“Alangkah cuek nya para engineer speedy dan orang-orang telkom, atau…kurang paham tentang security”
Benarkah?!Yup, terbukti dengan banyak nya modem speedy yang masih menggunakan default password. Mungkin orang-orang telkom sudah merasa terlindungi, karena sekarang network speedy menggunakan authentifikasi ketat yang memanfaatkan no.telp juga, sehingga walaupun kita tahu informasi lengkap username+password orang lain, tetap tidak bisa menggunakan layanan nya karena kita connect dari no. telp yang berbeda.
Namun apakah dengan begitu para installer speedy bisa cuek untuk tidak mengganti default management password untuk modem nya?! Saya dan r0t0r pernah havin fun dengan suatu tools yang di rilis pada salah satu grup underground (err, spanish?!), jenis tools scanning web service yang mengklaim diri nya sebagai salah satu yang tercepat dengan feature bruteforce untuk mendapatkan password-password pada mesin-mesin yang membuka management interface web (metode scan nya cukup unik, dan memang cepat).
Kami coba beberapa network di indonesia, salah satu nya adalah speedy. Dan tidak mengherankan, banyak modem yang diset dengan password default (banyak jenis modem, dan tools ini bisa mendapatkan password nya dengan customize secara lebih mudah). Menembus modem speedy adalah hal yang umum terutama di kalangan underground indonesia, dah bahkan jaman dulu banyak yang bisa memanfaatkan username/password dari koneksi-koneksi unlimited (warnet, kantor, dll). Untuk mencari username/password dari web interface modem speedy pun banyak di bahas oleh kalangan underground.
So?!berhubung telkom sudah menerapkan auth yang baru, tidak ada yang bisa kita lakukan walaupun mendapatkan akses ke modem unlimited seperti kantor?!
Jika mau jahat, bisa saja. Seperti yang kita ketahui, modem adsl memiliki feature DHCP, dan pada modem itu juga lah di set DNS server bagi komputer-komputer client dalam LAN nya. Dan jika sudah mendapatkan akses ke modem, apapun bisa kita lakukan. Termasuk di antara nya adalah mengganti informasi DNS.
Anggaplah kita memiliki suatu server (terserah, hasil crack ataupun memang server sendiri dengan IP Public), dan di server tersebut install DNS server. DNS server nya bisa menggunakan DNS biasa ataupun membuat nya sendiri secara sederhana, yang inti nya nanti bisa memberikan informasi palsu pada siapapun yang melakukan query pada DNS server ini.
Informasi palsu misal nya, untuk situs www.friendster.com memiliki IP address 209.11.168.113, kita ganti sehingga apabila ada query untuk www.friendster.com diredirect ke fake webserver (membuat tampilan friendster kan ndak susah ). Dengan begitu, apabila ada koneksi dari salah satu client di modem speedy, akan di re-direct ke DNS server palsu yang kemudian memberikan informasi bahwa www.friendster.com berlokasi di alamat palsu.
Inilah kelemahan dari salah satu design menggunakan DHCP server dan mungkin, kelemahan dari design internet yang mempercayakan DNS server untuk menunjukan alamat suatu website. Sekali DNS kita kuasai, maka query dari user bisa diarahkan kemanapun juga.
Skenario diatas cukup mudah kok dilakukan, apalagi jika kita bisa control query pada DNS server hanya untuk web-web tertentu (misal nya: klikbca?!), dan selebih nya diberikan pada authoritive DNS server yang lain namun status nya terbuka, seperti opendns . Dengan begitu, kita hanya akan men-sniff koneksi ke web server-web server yang sudah di persiapkan, sedangkan query untuk web server lain akan di handle opendns, hal ini membantu mengurangi kecurigaan pada client speedy yang tidak bisa membuka web server lain saat browsing. Dan jarang sekali orang melakukan troubleshooting dengan mengamati informasi DNS server pada DHCP configuration modem, biasa nya jika ada gangguan akan langsung menuju pada proses routing.
So?!untuk para engineer speedy atau bahkan pihak telkom sendiri, masih menganggap remeh default password yang dipasang pada modem speedy?!skenario diatas cuma basic, pengembangan nya bisa lebih luas…dan jika yang kena adalah modem speedy untuk kantoran, habislah berbagai macam password client anda, dan gak sulit untuk membuat halaman page palsu yang mengatakan “PASSWORD SALAH, ULANGI!!!” pada percobaan pertama, dan untuk percobaan kedua maka di re-direct langsung dari web asli nya sehingga si customer bisa login secara normal namun password nya sudah di-log pada percobaan pertama, paling dia hanya berpikir “sial, salah password!”.
Ah, easy to think evil…semoga saja untuk selanjut nya banyak yang lebih care untuk masalah default password terutama di modem, jangan lupa…bahkan hal kecil seperti XSS pun sudah mulai meng-kuatirkan saat ini, jangan pernah anggap remeh celah keamanan sekecil apa pun!!!.
Kami coba beberapa network di indonesia, salah satu nya adalah speedy. Dan tidak mengherankan, banyak modem yang diset dengan password default (banyak jenis modem, dan tools ini bisa mendapatkan password nya dengan customize secara lebih mudah). Menembus modem speedy adalah hal yang umum terutama di kalangan underground indonesia, dah bahkan jaman dulu banyak yang bisa memanfaatkan username/password dari koneksi-koneksi unlimited (warnet, kantor, dll). Untuk mencari username/password dari web interface modem speedy pun banyak di bahas oleh kalangan underground.
So?!berhubung telkom sudah menerapkan auth yang baru, tidak ada yang bisa kita lakukan walaupun mendapatkan akses ke modem unlimited seperti kantor?!
Jika mau jahat, bisa saja. Seperti yang kita ketahui, modem adsl memiliki feature DHCP, dan pada modem itu juga lah di set DNS server bagi komputer-komputer client dalam LAN nya. Dan jika sudah mendapatkan akses ke modem, apapun bisa kita lakukan. Termasuk di antara nya adalah mengganti informasi DNS.
Anggaplah kita memiliki suatu server (terserah, hasil crack ataupun memang server sendiri dengan IP Public), dan di server tersebut install DNS server. DNS server nya bisa menggunakan DNS biasa ataupun membuat nya sendiri secara sederhana, yang inti nya nanti bisa memberikan informasi palsu pada siapapun yang melakukan query pada DNS server ini.
Informasi palsu misal nya, untuk situs www.friendster.com memiliki IP address 209.11.168.113, kita ganti sehingga apabila ada query untuk www.friendster.com diredirect ke fake webserver (membuat tampilan friendster kan ndak susah ). Dengan begitu, apabila ada koneksi dari salah satu client di modem speedy, akan di re-direct ke DNS server palsu yang kemudian memberikan informasi bahwa www.friendster.com berlokasi di alamat palsu.
Inilah kelemahan dari salah satu design menggunakan DHCP server dan mungkin, kelemahan dari design internet yang mempercayakan DNS server untuk menunjukan alamat suatu website. Sekali DNS kita kuasai, maka query dari user bisa diarahkan kemanapun juga.
Skenario diatas cukup mudah kok dilakukan, apalagi jika kita bisa control query pada DNS server hanya untuk web-web tertentu (misal nya: klikbca?!), dan selebih nya diberikan pada authoritive DNS server yang lain namun status nya terbuka, seperti opendns . Dengan begitu, kita hanya akan men-sniff koneksi ke web server-web server yang sudah di persiapkan, sedangkan query untuk web server lain akan di handle opendns, hal ini membantu mengurangi kecurigaan pada client speedy yang tidak bisa membuka web server lain saat browsing. Dan jarang sekali orang melakukan troubleshooting dengan mengamati informasi DNS server pada DHCP configuration modem, biasa nya jika ada gangguan akan langsung menuju pada proses routing.
So?!untuk para engineer speedy atau bahkan pihak telkom sendiri, masih menganggap remeh default password yang dipasang pada modem speedy?!skenario diatas cuma basic, pengembangan nya bisa lebih luas…dan jika yang kena adalah modem speedy untuk kantoran, habislah berbagai macam password client anda, dan gak sulit untuk membuat halaman page palsu yang mengatakan “PASSWORD SALAH, ULANGI!!!” pada percobaan pertama, dan untuk percobaan kedua maka di re-direct langsung dari web asli nya sehingga si customer bisa login secara normal namun password nya sudah di-log pada percobaan pertama, paling dia hanya berpikir “sial, salah password!”.
Ah, easy to think evil…semoga saja untuk selanjut nya banyak yang lebih care untuk masalah default password terutama di modem, jangan lupa…bahkan hal kecil seperti XSS pun sudah mulai meng-kuatirkan saat ini, jangan pernah anggap remeh celah keamanan sekecil apa pun!!!.
Tidak ada komentar:
Posting Komentar