Tag Archives: security

eKTP rusak difotocopy? Ah yang bener …

Belakangan ini ada ribut-ribut soal eKTP. Katanya eKTP rusak kalau difotocopy. Aneh bagi saja. Alasannya apa? Apa yang merusak? Sinar dari mesin fotocopy? Gelombang magnetik? Tidak dijelaskan. Kalau fotocopy merusak, apa mesih fotocopy tidak berbahaya bagi kesehatan? Nah lho. Nanti apa eKTP tidak boleh discan, tidak boleh difoto pakai blitz, dan seterusnya. Banyak sekali isu palsu tentang ini.

Jika memang benar eKTP gampang rusak, maka desainnya demikian buruk! Mosok senggol dikit rusak. Padahal KTP kan harus reliable. Dia harus bisa dikantongi (dalam dompet, kantong yang lembab) atau ter-abuse (kena panas, dingin, dan seterusnya). Bayangkan, kartu-kartu lain (kartu bank) kok bisa tidak rusak? hi hi hi.

Kalau eKTP tidak dapat dicopy dalam artian di-cloning. Nah itu saya baru setuju. Harusnya demikian.

Bacaan lain:


Akademik vs. Populer

Saat ini saya menugaskan mahasiswa untuk membuat makalah sebagai bagian dari penilaian kuliah keamanan informasi (information security). Saya meminta mahasiswa untuk membuat makalah yang akademik, bukan artikel populer. Resminya sih namanya technical report. Ternyata mahasiswa banyak yang bingung karena belum mengerti maksudnya artikel yang akademik. Maklum mereka mungkin belum pernah menulis makalah untuk seminar atau jurnal.

Ukuran tingkat kesulitan dari makalah tersebut kira-kira begini. Tulisan tersebut kalau dikirimkan ke majalah – bahkan majalah komputerpun – akan dianggap terlalu teknis dan tidak ada pembacanya. Tulisan akan ditolak editor. Sementara itu kalau makalah dikirimkan ke jurnal akan dianggap terlalu rendah (tidak ada kebaharuan).

Makalah juga tidak boleh menjelaskan secara normatif. Kalimat di bawah ini kurang kena (seperti politisi saja – hi hi hi):

Penggunaan kartu kredit memiliki risiko sehingga pengamanan harus dilakukan dengan baik.

Jika kalimat di atas hanya digunakan sebagai kalimat pembuka tentu saja boleh, tetapi kalau pembahasannya hanya sebatas itu maka tidak boleh. Kurang teknis. Kurang akademik. Pembahasan yang saya maksud misalnya adalah menggunakan kriptografi sehingga brute force attack terhadap passwordnya membutuhkan 2^299 kombinasi. Something like that … Adanya persamaan matematik juga dapat menunjukkan ke-akademik-annya. hi hi hji.

Tentu saja maksud saya bukan membuat makalah menjadi lebih pelik dengan menggunakan kata-kata yang sulit dimengerti. Banyak orang yang melakukan hal ini dengan tujuan untuk membingungkan. Bingung = akademik? Salah. Ini juga akan mengurangi penilaian karena sisi kejelasan (clarity) akan mendapatkan nilai kecil.

Tulisan ini jelas tidak akademik. Ini masuk ke kategori tulisan populer.


IT Security Untuk Perpustakaan

Saya sedang membuat materi presentasi tentang IT security untuk perpustakaan. Ternyata tidak mudah. Salah satu hal yang menjadi ganjelan saya adalah, apa saja aset teknologi informasi perpustakaan?

  1. Perangkat (devices, komputer, dll. dicuri / dirusak);
  2. Data anggota (dicuri? dijual? adakah nilainya?);
  3. Sistem perpustakaan diterobos (sehingga data buku pinjaman kita dihapus?);
  4. eBooks / online journals (apakah memang ada perpustakaan di Indonesia yang menyediakan eBooks? Masalah HaKI?);
  5. Sistem IT (termasuk network, digunakan untuk menyerang pihak lain);
  6. Apa lagi ya?

Masih berpikir keras (dan akan menambahkan data di daftar itu). Selain itu saya akan juga tambahkan dengan ancaman terhadap aset itu.


Topik Minggu Ini, Kriptografi

Entah kenapa, topik yang paling banyak saya bahas di kelas dan juga dalam bimbingan mahasiswa adalah kriptografi. Kebetulan memang kuliah yang saya ajarkan adalah kuliah keamanan, tetapi keamanan tidak selalu identik dengan kriptografi. Mungkin saja memang ini hanya kebetulan, karena ini sudah memasuki pertengahan perkuliahan.

Pembahasan kriptografi yang saya lakukan mulai dari sejarahnya dulu, kemudian beranjak ke konsep yang lebih susah. Mulai dari kriptografi kunci privat sampai ke kriptografi kunci publik. Mulai dari algoritma DES sampai ke RSA. ECC hanya disentuh sedikit di kelas tetapi banyak didiskusikan pada peneltian. Ada beberapa mahasiswa yang akan meneliti soal ini. Kelompok penelitian kami pun sedang melakukan penelitian tentang serangan terhadap ECC dengan menggunakan metoda Pollard rho dan/atau Pollard lamda. Seru dan pusing. Untungnya tim kami terdiri dari orang dengan berbagai latar belakang.

Yang bikin puyeng juga adalah menjelaskannya kepada mahasiswa. Ada beberapa hal yang menurut saya sangat gamblang ternyata membingungkan bagi banyak orang. Memang dulu saya juga sempat bingung dan sekarang lupa lagi. he he he. Mencoba untuk membuat kriptografi mudah dipahami dan menyenangkan. Mari ah.


Masalah IT Security di Asia

Saya sedang di acara Cyber Intelligence Asia, yang diselenggarakan di Kuala Lumpur, mendengarkan beberapa presentasi tentang masalah keamanan IT di lingkungan Asia. Beberapa presentasi pagi ini bercerita tentang kondisi cyber security di Malaysia (di berbagai instansi pemerintah dan juga pemerintah daerah, dalam hal ini adalah Sabah).

Salah satu hal yang menarik adalah pemerintah Malaysia sudah membuat berbagai inisiatif untuk menyikapi masalah keamanan di dunia cyber. Sebagai contoh, pada tahun 2006 mereka membuat Cyber Security Policy yang baru dapat dieksekusi di tahun 2008. Setelah itu ada beberapa inisiatif yang telah mereka lakukan.

Selain pembicara dari Malaysia, ada juga pembicara dari Thailand, Kamboja, dan Jepang. Saya sendiri akan memberi presentasi tentang kondisi IT security di Indonesia berdasarkan data yang kami terima di ID-CERT. Ternyata permasalahan yang terjadi hampir sama; malware, phishing, network attack (terutama DDoS attack), dan berbagai penipuan lainnya. Ada beberapa kejadian yang dijelaskan secara gamblang. Misalnya bagaimana tim keamanan Hongkong memecahkan kasus pemerasan di internet. Seru juga.

Yang penting dalam acara ini adalah berbagi informasi dan pengalaman. Dan tentu saja untuk mengenal satu sama lainnya sehingga terjadi kordinasi.


Pencurian Data

Baru saja saya diwawancara tentang keamanan server-server di Indonesia. Salah satu pemicunya ternyata adalah kasus pencurian data. Lucunya pencurian data ini dilakukan dengan mencuri harddisk. Ini namanya physical security. hi hi hi.

Banyak orang berpikiran bahwa pencurian data itu harus dengan teknik yang sangat sulit. Ternyata teknik colong-mencolong konvensional masih paten juga. he he he.

Saya kemudian berpikir. Data apa di dalam harddisk itu yang berharga untuk dicuri ya? Jangan-jangan isinya hanya game saja. Nah.


Pertemuan Tahunan ID-CERT

Ingin mengumumkan bahwa akan ada pertemuan tahunan ID-CERT (Indonesia Computer Emergency Response Team). Terbuka untuk umum, tetapi harus mendaftar (untuk memastikan jumlah kehadiran). Informasi mengenai acara ini dapat dilihat di situs ID-CERT.

Silahkan …


Masih Tetap IRC

Minggu lalu saya memantau ID-CERT (Indonesia Computer Emergency Response Team) ketika mengikuti drill security yang diselenggarakan oleh AP-CERT (Asia Pacific Computer Emergency Response Team). Salah satu mekanisme komunikasi yang digunakan untuk berkoordinasi para CERT di seluruh Asia Pacific ini ternyata (masih) menggunakan Internet Relay Chat (IRC). Ternyata IRC masih dianggap sebagai cara komunikasi dengan banyak orang yang paling reliable.

Wah, ini cara komunikasi yang sudah jadul. Saya sampai lupa perintah-perintah IRC. Masih ada yang ingat ketika mIRC menjadi klien chat yang paling populer? Nampaknya harus belajar lagi nih.


Ribut Hacking

Ya ampun … pada ribut soal hacking, defacing (mengubah tampilan situs web), dan seterusnya. Minggu lalu bahkan saya ditelepon wartawan asing soal defacing-defacing-an ini. Ya saya tidak dapat menjawab kalau soal kasus kemarin itu.

Seberapa susahnya sih melakukan defacing? Hmmm … Mungkin saya jawab dengan menggunakan analogi saja ya. Seberapa susah membuat grafiti – mebuat corat-coret di dinding – pada sebuah bangunan? Jawabannya tentu bergantung kepada bangunan yang dimaksudkan. Grafiti di rumah sendiri, bisa dilakukan tetapi bakalan digaplok orang tua. he he he.

Grafiti di rumah tetangga sebelah? Mungkin tidak susah, tapi tidak keren dan kasihan. Rumah mereka yang sederhana kok dicorat-coret. Orangnya baik kok. Apalagi kalau rumah tetangga itu milik nenek-nenek jompo. Kasihan ah. Gampang, tapi mungkin tidak kita lakukan. Malah kita malu kalau melakukannya.

Grafiti di bangunan milik publik? Tergantung. Kalau bangunan publik ini adalah kantor yang sudah lama tidak ditinggali, kayaknya sih gampang. Tinggal berani lawan sama hantu yang sudah terlanjur tinggal di sana. he he he. Kalau bangunan publik yang masih digunakan, tetapi pegawainya tidak peduli, nampaknya tidak terlalu susah. Ya itu dia. Pegawainya tidak peduli. Kita bawa kaleng cat pun mereka nonton saja. Gedung bangunan milik pemerintah yang dirawat dan pegawainya peduli, nah … ini susah. Secara teknis bisa saja sih, tapi kita bakalan ketahuan.

Begitulah kira-kiranya. Kita dapat melanjutkan cerita di atas dengan gedung yang sangat penting, gedung tempat kita melakukan transaksi (bank), gedung sekolahan kita, masjid (nekad?), dan seterusnya. Silahkan dibayangkan dan dikhayalkan.

Jadi seberapa susah melakukan defacing (grafiti)? … nah …


Memetakan Komunitas Security di Indonesia

Salah satu hal yang sedang saya coba inisisasi adalah melakukan pemetaan kemampuan sumber daya manusia (SDM) IT Security di Indonesia. Ini terkait dengan kebutuhan dari industri dan persiapan pendidikan di perguruan tinggi. (Sebagai catatan, ITB akan membuka S2 khusus untuk IT Security tahun 2013.)

Sebagai awal, saya akan memulai membuat taksonomi secara umum. Kemudian nantinya akan saya revisi. Mohon masukan dan koreksi.

  1. Perguruan Tinggi (pendidikan & penelitian).
    ITB (Pendidikan S2, S3. Penelitian: hardware, software, kriptografi)
    IT Telkom (Pendidikan S2. Penelitian: kriptografi)
  2. Pemerintahan. Kominfo (Kaminfo / Gov-CSIRT, ID-SIRTII), Lembaga Sandi Negara, Badan Inteljen Negara, POLRI, …
  3. Organisasi: ID-CERT, …
  4. Komunitas: Jasakom, Echo, RNDC, … (mohon informasi yang masih aktif)

Saya akan membuat sebuah survey mengenai kemampuan ini. Sebagai contoh, saya ingin mengetahui komunitas-komunitas yang masih aktif; jumlah anggotanya, visi/binding values, skill set, obyektif, aktivitas, dan seterusnya. Untuk untuk pemerintahaan: tupoksi, jumlah SDM, dll. Pertanyaan-pertanyaan apa lagi yang perlu ditanyakan ya? Saya akan membuatkan form survey-nya.

Saya membutuhkan contact person untuk mendapatkan data yang lebih lengkap. Data ini akan saya anggap sebagai confidential dan hanya rangkuman (agregat) saja yang akan saya tampilkan.

Menanti masukan …

Form untuk memasukkan data (versi 0.1): Survey Organisasi IT Security


Foto-foto

Pak Ashwin Sasongko membuka IISF (Indonesia Information Security Forum) 2012.

Ian Brown, Oxford University

Ini yang ada di atas meja di hadapan saya.


Perang Siber: Cyberwar

Ada sebuah pertanyaan yang menggelitik, apakah benar ada acaman dalam bentuk perang di dunia siber (cyberwar)? Apakah isu ini dibesar-besarkan ataukah memang nyata?

Pertanyaan ini muncul karena baru-baru ini ditemukan malware, yaitu program yang memiliki itikad jahat (malicious software), yang menargetkan negara-negara tertentu. Atau, lebih tepatnya malware tersebut menargetkan infrastruktur yang banyak digunakan di negara tersebut. Sebagai contoh ada dugaan bahwa worm stuxnet dikembangkan untuk menyerang negara Iran dengan cara menyerang aplikasi yang menggunakan software untuk industri buatan Siemens.

Kalau kita mundur sedikit. Kita hidup di dunia nyata dan dunia maya (dunia siber). Jika kedua dunia ini terpisah, maka kekacauan – dalam bentuk perang sekalipun – di dunia siber tidak mengganggu dunia nyata kita. Mungkin kita tidak perlu terlalu khawatir. Kita perlu waspada jika ternyata kedua dunia ini sudah beririsan dan saling terkait. Nah, apakah dunia nyata dan siber ini terkait?

Dahulu saya berpendapat bahwa dunia nyata dan siber dapat dipisahkan. Namun sekarang tidak lagi. Banyak aspek kehidupan nyata kita yang terkait dengan dunia siber. Sebagai contoh, aktivitas eknomi bergantung kepada penggunaan ATM dan transaksi uang secara elektronik. Macetnya atau matinya sistem keuangan elektronik tersebut dapat berdampak kepada kehidupan kita sehari-hari. Memang masih perlu diteliti dahulu apakah dampaknya hanya sebatas ketidaknyamanan (inconvenience) atau sampai fatal. Untuk itu perlu dilakukan kajian terhadap infrastruktur dari sebuah negara. Hasilnya adalah sebuah kegiatan untuk memproteksi infrastruktur yang sangat penting (critical) bagi berlangsungnya sebuah negara, ini dikenal dengan istilah national critical infrastructure protection. Sayangnya saya belum mengetahui apakah hal ini sudah dilakukan di Indonesia.

Jika kita berkesimpulan bahwa dunia nyata dan dunia siber tidak dapat dipisahkan, maka masalah keamanan di kedua dunia itu harus diseriusi. Perang antar negara dapat terjadi di kedua dunia tersebut. Bahkan beberapa negara sudah memutuskan bahwa dunia siber merupakan arena perang (battle field) yang sah.

Sampai sekarang kita belum tahu apakah ada negara lain yang menargetkan kita dalam perang sibernya. Apakah kita siap jika terjadi perang di dunia siber? Apa yang harus kita persiapkan? SDM? Penguasaan teknologi? Apa lagi?

Bahan bacaan

  1. Stuxnet (dari Wikipedia)
  2. Dept. Homeland Security – Capabilities for Cybersecurity Resilience
  3. Flame virus
  4. ‘Flame’ cyberespionage worm discovered on thousands of machines across Middle East
  5. News: Iran Detects Massive Cyber Attack
  6. IEEE Spectrum: Declaration of Cyberwar

Keamanan Pengumpulan Data Sidik Jari PNS?

Saya mendapat berita bahwa sekarang sedang dilakukan pengumpulan data sidik jari PNS. Terlepas dari pro kontra perlu atau tidaknya, saya ingin menanyakan beberapa hal yang terkait dengan keamanan (security) karena ini bidang saya.

  1. Siapa yang bertanggungjawab terhadap program/proyek pengumpulan data sidik jari PNS ini? Jika terjadi kebocoran data atau masalah keamanan lainnya, siapa yang bertanggungjawab?
  2. Apakah masalah keamanan data dari sidik jari ini sudah dikaji?
  3. Apa keperluan pengumpulan data sidik jari ini? Siapa saja atau aplikasi apa saja yang boleh menggunakan data sidik jari ini? (Perlu diingat bahwa data ini dapat diperjualbelikan. Kita tidak ingin data ini jatuh kepada pihak yang tidak berhak, atau lebih seram lagi jatuh ke tangan pihak asing.)
  4. Proses pengambilan, penyimpanan, pemrosesan, distribusi, dan penggunaan data sidik jari ini harus dipastikan aman. Sebagai contoh, dimana data disimpan? Perlindungan apa yang telah dilakukan (people, process, technology)? Misal, siapa saja yang berhak akses ke data? Apakah akses tercatat? Di berapa tempat? Dan seterusnya. Ada banyak detail yang harus dijelaskan di sini.

Perlu diingat bahwa kalau passwod kita dicuri atau hilang, maka kita bisa mengganti password tersebut. Kalau data biometrik (dalam hal ini adalah sidik jari) kita hilang atau dicuri, apakah kita mau mengganti (sidik) jari? Data sidik jari adalah data pribadi yang sama sensitifnya seperti password. Dia harus dilindungi dengan serius.

Jika pertanyaan-pertanyaan di atas belum dapat terjawab, sebaiknya pengumpulan data ini ditunda dahulu. Bagi yang belum melakukannya, ajukan surat pernyataan jaminan keamanan secara tertulis dari pihak yang mengumpulkan data.


Kelas Saya Hari Ini

Berikut ini adalah suasana di kelas saya pagi ini. Ini adalah kelas II3062 – Keamanan Informasi. Jumlah mahasiswa waktu sebelum PRS adalah 100-an orang. Tadi saya lihat di daftar hadir sudah ada lebih dari 120 orang yang terdaftar. Yang hadir tadi pagi ada sekitar 110 orang. Wuih. Kelas padat :) Kursi … habis. Kalau semua hadir nampaknya ada yang harus berdiri atau duduk di lantai :)

[Tampak Kanan dari arah depan kelas. Agak kabur karena tangan bergerak.]

[Tampak Kiri] Mahasiswa memilih untuk menunjukkan “V” for “victory” :)


Beritahu Lokasi Atau Tidak?

Sekarang ada banyak aplikasi yang membutuhkan lokasi kita untuk menentukan jawaban / saran. Location-based services, nama kerennya. Ketika kita mencari sebuah restoran, maka restoran yang terdekat dapat muncul paling atas dalam daftar pencarian. Atau aplikasi lain mungkin menunjukkan teman yang ada di dekat kita.

Nah, masalahnya apakah lokasi tempat kita berada itu sesuatu yang seharusnya privat atau tidak? Apakah ini masalah privasi?

Saya pribadi tidak terlalu suka sistem memberitahukan lokasi saya. Kalau saya ingin memberitahukan lokasi saya, maka saya tulisakan secara eksplisit. Saya tidak mau sistem melakukannya untuk saya. Itulah sebabnya saya mematikan (disable) fitur yang terkait dengan lokasi.

Memberi tahu lokasi juga dapat menjadi masalah. Kalau kita beritahukan lokasi kita sedang berada di luar, orang jahat bisa tahu bahwa kita sedang tidak berada di rumah. Nah lho. Maklum, kita kan tidak tahu orang di luar sana.

Bagaimana menurut Anda?


Ikuti

Get every new post delivered to your Inbox.

Bergabunglah dengan 1.853 pengikut lainnya.