IT Security Untuk Perpustakaan

Saya sedang membuat materi presentasi tentang IT security untuk perpustakaan. Ternyata tidak mudah. Salah satu hal yang menjadi ganjelan saya adalah, apa saja aset teknologi informasi perpustakaan?

1. Perangkat (devices, komputer, dll. dicuri / dirusak);
2. Data anggota (dicuri? dijual? adakah nilainya?);
3. Sistem perpustakaan diterobos (sehingga data buku pinjaman kita dihapus?);
4. eBooks / online journals (apakah memang ada perpustakaan di Indonesia yang menyediakan eBooks? Masalah HaKI?);
5. Sistem IT (termasuk network, digunakan untuk menyerang pihak lain);
6. Apa lagi ya?

Masih berpikir keras (dan akan menambahkan data di daftar itu). Selain itu saya akan juga tambahkan dengan ancaman terhadap aset itu.

(berada di) Tracerouteparty

Seharian ini saya berada di acara tracerouteparty yang berlangsung di Jakarta Convention Center. Singkatnya acara ini adalah ajang pertemuan pelaku internet di Indonesia, dari generasi lama dan generasi baru. Bagi saya, ini adalah ajang reunian (dengan generasi lama – ha ha ha). Sayangnya belum semua bisa hadir hari ini, mungkin mereka baru hadir berso, sementara malam ini saya sudah harus kembali ke Bandung. Oh well.

Acaranya sendiri seru. Ada 300 booth. (Saya sendiri ikut dengan 2 booth; Indo Cisc dan ID-CERT.) Ada banyak band (dengan 3 stage). Saya sendiri sebetulnya agak sedih karena band kami, Band IT, tidak dapat tampil. Personelnya sedang tersebar bertugas di beberapa kota (dan bahkan luar negeri). Padahal stage-nya luar biasa. Mana acara seperti ini belum tentu bisa terjadi setiap tahun. Terakhir acara seperti ini terjadi di tahun 2004, kalau tidak salah. Hik hik hik. Next time. Hopefully.

Foto-foto belum sempat saya upload. Nanti kalau sudah ada kesempatan ya. Sementara ini saya istirahat dulu ah.

Dua Dunia Yang Berbeda

Tadi diskusi tentang penelitian dan entah kenapa menyinggung soal blog. Saya cerita bahwa tadi pagi saya kok lupa memberitahukan kepada mahasiswa di kelas saya bahwa blog saya ini ternominasi dan membutuhkan voting. Kidding. he he he. Saya tidak mau melakukan hal itu karena saya ngeblog bukan untuk cari juara-juaraan   Biarlah natural saja.

Anyway. Mahasiswa riset tadi tanya apa nama blog saya. Hmm… saya kemudian berpikir bahwa orang-orang yang kenal saya di dunia nyata – seperti contohnya mahasiswa saya ini – tidak tahu bahwa saya punya blog. Sementara saya amati, banyak pembaca blog ini yang tidak kenal saya di dunia nyata. hi hi hi. Lucu juga. Ini orang-orang dari dua dunia yang berbeda. Nampaknya  pemisahan dunia maya dan nyata memang masih ada.

Ada enaknya juga seperti ini karena saya bebas merdeka menulis di sini. Saya bisa santai blusukan di dunia nyata. hi hi hi.

Ternominasi

Membuka twitter, saya baru tahu bahwa blog saya ini dinominasi sebagai salah satu blog terbaik dalam Bahasa Indonesia oleh the Bob. Ternominasi karena mungkin tidak sengaja dinominasikan. ha ha ha. Apa sekarang saya harus membuat tulisan yang lebih bagus?

Voting di sini

http://thebobs.com/english/category/2013/best-blog-indonesian-2013

Tahun-tahun sebelumnya sih gak pernah menang. hi hi hi. Ya ngeramein aja lah.

Mari Kreatif

Saya merasa (belum punya data yang benar, maka saya tulis “merasa”) mahasiswa saya kurang kreatif. Sebagai contoh, kalau saya ajak brainstorming, maka kebanyakan hanya terdiam karena bingung. Ini tanda-tanda kurang kreatif. he he he. Mari kita coba brainstorming sedikit.

Saya ingin menamai komputer desktop saya yang berbasis Linux ini. Coba usulkan namanya. Kenapa Anda mengusulkan nama tersebut? Maknanya apa? Syaratnya adalah nama komputer ini harus satu kata. Silahkan. Saya ingin tahu apakah Anda-Anda ini kreatif. he he he.

Let’s Do Linux

Saya ingin kembali mengajak rekan-rekan untuk menggunakan Linux. Bagi yang sudah menggunakan Linux, tulisan ini boleh diloncat. Bagi yang belum menggunakan Linux, apa masalah yang Anda hadapi untuk tidak pindah ke Linux?

Saya sendiri sekarang puas dengan menggunakan Linux Mint untuk komputer desktop saya. Untuk server saya masih menggunakan Debian dan kalau terpaksa menggunakan Ubuntu.

Topik Minggu Ini, Kriptografi

Entah kenapa, topik yang paling banyak saya bahas di kelas dan juga dalam bimbingan mahasiswa adalah kriptografi. Kebetulan memang kuliah yang saya ajarkan adalah kuliah keamanan, tetapi keamanan tidak selalu identik dengan kriptografi. Mungkin saja memang ini hanya kebetulan, karena ini sudah memasuki pertengahan perkuliahan.

Pembahasan kriptografi yang saya lakukan mulai dari sejarahnya dulu, kemudian beranjak ke konsep yang lebih susah. Mulai dari kriptografi kunci privat sampai ke kriptografi kunci publik. Mulai dari algoritma DES sampai ke RSA. ECC hanya disentuh sedikit di kelas tetapi banyak didiskusikan pada peneltian. Ada beberapa mahasiswa yang akan meneliti soal ini. Kelompok penelitian kami pun sedang melakukan penelitian tentang serangan terhadap ECC dengan menggunakan metoda Pollard rho dan/atau Pollard lamda. Seru dan pusing. Untungnya tim kami terdiri dari orang dengan berbagai latar belakang.

Yang bikin puyeng juga adalah menjelaskannya kepada mahasiswa. Ada beberapa hal yang menurut saya sangat gamblang ternyata membingungkan bagi banyak orang. Memang dulu saya juga sempat bingung dan sekarang lupa lagi. he he he. Mencoba untuk membuat kriptografi mudah dipahami dan menyenangkan. Mari ah.

Buat Sistem Operasi Sendiri?

Topik sistem operasi (OS – operating system) buatan sendiri kembali ramai. Diberitakan Cina menggandeng Ubuntu untuk membuat sistem operasi sendiri. (Catatan: tahun 2000, kalau tidak salah, saya sempat pergi ke Cina dan melihat mereka mengembangkan OS sendiri berbasis Linux. Namanya Red Flag Linux kalau tidak lupa.)

Pertanyaannya adalah:

1. Apakah membuat sistem operasi sendiri masih relevan?
2. Apakah yang dimaksud dengan “sistem operasi sendiri”?
3. Apakah kita memiliki kemampuan dan komitmen untuk melakukan hal itu?

Pertanyaan pertama adalah apakah kita perlu membuat sistem operasi sendiri? Mengapa kita perlu membuat *SENDIRI*? Kalau kita lihat, pasar justru lebih condong ke arah aplikasi. Sebagai contoh, sistem oeprasi Android sudah merajalela di platform handphone dan tablet. Nampaknya akan banyak dibutuhkan aplikasi di atasnya. Mungkin lebih menarik kalau kita mengembangkan banyak aplikasi di atas itu.

Mengembangkan sistem operasi sendiri masuk akal jika kita membutuhkan sistem operasi yang spesifik untuk kebutuhan tertentu, misalnya untuk kebutuhan keamanan. Itupun sebetulnya masih dapat menggunakan sistem operasi yang ada. Lantas apa alasan mengembangkan sistem operasi sendiri? Apakah hanya sekedar untuk gaya-gaya-an saja? Mengapa kita tidak bergabung dengan pengembang sistem operasi yang sudah ada saja dan berkontribusi di tingkat dunia? Selama kita tidak dapat menjawab mengapa-nya maka saya cenderung untuk mengatakan tidak usah.

Terkait dengan hal di atas adalah apa yang dimaksud dengan sistem operasi sendiri? Ada kalanya yang dimaksud dengan sistem operasi sendiri adalah sebuah customization terhadap sistem operasi yang sudah ada. Yang diganti adalah bahasanya atau tampilannya, misalnya. Apakah yang dimaksud adalah ini? Jika iya, mengapa tidak bergabung dengan sistem operasi yang sudah ada, Debian Linux misalnya, dan kemudian ikut mengembangkan berbagai proyek terjemahan (translation) saja?

Apakah sumber daya untuk mengembangkan sistem operasi sendiri itu ada? Kalau kita berbicara tentang sumber daya manusia (SDM) dalam tingkat individual, saya yakin jawabannya adalah ada. Kalau kita berbicara tentang skala (kapasitas, dalam tingkat komunitas) dan juga konsistensi, saya tidak yakin. Ada berapa orang Indonesia yang berkontribusi kepada pengembangan core sistem operasi Linux, misalnya? (Berapa orang yang menguasai ilmu sistem operasi ini? Saya lihat di kampus tidak banyak yang mengajarkan hal ini dan kalaupun ada mahasiswanya juga sedikit serta hanya cari nilai. hi hi hi.)

Untuk mencoba menjawab pertanyaan ternyata malah menghasilkan lebih banyak pertanyaan ya. Jawaban yang saya berikan juga cenderung mengarah kapada tidak usah buat sistem operasi sendiri.

Bagaimana menurut Anda?

Operator Seluler Nyebelin!

Sekarang saya mengerti mengapa banyak orang harus memiliki lebih dari satu nomor handphone. Ternyata masalah reliability dari para operator ini yang menjadi masalah. Saya mengalaminya.

Selular #1 (saya tidak dapat menyebutkan namanya) sudah saya gunakan dari dahulu. Sayang sekali kualitasnya kok malah menurun. Semakin buruk. Sinyalnya sering tidak muncul, atau kadang muncul dan kadang hilang. Lebih parahnya bagi saya, dua tempat di mana saya paling sering berada justru tempat yang paling parah secara sinyal. Akibatnya orang sering “marah-marah” karena saya tidak dapat ditelepon atau kalau ditelepon sering putus-putus.

Karena sinyal operator #1 sering hilang, dia tidak dapat saya gunakan untuk akses internet (3G). Padahal saya sudah coba berlangganan akses 3Gnya. Kalau sinyalnya ada, akses 3Gnya lumayan. Nah ini sinyalnya sering hilang.

Saya ambil nomor baru, operator selular #2. Eh, tapi ternyata di tempat lain dia masalah. Tadinya saya ingin menggunakan nomor ini secara permanen untuk cadangan karena saya masih ingin mempertahankan nomor #1 karena sudah terlanjur tersebar nomor itu. Ternyata kualitas operator #2 juga tidak lebih baik. Akhirnya saya mencoba operator #3 dan lebih diutamakan untuk akses internetnya.

Rangkumannya, inilah adalah kondisi Indonesia. Inilah sebabnya orang Indonesia memiliki lebih dari satu nomor seluler.

Pengalaman Ujian Online

Tadi pagi saya menyelenggarakan UTS (Ujian Tengah Semester) secara online. Kami menggunakan sistem yang berbasis Moodle.

Sebetulnya mahasiswa dapat mengakses sistem dari mana saja karena sistem kami ini dapat diakses melalui internet. Hanya saja karena saya tidak yakin semua mahasiswa memiliki akses internet di tempat tinggalnya masing-masing, maka saya menyediakan fasilitas untuk ujiannya.

Kelas saya cukup besar, 160 orang! Maka saya meminjam lab komputer. Dua lab komputer. Gabungan dari kedua lab tersebut memberikan 120 komputer. Masih kurang 40 komputer lagi. Tidak apa-apa. Ujian pagi ini saya menduga akan ada yang telat. Kalau yang telatnya adalah 40 orang maka pas lah   Atau kalau tidak ada yang telat, mahasiswa dapat bergantian ujian.

Waktu yang saya berikan untuk ujian adalah 90 menit. Sementara soal yang saya buat ada 34 buah dan dapat dikerjakan kurang dari 30 menit. Itu dengan asumsi mahasiswanya paham apa yang saya tanyakan. Kenyataannya memang demikian. Banyak mahasiswa yang dengan cepat menyelesaikan UTS sehingga yang menunggu untuk ujian hanya beberapa orang. Itu pun menunggu kurang dari 10 menit.

[Foto mahasiswa ngantri untuk mengisi daftar hadir. Lebih lama mengantri ini daripada mengerjakaan soalnya sendiri.]

Poin pertama yang ingin saya sampaikan adalah kita harus menyediakan jumlah komputer yang cukup untuk melakukan ujian online.

Ketika ujian ada beberapa kejadian. Ada satu baris komputer, 4 komputer, yang tiba-tiba mati listriknya. Ternyata mahasiswa yang duduk di dekat dinding secara tidak sengaja kursinya menekan switch on/off dari power bar di dinding. Maka matilah 4 komputer tersebut. Setelah dinyalakan maka keempat mahasiswa tersebut harus mengulang kembali ujainnya. Untung sistem yang digunakan memperkenankan itu.

Ada juga mahasiswa yang komputernya tiba-tiba restart. Ada juga mahasiswa yang datang dengan membawa notebook dan minta ijin untuk menggunakan notebook tersebut daripada menunggu giliran mendapatkan komputer. Saya perkenankan. Eh, ternyata akses wifinya tidak stabil. Jadi mereka harus mengulang ujian dua kali. Akhirnya mereka memutuskan untuk menggunakan komputer desktop yang mulai ditinggalkan oleh mahasiswa yang sudah selesai.

Poin yang ingin disampaikan adalah infrastruktur harus reliable.

Ada masalah besar dalam menyelenggarakan ujian online. Saya ingin ujiannya bersifat “closed book”, tetapi bagaimana caranya? Browser yang digunakan kan bisa diarahkan ke Google untuk mencari jawaban di internet. Lebih parah lagi, di sistem blended learning yang saya gunakan untuk UTS ini juga saya gunakan untuk menyimpan materi kuliah dalam bentuk berkas presentasi. Mereka dapat melihat berkas ini untuk mencari jawaban.

Untuk itulah saya memberikan instruksi di kelas bahwa (1) mereka hanya diperkenankan untuk membuka UTS saja, (2) mereka harus memiliki kejujuran 100%. Bagaimana cara untuk memastikan hal ini secara teknis? Saya tidak tahu. Saya hanya mengingatkan mereka bahwa nilai dari UTS ini nilainya tidak terlalu penting dibandingkan dengan nilai kejujuran mereka. (Bobot dari nilai UTS ini akan sangat kecil.) Dengan kata lain mereka ujian terhadap diri sendiri. Jika mereka tidak dapat jujur kepada diri sendiri di lingkungan kampus yang notabene steril, bagaimana mereka dapat jujur di luar nanti?

Ujian ini adalah ujian terhadap kejujuran. Luluskah Anda?

UTS Kuliah II3062

Hari ini saya menyiapkan soal-soal untuk UTS kuliah II 3062 (Keamanan Informasi) yang akan dilakukan besok pagi, 19 Juli Maret 2013. Bagi mahasiswa saya, silahkan lihat instruksinya di halaman kuliah di server Blended Learning (BL).

(menjadi) Dinosaurus

Ada hal-hal yang menyebalkan bagi saya. Salah satunya adalah melihat “top posting” dalam mailing list. Bagi yang belum tahu apa itu “top posting”, silahkan cari informasinya di internet. Justru itulah yang membuat saya sebel. Ini adalah masalah etika dalam berkomunikasi di internet.

Masalahnya adalah banyak orang yang tidak tahu dan tidak mau tahu etika berkomunikasi di internet. Mungkin ini salah kita juga karena tidak mengajari mereka cara berkomunikasi yang baik. Kita beranggapan bahwa kalau sudah pakai internet atau handphone mereka sudah *pasti* tahu etikanya. Harus tahu! Padahal realitasnya tidak.

Dari mana mereka belajar tentang etika berkomunikasi ini? Dari mana Anda belajarnya? Umumnya orang hanya melihat orang lain. Meniru. Iya kalau yang ditiru itu yang benar. Bagaimana kalau yang ditiru itu juga yang tidak tahu? Nah justru yang terakhir inilah yang terjadi. Akibatnya banyak yang tidak tahu.

Atau … kalau dilihat dari kacamata lain, mungkin saya yang sudah ketinggalan jaman. Sudah menjadi dinosaurus di dunia baru ini. Sekarang etika sudah berubah. Semuanya serba aku, aku, dan aku. Peduli amat dengan orang lain? This is the new new thing.

I feel like I am a dinosaur. Heck. I AM a dinosaur!

Susah Akses Internet di Jalan

Ternyata untuk mendapat akses internet sebagai tamu di negara orang tidak mudah. Di sini, di Kuala Lumpur, ternyata saya juga mendapat kesulitan akses internet. Padahal sebelumnya saya sudah bersiap-siap. Maksudnya saya sudah search internet dulu. Sebagai contoh, begitu sampai di KL saya lansung beli kartu SIM dari DIGI. Harganya RM 26. Katanya akses internet seharinya adalah RM 3 dengan quota 150 MB. (Pengalaman saya ini kurang.)

Ternyata yang menjadi masalah adalah coverage dari 3G (HSDPA). Di banyak termpat di jalan, sinyal telepon ada tetapi tidak ada 3G. Artinya tidak ada akses internet. Quota penggunaan internet tidak terlewati karena aksesnya saja tidak bisa. he he he. Jadi ya merasa rugi saja.

Di hotel juga sama saja. Internetnya susah dan lambat. Padahal kalau ngobrol dengan penduduk lokal, akses internet mereka kencang-kencang. Artinya, tamu selalu susah. Kalau di Indonesia mungkin kebalikannya ya? hi hi hi.

Masalah IT Security di Asia

Saya sedang di acara Cyber Intelligence Asia, yang diselenggarakan di Kuala Lumpur, mendengarkan beberapa presentasi tentang masalah keamanan IT di lingkungan Asia. Beberapa presentasi pagi ini bercerita tentang kondisi cyber security di Malaysia (di berbagai instansi pemerintah dan juga pemerintah daerah, dalam hal ini adalah Sabah).

Salah satu hal yang menarik adalah pemerintah Malaysia sudah membuat berbagai inisiatif untuk menyikapi masalah keamanan di dunia cyber. Sebagai contoh, pada tahun 2006 mereka membuat Cyber Security Policy yang baru dapat dieksekusi di tahun 2008. Setelah itu ada beberapa inisiatif yang telah mereka lakukan.

Selain pembicara dari Malaysia, ada juga pembicara dari Thailand, Kamboja, dan Jepang. Saya sendiri akan memberi presentasi tentang kondisi IT security di Indonesia berdasarkan data yang kami terima di ID-CERT. Ternyata permasalahan yang terjadi hampir sama; malware, phishing, network attack (terutama DDoS attack), dan berbagai penipuan lainnya. Ada beberapa kejadian yang dijelaskan secara gamblang. Misalnya bagaimana tim keamanan Hongkong memecahkan kasus pemerasan di internet. Seru juga.

Yang penting dalam acara ini adalah berbagi informasi dan pengalaman. Dan tentu saja untuk mengenal satu sama lainnya sehingga terjadi kordinasi.

Traffic Palsu

Banyak orang yang bertanya bagaimana cara untuk mendapatkan banyak kunjungan ke halaman web (situs, facebook, dan sejenisnya). How to generate traffic? Jawabannya umumnya adalah SEO (search engine optimization), adwords, dan beli traffic. Sangat mudah untuk membuat robot yang menghasilkan traffic.

Jawaban di atas menurut saya adalah jawaban semu. Orang lupa bahwa sesungguhnya yang dicari bukan lalu lintasnya, melainkan orang beli barang yang ada di situs kita, atau orang menjadi lebih tertarik kepada isinya, belajar lebih banyak, terjadi diskusi, atau hal-hal yang sesungguhnya menjadi tujuan utama dari keberadaan situs kita. Bahwa harus ada traffic itu satu hal, tetapi menghasilkan traffic semu tidak akan mencapai tujuan yang kita harapkan. Memangnya kalau banyak like itu apa bisa mencapai tujuan kalau yang nge-like itu robot (program) he he he.

Jawaban saya untuk pertanyaan awal, how to generate traffic, adalah membuat tulisan yang menarik dan banyak. Tulisan harus sering diubah sehingga orang akan datang lagi. Atau tampilan diubah. Kalau tulisannya tetap sama, tampilan tetap sama, maka orang tidak akan datang berkali-kali. Toh tetap sama saja. Mengapa harus datang berkali-kali?

Yang saya lakukan pada blog ini ya seperti itu, menulis banyak (rutin). Itu saja. Tulisannya pun tidak hebat-hebat amat. Isinya adalah hal-hal yang terkait dengan saya. Itu saja.