Siapa yang mencuri data account FTP?

Komputer tim kami yang memiliki data account FTP seharusnya cukup terjaga dalam hal keamanan. Saya sendiri tidak bisa percaya adanya kebocoran data account FTP sebelum akhirnya benar-benar terbukti dari log FTP. Lalu bagaimana data tersebut dapat bocor? Seperti yang saya informasikan pada post sebelumnya juga, saya bukan seorang ahli di bidang keamanan. Berdasarkan logika ada 3 kemungkinan penyebab kebocoran, berikut saya urutkan berdasarkan kemungkinan tertinggi:

1. Ada Malware yang berhasil menyusup ke komputer Tim
2. Hosting Server terkena hack dan data FTP tercuri
3. Serangan langsung ke jaringan kantor untuk mencuri data FTP

Karena serangan iframe injection lebih bersifat massal maka kemungkinan ketiga dapat kita abaikan. Karena kemungkinan kedua ialah perbaikan yang harus dilakukan oleh pihak hosting, maka tidak akan saya bahas di sini. Jadi pendekatan yang akan kita lakukan untuk menjauhkan web kita dari iframe injection ialah berdasarkan kemungkinan pertama, yaitu Malware.

Bagaimana data account FTP bisa tercuri?

Menurut wiki Malware ialah singkatan dari malicious software. Mungkin singkatnya bisa kita artikan sebagai barangempuk (software) yang jahat. Lalu bagaimana cara malware tersebut berhasil mencuri data account FTP? Ada 3 teknik pencurian yang saya tahu mungkin dilakukan, berikut saya urutkan berdasarkan kemungkinan terendah:

1. Merekam penggunaan keyboard (keylogging)

   Salah satu teknik pencurian account ialah dengan merekam data penggunaan keyboard sebuah komputer. Tapi sebenernya kurang tepat bila malware menggunakan metode ini untuk mencuri data account FTP, terutama karena hampir semua FTP Client dapat menyimpan data tersebut sehingga user tidak perlu lagi melakukan pengetikan user dan password pada setiap akses. Jadi sangat kecil kemungkinan bahwa teknik ini yang digunakan.

2. Mencuri data Server dari FTP Client

   Karena hampir semua FTP Client dapat menyimpan data account FTP, teknik ini lebih masuk akal dari pada keylogging. Tapi masih lumayan rumit untuk diterapkan karena setiap FTP Client memiliki cara penyimpanan sendiri yang pasti tidak sama.

3. Mengendus koneksi FTP (sniffing)

   Cara ini yang paling mudah dan mungkin dilakukan oleh Malware. Dia tidak perlu repot-repot mencari FTP Client apa yg ada pada sebuah komputer serta mencari tahu bagaimana penyimpanan data account FTP. Cukup menunggu adanya koneksi FTP dan syut, data account FTP yang dikirimkan bisa langsung dicopet.

Amankan data account FTP kita sekarang!

“Anda bisa jadi korban berikutnya!”

Itulah slogan yang akhir-akhir ini sering kita lihat di TV dalam iklan memerangi terorisme (^_^) Jadi bagaimana cara mengamankan data account FTP kita? Saya menerapkan pendekatan menjadi 9 poin dalam 3 tingkatan:

PERTAMA, amankan semua komputer dari malware.

1. Gunakan AntiVirus yang ampuh, terpercaya dan mudah untuk diupdate.
2. Pastikan Browser selalu terupdate untuk mencegah adanya celah keamanan dari versi lama. Bila ingin menguji kompatibilitas web dengan browser versi lama, gunakanlah komputer lain untuk pengujian.
3. Jangan abaikan peringatan keamanan dari browser/antivirus saat mengakses suatu web meskipun web itu ialah milih perusahaan yang sangat kita percaya atau bahkan pemerintah.

KEDUA, seandainya masih lolos, minimalkan kemungkinan tercurinya data.

4. Cara paling ekstrim ialah jangan pernah menyimpan password. Ini memang salah satu alternatif yang bisa kita pilih, tapi saya rasa kurang praktis.
5. Gunakan FTP Client yang tidak menyimpan password secara polos. Saya tidak sempat menguji atau mencari sebanyak-banyaknya, tapi saya tahu Core FTP ialah salah satunya.
6. Selalu gunakan koneksi SFTP (SSH FTP/Secure FTP). Koneksi FTP biasa mengirimkan data account FTP secara polos sehingga akan sangat mudah di curi. Koneksi SFTP terenkripsi sehingga jauh lebih aman. Pastikan FTP Server dan Client anda keduanya mendukung koneksi tersebut.

KETIGA, seandainya masih juga tercuri, minimalkan dampak penyerangan.

7. Bagi yang memiliki lebih dari satu web pada satu server, buatlah data account FTP terpisah untuk masing-masing web. Ini akan memperkecil dampak serangan. Bila salah satu data bocor maka tidak semua web kita langsung terserang.
8. Bila perlu buatlah folder dummy dengan file dummy untuk menyerap serangan. Sebagai contoh, untuk berjaga-jaga pada folder web utama saya membuat folder dummy yang berisi banyak subfolder dan total 1000 file index.php. Dummy file tersebut akan mampu menyerap serangan jauh diatas batas maksimal penyerangan iframe injection yang sudah kita ketahui.
9. Untuk mengetahui dengan mudah siapa yang data account FTP-nya tercuri dalam tim kita, buatlah data account FTP untuk masing-masing user. Hindari menggunakan account FTP yang sama pada lebih dari 1 komputer.

Pendekatan diatas akan cukup ampuh untuk menjauhkan kita dari iframe injection. Tapi tetaplah waspada, karena kejahatan selalu dapat terjadi karena adanya kesempatan Apa ada yang sudah terlanjur terserang? Tindakan apa yang harus segera dilakukan? Akan saya share di post berikutnya

Iframe ialah sebuah tag html yang digunakan untuk manampilkan halaman lain dalam sebuah frame sebagai bagian dari halaman kita. Kata iframe sendiri dapat diartikan sebagai inline frame. Sementara injection pada dunia web sering digunakan untuk menggambarkan adanya sesuatu yang diselipkan/disusupkan, dan sesuatu itu hampir selalu ialah hal-hal yang sangat tidak diinginkan Jadi iframe injection bisa kita artikan sebagai serangan terhadap web server dimana tag iframe diselipkan/disusupkan pada satu atau lebih file pada server tersebut.

Berikut ialah 8 poin yang saya simpulkan mengenai iframe injection berdasarkan pengalaman saya:

1. Pelakunya ialah bot/program
2. Pelaku memiliki data account FTP ke web server (yang tentu saja tidak didapatkan dengan cara yg halal)
3. Dengan koneksi FTP pelaku akan mengakses semua folder satu persatu bahkan sampai ke sub-folder terdalam untuk mencari semua file yang mengandung kata index atau default
4. Semua file yang dia temukan tersebut akan di download, di rubah dan di upload kembali ke server
5. Pada proses “di rubah” itulah pelaku berusaha menyelipkan/menyusupkan iframe tersebut
6. Proses injeksi tidak selalu berhasil pada file PHP sehingga terkadang menyebabkan syntax error
7. Untuk setiap proses upload dan download pelaku menggunakan IP dari berbeda negara
8. Pelaku membatasi serangan hanya sampai sekitar 100 file 50 file

Lalu bagaimana mendeteksi apakah web kita terinfeksi atau aman? Berikut beberapa akibat/alternatif yang bisa dicoba:

1. Blank Page/PHP Syntax Error

   Seperti yang saya simpulkan di poin ke 6, terkadang proses injeksi tidak berjalan sempurna pada file PHP sehingga website hanya akan menampilkan blank page atau syntax error

2. Menggunakan AntiVirus

   Tidak semua antivirus sudah mampu mendeteksi website yang terkena iframe injection, tapi yang saya tahu Avast bisa. Avast akan meninformasikan ditemukannya virus pada website tersebut dan menghentikan akses.

3. View Source

   Cara yang sedikit kasar tapi pasti efektif Buka website yang ingin diperiksa lalu lihatlah kode html (view source) dari homepagenya. Carilah kata/tag iframe dan pastikan tidak ada iframe yang tidak anda inginkan

4. Online Test

   Kalau ga mau repot, bisa juga menggunakan fasilitas online seperti yang disediakan oleh Unmask Parasites. Website tersebut dapat melakukan pengecekan pada alamat web yang diberikan.

Bagaimana? Sudah jalankan beberapa uji coba di atas? Apakah web anda saat ini masih aman? Kalau ternyata anda terinfeksi, silahkan baca post saya selanjutnya yang akan membahas tindak lanjut yang diperlukan. Kalau aman bersyukurlah tapi jangan terlalu cepat puas dulu, karena masih ada juga beberapa hal yang harus dipastikan agar web kita benar2 tetap aman. Akan saya share juga di post berikutnya

Baca selanjutnya:
» Pendekatan untuk Menjauhkan Iframe Injection

4. Use browser UI

   Best website design strategy is to print screen your browser in targeted resolution, and paste it in your photoshop. Do all the design above this layer. This will help you with good perspective of your design in a browser

5. Begin with the end in Mind (It’s important to know your target before you start working)

   • The one thing you should always keep in mind is you will cut your design to pieces in the Final step

   • Why? because in website design, image total size and quantity is very important (one big image will seems to load longer than if we cut it into 3 smaller images, because with 3 images the browser will show the image one by one, and it’ll be faster then having to wait one big image fully downloaded)

   • Use repeated pattern. If you can, try to have repeated pattern for background. You can have a smaller cut and set it as background image (it could be repeated horizontally, vertically or both). It will save total image size compare to having the whole image

   • However, if you’re very sure that your targeted website visitors won’t have any problem such as low bandwidth (low internet speed), skip this step

6. What are you waiting for? start designing your website now. Look around for good designs to inspire you.

7. Once you’re done, all you need is transforming the design to a web template. This will also include cutting the image to important pieces. This step will surely be different for each web application. For example, transforming the design for wordpress based web or joomla based web will be a totally different experience. So you can have two final choice,

   • seek someone expert to do this,

   • or learn the specific steps yourself. Of course the main basic knowledge you need to have first is html and css. Since you’re already familiar with adobe (and formerly macromedia) tools, I suggest you to use Adobe Dreamweaver for this.

I hope this help you, good luck!

Designing a website….graphically not with programming languages?

what should i know?
what size should i be working on?
im already photoshop, illustrator. flash literate.

what kind of resolution i should be aimed at?

And here is my answer:

First of all, I suggest you to keep working with photoshop, you don’t need to jump directly to a new program to design a website. I believe you already have experience in graphic design, either hard copy, soft copy or even both. Then, what you need to know is the Main Concern in designing a website compare to other graphic design.

1. Decide the dimension type of your website.

   • a fix size (fix width and fix height; in this mode, website will have a specified size for its width and height. So if the content need more space, the visitors will have scroll function inside the fix size) — most of the sites using this is full flash site. Check http://www.ferrariworld.com/ for an example.

   • a fix width (fix width and dynamic height; in this mode, website will have only a specified width. So the height will shrink/grow depends on the content) — site that currently using this is http://www.yahoo.com and http://www.msn.com, the width will stay the same even if you resize your browser, but the height adjust the content.

   • a dynamic size (dynamic width and dynamic height; in this mode, website usually adjust it’s width depends on the browser width. The most common use for this is using percentage (example, 100% size will fully fit browser’s width and 80% size will fit 80% of browser’s width) — site that currently using this is http://www.google.com/ig, the width will adjust itself when you resize your browser.

2. Decide the size of your website

   After deciding the dimension type, it’s time to decide the size of your website

   • Size will depend on targeted monitor resolution

   • Do a little research for targeted website visitors, find what monitor resolution size is mostly use by those targeted website visitor. The most popular option now is 800×600 or 1024×768, make your choice.

   • for fix size, you need to have smaller size (at least 10px smaller width and 100px smaller height) from your chosen resolution

   • for fix width, you need to have smaller width (at least 10px smaller from your chosen resolution

   • for dynamic size, you only need to decide the width size at least 10 px smaller from your chosen resolution for design guide only

3. Decide the website position in browser

   • for example, if you decide to use fix width for 800×600 resolution, you can use 780px width for the website. But when view it in 1024×768, the website will look smaller and you need to decide wheter it will be align to the left, center or right side of the browser.

   • you can skip this step IF you choose dynamic size with 100% width (since the web will always fully fill the browser regarding the resolution)

Continue Reading (^_^)