Mesin keamanan pada umumnya berfokus pada pencegahan intrusi dan isolasi, tetapi saya memulai proyek ini setelah memikirkan sebuah sistem pertahanan asimetris bergaya tarpit yang, pada saat peretas mencoba melakukan serangan, memanfaatkan balik logika serangan mereka untuk menguras sendiri sumber daya komputasi mereka hingga hancur dengan sendirinya.
Berbasis core engine C++, saya telah menyusun kerangka awal mesin keamanan aktif, Physical Ghost, yang memancing dan melacak proses serangan peretas lalu pada akhirnya menginduksi OOM (Out of Memory).
Konsep inti dan alamat aplikasinya ada di https://zenodo.org/records/19988807 .
Pembuktian matematis dan sistem aksiomanya saya rangkum di https://zenodo.org/records/20113591 . (Ini adalah analisis kedalaman informasi yang memanfaatkan pengodean P-adik pada koefisien binomial dan teorema Kummer.)
Susunan arsitekturnya adalah sebagai berikut.
Isolasi absolut: Begitu koneksi ke port umpan (honeypot) terdeteksi, mesin segera mengisolasi dirinya menggunakan akun hantu dengan hak akses minimum untuk secara mendasar memblokir penyebaran ke sistem utama.
Pelacakan phantom: Sidik jari jaringan diekstrak secara asinkron, lalu informasi penyerang segera dikirim ke luar (Telegram/Discord) tanpa menurunkan performa mesin.
Fungsi inti (pelelehan komputer): Pada saat peretas menempelkan debugger ke data umpan untuk analisis/dekripsi, struktur tetrahedron Sierpinski berbasis p-adic Carry Dynamics akan aktif. Data mengembang secara rekursif di dalam memori musuh dan pada akhirnya menghabiskan sumber daya CPU/RAM.
Penghancuran diri: Jika integritas core engine terdistorsi bahkan hanya 0,1 byte, proses akan dihentikan sendiri (Self-Destruct), sehingga mencegah situasi di mana mesin berubah menjadi trojan horse.
Status saat ini: Saat ini saya sedang menulis GitHub sambil mengimplementasikan kerangka logika pertahanan inti dan modul autentikasi lisensi. Saya juga secara paralel melakukan verifikasi silang matematis terhadap logika ekspansi memori fraktal serta porting ke core C++.
Saya ingin mendengar masukan tajam dari orang-orang yang tertarik pada pendekatan yang melampaui pola keamanan terstandarisasi yang ada, yaitu memanfaatkan balik niat serangan dan sumber daya komputasi milik penyerang. Khususnya, jika Anda memiliki pendapat tentang pengendalian kompleksitas komputasi menggunakan struktur topologis p-adik, hal itu akan sangat membantu dalam penyempurnaan mesin ini. Terima kasih.
34 komentar
Apakah ini benar-benar istilah teknis yang bermakna?? Sepertinya ada banyak ungkapan yang dibuat terlalu bombastis dan tidak perlu.
Rasanya mirip dengan Show GN: Saya mengembangkan VANI yang menghapus permanen data dengan meruntuhkan struktur vektornya secara matematis yang sempat muncul beberapa waktu lalu, jadi terlihat agak negatif...
Saya juga langsung teringat ini, jadi saya cari GitHub dari tulisan tersebut, dan akhirnya berujung
not found/Terima kasih atas masukannya!
Sejujurnya saya juga melanjutkan riset ini dengan bantuan AI, jadi mungkin terasa seperti hasil "klik-klik AI"...
Untuk sekarang saya sedang mengerjakan proses porting ke C++, dan kalau sudah selesai akan saya bawa lagi ke sini.
Terima kasih atas masukannya!
Ini adalah upaya untuk mengangkat metode tarpit dari level jaringan ke memori dan level aplikasi.
Untuk tetrahedron Sierpinski atau struktur fraktal, saya memang tidak punya istilah yang pas untuk menjelaskannya, jadi mau tidak mau saya unggah seperti yang tertulis di whitepaper; mohon maaf. Di sisi lain, juga rasanya kurang tepat kalau ditulis sebagai infinite loop atau menyemburkan data sampah..
Kalau Anda melihat whitepaper tentang pembuktian matematis dan sistem aksioma di atas, ini memang memiliki bentuk ultrametric tree sehingga ketika melewati nilai ambang tertentu, strukturnya berekspansi secara rekursif. Namun, saya akan berterima kasih jika dipahami bahwa ini dimaksudkan untuk menyebut algoritma memory bomb yang mengembang dengan self-similarity seperti tetrahedron Sierpinski ketika alat reverse engineering milik peretas menggali kedalaman data!
Maksud Anda, setiap kali alat reversing apa pun mencoba melakukan debugging, akan ada eksekutor lain yang berjalan secara mandiri? Kalau Anda coba melakukan reversing, jika informasi header file-nya sejak awal bukan dalam format yang sudah ditentukan, maka seperti yang Anda katakan, pada dasarnya mustahil bisa beroperasi seperti itu...
Terima kasih atas masukannya
Sejujurnya saya benar-benar tidak terpikir soal itu, informasinya sangat bagus, terima kasih
Saat saya tanyakan ke AI, jawabannya seperti ini
"Inti anti-reversing dari Physical Ghost SW Edition ada pada 'cara perkembangan setelah loader memuat kode ke memori'. Jika program biasa dibongkar dengan debugger (IDA, Ghidra, dll.), yang terlihat adalah alur instruksi assembly yang linear, tetapi arsitektur yang diusulkan memiliki alur eksekusi itu sendiri yang terjalin dalam struktur 'carry pyramid (topologi fraktal multidimensi)'."
"Jika tool reversing melakukan dump memori atau memasang breakpoint lalu mencoba tracing (single-stepping), aliran operasi struktural ini (dinamika carry p-adic) akan terputus. Artinya, 'tindakan observasi' untuk memaksa membedah struktur dari luar itu sendiri memicu retakan topologis berbentuk tetrahedron Sierpinski, sehingga data atau kode aslinya dirancang runtuh menjadi noise yang tidak bermakna; ini adalah mekanisme obfuscation dan pertahanan intrinsik."
Berkat Anda saya jadi belajar satu hal, terima kasih!
Maksud Anda, hanya dengan mencoba mengamati data yang dienkode dengan mesin keamanan tersebut, ia akan berjalan dengan sendirinya lalu meruntuhkan dirinya sendiri atau menghabiskan sumber daya peretas? Maksud saya, saya ingin mengatakan bahwa itu tidak mungkin....
Maaf atas keterlambatan jawabannya!(__)
Jika Anda menganggap observasi sekadar sebagai tindakan melihat data statis yang diam dengan mata, memang benar hal ini tampak mustahil. Namun, observasi di dunia digital selalu melibatkan interaksi yang memberi stimulus pada sistem target.
Mesin keamanan ini bukan file statis, melainkan arsitektur dinamis yang bekerja secara real time dengan menjadikan tindakan penyerang yang mencoba melakukan observasi, atau permintaan itu sendiri, sebagai nilai masukan-Trigger-. Pada saat observasi dicoba, loop internal dijalankan untuk melumpuhkan kontinuitas logis data, lalu secara paksa menahan sesi penyerang yang menunggu untuk menyelesaikan observasi agar menghabiskan sumber daya.
Dan akses pengguna yang memiliki otoritas normal-sesi yang telah menyelesaikan handshake-langsung lolos tanpa melewati filter tarpit melalui mekanisme autentikasi. Area tempat kolaps mandiri dan konsumsi sumber daya terjadi saat observasi hanya berada di ruang data umpan tervirtualisasi-Decoy-yang ditempatkan semata-mata untuk menyaring pengintaian tanpa izin dan permintaan pemindaian yang tidak diizinkan. Ini adalah arsitektur pertahanan dinamis presisi yang tidak memberi dampak bahkan 1% pun pada sumber daya layanan normal, dan hanya mengisolasi sesi penyerang untuk menjebaknya di rawa.
Apakah Anda menjawab setelah memahami bagaimana hal itu bisa dilakukan? Di atas Anda mengatakan saat mengamati data yang terenkripsi, tetapi dalam jawaban Anda Anda mengatakan mesin keamanan mendeteksinya dan bekerja berdasarkan itu, benar? Namun, apakah peretas akan melakukan dekripsi di server jarak jauh tempat mesin keamanan tersebut berjalan? Mereka kemungkinan akan mengekspor data ke luar lalu mencoba mendekripsinya di lingkungan terisolasi, tetapi di lingkungan ini mesin keamanan yang Anda sebutkan bahkan tidak dimuat ke memori, jadi apakah mungkin mesin itu bekerja dengan observasi tersebut sebagai pemicu? Atau maksud Anda, pada semua data yang dienkripsi, Anda juga menyertakan mesin keamanan dalam bentuk yang dapat dieksekusi?
Saya ini ngomong apa sih, konteksnya nol ya. Maaf..
Untuk tulisan seperti ini, apakah tindakan berkomentar secara serius itu sendiri justru berdampak buruk bagi komunitas..
Pendekatan matematisnya terasa segar, tetapi pada arsitektur komputer modern, ini nyaris mustahil.
Kesan
code slopyang “dibuat” dengan memanfaatkan jenis Openclaw terasa sangat kuat.Terima kasih atas pendapat Anda!
Aduh wkwk
Rasanya seperti Digital Fortress.
Namun, secara teknis saya tidak memahaminya.
Apakah hanya perasaan saya, atau kalimatnya memang terlihat berantakan?
Terima kasih atas masukannya, saya akan mencoba menyempurnakan kalimatnya sedikit lagi!
Kalau integritasnya rusak, bagaimana cara mendeteksinya..
Terima kasih atas masukannya
Berbeda dengan verifikasi integritas konvensional yang menggunakan metode datar dengan mencocokkan nilai hash data secara satu banding satu, Physical Ghost memetakan data ke tetrahedron Sierpinski 3 dimensi lalu memprosesnya. Jadi penilaiannya didasarkan pada stabilitas struktural.
Jawaban AI berbunyi, "Jika ada perubahan bahkan hanya 1 bit pada data di dalam sistem, kesalahan kecil itu akan diperbesar secara berantai ke seluruh struktur 3 dimensi oleh dinamika carry p-adic. Pada saat penyerang memanipulasi data, 'bangunan matematis (topologi)' yang dibentuk oleh data itu sendiri akan bergeser dan runtuh, sehingga kerusakan integritas dapat segera dideteksi melalui retakan pada topologi ini."
Saya juga lumayan pernah mengerjakan parsing struktur PE, RE, Ghidra, dan pengembangan driver, tapi saya tidak memahaminya.
Terima kasih atas masukannya
Ini mungkin karena, berbeda dari hal seperti hooking pada sistem yang sudah ada, algoritmenya sendiri disusun dengan obfuscation atau enkripsi.
Sejujurnya saya tidak yakin... maaf.
Pendekatannya menarik, jadi saya ingin bertanya tentang beberapa hal.
Pemicu ekspansi memori tampaknya bergantung pada asumsi bahwa "penyerang benar-benar mengeksekusi/melakukan debugging payload", tetapi jika pendekatannya lebih berfokus pada analisis statis atau dijalankan di dalam sandbox pembatas sumber daya seperti cgroups, Firejail, atau gVisor, maka OOM akan terjadi hanya di dalam sandbox, bukan di host. Saya penasaran bagaimana kasus ini ditangani.
Jika pemicu anti-debug juga merupakan deteksi berbasis ptrace, maka di hadapan hardware breakpoint atau debugging level hypervisor tidak akan meninggalkan jejak. Apakah ada desain respons tersendiri untuk skenario analisis pada lapisan seperti ini?
Anda mengatakan bahwa "jika terdistorsi bahkan 0.1 byte pun akan menghancurkan diri", tetapi saya ingin tahu bagaimana Anda mencegah jalur bypass seperti menambal rutin pemeriksaan integritas itu sendiri atau melakukan dump memori lalu menganalisisnya secara offline!
Perilaku yang secara aktif menguras sumber daya penyerang pada praktiknya tampak bisa termasuk hack-back, jadi saya ingin tahu bagaimana Anda merapikan batas hukum pertahanan aktif menurut Undang-Undang Jaringan Informasi dan Komunikasi! (Terutama jika trafik serangan melewati botnet, bisa jadi ada korban sebenarnya yang terpisah.)
Core engine C++ itu sendiri tampak menanggung parser port umpan, pengekstrak sidik jari, hingga kanal pengiriman keluar, sehingga permukaan serangannya terlihat cukup besar. Dengan cara apa Anda memverifikasi stabilitas memori engine itu sendiri? Saya juga penasaran soal bagian rahasia seperti token Webhook yang mungkin masuk ke dalam binary.
Pemodelan matematisnya sendiri menurut saya menarik. Jika bisa mengetahui bagaimana bagian-bagian di atas diselesaikan, itu akan membantu saya memahami konsepnya. Terima kasih.
Terima kasih atas masukannya!
Tujuan utama pemicu ekspansi memori pada poin 1 bukan untuk merusak perangkat fisik host milik penyerang, melainkan untuk secara paksa melampaui ambang sumber daya komputasi yang dibutuhkan untuk analisis. Jika sebuah proses mati karena OOM di dalam sandbox seperti cgroups atau gVisor, bukankah itu sendiri sudah merupakan pertahanan yang berhasil. Tujuannya adalah, melalui ekspansi carry tak hingga dari operasi p-adic, tidak memberi alat analisis kelonggaran waktu maupun ruang untuk menafsirkan data, dan membuat lingkungan analisis itu sendiri mati dengan sendirinya.
Saya tidak memantau system call atau debugging API pada poin 2. Sebagai gantinya, yang diperiksa hanyalah konsistensi temporal saat data dihitung di dalam topologi fraktal multidimensi atau struktur tetrahedron Sierpinski, serta kontinuitas dinamika carry. Jika breakpoint dipasang dan eksekusi dihentikan di hypervisor, timing window perhitungannya akan meleset, dan secara matematis saling terjerat-Entangled-sehingga operasi topologis berikutnya runtuh menjadi nilai sampah.
Anda juga menyinggung salah satu poin terpenting pada poin 3. Dalam sistem ini, tidak ada fungsi pemeriksaan integritas yang berdiri sendiri yang bisa diproses NOP oleh penyerang (jika bypass). Logika verifikasi integritasnya menyatu dengan logika inti dan geometri topologis, dalam bentuk yang mirip dengan enkripsi white-box.
Selain itu, meskipun dilakukan memory dump lalu dianalisis secara offline, data yang didump hanyalah irisan 2D pada satu titik waktu dari struktur topologis 3D yang terus bermutasi. Tanpa mengetahui seluruh aturan dinamis-model piramida carry-mustahil merekonstruksi payload asli hanya dari data dump, bukan?(setidaknya secara matematis..)
Poin 4 juga merupakan hal yang saya pikirkan. Pertahanan aktif seperti yang Anda sebutkan berpotensi ilegal jika melancarkan serangan balasan ke server C&C eksternal dan semacamnya, tetapi sistem yang saya usulkan dengan tegas membatasi diri sebagai jebakan inbound. Sistem ini tidak mengirim trafik berbahaya ke luar; strukturnya justru menghabiskan sumber daya komputasi seperti labirin hanya di dalam lingkungan internal ketika penyerang membawa biner itu ke lingkungannya sendiri dan menjalankannya secara mandiri, jadi saya berharap bisa menghindari isu yang menimbulkan kerugian eksternal.
Pada poin 5, saya juga khawatir soal risiko keamanan memori dari struktur monolitik berbasis C++. Mungkin nanti perlu terus divalidasi, misalnya dengan mengadopsi Rust.
Dan nilai rahasia seperti token Webhook juga tidak ada dalam bentuk plaintext atau obfuscation sederhana. Seperti yang saya sebutkan sebelumnya, jika operasi topologi multidimensi yang normal selesai sampai akhir, hasilnya digunakan sebagai kunci dekripsi lalu dirakit sementara di memori. Kalau strukturnya dipelintir untuk dianalisis, perakitan token itu sendiri menjadi tidak mungkin.
Berkat Anda saya jadi banyak belajar, terima kasih!
Terima kasih atas jawabannya terlebih dahulu. Namun, masih ada beberapa poin yang ingin saya soroti.
(Ekspansi memori): Di artikel utama Anda menyebut pengurasan sumber daya penyerang/penghancuran diri, tetapi di jawaban nadanya terasa agak bergeser menjadi "bahkan OOM di dalam sandbox pun bisa dipertahankan". Kalau begitu, apa perbedaannya dengan 42.zip atau billion laughs? Selain itu, pada analisis statis Ghidra/IDA, pemicunya bahkan tidak akan aktif sama sekali..
Anti-debug: Saya tidak tahu apakah istilah Entangled itu metafora atau mekanisme, tetapi isi penjelasannya sendiri terdengar seperti varian deteksi timing RDTSC. Itu teknik yang sudah dipakai VMProtect sejak era 90-an, jadi apakah memang perlu nama baru? Lalu bagaimana perilakunya di lingkungan HyperDbg dengan TSC scaling?
Integritas: White-box AES adalah bidang yang hampir semuanya sudah ditembus sejak BGE attack, jadi kalau ini dibuat menjadi whitepaper, itu sendiri sudah layak menjadi makalah terpisah. Metafora "dump adalah irisan 2D dari 3D" juga tidak berlaku di hadapan WinDbg TTD atau Intel PT. Bagian penutup dengan "secara matematis saja..." terasa seperti merangkum keseluruhan jawaban begitu saja...
Maaf atas balasan yang terlambat (__) dan terima kasih selalu atas masukan yang bagus.
Bom klasik seperti 42.zip hanyalah ekspansi sederhana dari data statis, jadi hanya menyebabkan OOM (kehabisan memori) lalu selesai. Namun, seperti yang dapat Anda lihat di white paper, arsitektur ini bukanlah data, melainkan computational tarpit yang memaksa loop operasi p-adic carry pada piramida carry.
Jika dianalisis secara statis dengan Ghidra atau IDA, memang benar pemicunya tidak akan aktif. Memang harus begitu. Karena tidak ada logika yang sebenarnya di dalam biner statis. Baru ketika penyerang mulai berinteraksi di lingkungan runtime (dinamis), obfuscation topologi akan terurai secara real-time, sehingga alat analisis statis hanya akan melihat cangkang kosong.
Deteksi timing sederhana menggunakan RDTSC memang sudah merupakan teknik usang. Jika waktu dipalsukan dengan TSC Scaling milik HyperDbg, tentu itu bisa dilewati.
Namun, entanglement yang saya sebutkan di white paper bukanlah pemeriksaan waktu. Ini adalah struktur di mana fase komputasi dari perubahan topologis matematis yang berlangsung saat runtime (struktur carry yang memanjang sebagai pangkat ke-n dari 11) terikat secara matematis dengan beban lingkungan eksekusi itu sendiri. Jika lingkungan dimanipulasi dengan HyperDbg sehingga timing komputasi dipelintir secara artifisial? Bukan berarti mesin pertahanan akan berkata, “Oh, ini debugger!” lalu menolaknya; sebaliknya, rumus ekspansi fase dari piramida carry itu sendiri akan memanjang ke dimensi yang keliru, dan akibatnya melakukan dekripsi sendiri terhadap data sampah yang sama sekali tidak berguna. Saat mencoba menipu, justru ia menjebak dirinya sendiri.
White-box AES menyembunyikan kunci kriptografi matematis yang tetap, sehingga rentan terhadap serangan BGE. Itu adalah fakta. Tetapi arsitektur ini tidak menyembunyikan kunci tetap; melainkan menggunakan topologi runtime dinamis yang fasenya berubah setiap kali diakses.
Andaikan semua alur instruksi CPU direkam 100% dengan WinDbg TTD atau Intel PT lalu diputar ulang seperti mesin waktu, jalur yang terekam itu sendiri pada akhirnya hanyalah lintasan yang tersesat di rawa sampah (tarpit) yang sudah runtuh dan terdistorsi akibat tindakan observasi oleh penyerang. Seperti halnya, betapapun presisi dan lengkapnya Anda merekam 100% jejak kaki orang yang tersesat dan mondar-mandir di dalam labirin, itu sama sekali tidak membantu untuk menemukan jalan keluar dari labirin tersebut.
Maaf karena ini sangat berbeda dari paradigma yang ada..
Terima kasih atas penjelasan detailnya. Saya rasa saya agak kesulitan mengikuti karena sudah terlalu terbiasa dengan paradigma yang ada. Kalau PoC-nya sudah dipublikasikan, saya pasti akan kembali untuk melihatnya. Semangat :)
Saking jeniusnya hackernya, aku bahkan tidak bisa membayangkannya.
Terima kasih atas masukannya!
Saya bukan jenius, bukan juga peretas, cuma orang yang menekuni matematika..
Penghancuran diri: jika integritas mesin inti terdistorsi bahkan hanya 0,1 byte, mesin akan mengakhiri prosesnya sendiri (Self-Destruct), untuk mencegah situasi di mana mesin berubah menjadi trojan.
Apakah ada yang namanya 0,1 byte di komputer?
1 byte itu 8 bit, jadi 0,1 byte adalah 0,8 bit. Ini pertama kalinya saya mendengar ada informasi yang kurang dari 1 bit
Saya juga kepikiran ini
Terima kasih atas masukannya!
Saya bermaksud menekankan sensitivitas ekstrem dari core engine itu, mohon maaf!
Saya akan memperbaiki ungkapannya! 0,1 byte jelas tidak masuk akal.