Category Archives: security

Ke(tidak)amanan Perangkat Digital

Apakah benar perangkat digital – seperti handphone, tablet, notebook, dan teman-temannya – tidak aman? Kita mendengar berita tentang penyadapan handphone dari pejabat-pejabat Indonesia (dan dunia). Apakah sedemikian mudahnya disadap? Jawaban siangkatnya adalah “YA”.

Baru-baru ini kabel yang digunakan untuk men-charge dan transfer data iPhone saya rusak. Saya membeli kabel yang bukan asli, meskipun harganya masih mahal juga – 200 ribu rupaih. Beberapa minggu dia jalan, kemudian tiba-tiba tidak jalan. Si iPhone marah-marah dan mengatakan bahwa perangkat (kabel) saya tidak didukung oleh iPhone. Saya terpaksa beli lagi yang harganya 150 ribu rupiah. Lagi-lagi dia jalan untuk beberapa minggu dan kemudian tidka jalan lagi.

Bagaimana si iPhone tahu bahwa kabel saya ini kw, bukan asli? Cari info ke sana kemari, akhirnya tahu bahwa di kabel untuk men-charge iPhone itu ternyata ada sebuah chip. Kecil sekali bentuknya sehingga terlihat seperti colokan kabel USB biasa saja. Chip ini mengidentifikasi bahwa kabel itu resmi mendukung produk Apple atau tidak. Halah!

Link terkait:

Pikir-pikir, kalau sekarang dia bisa mengidentifikasikan perangkat maka apa yang menghalangi dia untuk mengirimkan data ke pihak lain? Katakanlah ke NSA di Amerika. Hadoh.

Kayaknya kita bisa buat charger yang ngambil data dari handphone yang menggunakan charger itu. Nah.


Indonesia Darurat Malware

Dunia digemparkan dengan munculnya virus Ebola di Afrika. Korban berjatuhan dan upaya untuk mengatasinya dikerahkan di seluruh dunia. Ini bukan masalah Afrika saja, tetapi juga masalah seluruh dunia.

Apa dampak virus Ebola ini bagi Afrika? Orang menjadi takut untuk berkunjung ke sana. Ada nilai ekonomis di sana.

Ilmu pengetahuan dan teknologi dikembangkan. Akademisi melakukan penelitian. Pelaku bisnis mengembangkan produk yang dapat dibeli dengan harga murah. Pemerintah memberikan dukungan melalui berbagi cara. Semua bahu membahu.

Mari kita terbang ke dunia lain, ke dunia cyber Indonesia. Jutaan virus – malware (malicious software) – menginfeksi komputer dan perangkat digital milik orang Indonesia. Sudah menjadi korban, kita pun dituduh menyebarkan malware ini. (Ada banyak statistik tentang ini, tetapi saya tidak akan menuliskannya di sini. Rekan-rekan yang lain akan menceritakan hal ini.) Sudah jatuh tertimpa tangga pula. Tidak terlalu salah jika kita katakan saat ini “Indonesia Darurat Malware”.

Sama seperti di Afrika, ada dampak juga bagi Indonesia. Indonesia boleh jadi dapat dikenal sebagai tempat masalah di dunia cyber. Sumber penyakit. Maka Indonesia akan dihindari dari dunia transaksi elektronik. Orang akan ragu untuk berinvestasi ke Indonesia.

Apa yang sudah dan akan kita lakukan? Apakah kita akan berpangku tangan? Tentu saja TIDAK!

Hari ini, Selasa 5 Mei 2015, kita berkumpul di Gedung Telkom Japati Bandung untuk berembug. Akademisi, peneliti, praktisi, pelaku usaha, komunitas, dan pemerintah – kita semua – berkumpul. Sama dengan upaya penanganan virus Ebola tersebut, kita juga harus bergegas untuk mencari solusi baik jangka pendek maupun jangka panjang.

Saya berharap tumbuh penelitian-penelitian tentang malware di perguruan tinggi dan sekolah-sekolah, munculnya perusahaan anti virus (penanganan malware) di Indonesia yang dikembangkan oleh para entrepreneur muda. Ini semua membutuhkan dukungan dan keberpihakan dari pemerintah.

Semoga usaha kita ini bermanfaat, tidak hanya bagi Indonesia saja tetapi juga bagi seluruh dunia. Aaamiiin.


Masalah Dengan Anonimitas

Salah satu tema yang berulang dalam pertemuan masalah keamanan di Intelligent-Sec Asia 2015 kemarin adalah masalah anonimitas. Salah satu kesulitan terbesar dari penegak hukum adalah melacak pelaku kejahatan.

Penggunaan kartu telepon (simcard) prabayar  tanpa identitas merupakan salah satu masalah terbesar di Asia. Di Manila kemarin saya membeli simcard tanpa menunjukkan identitas sama sekali. Di Indonesia, seharusnya kita mendaftarkan identitas kita ketika kita mengaktifkan kartu telepon yang baru. Namun saya melihat banyak penjual kartu yang memasukkan data asal-asalan saja. Mosok ada nama orang “Mickey Mouse”. he he he.

Upaya penegakan hukum – baik dalam hal membuat aturannya (Undang-Undang?) sampai ke penerapan dan pemberian sanksi jika melanggar – terkait dengan masalah identitas pengguna handphone ini masih sulit. Di Filipina sana, peraturannya masih terganjal – atau diganjal? oleh industri telekomunikasi.

Secara teknis, pelacakan pelaku kejahatan dengan menggunakan handphone ini dapat dilakukan. Sebetulnya anonimitas ini tidak betul-betul anonim. Ada jejak-jejaknya. Namun, upaya untuk mendapatkan identitas ini tidak mudah. Kalau masalahnya serius dan membutuhkan pelacakan at all cost, identitas dapat ditemukan. Ini masalah efisiensi dan biaya saja.

Katanya setengah dari masalah keamanan ini dapat terpecahkan jika masalah anonimitas ini dapat terpecahkan. Nah.


Masalah Kejahatan Internet di Indonesia

Minggu ini saya diminta untuk memberikan presentasi mengenai “recent internet crimes in Indonesia”. Nah sekarang saya sedang mengumpulkan materi (poin-poin) untuk pembahasan itu. Isinya kira-kira:

  1. Internet threats in Indonesia;
  2. Case studies of internet crimes in Indonesia;
  3. Internet and terrorism in Indonesia.

Untuk poin pertama, saya akan mengambil data dari ID-CERT. Isinya terkait dengan statistik serangan dari / ke Indonesia. Kayaknya masih ada tuduhan bahwa Indonesia termasuk negara yang paling banyak menyerang Akamai. (Membutuhkan link2 dan data / statistik untuk ini.)

Untuk yang kedua, enaknya contoh kasus yang diangkat apa ya? Apakah kasus pembobolan internet banking yang baru-baru ini terjadi? Apa lagi ya yang menarik untuk diangkat?

Nah untuk poin ketiga, tentang terrorism, saya masih mikir. Kalau kasus dengan ISIS dan internet di Indonesia ada gak ya? Kalau keributan soal pemilihan presiden, anti aliran tertentu, penajaman perbedaan (agama, aliran, dll.) yang bertujuan untuk menghancurkan Indonesia dan sejenisnya apa mau dimasukkan ke sini saja? Kemudian ini dikaitkan dengan inisiatif pemerintah untuk memblokir situs-situs tertentu. Begitu?

Ini jadi semacam crowdsourcing gini … hi hi hi.


Teka Teki Kriptografi

Apakah ada pesan tersembunyi di dalam barisan karakter yang terlihat random seperti ini?



GF03hD3rkwvt9CTbYL93UiUTGjCCsPCoTfFe0ado2axJ
4JTWFtssu4NB7pzFFA3bRr5tbWa87VOwPgf9SpNWgEM=
jPKW=MmpJ1z8snQiRSUxXDSZXptsbVwTClxVbkrjGyNL
mglQYWRqyAWLuWV4h0PSPff2BEmffmatkpx1HpaYC8jB
JCT92CUC2dZnG9HAbThO8hjiJvWZknSLKl=jbc8BX43k
9ypGd9WLUrXxi6xpsfBH8oUVlDKDgnRL4H1DB6CkxBi6
2l68XnOPzuwZjokYsKnPqcx5Ys0fa2bsz7en7PeYlGDj
1EEhXzdhv4qBlRgZtBBMqXI0j2xwxWzOu189f=u9r=1S
xNtXFQHZutGsiYYtljSXVM1cQodvCr6wRTDd6crqdh5P
EgBCxuhW82EeRGLHb8vFhjtcKb6IXs=IAa1uqEXpmkgN
TDFZ1WcaVvsz4A=MO=JwfGRUZClS9vIsSpi85eepHNeg
U2FsdGVkX18RgbSjoOwUuLO5sC2sHjA+1vkI2gUkouU=
42xkVb5G6KF69MoFrp8a45CVLOv6FtpW2uHW6hlm=0HY
j73dWO4eg3f=HnDi2JdRG4pb8SCUSfdxJyCGKv9Rc02P
ZjMbCzwj=inmwCcDvnIY7TRjpuW7IzLEyf62OlPg=uFO
G96oWfPDz0Pp6Y4sFC4FGd9w8Wx8b61ykjEpwB46Fca2


Jika ada, apa isi pesannya? Kalau ada. Boleh jadi sesungguhnya tidak ada pesan apa-apa. ha ha ha. Itu bisa jadi hanya sampah (noise) belaka.


Kuliah Semester Ini

Tanpa saya sadari, ternyata semester ini saya mengajar banyak kuliah. Biasanya saya hanya mengajar dua mata kuliah, tetapi kali ini ternyata menjadi empat. Hadoh.

  1. Keamanan Informasi (Introduction to Security) – untuk S1
  2. Keamanan Jaringan (Network Security) – S2
  3. Keamanan Perangkat Lunak (Software Security) – S2
  4. Secure Operation and Incident Handling – S2

Busyet dah. Nanti kita organisir dulu kelas dan jadwalnya. Sementara ini saya masih sibuk mempersiapkan materi kuliahnya.


Social Engineering

Tadi pagi saya memberikan presentasi tentang “social engineering” (rekayasa sosial). Apa itu seocial engineering?

Upaya-upaya atau kegiatan  membujuk seseorang untuk melakukan sesuatu. Dalam konteks keamanan informasi, social engineering ditujukan agar target membocorkan informasi rahasia (seperti misalnya password, PIN).

Target dari social engineering memang manusia. Ada tiga faktor dalam keamanan informasi; manusia, proses, dan teknologi. Aspek manusia seringkali merupakan aspek yang paling lemah dalam mata rantai pengamanan informasi,

Teknik-teknik yang digunakan dalam social engineering berbeda dengan teknik penyadapan data, misalnya. Untuk mengetahui password seseorang, kita dapat mengirimkan email yang mengatakan bahwa sistem email target sedang bermasalah sehingga target harus mengganti passwordnya. Ternyata banyak orang yang percaya terhadap email ini dan mengubah passwordnya sesuai dengan instruksi. Padahal instruksinya itu justru membocorkan passwordnya. Misalnya, target diminta untuk mengunjungi situs tertentu untuk mengubah passwodnya. Situs tertentu ini merupakan milik penyerang.

Cara lain yang juga dapat dilakukan adalah membuat berita-berita dengan topik yang sedang populer (trending topic). Target secara tidak sadar mengklik link tertentu yang mengantarkan mereka ke halaman yang berisi malware (malicious software). Tanpa mereka sadari, mereka memasang software trojan horse sehingga komputer mereka dapat dikendalikan dari jarak jauh,

Pencurian identitas (identity theft) juga merupakan salah satu teknik social engineering. Kalau di Indonesia, pencurian identitas ini banyak terjadi di Facebook. Apa yang dapat dilakukan setelah mendapatkan identitas seseorang? Yang lazim dilakukan penyerang adalah … meminta uang (berpura-pura ada yang sakit) atau meminta pulsa. hi hi hi.

Ada beberapa hal yang membuat manusia mudah diserang;

  • suka dipuji-puji – penyerang memulai dengan memuji-muji sehingga mendapat kepercayaan dari target;
  • sopan / sungkan / tidak tega / tidak ingin menyakiti orang – dimanfaatkan oleh penyerang yang tidak tahu malu dan mengeksploitasi “kelemahan” ini;
  • takut kepada atasan (authority) – penyarang berpura-pura jadi atasan (atau pihak yang berwenang) dan memberi instruksi tertentu.

Ikuti

Kirimkan setiap pos baru ke Kotak Masuk Anda.

Bergabunglah dengan 2.431 pengikut lainnya.