Liburan Songkran 2018

Songkran merupakan tahun baru Thailand, dan merupakan hari yang sangat dirayakan di Thailand, seperti Lebaran di Indonesia atau Natal di negara mayoritas Kristen.  Libur utama Songkran sendiri hanya 3 hari, tapi seperti Natal/Lebaran, biasanya kantor akan libur sekitar seminggu.

Selama 11 tahun di sini, kami lebih sering pulang ketika Songkran, karena selain libur panjang, polusi udara di Chiang Mai biasanya sedang buruk. Polusi ini dikarenakan pembakaran ladang dari Thailand (sedikit, kurang dari 200 titik api) dan dari negara sekitar (banyak, ribuan titik api). Tapi sesekali kami tinggal di Chiang Mai. Dan tahun ini kami tinggal di Chiang Mai.

Menurut cerita dari penduduk Chiang Mai, dulu perayaan utama Songkran hanyalah memercik air sebagai simbol pensucian dan menghapus nasib sial, tapi sekarang dirayakan dengan festival saling siram air (dengan ember dan pistol air). Sebagai anak kecil, Jonathan sangat menyukai perang air ini, dan tahun lalu dia kecewa karena harus pulang ke Indonesia di masa Songkran.

Sebagian orang merayakan dengan naik kendaraan yang terbuka (bak terbuka, angkot/red car, bahkan motor) dan menyiram orang di jalanan, sebagian lagi (seperti kami) datang ke tempat tertentu (old city) yang menjadi pusat perang air. Tahun ini kami berangkat agak awal (sebelum jam makan siang, biasanya sesudah), sehingga belum terlalu ramai, tapi sudah cukup membuat kami basah kuyup. Hanya Jonathan dan Saya yang bermain air, Risna dan Joshua bermain di taman.

Sayangnya setelah hari perang air, Joshua demam walaupun tidak ikut basah, jadi hari berikutnya kami tinggal di rumah. Jadi hari itu bisa dipakai untuk ngoprek di rumah. Saya sudah lama penasaran dengan “talking pen” yang dimiliki Jonathan dan Joshua, jadi saya bongkar. Pen ini bisa disentuhkan ke buku tertentu dan akan membacakan teksnya. Ini bagus untuk belajar bahasa Thai.

Kapasitas pen ini 8GB dan bisa dipakai juga sebagai MP3 player. Sayangnya free space-nya cuma 1 GB dari total  8 GB. Saya pikir ketika dibongkar saya akan menemukan eMMC chip kapasitas 8 GB, ternyata isinya adalah micro SD 8 GB.

Tentu saya penasaran, jadi dicoba tukar dengan yang 16 GB (dan menyalin isi 8GB ke SD card yang baru). Ternyata bisa berjalan normal.

Selain bermain air, liburan kali ini diisi dengan jalan-jalan ke Royal Flora, Makro, dan Mall (di kondisi udara yang buruk, mall lebih baik).

Waktu liburan ini saya sempat mengerjakan satu soal challenge dari SecuriTeam_SSD

Saya pikir saya tidak akan menang karena hadiahnya cuma untuk peringkat 1 sampai 3 sementara saya mengirimkan tanggal 14 April (hari Sabtu 2 hari setelah diumumkan).  Saya tetap iseng mengerjakan karena ini cuma satu soal dan sudah lama tidak ikut CTF, minimal jika tidak menang bisa membuat writeup (sudah banyak yang nanya: Pak/Mas/Om kok udah lama nggak nulis writeup). Saya hanya mendapat jawaban singkat bahwa kiriman sudah diterima dan akan segera dicek.

Sepertinya SecuriTeam_SSD libur di akhir pekan, karena pemenang baru diumumkan 16 April. Puji Tuhan ternyata saya menang peringkat pertama, yang berarti akan mendapatkan tiket pesawat, hotel, dan tiket konferensi Bevx di Hong Kong bulan September depan. Beberapa jam kemudian pemenang kedua diumumkan, dan 2 hari kemudian pemenang terakhir diumumkan.

Meskipun semua pemenang sudah diumumkan, bagi yang masih ingin mencoba, bisa mendownload challengenya dari URL ini:

https://www.beyondsecurity.com/bevxcon/bevx-challenge-10

Writeup sudah saya tulis dan akan saya publish setelah diijinkan oleh panitia.

14 Tahun Blogging Bareng

Hari ini tepat 14 tahun sejak saya dan Risna ngeblog bareng. Sebelumnya kami pernah punya blog juga, tapi yang masih rajin diupdate sampai sekarang hanya blog ini. Kenapa masih ngeblog sampai sekarang? dan sebenarnya buat apa sih ngeblog?

Kami di tahun 2004
Kami di tahun 2004

Dulu awalnya isi blog ini kebanyakan hanya pengalaman sehari-hari, dan penuh dengan komplain terhadap berbagai hal. Sekarang ini berbagai komplain kecil biasanya masuk ke media sosial. Sebagai pengingat, waktu blog ini dibuat, Facebook belum terbuka umum (baru 2006 Facebook dibuka untuk dunia), Twitter juga belum ada (Twitter baru diciptakan 2006 juga).

Dari sejak 2004, archive.org sudah mengarsip situs ini

Beberapa orang ngeblog dengan tujuan komersial atau untuk mencari uang. Blog kami ini tidak ditujukan untuk itu. Untuk yang tujuannya komersial, tentunya ngeblog tujuannya jelas: mengundang pengunjung untuk membaca artikel, dan mungkin mengklik iklan atau menjual produk.

Kami sempat juga ngeblog di platform lain, dua yang diingat: Multiply dan  Friendster,  keduanya sudah tidak ada lagi. Media sosial datang silih berganti, tapi blog ini bisa dipelihara selama kami masih ada dan juga akan tetap terarsip di archive.org.  Ini alasan kami masih ngeblog sampai sekarang walau juga menggunakan media sosial.

Isi blog juga mudah dicari dengan search engine dan sifatnya terbuka, tidak dibatasi oleh Facebook/Twitter atau provider lain. Berbagai konten seperti potongan source code mudah dimasukkan ke dalam blog (sulit di Facebook atau media lain).

Banyak orang suka posting sesuatu di Facebook dan Twitter bisa mendapatkan kepuasan dari jumlah “like”/”retweet”/”share”, walau semuanya itu hanyalah kepuasan semu. Dulu orang masih suka berkomentar di blog, tapi sejak beberapa tahun lalu sudah jarang ada komentar di blog walaupun dishare ribuan orang di Facebook (orang-orang akan berkomentar di bagian komentar Facebook, tidak di blognya langsung). Bagi kami kepuasan ngeblog adalah sekedar bisa menuliskan isi pikiran, tidak terlalu peduli dibaca orang atau tidak.

Jadi singkatnya kami masih menulis di blog walau memakai media sosial karena: blog itu lebih tahan lama, blog itu mudah dicari dengan search engine, dan kami punya lebih banyak kontrol terhadap isi dan tampilan blog ini.

Lalu sebenarnya buat apa ngeblog? ada banyak alasan kami masih menulis. Dengan ngeblog, kami berusaha tetap belajar menyampaikan isi pikiran yang panjang secara terstruktur dalam bentuk tulisan, bukan sekedar status pendek di Twitter atau Facebook.

Sudah ratusan kali kami mencari informasi di Internet dan akhirnya sampai di blog seseorang dan informasi tersebut membantu kami. Dengan ngeblog, ini juga merupakan bentuk terima kasih dan balas budi, supaya orang lain juga mendapatkan informasi yang mereka butuhkan dari tulisan kami.

Kami menuliskan banyak kisah hidup juga sebagai pengingat: dulu liburan 2012 ke mana saja? ketemu siapa? Sebenarnya kami juga menyimpan arsip semua foto, tapi lebih mudah mencari teks di blog. Bagi orang yang suka kepo, juga bisa mudah membaca kisah hidup kami di blog ini, tidak perlu menambahkan jadi teman di Facebook 😀

Kadang saya capek menjawab pertanyaan yang sama berulang-ulang, jadi saya tuliskan dalam bentuk artikel di blog, supaya jika ada yang bertanya, saya akan memberikan link ke artikel blog tersebut.  Misalnya ada yang bertanya: pentest itu ngapain sih? reverse engineering itu apa? saya cuma tinggal memberikan link-link untuk menjawab pertanyaan tersebut.

Walaupun pengikut blog ini tidak banyak (kami memang tidak mencari follower), tapi selama belasan tahun sudah punya banyak sejarah. Waktu membahas Brontok, blog ini sempat diblock oleh virus Brontok, jadi alamat blog ini “terabadikan” dengan terdaftar di beberapa situs antivirus (contohnya di Sophos dan F-Secure)

Tercantum di situs antivirus Sophos

 

Juga muncul di F-Secure

Blog ini pernah juga muncul di detik.com (karena masalah kebocoran data pemilih di Bangkok dan masalah bug Gojek). Sebenarnya agak mengkhawatirkan juga cara detik melink gambar, kalo tiba-tiba gambarnya saya ganti gimana?

Kalau gambar dilink itu diganti, gambar di website detik akan berubah

Untuk bug gojek: website ini juga pernah muncul di berita TV dan berbagai web lain selain detik. Dan ketika search alamat blog ini, ternyata url blog ini juga pernah masuk buku.

Dilink di buku Teknologi Informasi dan Komunikasi

Selain yang resmi yang sudah disebutkan, konten blog ini juga banyak dicopy tanpa ijin ke berbagai website lain tanpa menyebutkan sumbernya (baik nama blog ataupun penulisnya). Dulu kami sempat kesal, tapi lama-lama ya sudahlah, asalkan tidak terlalu komersial dan ilmunya masih disebarkan.

Kami berharap bisa terus ngeblog, dan isi blog ini bisa dibaca oleh anak cucu kami suatu hari nanti.

Kisah sebuah bug kecil

Saya mau cerita tentang sebuah bug yang saya perbaiki dan dapat bounty 200 USD plus kerjaan ekstra yang menyusul dari ini. Meski secara nilai ini kecil dibandingkan banyak proyek lain, tapi ada banyak hal yang membuat gembira dari satu bug kecil ini sehingga ingin saya ceritakan.

Maaf, ini bukan cerita tentang serangga, tapi bug software

Cerita singkatnya: teman saya memakai software open source QZ, sebuah library untuk printing via web browser. Jadi jika client menginstall software ini di PC-nya maka web app yang memakai library QZ bisa mengakses langsung printer lokal. Langsung di sini artinya bisa mengirimkan kode mentah, sehingga printing bisa cepat dan mendukung berbagai fitur spesifik printer. Fitur semacam ini dibutuhkan untuk software Point Of Sales, aplikasi bank atau sejenisnya yang butuh langsung mencetak ke printer yang tidak standar (misalnya printer thermal, printer buku tabungan, dsb). Continue reading “Kisah sebuah bug kecil”

Memperbaiki mainan Dinosaurus ABC

Joshua punya mainan dinosaurus dengan banyak tombol ABC. Mainan ini sudah beberapa kali hilang suaranya, tapi ketika dibongkar belum diapa-apain udah bisa muncul lagi. Tapi akhirnya suatu hari suaranya benar-benar berhenti. Hari ini akhirnya iseng dibongkar lagi.

Joshua memainkan dinosaurus yang sudah diperbaiki

Ternyata agak ribet juga membongkar benda ini, dan ternyata masalahnya sederhana sekali: speakernya rusak. Banyak mainan memakai speaker murahan. Biasanya speaker seperti ini magnetnya akan lepas/bergeser. Continue reading “Memperbaiki mainan Dinosaurus ABC”

Perang Cyber dan Hacker Indonesia

Beberapa hari yang lalu China melarang security researchernya untuk mengikuti kompetisi pwn2own dan sejenisnya di luar negaranya.  Ini bisa jadi suatu awal yang gawat untuk dunia keamanan cyber baik secara umum, dan juga untuk Indonesia.

Saya mau mundur sedikit: apa sih pwn2own itu? Ini adalah kompetisi hacking di mana hacker diminta menjebol device dengan software terbaru dengan bug yang belum pernah diketahui orang lain sebelumnya (zero-day). Pemenangnya mendapatkan devicenya dan hadiah puluhan sampai ratusan ribu USD (ratusan juta hingga milyaran rupiah).

Bug

Secara singkat: beberapa bug ini memungkinkan orang mengambil alih ponsel, tablet, dan bahkan mobil (mobil pintar) dari jauh tanpa interaksi dari user.  Ini bukan bug kacangan seperti XSS atau SQL injection di website.

Supaya lebih jelas lagi akan saya jelaskan dengan salah satu contoh pemenang  di tahun 2017 lalu dari kategori Mobile. Salah satu team dari China bisa membuat exploit, sehingga jika  iPhone dengan iOS terbaru (waktu itu versi 11.1) yang melakukan koneksi ke access point tertentu (yang mereka kuasai) maka iPhone tersebut bisa diambil alih, artinya mereka bisa menginstall sebuah aplikasi di iOS tanpa ketahuan dan aplikasinya bisa melakukan apa saja termasuk juga menyadap komunikasi, mencuri data dsb (tanpa ketahuan), dan aplikasinya tetap berjalan setelah ponselnya direstart.

Perhatikan: pemilik ponsel bahkan tidak perlu masuk ke website tertentu, cukup konek ke sebuah access point WIFI.  Dalam banyak kasus, pemilik ponsel bahkan tidak perlu melakukan apapun karena ponsel biasanya auto connect ke jaringan WIFI yang sudah dikenal (artinya attacker cukup membuat nama WIFI yang sama dengan yang sudah pernah dikunjungi korban, misalnya WIFI di Starbucks)

Jika eksploit ini ada di tangan orang jahat, hanya dengan koneksi ke WIFI sebuah cafe, mereka bisa menginstall software yang selalu berjalan di latar belakang. Seorang mata-mata akan dengan mudah mengambil rahasia negara jika orang tersebut memakai iPhone.  Ini bukan kisah fiksi, tool seperti ini sudah dipakai oleh agensi pemerintah.

Takut memakai WIFI? Team lain bahkan bisa menemukan bug di baseband processor dan melakukan baseband attack (dalam kompetisi tersebut yang berhasil dijebol adalah baseband pada Samsung S8). Di dalam sebuah ponsel ada baseband prosessor yang melakukan komunikasi dengan jaringan operator. Jika serangan dilakukan dengan cara ini, maka bahkan jika WIFI mati, asalkan ponsel melakukan koneksi ke BTS maka tetap bisa diambil alih. Secara otomatis ini koneksi akan dilakukan, meskipun pada BTS tidak dikenal karena dibutuhkan untuk fitur emergency call pada ponsel.

Untuk menemukan dan mengeksploitasi bug seperti ini dibutuhkan pemahaman sangat mendalam dari mulai paket data WIFI, sistem operasi (dalam kasus ini iOS sampai level model security yang dipakai, bukan memakai iOS-nya), assembly (dalam kasus ini Arm 64 bit),sampai pembuatan aplikasi iOS (bagian payload-nya).

Untuk memberi gambaran betapa sulitnya mencari dan mengeksploitasi bug level WIFI, silakan baca posting dari team Google Project Zero, mereka menuliskan tiga bagian artikel ekpsloitasi WIFI di device iOS (silakan baca bagian pertama, kedua, dan ketiga). Bagi yang sudah sering ikutan CTF dalam level eksploitasi, pasti akan sedikit paham isi tulisan itu, tapi kebanyakan yang mengaku “hacker” hanya akan bisa bengong.

China

Saat ini team dari China  memiliki kemampuan hacking yang sangat bagus. Tahun lalu semua top 5 di kompetisi pwn2on adalah dari China. Bukan cuma di kompetisi pwn2own, tapi team dari China juga terkenal dalam berbagai kompetisi lain. Continue reading “Perang Cyber dan Hacker Indonesia”

Retrogaming

Salah satu minat saya kalau lagi iseng adalah retrogaming. sederhananya main game console lama (baik itu di device asli maupun emulator). Ini cuma sekedar cerita, bukan posting teknis yang serius.

Saat ini saya punya beberapa Game Boy: Game Boy biasa, Game Boy Color, Game Boy Advance, dan juga clone Game Boy Color yang layarnya memiliki backlight (namanya GB Color). Saya juga punya Link Cable, kamera dan juga printer Gameboy. Koleksi saya ini tidak seberapa dibandingkan dengan koleksi banyak orang lain. Adik saya di Indonesia juga punya hobi yang sama, dan bahkan punya lapak online di Instagram yang menjual retro console. Hobinya membeli berbagai console bekas, lalu menukar isinya, mengganti komponennya atau mengakali supaya jalan lagi (adik saya ini dosen elektro). Continue reading “Retrogaming”

Festival Bunga Chiang Mai

Setiap tahun di Chiang Mai ada festival bunga di awal bulan Februari (Chiang Mai Flower Festival). Ternyata setelah sekian lama di sini, kami belum pernah menuliskan soal festival bunga ini. Festival ini diselenggarakan tiap Sabtu pertama bulan Februari.

Ada dua bagian utama festival ini: parade mobil bunga, dan tempat parkir mobil bunga.  Paradenya pagi hari, dan selain mobil bunga disertai juga dengan berbagai tarian, delman dan juga marching band. Di tempat parkir mobil bunga, ada banyak makanan dan juga panggung musik.

Bagi para pengunjung/turis ke Chiang Mai: bagian paling seru adalah paradenya, jadi siapkan diri pagi-pagi datang ke salah satu titik jalan yang dilalui parade. Untuk mudahnya, gunakan Grab/Uber dan minta diturunkan di salah satu titik yang nyaman/teduh.

Salah satu mobil bunga (2008)

Di awal waktu kami di Chiang Mai, kami datang ke sini, lalu mengajak orang tua juga untuk melihat festival ini. Setelah Jonathan lahir kami juga mencoba untuk melihat festival ini. Ternyata acara ini agak kurang cocok untuk anak kecil karena terlalu rame , jadi setelah agak lama baru tahun ini kami datang lagi ke festival ini, tapi hanya di tujuan parkir mobil bunganya saja. Continue reading “Festival Bunga Chiang Mai”