Beberapa hari yang lalu China melarang security researchernya untuk mengikuti kompetisi pwn2own dan sejenisnya di luar negaranya. Ini bisa jadi suatu awal yang gawat untuk dunia keamanan cyber baik secara umum, dan juga untuk Indonesia.
Saya mau mundur sedikit: apa sih pwn2own itu? Ini adalah kompetisi hacking di mana hacker diminta menjebol device dengan software terbaru dengan bug yang belum pernah diketahui orang lain sebelumnya (zero-day). Pemenangnya mendapatkan devicenya dan hadiah puluhan sampai ratusan ribu USD (ratusan juta hingga milyaran rupiah).
Bug
Secara singkat: beberapa bug ini memungkinkan orang mengambil alih ponsel, tablet, dan bahkan mobil (mobil pintar) dari jauh tanpa interaksi dari user. Ini bukan bug kacangan seperti XSS atau SQL injection di website.
Supaya lebih jelas lagi akan saya jelaskan dengan salah satu contoh pemenang di tahun 2017 lalu dari kategori Mobile. Salah satu team dari China bisa membuat exploit, sehingga jika iPhone dengan iOS terbaru (waktu itu versi 11.1) yang melakukan koneksi ke access point tertentu (yang mereka kuasai) maka iPhone tersebut bisa diambil alih, artinya mereka bisa menginstall sebuah aplikasi di iOS tanpa ketahuan dan aplikasinya bisa melakukan apa saja termasuk juga menyadap komunikasi, mencuri data dsb (tanpa ketahuan), dan aplikasinya tetap berjalan setelah ponselnya direstart.
Perhatikan: pemilik ponsel bahkan tidak perlu masuk ke website tertentu, cukup konek ke sebuah access point WIFI. Dalam banyak kasus, pemilik ponsel bahkan tidak perlu melakukan apapun karena ponsel biasanya auto connect ke jaringan WIFI yang sudah dikenal (artinya attacker cukup membuat nama WIFI yang sama dengan yang sudah pernah dikunjungi korban, misalnya WIFI di Starbucks)
Jika eksploit ini ada di tangan orang jahat, hanya dengan koneksi ke WIFI sebuah cafe, mereka bisa menginstall software yang selalu berjalan di latar belakang. Seorang mata-mata akan dengan mudah mengambil rahasia negara jika orang tersebut memakai iPhone. Ini bukan kisah fiksi, tool seperti ini sudah dipakai oleh agensi pemerintah.
Takut memakai WIFI? Team lain bahkan bisa menemukan bug di baseband processor dan melakukan baseband attack (dalam kompetisi tersebut yang berhasil dijebol adalah baseband pada Samsung S8). Di dalam sebuah ponsel ada baseband prosessor yang melakukan komunikasi dengan jaringan operator. Jika serangan dilakukan dengan cara ini, maka bahkan jika WIFI mati, asalkan ponsel melakukan koneksi ke BTS maka tetap bisa diambil alih. Secara otomatis ini koneksi akan dilakukan, meskipun pada BTS tidak dikenal karena dibutuhkan untuk fitur emergency call pada ponsel.
Untuk menemukan dan mengeksploitasi bug seperti ini dibutuhkan pemahaman sangat mendalam dari mulai paket data WIFI, sistem operasi (dalam kasus ini iOS sampai level model security yang dipakai, bukan memakai iOS-nya), assembly (dalam kasus ini Arm 64 bit),sampai pembuatan aplikasi iOS (bagian payload-nya).
Untuk memberi gambaran betapa sulitnya mencari dan mengeksploitasi bug level WIFI, silakan baca posting dari team Google Project Zero, mereka menuliskan tiga bagian artikel ekpsloitasi WIFI di device iOS (silakan baca bagian pertama, kedua, dan ketiga). Bagi yang sudah sering ikutan CTF dalam level eksploitasi, pasti akan sedikit paham isi tulisan itu, tapi kebanyakan yang mengaku “hacker” hanya akan bisa bengong.
China
Saat ini team dari China memiliki kemampuan hacking yang sangat bagus. Tahun lalu semua top 5 di kompetisi pwn2on adalah dari China. Bukan cuma di kompetisi pwn2own, tapi team dari China juga terkenal dalam berbagai kompetisi lain.
Saat ini dunia perhackingan masih cukup tertib dan beradab karena adanya kontes-kontes semacam pwn2own ini. Researcher dapat duit halal, pembuat software/hardware mendapatkan informasi bug dan bisa memperbaiki, dan pengguna awam bisa merasa aman. Contohnya pada kasus bug iOS di atas, jika Anda adalah orang penting (misalnya memegang rahasia negara) dan merupakan pengguna iPhone, andaikan ada yang memberitahu bahwa ada bug ini ada, tidak ada yang bisa dilakukan selain mematikan ponsel dan menunggu sampai ada update terbaru.
Tapi sekarang pemerintah China mulai melarang researchernya, dan ini dampaknya bisa gawat. Pertama China bisa memiliki banyak exploit yang tidak dishare ke dunia. Kemungkinan ini akan dianggap tidak adil oleh yang lain, dan negara lain bisa mengikuti langkah China. Mungkin caranya tidak dengan paksaan, tapi pemerintah bisa menawarkan uang yang banyak agar exploitnya tidak disebar.
Andaikan banyak negara mengikuti langkah China, maka berbagai tool open source tidak akan diupdate lagi atau updatenya akan semakin sedikit. Akhirnya kebanyakan akan bergantung pada tool komersial yang closed source, dan akhirnya jadi bergantung pada vendor tertentu (yang semuanya tidak berada di Indonesia).
Serangan Cyber
Serangan cyber dari berbagai negara bisa saja dalam bentuk sederhana seperti menghasut via Facebook, dan ini tidak butuh eksploit seperti yang saya sebutkan di atas. Serangan berupa hasutan seperti ini juga bisa dengan mudah ditangani di negara seperti China yang memfilter seluruh media sosialnya.
Serangan cyber juga bisa lebih canggih, dan bisa juga kombinasi dari yang canggih dan sederhana. Contohnya: segala macam informasi dari ponsel orang penting di sebuah negara bisa diekstraksi dengan mudah menggunakan eksploit yang kompleks seperti yang dijelaskan di atas. Segala macam foto dan video bisa dijadikan senjata untuk disebarkan di media sosial, mendiskreditkan tokoh tertentu. Ini tentunya lebih ampuh daripada sekedar melakukan photoshop.
Tentunya yang mengerikan adalah jika serangan cyber tersebut dilakukan terhadap infrastruktur penting, digabung dengan serangan fisik. Misalnya kita bisa diserang dengan pesawat tempur, sedangkan semua komputer radar dan komputer on board pesawat dimatikan sehingga kita tidak bisa membalas. Belum lagi jika semua infrastruktur komunikasi juga diserang.
Sebenarnya saat ini pemerintah Indonesia juga sudah mulai bergantung pada hacking tool dari perusahaan luar (salah satunya Finfisher diketahui dari bocoran ketika mereka berhasil dihack). Finfisher hanyalah salah satu hacking tool, contoh lainnya adalah dari Hacking Team. Ketika tool dari Hacking Team bocor, diketahui bahwa tool yang mereka jual memiliki “kill-switch”, sehingga fungsionalitasnya bisa dimatikan secara remote. Kita tidak tahu apakah tool-tool lain yang ada dilengkapi juga fungsi semacam itu.
Saat ini senjata api bisa dibeli dari negara lain, dan bisa dicek apakah benar bisa dipakai untuk menembak. Sedangkan jika membeli tool hacking dari negara lain, kontrolnya ada di pembuat tool. Bisa jadi ketika ditest bisa sukses, tapi ketika dipakai “menembak” target sesungguhnya, tiba-tiba toolnya berhenti bekerja.
Indonesia
Mungkin orang awam akan berpikir: Indonesia juga punya banyak hacker, yang bisa menjebol situs di berbagai negara. Memang benar kita punya banyak hacker level seperti ini. Kita juga punya banyak “pasukan cyber” yang sekedar bisa menebar hoax di Facebook.
Tapi level teknis kita masih jauh sekali di bawah banyak negara lain. Bahkan pasukan yang hanya bisa memakai Facebook tidak memiliki bahasa Inggris yang cukup untuk menyebar hoax di negara lain (contohnya Rusia yang mengganggu pemilu Amerika). Untuk sisa tulisan ini saya tidak akan membahas bagian “pejuang cyber” yang hanya sekedar bisa posting Facebook, tapi pada “hacker” dan “security researcher” yang mengerti teknis.
Bagaimana saya bisa menilai kalau kemampuan cyber Indonesia masih kurang jago? dari jumlah pembicara di konferensi hacking (baik nasional maupun internasional), dari jumlah tool hacking yang dirilis (atau bahkan sekedar kontribusinya di tools open source), dari jumlah bug yang ditemukan, dari jumlah exploit yang dirilis, dari jumlah kompetisi yang diikuti (dan dimenangkan), dari jumlah perusahaan pembuat software security (firewall, antivirus, forensic dan sejenisnya, bukan sekedar reseller produk-produk tersebut). Masih banyak lagi metriks lain yang bisa dipakai, intinya kita masih ketinggalan jauh.
Mungkin sebagian berpikir: mungkin kendala bahasa, tidak bisa berbahasa Inggris, sehingga tidak menulis atau membuat tool? Sepertinya bukan ini, karena banyak sekali tulisan dalam berbagai bahasa asing masing-masing (China, Rusia, Vietnam, Jepang, dsb), tools juga banyak yang berbahasa lokal pembuatnya saja.
Perlu dicatat: saya bukan bilang tidak ada orang Indonesia yang jagoan, tapi jumlahnya sangat sedikit. Komunitas hacking positif kurang berjalan (sedangkan yang negatif seperti carding cukup laris). Beberapa group telegram juga ada, tapi di kebanyakan group 95% percakapannya sampah.
Sebagian lagi akan berpikir: lebih gampang dapat duit dari cara illegal, jadi malas yang legal. Saya akui, dalam kasus tertentu memang kadang lebih gampang mendapatkan uang dari jalan illegal atau semi illegal. Untuk yang jelas-jelas illegal, seperti melakukan carding atau memeras orang, risikonya cukup besar.
Untuk yang semi illegal, misalnya mengakali sistem, selalu ada risiko tiba-tiba pendapatan semuanya hilang. Contohnya di Youtube kita bisa mengupload ulang konten orang dengan mengubah videonya agar lolos dari deteksi robot pemeriksa konten Youtube dan mendapatkan uang dari iklan. Jika tiba-tiba sistem Youtube berubah, tiba-tiba pendapatan hilang, atau account diblok.
Sebenarnya uang yang bisa didapat secara legal dalam bidang security bisa banyak, baik dari bounty maupun rate harian/bulanan dan juga lebih tentram karena tidak akan ditargetkan oleh polisi.
Tapi mungkin memang semua kembali ke masalah uang dan kesejahteraan. Untuk menjadi hacker yang baik, kemampuan programming yang baik sangat diperlukan, bahkan pengetahuan programming low level untuk bisa mengeksploit bug yang sangat rumit.
Jika bisa menjadi programmer yang baik, saat ini lebih menguntungkan untuk menjadi programmer pada sebuah startup (atau bahkan membuat startup sendiri), daripada mengurusi security orang lain. Akhirnya kembali ke masalah uang.
Di beberapa negara, orang yang mampu melakukan eksploit low level ini direkrut oleh berbagai agensi pemerintah dan juga oleh perusahaan security. Di Indonesia jika kita bekerja di Lembaga Sandi Negara atau Badan Intelejen Negara sebagai pegawai negeri, gajinya sangat rendah (jadi lagi-lagi masalah uang). Beberapa orang yang saya kenal yang jago dalam security lebih memilih bekerja di perusahaan luar negeri.
Di level “hacking” yang sebenarnya, sebagian besar hacker di Indonesia hanya sampai level sederhana. Mungkin sekitar 90% hanya bisa memakai tool. Saat ini proses pentesting kebanyakan hanya memakai tools komersial dan opensource saja.
Jika tidak percaya, coba berikan sebuah deskripsi lengkap sebuah bug low level (bukan sekedar web app, tapi bug sistem operasi, bug library native), hanya sedikit sekali yang mampu mengimplementasikan eksploitnya.
Beberapa tahun lalu saya pernah mencoba mempelajari dan mengimplementasikan ulang sebuah eksploit. Dibutuhkan waktu berminggu-minggu bagi saya karena waktu itu belum kenal internalnya Android sampai berhasil membuat exploitnya dan menuliskan sampai sangat detail. Dengan deskripsi yang sangat jelas, tetap saja ada perusahaan security dari luar yang tidak bisa membuat eksploit sendiri dan membeli Proof of concept dari saya. Dari pengalaman itu kesimpulan saya adalah: bikin exploit itu susah, kalo duitnya sedikit, mending kamu aja.
Selain memajukan bidang security tentunya banyak bidang lain yang perlu diperbaiki. Intinya adalah: kita perlu lebih banyak produk dalam negeri. Jika kita bisa membuat produk sendiri, tentunya akan lebih sulit disisipi backdoor oleh pihak asing. Tentunya produk ini perlu dicek juga oleh hacker dalam negeri, karena siapa tau ketika dicek oleh hacker luar negeri mereka malah menambahkan backdoor (atau tidak melaporkan semua bug yang ditemukan).
Masa Depan Suram?
Sebenarnya ada banyak hal positif juga beberapa tahun terakhir ini. Jumlah orang Indonesia yang mengikuti CTF sudah bertambah banyak. Orang yang berminat reverse engineering juga bertambah banyak. Sayangnya minat untuk menuliskan eksplorasinya masih cukup rendah dibandingkan dulu di akhir 90an dan awal 2000-an.
Ada juga teman-teman yang berusaha terlibat lebih aktif dalam membuka mata pemerintah untuk masalah ini, walau mungkin saat ini masih kurang berhasil.
Ajakan saya adalah: ayo dalamilah ilmu security sampai low level. Ayo tuliskan pengetahuan Anda dalam bahasa Indonesia. Dalam bahasa Inggris juga boleh, tapi ada banyak kelebihan memakai bahasa Indonesia: para pemula bisa belajar dengan lebih mudah, hacker dari negara lain perlu memakai Google Translate atau perlu belajar bahasa Indonesia, selain itu tidak menjadi alasan untuk malas menulis karena tidak mahir berbahasa Inggris.
bagus artikelnya, thanks
percakapan 95% telegram sampah, how good are you boy?
udah tau kalo penulis sampah di gosipin demi bisa balik ke Indo, bikin kehebohan bug menjijikan gojek?
dengan drama luar biasa protected page ga jelas?
bisa ngomongin jakarta kalo lagi ga dijakarta? udah sejauh mana tau perkembangan itsec di Indonesia jadi bisa menghakimi dengan tulisan sampah kek gini?
jadi bisa ngomongin Indonesia kalo lagi ga di Indonesia? how poor are you my lad?
nyebutin lembaga sandi negara dan BIN sebagai perbandingan, kocak, dasar sampah. udah tau kalo mereka juga cuman pemakai software jadi? bangga kalo gabung kesitu?
dasar kamu sampah.
Kalem mas/mbak, kalo memang nggak punya kemampuan, nggak usah marah-marah lah 😀
Contoh 95% percakapan sampah pada berbagai group telegram persis seperti di komentar di atas saya ini. Nggak jelas orangnya, kalau ada berita teknis cuma ngerti ngomong nggak teknis, bisanya cuma menghujat orang lain, menilai tanpa mikir, plus ngalor ngidul. Kadang yang berkomentar seperti ini malu membaca artikel yang saya tulis, karena dianggap jago oleh beberapa temannya, tapi eksploitasi buffer overflow sederhana aja nggak mampu.
Terima kasih sudah memberi contoh, tadinya susah nyari contoh yang anonim 😀
Bug gojek itu yang membesar-besarkan media Indonesia, saya mah kalem aja dengan bug yang lebih besar (misalnya MasterCard).
Anyway, saya masih banyak berusaha kontribusi untuk Indonesia (misalnya: bikin soal CTF, pentest berbagai website/app Indonesia, menulis berbagai artikel dalam bahasa Indonesia) dan punya banyak kontak di Indonesia. Kalo mau cek kapabilitas saya, ya silakan aja cek semua blog + github saya.
Ini manusia kenapa, sesama orang indo aja ngga akur, wkaka, duh duh
ambil masukan nya, baru di omongin gitu aja udah kebakaran jenggot, noob
In some points, i totally agree that Indonesia lacks of skill. Unfortunately, a lot of people think Indonesia has a lot of good hack*r. How poor they are :'( – viva la cucaracha electronica
To the point nya mantap.
nambah wawasan baru, belum terlalu ngeh belajar security
Buat yang merasa jago, jangan lupa bagian ini:
“Ajakan saya adalah: ayo dalamilah ilmu security sampai low level. Ayo tuliskan pengetahuan Anda dalam bahasa Indonesia. Dalam bahasa Inggris juga boleh, tapi ada banyak kelebihan memakai bahasa Indonesia: para pemula bisa belajar dengan lebih mudah, hacker dari negara lain perlu memakai Google Translate atau perlu belajar bahasa Indonesia,.”
Pineapple exist for a reason.
Boleh jadi segerombolan sampah itu anggota MCA, Micin Cyber Kremi, kemampuan gak ada cuma ribut koar-koar saja. Digertak polisi langsung kocar kacir.
butuh proses yang panjang mas, terlebih mindset alias pola pikir yang instan menjadikan orang gampang kembung dan masuk angin, tapi saya yakin pada masa depan negeri ini
*nyimak*