Category Archives: security

Masalah Kejahatan Internet di Indonesia

Minggu ini saya diminta untuk memberikan presentasi mengenai “recent internet crimes in Indonesia”. Nah sekarang saya sedang mengumpulkan materi (poin-poin) untuk pembahasan itu. Isinya kira-kira:

  1. Internet threats in Indonesia;
  2. Case studies of internet crimes in Indonesia;
  3. Internet and terrorism in Indonesia.

Untuk poin pertama, saya akan mengambil data dari ID-CERT. Isinya terkait dengan statistik serangan dari / ke Indonesia. Kayaknya masih ada tuduhan bahwa Indonesia termasuk negara yang paling banyak menyerang Akamai. (Membutuhkan link2 dan data / statistik untuk ini.)

Untuk yang kedua, enaknya contoh kasus yang diangkat apa ya? Apakah kasus pembobolan internet banking yang baru-baru ini terjadi? Apa lagi ya yang menarik untuk diangkat?

Nah untuk poin ketiga, tentang terrorism, saya masih mikir. Kalau kasus dengan ISIS dan internet di Indonesia ada gak ya? Kalau keributan soal pemilihan presiden, anti aliran tertentu, penajaman perbedaan (agama, aliran, dll.) yang bertujuan untuk menghancurkan Indonesia dan sejenisnya apa mau dimasukkan ke sini saja? Kemudian ini dikaitkan dengan inisiatif pemerintah untuk memblokir situs-situs tertentu. Begitu?

Ini jadi semacam crowdsourcing gini … hi hi hi.


Teka Teki Kriptografi

Apakah ada pesan tersembunyi di dalam barisan karakter yang terlihat random seperti ini?



GF03hD3rkwvt9CTbYL93UiUTGjCCsPCoTfFe0ado2axJ
4JTWFtssu4NB7pzFFA3bRr5tbWa87VOwPgf9SpNWgEM=
jPKW=MmpJ1z8snQiRSUxXDSZXptsbVwTClxVbkrjGyNL
mglQYWRqyAWLuWV4h0PSPff2BEmffmatkpx1HpaYC8jB
JCT92CUC2dZnG9HAbThO8hjiJvWZknSLKl=jbc8BX43k
9ypGd9WLUrXxi6xpsfBH8oUVlDKDgnRL4H1DB6CkxBi6
2l68XnOPzuwZjokYsKnPqcx5Ys0fa2bsz7en7PeYlGDj
1EEhXzdhv4qBlRgZtBBMqXI0j2xwxWzOu189f=u9r=1S
xNtXFQHZutGsiYYtljSXVM1cQodvCr6wRTDd6crqdh5P
EgBCxuhW82EeRGLHb8vFhjtcKb6IXs=IAa1uqEXpmkgN
TDFZ1WcaVvsz4A=MO=JwfGRUZClS9vIsSpi85eepHNeg
U2FsdGVkX18RgbSjoOwUuLO5sC2sHjA+1vkI2gUkouU=
42xkVb5G6KF69MoFrp8a45CVLOv6FtpW2uHW6hlm=0HY
j73dWO4eg3f=HnDi2JdRG4pb8SCUSfdxJyCGKv9Rc02P
ZjMbCzwj=inmwCcDvnIY7TRjpuW7IzLEyf62OlPg=uFO
G96oWfPDz0Pp6Y4sFC4FGd9w8Wx8b61ykjEpwB46Fca2


Jika ada, apa isi pesannya? Kalau ada. Boleh jadi sesungguhnya tidak ada pesan apa-apa. ha ha ha. Itu bisa jadi hanya sampah (noise) belaka.


Kuliah Semester Ini

Tanpa saya sadari, ternyata semester ini saya mengajar banyak kuliah. Biasanya saya hanya mengajar dua mata kuliah, tetapi kali ini ternyata menjadi empat. Hadoh.

  1. Keamanan Informasi (Introduction to Security) – untuk S1
  2. Keamanan Jaringan (Network Security) – S2
  3. Keamanan Perangkat Lunak (Software Security) – S2
  4. Secure Operation and Incident Handling – S2

Busyet dah. Nanti kita organisir dulu kelas dan jadwalnya. Sementara ini saya masih sibuk mempersiapkan materi kuliahnya.


Social Engineering

Tadi pagi saya memberikan presentasi tentang “social engineering” (rekayasa sosial). Apa itu seocial engineering?

Upaya-upaya atau kegiatan  membujuk seseorang untuk melakukan sesuatu. Dalam konteks keamanan informasi, social engineering ditujukan agar target membocorkan informasi rahasia (seperti misalnya password, PIN).

Target dari social engineering memang manusia. Ada tiga faktor dalam keamanan informasi; manusia, proses, dan teknologi. Aspek manusia seringkali merupakan aspek yang paling lemah dalam mata rantai pengamanan informasi,

Teknik-teknik yang digunakan dalam social engineering berbeda dengan teknik penyadapan data, misalnya. Untuk mengetahui password seseorang, kita dapat mengirimkan email yang mengatakan bahwa sistem email target sedang bermasalah sehingga target harus mengganti passwordnya. Ternyata banyak orang yang percaya terhadap email ini dan mengubah passwordnya sesuai dengan instruksi. Padahal instruksinya itu justru membocorkan passwordnya. Misalnya, target diminta untuk mengunjungi situs tertentu untuk mengubah passwodnya. Situs tertentu ini merupakan milik penyerang.

Cara lain yang juga dapat dilakukan adalah membuat berita-berita dengan topik yang sedang populer (trending topic). Target secara tidak sadar mengklik link tertentu yang mengantarkan mereka ke halaman yang berisi malware (malicious software). Tanpa mereka sadari, mereka memasang software trojan horse sehingga komputer mereka dapat dikendalikan dari jarak jauh,

Pencurian identitas (identity theft) juga merupakan salah satu teknik social engineering. Kalau di Indonesia, pencurian identitas ini banyak terjadi di Facebook. Apa yang dapat dilakukan setelah mendapatkan identitas seseorang? Yang lazim dilakukan penyerang adalah … meminta uang (berpura-pura ada yang sakit) atau meminta pulsa. hi hi hi.

Ada beberapa hal yang membuat manusia mudah diserang;

  • suka dipuji-puji – penyerang memulai dengan memuji-muji sehingga mendapat kepercayaan dari target;
  • sopan / sungkan / tidak tega / tidak ingin menyakiti orang – dimanfaatkan oleh penyerang yang tidak tahu malu dan mengeksploitasi “kelemahan” ini;
  • takut kepada atasan (authority) – penyarang berpura-pura jadi atasan (atau pihak yang berwenang) dan memberi instruksi tertentu.

Sekarang Giliran Hacker

Ternyata copras capres masih ribut juga. Kali ini yang mendapat sorotan spotlight adalah … hacker. Ya ampun. Mulailah ada tuduhan-tuduhan bahwa suara digelembungkan oleh hacker. Bahkan sampai ada yang menggabungkan berita bahwa ada hacker asing yang tertangkap dan mereka menggelembungkan suara di KPU. Padahal kedua event itu tidak ada hubungannya. ha ha ha.

Terus mulai juga muncul cerita tentang kerentanan sistem KPU. Yang ini malah menyeret-nyeret nama saya untuk ikut berkomentar. Komentar saya adalah … tidak tahu. Lah wong saya betul-betul tidak tahu faktanya.

Sebagai orang teknis yang menyayangi bidang saya, saya tidak ingin asal komentar tanpa data. Saya harus melihat sistemnya, poke here and there, test this and that, baru bisa mengatakan sesuatu. Kalau sekarang, komentar saya tidak ada manfaatnya. As good as yours. Apakah saya tertarik untuk mengevaluasi ini? Tidak. Kecuali memang saya di-hire secara resmi untuk melakukan evaluasi. Setelah ada data, baru bisa komentar.

Sementara ini saya jadi penonton dulu saja. Sambil ngelus dada. Kemarin yang diobrak abrik adalah ilmu statistika. Sekarang, heker. Eh, information security.


Perang Informasi

Sebelumnya, saya ingin membuat tulisan tentang perang informasi (information war) tetapi agak kesulitan mencari contoh yang dekat dengan kita. Nah, sekarang ternyata banyak contoh yang hadir di hadapan kita. Event pemilihan presiden (pilpres) ini ternyata merupakan contoh yang paling nyata.

Pilpres kali ini diwarnai dengan kampanya negatif atau kampanye hitam. Informasi yang palsu dibuat dan disebarkan di internet. Informasi ini dapat berbentuk tulisan, gambar, dan bahkan video. Ada yang jenisnya hanya berupa lelucon, misleading, atau betul-betul informasi bohong yang dikarang khusus untuk menyesatkan pembaca. Ini dia salah satu contoh perang informasi.

Bahkan pada hari kemarin (9 Juli 2014), kita dibingungkan dengan hasil quick count yang berbeda dari berbagai lembaga survei. Mana yang benar?

Kita, sebagai pembaca, dibingkungkan dengan berbagai versi dari informasi. Seringkali sumbernya tidak jelas. Ada banyak yang menggunakan akun anonim. Ada juga yang informasinya “jelas”, dalam artian ada alamat web-nya, tetapi tidak jelas orangnya. Bagaimana kita menentukan kredibilitas sumber berita?

Ada juga yang berpendapat bahwa kalau sebuah “informasi” banyak disebarkan maka dia akan menjadi benar. he he he. Atau kalau halaman sebuah media sosial banyak diikuti (followed, liked) maka dia menjadi benar juga. Mungkin perlu kita coba membuat sebuah eksperimen. Katakanlah kita membuat sebuah informasi palsu, “Perang Diponegoro dimulai tahun 1801″, kemudian kita ramai-ramai menyimpan informasi tersebut di halaman internet kita masing-masing dan meneruskannya ke banyak orang. Apakah ini akan menjadi informasi yang dominan dan yang akan dipercaya oleh banyak orang (termasuk search engine)? Ini merupakan ide penelitian yang menarik. Yuk. [Hayo, ada yang masih ingat perang Diponegoro dari kapan sampai kapan?]

Nampaknya akan semakin banyak dibutuhkan orang teknis yang menguasai bidang forensic, orang sosial untuk memahami fenomena ini, dan orang hukum untuk mengatur dan menyelesaikan kasus-kasus ini.


Cyber Defence Competition 2014

Hari Kamis dan Jum’at kemarin saya berpartisipasi menjadi salah satu juri dalam acara Cyber Defence Competition (CDC) 2014 yang diadakan oleh Kemhan. Acara ini diadakan di Akademi Angkatan Laut (AAL), Surabaya dan diorganisir oleh FTII serta didukung oleh organisasi IT di Indonesia lainnya, seperti APJII, PANDI, Nawala, Inixindo, ITS, dan lain-lain. Tim teknis dikelola oleh tim ID-SIRTII. Saya sendiri membawa bendera INDOCISC dan ITB.

Acara dibuka oleh Menhan dan KSAL. Mereka membawa petinggi dari TNI dan semuanya terlihat bersemangat. Saya pun gembiran karena mulai terbuka kesadaran akan pentingnya keamanan dunia cyber ini. Saya menjadi bersemangat. Peserta pun terlihat sangat bersemangat. Ada dua kategori, umum dan pelajar.

Kompetisi terdiri dari beberapa kegiatan, seperti forensic, hardening server, capture the flag. Semuanya dikerjakan dalam waktu yang sangat mepet. Ini merupakan tantangan berat pagi peserta. Hasilnya? Menurut saya cukup memuaskan. Tingkat kemampuan peserta sudah sangat baik. Lebih lagi saya melihat ada satu tim yang dokumentasinya sangat kami sukai, bagus sekali! (Good job for team Anthurium!)

Ada beberapa catatan saya.

  1. Sebagian besar peserta menggunakan Microsoft Windows sebagai sistem operasinya. Hanya beberapa yang menggunakan Linux secara native. (Menggunakan Kali Linux?) Ada banyak yang menggunakan Linux di dalam VirtualBox.
  2. Salah satu soal yang disampaikan adalah men-decode data base64 yang kemudian menjadi skrip Python, yang tinggal dijalankan. Lucunya ada banyak yang gak tahu Python. ha ha ha. Mereka kebingungan menjalankannya. Padahal tinggal “python namaskrip.py”. Mereka tidak perlu tahu bahasanya. hi hi hi. Ada yang pura-pura tahu dan me-rename menjadi bahasa C, menambahkan “#include <stdio.h>” dibagian awalnya, kemudian mencoba compile. Ya gak bakalan jalanlah. he he he.
  3. Dalam hal mempertahankan diri (defence, hardening), kebanyakan memilih menyerang (offence) server lawan. Jadi server sendiri masih bolong-bolong tetapi saat yang sama menyerang server orang. Nampaknya kemampuan memperbaiki harus diperbaiki. (Rekursif. hi hi hi.)

Saya yakin panitia bekerja luar biasa kerasnya. Capeknya pasti luar biasa. Demikian pula dengan para peserta. Juripun demikian. Hari pertama, kami harus membahas nilai-nilai hari pertama sampai lewat pukul 12 tengah malam. Kayaknya selesainya mendekati jam 1 pagi. Saya sendiri pas jam 12 malam sudah tidak kuat dan kembali ke kamar. Maklum, paginya saya bangun jam 3 pagi untuk langsung terbang ke Surabaya. Up time sudah 21 jam. Harus tidur. hi hi hi. Hari kedua pun kami harus bekerja keras untuk menilai dalam waktu yang singkat karena nilai harus keluar segera! Salut untuk semuanya!

Pemenang utama kali ini adalah juara bertahan CDC tahun lalu, tim Alpha Omega. Congrats!

IMG_4833 pemenang cdc2014 1000

[Foto para pemenang CDC 2014]

Yang menarik dari acara ini adalah setelah selesai acara, kami diajak menaiki kapal perang! Saya senang luar biasa dengan kunjungan ke kapal perang kita dan bahkan diajak keliling sambil demo kemampuannya! Luar biasa! Keren! Mari kita dukung TNI AL kita!

IMG_4850 pangkalan 1000

Jalesveva Jayamahe

IMG_4884 red team 1000

[Red team ID-SIRTII di atas kapal perang Sultan Iskandar Muda]

Sampai bertemu kembali di CDC 2015.

 


Ikuti

Get every new post delivered to your Inbox.

Bergabunglah dengan 2.228 pengikut lainnya.