Bulan Penuh Diskon

Bulan November merupakan bulan penuh diskon, karena ada 11/11 (singles day) dan ada banyak diskon dari berbagai situs di China, lalu diikuti dengan Black Friday dan Cyber Monday yang penuh dengan diskon global.

Dibandingkan tahun lalu, tidak terlalu banyak diskon yang diberikan oleh AliExpress, benda mahal yang saya beli  hanya Proxmark3 versi paling sederhana (tidak memiliki konektor batere) dengan harga 66 USD (termasuk ongkos kirim). Proxmark3 ini adalah tool untuk eksplorasi RFID/NFC.

Sebenarnya dalam banyak kasus berbagai penstest dan hacking NFC bisa dilakukan dengan reader sederhana yang harganya kurang dari 5 USD, tapi proxmark ini diperlukan untuk sniffing dan juga untuk mengakses berbagai kartu yang tidak standar.

Texas Instruments baru saja meluncurkan board MSP43  baru (Launchpad dengan FRAM), dengan harganya 9.9 USD belum termasuk ongkos kirim, tapi saat ini  diskon menjadi 4.30 USD (sudah termasuk ongkos kirim). Diskonnya masih ada sampai Desember 2017. Development board dari TI ini bisa dipakai juga memprogram chip MSP430 lain.

Waktu pindah ke rumah baru, UPS yang tadinya baik-baik saja menjadi tidak berfungsi sama sekali. Setelah dibongkar, ternyata ada kabel yang kendor di dalamnya (mungkin kendor waktu pindahan). Tapi UPS-nya sudah tidak menyimpan daya lagi dan baterenya agak melendung (batere dari tahun 2012). Akhirnya  beli baru dan UPS-nya bisa berfungsi lagi.

Ada kit yang namanya Makey Makey yang fungsinya mengubah berbagai benda konduktif menjadi input device. Contoh benda dan aplikasinya bisa dilihat di situs tersebut, tapi beberapa di antaranya: mengubah pisang menjadi alat musik atau membuat tangga musikal dengan conductive tape.

Harga makey makey cukup mahal, jadi ketika saya lihat ada modul MPR121  di aliexpress yang harganya kurang dari 2 USD, saya langsung cek apakah mudah dipakai (dari beberapa tutorial dan video youtube), dan ternyata mudah. Dengan menghubungkan modul ini ke Arduino Leonardo, saya bisa membuat tiruan makey makey. Sebagai catatan, seri Arduino Leonardo dan Pro Micro bisa dengan mudah mengemulasikan USB, seri lain defaultnya tidak bisa kecuali dengan menambah beberapa komponen dan memakai software Lufa atau V-USB.

Cukup seru memainkan ini, tapi setiap kali selesai bermain dari kamar lain dan melihat pisangnya, Joshua berusaha ambil untuk dimakan.

Dan setelah share ini di Facebook, beberapa hari kemudian muncul iklan diskon Makey makey di Facebook feed.

Selain bulan diskon, di bulan November kami banyak melakukan aktivitas lain.  Tahun ini festival Loi Krathong dirayakan di awal bulan. Kami datang ke sungai dekat rumah untuk melihat orang-orang melarung krathong. Festival ini selalu bersamaan fetival Yi Peng, di mana orang menerbangkan sky lantern (seperti di film Tangled).

Beberapa kali ulang tahun Jonathan dirayakan bersama orang Indonesia di Chiang Mai, dan tahun ini lagi. Sekarang lebih ramai dari dulu karena lebih banyak keluarga yang punya anak. Tema tahun ini Doctor Who (sebelumnya Pokemon, dan sebelumnya lagi Paw Patrol).

Risna berhasil membuat tempe lagi tahun ini dengan ragi yang dibawakan oleh mama saya. Seperti biasa, demi privasi, foto-foto yang ada orang lain hanya diupload di Facebook untuk friends saja.

Untuk kesekian puluh kalinya, kami jalan-jalan di Night Safari. Sebenarnya tempat ini mahal (800 baht sekitar 320 rb rupiah per orang) tapi kami punya membership gratis masuk berapa kalipun dalam 6 bulan (membership 6 bulan hanya 500 baht sekitar 200 rb rupiah). Kami bisa menghabiskan waktu 3-6 jam di sini tiap kali datang. Ada bus keliling 2 jalur, totalnya sudah 1 jam, plus ada play ground (biasanya sekitar 1 jam main di play ground).

Joshua menjatuhkan iPad ke jempol kakinya dan hasilnya dalam beberapa hari kuku kakinya lepas, jadi kami membatasi jalan-jalan ke tempat yang tidak berdebu/berpasir. Ketika dibawa ke night safari, Joshua dengan semangat berlari di walking trail.

Ada tempat baru yang kami kunjungi: Rabbit Union. Di sini anak-anak bisa memberi makan dan mengelus-elus kelinci. Awalnya cukup menyenangkan bermain dan mengejar kelinci, tapi di akhir Joshua mulai berusaha mengangkat kelincinya.

Chiang Mai Citylife Garden Fair adalah acara tahunan outdoor. Di sini ada musik, banyak penjual makanan, pembaca kartu tarot, dan ada juga kegiatan untuk anak-anak.

Jonathan ikut menghias pot bunga, dan setelah itu potnya (dengan bunganya) bisa dibawa pulang.

Wii kami yang umurnya sudah hampir 10 tahun rusak. Sepertinya NAND-nya error secara fisik karena sudah dicoba restore dari backup (yang dibuat dengan BootMi) tapi gagal. Format ulang dan recreate juga gagal.

Terpikir untuk upgrade ke Wii U atau Switch, tapi akhirnya beli second hand console Wii lagi dari eBay. Nintendo Switch masih mahal dan tidak kompatibel dengan Wii Fit Board, sedangkan Wii U sepertinya masih agak bahaya jika Joshua membawa-bawa controllernya.

Teringat dulu saya pernah bikin beberapa app homebrew di console ini yang sampai saat ini masih berjalan karena Wii tidak mengupdate lagi firmwarenya.

Saya tidak mengikuti berita kalau Rasberry Pi meluncurkan majalah baru untuk oprekan hardware secara umum, bukan hanya Raspberry Pi. Versi PDFnya gratis bisa didownload dari hsmag.cc dan kita juga bisa berlangganan versi fisiknya.

Saya sempat heran kenapa ada majalah baru di kotak surat, ternyata sebagai pelanggan MagPi, saya dapat edisi pertama fisik gratis. Dan jika Anda ingin berlangganan, ada kode diskon 25 GBP di kertasnya.

Ke Belanda

Dari RHME2 tahun lalu saya mendapatkan hadiah mengikuti kursus security gratis di Riscure Delft, Belanda. Karena ini bukan perjalanan dinas dari kantor, jadi saya perlu mengurus segala sesuatu sendiri, dan saya bisa bebas menceritakan perjalanannya.

Visa

Di Chiang Mai tidak ada kedutaan Belanda, jadi untuk mengurus Visa saya perlu ke Bangkok. Sebenarnya mengurus Visa bisa dilakukan di kedutaan Belanda atau di VFSGlobal. Saya memilih menggunakan VFSGlobal karena mereka punya jasa kirim balik visa via EMS (menghemat uang dan waktu, tidak perlu kembali ke Bangkok lagi).

Website VFSGlobal sudah sangat bagus, ada checklist mengenai berbagai dokumen yang dibutuhkan sesuai dengan jenis Visa-nya. Karena saya ke sini untuk training, saya menggunakan Visa bisnis. Sebagai catatan, bidang security ini tidak ada hubungannya sama sekali dengan tempat saya bekerja sekarang, tapi tetap butuh surat pengantar dari tempat bekerja.

Tidak ada proses wawancara ketika menyerahkan dokumen. Saya hanya menyerahkan semuanya, diminta scan sidik jari, mengisi alamat pengiriman kembali paspor setelah selesai. Visa saya dapatkan sekitar seminggu, saya masukkan alamat kantor supaya yakin ada selalu orang yang menerima. Karena proses VISA sangat singkat, saya sempat makan siang dengan Pak Kief, alumni Informatika ITB yang saat ini bertugas di KBRI.

Perjalanan

Ada pesawat KLM dari Bangkok langsung ke Belanda. Perjalanannya 11 jam. Karena tidak ada connecting KLM dari Chiang Mai, jadi saya naik airline lain, dengan menyisakan waktu 4 jam. Ternyata 4 jam ini cukup pas, karena butuh menunggu bagasi, antri memasukkan bagasi, antri imigrasi, antri scan.

Di dalam pesawat ada Entertainment System. Kalo saya membawa peralatan yang lengkap, sistemnya sepertinya bisa dijebol. Sistemnya menerima input USB, dan biasanya sistem seperti ini rentan terhadap berbagai macam file yang corrupt. Sistemnya sendiri memakai HTML untuk user interfacenya, ini bisa terlihat dari sifatnya, misalnya file yang memiliki nama &lt; akan muncul sebagai tanda kurang dari (<).

 

Mengunjungi Keluarga Dea

Dulu banget dalam kisah pacaran kami ada Dea, saudara sepupu Risna yang meyakinkan Risna supaya mau pacaran dengan saya. Beberapa tahun kemudian Risna membantu Dea menulis surat ke calon suami Dea (yang sekarang jadi suami Dea saat ini). Karena Delf tidak terlalu jauh, jadi saya bisa mampir ke rumah mereka. Saya menginap semalam, dijamu jalan-jalan, dan diantarkan ke penginapan. Senang rasanya bisa ngobrol dan bertanya-tanya banyak hal mengenai Belanda.

(Catatan: untuk privasi, foto-foto orang lain tampak depan biasanya tidak akan ditampilkan tanpa ijin orangnya, dan foto-foto seperti itu biasanya saya share di Facebook untuk “Friends” saja)

Kebetulan sedang ada Pasar Raya Indonesia, jadi saya bisa beli makan malam sebelum diantar ke hotel.

Transportasi

Tempat pelatihan dan hotel jaraknya hanya 4 km, jadi saya punya beberapa opsi: jalan kaki, naik sepeda, taksi, dan Uber. Di hari pertama saya sudah menyewa sepeda, tapi tiba-tiba hujan yang agak deras dan tidak terlihat akan berhenti, jadi akhirnya manggil Uber. Padahal saya sudah susah payah mempelajari gimana cara mengamankan sepeda, cara membuka dan menutup kunci (dari Youtube), juga membaca seksama aturan dari hotel (misalnya hotel tidak bertanggung jawab kalo ban kempes, pompa aja sendiri).

Ternyata saya beruntung sekali di hari pertama bisa mendapatkan uber, karena di kota Delft ini saat ini uber sangat sedikit, sampai-sampai Uber akan memberikan bonus untuk driver yang melakukan 5 perjalanan di Delft. Pagi itu saya beruntung karena ada driver yang kebetulan baru mengantarkan salah satu peserta training yang sama ke Riscure. Benar saja pulangnya nggak  dapet uber, jadi saya mencoba jalan dan ternyata rasanya cukup menyenangkan.

Di Belanda rasanya aneh kalo tidak mencoba naik sepeda, jadi saya akhirnya mencoba menyewa sepeda lagi. Untuk memandu perjalanan, saya set tujuan di Google Maps, saya kantongi HP-nya dan mendengarkan petunjuknya dengan earphone. Perjalanan dengan sepeda lebih menyenangkan dari jalan kaki. Pulang dari pelatihan, saya sempat berkelana menyusuri suasana pedesaan walau sebenarnya itu nyasar, karena Google Maps/HP saya ngaco.

Kincir Angin

Pelatihan

Materi training yang saya ambil adalah “Embedded Systems Security“. Dalam banyak hal, materinya sebenarnya terlalu dasar buat saya. Tapi saya mengambil ini karena ingin menstrukturkan segala macam pengetahuan yang sudah saya miliki (dan menambal lubang dalam pengetahuan saya). Pelajaran terbanyak justru saya dapatkan dari ngobrol dengan pelatih dan peserta lain.

Dalam bidang lain (misalnya pemrograman), saya bisa dengan percaya diri menyusun materi pengajaran dengan struktur yang baik, tapi di bidang embedded security saya merasa masih bingung jika harus mengajarkan ilmunya ke orang lain. Ternyata belajar mereview semua hal dasar sangat berguna, dan bahkan orang-orang dari Riscure sendiri kadang diikutkan dalam training mereka (bukan sekedar mengisi slot, tapi mereka benar-benar belajar), misalnya ada karyawan yang ikut dalam kelas, karena meskipun jago enkripsi (memiliki PhD), tapi masih lemah dalam embedded system.

Training yang ada ditujukan untuk mengenali dan mencegah berbagai serangan terhadap embedded systems. Ini biasanya sangat berguna untuk berbagai perusahaan yang membuat hardware sendiri (supaya aman, tidak mudah dicopy pesaing, dsb), tapi juga berguna untuk mengevaluasi berbagai produk yang ada.

Misalnya salah satu target yang diberikan adalah webcam WIFI, yang ternyata mengirimkan statusnya ke China, dan semua semua streamnya bisa diakses dari seluruh dunia, dan bahkan secara teori bisa dipakai untuk menjebol jaringan internal karena melakukan NAT Traversal. Bayangkan jika Anda memilih webcam ini untuk dipakai di lembaga negara atau kamar pribadi Anda. Contoh hardware berbahaya lain adalah router, saat ini berbagai modem default dari ISP ternyata memiliki lubang yang membuat semua orang bisa masuk. Jika ada yang mengerti dan melakukan pengecekan dasar hardware, kasus semacam itu tidak akan terjadi.

Anak-anak

Saya jarang sekali pergi meninggalkan keluarga, walaupun hanya beberapa hari, karena anak-anak akan sangat kangen (dan saya kangen mereka). Jika kantor bisa mengirimkan orang lain, saya akan sangat senang daripada saya yang pergi. Di hari pertama sudah ada insiden: Joshua jatuh, gigi depannya lepas sampai ke akarnya. Risna pun segera dibantu oleh Bos dan Office Manager kami untuk ke UGD, lalu diteruskan ke dokter gigi (untuk memastikan tidak ada pecahan tersisa). Hasilnya: Joshua akan tumbuh gigi depan lagi yang permanen beberapa tahun yang akan datang, tapi tetap butuh dikontrol perkembangannya.

Pulang

Untuk menghemat, pulang dilakukan dengan naik Uber ke stasiun, disambung dengan naik kereta. Waktu sampe Belanda masih agak  nggak konsen baca kelas kereta dan jadwalnya (jam 8 malam, atau jam 2 pagi waktu Thailand), waktu pulang lebih jelas rasanya.

Perjalanan ke Thailand lancar, mendarat di Bangkok, dan beberapa jam kemudian diteruskan ke Chiang Mai. Joshua “ngambek” karena papanya pergi lama, setelah diajak main di mall dan naik kereta keliling mall, baru dia peluk papanya dan bilang “hug papa”.

Jonathan menunjukkan kalo dia beli kartu Bingo, tapi tidak bisa main dengan fun karena tidak bisa menghasilkan bilangan acak, jadi dia minta dibuatkan appnya. Akhirnya saya buatkan versi HTML5.

Dan Jonathan juga ingin makan telur karena oleh-oleh egg timer yang saya bawakan yang akan memainkan melodi tertentu tergantung level matang telurnya. Ternyata lagu terakhir adalah lagu kebangsaan Belanda, kalau misalnya mau bikin sendiri atau hack yang sudah ada, boleh nggak ya pake lagu kebangsaan Indonesia dalam telur rebus?

Telur Rebus

Kesibukan dan Oprekan Agustus 2017

Seperti biasa, jika sudah lama tidak posting, ceritanya digabung. Posting ini campuran cerita mengenai SIM Card Hologram, RHME3, perjalanan ke Singapore dan cerita mengenai tablet Android.

SIM Card Hologram

Tanggal 26 Juli 2017 saya melihat posting mengenai program developer untuk Hologram dan saya segera mendaftar untuk mendapatkan SIM Card gratis.

Secara singkat, dengan SIM card Hologram dan kerjasama mereka dengan jaringan GSM di (hampir) seluruh dunia, kita bisa membuat produk IOT (Internet of Things) yang bekerja secara internasional dan relatif murah.  Tidak perlu memikirkan roaming data dan tarif yang berbeda di tiap negara.

SIM card hologram ini bukan untuk dipakai di handphone dan browsing, tapi ditujukan untuk dipakai di embedded system yang butuh konektivitas data yang ukurannya relatif kecil dan di luar jangkauan WIFI, walau bisa juga sebagai komplemen atau cadangan WIFI.

Khusus untuk developer plan, diberikan jatah 1 MB/bulan gratis untuk development. Jika dipakai untuk browsing, satu megabyte itu bahkan tidak cukup untuk membuka halaman depan blog ini, tapi untuk keperluan pengiriman data dari sensor ini sudah cukup.

Tanggal 11 Agustus SIM Cardnya sudah sampai, dan saya test menggunakan modem HSDPA murah (kurang dari 9 USD, sudah termasuk ongkir). Percobaan saya lakukan di Linux dengan wvdial, dan koneksi bisa mudah dilakukan.

IP yang didapatkan adalah IP internal. Device bisa mengakses IP eksternal, dan waktu saya coba asal IP nya dari Saint Helier, Jersey. Untuk koneksi kebalikannya (dari eksternal ke device), kita bisa memakai API yang disediakan hologram (atau membeli nomor supaya bisa dikirimi SMS).

Sebenarnya saat ini saya nggak punya proyek khusus yang ingin saya lakukan, tapi ini bisa saya pakai untuk melakukan koneksi ke server rumah jika koneksi internet sedang mati.

CTF RHME3

Karena waktu saya semakin terbatas, sekarang ini saya hanya sempat mengikuti CTF jangka panjang, bukan CTF 2 hari di akhir pekan. Saat ini sudah ada beberapa yang rutin: Flare-On, Labyrenth, dan RHME.

Saya mulai ikut CTF RHME tahun lalu, dan tahun ini sudah dimulai lagi: The world first automotive CTF, begitu slogan RHME tahun ini. Registrasinya kemarin dibuka tanggal 7 Agustus dan ditutup tanggal 28 Agustus. Ada tiga soal yang cukup sulit, mereka mengalokasikan 500 device, tapi hanya 486 orang yang menyelesaikan minimal 1 soal.

Dari Indonesia cuma teman saya Deny yang berhasil mendaftar (padahal dah beberapa kali saya umumkan di group RE Indonesia yang anggotanya ratusan). Dari Thailand ada 7 orang yang mendaftar.  Device akan dikirimkan ke peserta mulai 1 November nanti.


Sekarang ini Joshua sedang sangat senang nempel ke saya, kadang minta dipangku nonton Youtube padahal bisa nonton di TV yang besar atau di tablet, sementara saya coding (split screen). Sepertinya sudah saatnya beli dua monitor.

HITB Singapore

Tahun ini saya mencoba lagi HITB ke Singapore, walau hasilnya kurang memuaskan (peringkat 14 offline dari 28 team). Pesertanya jauh lebih kompetitif dari terakhir kali kompetisi beberapa tahun yang lalu. Soal-soalnya juga jauh lebih sulit.

Meski tidak menang, tapi saya senang bisa bertemu lagi dengan teman-teman yang sudah lama tidak saya temui, dan juga bertemu teman baru.

Buat orang-orang yang meng-add saya di Facebook: segala macam hal-hal menarik saya buat jadi public di timeline saya atau di blog. Hal-hal yang sifatnya hanya untuk teman saja, saya publish untuk “Friend” (seperti misalnya foto teman-teman yang saya temui di Singapore), jadi sebenarnya nggak seru nge-add saya jadi friend di Facebook.

Bug Bounty

Meski sudah banyak bug yang saya laporkan ke berbagai pihak, biasanya balasannya cuma: makasih mas. Ada juga bahkan yang gak pake terima kasih, terus diem-diem benerin. Ada beberapa yang nawarin kerjaan/proyek, tapi kemudian nggak ada kabarnya lagi.

Setelah tahun lalu menemukan bug di payment gateway Master Card (dan menerima 8500 USD), tahun ini saya coba-coba lagi dan menemukan lagi bug di beberapa payment gateway. Sayangnya yang sangat tanggap cuma satu: Fusion Payments. Di bulan ini saya sudah menemukan 2 critical level bug di sana, yang pertama 400 USD dan berikutnya 500 USD.

Sebagai catatan: bug-bug yang saya temukan akan saya tuliskan detailnya, tapi saat ini masih belum bisa/boleh.

Tablet Android

Beberapa waktu yang lalu saya mendapatkan pekerjaan testing aplikasi Android yang hanya berjalan di versi tablet (layar besar). Ternyata aplikasinya berisi form yang banyak sekali sehingga perlu layar lebar. Biasanya saya memakai tablet Samsung Note 8 yang sudah bertahun-tahun umurnya, tapi sekarang ini tabletnya sudah rusak (mati/tidak bisa boot lagi). Karena aplikasinya selalu hang di emulator, akhirnya saya memakai Android di Pinebook.

Semua bisa berjalan dan testing bisa selesai, tapi ada yang mengganggu: Pinebook tidak punya touch screen, dan aplikasinya hanya mau jalan di mode landscape. Jadi saya terpaksa memakai laptop dalam posisi miring, dengan menggunakan keyboard eksternal.

Akhirnya saya beli Android murah dari AliExpress. Ratingnya bagus, katanya CPUnya 8 core, memorinya 4 GB dengan ROM 32 GB. Setelah sampai, kenyataannya CPUnya cuma 4 core, RAM nya cuma 2GB dan ROM cuma 16 GB. Ternyata kernelnya diakali sehingga jika memakai software dari play store pun, akan muncul kalau memorinya 4 GB, CPUnya 8 core, dan ROM-nya 32 GB.

Waktu mau coba root dengan langsung flash recovery partition baru, ternyata malah error, tidak bisa boot sama sekali dan nggak bisa dicharge juga. Akhirnya saya charge baterenya dengan cara membuka soldernya lalu memakai modul charger Lithium. Setelah mendapatkan file ROM asli dari sellernya, akhirnya bisa jalan normal lagi. Tapi benda ini sangat ringkih, jadi saya simpan saja untuk pentest berikutnya.

 

Sebenarnya masih banyak cerita dan detail lain bulan ini, tapi akan saya geser ceritanya ke bulan depan.

Ponsel Anda disadap? (bagian 2)

Setelah Anda membaca bagian pertama posting ini, pertanyaan yang kemungkinan muncul adalah: jadi bagaimana saya tahu kalau ponsel saya sudah terinstall program untuk menyadap? Jawaban sederhananya: jika yang menyadap level biasa, maka penyadapan akan sangat mudah dideteksi. Jika yang menyadap level negara, akan sangat sulit dideteksi.

Sebelum mengecek Ponsel

Sebelum mencurigai ponsel Anda, cek dulu semua account online Anda. Cek sejarah login Anda untuk melihat ada yang mencurigakan atau tidak.  Seperti telah dibahas sebelumnya: cara seseorang bisa masuk ke HP Anda ada banyak, jadi meskipun Anda bisa membersihkan HP, kalau cara masuknya masih terbuka ya masih bisa kena lagi.

Cek juga desktop/laptop Anda. Tidak ada satu resep khusus untuk melakukan ini, jika ragu: backup data, lalu reinstall semuanya, dan update semua software yang Anda pakai ke versi terbaru. Hati-hati dengan software bajakan, meski pembajak awal mungkin jujur dan tidak memberikan backdoor, orang lain mungkin menambahkan backdoor.

Cek juga apakah kecurigaan Anda bisa dijelaskan dari sudut pandang lain. Misalnya apakah informasi yang bocor hanya yang diterima orang tertentu saja. Mungkin orang tersebut dihack, mungkin pula dia yang membocorkan informasinya.

Pemeriksaan Ponsel

Ada beberapa titik di HP yang bisa diperiksa. Pertama coba perhatikan semua notifikasi yang muncul. Lihatlah jika ada yang tidak wajar atau mencurigakan. Dalam kasus di bawah ini saya memang sengaja menginstall certificate supaya bisa melakukan monitoring koneksi jaringan. Informasi mengenai WhatsApp juga wajar karena saya sedang mengakses WhatsApp via web.

Salah satu metode yang dipakai untuk memata-matai adalah dengan tidak menginstall aplikasi baru, tapi mengganti aplikasi Anda dengan versi lain yang sudah dimodifikasi. Versi yang sudah dimodifikasi ini bisa mengirimkan pesan ke orang lain. Ini yang dilakukan dengan software dari Hacking Team yang dijual ke berbagai pemerintah.

Sebagai catatan: beberapa orang memang dengan sengaja memodifikasi WhatsAppnya untuk mengaktifkan fitur tertentu, misalnya agar meskipun kita sudah membaca pesan seseorang, tapi tidak diketahui oleh orang lain sampai kita tekan sebuah tombol (tujuannya supaya tidak dikira malas, bisa beralasan belum baca message).

Aplikasi yang sudah dimodifikasi ini tentunya tidak bisa diupdate dari Google Play, jadi cara pertama adalah: coba install lagi aplikasi Whats App dari Google Play. Jika ada WhatsApp “palsu”, maka akan muncul opsi “Install” (dianggap belum terinstall).

Berikutnya lagi kemungkinan HP Anda sudah diroot. HP yang sudah diroot bisa dimodifikasi sehingga aplikasi tertentu bisa membaca aplikasi lain.  Tergantung versi Android yang Anda pakai (dan dari vendor mana), proses ini bisa memakan waktu beberapa menit saja. Jika Anda adalah orang awam yang merasa tidak pernah me-root HP Anda, maka Anda perlu mengecek apakah HP Anda sudah diroot oleh orang lain. Sebagai catatan tambahan: HP China yang tidak bermerk kadang sudah diroot “dari pabriknya”.

Sebagai catatan tambahan: “membaca aplikasi lain” ini bisa sekedar screen capture saja. Saya pernah membuat aplikasi Blackberry dan aplikasi Dekstop sehingga kita bisa mengendalikan Blackberry dari PC. Prinsip program tersebut hanyalah melakukan screen capture secara kontinyu dan mengirimkan ke PC (via USB/Bluetooth/WIFI), dan tentu saja ini bisa dimodifikasi untuk mengirim ke komputer lain jika dideteksi aplikasi yang aktif adalah aplikasi tertentu. Program serupa bisa dibuat untuk sistem operasi lain, tapi di OS lain  butuh akses root.

Anda bisa memakai aplikasi Root Checker untuk mengecek apakah HP Anda sudah diroot. Alternatif lain adalah menginstall aplikasi bangking seperti Sakuku, tidak perlu sampai mendaftar, ketika dijalankan aplikasi ini langsung mengecek apakah HP Anda diroot atau tidak dan tidak mau jalan jika diroot.

Jika Anda merasa tidak pernah me-root tapi sudah ter-root, maka cara terbaik adalah mereset HP Anda ke factory setting. Lebih bagus lagi kalau diinstall ulang dengan stock firmware dari web produsennya.

Keberadaan root juga bisa disembunyikan dengan aplikasi tertentu atau dengan modul XPosed. Dengan ini hampir semua aplikasi tidak bisa mendeteksi keberadaan root dan keberadaan program penyadap. Saat ini Google memiliki fitur Safety Net untuk bisa mengetahui apakah HP dimodifikasi atau tidak. Salah satu caranya adalah memakai SafetyNet Playground. Sayangnya ini hanya berlaku untuk ponsel bermerk, bukan ponsel murah dari China (akan gagal Safety Net karena dianggap sudah dimodifikasi).

Apakah setelah dicek dengan Safety Net sudah pasti aman? belum tentu juga, dalam bahasa orang awam: di Android versi tertentu ada cara supaya aplikasi bisa mengakses aplikasi lain. Dalam bahasa teknis: mungkin saja sebuah aplikasi melakukan kernel exploit temporer, dan menghapus lagi jejaknya setelah itu. Ada juga software bernama Magisk yang biasanya bisa membypass SafetyNet (tapi biasanya tiap beberapa bulan diupdate oleh Google).

Jika Anda adalah orang security, maka tentunya pernah mendengar mengenai rootkit level kernel di berbagai sistem operasi. Android pada dasarnya memakai kernel Linux, jadi tidak sulit membuat rootkit yang sulit dideteksi.

Selain ponselnya sendiri, pengecekan berikutnya yang bisa dilakukan adalah pengecekan paket jaringan. Cara ini lebih sulit karena mewajibkan kita tahu mengenai koneksi jaringan yang umum dan tidak umum oleh aplikasi. Inipun tidak selalu berhasil, bisa saja program penyadapnya mengirimkan hasil sadapan jam 3 pagi ketika semua orang tertidur.

Penutup

Secara umum cukup sulit bagi orang awam untuk mendeteksi penyadapan di ponselnya. Kemungkinan yang dirasakan adalah efeknya (misalnya akses jaringan jadi lambat, atau secara umum HP menjadi lambat). Pengecekan yang proper hanya bisa dilakukan ahlinya.

JIka Anda cukup mahir, cara termudah yang bisa dilakukan jika mencurigai ada penyadapan adalah: backup semua data, reset/reinstall firmware ponsel, reinstall PC Anda. Ganti semua password Anda.

Dan yang paling penting adalah: Jika Anda tidak ingin ada informasi yang penting tersebar, jangan gunakan ponsel untuk mengkomunikasikan hal tersebut. Jangan simpan foto atau video yang tidak boleh tersebar.

Update Singkat Pinebook

Setelah awal yang agak mengecewakan,  para hacker/volunteer telah membuat beberapa perbaikan yang membuat Pinebook cukup usable. Saya sempat mencoba mencari dan memperbaiki sendiri beberapa masalah yang ada, tapi sekarang sudah ada yang mempersiapkan image yang siap didownload untuk mengupgrade OS standarnya. Posting ini merupakan update dari posting saya sebelumnya.

Salah satu perbedaan Pinebook dibandingkan dengan laptop lain adalah keterbukaannya. Port serial disediakan melalui headphone jack, bisa digunakan untuk debugging. Dengan serial port ini kita bisa melihat output teks ketika booting. Saya sudah mencoba ini dan cukup praktis.

Speaker sekarang berfungsi dengan normal karena profil Alsa yang benar sudah diinstall default. WIFI sudah stabil, ternyata sebelumnya ada masalah di power management yang membuat chipnya “tidur” dan koneksinya putus. Chromium (versi opensource Chrome) bisa diinstall walau butuh edit konfigurasi tertentu. Jika laptop ditutup sekarang otomatis sleep, ternyata masalahnya hanya modul kernel yang tidak diload secara default.

Sampai saat ini Desktop secara keseluruhan belum accelerated. Artinya game-game tidak bisa berjalan cepat, video youtube tidak bisa diputar lancar. Khusus untuk film, kita bisa memakai smplayer/mplayer yang bisa menjalankan video dengan akselerasi (walau tidak selalu bisa lancar). Sekarang disertakan juga program smtube untuk browsing youtube, walau tidak selalu lancar juga.

Untuk mengupgrade firmware di PineBook, kita cuma perlu menuliskan image ke sdcard (bisa memakai program Etcher atau dd manual). Masukkan sdcard, restart, dan otomatis proses update akan dilakukan. Setelah selesai, keluarkan sdcard, restart lagi.

Proses update

Saya sekalian mencoba Android Nougat (Android 7) untuk PineBook. Image Android saat ini dirancang untuk diinstall ke SD Card, artinya kita bisa dual boot Android dan Ubuntu. Jika SD Card berisi Android dimasukkan, maka kita akan boot ke Android, jika SD Card dikeluarkan ketika boot, maka kita akan masuk Ubuntu (setelah proses booting dimulai, kita bisa memasukkan lagi cardnya dan mengakses data di card-nya).

Masalah video lebih bagus di Android, kita bahkan bisa menjalankan Kodi dan beberapa film HD bisa diputar. Aplikasi Google seperti GMail, Chrome, dan Play Store sudah diinstall. Sebagian aplikasi seperti Netflix tidak bisa diinstall, dan meskipun ada banyak aplikasi bisa diinstall dari Play Store, tapi tidak semua usable. Sebagian terlalu lambat, sebagian game “memaksa” mode portrait sehingga tidak nyaman. Beberapa aplikasi yang saya coba: Kindle, Google Docs, Microsoft Word (lambat), Cut The Rope. Program remote desktop dari Micorosft juga bisa berjalan, jadi Pinebook bisa digunakan untuk mengakses komputer yang lebih powerful.

Mode split window di Android Nougat memungkinkan kita membuka dua aplikasi sekaligus dan tampil berdampingan. Sampai saat ini saya tetap merasa keyboard versi 14″ ini kurang enak, sedangkan saya lihat banyak yang memuji keyboard versi 11.6 inch.

Demikian update singkatnya mengenai Pinebook. Meski waktu launch softwarenya kurang bagus, saat ini Pinebook sudah usable. Saat ini banyak sekali yang ingin memesan Pinebook sehingga orang yang ingin memesan harus “antri” cukup lama. Jika ada kemajuan yang signifikan dalam software/hardware Pinebook, saya akan membuat posting baru lagi.

Unbreakable Encryption

“Emangnya nggak bisa dibongkar virusnya?”. Masih terkait dengan ransomware. Banyak orang yang sulit menerima bahwa dalam kasus tertentu tidak ada cara membongkar file yang terenkripsi tanpa mengetahui keynya walaupun kita bisa membongkar algoritmanya sampai sangat detail.

Konsep yang sepertinya sulit diterima oleh orang awam yang tidak memiliki dasar dalam kriptografi: bahwa ada kriptografi yang tidak bisa dijebol meskipun kita tahu dengan tepat apa algoritmanya. Bahwa satu-satunya cara menjebol adalah dengan mengetahui kunci-nya. Dan bahwa kadang satu-satunya cara mencari keynya adalah dengan mencoba semua kemungkinan yang ada yang jumlahnya sangat besar.

Enkripsi Simetrik

Mari kita mulai dengan satu konsep kriptografi yang sederhana: one time pad. Ini adalah bentuk enkripsi sangat sederhana, tapi tidak mungkin bisa dipecahkan tanpa mengetahui key-nya. Dalam one time pad, keynya harus sama panjangnya atau lebih panjang dari pesan yang akan kita enkrip, dan keynya hanya boleh dipakai sekali.

Saya contohkan sederhana sekali: anggap huruf A=1, B=2, C=3, … , Z=26 dan 0 adalah spasi.  Sekarang jika saya punya pesan rahasia ini:XYZABCD. Apakah isi pesannya? Kuncinya adalah serangkaian bilangan, bisa negatif ataupun positif. Continue reading “Unbreakable Encryption”

Ransomware WannaCry

Posting ini sekedar klarifikasi untuk berbagai misinformasi mengenai ransomware, khususnya WannaCry/WannaCrypt yang baru saja beredar. Sejujurnya saya malas menuliskan ini, tapi nggak tahan juga melihat banyak informasi salah yang beredar. Sekalian juga saya bahas Ransomware secara umum baik penyebaran maupun penanganannya. Posting ini akan saya update jika ada sesuatu yang baru.

Ransomware adalah jenis malware (software jahat) yang mengenkripsi data milik korban lalu meminta tebusan uang (biasanya melalui bitcoin) agar file korban bisa dibuka lagi. Ransomware bisa menyebar melalui email, website, network share, ataupun media lain. Khusus untuk WannaCry, malware ini juga memanfaatkan bug di OS Windows. Jika komputer Windows di jaringan yang sama belum diupdate (dan setting SMB-nya belum diubah), maka tanpa melakukan apapun, komputer tersebut bisa kena. Continue reading “Ransomware WannaCry”