Temubual Eksklusif Bersama Pihak GaySec

Temubual Eksklusif Bersama Pihak GaySec

Diterbitkan pada July 25, 2011 oleh .

Akhir-akhir ini, nama GaySec semakin menjadi popular, dengan pendedahan kelemahan sekuriti beberapa laman terkemuka, termasuk pelepasan data oleh mereka kepada orang awam. Dan dengan itu, khas untuk pembaca Amanz, kami telah menjalankan sebuah temuramah ringkas bersama-sama mereka, dan kami akan memecahkannya kepada beberapa bahagian, dan membawakannya kepada anda sepanjang minggu ini.


Gambar Sekadar Hiasan [via]

GaySec terdiri daripada berapa ramai individu?

GaySec mempunyai 2 orang individu sahaja buat masa ini. GaySec tidak mempunyai ramai ahli kerana semua kawan-kawan kami sibuk dengan perkara lain. Selama ini kami hanya bergerak secara solo (keseorangan) sahaja di dalam dunia siber ini.

Boleh Amanz dapatkan nama panggilan untuk kedua-dua individu tersebut, ataupun hanya mengelarkan sebagai GaySec sahaja?

Kami risau kalau-kalau ada orang yang dapat mengenalpasti siapakah kami jikalau kami memberitahu “nama samaran” di internet ini. Jadi, gelarkan sahaja kami sebagai GaySec.

Kami telah beroperasi sejak beberapa tahun yang lepas, dan pernah mengemparkan Malaysia suatu ketika dahulu.

“Suatu ketika dahulu”? Boleh jelaskannya?

Ya. Beberapa tahun yang lepas, kami ada mengemparkan Malaysia dengan beberapa isu antara pengodaman negara jiran, dan lain-lain. Tetapi, maafkan kami kerana tidak dapat memberi tahu apakah isu berkenaan.

Boleh jelaskan kenapa memilih nama GaySec sebagai nama pilihan?

Oh ya. Mengenai nama gelaran GaySec itu, kami memilih nama GaySec kerana di dalam perkataan “Gay” itu ada maksud “happy” ataupun “gembira” dalam bahasa Melayunya. Gembira bagi kami adalah kami gembira melakukan ini semua, kerana setiap apa yang kami buat, kami telah cuba mengubah masa depan tahap keselamatan sesuatu laman web atau sistem itu di Malaysia. semakin kami, kami akan Gembira dengan melihat perubahan daripada apa yang terjadi hasil daripada yang kami lakukan ini semua. Jadi, kami Gembira melakukan semua, demi keselamatan laman sesawang negara Malaysia ini juga.

Bercakap mengenai web, ianya kelihatan yang mana para pengguna yang menggunakan Google DNS dan OpenDNS sahaja yang boleh mengaksesnya. Boleh jelaskan mengapa? Adakah ada kena mengena dengan sekatan SKMM?

Mengenai akses ke dalam laman sesawang http://www.gaysec.net/ mungkin juga ada kena mengena dengan SKMM, kerana tidak sampai satu hari kami melepaskan database Streamyx yang telah kami dump, kami mendapati laman sesawang gaysec.net telah di “redirect” kan kepada alamat ip 127.0.0.1 apabila di ping. Mungkin SKMM cuba untuk mengelakkan sesiapa sahaja daripada mengakses daripada laman kami kerana tidak mahu sesiapa memuat turun database yang telah kami dapat.

Dan, berkemungkinan kami akan mempunyai domain kedua suatu hari nanti untuk mengantikan GaySec.net. Nanti kami akan umumkan kepada umum apabila domain baru telah dilepaskan.

Bercakap mengenai Streamyx, boleh perjelaskan mengapa ianya ditarik balik dari GaySec? Adakah pihak Streamyx menghubungi pihak GaySec mengenainya?

Mengenai database Streamyx, kami menarik balik di atas sebab tertentu yang tidak dapat di elakkan. Itu sahaja. Kami tidak dapat memberi apa-apa ulasan mengenai perkara ini.

Buat masa ini, adakah anda hanya menguji laman sesawang di Malaysia sahaja, ataupun turut sama laman-laman antarabangsa?

Oh ya. Setakat ini, kami hanyalah mensasarkan laman sesawang daripada Malaysia sahaja, mungkin juga suatu hari nanti kami akan bergerak kepada laman sesawang di negara jiran kita mahupun luar negara. Alahualam. Kami ingin meneruskan motif dan objektif kami untuk terus menegakkan tahap keselamatan laman sesawang di Malaysia sahaja. Kami tidak mahu laman sesawang di pandang rendah dan dihina oleh luar negara.

Jadi, buat masa ini, secara rambangnya, GaySec telah menguji berapa buah laman sesawang tempatan? Adakah pemilik beberapa laman sesawang yang pernah diuji, pernah menghubungi GaySec?

Bercerita tentang itu, Selama kami melakukan ujian tahap keselamatan ke atas beberapa laman sesawang yang saudara nyatakan, tidak pernah sesiapa ataupun sistem admin pernah menghubungi kami. Kami sentiasa semak email kami jika terdapat sebarang pertanyaan atau dihubungi oleh sesebuah pihak yang telah kami uji tahap keselamatannya.

Mengapakah pihak GaySec mengeluarkan pangkalan data daripada laman yang digodam kepada para pengguna awam memandangkan ianya mungkin bersifat peribadi (privasi)?

Mengenai pangkalan data yang pernah kami dapat, kamu cuma akan melepaskan separuh ataupun suku daripada semua yang kami dapat sahaja. kami faham dengan data peribadi seseorang. Kami cuba akan melepaskan data yang mempunyai kata laluan dalam bentuk HASH dan perlu dilakukan penukaran ke dalam bentuk yang asal. Kami tidak akan melepaskan data peribadi yang sensitif seperti nombor telefon, kad pengenalan, alamat atau apa sahaja alamat peribadi yang bersifat sensitif.

Kami mengeluarkan kerana semata-mata untuk tunjukkan kepada sistem admin dan web master yang kami mampu menguji sesuatu sistem dan laman web itu sehinggalah kami dapat mencapai ke dalam pangkalan mereka. Kami perlu keluarkan bukti.

Kami melepaskan pangkalan data itu bukan kerana hendak menunjuk-nunjuk, tetapi hanyalah untuk memberikan kesedaran kepada pengguna sesuatu laman sesawang, sistem admin dan web master itu tentang keselamatan sendiri.

Jika kami mampu dapatkannya, bagaimana pula dengan orang lain yang lebih “hebat” daripada kami?

Berkenaan dengan laman-laman yang menjadi sasaran sehingga kini, bagaimanakah ianya dibuat? Adakah secara rawak ataupun bagaimana?

Kami hanya mensasarkan kepada dalam sesuatu laman sesawang yang patut kami memperjelaskan tentang ujian tahap keselamatan laman sesawang itu sedar tentang tahap keselamatan yang selalu digunakan oleh mereka.

Jika kami tidak melakukannya, kami takut jika suatu hari nanti ada orang akan pergunakan sesuatu laman sesawang itu untuk melakukan perkara yang tidak baik dan perkara yang tidak dapat dielakkan.

Selama ini, jika kami mendapat kelemahan keselamatan disesuatu laman sesawang, kami emailkan kepada sistem admin dan webmaster, tetapi tiada respon yang kami terima. Kami agak kecewa kerana tidak menitik beratkan tentang keselamatan laman sesawang tersebut.

Bagaimanakah anda masuk kesesuatu sistem? Guna tools atau command line atau perkara lain?

Tentang bagaimanakah kami memasuki sistem atau sesuatu laman sesawang itu, kami tidak menggunakan apa-apa alatan untuk melakukannya. Kami hanya melakukan secara manual dan mungkin kami akan menggunakan alatan yang telah kami cipta sendiri untuk mempermudahkan kerja kami ketika melakukan ujian keselamatan ke atas sesuatu sistem atau laman sesawang itu. Kami tidak mengharapkan kepada alatan kerana kebanyakkan alatan yang telah kami gunakan banyak membawa kami kepada “false positive” dan keputusan yang tidak betul.

Sebagai contoh, kami tidak pernah sekali pun menggunakan perisian dan alatan yang bernama “nessus”, kerana kami tidak mengharapkan kepada perisian/alatan yang telah siap. Kami rasa dengan manual kami akan mendapat keputusan yang jauh lebih baik untuk menguji sesuatu tahap keselamatan di sesuatu sistem atau laman sesawang itu.

Adakah semua ahli GaySec daripada latar belakang IT dan bekerja? Ataupun masih pelajar lagi?

Kami masih lagi belajar, dan kami masih lagi tidak bekerja, lagipun kami masih lagi belasan tahun. Kerana itulah kami mempunyai banyak masa lapang untuk melakukan ini semua.

Selama ini kami tidak ada kena mengena dengan latar belakang dunia IT pun, kami hanyalah manusia biasa yang belajar semua ini kerana minat dan ingin tahu bagaimanakah sesuatu sistem itu berfungsi. Daripada situ kami dapat manipulasikan semua ini untuk digunakan dalam konsep ujian tahap keselamatan sesuatu laman sesawang ataupun sistem itu.

Kini, ianya boleh diperkatakan semestinya pihak GaySec mempunyai beberapa data web-web lain dalam simpanan. Boleh kami ketahui berkenaan dengan web-web tersebut?

Buat masa sekarang, kami tidak akan melepaskan apa-apa lagi maklumat tentang ini. Tetapi ada lah beberapa laman sesawang yang popular di Malaysia ini, contohnya adalah Domain Provide di Malaysia ini.

Mynic?

Tidak boleh diberitahu buat masa sekarang.

Adakah ahli kumpulan GaySec mempunyai hubungan dengan kumpulan lain seperti RileksCrew dan LuvSec?

Tidak, kami tidak pernah terlibat dengan mana-mana kumpulan lain seperti RileksCrew, LuvSec dan lain-lain. Selama ini kami hanya begerak dalam keadaan SOLO didalam dunia internet di Malaysia ini. Kami tidak pernah terfikir untuk menyertai semua kumpulan tersebut. Kerana sejak dari dahulu sampai la sekarang, motif dan objektif kami wujud didalam dunia siber ini hanyalah semata-mata untuk meningkatkan tahap keselamatan di sesuatu sistem atau laman sesawang itu.

Selalunya, apakah jenis kelemahan yang anda jumpa pada sesuatu sistem ataupun laman sesawang?

Kebiasaannya, kami banyak menjumpai banyak kelemahan dengan tahap keselamatan kata laluan. Kebanyakkan selalu kami dapat kami hanyalah meneka kata laluan yang berada pada aras yang rendag, seperti 123, 1234 dan lain-lain. Kedua, fail simpanan (backup) yang lama disimpan didalam tempat seseorang itu boleh mencari dan meneka nama fail ataupun sesebuah folder itu.

————–

Sebahagian lagi daripada temubual yang kami lakukan bersama-sama dengan pihak GaySec mungkin kami akan keluarkan dalam tempoh beberapa hari lagi. Pada masa yang sama, sekiranya anda mempunyai sebarang persoalan yang ingin kami ajukan kepada pihak GaySec, tinggalkannya pada kotak komen, dan kami akan cuba mendapatkan maklumbalas mereka.


TIPS & ULASAN