Rekan-rekan Ysh, --- In ITCENTER@yahoogroups.com, Stephen Anwar <stephe...@...> wrote: > > > > 2010/12/13 Mamad <mamad.mi...@...> > > >> > > On 12/13/2010 01:51 PM, The Eye In The Sky wrote: >> > > social engineeringnya berarti belum mantap yah pak :D >> > > btw agak keluar dari topik, dari XecureIT sendiri mengembangkan software >> > > XecureBrowser yang based on firefox. >> > > Kira-kira dari rekan-rekan disini, ada yang sudah bisa memberikan >> > > komparasinya nggak ya? >> > > > > > > dari yg saya lihat produknya mungkin berguna untuk orang awam. buat pengguna
90% Betul ;) Memang sasaran utamanya pengguna ibank / payment gateway yang awam soal keamanan. Survey yang kami lakukan awal 2010 menunjukan 90% pengguna akan klik Yes/Continue saat muncul security warning :'( Bahkan dalam beberapa pentest yang kami lakukan, Security Admin-pun melakukan hal sama sehingga firewall-nya bisa kami "miliki". Karena seluruh firewall, IPS, router, switch, dll menggunakan self signing digital certificate, sehingga saat diakses browser akan mengeluarkan security warning. > > komputer savvy yg ngerti apa itu phishing, SSL certificate validty, > > trojan/spyware, produk ini tidak memberi nilai tambah. malah agak merepotkan Yang ini 10% benar ;) Kalau browser kita terkena MITB (man-in-the-browser), maka pengguna yang highly aware-pun akan tertipu, termasuk saya :'( Hal ini sudah dibuktikan oleh Zeus trojan. Untuk mengetahui seberapa powerful serangan MITB, kami mengembangkan firefox add-on di XecureIT Lab sebagai PoC. Hasilnya memang powerful bagi penjahat. Sehingga, sebagai nasabah ibank aktif, kami semakin termotivasi untuk menyelesaikan pembuatan XecureBrowser. Paling tidak bermanfaat untuk diri sendiri. Melakukan MITB amat mudah. Sehingga menggunakan XecureBrowser akan jauh lebih aman. Analoginya: Naik kendaraan pribadi kemungkinan terjangkit penyakit, dicopet atau dirampok jauh lebih kecil dibanding kendaraan umum. XecureBrowser juga memiliki self-integrity checking. Sehingga jika dia merasa dirinya bermasalah / "kurang sehat", XecureBrowser akan menolak untuk dijalankan. Karena portable, pengguna tinggal menghapus XecureBrowser tersebut dan meng-ekstrak lagi dari sumbernya. > > karena agak mengekang, e.g. website harus masuk whitelist supaya bisa > > dibrowse. > > Betul, keamanan >< kenyamanan. > > >> > > Karena asumsi saya, dengan teknologi SSL yang digunakan sudah bisa >> > > kelihatan mana yang asli dengan yang palsu. >> > > Terima kasih >> > > >> > > > > gak ada hubungannya. website phishing juga bisa pake SSL certificate yg > > valid dari CA ternama. > > Saya juga menulis artikel Ilusi keamanan SSL http://think.securityfirst.web.id/?p=1932 http://think.securityfirst.web.id/?p=1941 Buat info, besok kami akan merilis XecureBrowser versi 1.1. Semoga bermanfaat dan menjadikan kehidupan kita di dunia maya menjadi lebih aman. Salam, Gildas ------------------------------------ -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Gabung, Keluar, Mode Kirim : itcenter-h...@yahoogroups.com Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> Your email settings: Individual Email | Traditional <*> To change settings online go to: http://groups.yahoo.com/group/ITCENTER/join (Yahoo! ID required) <*> To change settings via email: itcenter-dig...@yahoogroups.com itcenter-fullfeatu...@yahoogroups.com <*> To unsubscribe from this group, send an email to: itcenter-unsubscr...@yahoogroups.com <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/