BlackHat Asia  2015 Report

3-28-2015 1-50-43 PMSalam jumpa rekan rekan semua, artikel saya kali ini akan bercerita mengenai petualangan saya di conference Black Hat Asia 2015 yang baru lalu.

Event Black Hat Asia 2015 kemarin ini digelar di Marina Bay Sand Expo, Singapore dari tanggal 24 sd 27 Maret 2015 lalu. Seperti yang kita ketahui bahwa conference Black Hat ini adalah conference kelas dunia untuk IT Security Proffesional dan tentunya para ( hacker :P) , sebenarnya ada 3 kawasan regional penyelenggaraan Black Hat 2015, untuk Asia di pusatkan di Singapore, untuk USA di Los Angeles ( Agustus 2015) dan Eropa di Amsterdam.

Sebelum datang kesaya saya lakukan pendafaran online, sekaligus memilih package yang akan saya ikuti, lagian kalau bayar onsite gak diterima dan bisa jadi lebih mahal. Nah setelah datang di lokasi kita bisa lakukan lagi registrasi , setelah itu kita akan di kasih bagde selama conference berlangsung.

Okey saya lanjut ya, pada tanggal 24 – 25 Maret 2015, event diisi dengan training training antara lain :

  • Adaptive Pentest
  • Asseing & Exploitation Control using Samuraistfu
  • Breaking & Hacking mobile Apps
  • Dark Side Ops
  • Fuzzing for Vulnerabilities
  • Hacking by Numbers
  • Intelligence Driven Security
  • Network Forensic
  • SDR

Tentunya kita bisa memilih salah satu, tidak mungkin bisa mengikuti semua training karena jadwalnya saling tumpeng tindih dan lagi berat dari segi tenaga, otak dan biaya. Sekali training bisa merogoh kocek sekitar 2500 – 3000 USD. Lepas daripada itu , bagi saya pribadi menarik yang training Dark Side Ops karena disini diajari membuat payload dropper, beaconing backdorr, escalate workstation & network without exploit, bypass IDS, IPS, SIEMS, Social Engineering, tunneling, proxying dll, pokoknya keren abis. Pengajarnya pun gak main main ada si Brady Bloxham., dia ini pengajar yang sering muncul di DEFCON, ISSA, ISACA dan juga di team offensive security, trainer keduanya di Bryce Kunz creator dari PwnOS tools untuk mengexploit Virtual Machine.

Pada tanggal 26-27 nah ini mulai dibuka tuh acara lain selain training yaitu

  • Briefing
  • Arsenal
  • Sponsor
  • Business Hall

Cukup padat sih acaranya karena dalam satu waktu yang bersamaan itu ada acara lain yang berlangsung di ruangan yang lain, jadi mesti milih milih mana yang kita sukai, kalau saya gak ikutan semua karena target saya adalah yang di bagian Arsenal, di Bagian Arsenal ini kita akan bertemu dengan developer tools yang “aneh aneh” secara dekat, bisa ngobrol langsung, bukan lagi seperti di hall dimana mereka  presentasi sedangkan kita duduk di kursi penonton dan mendengarkan si presenter bercuap cuap.

Di Arsenal ini cuma di isi 4 vendor dari setiap waktu ( sekitar 2 jam an lah) , hari pertama yang menarik adalah ketemu dengan Igor Boslakov developer linux Pentooo, linux ini diklaim lebih stabil dibanding Kali Linux, ngobrol banyak hal  tentang yang dia kerjakan di Pentoo. Lalu saya bertemua dengan tim yang membangun Nmap2Nessus, sebuah tools free untuk menjembatan dari Nmap ke Nessus.

Yang lain lagi ketemu dengan tim CAPTIPPER Scanner yaitu tools yang mendeteksi malicious http traffic, tim Secpod Scanner , semacam vulnerability scanner. Ada pula dengan OWASP Xenotic Xss Exploit Framework, tools ini digunakan untuk Advanced Cross Site Scripting vulnerability detectiom and exploitation framework.

Tanggal 27 nya acara arsenal yang menarik adalah MITMF Framework for Man in The Middle Attack dari Marcello Salvati dan Shinobot Suite dari Shota Shinogi, tools ini membuat exploit, downloader, uploader, decoy files, backdoor dll, keren deh pokoknya toolsnya

Kalau capek denger para master itu cuap cuap, bisa jalan ke business hall kayak pamerannya gitu, lumayan lah buat update technology dari vendor terkemuka, kemarin yang saya inget ada dari rapid7,tenable, cisco, Fortinet, Qualiyz, LogRhythm, Dell, Observer, RSA dll. Disamping itu mereka bisa kita minta in souvenirnya ,..hahahhah, ada tas, kaos, flashdisk, buku, pulpen, gantungan name tag, bahkan mug.

Yang paling lucu adalah sebenarnya saya datang sendiri ke event tersebut, berangkat dinihari, badan meriang pun nekat pergi, bela belain demi Black Hat Asia 2015,  memang sih disana saya juga sempet dengar kalimat dalam bahasa Indonesia yang menandakan mereka satu kebangsaan dengan saya, tapi yang mengesankan adalah ketika lagi jalan tanpa dinyana nyana saya bertemu dengan master alias suhu yang ngajarin saya mainan nge hack, sekaligus security analyst dan mentor saya saat saya ambil CEH , ECSA dan meracuni saya untuk ambil training offensive security ( OSCP), hahhaha, gilingan jadilah kita saling berceloteh dalam bahasa jawa yang kental sampai beberapa peserta BlackHat Asia lainya mengerutkan dahi ( mungkin mereka berpikir “ itu bahasa apa ya “ ) , hahhaha.

Bodo amat lah yang penting akhirnya si suhu ini malah membagikan beberapa ilmu ilmu lainnya, plus di traktir makan, thank you suhu !.

Overall event ini sangat luar biasa, ilmu , pengalamannya,, networking nya semakin membuat sadar bahwa dunia hacker, it security sangatlah luas, selalu masih kurang ilmu yang sudah didapatkan. Disisi lain ini juga membayar lunas kenekatan pergi sendiri, berpetualang dinegeri orang, segala sakit capek dll hilanglah sudah.

Saya berharap bisa mengikuti event Black Hat USA / Eropa 2015 di tahun ini juga , amin. Dan saya juga berharap suatu saat nanti event Back Hat Asia bisa diadakan di Indonesia biar semakin banyak orang Indonesia yang memiliki pengalaman dan pengetahuan sekelas dunia.

Foto fotonya disini ya 😉

This is Shinobo Suite in real action ( Arsenal Room Black Hat Asia 2015) , this tool for create an attack with few clicks, it can produce malware, exploit, uploader/ downloader, RAT, C&C Server, Stenography , DGA and moree, damn i love your tool Shotta Shinogi !
This is Shinobo Suite in real action ( Arsenal Room Black Hat Asia 2015) , this tool for create an attack with few clicks, it can produce malware, exploit, uploader/ downloader, RAT, C&C Server, Stenography , DGA and moree, damn i love your tool Shotta Shinogi !
WP_20150326_12_04_25_Pro
One of the presentation on Black Hat Asia 2015
WP_20150326_10_24_51_Pro
CapTipper by Omri Herscovici ( Arsenal Section)
IMG-20150327-WA0002
MITMF, framework for Man in the middle attack running in action by Marcello Salvati, still in Black Hat Asia 2015

 

Selfie
Selfie
WP_20150326_14_56_31_Pro
Ladies & Gentleman please welcome Mr Igor Bolshakov, developer of Pentoo Linux, one of the best Linux for Penetration Tester, its more stable than Kali Linux from offensive security. Lucky me i was meet him personally in this Black Hat Asia 2015.
Edy Susanto
Visit Website