Skrip dan Extension untuk Browsing

Sekarang ini banyak waktu saya habiskan di browser, bahkan ketika melakukan programming sekalipun perlu sering mencari solusi dengan Google. Untuk mempernyaman browsing, saya menggunakan berbagai browser extension baik yang diterbitkan resmi atau buatan sendiri plus beberapa bookmarklet.

Untuk yang belum tahu: browser extension adalah program yang bisa ditambahkan ke browser untuk menambah atau mengubah fungsionalits tertentu.  Supaya lebih singkat, berikutnya extension yang saya maksud di artikel ini adalah browser extension.

Salah satu contoh extension paling populer adalah untuk memblokir iklan. Ini membuat browsing jadi lebih nyaman, lebih cepat dan lebih hemat data. Extension lain yang banyak digunakan orang adalah password manager untuk mengingat password berbagai situs.

Semua browser modern saat ini mendukung extension. Browser yang saya gunakan sehari-hari adalah Chrome dan Firefox, tapi informasi yang saya tuliskan di sini berlaku untuk browser lain juga (semua browser sudah mendukung extension).

Dulu saya cukup percaya berbagai extension yang ada, tapi lama-lama kepercayaan itu mulai hilang. Ada banyak kasus yang menyebabkan saya kurang percaya, baik itu karena bug parah, karena kecerobohan developer, atau keserakahan developer. Continue reading “Skrip dan Extension untuk Browsing”

Hacking aplikasi web dengan Zaproxy

Saat ini kebanyakan tulisan di blog ini sifatnya cerita yang tidak sampai ke teknis detail. Tulisan kali ini sangat praktis, mengenai memakai Zaproxy untuk hacking (mencari bug atau mengeksplotasi bug) aplikasi web. Atau lebih tepatnya lagi aplikasi yang memakai komunikasi HTTP, baik itu aplikasi berbasis mobile, desktop, maupun browser. Sekaligus ini untuk menjawab berbagai pertanyaan mengenai hacking web yang sering diajukan ke saya.

Zaproxy pada dasarnya adalah sebuah intercepting proxy dengan berbagai fitur tambahan (scanner, spider, dsb). Sebuah intercepting proxy bisa mencegat komunikasi dari client ke server (request) dan balasan dari server (response). Defaultnya, komunikasi yang dicegat akan diteruskan saja dan dicatat (di-log), tapi kita juga bisa mengubah baik request maupun response.

Sebagai catatan, Zaproxy bukan satu-satunya tools yang ada, tapi tools ini gratis,  open source, cross platform (Windows, OS X, Linux) dan fiturnya lengkap. Alternatif populer adalah Burp suite, ini ada versi gratisnya, tapi fitur pentingnya berbayar (salah satu fitur paling penting yang berbayar adalah menyimpan sesi). Tools lainnya yang gratis dan bagus untuk Windows adalah Fiddler (saat ini Fiddler versi OS X dan Linux masih beta), sayangnya Fiddler tidak open source. Jika sudah menguasai salah satu tools ini, berpindah yang lain tidak terlalu sulit. Continue reading “Hacking aplikasi web dengan Zaproxy”

Bulan Penuh Diskon

Bulan November merupakan bulan penuh diskon, karena ada 11/11 (singles day) dan ada banyak diskon dari berbagai situs di China, lalu diikuti dengan Black Friday dan Cyber Monday yang penuh dengan diskon global.

Dibandingkan tahun lalu, tidak terlalu banyak diskon yang diberikan oleh AliExpress, benda mahal yang saya beli  hanya Proxmark3 versi paling sederhana (tidak memiliki konektor batere) dengan harga 66 USD (termasuk ongkos kirim). Proxmark3 ini adalah tool untuk eksplorasi RFID/NFC.

Sebenarnya dalam banyak kasus berbagai penstest dan hacking NFC bisa dilakukan dengan reader sederhana yang harganya kurang dari 5 USD, tapi proxmark ini diperlukan untuk sniffing dan juga untuk mengakses berbagai kartu yang tidak standar.

Texas Instruments baru saja meluncurkan board MSP43  baru (Launchpad dengan FRAM), dengan harganya 9.9 USD belum termasuk ongkos kirim, tapi saat ini  diskon menjadi 4.30 USD (sudah termasuk ongkos kirim). Diskonnya masih ada sampai Desember 2017. Development board dari TI ini bisa dipakai juga memprogram chip MSP430 lain.

Waktu pindah ke rumah baru, UPS yang tadinya baik-baik saja menjadi tidak berfungsi sama sekali. Setelah dibongkar, ternyata ada kabel yang kendor di dalamnya (mungkin kendor waktu pindahan). Tapi UPS-nya sudah tidak menyimpan daya lagi dan baterenya agak melendung (batere dari tahun 2012). Akhirnya  beli baru dan UPS-nya bisa berfungsi lagi.

Ada kit yang namanya Makey Makey yang fungsinya mengubah berbagai benda konduktif menjadi input device. Contoh benda dan aplikasinya bisa dilihat di situs tersebut, tapi beberapa di antaranya: mengubah pisang menjadi alat musik atau membuat tangga musikal dengan conductive tape.

Harga makey makey cukup mahal, jadi ketika saya lihat ada modul MPR121  di aliexpress yang harganya kurang dari 2 USD, saya langsung cek apakah mudah dipakai (dari beberapa tutorial dan video youtube), dan ternyata mudah. Dengan menghubungkan modul ini ke Arduino Leonardo, saya bisa membuat tiruan makey makey. Sebagai catatan, seri Arduino Leonardo dan Pro Micro bisa dengan mudah mengemulasikan USB, seri lain defaultnya tidak bisa kecuali dengan menambah beberapa komponen dan memakai software Lufa atau V-USB.

Cukup seru memainkan ini, tapi setiap kali selesai bermain dari kamar lain dan melihat pisangnya, Joshua berusaha ambil untuk dimakan.

Dan setelah share ini di Facebook, beberapa hari kemudian muncul iklan diskon Makey makey di Facebook feed.

Selain bulan diskon, di bulan November kami banyak melakukan aktivitas lain.  Tahun ini festival Loi Krathong dirayakan di awal bulan. Kami datang ke sungai dekat rumah untuk melihat orang-orang melarung krathong. Festival ini selalu bersamaan fetival Yi Peng, di mana orang menerbangkan sky lantern (seperti di film Tangled).

Beberapa kali ulang tahun Jonathan dirayakan bersama orang Indonesia di Chiang Mai, dan tahun ini lagi. Sekarang lebih ramai dari dulu karena lebih banyak keluarga yang punya anak. Tema tahun ini Doctor Who (sebelumnya Pokemon, dan sebelumnya lagi Paw Patrol).

Risna berhasil membuat tempe lagi tahun ini dengan ragi yang dibawakan oleh mama saya. Seperti biasa, demi privasi, foto-foto yang ada orang lain hanya diupload di Facebook untuk friends saja.

Untuk kesekian puluh kalinya, kami jalan-jalan di Night Safari. Sebenarnya tempat ini mahal (800 baht sekitar 320 rb rupiah per orang) tapi kami punya membership gratis masuk berapa kalipun dalam 6 bulan (membership 6 bulan hanya 500 baht sekitar 200 rb rupiah). Kami bisa menghabiskan waktu 3-6 jam di sini tiap kali datang. Ada bus keliling 2 jalur, totalnya sudah 1 jam, plus ada play ground (biasanya sekitar 1 jam main di play ground).

Joshua menjatuhkan iPad ke jempol kakinya dan hasilnya dalam beberapa hari kuku kakinya lepas, jadi kami membatasi jalan-jalan ke tempat yang tidak berdebu/berpasir. Ketika dibawa ke night safari, Joshua dengan semangat berlari di walking trail.

Ada tempat baru yang kami kunjungi: Rabbit Union. Di sini anak-anak bisa memberi makan dan mengelus-elus kelinci. Awalnya cukup menyenangkan bermain dan mengejar kelinci, tapi di akhir Joshua mulai berusaha mengangkat kelincinya.

Chiang Mai Citylife Garden Fair adalah acara tahunan outdoor. Di sini ada musik, banyak penjual makanan, pembaca kartu tarot, dan ada juga kegiatan untuk anak-anak.

Jonathan ikut menghias pot bunga, dan setelah itu potnya (dengan bunganya) bisa dibawa pulang.

Wii kami yang umurnya sudah hampir 10 tahun rusak. Sepertinya NAND-nya error secara fisik karena sudah dicoba restore dari backup (yang dibuat dengan BootMi) tapi gagal. Format ulang dan recreate juga gagal.

Terpikir untuk upgrade ke Wii U atau Switch, tapi akhirnya beli second hand console Wii lagi dari eBay. Nintendo Switch masih mahal dan tidak kompatibel dengan Wii Fit Board, sedangkan Wii U sepertinya masih agak bahaya jika Joshua membawa-bawa controllernya.

Teringat dulu saya pernah bikin beberapa app homebrew di console ini yang sampai saat ini masih berjalan karena Wii tidak mengupdate lagi firmwarenya.

Saya tidak mengikuti berita kalau Rasberry Pi meluncurkan majalah baru untuk oprekan hardware secara umum, bukan hanya Raspberry Pi. Versi PDFnya gratis bisa didownload dari hsmag.cc dan kita juga bisa berlangganan versi fisiknya.

Saya sempat heran kenapa ada majalah baru di kotak surat, ternyata sebagai pelanggan MagPi, saya dapat edisi pertama fisik gratis. Dan jika Anda ingin berlangganan, ada kode diskon 25 GBP di kertasnya.

Hacking dan Reverse engineering hardware

Saat ini di jaman IOT, makin banyak orang yang tertarik untuk hacking dan reverse engineering (RE) hardware. Karena sudah cukup banyak orang menanyakan topik ini, maka di artikel ini akan saya bahas dasar-dasarnya, plus tools apa saja yang dibutuhkan jika ingin memulai.

Dalam artikel ini RE hanya bertujuan memahami software dan hardware dalam sebuah sistem. Hacking hardware bermakna lebih luas misalnya menambah atau mengubah sesuatu di hardware, misalnya menjalankan Doom di printer, membuat hardware baru, atau oprekan apapun yang berhubungan dengan hardware.

Supaya bisa mengubah sebuah hardware yang tidak terdokumentasi, kita perlu melakukan dulu reverse engineering untuk memahami cara kerjanya, baru setelah itu kita bisa melakukan perubahan. Untuk hardware open source atau yang dokumentasinya sangat baik, proses RE ini tidak perlu.

Tujuan melakukan Hacking Hardware

Ada banyak tujuan RE dan hacking hardware, misalnya:

  • Mencari key enkripsi untuk mengakses konten gratis atau untuk membuat konten baru (misalnya game homebrew), atau bahkan membajak, contohnya dalam kasus Game Console
  • Memperbaiki, menambah atau menghilangkan fungsionalitas , misalnya menambah SD Card di router
  • Mengekstraksi firmware dengan berbagai tujuan: mencari bug di firmwarenya, mengclone firmwarenya (membuat produk tiruan), mencari key dalam firmwarenya

Perlu dicatat bahwa dalam 99% kasus, ujung dari reversing hardware adalah melakukan reversing software yang berjalan di hardware tersebut. Continue reading “Hacking dan Reverse engineering hardware”

Jadi peserta CTF yang bener dong, jangan malu-maluin

Tahun lalu saya mengkritik panitia Cyber Jawara karena soal CTF-nya ngawur. Sekarang gantian saya mengkritik peserta yang ngawur di penyisihan online. Banyak peserta yang sharing jawaban, seperti mencontek soal ujian.

Tahun ini, panitia Cyber Jawara dan pembuat soal sudah bekerja sangat baik. Soal yang dibuat berkualitas, dan mereka juga mengecek jawaban peserta dengan teliti sehingga kelakuan curang seperti itu bisa diketahui dan didiskualifikasi.

Kutipan komentar dari panitia (Fariskhi Vidyan):

jadi gini ceritanya ya. Ada beberapa tim yang melaporkan ada tim-tim yang minta flag dan juga menawarkan flag dengan bukti screenshot. Jadi ada tim yang kerjaannya minta-minta flag dan mendistribusikan itu ke tim lain dengan syarat minta pap/foto tim. Ada juga yang pakai cara-cara lain. Gara-gara komunikasi pakai telegram jadinya mudah untuk ngelakuin ini.

Selain itu writeupnya juga pada gak bener. Ada yang persis copy paste. Bahkan user terminalnya pun sama persis -,- dan kata-katanya pure copy tanpa ada perubahan satu karakter pun. Banyak juga yang isinya asal-asalan dan bahkan penjelasan yang salah pun diikutin.

Dan katanya ini emang udah terjadi dari tahun2 lalu. Tapi kalau tahun2 lalu nilai akhir itu nilai di web scoring + nilai write up. Makanya yang curang-curang pada datang rombongan. Mana bisa begitu. Untuk tahun ini, ditegasin dengan kasih penalti besar-besaran ke write up yang gak valid, untuk nilai soal yang write upnya gak bener/ngasal dijadikan 0. Ada yang tadinya full score sampai jadi di bawah 500. Yang write up soalnya sama persis juga dikasih penalti dua-duanya.

Saya kesal dengan mentalitas pencontek seperti ini. Dulu waktu saya masih sering ikutan CTF di akhir pekan, banyak juga yang menanyakan apa flag (jawaban) sebuah soal. Sebenarnya kalo ada yang tanya petunjuk (hint) untuk mengerjakan soalnya, biasanya akan saya jawab. Misalnya akan saya jawab dengan: coba SQL injection, atau: coba baca artikel ini.

Untungnya masih ada beberapa yang bertanya seperti itu, dan sampai sekarang pun masih ada yang rajin menanyakan hint dan meminta petunjuk buku atau artikel mana yang perlu dibaca untuk menyelesaikan soal tertentu atau memahami konsep tertentu. Orang-orang seperti ini yang akan sangat dirugikan oleh cheater.

CTF perlu anti contek juga?

Banyak orang mengkritik kalau pejabat pemerintah bobrok, banyak koruptor, dsb. Padahal kelakuan seperti itu dimulai dari kelakuan kecil seperti mencontek ini.  Jangan pikir bahwa mencontek ini tidak merugikan siapa-siapa: di lomba semacam ini, kelakuan curang akan sangat merugikan orang yang jujur dan memiliki keahlian.

Sebenarnya apa sih tujuan main CTF kalau mainnya curang? CTF itu untuk belajar, dan nanti bisa terpakai di dunia nyata di dunia security. CTF juga buat bersenang-senang seperti menyelesaikan puzzle. Kelakuan cheater seperti ini cuma merusak kesenangan orang yang beneran menikmati main CTF.

Andaikan team curang ini lolos ke final, mereka akan bengong melihat soal-soal yang ada. Andaikan panitia tidak teliti, dan semua team cheater yang masuk final, maka ketika ke tahap berikutnya di level ASEAN, mereka akan bengong dan memalukan Indonesia.

Mencegah kecurangan

Sebenarnya ada cara untuk mempersulit kecurangan semacam ini, tapi panitia harus bekerja ekstra. Tiap flag bisa dibuat unik per peserta, jadi flag tidak bisa dishare begitu saja. Tentunya tidak mudah membuat variasi ini untuk semua jenis soal, tapi mungkin bisa dilakukan untuk sebagian soal saja. Ini tidak mencegah peserta untuk sharing cara mereka menyelesaikan soal.

Untuk membuat orang segan berbagi metode, di beberapa CTF, skor untuk satu soal dikaitkan dengan dua faktor: siapa yang menyelesaikan duluan dan berapa banyak yang menyelesaikan soal tersebut.

Peserta yang duluan menyelesaikan soal mendapat skor lebih tinggi dari peserta berikutnya (misalnya 100%, 99%, dst). Jika sebuah soal banyak diselesaikan oleh orang, maka bobot soal dikurangi, artinya soal yang hanya bisa dipecahkan oleh 10 orang bobotnya lebih tinggi dari yang bisa diselesaikan 100 orang.

Dalam metode scoring ini skornya jadi dinamis. Misalnya soal 1 nilai bobot awalnya 1000. Team A menyelesaikan soal 1, dan mendapat skor 1000. Tiba-tiba ada 9 peserta lain yang berhasil menyelesaikan, bobot skor dikurangi jadi 900, sekarang tiba-tiba team A memiliki skor 900 meskipun tidak melakukan apa-apa.

Team yang jagoan, yang bisa menemukan beberapa flag akan malas sharing dengan team lain: buat apa sharing, nanti skor saya akan menurun kalo banyak yang menyelesaikan soalnya.

Penutup

Bagi saya sendiri, CTF untuk bersenang-senang, kenalan dengan banyak orang, dan kadang-kadang juga mendatangkan rejeki dari tawaran pekerjaan. Beberapa CTF (Seperti Flare On) juga menawari peserta untuk mengirimkan resume (jika berhasil menyelesaikan semua challengenya).

CTF yang baik dan fun butuh panitia yang baik, dan juga butuh peserta yang baik. Jadilah peserta CTF yang jujur dan mau belajar. Panitia jadi akan punya lebih banyak waktu untuk membuat soal yang baik daripada susah payah mencegah cheater.

Ke Belanda

Dari RHME2 tahun lalu saya mendapatkan hadiah mengikuti kursus security gratis di Riscure Delft, Belanda. Karena ini bukan perjalanan dinas dari kantor, jadi saya perlu mengurus segala sesuatu sendiri, dan saya bisa bebas menceritakan perjalanannya.

Visa

Di Chiang Mai tidak ada kedutaan Belanda, jadi untuk mengurus Visa saya perlu ke Bangkok. Sebenarnya mengurus Visa bisa dilakukan di kedutaan Belanda atau di VFSGlobal. Saya memilih menggunakan VFSGlobal karena mereka punya jasa kirim balik visa via EMS (menghemat uang dan waktu, tidak perlu kembali ke Bangkok lagi).

Website VFSGlobal sudah sangat bagus, ada checklist mengenai berbagai dokumen yang dibutuhkan sesuai dengan jenis Visa-nya. Karena saya ke sini untuk training, saya menggunakan Visa bisnis. Sebagai catatan, bidang security ini tidak ada hubungannya sama sekali dengan tempat saya bekerja sekarang, tapi tetap butuh surat pengantar dari tempat bekerja.

Tidak ada proses wawancara ketika menyerahkan dokumen. Saya hanya menyerahkan semuanya, diminta scan sidik jari, mengisi alamat pengiriman kembali paspor setelah selesai. Visa saya dapatkan sekitar seminggu, saya masukkan alamat kantor supaya yakin ada selalu orang yang menerima. Karena proses VISA sangat singkat, saya sempat makan siang dengan Pak Kief, alumni Informatika ITB yang saat ini bertugas di KBRI.

Perjalanan

Ada pesawat KLM dari Bangkok langsung ke Belanda. Perjalanannya 11 jam. Karena tidak ada connecting KLM dari Chiang Mai, jadi saya naik airline lain, dengan menyisakan waktu 4 jam. Ternyata 4 jam ini cukup pas, karena butuh menunggu bagasi, antri memasukkan bagasi, antri imigrasi, antri scan.

Di dalam pesawat ada Entertainment System. Kalo saya membawa peralatan yang lengkap, sistemnya sepertinya bisa dijebol. Sistemnya menerima input USB, dan biasanya sistem seperti ini rentan terhadap berbagai macam file yang corrupt. Sistemnya sendiri memakai HTML untuk user interfacenya, ini bisa terlihat dari sifatnya, misalnya file yang memiliki nama &lt; akan muncul sebagai tanda kurang dari (<).

 

Mengunjungi Keluarga Dea

Dulu banget dalam kisah pacaran kami ada Dea, saudara sepupu Risna yang meyakinkan Risna supaya mau pacaran dengan saya. Beberapa tahun kemudian Risna membantu Dea menulis surat ke calon suami Dea (yang sekarang jadi suami Dea saat ini). Karena Delf tidak terlalu jauh, jadi saya bisa mampir ke rumah mereka. Saya menginap semalam, dijamu jalan-jalan, dan diantarkan ke penginapan. Senang rasanya bisa ngobrol dan bertanya-tanya banyak hal mengenai Belanda.

(Catatan: untuk privasi, foto-foto orang lain tampak depan biasanya tidak akan ditampilkan tanpa ijin orangnya, dan foto-foto seperti itu biasanya saya share di Facebook untuk “Friends” saja)

Kebetulan sedang ada Pasar Raya Indonesia, jadi saya bisa beli makan malam sebelum diantar ke hotel.

Transportasi

Tempat pelatihan dan hotel jaraknya hanya 4 km, jadi saya punya beberapa opsi: jalan kaki, naik sepeda, taksi, dan Uber. Di hari pertama saya sudah menyewa sepeda, tapi tiba-tiba hujan yang agak deras dan tidak terlihat akan berhenti, jadi akhirnya manggil Uber. Padahal saya sudah susah payah mempelajari gimana cara mengamankan sepeda, cara membuka dan menutup kunci (dari Youtube), juga membaca seksama aturan dari hotel (misalnya hotel tidak bertanggung jawab kalo ban kempes, pompa aja sendiri).

Ternyata saya beruntung sekali di hari pertama bisa mendapatkan uber, karena di kota Delft ini saat ini uber sangat sedikit, sampai-sampai Uber akan memberikan bonus untuk driver yang melakukan 5 perjalanan di Delft. Pagi itu saya beruntung karena ada driver yang kebetulan baru mengantarkan salah satu peserta training yang sama ke Riscure. Benar saja pulangnya nggak  dapet uber, jadi saya mencoba jalan dan ternyata rasanya cukup menyenangkan.

Di Belanda rasanya aneh kalo tidak mencoba naik sepeda, jadi saya akhirnya mencoba menyewa sepeda lagi. Untuk memandu perjalanan, saya set tujuan di Google Maps, saya kantongi HP-nya dan mendengarkan petunjuknya dengan earphone. Perjalanan dengan sepeda lebih menyenangkan dari jalan kaki. Pulang dari pelatihan, saya sempat berkelana menyusuri suasana pedesaan walau sebenarnya itu nyasar, karena Google Maps/HP saya ngaco.

Kincir Angin

Pelatihan

Materi training yang saya ambil adalah “Embedded Systems Security“. Dalam banyak hal, materinya sebenarnya terlalu dasar buat saya. Tapi saya mengambil ini karena ingin menstrukturkan segala macam pengetahuan yang sudah saya miliki (dan menambal lubang dalam pengetahuan saya). Pelajaran terbanyak justru saya dapatkan dari ngobrol dengan pelatih dan peserta lain.

Dalam bidang lain (misalnya pemrograman), saya bisa dengan percaya diri menyusun materi pengajaran dengan struktur yang baik, tapi di bidang embedded security saya merasa masih bingung jika harus mengajarkan ilmunya ke orang lain. Ternyata belajar mereview semua hal dasar sangat berguna, dan bahkan orang-orang dari Riscure sendiri kadang diikutkan dalam training mereka (bukan sekedar mengisi slot, tapi mereka benar-benar belajar), misalnya ada karyawan yang ikut dalam kelas, karena meskipun jago enkripsi (memiliki PhD), tapi masih lemah dalam embedded system.

Training yang ada ditujukan untuk mengenali dan mencegah berbagai serangan terhadap embedded systems. Ini biasanya sangat berguna untuk berbagai perusahaan yang membuat hardware sendiri (supaya aman, tidak mudah dicopy pesaing, dsb), tapi juga berguna untuk mengevaluasi berbagai produk yang ada.

Misalnya salah satu target yang diberikan adalah webcam WIFI, yang ternyata mengirimkan statusnya ke China, dan semua semua streamnya bisa diakses dari seluruh dunia, dan bahkan secara teori bisa dipakai untuk menjebol jaringan internal karena melakukan NAT Traversal. Bayangkan jika Anda memilih webcam ini untuk dipakai di lembaga negara atau kamar pribadi Anda. Contoh hardware berbahaya lain adalah router, saat ini berbagai modem default dari ISP ternyata memiliki lubang yang membuat semua orang bisa masuk. Jika ada yang mengerti dan melakukan pengecekan dasar hardware, kasus semacam itu tidak akan terjadi.

Anak-anak

Saya jarang sekali pergi meninggalkan keluarga, walaupun hanya beberapa hari, karena anak-anak akan sangat kangen (dan saya kangen mereka). Jika kantor bisa mengirimkan orang lain, saya akan sangat senang daripada saya yang pergi. Di hari pertama sudah ada insiden: Joshua jatuh, gigi depannya lepas sampai ke akarnya. Risna pun segera dibantu oleh Bos dan Office Manager kami untuk ke UGD, lalu diteruskan ke dokter gigi (untuk memastikan tidak ada pecahan tersisa). Hasilnya: Joshua akan tumbuh gigi depan lagi yang permanen beberapa tahun yang akan datang, tapi tetap butuh dikontrol perkembangannya.

Pulang

Untuk menghemat, pulang dilakukan dengan naik Uber ke stasiun, disambung dengan naik kereta. Waktu sampe Belanda masih agak  nggak konsen baca kelas kereta dan jadwalnya (jam 8 malam, atau jam 2 pagi waktu Thailand), waktu pulang lebih jelas rasanya.

Perjalanan ke Thailand lancar, mendarat di Bangkok, dan beberapa jam kemudian diteruskan ke Chiang Mai. Joshua “ngambek” karena papanya pergi lama, setelah diajak main di mall dan naik kereta keliling mall, baru dia peluk papanya dan bilang “hug papa”.

Jonathan menunjukkan kalo dia beli kartu Bingo, tapi tidak bisa main dengan fun karena tidak bisa menghasilkan bilangan acak, jadi dia minta dibuatkan appnya. Akhirnya saya buatkan versi HTML5.

Dan Jonathan juga ingin makan telur karena oleh-oleh egg timer yang saya bawakan yang akan memainkan melodi tertentu tergantung level matang telurnya. Ternyata lagu terakhir adalah lagu kebangsaan Belanda, kalau misalnya mau bikin sendiri atau hack yang sudah ada, boleh nggak ya pake lagu kebangsaan Indonesia dalam telur rebus?

Telur Rebus