Daripada sekedar menyindir (sindiran sudah dilakukan puluhan orang dari beberapa tahun lalu), sekalian lah saya posting terbuka bagi penyelenggara lomba Capture The Flag (CTF) yang super ngawur, terutama CTF Cyber Jawara. Beberapa CTF Indonesia sudah baik (seperti botani.cf Gemastik, atau idsecconf), tapi Cyberjawara ini sudah parah, jadi bahan tertawaan setiap tahun tetap saja tidak membaik (tahun ini saja sudah ada beberapa, misalnya ini, ini dan ini). Padahal ini adalah kegiatan ID SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure)
Daripada menyindir secara halus dan sudah tidak berhasil, sekalian lah saya tulis di blog secara blak-blakan, supaya bisa dibaca oleh semua orang. Semoga cara ini lebih berhasil.
Sebenarnya sudah ada banyak petunjuk bagaimana menyelenggarakan CTF yang baik, misalnya dari PPP, salah satu team CTF terbaik di dunia. Tapi bagian yang diminta untuk avoid malah jadi bagian utama di Cyber Jawara.
Try to avoid these as much as possible:
- Random guessing challenges (ini jadi SOAL PERTAMA CTF CYBER JAWARA TAHUN INI)
- Cracking passwords on zip files or stego programs (masih ada tahun ini)
- Steganography problems (ini CTF atau lomba pake photoshop? terus mau sedalam apa steganografinya?)
- Anything that is solved by just running metasploit, nessus, dirbuster, etc. Good CTF problems should require skill.
- Time-consuming recon challenges.
Menurut saya CTF yang buruk akan merusak semua pihak:
- Para pemain CTF yang susah payah belajar dengan ikutan CTF Internasional tiap minggu tidak bisa dikenali di Indonesia karena tidak bisa menang main tebak-tebakan
- Para peserta tidak belajar hal yang baru dari CTF
- Pembuat soal mempermalukan diri dengan soal kacangan, dan terlihat tidak pernah ikutan CTF internasional, kredibilitasnya diragukan
- Kita jadi bahan tertawaan negara lain (pemenang ini akan masuk jadi team yang mewakili Cyber Sea Games).
Ketika di Amerika sudah melakukan riset dan kompetisi automated tool untuk CTF, kita masih main tebak-tebakan, soal exploitasi jarang diberikan, paling jauh reverse engineering dengan XOR.
Soal kriptografi juga kebanyakan hanya main tebak-tebakan. Tidak pernah ada soal yang memberikan source code (jadi semua soal adalah ciphertext only). Ciphertextnya pun sangat pendek. Mengutip dari dokumen saran dari PPP:
Give enough ciphertext for meaningful statistics (twenty ASCII characters can be almost anything). sering sekali soalnya cuma beberapa simbol atau beberapa angka, dan ternyata ini substitution cipher.
Use a guessable algorithm. With a classic cipher and a short amount of ciphertext, it may be very difficult to narrow it down. The challenge should be in breaking the crypto system, not figuring out what the crypto system is. Sistem kriptografinya yang selalu jadi tebakan, bukan breaking cryptonya.
Saran saya, kalo memang yang seperti ini ingin dipertahankan, nama kompetisinya diganti saja: lomba paranormal cyber atau lomba dukun cyber.
Update 27 Agustus 2016: Menanggapi berbagai komentar di sini atau di social media yang menyatakan bahwa CTF CyberJawara ini bagus untuk pemula karena mereka jadi belajar sesuatu: Sebenarnya menurut saya justru ini salah satu bahayanya CyberJawara. Para pemula MENGIRA mereka BELAJAR sesuatu. Padahal yang dipelajari tidak terpakai, dan pemula akan MENGIRA bahwa beginilah dunia CTF sesungguhnya secara internasional. Parahnya lagi CyberJawara ini levelnya nasional, bukan level sekolah masak kualitasnya kalah jauh dibandingkan HSCTF, sebuah CTF dari anak highschool untuk highschool?
Kalau mau ikutan CTF yang lebih berkelas dan selalu terbuka silakan ikuti Botani CTF. Soalnya bervariasi dari mudah sampai sulit. Saya juga menyumbang beberapa soal untuk CTF Idsecconf yang sedang aktif saat ini.
Kalau penasaran saya sudah ikut CTF apa saja (dan writeup saya), silakan baca di blog team Rentjong dan team Play4fun, sedangkan yang saya ikuti individu ada di github saya. Jika ingin ikutan CTF (yang beneran), saya juga sudah menulis perlu belajar apa.
Update 30 Agustus 2016: Pihak CyberJawara menjawab panjang lebar (kayak ngecap) di facebook
Karena nggak masuk akal, saya kejar terus, hasilnya ternyata mereka sepertinya bahkan nggak tau bahwa CJ itu tujuan akhirnya ke DEFCON, sedangkan mereka tidak punya roadmap ke DEFCON.
Soal tidak bermutu seperti itu tidak pantas dijadikan soal CTF level nasional, bahkan CTF level kecamatan pun sangat TIDAK PANTAS!.
Iya mz betul. Keilmuan panitianya cuma sampai QR dan Photoshop, gak ada security2-nya sama sekali.
Waduh ,ini kriik pedes bgt,soal cybe jawara yg ane ga bisa kerjain itu semua aja kayaknya ga ada apa2nya parahhh
pedas dan membahana gan.
jakaka… asti tebak-tebakan… membingungkan krna diluar perkiraan dan diluar pemikiran,
Soal yg dikasih mungkin gak sejajar dengan ekspetasi kita… 😀
Ada loh flag yg ga bs dipecahkan, kalo ga bs jgn maki maki, malah jadikan acuan tuk improve skill, ya kan?
Kalo nggak bisanya karena kurang kemampuan, itu kesempatan bagus buat belajar.
Kalo gak bisa selesaiin flag karena soalnya ngaco, maka panitianya patut dimaki-maki.
Ga harus maki maki gan, karena bukan solusi gan 🙂
Memang nya ente punya soal yang ga ngaco gan ? :p
Daripada maki-maki mending tunjukin karya CTF ente gan jadi lebih berkelas tulisannya bukan hanya sekedar maki-maki 😀
Silakan baca tulisan saya di rentjong gan (http://blog.rentjong.net/).
Silakan ikut juga CTF idsecconf 2016, saya nyumbang beberapa soal.
Betul om, jadi bisa lebih menghargai karya orang lain.
Biasanya yang udah expert justru bisa lebih menghargai karya orang lain ya bukan maki-maki
Ya kalau sudah diingatkan dan disindir bertahun-tahun tidak berubah, bisa dicoba dimaki-maki, siapa tau berubah.
hi pak ..
cyber jawara ini tetap ada manfaat nya meski mungkin menjadi bahan tertawaan buat yang expert seperti Pak Yohanes. Tapi buat para pemula seperti saya, cyber jawara ini bisa jadi playground dan cukup menantang.
Kalo Pak Yohanes bikin CTF buat pemula seperti saya ini, tolong infoin juga ya pak di blog ini, supaya saya bisa ikutan.
Sebenarnya menurut saya justru ini salah satu bahayanya CyberJawara: para pemula MENGIRA mereka BELAJAR sesuatu. Padahal yang dipelajari tidak terpakai, dan pemula akan MENGIRA bahwa beginilah dunia CTF sesungguhnya secara internasional.
Kalau mau ikutan CTF yang lebih berkelas dan selalu terbuka silakan ikuti Botani CTF.
Menurut saya ini pembuat soal atau komite yang menyamar jadi peserta. Coba sertakan nama lengkap asli 🙂
Dan menurut saya juga yang membela di kolom komentar itu ada hubungan dengan pembuat soal atau penyelengara. Kalau salah, mohon maaf atas kesoktahuan saya. Saya tidak jago menebak-nebak. #eh
Kepada panitia dan penyelenggara yang kebetulan melihat bagian komentar ini. Saya cukup yakin beberapa panitia pasti melihat tulisan ini dan beberapa juga menulis komentar di atas yang sayangnya identitasnya tidak jelas (tidak pakai nama asli atau nama panjang).
Sebelumnya, saya tentunya mengapresiasi dan berterima kasih atas kerja keras panitia. Kalau saya sempat protes di hangout komunikasi peserta-panitia atau di tempat lain dengan cukup ‘menyindir’ saya mohon maaf. Saya juga mengusahakan menggunakan bahasa yang sopan. Dan sebenarnya, apa yang ditulis Pak Yohanes di sini juga menggunakan bahasa yang sopan kok. Sebaiknya, panitia tidak merasa tersindir. Melainkan, merasa harus mengevaluasi apa yang sudah terjadi.
Yang ingin para peserta dan Pak Yohanes sampaikan adalah, agar kita sama-sama memperbaiki kualitas kompetisi security Indonesia. Jika panitia merasa tidak ada yang salah dengan kualitas kompetisi CJ dalam beberapa tahun terakhir, maka pola pikir antara kami dengan panitia benar-benar berbeda. Saya tidak mau bilang pola pikir kami lebih benar, tapi kami ingin mencoba memberikan saran.
Masalah soal CJ itu bukan ‘terlalu gampang’ atau ‘gampang’. Tetapi, soalnya terlalu tidak jelas. Ok, memang soal-soalnya mungkin solvable. Caranya deterministik. Tapi, coba dipikir lagi apakah soal-soalnya mendidik?
“Mendidik kok, hacker itu harus punya skill detektif.”
“Menebak-nebak itu perlu. Banyak kasus security yang perlu menebak-nebak.”
“Kalau mau jago security, tingkat ke-kepoaan-nya harus tinggi. Semuanya harus dicoba”
etc.
Ya, memang skill menebak dan kepo itu perlu. Tapi akan lebih baik apabila ‘menebak’ itu pada tempatnya. Contoh kasus menebak yang menurut saya bagus (walaupun ‘recon challenges’ seharusnya dihindari seperti tips dari PPP): ada sebuah website, di dalam source code ada alamat email admin, googling alamat email admin dapat alamat Twitter-nya, di dalam Twitter ada banyak foto yang diupload admin, di dalam salah satu foto tersebut tidak sengaja ada sticky note berisi password, dan kemudian password bisa digunakan untuk login. Kasus menebak-nebak seperti ini lebih mendidik karena berdasarkan kasus nyata dan sesuai untuk pemula (jika ingin disesuaikan dengan definisi ‘soal pemula’ panitia). Nah, yang jadi masalah utama di Cyber Jawara ini adalah benar-benar tidak seperti di kasus nyata. Hanya time consuming dan lack of educational aspect. Kalau memang ada di kasus nyata, mohon dikoreksi.
“Ini mirip Seccon CTF kok. Di Seccon ada QR code juga.”
Well, coba perhatikan baik-baik soal Misc/QR yang ada di Seccon Qual. Soal-soalnya memang lebih susah, tapi lebih solvable. Salah satu contoh soalnya adalah melengkapi QR yang terpotong dengan memahami algoritma QR terlebih dahulu (bagian mana yang pasti 1, yang mana 0). Bukan menaruh QR dalam suatu file tersembunyi dan ditaruh dalam archive yang di-password di mana password untuk archive tersebut harus ditebak peserta dengan hint yang mempermainkan peserta. Memandingkan CJ dengan Seccon itu bukan perbandingkan linear di mana CJ itu pakai soal seperti Seccon tetapi lebih mudah (seperti yang panitia bilang di hangout), tetapi keduanya seperti membandingkan apel dan jeruk. Sama-sama buah tapi beda. Sama-sama QR tapi beda.
Jadi, untuk selanjutnya, sebaiknya panitia tidak menyalahkan Pak Yohanes atau siapapun yang mengkritik. Atau membela diri. Sebaiknya panitia mulai berpikir untuk bagaimana membuat CTF yang berkualitas, rich of security aspect, dan cocok untuk pemula. Teman-teman di Indonesia yang ingin memberikan saran sangat banyak kok. Malah, jika ditunjuk jadi problem setter pasti dengan senang hati akan membantu.
Contoh CTF yang sudah baik sudah diberikan linknya oleh Pak Yohanes. Dan Pak Yohanes juga merupakan problem setter beberapa CTF. Jadi, jika panitia ingin mengkritik ‘Jangan hanya menyindir, buktikan dengan berkontribusi pada dunia security/CTF Indonesia’, maka kritiknya tidak valid.
Semoga bisa lebih rendah hati menerima kritik. Saya yakin kok panitia berisi orang-orang yang pintar di bidangnya. Hanya karena masalah persiapan yang kurang (mungkin karena ditunda-tunda?) dan belum punya benchmark untuk CTF nasional yang cocok untuk pemula tetapi tetap mendidik dan menantang.
Lagipula ada soal exploit kok (format string) kemarin. Mungkin karena persiapan teknis kurang, sayangnya soal tidak solvable (beberapa peserta berhasil di local tapi tidak kalau remote, mungkin karena binary yang diberikan berbeda karena di-compile di komputer berbeda sehingga Virtual Address beberapa posisi penting berbeda atau ada kesalahan environment).
Semangat terus panitia 🙂
Menurut ku sih ada soal cyber jawara itu setaraf ctf international, tapi memang kalo ada hal yang baru di Indonesia, selalu dimulai dengan komen bukan bgm membuka mindset. Kalo mau memberikan wawasan dalam suatu ajang bukan dengan menjatuhkan ajang yang lain. Coba buktikan dengan memecahkan flag dalam soal dahulu, IT itu suatu teknik, dibuktikan secara teknik juga, bukan membuat isue.
Soal yang mana contohnya?
Silakan liat jumlah soal yang sudah saya selesaikan di berbagai CTF internasional. Liat link yang sudah saya tambahkan di atas.
Coba aja donlot soal satelite , soal tanpa clue.
Anda ini panitia atau apa sih? Pembuat soal? Susah banget dikasih tau soal CTF internasional. Tim Anda apa? Kedudukannya berapa di ctftime? Kok sok tau dan susah diberitahu soal level ctf internasional?
Saya bukan panitia loh …
Kasih link ke soalnya. Awas ya kalo soal stego dengan tebakan.
Loh saya hanya bilang coba dulu soalnya dg donlot soal satelite dan lokasi, kalo emang udah taklukin soal internasional ….
udah pasti yang soal cyber jawara lah,kan sesuai topiknya
Soalnya linknya mana? Supaya tau dengan jelas, dan semua pembaca blog bisa liat. Emang cyberjawara kategori stego semua?
Kirain ikutan ctf cyber jawara, kan dah pasti donlot soalnya juga, setau saya itu cuman xtention wav (disambi masak yak), coba cari flag nya pake formost,audacity,deepsound ato tools develop sendiri apa aja deh juga boleh. Kan ga tau stego ato ga, yg nebak nebak paranormal sapa tuch (disambi beres beres rumah)
YA AMPUN. SOAL STEGO TEBAKAN LAGI DIBILANG KELAS INTERNASIONAL.
Saya nggak ikutan Cyberjawara, karena dari tahun ke tahun soalnya memalukan. Nggak level dengan CTF lain yang saya ikuti.
Buat pembaca yang lain: inilah contoh KEBEBALAN para pendukung CYBER JAWARA. SETIAP TAHUN Sudah banyak yang menyampaikan baik-baik (seperti Fariskhi Vidyan di atas, dia ini orang yang sangat capable internship di Mozilla) ataupun dalam bentuk sindiran tapi PANITIA, PEMBUAT SOAL, selalu merasa SOAL MEREKA BAGUS. SUDAH LEVEL INTERNASIONAL.
Para PANITIA dan PEMBUAT SOAL ini padahal NGGAK IKUTAN CTF INTERNASIONAL, tapi mereka SOK TAU bahwa soal mereka sudah LEVEL INTERNASIONAL sehingga mereka tidak memperbaiki diri. Dari mana saya tahu mereka nggak ikutan? karena nggak ada jejak WRITEUP, jejak CTFTIME.
Masih mempertanyakan saya “kalo emang udah taklukin soal internasional ….” Padahal jejak saya JELAS. Ada WRITE UP (baik di web, di github) dan jejak CTFTIME juga ada.
Bahkan para panitia ini nggak cukup JANTAN untuk MEMBUAT ARSIP tantangan tahun-tahun sebelumnya supaya semua orang bisa menilai dan melihat soalnya.
Jadi kalo dari Cyberjawara atau pendukungnya ada yang mau mempertanyakan kualifikasi saya membuat kritikan ini: coba tunjukan dulu kualifikasi Anda di CTF (bukan soal sertifikasi apapun, saya banyak ketemu orang yg punya sertifikasi security, tapi temennya yang ngerjain), tunjukkan writeup Anda, apa tim Anda, tunjukkan linknya di ctftime.
Yeeee … sapa juga yg panitia, saya mah apa adanya aja, kalo ga ikut ctf ya jg sok buat berita yg menjatuhkan, saya kan logis ga buat buat ga sok membual, saya nyoba koo soal satelite dan lokasi itu, saya baru bisa nemuin flag nya tadi pagi dan itu hal baru coy di soal cyber jawara (sambil nyemil pisang goreng ama kopi). Dan itu bukan STEGO mannnn
Saya BERUSAHA supaya CTF Indonesia jadi semakin baik, salah satunya dengan kritik. Sudah banyak yang setuju dengan kritik saya, cuma beberapa orang yang saya nggak tau kenapa masih membela Cyberjawara. Jujur saja: Anda tidak ada hubungan apapun dengan PANITIA ataupun PEMBUAT SOAL cyber jawara kan? bukan membela pacar atau teman?
Saya MEMBUAT beberapa SOAL CTF untuk idsecconf (ayo silakan ikutan, masih terbuka sampai besok malam). Silakan BANDINGKAN jenis soalnya: https://ctf.idsecconf.org. Rencananya hari senin akan saya jelaskan dengan teliti logika saya ketika membuat soal, dan harapan saya bagi peserta.
Kalo memang bangga banget dengan soal satelit itu: Ya udah upload soalnya ke dropbox atau tempat lain, biar yang lain bisa lihat. Kalo bukan stego dan tebakan kategorinya apa? (silakan pilih kategori dari berbagai CTF: http://blog.compactbyte.com/2014/04/24/security-ctf/ )
oh ini sih ga beda jauh sama blog komentator bola, haduh orang indon ya, saya kira situ ikut cyberjawara
Ini lagi contoh pendukung cyberjawara, yang nggak bisa menerima kritik dari orang yang sudah ikut puluhan CTF internasional, dan SUDAH MELIHAT SOAL CYBERJAWARA.
Nggak perlu ikutan Cyberjawara buat tahu bobroknya lah.
wah saya kena cap pendukung, setau saya kalo berkualitas tidak sombong seperti pak yohanes, justru mengayomi, saya pikir publik harus tau kualitas bapak yh menurut saya rendah, saya memang kalah kalo ikut ctf, tapi saya berusaha belajar, dan peserta yg bisa jawab itu saya angkat jempol, anda punya produk tapi sayang anda rusakkan produk anda sendiri, kualitas anda jauh lebih buruk daripada yg telah anda sebutkan diatas
Anda mereduksi segala komentar saya cuma jadi “orang gak ikut cyberjawara aja komen” tanpa memperhatikan konten kritikan saya.
Sudah ada puluhan orang menyampaikan kritik dengan BAIK dan SOPAN, secara LANGSUNG, seperti contohnya Farishki di atas. Anda tahu responnya? mereka merasa sudah benar, dan STOP tidak mau menerima input lagi. Sudah dicoba berbagai jalur tapi tidak direspon, sampai Farishki akhirnya posting di kritik pedas saya ini.
Kadang jika cara halus tidak berhasil, saya memilih cara ini. Silakan saja jika Anda tidak suka.
Kategorinya wireless signal hacking coy, tools nya buanyyakkkk , contohnya di kali linux juga ada, ato kalo develop nya bisa pake GNU radio, itu aja saya baca sedikit. Dan saya coba praktekan ternyata bisa tuch dapet Flag nya. Ketidaktaun memacu saya tuk xplore, dan saya belajar tuk rendah hati aja dari orang yang songong.
waduh gnuradio mantap, belajar dong kakak, saya baca dikit itu juga buat soal ctf ya di defcon
Ikut CTF defcon, team mana?
Iichh saya sopan tauk, ente aja yang marah marah sendiri , saya hanya membuka mindset, kalo ngritik harus jg nerima krikitan, brave heart aja dech.
Lah situ yang gak pernah ikutan CTF internasional sok2an mempertanyakan kualifikasi saya?
BTW, mana soalnya kalo emang mau ditunjukkan ke dunia bahwa itu soal yang baik.
Saya juga mainan RTLSDR, mainan berbagai device IOT (silakan cek sendiri blog ini dan blog tinyhack.com).
Soal seperti ini pun tetap bisa jadi soal tebak-tebakan!!!
lah kalo main rtlsdr, pasti udah tau itu jenis soal apa???? saya yg baru browsing aja bisa paham sedikit, ga perlu banyak ntar sombong, malah saya tertarik soal itu, kalo @imuy punya soalnya boleh kirim ke saya, saya ingin tau lebih dalam
Lah, soalnya nggak ada yang upload, bahkan saya tanya ke peserta, webnya sudah ditutup, gak bisa download soal lagi.
Ada RIBUAN jenis soal yang bisa dibuat berdasarkan RTLSDR, jangan terlalu sempit pikirannya.
BTw, ikutan team apa kemarin DEFCON? jangan asal sebut aja supaya terdengar keren.
saya ga ikut ctf defcon, krn saya tdk punya biaya, tapi saya mau belajar, dan ga perlu norak, semua bisa tools asal punya uang, tapi situ blom tentu bisa pecahkan apalagi develop, saya aja lagi belajar hal hal baru yg seadanya, hebat bisa ikut ctf ini itu, tapi ya jangan sombong, toh diatas anda masih ada langit
Anda tau nggak kalo defcon qualification itu gratis, tidak perlu susah payah, daftar di Internet, tidak perlu KTP ataupun apapun. GRATIS.
Kalo Anda bisa lolos defcon qualification, BANYAK yang akan membiayai Anda ke final di Amerika.
Anda sudah coba search belum tools apa aja yang sudah saya develop?
Kalo soal , minta aja ama yg temen ente yg terkait ato browsing google ajah. Masa nyari aja ga bisa. Emangnya hrs ikut ctf international supaya disegani yak, sayangnya pengalaman ente ga bikin respek tuch. saya kan hanya membuktikan flag, coba aja belajar signal hijacking dech. Saya mah ga bikin bikin isue, wong hanya bicara apa adanya,dan ga pake modal flaw supaya beken.
lah yg sempit otaknya itu sampeyan kali, ya udah ditutup lah link nya, saya aja ga dapat, kalo ada yg mau ngasih ya gpp, bagus itu, lebih baik sharing yg positif, jgm kaya orang kebakaran jenggot dagang ctf di salah satu link, toh apa yg ada banggakan blom tentu lebih baik, dan ini sdh contoh bagaimana publik menilai sikap fan pemikiran anda, saya partisipasi walaupun kalah dan ga perlu sok gaya, saya bukan tim yg hebat, tapi saya ingin belajar sebagaimana mestinya, diatas langit masih ada langit bung
Yah Anda yang terlalu sempit. Coba cek CTF internasional lain, arsipnya semua ada. Kok ini malah belain CTF ngawur. Kan udah dijelaskan dengan jelas apa yang ngawur dari CTF itu.
Saya tidak menyarankan SATU CTF, saya menayarankan CTF MANA SAJA yang nggak ngaco (silakan cek RATING di CTFTIME, bukan penilaian satu orang, penilaian BANYAK orang yang ikut CTF internsional)
Yang komen munkin satu orang tapi ganti-ganti nama …
hmmm
Hahaha, saya juga kepikiran begitu
@abdilah. waduh kasian dong saya gonta ganti id, saya ya saya lah sesuai nama saya, jgn pakai bahasa mungkin, di IG dulu lah
INDOG
cuma bisa comment, harusnya bersyukur pak Yohanes mau ngasi tahu.
Ini malah ngotot.
@jim @imuy
https://medium.com/@dailyzen/mindfulness-vs-political-correctness-cb71f5428f2#.z44adr7bw
“The more easily-offended someone is, the less capable they are of having a real, honest discussion about the subject in question.”
Silahkan mungkin bisa menilai sendiri yang mana yang easily-offended yang mana yang ingin diskusi dengan baik.
Sayangnya, komentar-komentar pembela di sini pakai Anonymous. Dan yang paling disayangkan lagi, pembela-pembela di sini merasa paling benar (‘bukalah mindset, ‘sekelas internasional’, ‘signal hijacking’).
Tapi di sini saya bukan untuk mengatakan yang mana yang benar dan yang mana salah. Saya mencoba untuk diskusi.
Anyway, soal satelit dan lokasi memang gak kepikiran sih. Itu dua soal file wav yang ukurannya ~100 MB kan. Soalnya waktunya juga sempit (3 jam). Kalau CTF luar kan 24-48 jam. Biasanya soal seperti itu, dalam 12 jam gak ada yang solve. Lalu dalam 20 jam hanya 1-5 yang solve, lalu panitia memberikan clue. Saya pernah menemukan soal seperti itu di beberapa CTF. Dan biasanya kalau ada soal seperti itu, CTF-nya akan di-rate jelek (too guessing).
Steganography challenges harusnya dihindari (seperti kata PPP). Dan kalaupun ada, panitia berikan clue.
Kalau mau berikan soal Signal seperti itu, coba jangan ditaruh dalam kompetisi 3 jam karena tidak pada tempatnya. Dan mungkin berikan hint yang lebih jelas. Mungkin buat soalnya mudah, cukup Googling generator untuk suaranya lalu berikan ke peserta. Tapi itu tetap guessing challenges yang dibenci banyak orang, bukan hanya orang Indonesia tapi juga siapapun. Karena walaupun memang butuh ilmu (yang kata salah satu komentator adalah ‘signal hijacking’) tapi untuk menebak cara apa yang harus dilakukan sangat time consuming dan poinnya tidak jauh beda dengan soal yang benar-benar butuh security skill dan nalar.
Ok, kalau panitia atau siapapun yang ada di komentar di atas bersikeras (atau siapapun yang punya hubungan dengan panitia, contoh: mantan panitia tahun lalu yang sekarang jadi peserta dan dapat peringkat atas kemarin), kalau ada waktu senggang saya akan berikan soal-soal kemarin ke beberapa orang yang ada di Top 30 tim Ctftime 2016. Dengan tentunya memberikan keterangan tentang istilah-istilah bahasa indonesia yang ada di beberapa soal. Kita lihat tanggapan mereka saja ya. Fair kan. Pak Yohanes mungkin kalau iseng bisa minta tanggapan p4. Kalau tidak salah Pak Yohanes sempat pernah main sama mereka dan sekarang tim-nya peringkat 2 Ctftime 2016 kan.
=== THE TRUTH ===
imuy, Heru, Antonius, dan jim adalah orang yang sama. Orang tersebut adalah pembuat soal CTF Cyber Jawara. Orang tersebut tidak terima karena dia sudah susah payah bikin soal (walaupun 1 soal dibuat kurang dari 30 menit) tapi ada yang kritik. Dia tidak tahu malu karena berani meremehkan expert (Pak Yohanes). Otak dia tidak bisa membedakan mana steganografi mana kuis family 100. Dia pikir dia jago dengan membuat soal tanpa hint yaitu satelit, padahal TOLOL! (maaf harus diginiin biar SAKIT). Saking payahnya skill dia mentok-mentok cuma reversing pake XOR, gak nyampe 30 detik pake xortool soalnya langsung kelar. Kehidupan dia di idsirtii adalah main game, download film, dan rapat gak jelas. Dia tidak punya waktu luang untuk memperdalam ilmu siber sehingga saking butanya pengetahuan dia, dia mengaku-ngaku CTF Cyber Jawara adalah level internasional. Padahal DIA GAK PERNAH SOLVE SATUPUN CHALLENGE LEVEL INTERNASIONAL. “semua bisa tools asal punya uang” begitulah katanya. TOOLS… TOOLS… TOOLS… dipikirannya. ITULAH MENTAL SCRIPT KIDDIE. sekian dan terima kasih.
ho’oh ga bersyukur udah di kasih tau sama pak yhns, malah pada nyolot fans nya
eh ada elvina :3
buktiin dong kalo katanya oramg yg sama, jangan jago bikin isu doang, susah nih pedagang
Cyber Jawara Katanya punya style sendiri dan gak mau ikutin saran dari “SUATU KELOMPOK” atau “STANDAR” yang di sarankan.
Berarti ini namanya apa orang-orang ini gak mau maju yang dari panitia cyber jawara. Dan di fanspage malah mencoba melakukan pembenaran (BODOH). bukannya mengakui kalau memang kurang dan banyak kesalahan.
Namanya orang pemerintahan mungkin yang biasa dan jago *mengelak , gak pernah mau akuin kesalahannhya dan coba evaluasi diri untuk mencerdaskan Player CTF di indonesia.
Kalau terus begini jalan pikirannya para patinia ini sama aja dengan PEMBODOHAN ONLINE. Sajangan sekali2 berani sebut CTF lagi. Gak beda deh ini sama sinetron “GANTENG GANTENG SRIGALA”. Besok bikin aja sinetron “GANTENG GANTENG QR CODE”.
SALAM QR. 01 01 01
Kirain peringkat 1 si penulis blog ini dalam CTF internasional ( ASIS ) , ternyata peringkat 38 😀
( jangan marah ya om, cuma liat tulisan di blog di atas dan memang peringkat 38 tertulis disana ).
Blog ini seperti komentator bola aja memang , ga main bola tapi ikut komentar hehhee..
Baiknya jangan sombong om, karena ada salah satu orang Indonesia yang udah terkenal di kancah internasional lewat karyanya, namun dia tetep low profile, dan tetap menghargai setiap karya orang lain dengan tidak merendahkan orang lain.
Diatas langit masih ada langit :).
Klo memang niat nya baik, langsung aja temui pihak terkait dan face to face jadi lebih gentel, siapa tahu bisa sambil ngopi2 bareng :D. Syukur-syukur bisa kasih solusi bukan hanya komentar om, jadi akan lebih berkelas dan bisa diauki jika memang si om ini expert.
Selanjutnya posting hasil pertemuannya biar publik bisa menilai sendiri …
Ini juga akun palsu yang saya buat dengan bahasa sedikit berbeda dengan akun kloningan lainnya (imuy, heru, antonius, dan jim) dengan tujuan agar orang sulit mengetahui bahwa saya membuat akun kloningan.
tulisan diatas bukan saya yang tulis. saya bukan panitia .
Wiihh imuy adalah imuy, saya mah ga kenal dg beliau beliau itu, jgn mudah berasumsi, hanya karena saya mempunyai komen yg ga setuju dg pemilik blog ini, toh saya juga berasalan logis, dan saya ga butuh penjelasan kemana mana tentang pengalaman yang punya blog ini, ini kan membahasa soal di cyber jawara, ya jawabannya fokus aja ke topiknya bukan iklan.hal yg lain,.kalo hebat mah ga perlu nunjukin pengalaman international cukup jawab bisa ga temuin flag satelite dan lokasi di.cyber jawara, bukan.buat isue ato nuduh saya kerjasama dengan yg komen disini, … kalo mentalnya kayak gitu, kapan majunya ??????
Mohon maaf ini akun palsu yang saya buat.
Aduh saya eneg banget denger dari kemarin ditanyain soal satelit dan lokasi itu. Saya cuma ketemu satu soal, dan orangnya bahkan gak yakin itu soal yang mana, karena sudah dia rename.
Inilah masalahnya dengan pemula, taunya cuma satu kemungkinan bahwa itu suara modem. Ada banyak modulasi sejenis yang memiliki gambar waterfall seperti file audio ini (misalnya KG-STV dan apapun yang modulasinya FSK/MSK).
Apakah gambar ini dah cukup membuktikan kekonyolannya?
minimodem –rx -8 1200 -f 1qw34rfvrt8ihjyuijk.wav > x.jpg
http://imgur.com/DpoN4TH
Sekarang gantian saya yang mau tanya: Anda beneran gak ada hubungan apapun dengan panitia?
Anda punya team di ctftime, punya blog writeup?
Sebenarnya saya nggak harus sama sekali menanggapi tantangan Anda. Istilahnya begini: emangnya elu siapa nantangin gw? identitas aja nggak jelas, emangnya Anda mau ditantang ada mulut sama pengemis pinggir jalan yang tidak Anda kenal, dan dia itu merasa tau banget soal sesuatu?
Btw, untuk pendukung cyberjawara yang budiman, kalo udah ketemu gambar itu, terus bagaimana?
Ada satu kemungkinan: bukan itu filenya yang dimaksud, jadi tebakan decoding perlu dilakukan lebih lanjut.
Lalu jika itu filenya, maka apa flagnya?
– koordinat lokasinya ID-SIRTII?
– nama lokasinya?
– md5 hash filenya?
– flagnya ada di EXIF?
– flagnya disembunyikan dengan steganografi?
– ???
Saya akui saya itu BODOH dan TOLOL. Saya tidak mampu membuat soal security karena saya tidak memahami security itu apa. Saya tidak punya argumen valid untuk membalas komentar-komentar cerdas kalian. Walaupun IQ saya kurang dari 88, saya mau menunjukan argumen agar saya terlihat cerdas, dengan membuat komentar-komentar palsu seakan-akan banyak yang mendukung Cyber Jawara. Saya tidak pernah mengikuti CTF level internasional karena saya tidak bisa menyelesaikan satu pun dari soal tersebut. Fokus saya adalah ingin CTF Indonesia tidak berkembang sehingga saya tidak mau mendengar kritik atau saran dari komunitas/expert/media. Mungkin tahun depan saya akan membuat soal yang lebih TOLOL agar bisa menyaingi CTF level internasional.
– Curahan hati seorang panitia :'(
Gini loh … secara semua orang bisa nulis nama : panitia cyber jawara , web : idsirtii.or.id
Gimana kalo anda upload KTP anda sambil selfie. Anggap aja ini REGISTRASI CYBER JAWARA,
SAMA KAN ? Sama2 pake KTP.
Nah itu aja dulu sementara buat ngebuktikan aja kalau situ bener Panitia Cyber Jawara.
berarti bukan paranormal dong, itu bisa dipecahkan sesuai command tadi, soal tadi tidak mengada ngada menurut saya, cuma saya tdk mampu menjawab soal tersebut, dan saya akui dari awal saya ga mampu jawab, itulah kenapa saya belajar
Jadi dari gambar itu, flagnya apa? Itu belum solve tanpa flagnya. Itu main tebakan lagi.
Hahahaha, seru juga nih, ikutan komeng ah, buat seru-seruan aja, biar kelihatan mengikuti perkembangan di security indonesia. wkwkwkwk.
Soal kapabilitas om yohannes mah, ga perlu diragukan lah, klo yang masih bocah mungkin ga tau virus brontok/rontokbro, doi salah satu orang yang ngereverse virus brontok. klo ga salah bikin antinya juga deh.
btw, mengenai ini, ane no komen deh, nggak kapabel, ga pernah ikutan ce-te-ep, ilmu masih cetek euy, apalagi dengan internet agak terbatas, hiks.
tapi satu hal yang ane yakini, yang komen frontal banget pasti masih bocah. wkwkwkw
saya tidak menemukan apapun lg, saya rasa itu flagnya, memang yg lebih tau pasti yg bikin soalnya, setidaknya terlepas konyol atau bukan konyol, ada pembelajaran yang saya dapatkan, dan saya pribadi menganggap ini tantangan, soal mau dicap apapun ga masalah, dan saya belajar soal kuantitas plus kualitas dari masalah ini
Flagnya harus berupa kata2, bukan file. Jadi kalo sudah ada yang dapet gambar ini, terus mentok, lalu panitia menganggap semua orang bodoh karena ga bisa solve ini, jadi gimana?
di gambar itu ada tulisan id-sirtii, ya mungkin itu yg dimaksud, krn tdak ada petunjuk lain, saya juga sama mengikuti apa yg situ katakan, apakah ada hal lain disitu?????, pelajaran buat saya, next time saya akan submit gambarnya sekalian
Justru itu protes dari saya. Intinya selalu membongkar zip atau decode file, tebakan tool, hasilnya gambar misteri, tebak2an. Dari pengalaman yang lain di tahun sebelumnya, panitia tidak akan membantu.
kalo persepsi saya ini soal bagaimana memahami melalui explorasi, kecuali soal dari panitia memang tdk ada jawabannya, nah saya juga akan protes, ternyata ada dan bisa dipecahkan, manfaat buat saya ini menjadi pengetahuan baru walaupun dianggap konyol, tapi ya terserah pandangan masing masing, saya dgn kemampuan saya tanpa membela siapapun, seandainya pemahaman saya sampai di pola soal itu, saya akan submit lemgkap dgn gambarnya sekalian
Kalo anda memang mau belajar dan matanya terbuka. Carilah soal tahun2 sebelumnya. Sebagian besar soalnya seperti ini. Jawabannya selalu ada, tapi suka suka panitia. Alias kita harus jadi dukun buat baca pikiran panitia.
saya selalu belajar, dan saya membuka mata, namanya juga kompetisi, sdh saya bilang kalo saya tau cara memecahkannya, saya akan submit, saya kira panitia ga main main soal ini, ini kam kompetisi resmi, masa masih mau ngakalin peserta, krn memang ada jawabannya toh, soal iti decode atau crack zip, ya itu kan bagaimana yg bikin soal, kalo bisa saya jawab ya saya dapat point intinya, kalo saya ga bisa ya saya pelajari dan cari tau
Nah saya yang bingung. Kalo mau belajar, belajarlah ke CTF lain. Anda membuka comment dengan hal yang gak enak, menghina saya yang gak ikutan cyberjawara tapi berkomentar.
Ini soal satelit ini masih ada sisi positif sedikit. Soal lain parah. Nggak ada ilmunya. Sebagai newbie, dengarlah yang lain. Kenapa keras kepala? Ctf Indonesia lain juga banyak yang lebih baik.
loh memang anda ga ikutan kan, kalo saya memang ikutan dan kalah, tapi saya pelajari kekurangan saya dan tim, krn itu bahan instropeksi saya, kekalahan bukan kehancuran buat saya, tapi kesombongan adalah awal kehancuram, dan saya dapat ilmu dari cyberjawara, saya jadi tau dari yg tidak tau, mungkim kalo dibilang newbie, saya tdk lebih daripada itu dibanding siapapun, malah dibawah newbie
Kalo uwi dan butet liat kompetisi bulutangkis tingkat rt dan liat bahwa itu berantakan, apakah perlu atlet tingkat dunia harus ikutan lomba tersebut baru boleh komentar? Nggak harus ikut sesuatu kalo mau comment, apalagi kalo hasilnya bisq dilihat mata.
ya gpp, setau saya ga ada batas soal itu, mau atlit kelas tarkam ataupun atlit kelas dunia, malah yg ikut banyak kok yg jago jago dan tim hacker yg hebat, siapa tau saya yg bodoh dan ga tau apa apa ini menang, namanya juga kompetisi, kura kura asal pakai otak juga bisa menang lawan kancil
Nah sekarang bahasannya jadi ke mana-mana. Anda malah nggak melihat esensi kritik saya: bahwa CTF Cyberjawara ini tidak baik. Bahwa mereka perlu memperbaiki diri.
Waktu saya sangat terbatas (silakan lihat buat apa saja waktu saya dari berbagai post, kode di github, facebook, dsb), jadi tidak ada gunanya ikutan CTF kelas rendah lagi. Apakah Owi dan butet juga masih tanding kelas RT?
Saya menggunakan nada “marah” di sini karena mereka “sombong”, tidak mau mendengar dari peserta lain, yang kapabel, yang sudah punya track record terbukti, bisa dilihat di CTFTime, punya banyak writeup. Sudah melalui cara sindiran, sudah langsung ke facebok pagenya. Singkat kata, mereka ini BEBAL, dan bukan satu-dua tahun, sudah bertahun-tahun. Silakan kalo Anda punya cara yang lebih baik bisa menasihati mereka.
ya saya sih hanya bisa belajar dari kekalahan, ga masalah buat saya, masalahnya tinggal saya mau atau tidak mengupgrade kemampuan, kalo soal esensi, ya saya belajar utk tau diri dan rendah hati aja, saya pun terimakasih dgn pak yohanes yg telah ngasih tau cara sederhana dgn decode soal itu, esensi saya bukan kepada panitia atau siapapun, tapi kepada bagaimana saya belajar memecahkan masalah, soal jago, pasti banyak yg jago, krm diatas langit masih ada langit, faktanya sesombong apapun saya, toh saya kalah juga, angkat jempol buat yg masuk finalis
Percuma mah kalo di bilangin malah ngelawan. di diemin nanti di bilang gak peduli.
Belajar nerima saran untuk yang lebih baik aja ga bisa. Turut prihatin
setau saya liat di komen atas, @imuy sdh ngasih tau clue nya, eh ternyata bener
Halah, clue apaan? signal hacking? GNU Radio? Terus dia sendiri nemu nggak FLAGNYA APA? kok gak muncul lagi orangnya?
kalo saya dapat clue dari imuy, saya bisa di soal satu lagi, ga tau nya itu semacam track yg menunjukkan posisi dari salah satu tempat ke tempat lain, track perjalanan sih keliatannya, ada sekitar hampir 3000 log track, ya saya share aja yg saya bisa
loh, buat yang satu lagi juga perlu didecode wav-nya dengan cara yang sama. Kalo bisa yang satu pasti bisa yang lain lah.
Sejujurnya, semua komentar Anda ini aneh, menunjukkan Anda kemungkinan orang yang sama dengan Umuy. Anda mungkin nggak menyadari, tapi banyak hal tidak konsiten yang Anda tuliskan di berbagai reply. Semakin banyak yang Anda tulis, semakin keliatan. Bahkan orang-orang lain juga sudah menduga demikian kok.
Saya orang yang sangat terbuka, semua komentar dari saya akan memakai nama saya. Semua komentar lain yang menuduh itu asalnya dari orang lain (dan mereka punya alasan yang masuk akal).
waduh kok saya dituduh sama dgn imuy, saya hanya ingin membuktikan apa yg imuy katakan dan itu benar, saya lihat anda tdk konsisten dan sombong, saya coba sendiri bisa kok, dan memang dia yg nunjukkin clue nya, malah anda nuduh saya dgn imuy itu sama, wah kalo kaya gini, anda ga malu dgn label anda yg sdh kelas internasional, pengen diakui kok maksa
Nah coba bikin writeupnya kalo gitu. Jangan sombong nutup ilmu nggak dishare. 😂 wong aneh dan ga konsisten. Ayo coba diceritakan mana cluenya umuy yang membantu?
Tuh kan … kasian atuh sama mrk yg punya komen dituduh macam macam, ga butuh massa tuk dukungan, hanya bicara sesuai adanya, kenapa ga setuju dg pemilik blog ini, simak aja dari awal komen imuy, ga berubah bahas soal ctf yg dianggap oleh pemilik blog ini dianggap ctf rendahan, bukan STEGO mannn
Dan ga perlu uplot di fb pake bawa nama imuy, plus kasian yg namanya mariam dibilang sotoy, lagian ga perlu manggil pemilik blog ini jadi roberto hihihihi
Yg sotoy sapa …. pasti yg cerdas dan ga pake ego bisa nilai sendiri.
Nih hasil flagnya, duluan imuy kan daripada pemilik blog ini temuin flagnya, males bgt pake writeup, sibuk saya beberes rumah hihihi
http://m.imgur.com/DyAJlnV
http://m.imgur.com/uVRkUH8
Tuh check it out
Bwahaha. Jadi flagnya tuh apa? File itu? Nama jalannya😂 soal kayak gitu dibilang kelas internasional. Mana grc gnuradionya?
Btw ga baca comment pertama di fb saya? Soal itu juga bisa diselesaikan dengan minimodem. Sengaja ga saya bikin terusan di situ, cuma pake satu tool masuk kok datanya ke Google maps kalo mau.
iya sih tinggal decoding masuk ke google maps, saya pakai tools online doang, salah ga ya koment, ntar kena tuduh lagi
Yang salah adalah, kamu ga nyebut decode wavnya pake apa? Imuy ga nyebut tools selain gnuradio. Petunjuk itu ga cukup apalagi buat pemula.
Yeeeee …. sy mah udh dari kemaren aja, imuy ngajak kamu tuk pecahin, jgn sok klaim ach, gentle aja, trus kamu masih mau nuduh itu apa lagi tentang soal atau nuduh imuy, technique is technique, imuy mah ga suka hanya krn mau dianggap hebat trus jatuhin org lain, gentel ach…. moga ini komen imuy , kamu uplot. Tapi emang susah bicara ama org songong, imuy dah buktikan loh srcara teknik. Kamu aja yg sok klaim …. maap deh no respect for you
Lah yang kemarin sok nantangin kalo soal itu susah tingkat internasional siapa ya? Yang ga share ilmu siapa ya? Semua ilmu saya share di blog, github, dll. Kalo ini bentuk kesombongan saya ya gpp lah 😂
Saya menunjukkan itu soalnya masih ga jelas flagnya apa. Ga ada yang bisa jawab itu flagnya apa. Terus masih bisa membela cyberjawara ga ngawur. Saya udah kehabisan kata2.
Silakan baca lah posting saya berikutnya. Moga2 anda bertobat mau sharing nulis ilmu (kalo ada ilmunya, wong nyebut gnuradio ga sekalian upload image grcnya solve soal ini).
mantap nih, boleh dong belajar sama pak yohanes dan imuy, sama sama jago, cluenya tembus walaupun saya kalah
Nah ini jim ini makin mencurigakan account klonengan, kalo ditanya teknis malah menghindar. Karena dari tadi ga masuk akal comment2nya. 😂😂😂
Idih kamu, sy ga bahas soal kain tentang kamu, saya kan buktikan soalnya cyber jawara, kamu ajah bikin isue kemana mana, saya share kan hasilnya trus kamu bikin isue apa lagi, kamu kan keukeuh tentang stegano, trus sy bilang tuh soal satelite ama lokasi, eeeh kamu bahas ngelantur kemana mana, yang tobat itu sapa sich, fokus aja ama topik, menurut imuy itu kan bisa pake decode online kenapa harus susah pake grc, trus.international juga tau cara tersimple gmn … mrk ga aja yg international ga repot koq kamu repot sich … hihihi
Menurut imuy, yg bikin soal tuh cerdas punya pertimbangannya supaya smua lapisan bisa partisipasi, jadi engga pake grc, ini analisa imuy loch, trus perkara jenis wav. Wong imuy kasih clue decode modem aja kamu pake trus klaim, pake bawa nama pemula, usaha sendiri dong, imuy aja mikir sendiri.
Saya mah ga nebak nebak, kalo mau klarifikasi ya kepanita atuh.
Ya ampun, kemarin nantangin abis2an soal satelit. Dah berhasil solve dianggap pake clue kamu. Pake nyebut2 gnuradio. Dengan nama soal “satelit” tadinya saya berharap ini SSTV, pas udah saya liat signalnya, saya tau itu modem. Saya juga sempet idup di tahun 90an. Saya dah mainan SDR dah beberapa tahun yang lalu mbak. Ada jejak segala oprekan saya di blog ini, di fb, di github.