Arsip Kategori: security

Ribut Hacking

Ya ampun … pada ribut soal hacking, defacing (mengubah tampilan situs web), dan seterusnya. Minggu lalu bahkan saya ditelepon wartawan asing soal defacing-defacing-an ini. Ya saya tidak dapat menjawab kalau soal kasus kemarin itu.

Seberapa susahnya sih melakukan defacing? Hmmm … Mungkin saya jawab dengan menggunakan analogi saja ya. Seberapa susah membuat grafiti – mebuat corat-coret di dinding – pada sebuah bangunan? Jawabannya tentu bergantung kepada bangunan yang dimaksudkan. Grafiti di rumah sendiri, bisa dilakukan tetapi bakalan digaplok orang tua. he he he.

Grafiti di rumah tetangga sebelah? Mungkin tidak susah, tapi tidak keren dan kasihan. Rumah mereka yang sederhana kok dicorat-coret. Orangnya baik kok. Apalagi kalau rumah tetangga itu milik nenek-nenek jompo. Kasihan ah. Gampang, tapi mungkin tidak kita lakukan. Malah kita malu kalau melakukannya.

Grafiti di bangunan milik publik? Tergantung. Kalau bangunan publik ini adalah kantor yang sudah lama tidak ditinggali, kayaknya sih gampang. Tinggal berani lawan sama hantu yang sudah terlanjur tinggal di sana. he he he. Kalau bangunan publik yang masih digunakan, tetapi pegawainya tidak peduli, nampaknya tidak terlalu susah. Ya itu dia. Pegawainya tidak peduli. Kita bawa kaleng cat pun mereka nonton saja. Gedung bangunan milik pemerintah yang dirawat dan pegawainya peduli, nah … ini susah. Secara teknis bisa saja sih, tapi kita bakalan ketahuan.

Begitulah kira-kiranya. Kita dapat melanjutkan cerita di atas dengan gedung yang sangat penting, gedung tempat kita melakukan transaksi (bank), gedung sekolahan kita, masjid (nekad?), dan seterusnya. Silahkan dibayangkan dan dikhayalkan.

Jadi seberapa susah melakukan defacing (grafiti)? … nah …


Memetakan Komunitas Security di Indonesia

Salah satu hal yang sedang saya coba inisisasi adalah melakukan pemetaan kemampuan sumber daya manusia (SDM) IT Security di Indonesia. Ini terkait dengan kebutuhan dari industri dan persiapan pendidikan di perguruan tinggi. (Sebagai catatan, ITB akan membuka S2 khusus untuk IT Security tahun 2013.)

Sebagai awal, saya akan memulai membuat taksonomi secara umum. Kemudian nantinya akan saya revisi. Mohon masukan dan koreksi.

  1. Perguruan Tinggi (pendidikan & penelitian).
    ITB (Pendidikan S2, S3. Penelitian: hardware, software, kriptografi)
    IT Telkom (Pendidikan S2. Penelitian: kriptografi)
  2. Pemerintahan. Kominfo (Kaminfo / Gov-CSIRT, ID-SIRTII), Lembaga Sandi Negara, Badan Inteljen Negara, POLRI, …
  3. Organisasi: ID-CERT, …
  4. Komunitas: Jasakom, Echo, RNDC, … (mohon informasi yang masih aktif)

Saya akan membuat sebuah survey mengenai kemampuan ini. Sebagai contoh, saya ingin mengetahui komunitas-komunitas yang masih aktif; jumlah anggotanya, visi/binding values, skill set, obyektif, aktivitas, dan seterusnya. Untuk untuk pemerintahaan: tupoksi, jumlah SDM, dll. Pertanyaan-pertanyaan apa lagi yang perlu ditanyakan ya? Saya akan membuatkan form survey-nya.

Saya membutuhkan contact person untuk mendapatkan data yang lebih lengkap. Data ini akan saya anggap sebagai confidential dan hanya rangkuman (agregat) saja yang akan saya tampilkan.

Menanti masukan …

Form untuk memasukkan data (versi 0.1): Survey Organisasi IT Security


Foto-foto

Pak Ashwin Sasongko membuka IISF (Indonesia Information Security Forum) 2012.

Ian Brown, Oxford University

Ini yang ada di atas meja di hadapan saya.


Perang Siber: Cyberwar

Ada sebuah pertanyaan yang menggelitik, apakah benar ada acaman dalam bentuk perang di dunia siber (cyberwar)? Apakah isu ini dibesar-besarkan ataukah memang nyata?

Pertanyaan ini muncul karena baru-baru ini ditemukan malware, yaitu program yang memiliki itikad jahat (malicious software), yang menargetkan negara-negara tertentu. Atau, lebih tepatnya malware tersebut menargetkan infrastruktur yang banyak digunakan di negara tersebut. Sebagai contoh ada dugaan bahwa worm stuxnet dikembangkan untuk menyerang negara Iran dengan cara menyerang aplikasi yang menggunakan software untuk industri buatan Siemens.

Kalau kita mundur sedikit. Kita hidup di dunia nyata dan dunia maya (dunia siber). Jika kedua dunia ini terpisah, maka kekacauan – dalam bentuk perang sekalipun – di dunia siber tidak mengganggu dunia nyata kita. Mungkin kita tidak perlu terlalu khawatir. Kita perlu waspada jika ternyata kedua dunia ini sudah beririsan dan saling terkait. Nah, apakah dunia nyata dan siber ini terkait?

Dahulu saya berpendapat bahwa dunia nyata dan siber dapat dipisahkan. Namun sekarang tidak lagi. Banyak aspek kehidupan nyata kita yang terkait dengan dunia siber. Sebagai contoh, aktivitas eknomi bergantung kepada penggunaan ATM dan transaksi uang secara elektronik. Macetnya atau matinya sistem keuangan elektronik tersebut dapat berdampak kepada kehidupan kita sehari-hari. Memang masih perlu diteliti dahulu apakah dampaknya hanya sebatas ketidaknyamanan (inconvenience) atau sampai fatal. Untuk itu perlu dilakukan kajian terhadap infrastruktur dari sebuah negara. Hasilnya adalah sebuah kegiatan untuk memproteksi infrastruktur yang sangat penting (critical) bagi berlangsungnya sebuah negara, ini dikenal dengan istilah national critical infrastructure protection. Sayangnya saya belum mengetahui apakah hal ini sudah dilakukan di Indonesia.

Jika kita berkesimpulan bahwa dunia nyata dan dunia siber tidak dapat dipisahkan, maka masalah keamanan di kedua dunia itu harus diseriusi. Perang antar negara dapat terjadi di kedua dunia tersebut. Bahkan beberapa negara sudah memutuskan bahwa dunia siber merupakan arena perang (battle field) yang sah.

Sampai sekarang kita belum tahu apakah ada negara lain yang menargetkan kita dalam perang sibernya. Apakah kita siap jika terjadi perang di dunia siber? Apa yang harus kita persiapkan? SDM? Penguasaan teknologi? Apa lagi?

Bahan bacaan

  1. Stuxnet (dari Wikipedia)
  2. Dept. Homeland Security – Capabilities for Cybersecurity Resilience
  3. Flame virus
  4. ‘Flame’ cyberespionage worm discovered on thousands of machines across Middle East
  5. News: Iran Detects Massive Cyber Attack
  6. IEEE Spectrum: Declaration of Cyberwar

Keamanan Pengumpulan Data Sidik Jari PNS?

Saya mendapat berita bahwa sekarang sedang dilakukan pengumpulan data sidik jari PNS. Terlepas dari pro kontra perlu atau tidaknya, saya ingin menanyakan beberapa hal yang terkait dengan keamanan (security) karena ini bidang saya.

  1. Siapa yang bertanggungjawab terhadap program/proyek pengumpulan data sidik jari PNS ini? Jika terjadi kebocoran data atau masalah keamanan lainnya, siapa yang bertanggungjawab?
  2. Apakah masalah keamanan data dari sidik jari ini sudah dikaji?
  3. Apa keperluan pengumpulan data sidik jari ini? Siapa saja atau aplikasi apa saja yang boleh menggunakan data sidik jari ini? (Perlu diingat bahwa data ini dapat diperjualbelikan. Kita tidak ingin data ini jatuh kepada pihak yang tidak berhak, atau lebih seram lagi jatuh ke tangan pihak asing.)
  4. Proses pengambilan, penyimpanan, pemrosesan, distribusi, dan penggunaan data sidik jari ini harus dipastikan aman. Sebagai contoh, dimana data disimpan? Perlindungan apa yang telah dilakukan (people, process, technology)? Misal, siapa saja yang berhak akses ke data? Apakah akses tercatat? Di berapa tempat? Dan seterusnya. Ada banyak detail yang harus dijelaskan di sini.

Perlu diingat bahwa kalau passwod kita dicuri atau hilang, maka kita bisa mengganti password tersebut. Kalau data biometrik (dalam hal ini adalah sidik jari) kita hilang atau dicuri, apakah kita mau mengganti (sidik) jari? Data sidik jari adalah data pribadi yang sama sensitifnya seperti password. Dia harus dilindungi dengan serius.

Jika pertanyaan-pertanyaan di atas belum dapat terjawab, sebaiknya pengumpulan data ini ditunda dahulu. Bagi yang belum melakukannya, ajukan surat pernyataan jaminan keamanan secara tertulis dari pihak yang mengumpulkan data.


Kelas Saya Hari Ini

Berikut ini adalah suasana di kelas saya pagi ini. Ini adalah kelas II3062 – Keamanan Informasi. Jumlah mahasiswa waktu sebelum PRS adalah 100-an orang. Tadi saya lihat di daftar hadir sudah ada lebih dari 120 orang yang terdaftar. Yang hadir tadi pagi ada sekitar 110 orang. Wuih. Kelas padat :) Kursi … habis. Kalau semua hadir nampaknya ada yang harus berdiri atau duduk di lantai :)

[Tampak Kanan dari arah depan kelas. Agak kabur karena tangan bergerak.]

[Tampak Kiri] Mahasiswa memilih untuk menunjukkan “V” for “victory” :)


Keynote on Computational Intelligence

Pagi tadi saya ditelepon dan diminta untuk jadi keynote speaker pengganti di sebuah seminar. Keynote speaker-nya mendadak tidak bisa hadir padahal acaranya adalah hari ini. Kebetulan waktu yang diminta ternyata saya bisa. Jadi langsung saya sanggupi dan saya siapkan materi presentasinya.

Ini dari keynote saya adalah ada beberapa topik penelitian masa depan yang terkait computational intelligence. Yang pertama adalah hal-hal yang terkait dengan dunia jejaring sosial. Saya melihat dunia jejaring sosial akan mirip dengan dunia nyata. Di sana ada kehidupan dan tentunya akan banyak masalah (sosial). Pemahaman atas masalah sosial ini mungkin dapat dipahami dengan menggunakan model yang dapat dipecahkan dengan menggunakan computational intelligence.

Barricelli’s universe saya ambil sebagai contoh untuk menjelaskan betapa belum mengertinya kita tentang banyak hal. Barricelli membuat penelitian di tahun 1954 – sebuah simulasi yang dijalankan di atas komputer pertama ketika von Neuman dan kawan-kawan sedang tidak menggunakan CPU cycle-nya – tentang sebuah digital paleontology. Hasilnya cukup menarik. Ada kode dari Barricelli yang tidak dimengerti operator dan belum dijalankan. Ini menunjukkan betapa belum mengertinya kita.

Kemudian saya menunjukkan penelitian twitter kami, yang mana kami mencoba memahami struktur jejaring yang dibentuk oleh orang Indonesia di dunia twitter. Saya tampilkan program kecil yang sedang berjalan dan hasil penelitian sebelumnya. Cukup menarik rasanya.

Yang kedua, salah satu hal yang menarik dari layanan jejaring sosial adalah games. (Games tentu saja tersedia di luar jejaring sosial.) Games sekarang semakin menarik dengan kemampuan artificial intelligence yang membuat pemain ingin kembali main.

Wah, saya lupa juga untuk mengangkat topik layanan Siri yang terbaru ya.

Hal terakhir yang saya singgung adalah dunia security. Model computational intelligence dapat digunakan untuk mendeteksi serangan atau penyusupan dengan mencari pola serangan dari log intrusion detection system (IDS). Hasilnya memang belum terlalu menggembirakan meskipun dapat dikatakan positif.

Begitulah kira-kira apa yang saya sampaikan dalam keynote tadi siang.


Beritahu Lokasi Atau Tidak?

Sekarang ada banyak aplikasi yang membutuhkan lokasi kita untuk menentukan jawaban / saran. Location-based services, nama kerennya. Ketika kita mencari sebuah restoran, maka restoran yang terdekat dapat muncul paling atas dalam daftar pencarian. Atau aplikasi lain mungkin menunjukkan teman yang ada di dekat kita.

Nah, masalahnya apakah lokasi tempat kita berada itu sesuatu yang seharusnya privat atau tidak? Apakah ini masalah privasi?

Saya pribadi tidak terlalu suka sistem memberitahukan lokasi saya. Kalau saya ingin memberitahukan lokasi saya, maka saya tulisakan secara eksplisit. Saya tidak mau sistem melakukannya untuk saya. Itulah sebabnya saya mematikan (disable) fitur yang terkait dengan lokasi.

Memberi tahu lokasi juga dapat menjadi masalah. Kalau kita beritahukan lokasi kita sedang berada di luar, orang jahat bisa tahu bahwa kita sedang tidak berada di rumah. Nah lho. Maklum, kita kan tidak tahu orang di luar sana.

Bagaimana menurut Anda?


Training Network Security

Maaf posting kali ini agak berbau iklan pribadi.

Tanggal 22 dan 23 November 2011 ini kami (indocisc) akan mengadakan training security. Silahkan lihat informasinya di training.indocisc.com. Isinya lebih ke aspek teknis (berbeda dengan kuliah kelas saya yang lebih banyak ke aspek prinsip). Isinya merupakan pengalaman yang kami lakukan selama memberikan layanan security kepada beberapa klien.

Begitu … See you there …


Strategi Security Indonesia

Kemarin saya mengikuti (dan mengisi) acara seminar security yang diselenggarakan oleh Kominfo di hotel Savoy Homan, Bandung. Acara dibuka oleh Menkominfo.

Telah disadari bahwa dunia cyber hal yang nyata, maka ada hal-hal yang terkait dengan cyberwar and cybercrime. Untuk menghadapi hal tersebut, Menkominfo mengusulkan tiga (3) strategi security:

  1. awareness harus tinggi;
  2. gunakan expert dan tools yang ada (berkordinasilah dengan banyak pihak);
  3. membangun sistem pertahanan.

Saya sendiri mempresentasikan “Peranan Indonesia Computer Emergency Response Team (ID-CERT) dalam Keamanan Informasi Cyber Space”. Materi presentasi saya bisa diambil di sini:


Presentasi hari ini

Hari ini saya memberikan presentasi tentang cloud computing di IT Telkom. Presentasi lumayan lancar.

Materi presentasinya hanya merupakan update dari materi presentasi yang dulu pernah saya presentasikan. Sebetulnya ada hal-hal yang bisa dielaborasi lebih lanjut, seperti misalnya masalah terbenturnya cloud computing dengan masalah regulasi. Tapi ini mungkin membutuhkan pembahasan terpisah. Mungkin nanti bisa saya mulai diskusinya di blog ini. Sementara ini masih ada kerjaan yang harus dibereskan. Sekarang belum sempat … woro-woro dulu aja :)


Port berapa?

Salah satu hal yang harus dikuasai oleh ahli security adalah penggunaan port. Tadi, secara random, saya lemparkan penomoran port ke mahasiswa saya. Ternyata sebagian besar tidak tahu (karena memang belum saya ajarkan – hi hi hi). Kadang saya merasa taken for granted apa yang sudah saya ketahui. hi hi hi. Jadi pemahaman port ini ternyata harus saya ajarkan. Siap grak.

Hmm … port berapa saja yang harus diketahui? 21, 25, 80, 110, 443, 3128, 8080, … elit :) ?


Kehadiran Mahasiswa

Datang awal sebelum kelas dimulai. Sebelum jam 7. Hanya ada satu mahasiswa yang sudah hadir.

Jam 7-an pagi. Kelas dimulai …

Setelah pukul 8:15 pagi …

Oh ya … mahasiswa di kelas saya ini ada 150 orang yang terdaftar.


Menangkal Penyadapan

Saya masih heran dengan keinginan pemerintah (dalam hal ini Kominfo) untuk tetap bersikeras untuk memaksa RIM memiliki server di Indonesia dengan alasan bahwa layanan BlackBerry (BB) menggunakan enkripsi yang tidak dapat disadap oleh pemerintah. Adanya keberadaan RIM di Indonesia (diasumsikan) mudah dilakukan penyadapan.

Yang membuat saya geleng-geleng kepala ini sebetulnya seperti mengatakan kepada para (calon) penjahat bahwa saya akan menyadap Anda ya… Kalau Anda tidak ingin disadap, jangan gunakan BlackBerry (BB). Ini malah akan menyulitkan penyidik :((  kaco. Sekarang penjahat tahu bahwa mereka akan “mudah” disadap.

Tapi okelah, sebagai faktor deterant (pembuat takut) boleh lah. Ini seperti tulisan di toko-toko bahwa toko in dipantau oleh CCTV, meskipun sebetulnya tidak. hi hi hi. Atau rumah yang ada tulisan “awas ada anjing galak”, padahal anjingnya kecil dan jinak. Lumayanlah untuk menakut-nakuti meskipun pada kenyataannya malah bikin susah.

Layanan BB memang ada yang menggunakan pengamanan data dengan enkripsi. Namun perlu diingat bahwa ini hanya salah satu cara pengamanan saja. Ada beberapa cara untuk menangkap data dan ini pernah didemokan di beberapa tempat, yang mana salah satunya adalah memancing untuk menggunakan access point gadungan untuk kemudian dilakukan penyerangan secara man in the middle (MITM) attack. Tidak mudah (karena harus memalsukan sertifikat segala – dan kemungkinan akan keluar error message) tetapi bisa. Saya lihat demonya dua tahun yang lalu.

Bagi orang yang memang memerlukan pengamanan data untuk komunikasi seluler, dia tidak akan menggunakan perlindungan bawaan dari vendor. Dia akan menggunakan perlindungan sendiri. Pasang software sendiri di perangkatnya dan di penerima. Ini merupakan end to end encryption yang menyulitkan penyadapan – oleh operator sekalipun. Layanan data (dari operator dan RIM) hanya dianggap sebagai “pipa” yang tidak aman. Lantas pemerintah mau apa? Oh ya, yang seperti ini pun bisa dilakukan dengan menggunakan layanan telekomunikasi biasa. Di tempat kami sempat dikembangkan produk telepon aman.

Pejabat yang membutuhkan komunikasi aman sudah jelas DILARANG menggunakan perangkat yang tidak mendapatkan lolos tes keamanan. BlackBerry yang digunakan untuk orang biasa jelas TIDAK BOLEH digunakan untuk keperluan komunikasi antar pejabat. Komunikasi yang penting harus menggunakan perangkat atau layanan yang memang sudah dievaluasi oleh pihak yang berhak, katakanlah Lembaga Sandi Negara.

Jadi … soal penyadapan RIM/BB merupakan hal yang tidak terlalu pas untuk dijadikan alasan. Moot point. Mudah-mudahan tulisan ini bisa memberikan pencerahan (lagi). Atau malah jadi gamang? Kalau gamang, ya pegangan. he he he.


Menyoal Server RIM di Indonesia

[Busyet dah. I opened up a can of worm :) Kepalang tanggung. Bahas sekalian deh soal ini.]

Baiklah. Sekarang saya akan bahas soal permintaan (atau pemaksaan?) Research In Motion (RIM) untuk memasang server di Indonesia. Apa alasannya?

Alasan yang paling sering muncul adalah agar pemerintah Indonesia bisa menyadap komunikasi orang yang menggunakan BlackBerry. Saya sebetulnya cukup heran juga banyak yang setuju. Sebagai warga negara, semestinya kita harus mengingatkan pemerintah akan hak-hak kita (sebagai warga negara dan netizen); bahwa pemerintah tidak bisa semena-mena melakukan penyadapan.

Jika rekan-rekan membaca sejarah tentang munculnya PGP (pretty good privacy) dan juga buku-buku seperti cypherpunk, maka bisa kita lihat bahwa gerakan yang mereka lakukan adalah mempertahankan hak warga negara dari perbuatan semena-mena dari pemerintah. (Dalam hal ini adalah warga Amerika terhadap pemerintah Amerika.) Mereka kemudian menciptakan berbagai sistem pengamanan dan produk kriptografi yang menyulitkan pemerintah untuk melakukan tindakan penyadapan.

Bagaimana jika pemerintah benar-benar membutuhkan data komunikasi seseorang, misalnya untuk menangani kasus terorisme atau korupsi? Ada mekanisme yang disebut lawful interception. Ini banyak dilakukan untuk memerangi terorisme, narkoba, dan korupsi, hal-hal yang sejenisnya. Secara singkatnya, pemerintah – dalam hal ini penyidik yang sudah mendapatkan mandat untuk melakukan penyidikan kasus tertentu – dapat mengirimkan permohonan kepada penyedia jasa untuk mendapatkan data komunikasi tertentu. Umumnya penyedia jasa akan mentaati hal ini. (Catatan: hal ini sudah lazim dilakukan oleh penegak hukum di seluruh dunia, temasuk oleh penegak hukum di Indonesia.)

Jadi, server ada di mana pun, di luar negeri dan di Indonesia tetap bisa dilakukan lawful interception. Kalau Anda berniat jahat, data Anda akan dapat diungkapkan. Jadi gak perlu berbuat jahat ya? :)

Kalau tujuannya adalah untuk unlawful interception … nah, mosok yang kayak gitu harus kita dukung?

Oh ya, ada banyak cara untuk mendapatkan data komunikasi. Ada physical security dan  social engineering :)  Yang ini nampaknya lebih mudah daripada melakukan cracking encryption. Belum lagi ada pendekatan dukun :) . Buktinya penegak hukum di Indonesia lebih cepat dalam menangkap penjahat daripada penegak hukum di luar negeri. he he he.

Alasan yang kedua yang sering juga digunakan mengapa RIM harus memasang server di Indonesia adalah agar kita kebagian bisnisnya, kebagian ilmunya, kebagian … pokoknya kebagian deh. Untuk yang ini saya sendiri masih pro dan kontra. Soalnya sebenarnya kita-kita ini sudah pinter ngurusin server-server kok :) Technically kita sudah jago. Gak perlu ada server RIM juga kita sudah tahu cara menjalankan data center :)

Nah, soal kebagian bisnisnya … kok rasanya vulgar banget :) Begitu tahu mereka untung, lantas kita mau dapet bagian. Emangnya kalau mereka gak untung kita mau nombokin? Soalnya sebentar lagi juga layanan mereka tidak terlalu dominan lagi kok. Lantas apa nanti kalau pelanggan mereka pindah ke teknologi, device, dan layanan lain dan kemudian RIM mulain merosot … kita mau nombokin? Ya gak lah. Kesannya kalau untung minta bagian, kalau rugi gak mau ikutan. Hadoh…


Ikuti

Get every new post delivered to your Inbox.

Bergabunglah dengan 1.593 pengikut lainnya.