10th Wedding Anniversary

Sudah sepuluh tahun kami menikah. Artinya lebih dari saya sudah menjalani lebih dari seperempat hidup saya bersama Risna. Dihitung dari sejak pacaran, sudah lebih dari sepertiga hidup saya mengenal Risna.

Melihat perjuangan berbagai pasangan lain, kami bisa bilang bahwa kami bahagia dan kami bersyukur berbagai tantangan yang kami hadapi tidak terlalu berat dan tidak terlalu ringan. Kami melihat ada pasangan yang mendapat restu dengan mudah, dan ada yang harus menunggu 10 tahun (kami harus menunggu, tapi hanya 3 tahun), ada yang bisa dengan mudah mendapatkan anak, sementara yang lain harus menunggu belasan tahun (kami hanya menunggu 3 tahun).

Waktu melihat berbagai peristiwa yang muncul di berita atau wall facebook, rasanya dunia ini semakin suram dengan banyaknya kebencian yang terlihat. Kami senang bisa saling membantu dalam berbagai hal dan bercerita mengenai segala macam hal, dan kami memiliki pandangan yang sama berbagai hal sehingga kami tidak ikut menambah panas suasana media sosial.

Banyak hal terjadi sejak tahun lalu. Jonathan sekarang sudah masuk grade 1, Joshua sekarang sudah bisa berjalan. Kami mengunjungi kampung halaman saya di Sukoharjo. Jonathan sekarang ikut Tae Kwon Do dan sudah sabuk kuning (sebagian kisah sudah dituliskan di blog ini).

Kami merasa cukup dengan dua anak yang kami miliki dan kami berharap bisa sukses dalam mendidik dan membesarkan anak-anak kami, mempersiapkan mereka untuk masa depan.

Selamat Natal 2016 dan cerita kesibukan akhir tahun

Kami sekeluarga mengucapkan Selamat Natal untuk teman-teman yang merayakan. Di sini Natal bukan hari libur, tapi kebetulan tahun ini jatuh di hari Minggu, jadi tidak perlu ijin kerja. Saat ini saya sedang libur (sejak 28 Desember) dan Jonathan juga sedang libur sekolah. Seperti biasa, sebelum liburan banyak pekerjaan yang harus dibereskan, sehingga waktu ngoprek berkurang.

Di Akhir tahun, Jonathan juga sibuk, dan berarti orang tuanya juga sibuk. Seperti tahun lalu, ada perayaan Natal di sekolah Jonathan dan saya ikut datang, sekaligus penutupan semester ini. Berikutnya Jonathan perform di Aerial silk dan Piano di Night Safari. Baru 3 hari liburan sekolah, sudah ada 4 teman Jonathan yang berulang tahun.

Sampai saat ini saya masih meneruskan RHME (saat ini peringkat 11, tapi mungkin akan berubah naik/turun). Saya belajar banyak sekali dari CTF ini, dan juga sudah menuliskan tentang reverse engineering termasuk juga topik AVR walau belum lengkap di situs saya. Hardware yang jarang saya pakai (logic analyzer dan Oscilloscope) jadi terpakai.

Continue reading “Selamat Natal 2016 dan cerita kesibukan akhir tahun”

Cek security account FB di Android

Salah seorang teman saya HPnya pernah hilang dan sekarang di timelinenya jadi sering muncul hal yang tidak pantas. Kemungkinan besar yang memakai HP-nya masih mengakses FB-nya dan menyembunyikan aktivitas dari timelinenya. Karena panduan ini mungkin berguna untuk orang lain, jadi saya tuliskan saja di blog ini.

Pengecekan ini juga dilakukan di komputer ataupun iOS, tapi screen capture saya ini saya buat di Android. Silakan jika ada yang ingin membuatkan panduan buat pemula/awam dalam bentuk screenshot untuk platform lain.

Ini bukan panduan lengkap supaya Facebook Anda aman dari tangan jahil, tapi panduan awal untuk mengamankan dan mengecek jika Anda mengira ada yang mengakses account Anda. Mungkin lain kali akan saya buatkan panduan yang lebih lengkap.

Continue reading “Cek security account FB di Android”

Serba-serbi pentest

Saya belum terlalu lama melakukan pentest (penetration testing) tapi sudah mengamati ada berbagai jenis client. Saya juga mulai sering ditanya oleh orang yang mau melakukan pentesting: apa aja sih yang perlu dipentest? terus prosesnya biasanya bagaimana?

Secara umum pentest adalah menguji sistem komputer terhadap kelemahan security. Apa yang diuji tentunya bergantung pada sistem yang ada. Contoh: jika sistem hanya digunakan internal perusahaan, maka yang ditest hanya internal saja. Jika aplikasi bisa diakses publik via aplikasi mobile, maka aplikasi mobile juga perlu ditest.

zap

Apa yang ditest?

Pentest bisa dilakukan secara eksternal, artinya hanya dari akses website dan app saja, tidak masuk ke jaringan internal dan juga secara internal dengan datang ke perusahaan. Hal yang penting diidentifikasi adalah: apa asset penting yang perlu dilindungi dan sepenting apa assetnya, lalu bagaimana itu bisa diakses. Contoh: jika aplikasinya melibatkan pulsa atau voucher, kita perlu mengidentifikasi titik di mana isi pulsa bisa dilakukan, misalnya via website, via layanan partner, via aplikasi. Continue reading “Serba-serbi pentest”

Tantangan Flare On

Di posting ini saya ingin memperkenalkan kompetisi Flare On untuk para reverse engineer sekaligus mengajak ikutan buat yang belum ikutan. Flare On adalah tantangan dalam bentuk CTF (silakan baca tulisan saya ini untuk yang belum tahu apa itu CTF) khusus di bidang reverse engineering yang diadakan oleh Fireye. Tantangannya 6 minggu, semua peserta yang bisa menyelesaikan semua tantangan akan dianggap pemenang dan dapat hadiah. Ini bisa dibandingkan dengan lari Marathon (lama, butuh stamina, tingkat kesulitannya bisa sangat tinggi, semua yang selesai dianggap sebagai finisher), dan kebanyakan CTF lain bisa dibandingkan dengan lari sprint (biasanya hanya 2 hari, kesulitan soal dibatasi supaya bisa selesai dalam hitungan jam) .

Reverse Engineering (RE)

Saya sudah menulis soal pengenalan reverse engineering dan tulisan pengantar jika ingin memulai reverse engineering. Inti reverse engineering adalah: membongkar/memahami kode (terutama kode biner, tapi tidak selalu biner). Contoh kode biner yang perlu dipahami:

  • Software yang dibeli atau download (tanpa source code)
  • Malware
  • Kode exploit

Contoh penggunaan reverse engineering:

  • Software dari Hacking Team (untuk menghack orang, software ini banyak dibeli oleh beberapa pemerintah dunia) ternyata ada backdoornya.
  • Berbagai file yang kena ransomware berhasil didekrip karena ada kelemahan dalam enkripsinya, dan ini ditemukan dengan reverse engineering (dan tentunya ilmu kriptografi)
  • Malware yang sangat spesifik (misalnya yang digunakan untuk hacking Bank Sentral Bangladesh) harus dianalisis khusus, tidak akan ketemu oleh antivirus biasa
  • Malware yang tertarget (via email/web) untuk perusahaan tertentu juga perlu dianalisis secara khusus
  • Berbagai software legal ternyata menginstall rootkit (kasus terbaru saat ini di game Street Fighter)
  • Untuk melakukan pentesting secara benar untuk aplikasi mobile
  • Berbagai router dan benda IOT perlu direverse engineer untuk mengetahui cara kerjanya
  • Berbagai exploit disebarkan via halaman web (via Javascript yang diobfuscate, memanfaatkan kelamahan Flash/Java/IE, lalu mengandung kode biner berisi shell code)

Continue reading “Tantangan Flare On”

Mengenal ESP8266: SOC Wifi super murah dari China

Artikel ini adalah perkenalan SOC ESP8266, sebuah System On A Chip (SOC) berfitur WIFI yang sedang sangat populer. Salah satu penyebab kepopuleran ESP8266 untuk Internet Of Things (IOT) karena harga chipnya yang super murah: kurang dari 2 USD (sudah termasuk ongkos kirim dari China). Benda ini juga mudah diprogram menggunakan C, Python, Lua, Basic ataupun Wiring (dengan IDE Arduino).

Secara praktis, kemampuan IP networking akan memungkinkan kita membuat benda yang bisa dikendalikan dari Internet (contohnya: mematikan atau menyalakan sesuatu), mengirimkan data ke Internet (mengirimkan pembacaan sensor), atau memanfaatkan data dari Internet (menampilkan cuaca, menampilkan jam akurat saat ini).

Tahun 2014, sebuah perusahaan China merilis chip WIFI ESP8266, chip ini awalnya hanya dijual dalam bentuk modul (bernama ESP-01) agar sebuah microcontroller (misalnya Arduino) bisa mengakses WIFI melalui serial port dengan menggunakan AT Command Hayes. Pada saat itu chip ini dokumentasinya minim sekali dalam bahasa Inggris, tapi satu hal yang pasti adalah: chip ini sangat murah. Karena sangat murah dan menarik, maka ada yang berusaha menerjemahkan datasheet lengkapnya.

20160131_155419
ESP-01

Continue reading “Mengenal ESP8266: SOC Wifi super murah dari China”

Password

Password adalah metode autentikasi yang paling umum. Password memiliki banyak kelebihan, tapi juga banyak kekurangan. Contoh kelebihannya: sangat sederhana, mudah dishare, tidak butuh hardware khusus. Sementara itu kelemahan password: mudah dishare artinya bisa disalin dengan mudah, bisa dibruteforce, bisa terjadi password reuse, dsb.

Saat ini masalah yang sangat umum adalah ini: orang memakai password yang sama di berbagai layanan. Jika satu layanan jebol, dan password Anda ketahuan untuk semua situs lain (bisa dengan bruteforce/dictionary attack, bisa juga situs itu menyimpan plaintext password). Banyak situs kecil yang passwordnya bocor (atau mungkin bahkan pemilik situsnya jahat), tapi jangan kira situs besar tidak bisa bocor.

Selain kebocoran dari berbagai situs, password juga kadang bisa didapatkan dari mengendus (sniff) paket jaringan. Password juga bisa dengan mudah didapat dari menggunakan keylogger (program atau hardware yang menyimpan setiap tombol yang Anda tekan).

Ada berbagai solusi yang ditawarkan untuk masalah password ini, dari mulai tidak menyimpan password, menyimpan password, mengganti atau menambahkan autentikasi lain.

Continue reading “Password”