¬†¬†¬†¬†¬†¬†¬† ([email protected])
   Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja РCikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx      

 Billing Contact:                   
     N/A
¬†¬†¬† Exxx¬† Sxxxxxxx¬†¬†¬†¬†¬†¬†¬† ([email protected])
    Kp. Rxxx Bxxxxxxx Rt.01/04
    Ds. Jxxxxxja РCikrang Timur
    Bekasi
    Jawa Barat,17828
    ID
    Tel. +62.02198779xxx        

 Status:LOCKED
    Note: This Domain Name is currently Locked. In this status the domain  
    name cannot be transferred, hijacked, or modified. The Owner of this  
    domain name can easily change this status from their control panel.  
    This feature is provided as a security measure against fraudulent domain name hijacking.

Informasi diataslah yang menjadi petunjuk tim IT Kepresidenan untuk menyatakan informasi bahwa pelaku menggunakan hosting lokal dari Bekasi, Jawa Barat.

Berikutnya pasti ada pertanyaan, bagaimana si pelaku merubah data Administrative Domain/Nameserver untuk domain presidensby.info tersebut, dari yang aslinya adalah

SAHI78679.MERCURY.ORDERBOX-DNS.COM
SAHI78679.VENUS.ORDERBOX-DNS.COM
SAHI78679.EARTH.ORDERBOX-DNS.COM
SAHI78679.MARS.ORDERBOX-DNS.COM

Menjadi
id1.jaxxxxxnetwork.com
id2.jaxxxxxnetwork.com

Terdapat beberapa kemungkinan bagaamana cara pelaku merubah data Nameserver pada Administrative Domain presidensby.info. Kemungkinan pertama, persis seperti kejadian tahun 2007, dimana server yang memiliki otoritas mengelola zone domain presidensby.info di serang sehingga memberikan alamat NS atau mendelegasikan NS ke server yang sudah dipersiapkan si pelaku. Kemungkinan berikutnya adalah pelaku mendapatkan akses ilegal yang menjadi account administrative/technical contact domain presidensby.info, sehingga dapat dengan mudah merubah NS yang menjadi otoritas  domain tersebut.
Untuk memastikan hal tersebut, tentu saja administrative contact domain presidensby.info bisa dimintain keterangannya. Administrative/Technical Contact pengelola domain presidensby.info bisa dilihat dari info whois (per 12 Januari 2012) berikut:

Domain ID:D11564782-LRMS
Domain Name:PRESIDENSBY.INFO
Created On:20-Dec-2005 08:54:36 UTC
Last Updated On:11-Jan-2013 07:14:39 UTC
Expiration Date:20-Dec-2013 08:54:36 UTC
Sponsoring Registrar:eNom, Inc. (R126-LRMS)
Status:CLIENT TRANSFER PROHIBITED
Status:AUTORENEWPERIOD
Registrant ID:d5667830aacebee8
Registrant Name:Redaksi Situs Presiden
Registrant Organization:Redaksi Situs Presiden Republik Indonesia
Registrant Street1:Gedung Bina Graha Lt. 2
Registrant Street2:Jl. Veteran No, 16 Jakarta
Registrant Street3:
Registrant City:Jakarta Pusat
Registrant State/Province:DKI JAKARTA
Registrant Postal Code:10110
Registrant Country:ID
Registrant Phone:+62.213844363
Registrant Phone Ext.:
Registrant FAX:
Registrant FAX Ext.:
Registrant Email:[email protected]
Admin ID:d5667830aacebee8
Admin Name:Redaksi Situs Presiden
Admin Organization:Redaksi Situs Presiden Republik Indonesia
Admin Street1:Gedung Bina Graha Lt. 2
Admin Street2:Jl. Veteran No, 16 Jakarta
Admin Street3:
Admin City:Jakarta Pusat
Admin State/Province:DKI JAKARTA
Admin Postal Code:10110
Admin Country:ID
Admin Phone:+62.213844363
Admin Phone Ext.:
Admin FAX:
Admin FAX Ext.:
Admin Email:[email protected]
Billing ID:d5667830aacebee8
Billing Name:Redaksi Situs Presiden
Billing Organization:Redaksi Situs Presiden Republik Indonesia
Billing Street1:Gedung Bina Graha Lt. 2
Billing Street2:Jl. Veteran No, 16 Jakarta
Billing Street3:
Billing City:Jakarta Pusat
Billing State/Province:DKI JAKARTA
Billing Postal Code:10110
Billing Country:ID
Billing Phone:+62.213844363
Billing Phone Ext.:
Billing FAX:
Billing FAX Ext.:
Billing Email:[email protected]
Tech ID:d5667830aacebee8
Tech Name:Redaksi Situs Presiden
Tech Organization:Redaksi Situs Presiden Republik Indonesia
Tech Street1:Gedung Bina Graha Lt. 2
Tech Street2:Jl. Veteran No, 16 Jakarta
Tech Street3:
Tech City:Jakarta Pusat
Tech State/Province:DKI JAKARTA
Tech Postal Code:10110
Tech Country:ID
Tech Phone:+62.213844363
Tech Phone Ext.:
Tech FAX:
Tech FAX Ext.:
Tech Email:[email protected]
Name Server:SAHI78679.MERCURY.ORDERBOX-DNS.COM
Name Server:SAHI78679.VENUS.ORDERBOX-DNS.COM
Name Server:SAHI78679.EARTH.ORDERBOX-DNS.COM
Name Server:SAHI78679.MARS.ORDERBOX-DNS.COM
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:
Name Server:

Dari info whois diatas diperoleh keterangan bahwa administrator domain¬† saat ini (baru) adalah pemilik email [email protected]. Padahal saat sebelum dan beberapa hari sesudah serangan terjadi Administrative Contact¬† tersebut adalah Sugeng Wibowo [email protected], dan Technical Contactnya dari techscape.co.id ([email protected]), seperti yang dibahas disini.¬† Jadi ada¬†kecurigaan yang terjadi adalah kemungkinan kedua.
Demikian sementara hasil analisis yang bisa saya sampaikan. Semoga bermanfaat bagi para pembaca dan it’ers.

 

Update: 2 Februari 2013

Setelah menganalisis dari berbagai sumber¬† informasi, dapat saya simpulkan pelaku masih tergolong “culun” dan bisa saya katakan “bunuh diri” karena meninggalkan banyak jejak dan tanpa menggunakan teknik pengelabuan spt proxy luar seperti yang banyak dikhabarkan. Dari log server Hosting/DNS yang digunakan sebagai tools, teridentifikasi IP dari sekitar tempat dia bekerja/tinggal (IP pelanggan Telkom Speedy wilayah Jember 180.247.254.x)

PS: hayoo siapa bilang dari US? Mungkin juga info itu trik pemerintah/berwajib supaya pelaku tidak merasa ketahuan dan berusaha melarikan diri.

Dari berbagai media yang mempublikasikan terkait kejadian peretasan situs ini, ada beberapa informasi media perlu diluruskan misalnya  atas berita di Kompas terkait cara polisi melaca peretas. Kemungkinan besar wartawan atau reporternya salah mengutip atau memahami informan (narasumbernya). Berikut beberapa pernyataan yang rancu dan saya coba koreksi/luruskan:

===kutipan kompas===
 Menurut Ahmad Alkazimy dari lembaga keamanan jaringan komputer Indonesian Computer emergency Response Team (ID-CERT), tim polisi siber mendapatkan IP Address pelaku dari perusahaan penyedia jasa internet (internet service provider/ISP).
=================
JOSH:
Sebenarnya informasi bukan dari ISP, tetapi dari Pengelola Hosting. Ada dua pengelola hosting yang ikut membantu kepolisian, pemilik IP  210.247.249.58 (alvin) dan pemilik domain jatirejanetwork (eman). Seperti yang saya publish dicatatan blog saya 12 Januari lalu (sebenarnya infonya sudah saya ketahui per 10 januari, hanya saja sempat nulisnya baru 12 januari )

===kutipan kompas===
Dalam kasus ini, situs web www.presidensby.info menggunakan jasa ISP Jatireja Network. Jatireja Network melaporkan identitas pelaku dan sejumlah bukti digital. Begitu dilacak, IP Address itu berada di sebuah lokasi di Jember, Jawa Timur.
=================

JOSH:
Nah ini keliru lagi. www.presidensby.info tidak menggunakan jasa hosting (apalagi ISP) Jatireja Network. Tetapi di hosting/co-location di TELKOM. Server hosting jatirejanetwork digunakan sebagai tools (manipulasi DNS) oleh pelaku setelah sebelumnya mendapatkan akses ilegal ke server hosting tersebut.
Dari pengelola hosting inilah diperoleh access log dan aktifitas si attacker, termasuk IP yang digunakan mengakses server tersebut (teridentifikasi IP Telkom Speedy wilayah Jember spt yang saya sebut sebelumnya)

===kutipan kompas ===
Jika pelaku memalsukan IP Address untuk mengaburkan jejak, atau menumpang di IP Address komputer lain di luar negeri, menurut Ahmad hal ini masih bisa dilacak dari alamat Media Access Control (MAC Address).

MAC Address yang juga sering disebut ethernet address, physical address, atau hardware address, pada umumnya menempel di setiap perangkat komputer dan sulit untuk diubah karena telah dimasukkan ke dalam Read-Only Memory (ROM).
=================

JOSH:
MAC address tidak feasible/accessible dari Server atau jaringan yang berbeda broadcast domain. Jadi tentu saja tidak bisa digunakan sebagai media pelacakan dalam kasus ini (remote akses)
Bahkan MAC address juga saat ini sangat dimungkinan dimanipulasi (dirubah). Teknik teknik sederhana merubah mac address sudah didapatkan para pelajar SMK TI hingga Kuliahan ūüôā

 

Tulisan saya diatas juga saling menguatkan dengan informasi yang disampaikan tim cyber paspampres disini

 

Update 18 Februari 2013

Wawancara saya dengan admin Codenesia terkait hacking dan kasus situs presidensby yang lalu, telah dimuat di majalah CN-ZINE19 Codenesia dapat dibaca juga disini

Semoga bermanfaat.

RootBrain IT Security Training & Consulting yang mengkhususkan diri bergerak di bidang Keamanan Infrastruktur Jaringan dan Sistem Informasi akan mengadakan pelatihan dengan tema ‚ÄúWireless Security & Management‚ÄĚ.
Pelatihan ini sangat diperlukan dalam mengamankan infrastruktur Teknologi Informasi perusahaan khususnya Jaringan Wireless. Setiap instansi telah menggunakan teknologi wireless untuk kemudahan akses sistem informasi dan internet. Berbagai ancaman keamananpun bermunculan, mulai dari adanya pencurian akses tanpa izin, penyadapan, pembelokan komunikasi hingga pengacauan sinyal wireless yang menyebabkan jaringan wireless sering menjadi ancaman tersendiri bagi lembaga tersebut.
Melalui pelatihan ini akan dibahas secara rinci melalui demonstrasi dan praktik langkah-langkah yang digunakan para hacker maupun cracker dalam melakukan serangan terhadap jaringan wireless dan bagaimana penanggulangannya. Diberikan juga materi managemen dan monitoring akses jaringan wireless dengan aman dan terkontrol melalui sistem otentikasi terpusat.

TARGET PESERTA
Professional TI bidang Jaringan dan Keamanan Sistem Komputer
Dosen atau staff pengajar bidang Jaringan dan keamanan jaringan & sistem Informasi
System Administrator & Network Administrator
Pengelola Bidang Infrastruktur Jaringan atau TIK Organisasi
Konsultan dan Auditor TI bidang Keamanan Sistem Informasi
Mahasiswa yang sudah memiliki pengalaman bidang Keamanan Sistem Informasi atau pernah mengambil kuliah Keamanan Jaringan dan Sistem Komputer.

JADWAL DAN LOKASI
Waktu :¬† 3-5 Desember 2012¬† (3 Days)¬† Pukul¬† 9.00 ‚Äď 15.00 WIB
Lokasi: Meeting Room Ibis Styles Hotel (All Season Hotel) Yogyakarta

Investasi :
Rp. 2.900.000,-/ peserta
(Catatan : Investasi belum termasuk akomodasi penginapan)

PENDAFTARAN
Silahkan mengisi formulir Pendaftaran
http://rootbrain.com/training/registration/

Wireless Management & Security
————————————————–
Overview:
During this course students will learn how to hack/attack & protect Wireless Network, how to install wireless Access Point & secure it, configure & optimizing wireless hotspot management using Captive Portal & Radius Server, how to monitoring wireless network, how to limit user by time or volume download or limit user bandwidth

Benefit you will get:
Trainer very Qualified & Certified
Lab Work & Practices Demonstration with Direct Internet Connection
Certificate of Attendance
Hardcopy Training Modules
Coffee Break & Lunch

Trainer & Consultant :
Our consultant & trainer is very qualified which is not only equipped with professional certifications (CEH, CHFI,ECSA/LPT, ACE, MCP, RHCT, MTCNA, CCNP, CCNA, CompTIA Security+, Network+, Linux+), but also have hands-on real-world experiences with more than ten years. We will show you the best methods, tricks and practices in incorporating technologies to your business environment. We also provide training & studying methods that are based on active, discovery and enjoy learning.

Outline Course:
Basic Wireless Technology
Basic Wireless LAN Security
Wireless Attack & Defense
– MAC Filtering Attack
– WEP Attack
– WPA/WPA2 PSK Attack
– WPA/WPA2 Enterprise Attack
– WPS Attack
– Captive Portal Attack
– Android as Wireless Hacking Tools
Captive Portal Concept
Preparing Hardware & Linux OS for Captive Portal
Basic Chillispot Captive Portal
Application Software Requirement
Installation Captive Portal Software (Chillispot)
Preparing Kernel Linux Server as Captive Portal (Chillispot)
Installation & setup Database Server for Captive Portal (Chillispot)
Installation Radius Server
Installation Apache Web Server
Configuring Iptables for Captive Portal
Configuring Server Network and Firewall
Configuring Chillispot Application
Configuring Radius Server
Configuring Apache Web Server
Testing Client using Hotspot
Web Management for Radius
Installation DaloRadius/easyhotspot
Account Administration using DaloRadius/easyhotspot
Administration & Management quota
Captive Portal Monitoring & Maintenance

 

RootBrain IT Security Training & Consulting
Network & Security Specialists
Telp.: 0274 3000459 Mobile: 0811 250 8780
Email:¬†[email protected]
Website: http://rootbrain.com

Ysh rekan-rekan pengelola Infrastruktur Teknologi Informasi di Kantor, Kampus, Perusahaan serta lingkungan Pemerintahan. RootBrain.Com, IT SecurityTraining & Consulting yang mengkhususkan diri bergerak di bidang Keamanan Infrastruktur Jaringan dan Sistem Informasi akan mengadakan pelatihan dengan tema ‚ÄúETHICAL HACKING & PERIMETER DEFENSE‚ÄĚ.
Pelatihan ini sangat diperlukan dalam mengamankan Infrastruktur Teknologi Informasi perusahaan dari berbagai ancaman dan serangan Cyber saat ini.
Pada pelatihan ini akan dibahas secara rinci langkah-langkah yang digunakan para hacker maupun cracker dalam melakukan serangan terhadap infrastruktur Teknologi Informasi, cara menyerang dan melindungi aset Teknologi Informasi mulai dari PC, Server, LAN, teknologi SSL, Jaringan Nirkabel dan Aplikasi Web atau situs-situs organisasi. Dalam pelatihan Peserta akan mempraktekkan langsung setiap teknik-teknik yang digunakan para cracker atau hacker.

JADWAL DAN LOKASI
Workshop ‚ÄúEthical Hacking & Perimeter Defense‚ÄĚ akan diselenggarakan pada
Waktu :¬†¬†26 ‚Äď 29 November 2012¬† (4 Days)¬† Pukul¬† 9.00 ‚Äď 15.00 WIB

Lokasi: RootBrain Classroom/Meeting Room Hotel

OVERVIEW:
Program Training ini sangat sesuai untuk orang-orang yang sudah profesional dan berpengalaman di bidang IT maupun orang-orang yang telah memperoleh sertifikasi lainnya di bidang TI.
Pada training ini peserta akan dihadapkan pada pembelajaran secara interaktif dimana mereka akan ditunjukkan dan berhasil melakukan proses scanning, penetration test, hacking serta mempertahankan dan mengamankan sistem mereka. Lingkungan laboratorium yang intensif akan memberikan pengetahuan yang mendalam serta pengalaman praktek langsung dengan konsep dan prinsip sistem keamanan bagi setiap peserta. Peserta juga akan mulai memahami bagaimana perimeter defense bekerja dan kemudian akan mampu mensimulasikan proses scanning dan serangan terhadap jaringan mereka. Pada training ini, peserta akan belajar bagaimana penyusup mampu meningkatkan privileges (escalate privilege) dan langkah langkah yang dilakukan untuk mengamankan sebuah system. Selain itu peserta juga akan belajar mengenai Intrusion Detection, Policy Creation, Social Engineering, DDoS Attacks, Buffer Overflows dan pembuatan Virus.

TARGET PESERTA
Professional TI bidang Keamanan Sistem Komputer
Dosen atau staff pengajar bidang keamanan jaringan & sistem Informasi
System Administrator & Network Administrator
Pengelola Bidang Infrastruktur Jaringan atau TIK Organisasi
Konsultan dan Auditor TI bidang Keamanan Sistem Informasi
Mahasiswa yang sudah memiliki pengalaman bidang Keamanan Sistem Informasi atau pernah mengambil kuliah Keamanan Jaringan dan Sistem Komputer.
Individu yang akan mengikuti Ujian Sertifikasi EC-Council CEH & SCNS (SCP)

KEUNTUNGAN DAN FASILITAS:
Trainer very Qualified & Certified
75% Lab Work & Practices
Direct Internet Connection
Certificate of Attendance
Discount 10% for Student (all level students)
Training Modules

INSTRUKTUR/TRAINER:
Konsultan dan Trainer kami tidak hanya memiliki sertifikasi
professional seperti CEH, CHFI, ECSA/LPT, ACE, MCP, RHCT, MTCNA, CCNP,
CCNA, CompTIA (Security+, Network+. Linux+) tetapi juga memiliki
pengalaman di industri lebih dari 10 tahun. Trainer kami akan
menggunakan metode terbaik, best practices dalam memanfaatkan
teknologi keamanan sesuai kebutuhan Anda. Trainer kami menggunakan
metode pelatihan dan pembelajaran aktif dan menyenangkan

OUTLINE COURSE
Information Security Essential
Ethical Hacking
Footprinting
Scanning
Enumeration
Sniffers
Denial-of-Service & DDoS
Social Engineering
Session Hijacking
Hacking Web Servers
Viruses and Worms
Physical Security
Email Security
Hacking Linux
IDS, IPS & Honeypots
Design Firewall & Router ACL
Proxy Server
System Hacking
Trojans and Backdoors
Web Application Vulnerabilities
Web-Based Password Cracking Techniques
SQL Injection
Hacking Wireless Networks
Cryptography
Penetration Testing Methodologies

INVESTASI :
Rp. 4.350.000,-/ person
2 peserta atau lebih dari organisasi yang sama akan mendapatkan discount khusus

PENDAFTARAN
Silahkan mengisi formulir Pendaftaran

http://rootbrain.com/training/registration/

INFORMASI
Email: [email protected]
Telp: 0274 3000459 atau Mobile: 0811 250 8780

Catatan:
Peserta diharapkan membawa notebook masing-masing selama training.
Peserta sebaiknya sudah familiar dengan Linux Shell atau Command Line Interface (CLI)

 

RootBrain IT Security Training & Consulting
Network & Security Specialists
Telp.: 0274 3000459, 7810307 Mobile: 0811 250 8780
Email:¬†[email protected]
Website: http://rootbrain.com

 

Khusus Mahasiswa. Jarang ada ! Bagi mahasiswa yang ingin tahu bagaimana professional ethical hacker bekerja. Buruan daftar!!

 

RootBrain IT Security Training & Consulting yang
mengkhususkan diri bergerak di bidang Keamanan Infrastruktur & Sistem
Informasi, serta  Computer Forensic menawarkan pelatihan class
training periode Mei & Juni  2012.

– CCNA Fast-Track (11-16 Juni 2012 )
Deskripsi & Outline:
http://rootbrain.com/training/training-courses/ccna-fast-track/

– CompTIA Security+ (4-7 Juni 2012)
Deskripsi & Outline:
http://rootbrain.com/training/training-courses/comptia-security-plus/

– Ethical Hacking & Perimeter Defense (21-24 Mei 2012 & 25-28 Juni 2012)
Deskripsi & Outline:
http://rootbrain.com/training/training-courses/ethical-hacking-perimeter-defense/

– Computer & Digital Forensic (11-14 Juni 2012 )
Deskripsi & Outline:
http://rootbrain.com/training/training-courses/computerdigital-forensic/

INSTRUKTUR/TRAINER:
Konsultan dan Trainer kami tidak hanya memiliki sertifikasi
professional seperti CEH, CHFI, ECSA/LPT, ACE, MCP, RHCT, MTCNA, CCNP,
CCNA, CompTIA (Security+, Network+. Linux+) tetapi juga memiliki
pengalaman di industri lebih dari 10 tahun. Trainer kami akan
menggunakan metode terbaik, best practices dalam memanfaatkan
teknologi keamanan sesuai kebutuhan Anda. Trainer kami menggunakan
metode pelatihan dan pembelajaran aktif dan menyenangkan

INFO PENDAFTARAN:
Peserta dapat mendaftar dengan  mengisi formulir Pendaftaran online
http://rootbrain.com/training/registration/

Jika membutuhkan penawaran/brosur/leaflet dapat menghubungi halaman
kontak berikut:
http://rootbrain.com/contact/

Ysh rekan-rekan pengelola Infrastruktur Teknologi Informasi di Kantor, Kampus, Perusahaan serta lingkungan Pemerintahan. RootBrain.Com, IT Training & Consulting yang mengkhususkan diri bergerak di bidang Keamanan Infrastruktur Jaringan dan Sistem Informasi akan mengadakan pelatihan dengan tema “ETHICAL HACKING & PERIMETER DEFENSE”.
Pelatihan ini sangat diperlukan dalam mengamankan Infrastruktur Teknologi Informasi perusahaan dari berbagai ancaman dan serangan Cyber saat ini.
Pada pelatihan ini akan dibahas secara rinci langkah-langkah yang digunakan para hacker maupun cracker dalam melakukan serangan terhadap infrastruktur Teknologi Informasi, cara menyerang dan melindungi aset Teknologi Informasi mulai dari PC, Server, LAN, teknologi SSL, Jaringan Nirkabel dan Aplikasi Web atau situs-situs organisasi. Dalam pelatihan Peserta akan mempraktekkan langsung setiap teknik-teknik yang digunakan para cracker atau hacker.

JADWAL DAN LOKASI
Workshop “Ethical Hacking & Perimeter Defense” akan diselenggarakan pada
Waktu :

  • Periode Mei: 21 – 24 Mei 2012¬† (4 Days)¬† Pukul¬† 9.00 – 15.00 WIB
  • Periode Juni: 25 – 28 Juni 2012 (4 Days)¬† Pukul¬† 9.00 – 15.00 WIB

Lokasi: RootBrain Classroom

OVERVIEW:
Program Training ini sangat sesuai untuk orang-orang yang sudah profesional dan berpengalaman di bidang IT maupun orang-orang yang telah memperoleh sertifikasi lainnya di bidang TI.
Pada training ini peserta akan dihadapkan pada pembelajaran secara interaktif dimana mereka akan ditunjukkan dan berhasil melakukan proses scanning, penetration test, hacking serta mempertahankan dan mengamankan sistem mereka. Lingkungan laboratorium yang intensif akan memberikan pengetahuan yang mendalam serta pengalaman praktek langsung dengan konsep dan prinsip sistem keamanan bagi setiap peserta. Peserta juga akan mulai memahami bagaimana perimeter defense bekerja dan kemudian akan mampu mensimulasikan proses scanning dan serangan terhadap jaringan mereka. Pada training ini, peserta akan belajar bagaimana penyusup mampu meningkatkan privileges (escalate privilege) dan langkah langkah yang dilakukan untuk mengamankan sebuah system. Selain itu peserta juga akan belajar mengenai Intrusion Detection, Policy Creation, Social Engineering, DDoS Attacks, Buffer Overflows dan pembuatan Virus.

TARGET PESERTA
Professional TI bidang Keamanan Sistem Komputer
Dosen atau staff pengajar bidang keamanan jaringan & sistem Informasi
System Administrator & Network Administrator
Pengelola Bidang Infrastruktur Jaringan atau TIK Organisasi
Konsultan dan Auditor TI bidang Keamanan Sistem Informasi
Mahasiswa yang sudah memiliki pengalaman bidang Keamanan Sistem Informasi atau pernah mengambil kuliah Keamanan Jaringan dan Sistem Komputer.
Individu yang akan mengikuti Ujian Sertifikasi EC-Council CEH & SCNS (SCP)

KEUNTUNGAN DAN FASILITAS:
Trainer very Qualified & Certified
75% Lab Work & Practices
Direct Internet Connection
Certificate of Attendance
Discount 10% for Student (all level students)
Training Modules

INSTRUKTUR/TRAINER:
Konsultan dan Trainer kami tidak hanya memiliki sertifikasi
professional seperti CEH, CHFI, ECSA/LPT, ACE, MCP, RHCT, MTCNA, CCNP,
CCNA, CompTIA (Security+, Network+. Linux+) tetapi juga memiliki
pengalaman di industri lebih dari 10 tahun. Trainer kami akan
menggunakan metode terbaik, best practices dalam memanfaatkan
teknologi keamanan sesuai kebutuhan Anda. Trainer kami menggunakan
metode pelatihan dan pembelajaran aktif dan menyenangkan

OUTLINE COURSE
Information Security Essential
Ethical Hacking
Footprinting
Scanning
Enumeration
Sniffers
Denial-of-Service & DDoS
Social Engineering
Session Hijacking
Hacking Web Servers
Viruses and Worms
Physical Security
Email Security
Hacking Linux
IDS, IPS & Honeypots
Design Firewall & Router ACL
Proxy Server
System Hacking
Trojans and Backdoors
Web Application Vulnerabilities
Web-Based Password Cracking Techniques
SQL Injection
Hacking Wireless Networks
Cryptography
Penetration Testing Methodologies

INVESTASI :
Rp. 4.350.000,-/ person
2 peserta atau lebih dari organisasi yang sama akan mendapatkan discount khusus

PENDAFTARAN
Silahkan mengisi formulir Pendaftaran
http://rootbrain.com/training/registration/

INFORMASI
Email: [email protected]
Telp: 0274 3000459 atau Mobile: 0811 250 8780

Catatan:
Peserta diharapkan membawa notebook masing-masing selama training.
Peserta sebaiknya sudah familiar dengan Linux Shell atau Command Line Interface (CLI)

 

RootBrain IT Security Training & Consulting
Network & Security Specialists
Telp.: 0274 3000459, 7810307 Mobile: 0811 250 8780
Email: [email protected]
Website: http://rootbrain.com

Kemaren, tanggal 2 April 2012, saya menemukan adanya account backdoor yang terpasang diseluruh modem Speedy berlogo “T****m *n******a”. Setelah saya scan, ada ratusan bahkan ribuan pengguna modem speedy yang online dengan backdoor ini.

Untuk mengecek modem speedy Anda berlogo atau bukan bisa masuk web administrasinya atau untuk merk TP-Link bisa ke
http://ip-modem-anda/Images/tb3.gif
untuk jenis lain saya akan update. Umumnya Modem TP-Link yang paling banyak digunakan dari hasil scanning saya. Jika muncul logo “T****m *n******a”, hampir dipastikan ada account backdoor yang bisa memasuki sistem modem Anda.
Account backdoor tidak dapat dilihat atau dihapus dari Web Administrasi Modem. Tetapi account backdoor ini bisa login via Web Administrasi Modem (HTTP), FTP maupun Telnet.

Apa akibat dari adanya account backdoor ini? Selain dapat melihat/merubah/menghapus account (user/password) Speedy (@telkom.net @*.edu.net), si pemilik backdoor atau yang mengetahui juga dapat membelokkan komunikasi setiap pengguna yang terhubung melalui modem tersebut. Dengan teknik filter/nat atau dengan DNS Attack (merubah IP DNS ke server DNS penyerang). Bayangkan jika semua pengguna speedy dengan modem ini dibelokkan komunikasinya atau bahkan disadap untuk kepentingan segelintir. Pasti akan banyak korban-korban cybercrime baru bermunculan

Ada juga yang menginformasikan kepada saya bahwa pihak Telkom memesan modem ini dari pihak ketiga yang berasal dari China. Jadi wajar muncul kecurigaan klo ini ulah pihak ketiga untuk memata-matain pengguna internet di Indonesia. Saya masih menunggu jawaban pasti dari pihak telkom, karena saya sudah menginformasikan permasalahan ini kepada mereka beberapa waktu lalu. Semoga mereka (pihak telkom) dapat segera mengambil tindakan untuk mencegah disalahgunakannya akses internet via Modem Speedy tersebut.

Beberapa pilihan cara antisipasi Account Backdoor ini antara lain (bisa salah satu):

1. Tidak mengaktifkan remote login pada modem baik HTTP/TELNET/FTP (high recommended)
2. Melakukan filter/pemblokiran akses remote login dari Internet/intranet.
3. Memflash ulang firmware/rom dengan versi bawaan di website masing masing vendor.
4. Mengganti Modem dari T*****M dengan modem ADSL yang tidak berlogo. Harga modem ADSL saat ini relatif murah (100rban)

Untuk detil langkahnya nya saya coba susulkan. Semoga ada waktu meriset beberapa perangkat modem tersebut.

Update 1 : 3 April 2012 pukul 12:13 WIB
Dari informasi Web Administration Help Modem TP-Link:

Administration
There is only one account that can access Web-Management interface. The default account is “admin”, and the password is “admin”. Administrator has read/write access privilege. In this web page, you can set new password for admin.

Pada kenyataannya ada account lain yang bisa mengakses Web-Management tersebut, dan tidak diinformasikan pada web administration. Sehingga akun lain (backdoor account) ini juga tidak dapat diganti/dirubah passwordnya via web administration

 

Update 2:  3 April 2012 pukul 20:13 WIB

Untuk memastikan tidak ada account backdoor atau user lain yang bisa login ke modem speedy kita selain user admin, dapat menggunakan langkah-langkah berikut:

telnet IP-Modem
Trying IP-Modem…
Connected to IP-Modem.
Escape character is ‘^]’.

Password: ***********  (masukkan password admin)
Copyright (c) 2001 – 2010 TP-LINK TECHNOLOGIES CO., LTD

TP-LINK>sys multiuser off
Multi-user mode: 0

TP-LINK> sys multiuser2remote 0
Now multiuser2remoteaccess is 0.

TP-LINK> sys multiuser3remote 0
Now multiuser3remoteaccess is 0.

Beberapa jenis modem cukup hanya 1 perintah “sys multiuser off”. Untuk modem yang menyediakan perintah “sys multiuser2remote 0”¬† dan “sys multiuser3remote 0”, maka perintah tersebut harus diaktifkan. Dengan perintah tersebut, harusnya sudah tidak ada user lain (selain admin) yang bisa remote akses via web/telnet ke modem.

Update 3:  9 Mei 2012 pukul 03:31 WIB

Tanggal 5 April 2012 lalu, seseorang dari pihak Telkom Risti (Bandung) menghubungi saya untuk mendiskusikan isi blog saya terkait backdoor modem speedy. Dari pembicaraan dengan beliau, ternyata mereka (Telkom) mengakui adanya backdoor tersebut dan ada kemungkinan kesengajaan dengan alasan untuk mempermudah proses troubleshooting. Saat berkomunikasi, saya juga sempat ditawarin ke Bandung untuk makan batagor :p mendiskusikan solusi penanganannya.

 

RootBrain Computer & Digital Forensic Training

Computer/Digital Forensic Training covers forensics tools, methods, and procedures used for investigation of computers, techniques of data recovery and evidence collection, protection of evidence, expert witness skills, and computer crime investigation techniques. Includes analysis of various file systems and specialized diagnostic software used to retrieve data. Prepares for part of the industry standard certification exam such CompTIA Security+, Ec-Council Computer Hacking Forensic Investigator (CHFI), AccessData Certified Examiner (ACE), CIFI, CFCE and others.

Most of the people who are employed in Computer Forensics find work though government agencies, law enforcement agencies and private security firms. Job opportunities also exist with consulting companies and military intelligence agencies.

Most of the people who are employed in Computer Forensics find work though government agencies, law enforcement agencies and private security firms. Job opportunities also exist with consulting companies and military intelligence agencies.

Outline Training:

  • Computer Forensics and Investigation Processes
  • Understanding Computing Investigations
  • Data Acquisitions
  • Processing Crime and Incident Scenes
  • Working with Windows System & Linux
  • Computer Forensics Tools
  • Computer Forensics Analysis
  • Recovering Files & Password
  • Virtual Machines, Network Forensics, and Live Acquisitions
  • E-mail & IM Investigations
  • Mobile Forensics
  • Report Writing for Crime Investigation
  • Expert Testimony in Crime Investigations
  • Ethics in Crime Investigations

Instruktur/Trainer :
Our consultant & trainer is very qualified which is not only equipped with professional certifications (CEH, CHFI,ECSA/LPT, ACE, MCP, RHCT, MTCNA, CCNP, CCNA, CompTIA Security+, Network+, Linux+), but also have hands-on real-world experiences with more than ten years. Our trainer also experienced working as Digital Forensic Analyst Ditkrimsus Polda D.I.Yogyakarta. We will show you the best methods, tricks and practices in incorporating technologies to your business environment. We also provide training & studying methods that are based on active, discovery and enjoy learning.

Durasi: 4 hari

Investasi :
Rp. 4.500.000,-/ person *)

Pendaftaran

Formulir Pendaftaran

« Newer Posts - Older Posts »