Tips

Bengkel Penarafan Portal / Laman Web 5 Bintang Peringkat Negeri Pulau Pinang 2010

Pejabat Setiausaha Kerajaan Negeri dengan kerjasama MAMPU dan MDeC telah mengadakan Bengkel Penarafan Portal / Laman Web 5 Bintang bertujuan mempertingkatkan pencapaian portal / laman web jabatan / agensi negeri dalam Malaysia Government Portals / Websites Assessment (MGPWA) pada tahun 2011.

Slaid pembentangan adalah seperti berikut:-

  1. State Analysis oleh Pn. Gayah Gulam Haidar
    2. Criteria & Scoring of MGPWA 2010 oleh Cik Azurah Ibrahim
    2. Technical Knowledge Sharing oleh En. Mohd Husnee Safee
    3. Garis Panduan Laman Web Portal Sektor Awam oleh Cik Mas Ayu Md. Ghazali

 

-----------------------------------------------------------------------------------------------------------------------------------------------------------------

Amalan Terbaik Laman Facebook Sektor Awam

Muat turun amalan terbaik Laman Facebook bagi Sektor Awam.
1. Best Practices
2. Facebook Pages Guide
3. Pages Manual

----------------------------------------------------------------------------------------------------------------------------------------------------------------

Perakuan Untuk Ditandatangani Oleh Mereka Yang Bukan Penjawat Awam/Pakar Perunding Berkenaan Dengan Akta Rahsia Rasmi 1972 (Akta 88)

Untuk makluman, pihak Ketiga (Kontraktor/Pembekal) yang berurusan dengan Jabatan/ Agensi tuan/puan perlu menandatangani Borang Perakuan Bagi Bukan Penjawat Awam/ Pakar Perunding Akta Rahsia Rasmi 1972 (Akta 88) sebelum melaksanakan sebarang kerja-kerja. Adalah disyorkan borang ini diedarkan dalam Mesyuarat Kick-Off bersama pihak kontraktor/ pembekal berkenaan untuk ditandatangani. Ini adalah selaras dengan panduan yang digariskan dalam Dasar Keselamatan ICT Negeri.

Klik untuk muat turun borang berkenaan.

Sumber : Pejabat Keselamatan Kerajaan Malaysia Negeri Pulau Pinang.

----------------------------------------------------------------------------------------------------------------------------------------------------------------

Emel 'Phishing'/ 'Spoofing'

Hasil pemerhatian dan analisa, didapati teknik serangan popular masa kini adalah emel phishing dan emel spoofing (penyamaran). Teknik ini merupakan teknik untuk mengumpan pengguna-pengguna emel membuka malicious fail yang dikepilkan atau klik link laman yang disertakan bagi membolehkan penyerang memasukkan perisian backdoor tanpa disedari oleh pengguna. Kesan serangan ini adalah seperti berikut :

i. PC pengguna boleh ditawan/ disalahgunakan.

ii. Kecurian/ kebocoran maklumat.

Berikut merupakan tanda emel yang berunsurkan teknik tersebut :

i. Nama dan emel address penghantar meragukan. Contoh : Nama penerima "penang.gov.my". Untuk makluman, penang.gov.my bukan satu support team daripada PTMKN dan tidak wujud.

ii. Jika kita ingin reply emel berkenaan dan dapati di ruangan "To:" secara automatik diletakkan alamat emel pengguna itu sendiri.

iii. Nama penghantar lain tapi alamat emel penghantar adalah diri sendiri.

iv. Emel yang diterima dari bank. Seperti kit sedia maklum bahawa bak tidak akan menghantar emel untuk pengesahan maklumat/ akaun melalui emel.

Klik untuk muat turun contoh-contoh emel phishing. Sebarang keraguan berkaitan emel yang diterima boleh terus laporkan kepada pegawai ICTSO Jabatan atau mendapatkan khidmat nasihat daripada Pusat Teknologi Maklumat dan Komunikasi Negeri. Adalah dinasihatkan agar berhati-hati dalam membuka atau membaca emel yang meragukan sumber atau pengirimnya.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Sun ODF Plugin

  • The Sun ODF Plugin for Microsoft Office gives users of Microsoft Office Word, Excel and PowerPoint the ability to read, edit and save to the ISO-standard Open Document Format (ODF).
  • The plugin works with Microsoft Office 2007 (Service Pack 1 or higher), Microsoft Office 2003, XP and Microsoft Office 2000.
  • The plugin is based on StarOffice technology and is easy to setup and use, the conversion happens transparently and the additional memory footprint is minimal.
  • Click here to download The Sun ODF Plugin.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Security Alert/ Advisory

Kelemahan pada Joomla! CMS versi 1.6.X dan Joomla! CMS versi 1.7.0

Merujuk kepada perkara di atas dan Nota Makluman daripada GCERT MAMPU bertarikh 28 Sept 2011.

Untuk makluman tuan/puan, terdapat kelemahan pada aplikasi Joomla! CMS versi 1.6.x dan versi 1.7.0 di mana penceroboh dapat mengubah kandungan URL dan seterusnya mengeksploit kelemahan-kelemahan seperti Cross Site Scripting (XSS) dan Information Disclosure.

Tindakan Pengukuhan:

i. Pengukuhan ke atas server web.

ii. Menaiktaraf aplikasi Joomla! berdasarkan lampiran yang disertakan dengan SEGERA.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Kelemahan pada Joomla! CMS versi 1.6.3

Merujuk kepada perkara di atas dan emel Nota Makluman daripada GCERT MAMPU bertarikh 30 Jun 2011.

Untuk makluman tuan/puan, terdapat kelemahan pada aplikasi Joomla! CMS versi 1.6.3 dan versi sebelumnya di mana penceroboh dapat mengubah kandungan URL dan seterusnya mengeksploit kelemahan-kelemahan seperti Cross Site Scripting (XSS), Unauthorized Access dan Information Disclosure.

Tindakan Pengukuhan :

i. Pengukuhan ke atas server web.

ii. Menaiktaraf aplikasi Joomla! CMS berdasarkan lampiran yang disertakan.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Notis Amaran: Ancaman Serangan Siber Kedua ke atas Server Kerajaan

Merujuk kepada perkara di atas dan emel Notis Ancaman daripada GCERT MAMPU bertarikh 27 Jun 2011.

Untuk makluman tuan/puan, GCERT MAMPU telah mendapat maklumat terkini berkenaan perancangan sekumpulan hacker untuk melancarkan serangan siber kali ke-2 ke atas server-server kerajaan (domain .gov.my) pada 4 Julai 2011.

Jenis serangan/ancaman :

i. SQL Injection

ii. Cross Site Scripting (XSS)

iii. Local File Inclusion (LFI)

iv. Remote File Inclusion (RFI)

Tindakan Pengukuhan :

i. Penggunaan mod-rewrite pada Apache Web Server. Klik disini untuk muat turun panduan mengaktifkan mod_rewrite.

ii. URL Scan pada IIS. Klik disini untuk muat turun panduan mengaktikan URL Scan.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Notis Ancaman: Ancaman Serangan Siber ke atas Server Kerajaan

Merujuk kepada perkara di atas dan emel Notis Ancaman daripada GCERT MAMPU bertarikh 14 Jun 2011.

Untuk makluman tuan/puan, GCERT MAMPU telah mendapat maklumat berkenaan perancangan sekumpulan hacker untuk melancarkan serangan siber ke atas server-server kerajaan (domain .gov.my) pada 15-17 Jun 2011.

Tindakan Pengukuhan :

i. Mengaktikan Intrusion Prevention System (IPS) dan membuat pemantauan rapi terhadap aktiviti/trafik rangkaian;

ii. Membuat semakan konfigurasi firewall bagi memastikan ianya hanya membenarkan perkhidmatan (port) yang dibenarkan sahaja;

iii. Memasang Security Patch pada semua server dan peralatan rangkaian; dan

iv. Memastikan perisian anti-virus dikemaskini dan diaktifkan.

v. Mengaktifkan mod_security pada server web Apache (MS Windows). Klik di sini untuk muat turun panduan mengaktifkan mod_security.

------------------------------------------------------------------------------------------------------------------------------------------------------------

Notis Ancaman Keselamatan ICT Terhadap Perkhidmatan Server E-mel Agensi

Merujuk kepada perkara di atas dan notis daripada GCERT MAMPU bertarikh 21 April 2011.

Untuk makluman, GCERT MAMPU telah mengesan beberapa insiden keselamatan ICT ke atas perkhidmatan server e-mel agensi Sektor Awam. Analisis MAMPU menunjukkan wujud kelemahan terhadap konfigurasi relay pada server emel dan kelemahan terhadap kata laluan e-mel pengguna. Ini telah mengakibatkan server e-mel agensi digunakan sebagai launching pad bagi menghantar e-mel palsu serta penyamaran menggunakan akaun e-mel pengguna di agensi yang berkenaan.

Tindakan Pengukuhan :

i. Disable open relay pada konfigurasi server e-mel

ii. Disable authenticated relay pada konfigurasi server e-mel (atau hanya membenarkan domain tertentu jika agensi mempunyai pelbagai nama domain)

iii. Mengemaskini security patches pada server e-mel

iv. Menukar kata laluan pengguna e-mel mengikut tatacara MyMIS (12 aksara + gabungan simbol, huruf dan nombor)

v. Menggunakan Sijil Digital dalam urusan e-mel.

  1. untuk muat turun panduan menutup Open Relay kepada server e-mel boleh dirujuk kepada http://www.mail-abuse.com/an_sec3rdparty.html. Semakan konfigurasi relay di server e-mel boleh dilaksanakan dengan menggunakan online tools di http://www.checkor.com dan http://www.spamhelp.org/shopenrelay/.

Adalah disarankan pentadbir server e-mel membuat pemeriksaan dan pengukuhan secara berkala terhadap konfigurasi server e-mel bagi mengurangkan ancaman pencerobohan.

---------------------------------------------------------------------------------------------------------------------------------------------------------

 

 

How To

How To Harden Your Web Server

Terdapat beberapa langkah yang boleh diambil untuk melakukan Apache Hardening dan IIS Hardening bagi memastikan keselamatan web server anda. Sumber diperolehi daripada Mesyuarat UGM Bil 1/2009 anjuran MAMPU pada 7 April 2009.

1. Apache Hardening.

2. IIS Hardening and Steps to be taken.

-----------------------------------------------------------------------------------------------------------------------------------------------

How to Check and Prevent SQL Injection and Cross Site Scripting

Trend ancaman keselamatan ICT masa kini banyak melibatkan serangan SQL Injection dan Cross Site Scripting. Sehubungan itu, MAMPU dengan kerjasama PRISMA dan SCAN Associates telah memberikan panduan melaksanakan serangan serta langkah pencegahan dalam SQL Injection dan Cross Site Scripting. Langkah ini amat berguna kepada pentadbir-pentadbir sistem bagi menyemak samada laman web agensi anda mempunyai kelemahan terhadap serangan-serangan tersebut. Untuk maklumat lanjut, boleh hubungi Unit Keselamatan dan Pangkalan Data, Pusat Teknologi Maklumat dan Komunikasi Negeri.

-----------------------------------------------------------------------------------------------------------------------------------------------

Convert Fail Ke PDF

Perisian yang boleh digunakan untuk tujuan ini ialah PDFCreator(percuma).Ia digunakan seperti printer di dalam Ms Word,Ms PowerPoint atau mana-mana aplikasi Windows yang lain. Contoh penggunaan di dalam Ms Word (kaedah ini juga terpakai untuk semua perisian lain).

  1. Buka fail untuk dijadikan PDF format
  2. Pergi ke File > Print
  3. Klik pada drop down menu dibawah Printer,dan pilih PDFCreator
  4. Tekan OK untuk teruskan.

Perisian ini boleh didapati di bawah ruangan Muat Turun

(Hanya pengguna level Administrator sahaja boleh memasang perisian ini)

 

More Articles ...