Category Archives: TI

Keamanan Aplikasi Pokemon Go

Saat ini aplikasi Pokemon Go sedang mendapat sorotan. Aplikasi ini membuat berbagai “kegaduhan” di berbagai negara. Pengguna atau pemain aplikasi Pokemon Go ini sering terlalu serius dalam berburu monster (Pokemon) sehingga melupakan berbagai aspek, termasuk keselamatan dirinya. Saya jadi ingat masa kecil bermain layang-layang dan berburu layangan yang putus ke jalan tanpa mengindahkan keselamatan diri. hi hi hi.

Di Indonesia sendiri aplikasi Pokemon Go ini belum diluncurkan secara resmi, tetapi ini tidak menghalangi orang-orang untuk mencari aplikasi dari tempat-tempat yang tidak resmi. Jumlah pemain Pokemon Go dari Indonesia ini belum diketahui secara resmi, tetapi jumlahnya pasti *BANYAK SEKALI*. (Sampai saya tulis dengan huruf besar dan bold. ha ha ha.)

Tulisan ini akan menyoroti masalah keamanan (security) dari aplikasi Pokemon Go karena saat ini mulai muncul berbagai isyu tentang keamanannya. Bahkan tadi saya mendengar berita tentang adanya larangan bagi Polisi & Tentara untuk menggunakan aplikasi Pokemon Go ini sehingga ada yang kena razia segala. Sebelum ini menjadi hal-hal yang terlalu berlebihan (kasihan yang terkena razia), nampaknya perlu saya buat tulisan ini. Jadi ini latar belakangnya.

Beberapa hal yang menjadi alasan keamanan aplikasi ini, antara lain:

  1. Aplikasi menggunakan GPS untuk mengetahui lokasi (koordinat) pengguna. Lokasi ini dikirimkan ke server untuk digunakan sebagai bagian dari permainannya. Dikhawatirkan pihak pengelola server menggunakan data ini untuk hal-hal yang tidak semestinya (surveillance, misalnya).
  2. Aplikasi mengunakan kamera untuk mengambil gambar (foto, video) tentang lokasi sebagai bagian dari permainan. Dikhawatirkan data ini (foto, video) dikirimkan ke pengelola untuk hal-hal yang negatif juga. Bagaimana jika lokasi kita merupakan tempat yang sangat sensitif (rahasia)?

Itu hal-hal yang muncul di berbagai diskusi. Sebetulnya ada hal-hal lain yang juga dikhawatirkan tetapi menurut saya hal ini belum tentu benar, misalnya

  1. Aplikasi digunakan oleh Pemerintah Amerika Serikat (dalam hal ini CIA) untuk memantau orang-orang Indonesia. Untuk hal ini, langsung saya tanggapi saja. Tidak benar! Atau, belum tentu benar. Jadi begini. Aplikasi Pokemon Go dijalankan oleh sebuah perusahaan swasta. Perusahaan ini sangat menghargai kerahasiaan data penggunanya. Umumnya perusahaan tidak suka menyerahkan data ini ke pemerintah. Meskipun mereka kadang menjual data ini untuk keperluan bisnis lainnya (iklan, misalnya). Jadi, secara umum, perusahaan Nintendo tidak bekerjasama dengan CIA. (Catatan: di sisi lain, pihak intelligence Amerika memang terkenal melakukan penyadapan-penyadapan terhadap perusahaan-perusahaan Amerika juga. Jadi boleh jadi terjadi penyadapan, tetapi ini biasanya tanpa sepengetahuan perusahaan sendiri. Jadi terjadi spy-and-contra-spy antara mereka. Adu kepintaran. Untuk hal ini, memang terjadi. Ada beberapa catatan saya yang saya diskusikan di kelas Security yang saya ajarkan di ITB.)
  2. Pokemon Go dikembangkan oleh orang yang anti Islam. Wah ini sudah kejauhan teori konspirasinya. Alasannya karena banyak Pokemon di masjid. Jawaban terhadap hal ini adalah database untuk penempatan Pokemon itu berasal dari data aplikasi Ingress yang dikembangkan oleh Niantic Labs, perusahaan yang membuat kedua aplikasi tersebut. (Silahkan gunakan Google untuk mencari “Pokemon Ingress”.) Kebetulan saja, masjid adalah tempat banyaknya orang berkumpul dan terdata di Ingress. Itu saja. Jadi tidak ada konspirasi di sini.

Mari kita ke permasalahan utamanya. Apakah aplikasi Pokemon Go ini aman atau berbahaya? Untuk menjawab pertanyaan tersebut harus dilakukan penelitian yang lebih mendalam, tetapi saya dapat mengajukan analogi seperti ini. Aplikasi Pokemon Go memang menambahkan celah keamanan (security hole), tetapi saat ini pun Anda sudah memiliki security hole yang lebih besar. Jadi kalau Anda mempermasalahkan keamanan dari celah lubang udara, sementara pintu rumah Anda sendiri sudah terbuka lebar, ya kurang tepat. You already have bigger problems.

Apa saja “masalah-masalah” yang sudah ada tersebut? Ada banyak, contohnya:

  1. Ada banyak aplikasi lain yang menggunakan GPS. Di Indonesia ada aplikasi Waze, Google Maps, Nike+, Swarm, Instagram, Twitter, Facebook, Go-Jek, dan seterusnya. Jika penggunaan GPS dipermasalahkan, maka aplikasi-aplikasi tersebut sama statusnya. Bahkan mereka lebih “mengerikan” dalam hal memberikan data ke penyedia jasa aplikasi tersebut.
  2. Ada banyak aplikasi yang menggunakan kamera; instagram, facebook, path, dan seterusnya. Orang Indonesia terkenal dengan potret-memotret dengan handphone, selfie. Beberapa aplikasi tersebut juga sudah menggabungkan informasi dari GPS untuk menandai lokasi dimana foto diambil. Ini juga sama statusnya dengan aplikasi Pokemon Go.
  3. Anda menggunakan layanan publik seperti Gmail, Yahoo!, dan seterusnya. Maka ini juga dapat dianggap sebagai “masalah”. Mereka malah menyimpan data email Anda. Jika Anda (dan bahkan instansi Anda) menggunakan layanan email-email ini, malah ini justru lebih berbahaya daripada aplikasi Pokemon Go. (Perhatikan bahwa ada banyak instansi pemerintahan yang menggunakan layanan ini!)
  4. Ketika memasang aplikasi Pokemon Go, aplikasi diperkenankan mengakses akun Google (Gmail) Anda secara penuh. Ya ini tergantung kepercayaan Anda kepada pengelola aplikasi Pokemon Go.  Lagi pula, dari mana Anda tahu bahwa aplikasi tersebut tidak tersusupi oleh virus / malware? Kan Anda belum mendapatkan itu secara resmi. Nah lho

Solusi?

Untuk orang-orang yang bekerja di lingkungan tertentu yang membutuhkan keamanan (Militer, Polisi, Penegak Hukum, dst.) maka seharusnya mereka menggunakan handphone khusus; secure handphone. Untuk pekerja seperti itu, mereka tidak boleh menggunakan handphone yang dijual secara umum dan tidak boleh menggunakan aplikasi yang belum disertifikasi. (Sebetulnya kami sudah mampu mengembangkan secure handphone sendiri. Silahkan hubungi kami untuk informasi lebih lanjut. Saya tidak ingin beriklan di tulisan ini.) Saat ini saya juga sedang membimbing mahasiswa (level S3) yang meneliti tentang secure mobile phone dan aplikasinya. Saya juga sedang terlibat pembahasan tentang evaluasi keamanan handphone beserta aplikasinya. Tunggu tanggal mainnya untuk yang ini ya.

Oh ya, jika para pembaca belum mengetahui latar belakang saya, memang salah satu bidang yang saya geluti adalah security.

Untuk orang-orang biasa? Ya, anggap saja Pokemon Go sebagai pemainan yang tidak aman. Kalau memang tidak ada yang dirahasiakan di handphone Anda dan dalam kehidupan Anda, nikmati saja. Tapi sadar saja bahwa tidak ada perlindungan keamanan di sana. Sama seperti aplikasi-aplikasi lainnya, termasuk media sosial yang Anda gunakan (Facebook, Path, Instagram, Twitter, dan seterusnya).

Jadi, sudah berhasil menangkap berapa Pokemon?

[Update: Bonus. Untuk “menakut-nakuti”, silahkan lihat video berikut ini]


Ngeblog Dengan Tablet

Di jalan. Gak punya akses ke komputer. Terpaksa ngeblog dengan tablet. Susah banget.

[update]

Nah, sekarang begitu ada akses ke komputer (pinjam), baru diedit kembail tulisannya. Tadinya acak adut.  Masalahnya ternyata tadi ada banyak; internet yang terbatas (lambat), tablet yang mungkin juga makin (terasa) melambat, aplikasi browser di tablet yang juga mungkin belum terbaru, tidak terbiasa mengetik di layar (butuh keyboard fisik), dan seterusnya. Pokoknya ada banyak alasan saja. Tapi betulan alasan.

Dahulu pernah juga mencoba aplikasi wordpress di tablet, tetapi aplikasinya buggy sehingga tulisan juga sulit diedit kembali.

Ternyata yang paling sulit bagi saya adalah mengetik di layar. Nampaknya harus beli keyboard portable yang bisa digunakan untuk iPad dan handphone (Android). Ada saran?


Tunjukkan Kodemu!

Minggu lalu, tepatnya hari Rabu 11 Mei 2016, saya mengikuti peluncuran kompetisi “IBM Linux Challenge 2016” di Balai Kota Jakarta. Acara ini sebetulnya merupakan kelanjutan dari kompetisi yang pernah dilakukan tahun lalu. Jadi, ini yang kedua.

Intinya ini adalah kompetisi pembuatan software yang berbasis open source. Adapun fokus dari aplikasinya adalah hal-hal yang terkait dengan smart city dan finansial daerah. Untuk yang smart city, ada banyak aplikasi yang bisa dikembangkan. Aplikasi yang bagus (pemenangnya) akan diberi kesempatan ditampilkan / digunakan di Jakarta Smart City. Sementara aplikasi finansial daerah digunakan untuk meningkatkan transaksi UMKM melalui e-commerce.

26929749021_91fcc41d86_o

Bagi saya, ini adalah ajang untuk mencari bibit-bibit dan kelompok pengembang software yang keren-keren di Indonesia. Untuk menunjukkan bahwa Indonesia (dan orang Indonesia ) juga jagoan di dunia IT. Ayo … tunjukkan bahwa kita bisa!


Tempat Koleksi Foto Online

Kehabisan disk melulu. Umumnya karena koleksi lagu dan foto. Nah, saya berniat untuk menghapus koleksi foto di komputer (disk) sendiri. Saya mau upload foto-foto saya ke tempat koleksi online (atau kalau terpaksa, disk online) kemudian saya HAPUS foto-foto itu dari disk saya.

Apakah langkah ini bijaksana?

Saya akan upload berkas-berkas foto tersebut ke beberapa tempat. Just in case. Khawatir kalau layanan tempat koleksi foto tersebut berubah atau malah tutup. Sementara ini saya mengandalkan layanan Google Photos dan Flickr. Ada juga sebagian yang saya upload ke Facebook. (Hanya kalau ke facebook, ukurannya jadi mengecil dan kualitasnya menjadi turun?) Memang yang saya cari adalah layanan yang gratisan. ha ha ha.

Apakah ada saran tempat upload foto lagi? Kalau bisa yang gratisan dan ukurannya bisa besar.


Platform Distribusi Lagu Digital

Kadang saya bingung melihat banyak artis musik dan asosiasi (artis) musik yang ribut soal pembajakan. Mereka telah menghasilkan karya dan kemudian meras bahwa dunia digital memudahkan orang untuk “membajak” lagu mereka. Terminologi “membajak” di sini adalah mengambil (download atau sejenisnya) lagu (karya) mereka tanpa membayar.

Ok lah pembajakan digital ini tidak benar secara hukum dan etika. Lantas apa solusinya? Sebagian besar tidak membicarakan solusi. Hanya berkeluh kesah tentang pembajakan itu. Iya, lantas apa solusinya? Pokoknya nggak mau dibajak. Iyaaaa … apa solusinya?

logo-insan-musicDahulu saya dapat memahami tentang sulitnya mengatakan solusi karena belum tersedia layanan / aplikasi / teknologi / framework / platform untuk itu. Sekarang sudah banyak. Kami, salah satunya, membuat platform distribusi lagu digital di Insan Music Store. Silahkan lihat ke toko digital kami di toko.insanmusic.com. Anda bisa langsung membuat akun manager dan kemudian membuat channel musik digital Anda (sebagai artis, atau sebagai manager artis musik).

Seharusnya keluh kesah mengenai “pembajakan” ini dapat berkurang. Eh, saya lihat tidak juga. Para artis musik ini masih tetap saja melihat ke belakang, yaitu masih berkeluh kesah tentang pembajakan tanpa mau mencoba platform tersebut. Ya, mana bisa selesai masalah dengan berkeluh kesah saja.


Sedikit Demi Sedikit

Semalam saya memperbaiki lagi web site saya yang di budi.rahardjo.id. Saya tambahkan beberapa baris tentang presentasi & tulisan-tulisan yang pernah saya buat dan tugas-tugas mahasiswa. Web ini merupakan versi entah-ke-berapa dari web sebelumnya. Web terdahulu banyak sekali informasi dan link-linknya. Yang ini, baru mulai lagi.

Yang ingin saya sampaikan dalam tulisan ini adalah semua  dilakukan sedikit demi sedikit. Sekarang web saya itu masih jauh dari populer. Trafficnya pun masih kecil. (Ini disebabkan karena datanya juga masih sedikit.) Nanti, nantiiii, web ini juga akan tinggi peringkatnya. Harus sabar menambahkan data. Tidak ada yang instan.

Dan tentu saja nanti akan ada orang-orang yang bertanya, bagaimana membuat web yang ramai pengunjung (seperti blog ini)? Jawabannya adalah sedikit demi sedikit.


Cyber Intelligence Asia 2016 Conference

Selama dua hari (Selasa dan Rabu kemarin) saya mengikuti konferensi Cyber Intelligence Asia yang diselenggarakan di Bangkok, Thailand. Ini adalah konferensi tentang cyber security, keamanan dunia siber. Dalam konferensi ini dan juga yang sebelumnya, saya diminta untuk menjadi chair yang memimpin acara.

12719128_10153461735416526_6661691705388106185_o

Yang menarik dari konferensi ini adalah dia menjadi ajang untuk bertukar informasi mengenai security di berbagai bidang di regional ini. Berikut ini adalah daftar yang dibicarakan.

  • Thailand: Ada dua pembicara. Yang pertama dari Nectec, bercerita tentang issues security terakhir di Thailand dan bagaimana training di bidang security. Pembicara kedua bercerita dari sudut pandang pemerintah, yaitu adanya layanan dari sebuah organisasi pemerintah untuk memberikan layanan IT untuk seluruh instansi pemerintah.
  • Filipina: Ada dua pembicara; dari Kepolisian dan dari Militer. Diceritakan tentang kasus cyber yang terakhir, yaitu tentang modus transfer fiktif dari sebuah bank di Bangladesh ke bank di Filipina dalam jumlah yang cukup besar (lebih dari US$ 80 juta). Kejahatan dilakukan dari cabang bank Bangladesh tersebut di Manhattan (US). Pembicara kedua bercerita tentang cyberwar.
  • Malaysia: Ada satu pembicara dari Cyber Security Malaysia. Topik yang disampaikan adalah  inisiatif-inisiatif yang sudah dilakukan di Malaysia. Mereka punya program yang sudah terstruktur.
  • Indonesia: Ada dua pembicara. Pertama diceritakan tentang situasi di Indonesia dan munculnya inisiatif untuk membuat asosiasi digital forensik. Kemudian saya bercerita tentang bagaimana adopsi ICT di Indonesia dan beberapa kasus terakhir. Saya juga menceritakan bagaimana situsasi di dunia media sosial (banyaknya hoax, perang berita palsu, dan lain-lain).
  • Taiwan: Bercerita tentang kondisi di Taiwan (TWCERT/CC)
  • Jepang: Satu pembicara yang bercerita tentang bagaimana mereka menangani security di lingkungan akademik. Dunia akademik memiliki situasi yang khas padahal jaringannya termasuk cepat dan banyak orang yang terlibat di perguruan tinggi dari berbagai bidang (yang tidak paham tentang cyber security).
  • China: Bercerita tentang bagaimana mereka menangani kasus-kasus di China dari kacamata CERTCN/CC. China menduduki ranking pertama dalam hal attack dan kejahatan-kejahatan siber lainnya.
  • Abu Dhabi: Bercerita tentang situasi security di perusahaan di sana serta penjelasn tentang tools Application Security yang dikembangkan olehnya.
  • Interpol: Bercerita tentang fasilitasnya di Singapura.
  • Selain hal-hal di atas, ada juga presentasi dari vendor; Arbor Networks (menceritakan tentang kasus Neverquest, malware yang mengancam bank melalui Man-In-The-Browser attack dan bisa dikembangkan ke dunia lain), Akamai (bagaimana mereka menangani masalah security sebagai CDN), Black Ridge Technology (tentang pendeteksi identitas dari melihat paket yang pertama), Custodio (tentang keamanan di dunia penerbangan), dan Parasoft (tools software security).

Singkatnya, saya banyak belajar dan membuat teman-teman baru di konferensi ini.

P_20160323_154200 CIA 0001

Berpotret di akhir konferensi.


Ikuti

Kirimkan setiap pos baru ke Kotak Masuk Anda.

Bergabunglah dengan 2.846 pengikut lainnya