Maaf posting kali ini agak berbau iklan pribadi.
Tanggal 22 dan 23 November 2011 ini kami (indocisc) akan mengadakan training security. Silahkan lihat informasinya di training.indocisc.com. Isinya lebih ke aspek teknis (berbeda dengan kuliah kelas saya yang lebih banyak ke aspek prinsip). Isinya merupakan pengalaman yang kami lakukan selama memberikan layanan security kepada beberapa klien.
Begitu … See you there …
Kemarin saya mengikuti (dan mengisi) acara seminar security yang diselenggarakan oleh Kominfo di hotel Savoy Homan, Bandung. Acara dibuka oleh Menkominfo.
Telah disadari bahwa dunia cyber hal yang nyata, maka ada hal-hal yang terkait dengan cyberwar and cybercrime. Untuk menghadapi hal tersebut, Menkominfo mengusulkan tiga (3) strategi security:
Saya sendiri mempresentasikan “Peranan Indonesia Computer Emergency Response Team (ID-CERT) dalam Keamanan Informasi Cyber Space”. Materi presentasi saya bisa diambil di sini:
Hari ini saya memberikan presentasi tentang cloud computing di IT Telkom. Presentasi lumayan lancar.
Materi presentasinya hanya merupakan update dari materi presentasi yang dulu pernah saya presentasikan. Sebetulnya ada hal-hal yang bisa dielaborasi lebih lanjut, seperti misalnya masalah terbenturnya cloud computing dengan masalah regulasi. Tapi ini mungkin membutuhkan pembahasan terpisah. Mungkin nanti bisa saya mulai diskusinya di blog ini. Sementara ini masih ada kerjaan yang harus dibereskan. Sekarang belum sempat … woro-woro dulu aja 
Hari ini saya mau ngajar tentang konsep services dan nantinya ke port scanning. Nah, saya ingin memberikan contoh-contohnya. Hanya saja saya terbiasa dengan Linux he he he. (Lokasi berkas konfigurasi, perintah, dan seterusnya.) Sekarang saya harus menunjukkannya dengan menggunakan Mac OS X. Layer GUI sedikit menutupi apa yang ada di bawah layar. Ini yang harus saya tebas.
Langkah pertama yang saya sedang cari adalah bagaimana mengaktifkan sebuah service, katakanlah service echo. Apakah ini bisa langsung dijalankan dengan mengedit sebuah konfigurasi di /etc/something? Ataukah saya harus menggunakan inetd atau xinetd? Ini saya masih belum jelas. Beberapa servis lainnya sudah tersedia sehingga mudah, tapi bagaimana dengan servis yang khusus?
Selain itu juga saya masih mencari lokasi berkas konfigurasinya. Misalnya saya mau menjalankan layanan ftp dari sebuah program yang saya rakit (compile) sendiri. Bagaimana saya memberitahu {x}inetd untuk menjalankan servis tersebut di port tertentu?
Sementara ini saya sedang ngulik perintah /sbin/service, launchctl, SystemStarter, dan kawan-kawan. Searching internet, opening man pages, …
Akhirnya yang saya gunakan adalah /sbin/service, untuk menyalakan ssh, ftp, dan telnet. Tapi saya masih belum tahu bagaimana menyalakan echo, chargen, dan discard
Salah satu hal yang harus dikuasai oleh ahli security adalah penggunaan port. Tadi, secara random, saya lemparkan penomoran port ke mahasiswa saya. Ternyata sebagian besar tidak tahu (karena memang belum saya ajarkan – hi hi hi). Kadang saya merasa taken for granted apa yang sudah saya ketahui. hi hi hi. Jadi pemahaman port ini ternyata harus saya ajarkan. Siap grak.
Hmm … port berapa saja yang harus diketahui? 21, 25, 80, 110, 443, 3128, 8080, … elit ?
Datang awal sebelum kelas dimulai. Sebelum jam 7. Hanya ada satu mahasiswa yang sudah hadir.
Jam 7-an pagi. Kelas dimulai …
Setelah pukul 8:15 pagi …
Oh ya … mahasiswa di kelas saya ini ada 150 orang yang terdaftar.
Saya masih heran dengan keinginan pemerintah (dalam hal ini Kominfo) untuk tetap bersikeras untuk memaksa RIM memiliki server di Indonesia dengan alasan bahwa layanan BlackBerry (BB) menggunakan enkripsi yang tidak dapat disadap oleh pemerintah. Adanya keberadaan RIM di Indonesia (diasumsikan) mudah dilakukan penyadapan.
Yang membuat saya geleng-geleng kepala ini sebetulnya seperti mengatakan kepada para (calon) penjahat bahwa saya akan menyadap Anda ya… Kalau Anda tidak ingin disadap, jangan gunakan BlackBerry (BB). Ini malah akan menyulitkan penyidik 
( kaco. Sekarang penjahat tahu bahwa mereka akan “mudah” disadap.
Tapi okelah, sebagai faktor deterant (pembuat takut) boleh lah. Ini seperti tulisan di toko-toko bahwa toko in dipantau oleh CCTV, meskipun sebetulnya tidak. hi hi hi. Atau rumah yang ada tulisan “awas ada anjing galak”, padahal anjingnya kecil dan jinak. Lumayanlah untuk menakut-nakuti meskipun pada kenyataannya malah bikin susah.
Layanan BB memang ada yang menggunakan pengamanan data dengan enkripsi. Namun perlu diingat bahwa ini hanya salah satu cara pengamanan saja. Ada beberapa cara untuk menangkap data dan ini pernah didemokan di beberapa tempat, yang mana salah satunya adalah memancing untuk menggunakan access point gadungan untuk kemudian dilakukan penyerangan secara man in the middle (MITM) attack. Tidak mudah (karena harus memalsukan sertifikat segala – dan kemungkinan akan keluar error message) tetapi bisa. Saya lihat demonya dua tahun yang lalu.
Bagi orang yang memang memerlukan pengamanan data untuk komunikasi seluler, dia tidak akan menggunakan perlindungan bawaan dari vendor. Dia akan menggunakan perlindungan sendiri. Pasang software sendiri di perangkatnya dan di penerima. Ini merupakan end to end encryption yang menyulitkan penyadapan – oleh operator sekalipun. Layanan data (dari operator dan RIM) hanya dianggap sebagai “pipa” yang tidak aman. Lantas pemerintah mau apa? Oh ya, yang seperti ini pun bisa dilakukan dengan menggunakan layanan telekomunikasi biasa. Di tempat kami sempat dikembangkan produk telepon aman.
Pejabat yang membutuhkan komunikasi aman sudah jelas DILARANG menggunakan perangkat yang tidak mendapatkan lolos tes keamanan. BlackBerry yang digunakan untuk orang biasa jelas TIDAK BOLEH digunakan untuk keperluan komunikasi antar pejabat. Komunikasi yang penting harus menggunakan perangkat atau layanan yang memang sudah dievaluasi oleh pihak yang berhak, katakanlah Lembaga Sandi Negara.
Jadi … soal penyadapan RIM/BB merupakan hal yang tidak terlalu pas untuk dijadikan alasan. Moot point. Mudah-mudahan tulisan ini bisa memberikan pencerahan (lagi). Atau malah jadi gamang? Kalau gamang, ya pegangan. he he he.
Hari ini saya bekerja keras menulis technical report yang menjadi basis dari laporan penelitian di kampus. Sebentar lagi laporannya bakal ditagih. Kalau tidak dikerjakan sekarang, pasti nanti begadang-begadang terus.
Ternyata mengerjakan technical report ini tidak mudah. Setelah ditulis awal, saya review lagi laporannya. Ternyata banyak yang belum sempuran sempurna. Jadinya dicorat-coret seperti di foto ini.
Setelah itu dokumen harus diperbaiki. Jeleknya metoda ini adalah banyak kertas yang hilang percuma.
Yang lebih membuat repot sebetulnya adalah ada banyak sekali persamaan matematik di dalam dokumen itu. Untung saya mengerjakannya dengan menggunakan lyx, sehingga saya bisa lebih cepat menuliskan persamaan-persamaan tersebut. Bayangkan kalau saya harus menggunakan wordprocessor biasa. Wuih … bisa pegel linux
Ini adalah contoh hasil typeset saya. Ya, saya mengetikkan matriks itu dan juga rumus-rumus yang ada di halaman ini. Baguskan hasilnya? Seperti buku teks matematika atau seperti makalah beneran. (Padahal ini memang makalah beneran.)
Phew … istirahat sejenak.
Setelah kemarin saya memberikan “pemanasan” dengan tulisan “Kalikan Bilangan Ini“, maka sekarang saya naikkan tingkat kesulitannya.
Diketahui rumus berikut: z = (x^y) mod n, dimana “mod” merupakan operasi modulus. Berapakah z untuk data berikut:
x = 622288097498926496141095869268883999563096063592498055290461
y = 610692533270508750441931226384209856405876657993997547171387
n = 2425967623052370772757633156976982469681
z = ?
Bagaimana cara Anda menyelesaikan hal ini?
Catatan: rumus yang digunakan merupakan rumus yang digunakan oleh algoritma RSA. Angka yang digunakan kebetulan hanya 60 digit. Untuk RSA yang sesungguhnya, angka yang digunakan bisa mencapai 2048-bit.
Diketahui dua buah bilangan bulat x dan y. Dapatkah Anda menghitung z = x * y dengan data sebagai berikut.
x = 22953686867719691230002707821868552601124472329079
y = 30762542250301270692051460539586166927291732754961
z = ?
Catatan: x dan y merupakan dua buah bilangan prima dengan 50 digit Nanti kalau sudah berhasil, saya ambil contoh yang lebih panjang (100 digit, musalnya). hi hi hi.
Bagaimana Anda mengalikannya? Tools / software / cara / alat apa yang Anda gunakan? Saya sendiri kepikiran buat program sederhana dengan menggunakan library GMP.
Pagi ini tadinya saya berencana untuk menyelesaikan beberapa tulisan yang harus saya kerjakan, tetapi ternyata terlalu banyak distraction. Akhirnya fokus saya meloncat (atau melompat?) dari satu topik ke topik lainnya. Ini dia …
(Sebentar ah … fokus dulu. Mau menuntaskan yang mana dulu ya?
Salah satu mahasiswa saya sedang melakukan penelitian tentang keamanan informasi (security). Fokus utama penelitiannya adalah tentang penggunaan password. Ada banyak aspek yang ditelitinya, seperti misalnya adalah seberapa sering pengguna mengganti password, seberapa kuat password yang dipilihnya, dan seterusnya.
Salah satu hal yang sedang diteliti adalah apakah pengguna memakai password yang sama untuk aplikasi yang berbeda (password reuse). Untuk hal ini, peneliti sudah mendapatkan satu set password (secara legal tentunya) dari sebuah aplikasi. Nah, peneliti ingin menguji apakah password yang sama ini digunakan oleh pengguna untuk aplikasi yang lain, seperti misalnya facebook, yahoo, gmail, dan seterusnya. Apakah peneliti boleh langsung menggunakan data yang dia miliki untuk mencobakan password tersebut kepada account pengguna yang bersangkutan?
Masalahnya, jika pengguna ditanya, maka pengguna akan mengatakan passwordnya beda. Padahal dalam kenyataannya belum tentu. Ini yang menyebabkan peneliti mencoba langsung. Tentu saja data setiap individu tidak akan ditampilkan dalam hasil penelitian, tetapi hanya agregatnya saja.
Masalahnya, apakah yang dilakukan oleh peneliti ini legal atau tidak? Mohon masukan. (Kami belum mengeksekusi hal ini. Menunggu masukan dari berbagai pihak dulu.)
Baru saja saya selesai membuat entry untuk SEVEN, hari kedua. Ini saya kerjakan secara terburu-buru. Maklum, seharian acara penuh. Bahkan sampai jam 8 PM tadi saya baru selesai diskusi (meeting). Setelah itu baru bisa saya kerjakan. Dan 1 jam kemudian selesai. Hasilnya ini:
Silahkan diklik untuk mendapatkan ukuran yang aslinya (besar). Atau, kunjungi blog ini untuk mendapatkan entry hari ini dan seterusnya:
http://gbt.blogspot.com/2010/11/seven-day-2.html
Selamat dinikmati …
Tadi kami berdiskusi tentang kriptografi. Salah satu aspek yang dimanfaatkan oleh kriptografi adalah kesulitan memecahkan permasalahan matematik dengan skala (ukuran) yang besar. Mari kita ambil sebuah contoh.
Mengalikan dua buah bilangan (prima) mudah. Memfaktorkan bilangan (mencari pengalinya), susah. Contoh, ambil dua bilangan prima 7 dan 11. Mengalikan keduanya mudah. Hasil perkaliannya adalah 77. Memfaktor kan 77 sebenarnya masih mudah, tapi sudah mulai susah. Cari dua buah bilangan prima yang hasil perkaliannya adalah “77″. Jawabannya masih agak mudah ya? 7 dan 11.
Nah, sekarang kita coba dengan angka yang agak besar. Kalikan 5915587277 dengan 1500450271. (Keduanya bilangan prima. Silahkan dicoba. Hasilnya berapa ya? Silahkan postkan jawabannya di sini.) Sebut hasil perkalian tersebut adalah “n”.
Nah sekarang, diketahui “n” di atas. Cari kedua pengalinya dan keduanya harus prima. Nah lho … Tidak mudah kan? (Silahkan dicoba, baik secara manual maupun dengan bantuan program.) Bagaimana? Belum puas juga? Silahkan coba lagi dengan bilangan yang lebih besar, misalnya yang ada di sini:
http://primes.utm.edu/lists/small/small.html
Kalau belum puas lagi, cari bilangan yang lebih panjang lagi. 
Poin yang ingin saya sampaikan adalah masalah matematika dalam skala kecil bisa mudah, tetapi ketika skalanya menjadi besar maka dia menjadi sangat sukar. Inilah yang dimanfaatkan oleh kriptografi.
Selamat mencoba …
Hari ini kegiatan intelektual saya dimulai dengan diskusi mengenai security di sebuah kafe di jalan Dago. Ceritanya ada mahasiswa dari Malaysia yang ingin konsultasi tentang topik S3-nya dia di salah satu universitas di sana. Maka, janjianlah kami bertemu.
Awalnya kami akan bertemu di kampus, tetapi saya baru ingat bahwa di kampus tempat ngopi belum buka kalau pagi seperti ini (jam 7-an). Akhirnya saya usulkan ketemu di d Kiosk di jalan Dago. Eh, ternyata belum buka juga. Akhirnya jadinya ketemu di seberangnya, Dago Plaza, yang mana tempat ngopinya sudah buka.
Mahasiswanya, namanya Abdullah(?), sebelumnya kontak ke Rizal untuk mencari siapa yang bisa diajak diskusi tentang database security. Rizal akhirnya kontak saya dan saya ok untuk ketemu. Abdullah kemudian menjelaskan permasalahan yang dihadapi (problem statement) dan solusi yang dia tawarkan. Idenya sederhana, tetapi yang sederhana biasanya malah sulit untuk dicarikan solusinya
Kami berdiskusi cukup lama dengan ditemani kopi. Saya pikir topik yang dia utarakan cukup layak untuk topik S3. Saya hanya mengusulkan untuk memodelkannya secara matematis agar lebih rigour. Dia setuju. Saya sendiri tidak terlalu familier dengan model matematis dari access control database.
Senang juga diskusi seperti ini. Menstimulasi otak. (Otak kiri atau kanan ya kalau urusan seperti ini.) Dia juga cukup heran kenapa dia tidak mengenal ITB karena kalau dilihat dari kemampuan ITB, mestinya cukup bagus juga untuk level dunia. Saya bilang karena kita sudah cukup puas dengan apa adanya jadi kurang bersemangat untuk promosi hi hi hi.
Setelah selesai diskusi, saya kembali ke kampus. Lupa tadi nggak makan apa-apa di kafe sana. Padahal tadi sudah ngincer makanan, tapi karena asyik berdiskusi jadi lupa Cari makan dulu ah…
