Isnin, 2 Ogos 2021

Tembok api aplikasi sesawang/Web Application Firewall(WAF) 101

Ini adalah pos yang diadaptasi dari rajutan Twitter saya.

Sebab ada impression lebih 200 orang. Aku akan mulakan bebenang Tembok Api Aplikasi Sesawang atau dalam Bahasa Inggeris, Web Application Firewall Rujukan istilah tembok api oleh PRPM DBP:
prpm.dbp.gov.my/Cari1?keyword=

Menurut Kamus Oxford, tembok api ini adalah sistem komputer yang menghalang pengguna tanpa izin mengakses maklumat sulit tetapi masih membenarkan mereka mengakses maklumat yang dibenarkan dan diizin.

oxfordlearnersdictionaries.com/definition/eng…

Ada pelbagai jenis tembok api mengikut OSI layer berapa. Ingat lagi tak nasihat saya untuk anda memahami seberapa banyak yang boleh mengenai OSI layer kalau anda berhasrat untuk terjun dalam bidang keselamatan maklumat(information security)?
Penjelasan mengenai OSI model di Wikipedia. Tapi saya rasa gambar kucing di bawah lebih membantu anda ingat susunan layer di dalam model OSI ini.

Image

Kalau anda berurusan dengan keselamatan sesawang seperti saya, anda akan lebih banyak kepada Transport layer ke atas(sehingga Application Layer). Untuk Network Layer anda sebagai ahli keselamatan sesawang akan berkongsi separuh tanggungjawab dengan ahli keselamatan rangkaian

Ok kita sambung kuliah WAF kita hari ni. Jadi, semua layer dalam OSI ni ada tembok api mereka tersendiri. Tembok api tradisional berfungsi untuk melindungi rangkaian pada lapis ketiga OSI. Tembok api tradisional ini fungsinya membuka dan menutup port.
Ini contoh rekabentuk tembok api tradisional. Anda sebagai firewall admin akan buka port yang penting seperti 80(HTTP), 8080(HTTP-alt), 443(HTTPS). Port 21(FTP), 23(Telnet), 3389(RDP/Remote Desktop) kita tutup.

Image

Banyak organisasi yang buka port RDP ke awam. Pakai katalaluan yang lemah pulak tu. Dapat kat penyerang, diorang la ni tak pacak cengkerang(shell) dah. Depa jalankan perisian tebusan terus. Nak pulak Windows server tu jugak tempat hangpa simpan sandaran(backup).
Ibarat hangpa cedera parah dijirus air garam pekat kaw-kaw. Pedihnya, sakitnya tuh di sini. Kalau perlu buka port RDP. Pastikan hanya boleh diakses melalui VPN atau allowlist IP yang dibenarkan sahaja.
Oh aku terlupa nak beritahu perisian tebusan itu adalah istilah Bahasa Melayu untuk ransomware.

Walaupun kita hanya buka port HTTP. Banyak peluang untuk penyerang melakukan cubaan serangan ke atas aplikasi sesawang. Cookie stealing/cookie tamper/curi biskut, Local/Remote File Inclusion, SQL Injection, Remote Code Execution dan lain-lain kerentanan aplikasi sesawang.


 Image

Kerentanan aplikasi sesawang == web application vulnerability.

Tembok api tradisional tidak dapat mengesan dan menangkis serangan aplikasi sesawang ini disebabkan peranti ini fokus kepada Network Layer OSI model.


Image

Senang cakap, WAF fungsinya menjadi barisan hadapan untuk menangani cubaan eksploitasi kerentanan aplikasi web oleh penyerang ke atas aplikasi sesawang sesebuah organisasi. WAF adalah contoh tembok api Application Layer OSI model

Gambar yang aku lampirkan ini adalah sebahagian dari slaid subjek hari ketiga Certified Incident Handling and Network Security Analyst(CIHNSA), Web Security (Keselamatan Sesawang).
Lawati cyberguru.my/web/guest/inci… untuk maklumat lanjut.

Saya tenaga pengajar untuk kelas hari ketiga ini. Dibantu oleh kohai saya yang rajin untuk redraw balik rajah dan figura berkualiti HD dan lebih enak mata memandang.
Ada 2 FAQ berkaitan WAF dan keselamatan sesawang yang biasa orang akan tanya.

1) Website saya ada SSL. Adakah saya selamat dari ancaman kerentanan aplikasi sesawang?

SSL tidak membantu langsung untuk mencegah kerentanan aplikasi web. Malah dalam sesetengah keadaan, menyukarkan lagi urusan menyiasat insiden pencerobohan ke atas laman sesawang.
TLS punya susu, SSL dapat nama. TLS 1.3 adalah standard terkini untuk HTTPS. protokol SSL versi 1 sampai 3 dah lama obsolete dan terkubur. Tujuan anda pasang TLS untuk mengelakkan trafik antara pelanggan dan pelayan sesawang anda diintip. Itu sahaja.

2) Saya dah pasang WAF ni, laman dan aplikasi sesawang organisasi saya ni dah selamat gila babi tembak pun tak matilahkan? Tak payahlah tampal/patch bug web app saya ni? It's not a bug, it's a feature. 😁

Hahahahahahahahahahahahhahaha 🤣😹🤣😅

Jawapannya, tentulah tak cukup. WAF ni bagi saya sekadar mencuri/membeli masa untuk anda tampal kesemua kerentanan aplikasi sesawang anda.
Saya nak kongsikan beberapa contoh WAF di pasaran. Antara yang terkenal adalah peranti keluaran Barracuda Networks dan F5. Namun, la ni boleh kata hampir kesemua tembok api dalam pasaran ada feature/module WAF. Ada yang siap ada Deep Packet Inspection dan SSL Interception lagi.

web.archive.org/web/2011041423…

Pos blog dari Barracuda sendiri pasal insiden ni.
Penyerangnya.

web.archive.org/web/2011041510…

Berdasarkan kajian kes Barracuda Networks Blind SQLi ni, walaupun kita ada WAF, aplikasi sesawang kita masih lagi boleh digodam bila penyerang dapat bypass atau WAF dimatikan untuk penyenggaraan laman sesawang.
An attacker bypass your web application firewall == Seseorang penyerang melangkaui tembok api aplikasi sesawang anda.
Kajian kes ini menjadi bukti bahawa tampalan keselamatan untuk aplikasi anda tidak terhad kepada aplikasi sesawang wajib menjadi keutamaan/prioriti/aula berbanding membeli peranti tembok api sesawang.
fdf tu pun dah bekerja di luar negara. 🙊
Khatamlah sudah bebenang tembok api aplikasi sesawang ini. Yang baik semuanya dari Yang Maha Mengetahui. Yang buruk dariNya jua namun majoritinya dari hamba Dia yang lemah lagi hina dina.

Isnin, 24 Mei 2021

Xiaomi Mi A2: Forum,sumber rujukan mengenai Mi A2 dan jargon Android yang anda wajib tahu (kemaskini 2021-06-08)

Assalamualaikum dan salam sejahtera,

Saya ingin berkongsi mengenai forum, pusat rujukan dan juga pusat sumber mengenai Xiaomi Mi A2. Kira macam cheatsheet la pos blog kali ni.

Pertama, tidak boleh tidak, forum Mi A2 di forum MIUI iaitu forum rasmi Xiaomi sendiri di sini.

Tempat muat turun(download) ROM rasmi Mi A2 ialah https://c.mi.com//miuidownload/detail?device=1700353



Bagi yang kurang biasa dengan forum XDA, mungkin anda akan rasa janggal dan tak tahu nak bermula dari mana untuk rujuk. Nasihat saya, untuk apa-apa model telefon, sila cari halaman "index". Contohnya untuk Mi A2, di sini

Anda juga boleh cari kumpulan mengikut model telefon pintar anda di Telegram. Sebagai contoh, saya nak cari grup Mi 11 Ultra, saya cari "Mi 11 Ultra" di ruangan gelintar Telegram.

Saya ingin jelaskan sedikit mengenai ROM, Recovery, Bootloader, Kernel, Root, Flash dan istilah/jargon lain  secara am dan kemudian khusus untuk Mi A2. Saya pasti yang ada sesetengah pengguna peranti Android kurang arif dan rasa janggal mahupun bingung dengan istilah-istilah atau jargon yang saya senaraikan tadi. Tak mengapa, saya terangkan satu persatu.

=[Jargon/Istilah]=

Flash

Ini bukan flash nak ambil gambar guna kamera. Pasang ataupun install sesuatu pakej ROM, driver, recovery, firmware dan lain-lain.

ROM

ROM yang dimaksudkan di sini adalah firmware untuk telefon pintar. Kira macam PC kita ada sistem operasi seperti Windows ataupun Linux. Untuk peranti pintar berasaskan Android ni, berasaskan Android OS. ROM asal dari Google dipanggil Stock ROM ataupun Google Play Edition. ROM  yang diubah suai dipanggil custom ROM. Kelebihan custom ROM adalah ia direka cipta oleh komuniti. Walaupun sesuatu model telefon pintar itu tidak lagi disokong secara rasmi, anda masih boleh gunakan custom ROM untuk kemaskini and tampalan keselamatan untuk peranti anda.

Recovery

Recovery adalah ROM kecemasan seumpama safe mode di Windows. Bila ada gangguan ataupun sesuatu yang tidak kena pada ROM utama, Mi A2 akan boot kepada Recovery secara automatik. Ada 2 custom Recovery yang popular iaitu ClockWork Mod (CWM) dan Team Win Recovery Project (TWRP). Secara peribadi saya menyukai TWRP dan menjadi sebahagian dari Siri Xiaomi Mi A2 ni.

Bootloader/Boot

Yang ini saya gunakan Xiaomi Mi A2 sebagai contoh.

Ada 4 jenis boot dalam Mi A2:

Fastboot


Fastboot ini adalah sebahagian dari bootloader. Dekat-dekat dengan safe mode di Windows tapi banyak bezanya. Anda boleh nyahkunci bootloader(unlock bootloader), flash recovery dan macam-macam lagi.

Recovery

Sebijik dengan safe mode di Windows sesuai dengan namanya 'Recovery' atau Pemulihan.

System boot

Apa yang anda nampak setiap kali anda hidupkan telefon pintar, inilah dia. Sistem operasi akan tersedia untuk anda dalam mod ini. Boleh jadi OneOS, OxygenOS, Android One, MIUI, ColorOS dan sistem operasi berasaskan Android yang lain.


EDL (phone selain Xiaomi nama lain)


Mod kecemasan. Biasanya tukang baiki telefon pintar je akses. Saya sendiri pun tak pernah sampai ke tahap ni untuk mengendalikan penyelenggaraan semua telefon pintar yang saya ada dan yang saya miliki.

Kernel


Kernel adalah nyawa ataupun jantung kepada sistem operasi (OS). Kebiasaanya kita sebagai pengguna Android jarang sekali usik kernel ni. Ramai yang flash kernel tersuai (custom kernel)


Root




Kalau yang biasa dengan OS berkaitan POSIX seperti Linux, FreeBSD, UNIX biasa dengar nama pengguna(username) root ini. Pengguna berkuasa tertinggi pangkat panglima dah ni, superuser biasa orang panggil.

Proses untuk menjadi superuser ni dipanggil rooting. Banyak manfaat kalau root ni. Anda boleh guna adblock yang berkesan macam AdAway. Pasang perisian sandaran Titanium Backup Pro. Godek tetapan di tahap sistem. Kalau anda rasa root ni tak perlu, saya tak galakkan root. Akan ada masalah untuk anda buka aplikasi perbankan dan app lain yang periksa sama ada fon anda telah di'root' atau tidak.

A/B Partition

Untuk Andoid One ada mod istimewa ni. Anda boleh ada sandaran sistem operasi sekiranya ada masalah dengan sistem operasi langgan di partition yang lain.

Brick

Ada 2 jenis

Soft brick

Kalau anda setakat tersilap flash perisian, recovery, ROM dan lain-lain. Anda boleh but fon anda ke bootloader atau recovery untuk membaiki masalah ini.

Hard Brick

Perkakas yang rosak. Dah cuba kenalpasti semua masalah soft brick. Semua solusi anda cuba tak jalan. Cari service centre kalau masih ada waranti. Cari kedai kalau waranti fon anda dah habis.

Bootloop

Telefon pintar anda boot semula berulang-ulang tanpa henti sampai Abang Jamil mampus. Boleh jadi telefon pintar anda soft brick.

=[Rujukan]=


https://www.xda-developers.com/what-is-custom-rom-android/

https://www.androidcentral.com/android-z-what-fastboot

https://www.androidcentral.com/what-recovery-android-z

https://forum.xda-developers.com/t/cannot-boot-into-edl-mode-on-mi-a2.3866481/

Khamis, 21 November 2019

Siri Xiaomi Mi A2: Pengenalan Kepada Peranti Xiaomi Mi A2 dan Projek AndroidOne

Assalamualaikum dan Salam Sejahtera,

Terlebih dahulu saya ingin memperkenalkan peranti Xiaomi Mi A2 ni terlebih dahulu. Mi A2 adalah peranti pertengahan yang dijana oleh AndroidOne iaitu ROM asal dari Google. Maklumat lanjut mengenai perkakasan boleh dirujuk di http://www.mi.com/my/mi-a2/ dan kalau anda minat ulasan, boleh tengok video Amanz https://amanz.my/2018174462/ . Saya tak nak ulas panjang sangat mengenai spesifikasi Mi A2 dan lebih berminat untuk fokus kepada Android One.



Apa itu AndroidOne?

AndroidOne dilancarkan oleh CEO Google, Sundar Pichai pada September 2014. Ia lebih memfokuskan peranti asas dan pertengahan dengan pengalaman Android sebenar tanpa perubahan besar oleh pengeluar telefon pintar. Ada banyak peranti lain sebelum Xiaomi Mi A2 seperti GM6 dan juga Sharp X1.

Xiaomi bekerjasama dengan Google untuk Mi A1 di mana pengumuman bersama model ini dibuat pada 5 September 2017.

Rujukan:

https://en.wikipedia.org/wiki/Android_One

http://www.mi.com/my/mi-a1/

http://www.mi.com/my/mi-a2/


Siri Xiaomi A2 (kemaskini 2021-04-18)

Assalamualaikum dan salam sejahtera semua pengunjung budiman,

Seperti yang dijanjikan, siri Xiaomi Mi A2 ini akan dijadikan asas dan batu loncatan untuk anda lebih selesa dengan ekosistem Xiaomi, AndroidOne dan Android sendiri. Saya masih rancang lagi kandungannya seperti dibawah:

Siri 1: Pengenalan kepada Xiaomi Mi A2 dan Pengenalan kepada projek Android One
Siri 2: Forum,sumber rujukan mengenai Mi A2 dan jargon Android yang anda wajib tahu
Siri 3: Pasang sendiri Android Debugger(ADB) dan Fastboot menggunakan Chocolatey (Windows)
Siri 4: Pasang sendiri Android Debugger(ADB) dan Fastboot menggunakan Apt (Linux Ubuntu)
Siri 5: Boot ke Recovery melalui Fastboot dan Pemasangan custom Recovery TWRP
Siri 6: Pasang sendiri Magisk untuk Root dan sorok Root dari Aplikasi Android yang semak Root/Superuser
Siri 7: Pemasangan custom Rom (Xiaomi.eu MIUI)
Siri 8: Pemasangan custom Kernel

Rabu, 13 November 2019

Masalah login screen Ubuntu 19.10 infinite loop



Kalau siapa ada masalah Ubuntu 19.10 desktop login  screen dah login username dan password betul tapi tak dapat login (infinite loop login screen)

Boleh spawn TTY terminal guna CTRL + ALT + F3

Login guna username dan password yang sama

Lepas tu boleh try reinstall gdm3

sudo apt purge gdm3
sudo apt install gdm3
sudo reboot

Kalau tak settle jugak macam saya kena

sudo apt purge gdm3
sudo apt install lightdm
sudo dpkg-reconfigure lightdm

Pakai lightdm je terus

Selasa, 29 Januari 2019

BORAK LINUX (kemaskini 2019-01-29)


Kalau nak tip bab driver dalam Linux ni

Kalau untuk wireless adapter, cari yang guna chipset ralink, atheros, qualcomm. Kebanyakan yang di pasaran banyak pakai Broadcom. Kebanyakan yang guna chipset Broadcom ni memang kena compile sendiri. Kalau dah auto-detect tu kira bertuah dan nasib baik lah.

Lagi satu kalau nak belajar guna Linux ni kena unlearn Windows. Linux bukan Windows. Anggap anda baru nak belajar guna komputer. Anggap Linux OS pertama komputer anda.
Kalau anda banyak guna perisian sumber terbuka di Windows, saya boleh kata hampir semua ada di Linux. Kalau takde, ada software lain yang lebih kurang boleh buat apa yang anda nak.

Selasa, 1 Mei 2018

Xiaomi Mi A1: Pengenalan kepada Xiaomi Mi A1 dan projek Android One

Assalamualaikum dan Salam Sejahtera,

Terlebih dahulu saya ingin memperkenalkan peranti Xiaomi Mi A1 ni terlebih dahulu. Mi A1 adalah peranti pertengahan yang dijana oleh AndroidOne iaitu ROM asal dari Google. Maklumat lanjut mengenai perkakasan boleh dirujuk di http://www.mi.com/my/mi-a1/ dan kalau anda minat ulasan, boleh tengok video Amanz https://amanz.my/video/ulasan-03/. Saya tak nak ulas panjang sangat mengenai spesifikasi Mi A1 dan lebih berminat untuk fokus kepada Android One.



Apa itu AndroidOne?

AndroidOne dilancarkan oleh CEO Google, Sundar Pichai pada September 2014. Ia lebih memfokuskan peranti asas dan pertengahan dengan pengalaman Android sebenar tanpa perubahan besar oleh pengeluar telefon pintar. Ada banyak peranti lain sebelum Xiaomi Mi A1 seperti GM6 dan juga Sharp X1.

Xiaomi bekerjasama dengan Google untuk Mi A1 di mana pengumuman bersama model ini dibuat pada 5 September 2017.

Rujukan:

https://en.wikipedia.org/wiki/Android_One

http://www.mi.com/my/mi-a1/

carian google