Arsip Tag: security

Teknologi Saham

Akhir-akhir ini saya berusaha banyak belajar tentang pemanfaatan teknologi informasi dalam urusan jual beli saham. Ternyata menarik juga. Banyak hal baru yang saya pelajari. Hal yang membuat saya menarik adalah pemanfaatan IT ini ternyata masih boleh dibilang “baru” juga. Mungkin sekitar akhir tahun 90-an (awal 2000-an) penggunaan IT ini baru mulai terlihat signifikan.

Yang juga menarik untuk saya adalah aspek kebaharuan yang muncul, seperti misalnya ada yang namanya algorithmic trading dan high frequency trading (HFT). Komputer digunakan secara ekstensif untuk memutuskan kapan jual dan beli saham. Karena ini dilakukan oleh komputer, dia dapat dilakukan secara otomatis tanpa interferensi manusia dan dalam kecepatan yang sangat tinggi. Hal-hal tersebut tidak dapat terjadi tanpa adanya teknologi informasi. Bagi yang tidak menggunakan teknologi informasi ada kemungkinan akan tertinggal.

Keuntungan yang mungkin tinggi ini dibarengi dengan risiko yang tinggi. High risk, high gain. Nah, bagaimana caranya membuat risiko sekecil mungkin. Itu adalah salah satu hal yang perlu diperhatikan. Maklum, kacamata saya adalah aspek keamanannya (security).


Mencoba Memahami Laporan Akamai

Secara berkala, Akamai mengeluarkan laporan mengenai layanan mereka. Salah satu bagian dari laporan mereka ini menyampaikan berapa besar serangan (attack) yang mereka terima. Akhir-akhir ini, laporan mereka menunjukkan bahwa banyak serangan berasal dari Indonesia. Secara umum, China merupakan peringkat pertama dan Indonesia merupakan peringkat kedua. Ini agak aneh menurut saya.

Mari kita amati laproan kwartal ketiga (Q3) dari 2013. Di sana ditunjukkan tabel ini.

Region % Attack Traffic Unique IP Addresses Avg. Connection Speed (Mbps) Peak Connection Speed (Mbps)
China 35% 115,336,684 2,9 11,3
India 1,9% 18,371,345 1,4 9,0
Indonesia 20% 5,804,419 1,5 9,7
Japan 0,8% 40,008,677 13,3 52,0
Malaysia 0,2% 2,137,032 3,2 24,9
Singapore 0,1% 1,566,346 7,8 50,1

Perhatikan bahwa jumlah serangan dari Indonesia adalah 20% dari total serangan. Ini sangat besar. Hanya China yang lebih besar (35%). Yang aneh adalah jumlah IP address yang menyerang dari Indonesia adalah hampir 6 juta saja. Bandingkan dengan yang lain. Untuk menghasilkan 35%, China membutuhkan 115 juta IP; hampir 20 kali Indonesia. India yang jumlah IP penyerangnya 3 kali kita pun hanya menghasilkan 1,9% serangan. Apa artinya?

  1. Serangan dari Indonesia lebih efektif? ha ha ha
  2. Penyerang itu berasal dari komputer-komputer yang terinfeksi malware dan sangat lambat untuk ditangani (jadi satu komputer menyerang lebih lama dibandingkan di negara lain).
  3. Penyerang dari Indonesia lebih berdedikasi? hi hi hi

Atau ada apa lagi ya? Nampaknya saya harus ketemu Akamai untuk klarifikasi hal ini.


Keamanan Industrial Control System

Dalam acara Cyber Intelligence Asia 2014 kemarin, salah satu topik yang dibahas adalah tentang kemanan (security) dari Industrial Control System (ICS). ICS adalah perangkat kendali (controller) di tempat-tempat seperti pabrik dan pembangkit listrik. Masalah keamanan dari ICS ini mulai muncul ketika ditemukannya malware Stuxnet yang menginfeksikan perangkat kendali dari Siemens. Menurut teori konspirasi, malware tersebut dibuat oleh Amerika untuk menyerang instalasi nuklir Iran. Begitu ceritanya.

Dalam diskusi kemarin dipahami bahwa ada banyak malware yang sebetulnya tidak ditargetkan kepada ICS tetapi menginfeksi ICS juga. Pasalnya, perangkat komputer di pabrik jarang diupdate (diupgrade). Untuk apa juga? Kalau peralatan berjalan dengan baik, mengapa perlu diutak-atik? Jangan-jangan kalau diupdate malah tidak jalan. Rugilah perusahaan. Jadi virus komputer yang sudah kuno pun bisa jadi masih dapat menginfeksikan peralatan di pabrik.

Hal lain yang perlu dipahami juga adalah mental atau cara pandang engineers di pabrik juga berbeda dengan di perusahaan (corporate). Di pabrik, tujuan utama adalah sistem hidup, berjalan, dan menghasilkan produk. Availability lebih utama dibandingkan confidentiality.

Begitulah kira-kira singkatnya tentang masalah keamanan ICS ini.


Screen Privacy Application

Saya sedang berada di sebuah seminar dan ingin membuka komputer tetapi saya khawatir orang-orang yang duduk di belakang saya dapat melihat apa yang ada di layar saya. Padahal saya mau buka email, menjawab email, membuat proposal, atau bahkan hanya facebook-an. he he he. Seriously, saya sebetulnya ingin memperbaiki materi presentasi saya (untuk besok). Kalau saya edit sekarang, nanti orang-orang bisa lihat dan mungkin mengganggu mereka.

Nampaknya dibutuhkan sebuah aplikasi yang membuat layar komputer (notebook) saya hanya dapat dilihat oleh saya sendiri; screen privacy application. Aplikasi pelindung layar komputer ini membuat layar kita menjadi acak atau gelap jika tidak dilihat dengan menggunakan kacamata tertentu, misalnya. Nah.

Saat ini karena belum saya miliki, maka saya membuka layar ini dan orang-orang di belakang saya bisa lihat saya sedang ngeblog. hi hi hi.


Keysigning Party

Salah satu yang direncanakan pada kuliah saya tadi pagi adalah melakukan “keysigning party”. Setiap mahasiswa harus membuat pasangan kunci privat dan kunci publik. Kunci publik ini kemudian disimpan (upload) ke tempat tertentu. Kunci ini dapat “ditandatangani” oleh orang lain untuk meningkatkan keabsahannya. Jika saya menandatangani kunci tersebut, saya mengatakan bahwa kunci tersebut memang benar-benar diasosiasikan dengan orang ini. Demikian pula orang lain juga dapat menandatangani kunci publik saya untuk mengatakan bahwa memang kunci publik itu milik saya. Saling percaya ini menimbulkan kepercayaan yang disebut “web of trust”.

IMG_3954 keysign 1000

Foto di atas menunjukkan suasana kelas ketika melakukan keysigning ini. Hanya sayangnya network yang tersedia tidak mendukung untuk melakukan keysigning ini. Kami berada di belakang proxy yang membuat beberapa aplikasi (saya menggunakan GPG suite) sulit untuk melakukan proses keysigning ini. Sebetulnya bisa, tetapi manual dan laborious. he he he. Inginnya sih yang lebih otomatis. Lain kali kita akan mengadakan keysigning lagi ah.


Kuliah Semester Ini

Semester baru sudah dimulai di ITB. Ini sudah memasuki minggu kedua. Tentu saja langsung kesibukan datang. Tapi, lebih baik sibuk dengan pekerjaan daripada tidak ada pekerjaan, bukan?

Semester ini ternyata saya mengajar kuliah yang terkait dengan security saja. Ada tiga kuliah, (1) Keamanan Informasi (untuk S1), (2) network security (untuk S2), dan (3) incident handling (untuk S2 juga). Sebetulnya ada satu kuliah lagi – security juga, Security Architecture – tetapi saya batalkan karena saya sudah banyak mengajar dan pesertanya hanya 4 orang (sebelum PRS).

Mengajar tiga kuliah sudah cukup berat bagi saya. Saya heran ada dosen yang mengajar banyak kuliah. Entah mereka serius mengajarnya atau hanya ingin mendapatkan hal lain, seperti honor tambahan atau kenaikan pangkat atau pujian karena mengajar banyak. Entahlah.

Dan mulailah sibuk saya memperbaiki materi kuliah. Waduh.


Penyadapan Internasional oleh NSA

Kali ini Der Spiegel membeberkan informasi yang mengatakan bahwa NSA melakukan penyadapan secara global dengan berbagai cara. Yang menarik bagi saya adalah tadinya saya berpikiran bahwa penyadapan dilakukan terhadap orang-orang tertentu (target) yang memang memiliki nilai untuk disadap. Orang-orang yang “tidak penting” – misal ABG yang sedang ngobrol – bukanlah obyek yang akan disadap. Ternyata salah. Penyadapan ternyata dilakukan terhadap *semua orang*. Mana yang penting nanti dilihat ketika dibutuhkan. Wedaaasss. Apalagi kalau Anda seorang Muslim yang pernah browsing ke situs-situs yang dianggap berbahaya, sudah pasti Anda termonitor.

Dalam berita yang disampaikan, dan juga dalam video yang ada pada bagian akhir dari berita ini, semua software dan hardware ternyata ditargetkan. Apapun perangkat Anda dan softwarenya, semua dapat dimonitor dan bahkan dikendalikan dari jarak jauh. Ngeri sekali. Banyak perusahaan yang kaget karena ternyata produk-produk mereka memiliki kelemahan (security hole) yang kemudian dieksploitasi tanpa pemberitahuan. Mampuslah perusahaan-perusahaan Amerika. Mereka merasa dikadali di negara mereka sendiri. Pusing tujuh keliling. Pelanggan dunia mana mau beli produk mereka lagi. (Apple baru-baru ini membuat press rilis dan mengatakan NSA adalah “malicious hackers”. he he he.)

Oh ya, apakah kita memiliki kemampuan untuk menangkalnya? Dalam skala yang besar seperti ini? Bahkan perusahaan besar sekalipun kebingungan. Apalagi kita ya? Kita santai saja? Toh tidak ada yang penting dalam kehidupan kita. hi hi hi. (Apa iya?)

Ah, tentu saja halaman blog ini juga mestinya sudah di-archive di sana ya? Hi, guys.


Keamanan (Algoritma) Kriptografi

Kadang orang terlalu mengandalkan kepercayaan kepada algoritma kriptografi yang digunakan. Padahal algoritma tersebut masih bergantung kepada banyak hal lainnya, misalnya ada ketergantungan kepada random number generator. Selain itu kelemahan juga dapat berada pada protokol yang menggunakan algoritma tersebut. Dengan kata lain, algoritmanya sendiri boleh jadi bagus tetapi pemanfaatannya yang kurang tepat.

Sebagai contoh, berikut ini adalah berita mengenai dugaan adanya pelemahan algoritma buatan RSA. (Silahkan baca berita ini.) Dalam kasus ini yang dilemahkan bukan algoritmanya tetapi pemanfaatan dari random number generator. Nah.

Ambil contoh pemilihan kunci. Biasanya kita menggunakan random number generator untuk menghasilkan kunci yang berbeda dengan orang lain. Bayangkan kalau random number generator yang kita gunakan sudah dipermak sedemikian rupa sehingga ternyata kunci yang dihasilkan itu hanya berkisar antara sejumlah angka saja. Nah! Bagi penyerang ya dia tinggal mencoba sejumlah kunci tersebut, bukan dari semua kombinasi kunci yang mungkin. Kombinasi semua kunci ini biasanya sangat besar sekali sehingga tidak mungkin dilakukan (serangan secara brute force). Ini hanya sebuah contoh saja.

Intinya adalah algoritma yang bagus saja boleh jadi belum cukup untuk mengamankan sistem kita.


Seven 2013: day 2

Gone are the days of “pair programming”. This is “quad programming”. Four heads are better than 1 or even 2.

BR day 2 quad programming 1000

It was the regular (crypto) research meeting. This time we decided to start coding, writing python code to do simple point arithmetic in elliptic curve.

This is the actual photo: wenny, rudy, mirza, and ardo.

IMG_2994 quad programming 1000


Tentang Penyadapan Itu

Sekarang sedang ramai dibahas mengenai penyadapan yang dilakukan oleh Amerika Serikat dan negara-negara lainnya. Sebetulnya saya tidak terlalu ingin untuk membahas ini di ruang publik. Topik yang terkait dengan intel sebaiknya dibahas dalam ruang tertutup. hi hi hi. Namun karena semakin banyak yang ribut dan tidak menggunakan referensi / data yang benar, asal mangap, maka saya buat tulisan ini.

Pertama, ada tugas dari agen rahasia (spy, intel) untuk mengumpulkan data dengan cara apapun. Saya ulangi, dengan cara apapun. Syaratnya hanya satu, yaitu tidak boleh ketahuan. ha ha ha. Namanya juga agen rahasia. Ya harus rahasia.

Nah, yang diributkan saat ini adalah karena ketahuan. Kalau tidak ketahuan, atau hanya diketahui di lingkungan terbatas, maka tidak akan terjadi keributan seperti sekarang. Sudah ada banyak referensi yang membahas mengenai hal ini. Majalah IEEE Spectrum sudah dua kali membahas ini secara terbuka; tentang Echelon dan tentang penyadapan yang dilakukan terhadap pejabat di Yunani. (Referensi ada di materi kuliah saya tentang Kriptografi.)

Penyadapan dan perlindungan data sudah berlaku sejak jaman dahulu kala. Bahkan dikatakan perang dunia kedua berakhir dengan lebih cepat karena pihak Sekutu berhasil memecahkan sistem persandian dari Jerman, yang menggunakan perangkat Enigma. (Silahkan kunjungi situs Bletchley Park.) Kita juga bisa mundur lagi ke jaman Julius Caesar, dengan Caesar Chiper-nya.

Inti yang ingin saya sampaikan adalah bahwa penyadapan sudah berlangsung dari dahulu dan akan tetap berlangsung.

Kedua. Jika sudah kita sadari bahwa nature dari kegiatan ini adalah saling sadap, maka kita harus menguasai teknologi dan teknik untuk melakukannya dan melindungi diri. Adalah bodoh kalau kita hanya mengatakan bahwa pihak lain tidak boleh menyadap tetapi kita sendiri tidak melindungi diri kita sendiri. Sebagai contoh, tentunya kita harus menerapkan perlindungan terhadap data yang sensitif – yang biasanya terkait dengan pemerintahan / militer.

Perlindungan ini tidak hanya dilakukan secara teknologi atau teknis saja, tetapi terkait juga dengan manusianya dan prosedurnya. Sebagai contoh, komunikasi antar pejabat tidak boleh menggunakan perangkat komunikasi komersial biasa, harus menggunakan perangkat yang dikembangkan oleh instansi yang khusus untuk menangani hal ini. Kalau di Indonesia, ini adalah Lembaga Sandi Negara. Mereka sudah mengembangkan teknologinya. Sekarang tinggal maukah para pejabat itu menggunakannya?

Lainnya … nah itu sih rahasia. :)


ID-CERT Mendapat Penghargaan Dari Australia

Tadi pagi saya hadir di gedung Cyber untuk mengikuti acara penerimaan penghargaan, sebuah medali 10 tahun AP-CERT. Ceritanya, ID-CERT (Indonesia Computer Emergency Response Team) mendapat penghargaan dari Pemerintah Australia. ID-CERT merupakan salah satu pendiri (founder) dari Asia Pacific CERT (AP-CERT). Tahun ini AP-CERT mencapai usia 10 tahun dan penghargaan diberikan kepada founder-founder dari AP-CERT.

Bagi saya, ini merupakan hal yang menggembirakan karena kegiatan kami mendapat pengakuan (acknowledgment / appreciation). Ini membuat kami lebih bersemangat lagi untuk berkontribusi kepada dunia security Indonesia.

Terima kasih …

Berita terkait dapat dilihat di situs web ID-CERT. Foto-foto harus menunggu upload dari kawan-kawan yang memotret event itu.


eKTP rusak difotocopy? Ah yang bener …

Belakangan ini ada ribut-ribut soal eKTP. Katanya eKTP rusak kalau difotocopy. Aneh bagi saja. Alasannya apa? Apa yang merusak? Sinar dari mesin fotocopy? Gelombang magnetik? Tidak dijelaskan. Kalau fotocopy merusak, apa mesih fotocopy tidak berbahaya bagi kesehatan? Nah lho. Nanti apa eKTP tidak boleh discan, tidak boleh difoto pakai blitz, dan seterusnya. Banyak sekali isu palsu tentang ini.

Jika memang benar eKTP gampang rusak, maka desainnya demikian buruk! Mosok senggol dikit rusak. Padahal KTP kan harus reliable. Dia harus bisa dikantongi (dalam dompet, kantong yang lembab) atau ter-abuse (kena panas, dingin, dan seterusnya). Bayangkan, kartu-kartu lain (kartu bank) kok bisa tidak rusak? hi hi hi.

Kalau eKTP tidak dapat dicopy dalam artian di-cloning. Nah itu saya baru setuju. Harusnya demikian.

Bacaan lain:


Akademik vs. Populer

Saat ini saya menugaskan mahasiswa untuk membuat makalah sebagai bagian dari penilaian kuliah keamanan informasi (information security). Saya meminta mahasiswa untuk membuat makalah yang akademik, bukan artikel populer. Resminya sih namanya technical report. Ternyata mahasiswa banyak yang bingung karena belum mengerti maksudnya artikel yang akademik. Maklum mereka mungkin belum pernah menulis makalah untuk seminar atau jurnal.

Ukuran tingkat kesulitan dari makalah tersebut kira-kira begini. Tulisan tersebut kalau dikirimkan ke majalah – bahkan majalah komputerpun – akan dianggap terlalu teknis dan tidak ada pembacanya. Tulisan akan ditolak editor. Sementara itu kalau makalah dikirimkan ke jurnal akan dianggap terlalu rendah (tidak ada kebaharuan).

Makalah juga tidak boleh menjelaskan secara normatif. Kalimat di bawah ini kurang kena (seperti politisi saja – hi hi hi):

Penggunaan kartu kredit memiliki risiko sehingga pengamanan harus dilakukan dengan baik.

Jika kalimat di atas hanya digunakan sebagai kalimat pembuka tentu saja boleh, tetapi kalau pembahasannya hanya sebatas itu maka tidak boleh. Kurang teknis. Kurang akademik. Pembahasan yang saya maksud misalnya adalah menggunakan kriptografi sehingga brute force attack terhadap passwordnya membutuhkan 2^299 kombinasi. Something like that … Adanya persamaan matematik juga dapat menunjukkan ke-akademik-annya. hi hi hji.

Tentu saja maksud saya bukan membuat makalah menjadi lebih pelik dengan menggunakan kata-kata yang sulit dimengerti. Banyak orang yang melakukan hal ini dengan tujuan untuk membingungkan. Bingung = akademik? Salah. Ini juga akan mengurangi penilaian karena sisi kejelasan (clarity) akan mendapatkan nilai kecil.

Tulisan ini jelas tidak akademik. Ini masuk ke kategori tulisan populer.


IT Security Untuk Perpustakaan

Saya sedang membuat materi presentasi tentang IT security untuk perpustakaan. Ternyata tidak mudah. Salah satu hal yang menjadi ganjelan saya adalah, apa saja aset teknologi informasi perpustakaan?

  1. Perangkat (devices, komputer, dll. dicuri / dirusak);
  2. Data anggota (dicuri? dijual? adakah nilainya?);
  3. Sistem perpustakaan diterobos (sehingga data buku pinjaman kita dihapus?);
  4. eBooks / online journals (apakah memang ada perpustakaan di Indonesia yang menyediakan eBooks? Masalah HaKI?);
  5. Sistem IT (termasuk network, digunakan untuk menyerang pihak lain);
  6. Apa lagi ya?

Masih berpikir keras (dan akan menambahkan data di daftar itu). Selain itu saya akan juga tambahkan dengan ancaman terhadap aset itu.


Topik Minggu Ini, Kriptografi

Entah kenapa, topik yang paling banyak saya bahas di kelas dan juga dalam bimbingan mahasiswa adalah kriptografi. Kebetulan memang kuliah yang saya ajarkan adalah kuliah keamanan, tetapi keamanan tidak selalu identik dengan kriptografi. Mungkin saja memang ini hanya kebetulan, karena ini sudah memasuki pertengahan perkuliahan.

Pembahasan kriptografi yang saya lakukan mulai dari sejarahnya dulu, kemudian beranjak ke konsep yang lebih susah. Mulai dari kriptografi kunci privat sampai ke kriptografi kunci publik. Mulai dari algoritma DES sampai ke RSA. ECC hanya disentuh sedikit di kelas tetapi banyak didiskusikan pada peneltian. Ada beberapa mahasiswa yang akan meneliti soal ini. Kelompok penelitian kami pun sedang melakukan penelitian tentang serangan terhadap ECC dengan menggunakan metoda Pollard rho dan/atau Pollard lamda. Seru dan pusing. Untungnya tim kami terdiri dari orang dengan berbagai latar belakang.

Yang bikin puyeng juga adalah menjelaskannya kepada mahasiswa. Ada beberapa hal yang menurut saya sangat gamblang ternyata membingungkan bagi banyak orang. Memang dulu saya juga sempat bingung dan sekarang lupa lagi. he he he. Mencoba untuk membuat kriptografi mudah dipahami dan menyenangkan. Mari ah.


Ikuti

Get every new post delivered to your Inbox.

Bergabunglah dengan 1.594 pengikut lainnya.