Write-up Singkat SpiderLabs CTF 2020

Sudah lama saya tidak ikutan CTF online selain Flare-On, alasannya sama dengan kebanyakan orang lain: sibuk. Tapi tahun ini ada rekan yang kerja di TrustWave dan perusahaannya mengadakan CTF: SpiderLabs CTF, jadi saya penasaran sedikit ingin melihat soal-soalnya. Karena nggak berniat bermain penuh, saya mendaftar dengan nama team yang belum pernah saya pakai sebelumnya: pokedora (pokemon + doraemon, kesukaan anak-anak).

Ternyata saya bisa menyelesaikan banyak, sampai sekitar 6 jam sebelum lomba berakhir masih masuk peringkat 3, dan akhirnya ketika bangun tadi pagi sudah tergeser dan berakhir di peringkat 6. Peringkat 100 besar akan mendapatkan T-shirt.

Awalnya saya mengerjakan sendiri, lalu di akhir saya dibantu oleh Faco dan Abdillah Muhammad. Saya menyelesaikan 26 soal dari 29 soal yang kami selesaikan. Karena jumlahnya cukup banyak, saya tidak punya cukup waktu untuk menuliskan detail semuanya, jadi di sini akan saya berikan Write-up singkatnya saja. Selain itu alasan lainnya adalah: saya tidak menyimpan banyak screen capture (karena tadinya tidak berniat main sampai lama).

Lanjutkan membaca “Write-up Singkat SpiderLabs CTF 2020”

CDrama: Go Go Squid!

foto dari situs https://sudsapda.com/film/167496.html

Ini bukan drama mandarin pertama yang saya tonton, dan sebenarnya gak pengen menambah daftar tontonan selain western series dan kdrama. Drama ini justru Joe yang kasih tau saya, karena ceritanya tentang orang-orang yang terlibat dengan CTF (Capture The Flag).

Saya gak pernah ikutan CTF, tapi Joe beberapa tahun belakangan ini masuk dunia security berawal dari iseng-iseng ikut lomba CTF. Tapi ternyata film ini tidak ada level teknis CTF seperti yang diharapkan sebelumnya tapi lebih mirip seperti perlombaan main game online.

Awalnya nonton bareng Joe, kirain bakal seperti kdrama Phantom yang mana ada bagian teknis yang bisa dibahas Joe. Tapi astagaaaa jalan ceritanya lambat sekali dan cenderung gak masuk akal. Nanti saya akan tuliskan beberapa hal yang tidak masuk akalnya belakangan. Karena popularitas drama ini, saya jadi penasaran di mana bagusnya drama ini. Kebetulan lagi ga ada tontonan kdrama yang menarik, jadilah saya nerusin nonton cdrama ini dan menceritakan kalau ada bagian yang menarik ke Joe.

Jumlah episode drama ini relatif banyak dibandingkan kdrama, walau nontonnya disambil kerjain sesuatu dan sambil di skip-skip, tetap saja butuh waktu rada lama menyelesaikan drama 41 episode yang setiap episodenya sekitar 45 menit ini.

Sinopsis

Tokoh wanita seorang yang cerdas dan cantik. Di usia 20 tahun sudah ambil master degree di bidang komputer. Jago mrogram dan bahkan bisa membuat face recognition untuk sistem lalu lintas. Mendalami AI dan juga menjadi asisten dosen di kampusnya. Selain sebagai mahasiswa, dia juga menjadi penyanyi online yang cukup populer dengan nick name baby squid (mungkin ini makanya judulnya jadi go go squid!). Di akhir pekan dia membantu sepupunya menjaga warung internet (di sini pertemuan pertama dia dengan tokoh pria), sedangkan di hari kuliah dia tinggal di asrama mahasiswa.

Tokoh pria: jagoan CTF yang sebenarnya lahir dan besar di Norway, tapi karena cinta tanah air dia memilih menjadi warga negara Cina dan berusaha membuat Cina dikenal di dunia CTF. Impiannya membuat bendera Cina berkibar di kejuaraan CTF tingkat dunia. Karena satu dan lain hal, dia harus pensiun sebagai pemain CTF dan akhirnya di usia menjelang 30 tahun, dia memutuskan untuk mendirikan club CTF dan melatih generasi muda untuk menjadi pemain CTF.

Ceritanya klise: si cewek jatuh cinta pada pandangan pertama dengan si cowok. Dengan berbagai cara dia berusaha mendapatkan cara untuk mengontak si cowok. Si cowok orang yang fokus dengan usahanya untuk membuat tim CTF-nya menang. Cowok ini selain digambarkan dingin, juga agak kasar dan terang-terangan menolak si cewek.

Klise berikutnya: ternyata keluarga si cewek dan si cowok ini saling mengenal dan ada rencana menjodohkan si cowok dengan kakak sepupu si cewek, tapi ketemuannya di rumah si cewek. Dan ya, untuk menolak si kakak sepupu, tau-tau si cowok mengaku-aku kalau dia dan si cewek sudah berpacaran jadi gak bisa dengan si kakak sepupu. Tapi tentunya hubungannya gak mulus dan ditentang orangtua si cewek karena beda usia yang cukup jauh dan karena CTF itu dianggap cuma hobi main game dan bukan pekerjaan yang mempunyai masa depan.

Ini bukan drama asia pertama di mana si cewek ngejar-ngejar cowoknya duluan dan akhirnya cowok dingin jadi hangat (eh maksudnya jadi jatuh cinta juga dengan si cewek).

Bagusnya drama ini

Setelah bersabar dan berhasil menyelesaikan drama ini, akhirnya bisa juga melihat kenapa drama ini populer. Berikut ini kesimpulan subjektif:

  • mengajarkan mengenai memaafkan kesalahan sahabat dan move on untuk cita-cita bersama
  • menggambarkan kerjasama dari generasi muda untuk mewujudkan impiannya dan tak lupa membawa nama negara dan bangsa (nasionalis sekali).
  • berusaha mengenalkan CTF sebagai esports – walaupun menurut saya tetap aja drama ini gak menjelaskan dengan benar CTF itu bagaimana
  • promosi pariwisata di Cina, ada beberapa scene itu di tempat wisatanya dan melihatnya jadi pengen deh ke sana hehehe
  • promosi negeri Cina, film ini terasa sekali unsur nasionalismenya, misalnya pernyataan kalau di Cina sekarang semua hal bisa diakses melalui HP termasuk membayar apapun di manapun bisa dari HP pintar.
  • pemerannya sepertinya cukup terkenal di Cina (blom terlalu banyak nonton cdrama seperti kdrama jadi gak tau juga popularitas aktor dan aktris nya)

Kejanggalan dalam drama ini

Sebenarnya, niat utama dari tulisan ini mau nulis unek-unek soal kejanggalan yang banyak sekali dalam drama ini. Dan keanehannya itu ada dari episode pertama.

  • si cewek katanya cerdas, tapi kok di episode pertama kelakuannya gak kayak mahasiswa s2 yang cerdas, atau yang kerjanya cuma belajar doang. Malah keliatan aneh kayak anak baru gede ngejar-ngejar cowok. Di beberapa episode selanjutnya, baru deh diperlihatkan kalau si cewek ini cukup pintar.
  • si cowok katanya jago CTF, tapi menginstal aplikasi di HP atau memblokir pesan yang masuk dari user tertentu saja kok minta tolong sama anak-anak binaannya.
  • di drama ini orang yang bisa CTF digambarkan tidak selalu bisa mrogram, dan kalau pensiun dari CTF mereka ga punya kerjaan yang menjanjikan, padahal kalau tidak bisa mrogram sama sekali rasanya mereka gak akan bisa jadi jagoan CTF, seharusnya sebagai jagoan CTF mereka bisa bekerja menjadi pentester yang saat ini belum banyak orang yang bisa melakukannya dan masih banyak dibutuhkan.
  • perlombaan CTF ditunjukkan seperti perlombaan game online. Beberapa bagian yang ditunggu-tunggu seperti halnya finalnya malah gak ditunjukkan teknisnya sama sekali, mungkin yang terlibat dalam pembuatan film ini sudah kehabisan ide bagaimana menunjukkan perlombaan CTF
  • yang paling mengganggu dari drama ini adalah jalan cerita yang terlalu lambat dan kadang-kadang terasa kaku.

Kesimpulannya, drama ini bukan untuk melihat apa itu CTF atau bagaimana perlombaan CTF berlangsung. Drama ini ya seperti halnya drama bergenre romantis lainnya, kisah klise dengan meminjam orang-orang berlatar belakang CTF dan IT (tapi ceritanya gak IT sama sekali).

HITB PRO CTF 2019

Ini cerita khusus mengenai HITB CTF di Abu Dhabi, sedangkan cerita jalan-jalan saya tuliskan di posting lain. Dari websitenya acaranya, rencananya ada 20 tim tingkat dunia yang diundang, pemenang dari berbagai CTF lain di dunia tapi akhirnya hanya 19 team yang berkompetisi. Di akhir kami akhirnya peringkat 9 dari 19.

Tim PDKT yang lolos di HITB tercantum di CTF Time. Saya tidak akan bercerita detail tentang tim ini, silakan kunjungi website/sosmed/github masing-masing anggota teamnya: farisv, visat, wearemarching, zeroload. Sengaja saya link tidak ke linkedin langsung, supaya kalau di masa depan informasi profilenya ingin dianonimkan akan lebih mudah. Ada yang baru tingkat 3, dan sisanya belum lama lulus (tidak seperti saya yang sudah lebih 20 tahun lulus S1).

Lanjutkan membaca “HITB PRO CTF 2019”

Flare-On 5 (2018)

Ini sudah keempat kalinya saya mengikuti challenge tahunan Flare-On dari FireEye. Saya sudah pernah menuliskan tentang Flare-On ini di posting saya yang lain, tapi akan saya ulangi sedikit.

Flare-On adalah challenge reverse engineering, alias tantangan membongkar program. Bentuk Flare-On adalah challenge, semua yang selesai adalah pemenang. Ini ibaratnya seperti marathon, semua yang berhasil menyelesaikan disebut sebagai finisher. Ini berbeda dari CTF lain yang biasanya sifatnya adalah lomba (seperti lari Sprint) di mana yang duluan memecahkan adalah pemenangnya (contoh seperti ini adalah ketika saya menang hadiah ke Hong Kong dari reverse engineering). 

Hadiah Flare-On Tahun ini
Lanjutkan membaca “Flare-On 5 (2018)”

Liburan Songkran 2018

Songkran merupakan tahun baru Thailand, dan merupakan hari yang sangat dirayakan di Thailand, seperti Lebaran di Indonesia atau Natal di negara mayoritas Kristen.  Libur utama Songkran sendiri hanya 3 hari, tapi seperti Natal/Lebaran, biasanya kantor akan libur sekitar seminggu.

Selama 11 tahun di sini, kami lebih sering pulang ketika Songkran, karena selain libur panjang, polusi udara di Chiang Mai biasanya sedang buruk. Polusi ini dikarenakan pembakaran ladang dari Thailand (sedikit, kurang dari 200 titik api) dan dari negara sekitar (banyak, ribuan titik api). Tapi sesekali kami tinggal di Chiang Mai. Dan tahun ini kami tinggal di Chiang Mai.

Menurut cerita dari penduduk Chiang Mai, dulu perayaan utama Songkran hanyalah memercik air sebagai simbol pensucian dan menghapus nasib sial, tapi sekarang dirayakan dengan festival saling siram air (dengan ember dan pistol air). Sebagai anak kecil, Jonathan sangat menyukai perang air ini, dan tahun lalu dia kecewa karena harus pulang ke Indonesia di masa Songkran. Lanjutkan membaca “Liburan Songkran 2018”

Tantangan Flare On

Di posting ini saya ingin memperkenalkan kompetisi Flare On untuk para reverse engineer sekaligus mengajak ikutan buat yang belum ikutan. Flare On adalah tantangan dalam bentuk CTF (silakan baca tulisan saya ini untuk yang belum tahu apa itu CTF) khusus di bidang reverse engineering yang diadakan oleh Fireye. Tantangannya 6 minggu, semua peserta yang bisa menyelesaikan semua tantangan akan dianggap pemenang dan dapat hadiah. Ini bisa dibandingkan dengan lari Marathon (lama, butuh stamina, tingkat kesulitannya bisa sangat tinggi, semua yang selesai dianggap sebagai finisher), dan kebanyakan CTF lain bisa dibandingkan dengan lari sprint (biasanya hanya 2 hari, kesulitan soal dibatasi supaya bisa selesai dalam hitungan jam) .

Reverse Engineering (RE)

Saya sudah menulis soal pengenalan reverse engineering dan tulisan pengantar jika ingin memulai reverse engineering. Inti reverse engineering adalah: membongkar/memahami kode (terutama kode biner, tapi tidak selalu biner). Contoh kode biner yang perlu dipahami:

  • Software yang dibeli atau download (tanpa source code)
  • Malware
  • Kode exploit

Contoh penggunaan reverse engineering:

  • Software dari Hacking Team (untuk menghack orang, software ini banyak dibeli oleh beberapa pemerintah dunia) ternyata ada backdoornya.
  • Berbagai file yang kena ransomware berhasil didekrip karena ada kelemahan dalam enkripsinya, dan ini ditemukan dengan reverse engineering (dan tentunya ilmu kriptografi)
  • Malware yang sangat spesifik (misalnya yang digunakan untuk hacking Bank Sentral Bangladesh) harus dianalisis khusus, tidak akan ketemu oleh antivirus biasa
  • Malware yang tertarget (via email/web) untuk perusahaan tertentu juga perlu dianalisis secara khusus
  • Berbagai software legal ternyata menginstall rootkit (kasus terbaru saat ini di game Street Fighter)
  • Untuk melakukan pentesting secara benar untuk aplikasi mobile
  • Berbagai router dan benda IOT perlu direverse engineer untuk mengetahui cara kerjanya
  • Berbagai exploit disebarkan via halaman web (via Javascript yang diobfuscate, memanfaatkan kelamahan Flash/Java/IE, lalu mengandung kode biner berisi shell code)

Lanjutkan membaca “Tantangan Flare On”

Membuat Soal CTF

Setelah kemarin mengkritik mengenai soal CTF yang ngawur, saya ingin memberikan contoh soal CTF yang saya berikan di idsecconf. Harapan saya menulis ini adalah: supaya peserta CTF tahu apa yang saya pikirkan ketika membuat soal dan apa yang saya harapkan dari peserta.

Perlu diketahui bahwa saya menyumbangkan soal ini secara gratis, tidak ada imbalan apapun dari pihak idsecconf. Ini bukan mengiklankan idsecconf (buat yang tidak tahu: saya tinggal di Chiang Mai, Thailand, tidak ada kepentingan apapun dengan event apapun di Indonesia). Dan setelah membaca posting saya sebelumnya, Anda juga bisa membandingkan soal-soal ini dengan soal dari CTF internasional lainnya. Saya menuliskan ini untuk menunjukkan keterbukaan, saya tidak malu membuat soal ini, saya punya semangat berbagai ilmu.

Salah satu peserta telah mengirimkan writeupnya juga, sehingga Anda bisa melihat apakah jalan pikiran peserta sudah seperti yang saya harapkan: Cyber Security IPB dan Abdilah.

Tahun ini saya diminta agak mendadak untuk menyumbang soal CTF IDSECCONF. Karena mendadak, saya tidak mengeluarkan soal sulit. Soal yang sulit perlu ditest ulang untuk memastikan bisa berjalan dengan baik, dan perlu diuji oleh panitia lain. Soal-soal inipun sebenarnya sudah ada di komputer saya sejak lama.
Lanjutkan membaca “Membuat Soal CTF”