Hacking dan Bounty

Beberapa hacker white hat sekarang ini bisa berkonsentrasi di situs-situs yang memang menyediakan bounty dan bisa hidup dari itu. Sementara di sisi lain ada banyak hacker black hat yang menjebol berbagai situs (yang biasanya tidak menyediakan bounty, atau menyediakan bounty kecil) lalu menjual jutaan account yang berhasil diretas.

Ada juga mereka yang di tengah-tengah. Kadang-kadang iseng berusaha menjebol situs (yang tidak punya program bounty khusus) lalu jika ketemu bug melaporkan ke pemilik situsnya. Situs ini bisa ditemukan dari banyak cara, misalnya:

  • hackernya memang memakai situs ini tiap hari
  • hackernya iseng mencari dengan google dork atau Shodan
  • aplikasinya sedang populer (karena masuk situs berita)
  • sedang menguji sebuah situs yang ternyata berhubungan dengan situs lain

Pemilik Situs

Dari sudut pandang pemilik situs, mungkin akan berat memberikan bounty: kenapa kamu berusaha masuk ke situs saya? siapa yang suruh? saya jadi harus mengeluarkan uang yang harusnya nggak keluar. Dari sudut pandang lain: ini kebetulan yang menemukan bug masih mau lapor, tidak menjual account ke dark web, pemilik situs tidak kehilangan pelanggan.

Analoginya mungkin seperti ketinggalan dompet (salah Anda, kenapa tidak waspada, atau dalam kasus website: salah Anda kenapa tidak aman?). Jika ada yang menemukan dan semuanya kembali utuh, apakah Anda akan memberikan reward pada yang menemukan?

Sebagai catatan: tidak semua situs memberikan reward berupa uang bagi yang menemukan bug di situsnya/appnya. Penghargaan paling sederhana adalah: hall of fame, berupa daftar “orang-orang yang telah berkontribusi pada keamanan situs ini”. Alternatif hall of fame adalah sertifikat kertas. Berikutnya adalah swag: barang-barang kecil seperti stiker, kaos, dsb. Sebagian memberikan sesuatu yang bernilai seperti uang misalnya voucher belanja.

Penemu Bug

Di sisi lain: jika Anda adalah orang yang menemukan dompet, apakah akan memaksa minta reward? Mungkin sebagian merasa tidak perlu dan ikhlas 100%, sebagian lagi ikhlas tapi agak menggerutu: orang kayak (bank, payment gateway, dsb) kok pelit, sebagian merasa minimal perlu diberi ongkos pulang. Lalu ada juga yang sebagian benar-benar memaksa minta uang (kalau ini kategorinya sudah masuk black hat hacker).

Jika kita benar-benar taat hukum: Mencari bug di situs yang tidak menyediakan bounty sebenarnya melanggar hukum. Tapi di sisi lain: jika situsnya memiliki keamanan yang lemah dan tidak ada white hat hacker yang mencoba masuk karena takut hukum, maka pasti akan ada hacker black hat yang akan masuk (jika security lemah, maka hanya masalah waktu). Dan mereka pasti akan berusaha mencari keuntungan, dengan banyak cara:

  • memeras
  • menjual account yang bocor
  • memakai hasil hack (misalnya account) untuk masuk lebih dalam ke sistem lain (karena biasanya passwordnya sama)

Mengenai Ilmu

Jika menemukan bug dan diberi bounty saya bersyukur, jika tidak pun tidak apa-apa. Saya hanya akan menjadikan sebagai tulisan, minimal ada gunanya: orang lain tahu supaya tidak membuat bug yang sama. Orang security juga jadi belajar bug apa saja yang ada.

Sudah banyak contoh tulisan di mana saya tidak dibayar sama sekali dan saya tuliskan ilmunya. Beberapa contohnya:

Para pemilik situs tersebut tidak keberatan namanya saya sebutkan dan bugnya memang sudah diperbaiki.

Penutup

Lalu bagaimana dengan situs tertentu yang tidak mau dipublish, tapi juga tidak memberi bounty? Saya tidak bisa memaksa mereka memberi bounty atau memberi ijin menerbitkan namanya. Yang bisa saya lakukan:

  • Membuat posting anonim (contohnya seperti ini)
  • Lain kali jika ada hacker lain yang bertanya ke saya mengenai situs tersebut, saya akan menjawab jujur: websitenya nggak ngasih bounty, jadi terserah aja mau ngapain

Biasanya saya akan menjauhi situs-situs seperti itu di lain waktu. Contohnya: saya pernah belanja komponen elektronik, ternyata data CC bisa bocor. Saya beritahu ke pemilik situs, lalu dipatch dan tidak ada reward sama sekali. Sekarang saya tidak pernah lagi belanja di situ, dan jika ada yang bertanya, saya akan menyarankan untuk *tidak belanja di situ*.

Sama halnya dengan bank atau layanan lain. Jika memang pengalaman saya buruk, saya akan jujur mengatakan: IT-nya bank X nggak bagus. Jika ada yang lain yang menemukan bug yang lain, ya terserah mereka mau ngapain.

Printer

Salah satu benda elektronik yang paling menyebalkan adalah: printer. Sejak sampai sini kami sudah membeli beberapa jenis printer, baik inkjet maupun laserjet. Semuanya akhirnya sudah rusak: Ada yang feedernya error (tidak bisa menarik kertas), ada yang mengeluarkan asap (ini laser printer), ada yang headnya rusak, dsb.

Membetulkan printer cukup merepotkan (berat membawa-bawa printer), apalagi kalau sudah di luar masa garansi. Plus harga printer baru lebih murah dari ongkos reparasi atau membeli head baru. Bahkan pada kebanyakan printer: harga tinta/tonernya beberapa kali lipat harga printernya.

Kami tidak terlalu sering memakai printer, tapi kalau sedang butuh, perlu mencetak agak banyak. Printer laser sebenarnya cukup enak, tapi entah kenapa selalu rusak setelah masa garansi habis. Printer inkjet lebih ekonomis, tapi masalah dengan printer inkjet adalah: biasanya tintanya menggumpal jika tidak sering dipakai.

Sekarang printer saat ini adalah Canon PIXMA G2000 dengan sistem isi ulang (sistemnya ini resmi dari sana, bukan tambahan). Sudah pernah rusak dua kali tapi masih dalam masa garansi. Kali pertama rusak karena saya menaruh buku yang berat di atas printer sehingga bagian scanner-nya error, dan karena scanner error, printernya nggak mau startup sama sekali. Menurut saya designnya aneh, tapi mungkin supaya orang tidak kecewa karena tidak bisa memakai fitur fotokopinya. Kerusakan kedua: tintanya tidak bisa keluar sama sekali (sudah dicoba deep cleaning).

Karena memakai tinta isi ulang, biaya tintanya cukup ekonomis. Tapi tidak seluruh tinta ini bisa terpakai optimal, karena tetap bisa menggumpal jika lama tidak dipakai dan harus pake nozzle cleaning (yang menghabiskan tinta) supaya bisa muncul lagi warna yang hilang.

Terpikir menulis ini karena pagi ini masalah yang sama saya alami lagi: tinta hitam bisa normal (karena minggu lalu saya sempat memprint banyak paper dalam hitam putih), tapi warnanya tidak muncul dengan benar. Akhirnya harus menghabiskan waktu melakukan prosedur deep cleaning supaya bisa lagi.

Sebelum nozzle cleaning, warna magenta tidak muncul. Setelah cleaning warnanya bisa muncul lagi

Sekarang ini saya berusaha untuk seminimal mungkin memakai kertas, tapi tetap saja ada banyak urusan administrasi yang butuh kertas. Craft anak-anak (seperti mewarnai untuk Joshua) juga butuh kertas (sangat berbeda mewarnai di iPad dengan di kertas).

Email Alias

Sejak tahun lalu saya mulai mendaftar ke berbagai layanan dengan menggunakan salah satu domain saya sendiri menggunakan fitur email Gandi (tidak saya sebut domain yang mana agar tidak menambah spam). Dengan fitur gandi, saya bisa memiliki alias yang tak terbatas, misalnya acc*@example.com (artinya semua yang diawali dengan acc), yohanes*@example.com (semua yang diawali yohanes), dsb.

Jadi kalau misalnya saya mendaftar ke layanan baru, saya bisa langsung memakai yohanes<namalayanan>@example.com. Ini memiliki banyak kelebihan:

  • Jika ada kebocoran user/password, saya tau persis situs mana yang kebocoran
  • Jika ada situs bandel (mengirim spam), saya bisa memblokir email dari situs itu saja
  • Jika ada yang berusaha mengambil alih account saya, mereka harus menebak juga email mana yang saya pakai

Dalam hal menebak account: jika saya memakai selalu prefix yang sama (misalnya prefix acc, jadi ‘yohanesgojek’, ‘yohanesgrab’ dsb), maka jika ada ornag yang menjebol lebih dari satu situs bisa melihat polanya. Supaya aman, saya memakai beberapa prefix tergantung seberapa penting situsnya. Untuk situs super penting (misalnya Amazon), saya memakai alias yang benar-benar berbeda dari yang lain.

Sejauh ini saya belum menemukan masalah dengan pendekatan ini. Sejauh ini Gandi juga masih lancar sehingga tidak pernah kesulitan mengakses email ketika dibutuhkan. Sekarang ini saya sudah menemukan beberapa layanan yang bandel dan mengirim spam kepada saya. Mungkin lain kali akan saya tulis pelakunya di posting lain agar mereka jera.

Manfaat NgeBlog

Saya masih ingat pertama kali teman saya mengenalkan blog ke saya, saya pikir: apaan itu blog, terus waktu dijelasin yang kepikiran malahan: lah ngapain nulis diary dibaca semua orang? Tapi ya, saya ikut-ikutan aja bikin blog gratisan di blogspot. Ternyata karena banyak temen yang juga ikut-ikutan ngeblog, rasanya ngeblog itu cukup fun, bisa punya bacaan kalau lagi bengong, atau nulis unek-unek tentang orang secara anonim tanpa peduli siapa yang baca. Ya waktu awal ngeblog, kadang-kadang post saya cuma beberapa kalimat, yang kalau saya baca ulang lagi, sangkin anonimnya saya ga ngerti dulu itu kenapa saya nulis begitu. Kenapa anonim? karena saya tau kita gak boleh sembarangan menulis di internet. Apa yang kita tulis akan selalu ada arsipnya, dan bisa jadi boomerang kalau gak hati-hati.

Awal ngeblog itu, ikut-ikutan teman blogger sibuk pilih-pilih template design blog. Berikutnya cari banyak teman blogger untuk dibaca-baca tulisannya dan saling mengunjungi dan berkomentar. Lalu ketika semua orang beralih ke sosial media, saya jadi mengabaikan menulis di blog karena semuanya akhirnya bisa dituliskan sebagai status beberapa kalimat saja di FB. Oh ya, sebelum aktif di FB, sebenarnya pernah juga daftar blog di friendster, untungnya hanya sedikit menulis di sana, karena sekarang tulisan itu hilang. Gak terlalu penting juga sih, makanya ga saya back up.

Banyak teman-teman saya juga beralih dari blogspot ke Friendster, Multiply lalu FB Notes. Lalu link blog mereka gak diurusin lagi. Kemarin saya lagi iseng, baca ulang beberapa post pertama di blog ini. Lihat beberapa komentar teman yang kenal dari hasil blogwalking. Blognya sekarang ada yang sudah ditutup akses publiknya dan ada juga yang dibiarkan begitu saja dan update terakhir udah 10 tahun lalu kali hehehe. Jadi dulu ngeblog itu bisa untuk menambah teman dan kurang lebih seperti sosial media sekarang ini. Tapi banyak juga teman-teman yang mengeluh tulisannya tidak sempat diarsipkan dan hilang begitu saja waktu layanan media sosial seperti friendster dan multiply tutup.

Manfaat yang paling dirasakan dari ngeblog adalah: waktu kenalan sama Joe, hal yang pertama bikin kami nyambung itu karena sama-sama nulis blog. Dan tentunya, walau gak bilang-bilang, Joe baca semua tulisan saya dan saya juga baca semua tulisan dia hehehe. Untungnya, tulisan di blog Joe dulu gak melulu teknis hehehe, jadi bisa mengenal sedikit banyak pandangan dia soal kehidupan. Itulah kenapa dulu setelah pacaran, kami bikin blog ini untuk diisi berdua. Tulisannya ya tetap aja kayak nulis di blog masing-masing, tapi saya jadi lebih mudah gak ngurusin design template, hosting, domain dan sebagainya. Terima beres aja dan tinggal berbagi cerita dan info.

Seperti ditulis oleh Joe di posting sebelumnya, blog lama kami sudah kami tutup, tapi arsipnya masih ada dan cuma kami yang bisa baca. Selain blog ini, kami juga masih membuat beberapa blog yang diisi masing-masing. Tadinya sih niatnya supaya blog ini isinya gak terlalu gado-gado. Tapi sekarang kami memutuskan mengisi blog ini saja dan kasih kategori tulisan sesuai dengan topik yang ditulis. Jadi di sini ada cerita tentang kami, homeschooling anak-anak, seputar Chiang Mai, seputar sosmed, unek-unek kami dan juga tulisan teknis Joe seputar dunia pemrograman dan security. Mungkin nanti kalau saya kembali menekuni hobi main benang yang sudah lama ditinggalkan, topiknya akan nambah di sini hehehe.

Manfaat lain dari ngeblog dengan host sendiri ini, semua tulisan kami tidak hilang dan tetap ada arsipnya. Membaca tulisan lama kadang-kadang bisa membantu mengingat timeline berbagai peristiwa. Memang gak semua hal kami tuliskan di sini, tapi kalau mau mengecek kapan saja kami pulang ke Indonesia dalam 10 tahun terakhir dan siapa saja yang kami temui waktu mudik, kemungkinan besar semuanya ada dalam blog ini. Kalau kami tetap bisa konsisten mengisi blog ini, suatu hari nanti Jonathan dan Joshua bisa membaca apa saja yang pernah kami tuliskan di sini.

Jadi, jangan heran kalau saya makin jarang update FB. Sekarang ini fokusnya mau nulis di blog saja dan sesekali membagikan tulisan di sini ke FB. Dan buat kamu yang lagi mikir-mikir mau blog gratisan atau berbayar, kalau selama ini memang sudah konsisten ngeblog yang gratisan, ya jangan ragu bayar, jaman sekarang domain dan hosting gak mahal kok setahunnya dibandingkan isi pulsa buat paket internet hehehe. Yuk mulai menulis di blog dengan hosting sendiri, supaya tulisan-tulisan kita gak hilang begitu saja.

Usia blog ini vs media sosial

Blog berdua ini dimulai April 2004 setelah masing-masing kami dulu punya blog sendiri. Blog ini sudah lebih panjang umurnya dibandingkan beberapa media sosial yang pernah ada:

  • Blog ini dimulai setelah Friendster (2002) ada, dan sekarang sudah Friendster sudah tutup total.
  • Blog ini dimulai setelah Myspace yang sampai saat ini masih buka tapi sudah ditinggalkan orang
  • Blog ini dimulai berbarengan dengan hi5 yang masih ada dan juga sudah ditinggalkan orang
  • Multiply dimulai sebulan sebelum blog ini, sempat jadi besar dan terkenal di Indonesia dan sudah tutup total sejak 2015
  • Google+ dimulai tahun 2011 dan akan tutup tahun ini (2019) untuk umum
  • Facebook didirikan 2002, tapi baru dibuka umum tahun 2006 dan masih cukup berjaya sekarang ini
  • Orkut, didirikan oleh Google pada Januari 2004 dan tutup pada 2014
  • Twitter dimulai sejak 2006 (setelah blog ini), dan masih berjaya karena sejak 2018 akhirnya tidak lagi merugi tapi memiliki laba.

Dulu kami sempat iseng juga posting beberapa tulisan blog di Friendster dan Multiply, dan sekarang postingnya sudah hilang semuanya. Saya bersyukur memiliki blog ini karena semua posting lama masih bisa diakses.

Saat ini yang masih sangat berjaya adalah Facebook, tapi untuk pertama kalinya sejak Facebook ada, penggunaannya menurun di 2018. Menurut sebagian analis, para user ini hanya berpindah saja ke instagram (yang dimiliki Facebook, Inc.). Di masa depan tidak dijamin Facebook, Inc. (perusahaan) akan tetap mempertahankan Facebook (produk/website). Mungkin mereka akan berinvestasi lebih banyak ke Instagram atau produk mereka yang lain, dan orang-orang akan meninggalkan Facebook (walau akhirnya beralih ke produk lain milik Facebook, Inc. juga)

Sebagian orang menggunakan media sosial sekedar untuk menjaga kontak dengan teman-teman, ada yang berjualan, sebagian untuk berbagai ilmu, sebagian untuk politik, untuk catatan kehidupan dan berbagai kombinasi hal-hal tersebut.

Blog ini dihosting sendiri, dimulai dari shared hosting sampai sekarang memakai docker di dedicated server. Sebagian isi blog ini dulu bergantung pada situs lain, sebagian foto dihost di flickr dan tempat lain dan ternyata itu menimbulkan masalah. Sekarang ini saya sedang melakukan cleanup agar tidak lagi bergantung pada layanan eksternal yang mungkin akan mati di masa depan.

Harapan kami, kami akan tetap bisa ngeblog di blog ini sampai kami tua. Dan semoga juga nanti ada anak cucu kami yang masih mau memelihara blog ini sampai jauh ke masa depan nanti.

Facebook VS Blog

Nggak terasa udah beberapa bulan jadi rajin nulis blog sejak ikutan tantangan OneDayOnePost tahun lalu. Blog yang tadinya sekian lama gak diisi, tiba-tiba jadi diupdate setiap hari. Misi ikutan ODOP yang sekarang menjadi Sehari Satu Tulisan bisa dibilang cukup berhasil. Ada hari-hari di mana tetap gak punya ide mau nulis apa, karena rata-rata isi tulisan saya umumnya cerita keseharian saja. Idealisme menuliskan sesuatu harus secara lengkap panjang lebar dilengkapi gambar juga udah hilang. Sayangnya, sejauh ini tetap belum bisa menemukan waktu rutin untuk menulis.

Hari ini hari terakhir bulan ke-2 tahun 2019, gak terasa sejak rajin ngeblog saya jadi jarang update status di FB. Teorinya, setiap ngeblog tulisannya saya post di FB, tapi kadang saya pikir, ah gak usah dishare, nanti orang-orang bosan baca tulisan saya hehehe. Padahal cerita di blog ini bisa lebih lengkap dibanding status FB saya yang jarang banget cerita panjang lebar.

Dulu, salah satu alasan kenapa jadi jarang ngeblog adalah karena adanya FB. Pasang status di FB itu bisa singkat, cukup 1 foto atau tanpa foto dan 1 paragraph, kalau di blog cuma 1 paragraph rasanya aneh, padahal ya gak ada juga larangan nulis blog cuma 1 paragraph.

Nulis status di FB itu biasanya rasanya lebih “aman” karena pembacanya bisa dibatasi, yang komen juga bisa dibatasi hanya teman kita. Nulis posting di blog begini, saya gak tau siapa saja yang mampir ke sini karena jarang ada yang ninggalin jejak, kadang yang berusaha ninggalin jejak malahan spam doang (untungnya blog kami udah ada mekanisme menyaring komen-komen spam).

Kadang-kadang tapi merasa bersalah juga, ada yang komen di blog tapi gak saya balas karena notifikasi komennya gak saya set dikirim ke e-mail hehehe. Mungkin ini juga yang bikin orang-orang malas ninggalin komen (selain mungkin gak tau mau komen apa karena cerita saya sering random).

Seperti tulisan random lainnya, sepertinya tulisan ini cukup sampai di sini sebelum tambah random lagi. Oh ya, kalau ada yang rajin ngunjungi blog ini dan bingung kenapa tulisannya selang seling antara tulisan random dan topik teknis, ya jangan heran karena blog ini yang ngisi 2 orang. Joe lebih sering nulis soal teknis walau kadang-kadang dia juga nulis hal-hal random, tapi tulisan saya lebih banyak randomnnya hahaha.

Niat belajar

Saya baru membaca sebuah tulisan di Medium tentang seorang pemuda dari Nigeria yang jadi programmer startup. Hal yang sangat menarik adalah niat pemuda tersebut untuk belajar memprogram, dia belajar memprogram dengan menggunakan HP J2ME. Bukan HP Android, tapi HP J2ME jaman dulu, yang bukan QWERTY. Ini artikelnya:

https://medium.freecodecamp.org/how-i-went-from-programming-with-a-feature-phone-to-working-for-an-mit-startup-40ca3be4fa0f

Dia tidak punya laptop, hanya sesekali pergi ke rental komputer. Dia belajar HTML, JS, dan bahkan PHP di HP tersebut. Bahkan dia belajar membuat situs “saingan facebook” (yang gagal seperti banyak pesaing facebook lain). Kalau dia hanya punya HP, terus bagaimana caranya untuk melihat hasil programnya di desktop? dia meminta temannya yang punya PC untuk melihat hasilnya di PC dan mengirimkan gambarnya ke dia.

Saya sangat mengagumi ketekunannya belajar. Saya merasa dulu perjuangan saya belajar komputer tidak terlalu mudah, tapi tidak ada apa-apanya dibandingkan orang tersebut. Hal yang sangat memudahkan saya waktu itu adalah: saya diterima di Informatika ITB. Ketika saya masuk kuliah, sudah ada Internet yang bisa diakses kapan saja di kampus (sampai Jam lab tutup), lalu saya teruskan sampai malam dengan menyewa internet di perpustakaan ITB (sampai “nakal” mengakali sistem billingnya).

Sekarang ini untuk belajar IT tidak sesulit 10 atau 20 tahun yang lalu. Harga komputer sekarang sudah tidak terlalu mahal. Tapi jika desktop masih terasa berat, masih ada beberapa cara alternatif. Memang tidak ada cara yang amat sangat murah, tapi dibandingkan dengan beberapa puluh tahun yang lalu di mana harga komputer setara gaji minimum beberapa bulan, sekarang HP murah atau Single Board Computer bisa didapatkan kurang dari 1/2 upah minimum regional di berbagai tempat.

Jika hanya punya HP Android maka itu sudah cukup untuk banyak hal. Harga HP Android termurah hanya ratusan ribu rupiah. Bahkan di sini pernah saya dapat promosi HP Android RAM 512 MB ROM 4GB dengan harga 400 baht, atau sekitar 180 ribu. HP Android sudah bisa dipakai mengetik dengan keyboard virtual QWERTY. Jika tidak nyaman mengetik banyak, bisa membeli keyboard USB dan dicolok ke Android dengan menggunakan konverter USB OTG (harganya sekitar 0.4 USD di AliExpress atau sekitar 6500 rupiah)

Tentunya jika ada uang lebih, tablet Android akan lebih enak dilihat karena ukurannya lebih besar. Bahkan tablet Windows dengan memori 2GB bisa didapatkan di AliExpress dengan harga kurang dari 100 USD. Dengan adaptor USB OTG, benda semacam itu bisa memakai keyboard biasa.

Dengan konektor micro USB OTG ini, HP Android bisa mengakses USB disk. keyboard, dan mouse.

Jika ada TV di rumah yang memiliki konektor HDMI (kebanyakan TV sejak 10 tahun yang lalu punya konektor ini), maka itu bisa dipakai sebagai monitor untuk Single Board Computer seperti Raspberry Pi (~35 USD), atau yang lain, misalnya Orange Pi One (~15 USD sudah termasuk ongkos kirim).

Asalkan bisa menjalankan browser modern (dalam arti: memori dan prosessor cukup baik), laptop lama sekalipun bisa dipakai untuk development. Saat ini ada sangat banyak layanan gratis online untuk belajar dan bahkan kita bisa mengcompile dan menjalankan kode secara online. Contoh situs semacam ini adalah ideone.

Tentunya selain hardware Anda akan butuh materi belajar. Saat ini sudah ada banyak sekali situs gratis untuk belajar: Coursera, EDX, dsb. Banyak juga materi spesifik dari berbagai perusahaan, misalnya Google punya materi belajar Android, AI, dsb. Perusahaan lain pun serupa, Microsoft punya materi belajar berbagai teknologi Microsoft. Saat ini semua tinggal digoogle. Nggak terlalu bisa bahasa Inggris? ada banyak aplikasi, video (youtube dan situs lain) dan website gratis yang bisa dipakai untuk belajar.

Inti artikel ini adalah: jika memang ada niat untuk belajar, ada banyak cara untuk mencapainya. Sekarang ini belajar IT tidak sesulit yang dulu. Jadi bagaimanapun kondisi Anda saat ini, tetaplah semangat.