Pinebook

Posting ini tentang PineBook, laptop Arm murah dari pembuat Pine A64. Harga laptop ini 99 USD (versi 14 inch), dengan ongkos kirim via DHL 29 USD, dan pajak 15 USD (pajak di Thailand, di negara lain tentunya beda). Spesifikasi laptop ini: Prosessor ARM AllWinner A64 1,1 Ghz, RAM 2GB (tidak bisa diupgrade), eMMC 16 GB (bisa diupgrade). Ada dua pilihan ukuran layar, 14 inch dan 11.6 inch, keduanya memiliki resolusi sama 1366×768 pixel, versi yang 11.6 inch lebih murah 10 USD (89 USD). Versi 14 inch beratnya 1.26 kg dan versi 11.6 inch beratnya 1.04 kg.

Laptop ini sudah diumumkan sejak tahun lalu, dan siapapun bisa mendaftar preorder tanpa uang muka. Baru 5 April saya mendapatkan email kesempatan untuk memesan. Jika saya segera memesan maka akan diproses duluan. Setelah dipertimbangkan beberapa hari, akhirnya saya memesan tanggal 10 April. Tanggal 21 April laptopnya sampai. Saya termasuk batch awal yang menerima laptop ini.

Sebelum bercerita tentang laptop ini, saya ceritakan sedikit tentang pembuat PineBook ini. Sebelum membuat Pinebook mereka sudah membuat Pine A64, sebuah single board computer (SBC) seperti Raspberry Pi. Bedanya mereka dari awal memilih ARM 64 Bit (Allwinner A64), membuat harga yang murah (versi termurah 19 USD dan versi paling mahalnya 29 USD), memiliki RAM 2GB (Raspberry Pi hanya 1GB) dan memiliki ethernet gigabit.

Pine A64 sukses di Kickstarter dengan semboyan Superkomputer 64 bit, tapi ternyata dari sisi hardware dan software sangat mengecewakan. Hardwarenya gampang overheating dan tidak ada heatsinknya. Tidak ada LED yang bisa dipakai untuk indikasi booting sukses. Di versi awal juga ada bug fatal karena salah design, voltage ripple menyebabkan port gigabitnya tidak bisa mencapai kecepatan maksimal, bahkan dalam mode gigabit akan jadi lebih lambat dari fast ethernet. Mengutip dari review di Armbian:

Pine64 is not a ‘Super Computer’ but most probably the slowest 64-bit ARM board around due to A64 being limited regarding maximum cpufreq and overheating issues (40nm process being responsible for) and lack of fast IO interconnections (only one real USB 2.0 host port present, no eMMC option possible, no SD card implementation using the faster modes). If you then combine the high expectations with a rather clueless kickstarter crowd (many of them not even getting that they did not buy products but backed a project) and the hardware flaws it’s pretty obvious why their forums are full of complaints and why they receive so much boards as being DOA that work flawlessly in reality.

Sampai saat ini software untuk board Pine A64 terutama untuk desktop masih mengecewakan. Meskipun SoC yang dipakai memiliki GPU Mali 400, tapi tidak disupport dengan baik di Linux. Board ini juga bisa diinstall Android, dan sepertinya fitur grafik berjalan lebih baik di Android (bahkan bisa menjalankan Netflix meski hanya dalam resolusi SD). Sebagai server board ini cukup baik, memorinya relatif besar dibanding SBC lain, dan kernel Linux juga sudah cukup stabil. Saat ini board Pine A64+ yang saya miliki hanya saya gunakan sebagai server dan untuk testing portabilitas software yang saya buat.

Selain SBC tersebut, mereka juga merilis PADI. PADI adalah board microcontroller ARM dengan WIFI yang berusaha menyaingin ESP8266. PADI ini hanya rebranding dari board yang sudah ada. Sepertinya produk yang ini kurang sukses.

Saya tidak berharap banyak dari Pinebook mengingat sejarah SBC mereka, dan Pinebook ini designnya menggunakan SoC yang sama. Ketika sampai, power adaptornya bengkok (tapi bisa diluruskan), untungnya batere dalam keadaan penuh. Bagian depan luarnya putih polos seperti kertas putih. Merk Pinebook hanya terlihat setelah dibuka.

Ketika saya nyalakan, sekiar 10 detik kemudian saya sudah sampai di layar login (user: pine64, password:pine64). Sebenarnya kita bisa menginstall Android untuk laptop ini, tapi OS default yang diberikan adalah Ubuntu Mate, dan saya saat ini belum mencoba Android di laptop ini. Percobaan awal menunjukkan bahwa aplikasi bisa dimulai dengan cepat, misalnya LibreOffice dan Scratch. Browser Firefox relatif lambat, serupa dengan SBC lain. Beberapa kali saya sempat mengalami masalah dengan Wifi yang tiba-tiba berhenti (perlu disconnect dan reconnect lagi).

Untuk mengetik pelan-pelan, keyboardnya cukup bagus, tapi ketika mengetik dengan cepat, maka mulai terasa masalahnya. Kadang kita merasa sudah menekan tombol, tapi ternyata belum tertekan. Keyboardnya terasa agak aneh, ada tombol yang gampang ditekan, ada yang sulit. Tombol kursor kadang berbunyi ketika ditekan. Saya baca review versi 11.6 inch sepertinya keyboardnya lebih bagus. Saya cukup suka dengan layarnya, walaupun hanya Twisted Nematic (TN), bukan IPS.

Trackpadnya baik-baik saja, tapi ketika diklik bunyi ‘klik’ nya cukup terdengar. Di Ubuntu Mate tidak terdeteksi sebagai trackpad/touchpad, sehingga tidak ada palm rejection, jadi ketika mengetik harus menghindari area tersebut supaya mousenya tidak bergerak.

Selain masalah WIFI, ternyata ketika layar ditutup, tidak otomatis sleep. Ini masalah software yang tidak mendeteksi hall sensor, dan akan ditangani di update berikut. Saya tidak mengetes output HDMI, tapi ternyata menurut laporan tidak jalan juga di versi saat ini. Headphone Jack juga masih belum berfungsi, walaupun bisa dijadikan serial port untuk debugging. Ketika saya membuka youtube, audio tidak keluar. Setelah berkonsultasi via IRC, ternyata masih perlu diakali supaya bisa jalan.

Kamera bisa berjalan, tapi kualitasnya sangat jelek, hanya 0.3 megapixel. Jadi jangan berharap banyak untuk bisa memakai kamera ini. Anggap saja ini cuma pajangan.

Hal paling parah saat ini adalah: driver Mali tidak jalan, sehingga semua software yang menjalankan video atau animasi akan sangat lambat. Bahkan aplikasi game sederhana seperti supertux, animasinya sangat lambat. Software editor, terminal, office atau browser bisa jalan seperti biasa dan cukup nyaman. Tapi jika Anda ingin menjalankan aplikasi multimedia, sebaiknya tunggu dulu sampai softwarenya matang.

Secara teori batere bisa bertahan lama, praktiknya saat ini cuma sekitar 3 jam saja. Ketika saya set sleep lalu charging, ternyata akan menyalakan layar dan bagian batere jadi panas. Untuk saat ini, sebaiknya matikan laptop ketika charging.

Untuk saat ini, jika Anda bukan orang yang suka ngoprek, maka saya tidak menyarankan laptop ini. Jika berbagai masalah software berhasil diselesaikan, maka laptop ini sepertinya cukup bagus untuk dibawa-bawa. Karena keyboardnya kurang enak, kemungkinan lebih bagus untuk konsumsi konten (browsing, baca ebook). Laptop ini tidak memiliki kipas (fan), jadi sunyi.

Laptop GNU/Linux berprosessor ARM

Bagian posting ini sekedar bercerita tentang sejarah Laptop Linux dengan prosessor ARM, lalu saya akhiri perbandingan Pinebook ini dengan Chromebook yang saya miliki.

Dari dulu, sebagian orang sangat menginginkan laptop Linux dengan prosesor ARM alih-alih Intel x86. Mereka tidak ingin Chromebook yang memakai kernel Linux, tapi hanya berisi browser, bukan pula Android meski bisa diroot dan diinstall Linux lengkap dalam chroot, tapi laptop ARM yang benar-benar Linux standar dengan tools dari GNU (GNU/Linux).

Ada beberapa alasan mengapa orang ingin memakai laptop dengan prosesor ARM. Alasan yang dulu sering dikemukakan adalah pemakaian daya yang rendah, tapi sekarang manajemen daya Intel juga sudah bagus (contohnya Macbook bisa dipakai belasan jam). Sebagian orang muak terhadap dominasi Intel dan ingin memakai prosesor lain.

Memakai prosesor yang kurang mainstream sedikit lebih aman, karena banyak malware dirancang untuk prosesor Intel. Memakai prosesor lain juga bisa memaksa kita belajar arsitektur prosesor tersebut. Apapun alasannya, banyak orang masih tetap ingin laptop dengan prosesor ARM.

Sebagian orang cukup puas dengan membeli hardware Android atau Chromebook dan menimpanya dengan GNU/Linux. Biasanya ada berbagai masalah dengan pendekatan ini, kadang masalah WIFI, masalah sound, masalah grafik (tidak bisa memakai hardware acceleration), dsb. Masalah-masalahnya seperti jaman awal Linux di Laptop x86.

Sebagian tetap ingin Laptop GNU/Linux saja, bukan hasil konversi Android ataupun Chromebook. Hacker Andrew Huang bahkan sudah merancang sendiri laptop ARM dari tahun 2012 dan berhasil merilis tahun 2014. Tapi laptop ini masih sangat mahal, jadi banyak orang berganti keinginan: Laptop Linux ARM yang murah.

Ketika Raspberry Pi dirilis tahun 2013, sebagian orang langsung berpikir untuk membuat semacam case berbentuk laptop. Sebagian membuat sendiri “laptop” raspberry pi dengan menempelkan berbagai komponen (seperti contohnya ini). Sebagian cukup puas dengan Motorolla Lapdock, yang tadinya ditujukan sebagai lapdock untuk ponsel.

Tapi karena Lapdock sudah dihentikan produksinya, ada yang membuat case baru sejenis (misalnya Pi Top). Sayangnya Pi Top ini cukup mahal, masih di atas 200 USD.

Saat ini saya sudah memakai Chromebook yang saya install ArchLinux dengan spesifikasi serupa dengan Pine64 yang 11.6 inch, tapi prosessornya RockChip 3288 (Arm 32 bit). Tadinya saya memakai Crouton supaya Linux dan Chrome bisa berdampingan, tapi setelah update terakhir, selesai memakai Crouton, chromebooknya akan selalu whitescreen. Jadi saya putuskan dual boot saja ArchLinux dan ChromeOS.

Saya sudah cukup berusaha “mengoprek” benda ini, bahkan sudah mengcompile modul kernel ekstra driver usb serial CH340 yang tidak tersedia di kernel default. Saat ini saya masih belum bisa memakai driver Mali di Chromebook Linux saya (hang jika dipaksa), tapi selain itu semua hardware bekerja dengan baik.

Chromebook yang saya miliki harganya tidak jauh berbeda dari Pinebook. Meski dijual oleh perusahaan lokal sini, Chromebook saya memiliki FCC ID Hisense Chromebook. Ketika saya beli harganya 4200 baht (122 USD), lebih murah dari Pinebook karena saya tidak perlu membayar ongkos kirim.

Kalau dibandingkan dengan berbagai Chromebook, Pinebook ini prinsipnya lebih terbuka. Chip eMMC pada Pinebook bisa diupgrade sampai 64 gb (dan mungkin bisa lebih di masa depan), dan jack audio bisa dijadikan serial port untuk keperluan debugging. Sementara kebijakan Chromebook adalah hardware yang tertutup dan sangat ditujukan untuk end user, bahkan output serial port dimatikan dan tidak tersedia di hampir semua Chrome OS/Chromebook.

The kernel team has been working to remove cruft from the Chromium OS kernel configs. Since there are no Chromebooks with a serial port, serial port drivers were removed from the stock configuration, which is a minor inconvenience for those who still do a lot of debugging using the serial port.

Sayangnya Chromebook berbasis ARM tidak punya slot mini PCI untuk debugging, jadi sangat merepotkan jika ingin melakukan development kernel di Chromebook. Jika tertarik development low level, maka Pinebook lebih baik. Untuk pemakaian sehari-hari, Chromebook (dengan ChromeOS) jauh lebih mudah.

Sebelum menutup artikel ini, saya bandingkan dengan beberapa laptop lain di rumah kami. Sebenarnya saya jarang bepergian dengan laptop, karena lebih sering bekerja di kantor atau rumah. Mac Book pro adalah laptop Risna. Acer saya pakai jika ada pekerjaan di luar yang butuh layar besar dan prosessor yang powerful (Core i7). Kedua laptop ini menurut saya cukup berat, jadi malas membawa keduanya untuk jalan-jalan, apalagi jika ditambah perlu menggendong anak.

Laptop/tablet Lenovo dulu saya beli di Bangkok, karena tidak menyangka ada pekerjaan singkat yang hasilnya lumayan sedangkan saya tidak membawa laptop. Jadi saya beli laptop seadanya yang kecil dan mudah dibawa. Sejak beli laptop ini yang saya bawa untuk liburan atau perjalanan singkat lain ke luar kota. Keyboard laptop/tablet ini sangat tidak nyaman untuk mengetik. OS-nya Windows 10, sehingga bisa menjalankan software apapun yang saya butuhkan (termasuk juga menjalankan Virtual Box meski sangat terbatas karena memorinya hanya 2GB). Di rumah ini menjadi tablet saya untuk membaca eBook PDF.

Saya tadinya berharap Chromebook akan cukup menggantikan Lenovo, tapi ternyata masih banyak software yang tidak jalan atau kurang optimal di ARM. Padahal benda ini cukup ideal: mengetik dengan benda ini cukup nyaman, keyboardnya lebih bagus dari Lenovo, layar 11.6 inch sudah cukup besar, dan relatif ringan (1.04 kg).

Jika Anda butuh laptop bagus untuk development, belilah Macbook Pro atau laptop high end lain. Jika ingin laptop untuk sekedar browsing dan Anda punya koneksi Internet yang bagus, belilah Chromebook (tidak perlu memikirkan malware karena Chromebook ini relatif aman). Jika Anda masih memakai aplikasi Windows dan butuh laptop biasa, ada banyak laptop Windows murah, sebagian sekaligus bisa menjadi tablet.

Saat ini Pinebook lebih cocok untuk orang yang suka mengoprek/hardware hacking, mungkin di masa depan jika softwarenya semakin matang, ini bisa jadi alternatif untuk dipakai sehari-hari. Saya akan mencoba memberikan update di blog ini jika softwarenya sudah semakin bagus.

Trip Medan dan Samosir 2017

Kami baru saja kembali dari liburan singkat (seminggu) ke Medan dan ke Samosir. Polusi udara Chiang Mai sedang buruk dan sangat panas (sampai 40an derajat celcius), jadi di masa libur Songkran, kami memutuskan untuk pulang saja ke Indonesia. Kali ini kami hanya mengunjungi Medan, tidak ke pulau Jawa.

Karena rencananya agak mendadak, kami sudah kehabisan tiket AirAsia, jadi kami mencoba memakai Malindo. Pengalaman terbangnya cukup menyenangkan, ada IFE (in flight entertainment) di perjalanan Chiang Mai – Kuala Lumpur (dan sebaliknya). Makanan di pesawat juga lumayan. Hal yang agak membuat lelah adalah: Joshua mencret sepanjang perjalanan berangkat, dan saya perlu mengganti popoknya di berbagai tempat, termasuk juga di pesawat.

Hari pertama (Sabtu) kami gunakan untuk menukar kartu XL ke 4G dan belanja pakaian di Mall. Karena kami tidak ke Depok, orang tua saya (eyangnya Jonathan dan Joshua) datang untuk ketemu Jonathan dan Joshua walau hanya Minggu sampai Selasa. Ibu saya (yang dipanggil “eyang girl” oleh Jonathan) sempat pergi ke Belawan, karena Dompet yang saya belikan 9 tahun yang lalu hilang entah di mana, padahal masih bagus, jadi ingin dapat lagi yang serupa.

Continue reading “Trip Medan dan Samosir 2017”

Mini PC Router

Posting ini membahas Mini PC yang baru saya beli untuk menjadi router/firewall/web server di rumah. Ini adalah mini PC bermerk Qotom seri Q190G4, tanpa WIFI (untuk access point saya memakai Xiao Mi). Benda ini saya beli dari AliExpress.

Ketika membeli, kita bisa mengkonfigurasi jumlah memori dan SSD. Qotom yang saya beli memiliki spesifikasi: memori 4 GB DDR3L , mSATA SSD  32 GB dan bisa ditambah SSD biasa.  Prosessornya Celeron J1900 (2 Ghz). Ada 4 port gigabit dengan chip controller Intel, sebuah port VGA, 3 USB 2.0 dan 1 USB 3.0.

Karena outputnya hanya VGA sedangkan monitor saya tidak lagi mendukung VGA, saya memakai monitor plus modul LCD controller. Modul ini saya beli tujuannya memang untuk berbagai eksperimen, karena memiliki input VGA, HDMI, dan Composite. Layar yang dipakai di sini adalah LCD dari laptop.

Modulnya sendiri (teorinya) cukup generik dan bisa dihubungkan ke berbagai jenis LCD, bukan cuma yang ini.

Sepuluh tahun lalu waktu kecepatan internet masih 1mbps down/512kbps up, WRT54GL sudah cukup menjadi router dan WIFI access point (memori cuma 16 Mb). Lima tahun kemudian, saya sudah mengganti dengan ASUS RT-N16 dengan debwrt (memori 128 Mb). Sekarang kecepatan Internet di rumah sudah sangat bagus, jadi sudah saatnya menguprade router. Continue reading “Mini PC Router”

Cara cepat hacking ribuan site dan menjadi kaya secara ilegal

Baru-baru ini membaca berita tentang tertangkapnya ‘hacker’ muda yang membobol ‘ribuan’ site. Bagi yang melek dunia security, berita ini biasa saja. Tapi tentunya bagi orang awam ini kedengaran hebat.

Saya kasihan dengan orang jujur yang berkomentar benar, tapi malah dibalas dengan: “emangnya kamu bisa hacking sebanyak itu?” Jadi ya saya  tuliskan saja caranya di artikel ini. Ini bukan untuk ditiru, tapi sebagai petunjuk bagaimana mengamankan diri dari serangan semacam ini.

Pertama kita liat dulu yang dimaksud “hacking” di sini apa. Biasanya yang diketahui orang adalah sekedar mengubah sebuah homepage (atau menaruh sebuah file di sana). Tentunya ini nggak keren kalau tidak dipamerkan.

Masalahnya hasil deface seperti ini bisa diperbaiki dalam hitungan menit atau jam (maksimum beberapa hari jika adminnya sedang libur). Jadi supaya ketenaran sesaat ini terdokumentasi, ada situs-situs yang akan mencatat sejarah bahwa ini pernah terjadi. Contoh situs yang mentrack ini adalah http://www.zone-h.org (internasional) dan http://defacer.id/ (Indonesia, saat ini sudah tutup).

Hack Ribuan Situs

Ini profile salah satu contoh hacker yang katanya “meretas” lebih dari 4000 situs. Di sini ada penjelasan ekstra bahwa dari 4239 situs,3443 di antaranya adalah mass defacements.

Mass defacement ini adalah defacement yang paling mudah, artinya defacement otomatis dengan tool, tidak dihack satu per satu, ini nggak perlu skill jika toolnya bukan bikinan sendiri. Intinya cukup menjalankan tool untuk mencari bug di berbagai situs, dan jika beruntung menemukan bug, langsung otomatis mengeksploit (mengganti teks, atau mengupload file), dan kalau lebih beruntung lagi sekalian dapat akses shell dan bahkan root (dengan autoroot).

Penjelasan panjang dan detail mengenai mass defacement bisa dibaca di sini, artikel ini dari tahun 2010, tapi intinya masih sama. Yang penting dilakukan: rajin mengecek adanya bug baru yang belum sempat di patch. Contohnya bug yang belum lama ini ada adalah yang menimpa wordpress 4.7/4.7.1. Jika Anda punya sedikit skill otomasi, bug ini mudah sekali dieksploit. Ribuan situs bisa diretas dalam waktu relatif singkat.

Berikutnya ada bug-bug yang perlu semi manual, artinya agak susah diotomasi. Jika kebetulan menemukan jackpot, misalnya contol panel sebuah hosting,  maka ratusan domain di satu server bisa dideface.

Bagimana jika situsnya sulit ditembus? cara berikutnya yang “bodoh” tapi ternyata cukup efektif adalah: bruteforce alias mencoba satu per satu password dengan wordlist (daftar kata password yang umum). Daftar password ini bisa didapat dari berbagai situs. Sudah beberapa kali situs besar seperti Yahoo, LinkedIn, dsb passwordnya bocor, jika passwordnya digunakan ulang (reuse) di sebuah situs, maka account itu langsung bisa “dihack”.

Apa yang dibruteforce? apa saja yang tidak di batasi rate-nya dan tidak memakai captcha, bisa berupa ssh, remote desktop, login blog, login admin console, dsb. Tool untuk bruteforce juga tersedia secara gratis, contohnya THC hydra, dan untuk website bisa memakai burp suite atau Zaproxy.

Biasanya yang paling gampang dibruteforce adalah: email. Dengan akses email, mudah mengakses apa saja yang terhubung dengan email tersebut (dengan fitur forgot password). Di level ini butuh sedikit skill yang bisa dipelajari hitungan jam (jika Anda developer/admin) sampai beberapa hari (orang awam/pemula).

Host-host yang berhasil dihack dengan mass defacement dan berhasil diakses shellnya bisa menjadi senjata sebagai host yang melakukan bruteforce. Dengan cara ini, alamat IP yang melakukan bruteforce ada banyak.

Dengan target ribuan IP, bisa didapatkan lagi ratusan website yang bisa dideface, kali ini bisa manual ditambahkan supaya nggak masuk kategori “mass defacement”. Andaikan dapat rata-rata 5 login per hari, enam bulan (180 hari) cukup untuk deface 900 situs.

Masih belum berhasil juga? cara berikutnya adalah phishing alias mengirim email untuk menipu korban. Dibutuhkan skill social engineering (skil menipu), dan kadang sedikit skill untuk mensetup website yang tampak seperti website asli sebuah perusahaan/bank.

Banyak perusahaan memakai hosting lokal, dan managemen domain bisa dilakukan via web. Jika ini dibruteforce dan kita mendapatkan akses ke konfigurasi DNS, maka kita bisa menambahkan subdomain sendiri. Untuk orang awam, DNS ini seperti “tabel” yang memetakan nama ke alamat mesin.

Misalnya kita bisa menambahkan subdomain hack.situsterkenal.com, dan bisa kita arahkan traffic subdomain tersebut ke server kita sendiri. Perhatikan bahwa di kasus ini situsterkenal.com servernya sama sekali tidak diakses (softwarenya aman, data kartu kredit dsb aman), hanya saja “tabel” yang memetakan hack.situsterkenal.com diubah ke server lain.

Hack DNS ini juga bisa berbahaya, karena bisa dipakai untuk mengarahkan email yang diterima situsterkenal.com ke serverlain. Jika email sebentar saja diarahkan ke host lain, maka segala macam email reset password bisa ditangkap.

DDOS

Masih sebel karena situsnya tidak berhasil dihack? biasanya yang dilakukan script kiddies adalah melakukan DDOS (distributed denial of service attack). Dengan ini situs tidak bisa diakses karena banyak traffic sampah diarahkan ke domain itu. Serangan seperti ini sangat hina dina, karena berarti situsnya sudah aman dan tidak terpikir cara lain.

Carding dan Memeras

Saya tidak akan membahas detail bagian ini, karena ilmunya sangat menyusahkan orang lain. Jadi di sini saya akan memberikan beberapa contoh saja cara ilegal mendapatkan uang. Cara yang legal tentunya dengan bug bounty dan menjadi pentester resmi.

Jika ingin kaya dengan cepat, pertama yang bisa dilakukan adalah carding, alias memakai kartu kredit orang lain. Jika mendapatkan ribuan kartu kredit (dari hasil mass deface, ataupun hacking satu per satu), maka koleksi kartu kredit ini bisa dijual.

Bagaimana mendapatkan uang dari defacement? taktik yang biasanya dipakai adalah memeras. Misalnya dengan email:

Lihat link ini: situs-punya-kamu.com/abc.html

Saya berhasil ngehack, kalo mau saya kasih di mana celahnya, bayar 5 BTC ke saya

Tergantung keberuntungan, pemilik situs akan membayar, daripada omzet harian yang ratusan juta terganggu (saat artikel ini ditulis, 5 BTC sekitar 73 juta). Kalau mau terdengar sopan, sekalian posting di Twitter dengan  bahasa yang sopan ke pemilik accountnya

Saya menemukan “celah” di situs Anda, bisakah kita bekerja sama?

Tentunya kombinasi dari carding dan memeras bisa dipakai, misalnya:

Data kartu kredit di situs kamu dah di tangan saya, bayar 5 BTC supaya nggak saya sebarkan

Tapi yang dilakukan: BTC-nya diterima, tapi kartunya tetap disebarkan.

Tidak malu

Bagaimana jika keluarga bertanya bagaimana kok bisa mendapatkan duit banyak? Bilang saja kerja “pentesting”, walau “pentesting”-nya tidak diminta, dan “tarifnya” ditentukan sendiri. Sebagai catatan, pentesting yang benar bisa dilihat di posting saya yang lain.

Menjadi terkenal

Kalau ingin terkenal, lakukan kejahatan yang gampang dilacak, supaya ditangkap polisi dan masuk TV dan koran. Dengan modal ribuan situs yang sudah dihack di langkah pertama, akan terdengar sangat keren.

Ketika membaca berita, perlu dicatat: menimbulkan kerugian tidak sama dengan menerima keuntungan. Kalau saya memecahkan kaca mobil seseorang dengan batu, saya sudah meninggalkan kerugian besar (apalagi jika mobilnya mahal), tapi saya tidak mendapatkan keuntungan apa-apa.

Andaikan ada keuntungan, belum tentu sama dengan jumlah kerugian. Kalau saya mencuri spion mobil seharga 4 juta dan menjualnya seharga 200 ribu, kerugian orang itu 4 juta, tapi saya cuma mendapat untung 200 ribu saja.

Hebat?

Definisi hebat bagi banyak orang berbeda-beda. Mungkin ada yang mengagumi maling ayam yang berhasil mencuri ratusan ayam baru tertangkap (bayangkan saudara-saudara, ratusan ayam, hebat nggak?). Ada yang kagum dengan pencuri yang sekali mencuri, dapat 13 lukisan senilai 300 juta dollar yang sampai saat ini tidak tertangkap (bayangkan berapa ayam yang bisa didapat).

Setiap penjahat juga punya standar sendiri tentang dosanya, punya pembelaan sendiri. Misalnya ada yang carding tapi targetnya hanya orang luar negeri (“setidaknya saya nggak ngehack bangsa sendiri”), ada yang hanya memeras perusahaan (“setidaknya saya nggak menyusahkan orang kecil”).

Bagi saya sendiri, hacker-hacker yang hebat adalah yang dengan jujur ikut program bug bounty, hacker-hacker yang membuat berbagai tools dan diterbitkan, yang berbicara di berbagai conference atau menulis untuk membagi ilmunya, hacker-hacker yang menemukan berbagai bug dan mendapatkan nomor CVE. Intinya, orang-orang yang membuat dunia jadi tempat lebih baik dari ilmunya.

Ciri-ciri script kiddies dibandingkan orang yang hebat yang saya sebutkan adalah: pelit membagi ilmu (karena memang tidak punya) dan sok misterius supaya dibilang hebat.

Mengamankan Diri

Bagian terakhir ini yang penting untuk mengamankan dari penjahat-penjahat seperti yang saya gambarkan di atas.

Seringlah mengupdate software Anda, baik itu di komputer (desktop/laptop/server), maupun ponsel. Ini akan menutup banyak celah.

Jika Anda admin dan atau developer, jangan sampai sistem Anda bisa dibruteforce. Sebagai  admin, Anda bisa mengkonfigurasi masing-masing komponen sistem agar tidak bisa dibruteforce (atau diperlambat), sistem juga bisa dilindungi dengan melakukan banning terhadap suatu IP misalnya dengan fail2ban. Jika Anda developer bisa menambahkan captcha. Jika terpaksa membuka sesuatu yang bisa dibruteforce, gunakan password yang sangat kuat.

Sebagai pribadi, gunakan password yang sangat sulit ditebak untuk situs penting, terutama email. Gunakan password yang berbeda untuk berbagai situs. Minimal jika Anda malas, milikilah dua password: password penting dan tidak penting. Jika ada opsi two factor authentication, gunakan itu (biasanya berupa SMS atau app untuk login).

Coba cobalah “hack” diri Anda sendiri, dengan fitur forgot password sebuah situs (situs email, facebook). Apa yang muncul di situ? apakah sekedar menanyakan tanggal lahir dan nama Ayah sudah bisa direset passwordnya?

Banyak pihak dan institusi tidak memonitor setiap account. Misalnya jika ada yang berhasil menghack account Anda untuk jualan pulsa, pemilik situs tidak tahu apakah Anda memang melakukan transaksi atau Anda dihack. Jadi sesekali lakukan monitoring hal-hal yang mencurigakan.

Saran saya untuk sekarang masih hobi mendeface, tingkatkanlah skill Anda, jangan cuma lakukan apa yang bisa Anda lakukan sekarang. Meski tidak segampang jalur ilegal, menurut saya jalur jujur lebih patut ditempuh.

Bug: file version control yang bisa diakses via web

Untuk orang awam: saya menemukan bahwa beberapa situs yang cukup besar (beberapa di antaranya: Kompas  dan Tempo) memiliki kesalahan konfigurasi (misconfiguration) sehingga memungkinkan saya mendownload source code web tersebut. Saya akan membahas bagian teknisnya, tapi sebelumnya saya akan berusaha jelaskan untuk orang awam.

Nilai sebuah source code bisa beragam. Ibaratnya di depan rumah seseorang saya menemukan ada dokumen lengkap tentang sebuah bangunan. Di situ tercantum berbagai informasi, denah lengkap rumahnya, sampai merk kunci yang digunakan.

Nah jika rumah itu ada celahnya, maka dengan mudah saya tinggal membacanya, tanpa perlu mengelilingi rumah untuk mencari kelemahannya, dokumen itu nilainya penting, karena jadi komponen penting untuk bisa masuk. Tapi jika rumah itu memang aman, tidak ada celahnya, maka dokumen itu tidak terlalu bernilai. Jadi memiliki source code, tidak berarti kita selalu akan bisa masuk.

Lalu apa hasil temuan dari beberapa situs besar yang saya temukan? Salah satu situs ada yang ternyata memiliki password rahasia yang memungkinkan kita bisa login ke account manapun (password ini memang ditanam oleh developernya). Ada situs yang memiliki API Key dalam source code. Continue reading “Bug: file version control yang bisa diakses via web”

Polusi Udara Chiang Mai

Secara umum udara di Chiang Mai cukup bersih, jumlah kendaraan belum terlalu banyak, dan tidak ada industri besar di sini (karena ini daerah pertanian dan pariwisata). Tapi di bulan Maret sampai April polusi udara cukup buruk karena masih banyak petani yang membakar sisa ladang mereka. Ini sudah menjadi masalah bertahun-tahun, dan sampai saat ini masih terjadi. Di masa sekarang, level polusi di daerah kota tergantung pada arah angin, kadang buruk sekali, kadang bagus.

Polusi hasil pembakaran ini termasuk dalam polusi partikel . Kadar PM2.5 (particulate matter 2.5 micometer) dan PM10  (particulate matter 2.5 micometer) yang tinggi sangat  membahayakan kesehatan. Tiap negara menetapkan batas aman yang berbeda.

Sebagai pribadi yang tidak bisa mencegah semua orang melakukan pembakaran, solusi pribadi untuk masalah ini adalah filter udara. Filter ini harganya relatif mahal, apalagi yang bisa dipakai di ruang besar. Mengikuti ekspat yang sudah lama di sini, kami membeli filter dari Smart Air dan dipasang sendiri di exhaust fan.

Bagaimana bisa yakin bahwa filter murah ini bisa bekerja dengan baik? Tentunya perlu diukur, jadi saya memutuskan membeli sensor udara, SDS011 seharga 29 USD yang menurut review cukup bagus ketika dibandingkan dengan sensor Dylos yang harganya 300 USD.

Alat ini bisa mengoutputkan data melalui koneksi serial/UART dalam format biner. Sudah ada beberapa skrip di internet yang bisa dipakai untuk membaca outputnya. Tahun lalu sensornya saya hubungkan ke raspberry pi dan hasil pembacaaanya dilihat dengan SSH di handphone.

Bagaimana bisa yakin kalau alat ukurnya bekerja normal? mengingat kadang barang buatan China Quality Assurancenya minimum, tentunya ini perlu dipertanyakan juga. Eksperimen yang dilakukan adalah: filternya dicoba di luar rumah, dan dibandingkan dengan data dari beberapa website monitoring udara di Chiang Mai. Hasilnya cukup akurat, atau setidaknya tidak berbeda jauh.

Sebelum membuat sendiri filter ini, kami pernah membeli filter udara yang mahal. Berdasarkan pembacaan sensor, sebelum filter dinyalakan kadar PM2.5 dan PM10 cukup tinggi, setelah dinyalakan kadarnya menurun sampai titik tertentu.

Tahun ini saya sedikit lebih rajin: sensornya saya hubungkan ke ESP8266 dan LCD 16×2  (16 karakter, 2 baris), jadi tidak butuh Raspberry Pi lagi dan jadi portabel. Jika di rumah, hasil pembacaan juga akan di kirimkan via WIFI ke server.

Selain lebih murah, kelebihan lain memakai ESP8266 adalah: waktu startupnya sekitar 3 detik saja.

 

Tapi saat ini belum cukup rajin untuk mendesain case untuk benda ini. Masih belum menemukan design yang bagus, sensor perlu berada di luar case, karena perlu ada udara masuk untuk diproses, display perlu terlihat jelas dan battery bank perlu gampang dicharge dari luar.

Catatan Hosting 2017

Setiap beberapa tahun saya pindah hosting atau upgrade ke server yang lebih baik. Saya menuliskan catatan teknis ini sebagai pengingat di masa depan mengenai berbagai solusi hosting yang pernah saya coba, dan perkembangannya dari masa ke masa. Bisa dilihat di arsip blog ini kategori hosting, dari mulai paket hosting 5000 rupiah sebulan waktu blog ini dimulai, sampai sekarang memakai server sekitar dengan biaya sekitar 30 Euro/bulan.

Terakhir kali pada tahun 2015 saya menyewa dedicated server di online.net, dan sejauh ini semua berjalan dengan baik. Di awal tahun ini saya masih memakai provider hosting yang sama (online.net), tapi saya mengupgrade ke server yang lebih baik: 1x Intel® Xeon® D-1531 dengan RAM 32 GB dan SSD 2 x 250 GB (30 euro per bulan). Untuk keperluan hosting web saja, sebenarnya ini agak berlebihan. Saya memakai server ini juga untuk keperluan lain: hosting git, server VPN, server untuk pentest, server untuk Jupyter Notebook, dll.

Salah satu software yang banyak bugnya adalah WordPress dan berbagai extension dan themenya. Karena web ini dan berbagai situs yang saya miliki hanyalah situs pribadi, saya tidak melakukan hardening karena sebagian besar membuat situs menjadi kurang nyaman dipakai. Contohnya: halaman login bisa disembunyikan, tapi akan memperumit setting beberapa software untuk blogging dari desktop.

Server ini cukup powerful, jadi saya bisa menjalankan beberapa Virtual Machine. Sebagai kompromi antara keamanan dan kenyamanan, saya membuat satu VM khusus untuk semua website saya. Tiap website diisolasi  dengan menggunakan Docker (satu domain menggunakan satu container). Dengan docker, jika satu website ternyata jebol, maka  tidak akan mempengaruhi website lain. Untuk menambah keamanan, saya juga memakai cloudflare (versi gratis).

Continue reading “Catatan Hosting 2017”