Insiden Google Play: CC Niaga dicharge 100x lipat

Cerita ini tentang kejadian yang saya alami dua hari lalu: membeli koin game seharga 5 ribu rupiah di Google Play tapi tercharge 500 ribu rupiah di CC Niaga (5 transaksi, jadi 2.5 juta rupiah). Masalahnya bisa diselesaikan setelah menelpon dan juga membatalkan transaksi dari Google Play. Nah sekarang cerita lengkapnya.

Saya cukup jarang membeli koin game dari Google Play. Pernah membeli agak banyak karena pernah dapet voucher Google Play, tapi dalam kasus tersebut tidak ada masalah, karena tidak terhubung ke kartu kredit. Koin yang saya beli adalah untuk game Pokemon Go dari perusahaan Niantic.

Niantic memiliki sistem pricing yang aneh: akan lebih murah membeli 100 koin berkali-kali dibandingkan langsung mengeluarkan uang banyak. Perhatikan gambar ini:

  • 100 Pokecoin 5 ribu rupiah
  • 550 Pokecoin 75 ribu rupiah

Sedangkan jika saya membeli 100 pokecoin x 6 = 600 pokecoin, dengan hanya 5 rb x 6 = 30 ribu rupiah. Ini saya jelaskan supaya bisa dimengerti alasan kenapa saya perlu membeli berkali-kali. Saya memilih menggunakan account indonesia, karena dengan account Thailand, harga koin menjadi hampir 2x lipat (harga 100 pokeoin 5000 rupiah menjadi 20 baht atau 9200 rupiah).

Perhatikan juga: tidak ada item yang harganya tepat 500 ribu rupiah, ada yang lebih dan ada yang kurang, tapi tidak ada yang tepat 500 ribu rupiah. Yang paling dekat adalah 589 ribu, dan di bawahnya 299 ribu. Jadi tidak mungkin saya salah beli/salah tekan yang hasilnya 500 ribu rupiah.

Saya berencana membeli 14 kali (1400 koin), totalnya seharusnya 70 ribu rupiah. Pembelian pertama sampai kelima berhasil, tapi ketika yang keenam saya dapat pesan: kartu ditolak. Saya pikir: hmm mungkin ada fraud detection. Mungkin karena ada banyak pembelian berulang dalam waktu singkat, jadi kartunya ditolak.

Saya teringat lagi bahwa saya masih punya pulsa XL karena dulu pernah dapat dari menemukan bug di situs isi pulsa (bug sudah dilaporkan dan dapat reward). Dan ternyata dengan account Google Indonesia saya bisa membeli memakai pulsa XL. Dan saya teruskan pembeliannya dengan XL, 9 pembelian berikutnya berhasil.

Saya mendapat notifikasi (14 email) dari Google via email. Semua sesuai yang diharapkan. Perhatikan: 100 koin dengan harga 5000 rupiah. Total 5000 rupiah.

Tapi beberapa jam kemudian saya dapat SMS Horror. Saya bukan dicharge 5 ribu rupiah, tapi 500 ribu rupiah, per transaksi. Meski hanya ada 3 SMS, tapi CS niaga memastikan bahwa jumlah transaksinya 5, bukan 3.

Sejujurnya, walau sering dapat SMS notifikasi tapi sering kali tidak saya perhatikan seksama karena biasanya bank selalu benar. Asalkan saya merasa memang melakukan transaksi, ya notifikasinya pasti benar. Tapi untungnya kali ini saya perhatikan dengan seksama jumlah nolnya.

Pikiran pertama saya adalah: mungkin sistem notifikasinya salah. Saya cek saldo kartu kredit online: benar, semua limit kartu kredit saya habis. Untungnya limit kartu saya ini sangat rendah (< 3 juta rupiah), kartu ini lebih sering saya pakai untuk pentesting.

Berikutnya: saya telepon ke Niaga. Tips: lihat SMS dengan seksama, ada nomornya di situ. Saya sempat mencoba +622114041 (yang tercantum di web niaga) tapi selalu gagal. Konyolnya, saya sempat salah tekan bukan 14041, tapi 14045 dan nyasar ke McD.

  • Memakai 006/001, dia langsung +622114041 tidak bisa dari Thailand
  • Memakai Skype bisa, tapi ketika mulai berbicara dengan CS, tiba-tiba audionya beralih ke call orang lain (sepertinya bug Skype, saya coba 2x hasilnya sama)

Saya menghubungi CS karena ingin benar-benar yakin bahwa transaksinya 500 ribu rupiah, dan bukan kesalahan di sistem notifikasi dan web CIMB Niaga. Jawaban CS adalah: benar transaksinya sebesar itu, coba kirim bukti-bukti ke [email protected]

Sebelum mengirimkan bukti, saya segera terpikir untuk segera membatalkan transaksi di Google Play. Sayangnya di Google Play opsi alasan yang ada hanya sangat sedikit. Sebenarnya tidak ada alasan yang cocok dengan masalah saya. Tidak ada cara mudah menghubungi Google, jadi saya pilih alasan apa saja. Empat transaksi pertama berhasil dibatalkan, tapi yang kelima gagal.

Akhirnya saya kirim bukti-bukti ke Niaga dan segera dibalas dengan meminta nomor kartu saya. Sebenarnya saya merasa kurang nyaman dan aman mengirimkan nomor CC via email (karena pada dasarnya email itu tidak aman), tapi karena limitnya sangat rendah, ya sudah lah.

Hari ini saya belum mendapat kabar resmi dari Niaga (katanya memang akan dihubungi dalam 3 hari, jadi masih wajar). Tadi saya cek online semua saldo kartu kredit sudah kembali normal, jadi saya putuskan untuk menuliskan ceritanya. Sampai saat ini saya tidak tahu salah siapa ini, dan apakah banyak yang terpengaruh. Kalau Anda belum lama ini berbelanja di Google Play dengan kartu kredit, coba cek tagihannya.

Penutup

Siapa saja bisa menjadi korban “sial” sistem komputer. Setiap sistem bisa bermasalah, atau dalam kasus saya dua sistem yang berhubungan bisa memiliki bug. Sekarang saya selalu berusaha memiliki backup untuk berbagai hal yang sifatnya terkomputerisasi, misalnya:

  • memiliki dua rekening bank, masing-masing memiliki kartu ATM
  • memiliki dua nomor telepon (dan tetap memelihara nomor Indonesia andaikan ada masalah)
  • memiliki backup di cloud provider terpisah

Saya bersyukur karena banyak hal:

  • Masalahnya bisa diselesaikan dengan cepat
  • Kartu yang saya pakai memiliki limit yang rendah sehingga gagal di transaksi ke-5. Andaikan limitnya tinggi, saya akan tercharge 7 juta rupiah.
  • Tidak sedang butuh memakai kartunya segera

Bisa dibayangkan betapa sedihnya kalau gara-gara game, kartu terblokir, lalu butuh itu untuk membayar tagihan penting.

Tulisan ini sekaligus juga sebagai pengingat: periksalah berbagai SMS dan Email notifikasi yang masuk dari Bank.

Cerita hacking dari masa lalu

Sebagian teman angkatan di Informatika ITB tahu kalau saya dan Deny dulu hampir di-DO karena “ngehack” kampus, tapi cerita detailnya belum pernah saya tuliskan. Nah kali ini dengan persetujuan dan encouragement dari Deny, Tintin, dan Okta saya akan tuliskan ceritanya. Karena ini cerita lama (lebih dari 20 tahun yang lalu), saya akan banyak memberikan latar belakang cerita.

Cerita ini sudah sangat lama, sebagian detail sangat saya ingat, tapi sebagian lagi benar-benar lupa. Ketika bertanya ke Tintin dan Deny mereka juga banyak lupa detailnya, jadi saya ceritakan saja di sini sekarang sebelum tambah lupa lagi.

Kenalan dengan Hacker

Saya awali dulu dengan cerita ketemu Deny. Sekedar background: kok bisa ketemu dengan orang lain yang suka ngehack?

Saya ketemu Deny kali pertama waktu kuliah di Informatika ITB, tahun 1998. Di ITB tingkat 1 adalah Tahap Persiapan Bersama, di tahun pertama semua jurusan pelajarannya sama yaitu ilmu-ilmu dasar dengan tujuan agar ilmunya seragam di tingkat berikutnya. Pelajaran yang diberikan misalnya: Fisika, Kimia, Matematika (Kalkulus), Bahasa Inggris, dan bahkan ada juga pelajaran Olah Raga.

ITB

Nah saya jadi ngobrol dengan Deny karena waktu itu saya membawa buku komputer. Kalau tidak salah ingat judul bukunya: Meningkatkan Dayaguna Komputer dengan Turbo Pascal karangan Busono. Buku ini mengajarkan cara mengakses hardware komputer secara low level (serial port, parallel port, dsb) dengan Turbo Pascal.

Perlu dicatat bahwa saat itu (nggak tau sekarang) banyak yang masuk Informatika ITB tapi pengetahuannya mengenai komputer sangat dasar sekali. Informatika ITB dipilih banyak orang karena passing grade-nya waktu itu adalah yang tertinggi. Jadi saya senang ketemu dengan seseorang yang bisa ngobrol programming selagi programming belum diajarkan di kelas.

Meski belum diajarkan programming, HMIF (Himpunan Mahasiswa Informatika) ITB memberikan pelatihan dasar Linux pada seluruh mahasiswa baru setelah selesai masa OSPEK. Pelajarannya sangat dasar: bagaimana mengakses Linux, mengakses email, membuat file, mengedit dengan vi, dsb.

Di pelatihan itu (Agustus 1998) kali pertama saya dan Deny belajar mengenai Linux. Sebelumnya kami cuma memakai DOS dan Windows. Setelah masa pelatihan selesai, mahasiswa (tingkat manapun, termasuk tingkat 1) boleh bebas mengakses lab ketika tidak ada praktikum. Bahkan kadang diperbolehkan juga pada jam praktikum kalau kenal dengan asistennya, selama masih ada komputer kosong di belakang dan tidak mengganggu sesi praktikum.

Lab

Di semua waktu luang tingkat 1, saya dan Deny menghabiskan sebagian besar waktu ngoprek di Lab. Waktu itu belum ada Google (tepatnya lagi baru September 1998 Google didirikan, itupun tidak langsung populer), jadi sumber utama ilmu kami adalah:

  • Majalah Phrack
  • Halaman manual (man page), bahkan saya pernah memprint banyak sekali manual page “perl” untuk dibaca di kost
  • Mailing list (misalnya bugtraq)
  • Beberapa website dan e-Zine

Entah kenapa saya dan Deny tidak tertarik sama sekali untuk join dengan berbagai “group hacker” seperti hackerlink, kecoak elektronik, dsb. Tapi saya dapat cerita dari teman kami Tintin (sekelas/seangkatan juga), bahwa group yang ada itu ya cuma bisa compile exploit dari Packet Storm, dan bahkan kadang mereka bingung kalau ketemu error waktu compile.

Waktu tahun kami masuk, kondisi mesin di lab sedang cukup parah. Baru dua tahun setelah itu ada dana baru sehingga mesinnya diupgrade secara signifikan. Dulu sudah jaman Pentium tapi mesin di lab masih 486 DX dan keyboardnya banyak yang mulai error. Mesinnya bisa dual boot: network boot ke Linux (diskless, memakai NFS) dan ke Novell Netware. Dari Netware kita bisa telnet ke salah satu server yang bisa diakses mahasiswa (Puntang/x86 dan kerinci/Sparc).

Sebagai catatan: di berbagai jurusan lain (misalnya Teknik Elektro) waktu itu yang banyak dipakai adalah BSD (biasanya FreeBSD), tapi di jurusan Informatika yang banyak dipakai adalah Linux dari awal. Dari setup yang dilakukan, bisa dilihat bahwa adminnya (mas Budi Aprianto mahasiswa yang dipandu oleh dosen, Pak Riza Satria Perdana ) sangat capable dan sudah mensetup sistemnya dengan baik:

  • Network boot dengan PXE waktu itu belum umum, harus burn EPROM di Network Card
  • Diskless boot juga tidak terlalu umum. Server NFS-nya memakai Solaris di server dengan CPU SPARC

Awalnya rasanya aneh memakai Linux, beberapa ilmu DOS seperti TSR, mengakses layar secara langsung atau memakai Library “<conio.h>” untuk mewarnai layar tidak berlaku di Linux. Tapi saya dan Deny cukup rajin belajar mengimplementasikan banyak hal, dari network programming (bikin port scanner dengan full TCP connect), sampai termasuk juga yang berhubungan dengan security.

Di tahun 1998 sebenarnya mekanisme shadow password sudah disupport di Linux, tapi entah kenapa belum diimplementasikan di distribusi yang kami pakai. Salah satu “hack” pertama yang kami lakukan adalah membuat program untuk membrute force password seseorang. Waktu itu password requirement belum diterapkan, jadi passwordnya masih relatif gampang ditebak.

Seperti yang saya jelaskan: kondisi lab waktu itu cukup parah, banyak keyboard yang error, kadang menekan 1 huruf tapi hurufnya tertekan 2 kali atau malah tidak tertekan. Ini biasanya jadi masalah ketika mengganti password (ada kelebihan/kekurangan huruf). Daripada selalu merepotkan admin, waktu itu kami membantu teman yang lupa password dengan mencoba-coba otomatis menambah dan mengurangi karakter dari password terakhir yang diingat.

Perpustakaan

Lab di Informatika ITB tutup di sore hari (lupa jam 4 atau 5), tapi ada rental Internet di perpustakaan ITB yang tutup sampai jam 7 malam. Jika saya belum ingin pulang (toh di kost nggak banyak yang bisa dikerjakan) saya akan menghabiskan uang untuk nongkrong di rental internet perpustakaan (memakai Windows 97).

Perpustakaan ITB

Akses internet di perpustakaan ITB adalah per 30 menit: bayar dulu, komputer tertentu akan diaktifkan, dan jika waktu habis koneksi akan dimatikan otomatis. Tapi lama-lama kan mahal, jadi saya mempelajari bagaimana prosesnya sejak memberi uang, dapat akses internet, sampai aksesnya dimatikan lagi.

Ternyata operator akan melakukan telnet ke sebuah server dan dari situ ada skrip untuk membuka akses internet. Saya perhatikan juga bahwa ada admin yang suka memakai salah satu komputer di dalam ruangan rental.

Saya menulis sendiri keylogger yang memakai API windows. Tepatnya sebenarnya bukan keylogger karena tidak mencatat semua tombol, tapi hanya akan mencari semua single line textbox dan password textbox dan melog teks serta passwordnya ke file. Di Windows lama (95 sampai ME) ini sangat mudah, kita cukup mengenumerasi handle Window dan mengirimkan WM_GETTEXT (waktu itu tidak ada sistem permission di Windows). Dengan teknik tersebut, segala macam password yang sudah tersimpan juga bisa didapatkan passwordnya (tidak hanya yang diketik manual).

Saya hanya memasang logger di komputer yang saya tahu dipakai admin. Dengan logger itu saya bisa mendapatkan akses internet unlimited di perpustakaan. Supaya tidak mencurigakan biasanya saya akan membayar 30 menit pertama dan hanya meneruskan kalau sepi. Di semester baru, saya baru tahu dari Deny kalau dia bawa logger saya dan dia pakai di warnet di Medan.

Tempat Lain

Lab IF dan Perpustakaan sebenarnya bukan satu-satunya tempat nongkrong. Banyak tempat lain di ITB yang punya lab komputer dan jadi tempat belajar untuk banyak orang, misalnya ada PAU (Pusat Antar Universitas), unit ARC (Amateur Radio Club), berbagai lab di berbagai jurusan.

Masing-masing orang punya kisahnya di tempat mereka, dari mulai kisah teknis seperti kami, sampai ada yang ketemu pasangan di tempat-tempat tersebut. Saya sendiri dulu sempat juga main ke ARC sebentar, tapi karena merasa kurang cocok, jadi lebih sering di lab IF (sementara Deny cukup sering ke ARC).

Root

Saya tidak ingat kapan kami mulai berani mengakses root. Tapi ini terjadi kira-kira akhir tahun (sekitar 3-4 bulan sejak kami belajar Linux). Akses root pertama kami dapatkan dari backdoor di port yang kami temukan dengan port scan. Selain cara itu, waktu itu ada banyak sekali eksploit yang bisa dipakai asalkan kita mencari di Internet (atau melihat mailing list bugtraq).

Sebagai catatan: dari adanya backdoor berarti sudah ada yang lebih dulu dari kami mendapatkan root. Salah satu teman kami, Okta juga dapet root dengan eksploit sendmail.

Salah satu alasan kami mendapatkan root adalah: untuk mengakses internet dari lab IF ITB. Di semester pertama kami cuma dapat akses email. Kami berusaha mencari host yang memiliki akses internet dan/atau username/password proxy yang bisa dipakai.

Berikutnya setelah jadi root di satu host, mau ngapain? Bagian pertama adalah: jadi root di host lain. Kami bisa telnet ke mesin x86 dan Sparc. Di mesin x86 kami sudah punya root, tapi di Sparc kami nggak punya exploit apa-apa. Kami bisa mengakses home dir yang sama (via NFS). Jadi pertama adalah pivoting: mengcopy shell di Sparc ke home directory, lalu di-chmod setuid root dari server x86. Sekarang kami punya akses di kedua server utama. Dari mana dulu tahu ilmu ini? sebenarnya semuanya cuma logika dasar aja. Setelah tahu konsepnya, mengembangkan hal-hal dasar seperti itu tidak sulit.

Keisengan berikutnya muncul: Deny mendownload source code program “login”, lalu menambahkan kode logging agar password disimpan ke file. Executable baru itu dipakai untuk menggantikan program login asli di kedua server. Hasilnya: kami dapat password semua orang.

Sebagai catatan: programming itu sangat perlu untuk seorang hacker. Sekarang ini banyak yang mengaku “hacker”, tapi kalau saya berikan source code saja dan saya minta untuk menambahkan logging kebanyakan tidak bisa.

Meskipun mendapatkan akses ke semua account, kami tidak tertarik membaca email atau file-file orang lain. Segala macam yang kami lakukan waktu itu cuma karena penasaran aja. Kami juga nggak mau mencoba teknik-teknik yang kami anggap nggak butuh skill teknis, contoh yang tidak kami lakukan:

  • Denial Of Service
  • Email bombing
  • Social engineering

Bagian social engineering ini: kami nggak pengen seseorang jadi merasa bersalah jadi korban Social engineering. Tujuan hacking waktu itu adalah: belajar teknis.

Tertangkap

Saya tidak tahu tepatnya apa yang membuat kami tertangkap. Seingat saya kami sudah sangat teliti: tidak memakai home directory sendiri, tapi memakai home directory dua mahasiswa ITB yang diterima tapi pindah keluar negeri. Kalau tidak salah ingat: ada keanehan di sistem dan itu menyebabkan penelusuran yang mendalam di sistem dan malah mengarah ke kami berdua.

Saya ingat waktu itu ada kuliah di salah satu gedung di tengah ITB (lupa tepatnya, antara Oktagon atau TVST), dosennya adalab Bu Putri. Kami sadar ada yang salah, karena di akhir kuliah tiba-tiba beliau memanggil: yang namanya Yohanes Nugroho mana ya? (saya berdiri), terus “kalau Deny Saputra?” (Deny berdiri). Terus udah: “silakan duduk, cuma pengen tahu yang mana sih orangnya”. Urutan memanggilnya begitu, karena NIM saya lebih rendah dari Deny.

Selesai kuliah itu saya dan Deny sudah tahu bahwa kami tertangkap. Saya diwawancara oleh Pak Riza Satria Perdana, lalu Deny juga (wawancaranya terpisah). Setelah semuanya selesai, kami diberi tahu bahwa sebenarnya yang kami lakukan itu bisa membuat kami di DO. Tapi Pak Riza mau memberi kesempatan, bahkan akhirnya saya menjadi administrator jaringan Informatika ITB.

Saya sebutkan di atas bahwa Okta juga mendapatkan root, tapi lolos dari interogasi. Kenapa? karena waktu interogasi, saya ditanya itu setuid shell punya siapa? saya bilang “nggak tau, mungkin Deny yang taruh situ”, dan ketika Deny ditanya: “nggak tau, mungkin Yohanes yang taruh di situ”.

Supaya jelas: meskipun kami sering ngehack bareng , bukan berarti tiap hari duduk berdua dan ngobrol berdampingan. Kami hacking terpisah, dan banyak diskusi. Kadang saya dan Deny duduk di lab terpisah dan berbicara dengan software “talk“. Jadi kami nggak tahu 100% apa yang dilakukan yang lain.

Penutup

Sejak kami tertangkap, kami jadinya pelan-pelan meninggalkan dunia security dan lebih fokus ke programming. Memasuki tahun kedua, sudah ada banyak tantangan dari berbagai tugas kuliah yang diberikan, jadi sudah tidak bosan lagi. Tapi masih ada juga sedikit jejak yang saya lakukan di bidang security setelah itu (misalnya ini).

Setelah itu saya banyak terlibat berbagai kegiatan lain, misalnya mengurus TOKI, ikut jadi programmer pengolah data di ITB, ikut proyek dosen, jadi asisten di universitas swasta, memberi les, dsb). Sedangkan Deny mengambil jalan hidup lain (silakan tanya sama Deny buat yang ketemu, nggak akan diceritakan di sini). Okta sekarang jadi expat di Timur Tengah.

Baru tahun 2014 saya mulai terlibat lagi di dunia security. Kerjanya hanya part time pentesting (sampai sekarang masih part time). Part time di sini artinya: dari Senin sampai Jumat saya kerja di perusahaan di Thailand sini menjadi programmer yang tidak ada hubungannya dengan produk security dan cuma di malam hari/weekend saya melakukan pentesting.

Tahun 2016 ikutan ngajak Deny untuk ikutan Flare On dan Pentesting. Ternyata ilmu Deny di bidang RE dan pentesting masih tajam walau tidak pernah khusus pentesting. Contohnya kelakuan hardcorenya ketika mengerjakan RHME (Hardware CTF): reversing statik assembly AVR (bukan kode C hasil decompiler), pake listing HTML dari IDA, di handphone, di kereta pulang sambil berdiri (dan flagnya ketemu).

Kami minta maaf buat yang dulu merasa kesal dengan kelakuan kami. Kami juga mengucapkan terima kasih untuk Pak Riza dan para dosen lain yang masih memberi kesempatan pada kami untuk bertobat dari kenakalan kami dan bisa meneruskan di ITB.

Setelah lama lulus, dapet cerita dari Tintin, ternyata kelakuan kami dulu sangat menginspirasi dia untuk belajar security. Bahkan Tintin sekarang sudah mengambil S2 security dari Carnegie Mellon University. Syukurlah, ternyata yang kami lakukan nggak sepenuhnya berefek negatif untuk orang lain :).

Kalau dari ingatan Tintin, ada banyak hal iseng lain yang kami lakukan, tapi karena saya nggak ingat, saya tidak ceritakan di sini. Walau mungkin dulu sengaja saya lupakan karena terlalu iseng. Seingat saya sih saya nggak pernah berniat jahat.

Tapi saya harap yang kami lakukan di atas tidak ditiru mentah-mentah. Jangan menghack kampus, sudah ada banyak cara lain yang legal untuk belajar security:

  • Ada bug bounty
  • Ada berbagai CTF
  • Ada berbagai sertifikasi yang bisa diambil

Hal yang patut ditiru adalah:

  • Semangat membaca artikel teknis
  • Semangat mencoba berbagai hal teknis secara umum
  • Semangat belajar programming

Kalau bisa ketemu orang atau kelompok yang membantu bertumbuh akan lebih baik lagi.

Happy Hacking

Nostalgia di Sekolah Dasar

Hari ini saya sedang melatih diri untuk mencoba mengingat seberapa ingatan saya sekarang tentang masa kecil saya. Kalau mengingat secara spesifik, rasanya kok sulit, tapi ada beberapa hal yang saya ingat secara random.

Saya gak pernah diberi uang jajan dari kecil. Waktu SD kelas 1, lokasi sekolah itu dekat dari rumah jadi saya bisa jalan kaki. Orang tua saya gak pernah memberi saya uang jajan. Saya juga ga punya kebiasaan jajan. Ada sih warung-warung di depan sekolah, ada juga yang jual mainan, tapi saya tidak pernah punya keinginan untuk membeli apa-apa.

Nah tapi seperti pernah saya tulis sebelumnya, waktu SD kelas 1, tanpa saya mengerti beberapa teman menyerahkan uang jajannya 100 rupiah sehari ke saya karena mereka menyontek PR dari saya. Saya sudah gak ingat lagi PR jaman SD itu kayak apa ya? rasanya saya gak pernah juga berlama-lama ngerjain PR. Biasanya bahkan pulang sekolah saya tinggal main-main saja. Uang yang diberi teman saya itu ya saya kumpulin aja. Kalau sudah banyak saya tukar dengan lembaran uang 1000-an ke mama saya. Uangnya saya kumpulkan di dompet di rumah.

Setelah kelas 3 SD, saya diberikan ongkos becak atau bemo untuk sekolah karena kami pindah rumah agak jauh dari sekolah. Saya ingat kelas 3 SD itu saya masuk sekolah jam 1 siang sampai jam 5 siang. Iya saya sekolahnya SD Negeri Inpres yang bangkunya gak cukup untuk semua kelas masuk bersamaan. Jadi kelas 1 itu masuk sekolah jam 10 – 12, kelas 2 masuk jam 7.45 – 12, kelas 3 – 5 masuk siang jam 1- 5, lalu kelas 6 SD masuk pagi lagi.

Kelas tertentu saya bisa sharing becak dengan kakak saya, sisanya ya saya kadang jalan kaki setengah jalan supaya bayar angkotnya lebih murah dan sisanya saya kantongi. Ada kalanya juga saya naik sepeda ke sekolah. Saya gak ingat umur berapa saya bisa mahir naik sepeda, tapi saya ingat sering naik sepeda itu kelas 4 atau 5 SD.

Saya ingat, kadang-kadang ada les tambahan dari gurunya untuk acara sekolah, misalnya menari atau les tambahan ketika kelas 6 SD. Les tambahan ini wajib. Jadi sekolah pagi sampai jam 1, semua disuruh pulang dulu lalu datang lagi jam 3- 5. Saya ingat kadang-kadang saya bermain sepeda cukup jauh juga dengan teman-teman saya sepulang dari les tambahan. Tapi kalau sekarang ditanya daerah mana dulu sepedaanya, saya gak ingat lagi hehehe.

Ada memor yang juga saya ingat banget, waktu itu datang dokter untuk vaksinasi gratis. Saya yang sebenarnya takut bilang ke guru kalau menurut orangtua saya, saya sudah dapat imunisasi lengkap, jadi saya gak perlu lagi disuntik. Ada beberapa teman yang juga gak ikut imunisasi lagi, dan kami mengetawai teman-teman yang nangis ketika disuntik (padahal sendirinya kabur hahahha).

Memori paling berkesan waktu kelas 6 SD itu ketika saya masuk TV untuk acara cerdas cermat, walaupun kami kalah dan cuma dapat juara 3. Nah tapi hadiahnya dipakai sama kepala sekolahnya dan gak dikasihin ke kami huhuhuhu. Saya ingat banget kalau saya ajak 2 teman saya yang ikutan tim cerdas cermat untuk menghadap kepala sekolah meminta hadiah yang diberikan, tapi ya waktu itu saya belum bisa menang argumen lawan kepala sekolah hehehehe.

Gimana dengan teman-teman masa SD, masih ada yang ingat? Yang saya ingat paling teman yang masuk ke SMP yang sama. Teman yang ikut cerdas cermat bahkan sampai SMA masih ketemu lagi walau cuma 1 orang yang sekelas sama saya. Sekarang masih kontak? masih sama 1 orang, yang 1 lagi nggak tau kabarnya. Ada beberapa nama teman-teman SD yang masih saya ingat, tapi waktu saya coba cari di FB saya tidak menemukannya.

Salah satu hal yang juga lucu kalau diingat, waktu SD itu pertemanan bisa dari deket banget lalu jadi musuhan (eskete), terus nanti baikan lagi dan jadi deket banget lagi. Penyebab musuhannya apa? saya ga ingat lagi. Namanya juga anak-anak ya, hal-hal kecil aja bisa bikin ribut.

Setelah menulis beberapa kenangan SD ini, ada banyak kenangan lain muncul di kepala, misalnya kenangan masak air sampai gosong di ruang guru, berantem sama temen 1 kelompok karena masalah pinjam tip-ex, jadi mata-mata di kelas yang suka disuruh guru mencatat siapa yang ribut ketika guru perlu keluar ruangan sebentar. Di suruh membantu ibu guru nulis di papan tulis (padahal tulisan saya gak bagus-bagus amat). Bikin guru berantem karena saya sebel dijadiin kurir bolak balik buat menyampaikan pesan mereka ke guru lain (ini sebenarnya dasar aja gurunya hubungannya udah ga bagus, terus ngapain juga saya harus mondar mandir menyampaikan pesan dengan awalan: kata bu A bla bla bla).

Ternyata memori itu bekerjanya butuh dipancing ya, kalau udah ingat 1 hal, bisa jadi kemana-mana hahahhaa. Sepertinya tulisan random ini harus diakhiri sebelum tambah random lagi :). Menyenangkan juga mengingat-ingat masa kecil, siapa tau nanti ada teman SDN 060855 nyasar ke blog ini dan ingat saya hehehe.

Serasa hidup seratus tahun

Saya dulu lahir dan menghabiskan masa kecil di tempat yang boleh dibilang agak primitif. Tempatnya tidak ada listrik (memakai lampu dian), tidak ada toilet (buang air di kali), memakai kayu untuk memasak (tidak memakai minyak tanah atau gas), dinding rumahnya dari anyaman bambu.

Dulu saya kadang berpikir: sayang sekali dulu saya nggak punya kesempatan belajar komputer dari kecil (seperti anak-anak di Amerika pada masa itu misalnya). Tapi setelah bertemu banyak orang, terutama orang tua, saya jadi bisa nyambung ketika bercerita dengan mereka (“dulu waktu saya masih kecil, belum pake listrik, bisa kamu bayangkan nggak?”). Saya jadi merasa pernah hidup di awal abad 20 (atau bahkan seperti akhir abad 19 di Eropa).

Komputer pertama saya bukan IBM PC tapi Apple II/e yang dibeli bapak saya karena dapat dengan harga sangat murah (bapak nggak ngerti berbagai jenis komputer). Sekarang waktu saya melihat berbagai video Youtube mengenai komputer lama, saya merasa bisa mengerti yang mereka bicarakan. Saya jadi sempat merasa hidup remaja di tahun 1980an.

Sekarang saya jadi lebih bisa menikmati cerita sejarah, tapi biasanya sampai sekitar 1900an atau kahir 1800an saja, karena sebelum itu tidak banyak yang bisa dilakukan oleh orang biasa (bukan dari keluarga ningrat atau kaya). Sebelum itu banyak penemuan dasar seperti toilet juga belum umum. Baru pertengahan abad 19 toilet dengan flush banyak dipakai. Kertas tisu toilet baru diterima di Eropa tahun 1930an setelah teknologinya cukup matang.

Saya tidak tahu berapa lama lagi akan hidup, tapi dengan pernah mengalami masa kecil di kampung, pernah memiliki komputer lama, dan dengan membaca banyak sejarah, saya merasa telah hidup lama sekali. Meski begitu tentunya saya berharap ingin punya umur panjang untuk melihat berbagai hal di masa depan.

15 Tahun ngeblog bareng

Hari ini tepat 15 tahun kami ngeblog bareng. Cerita mengenai awal ngeblog bareng ini sudah dituliskan waktu saya posting mengenai 10 tahun ngeblog bareng (kami ngeblog setelah beberapa bulan pacaran). Kenapa kami masih ngeblog di sini sementara orang lain memakai sosmed (berganti-ganti sosmed) dan kenapa ngeblognya campur-campur antara cerita teknis, cerita kehidupan dan hal random lainnya sudah pernah juga dituliskan di posting 14 tahun blogging bareng.

Sekitar setahun terakhir ini kami tambah rajin ngeblog. Risna mulai memaksakan diri lebih banyak ngeblog dengan mengikuti writing challenge dan saya berusaha menambahkan banyak konten baik teknis maupun non teknis.

Jumlah posting blog sampai saat ini

Menulis teknis yang akurat dan enak dibaca itu sulit dan butuh waktu jadi itu sebabnya cerita teknisnya tidak selalu ada. Saya tahu banyak yang suka membaca blog ini dan minta topik tertentu tapi tidak bisa saya tuliskan dengan singkat karena prerequisite ilmunya banyak.

Saya berikan contoh topik yang sering diminta orang: bypassing SSL Pinning. Secara praktis ada beberapa tool yang memungkinkan kita membypass SSL pinning dan tekniknya jalan pada 90% aplikasi yang ada. Masalahnya adalah pada 10% aplikasi lain yang tidak bisa dibypass itu bagaimana? biasanya orang bertanya karena aplikasi yang ingin dicoba tidak bisa dibypass SSL pinningnya dengan berbagai tool yang sudah ada.

Topik bypassing SSL pinning ini meliputi banyak hal: mengenai bagaimana kerjanya SSL? apa itu SSL certificate? apa isinya? Apa itu public key? lalu biasanya public key ini harus dihash, apa itu hashing? setelah dihash informasinya biasanya disimpan dalam encoding base64.

Tanpa dasar semacam itu sulit sekali membuat artikel singkat bypass SSL Pinning yang bisa membypass berbagai aplikasi. Saya sudah mulai membahas banyak topik dasar di blog ini walau tidak disharing ke sosmed, sekarang semuanya dimasukkan kategori: basic security.

Tapi hidup ini nggak cuma soal teknis, jadi saya akan menulis lebih banyak hal lagi yang belum saya tuliskan. Ada banyak minat sesaat saya yang sering tidak saya tulis padahal bisa jadi kenangan. Saya dulu sempat suka dangdut (misalnya ada posting Jadilah Bintang), suka Anime dan Manga (dulu saya sempat melukis Sailor Moon dengan cat minyak di pelajaran seni rupa, dan salah satu keisengan adalah membuat program kuis Sailor Moon), pernah suka campur sari (belum pernah saya tulis), dan masih banyak lagi.

Sekarang ini juga saya jadi sering membaca berbagai topik random karena berbagai pertanyaan dari Jonathan yang sering ke mana-mana (misalnya: “If nothing made out of matter can not exceed the speed of light, can we use anti-matter instead?“, “How many rovers are there on Mars?”). Kadang bingung bagaimana menuliskan topik random seperti ini. Kadang ketertarikan Jonathan juga tidak bertahan terlalu lama karena memang kadang hal-hal yang dia pikirkan masih jauh dari kemampuannya saat ini.

Berbagai keisengan Jonathan ini rencananya juga akan saya tuliskan. Kadang ini masih berhubungan dengan teknis juga. Misalnya sekarang Jonathan sedang berusaha membuat kalkulator di minecraft. Dia sudah melihat beberapa video untuk berbagai pendekatannya (misalnya ada pendekatan sangat sederhana dengan semacam lookup table, dan pendekatan dengan konversi ke biner dulu).

Saya senang sampai sekarang masih bisa ngeblog bareng Risna. Semoga kami bisa tetap ngeblog bareng terus menuliskan kisah hidup kami sampai tua nanti.

Dongeng

Sejak beberapa tahun terakhir ini Jonathan minta diberi cerita sebelum tidur. Awalnya saya memberi cerita-cerita yang memang saya hapal (misalnya kisah kura-kura dan kelinci yang berlomba lari), lalu kadang saya membaca sesuatu dari buku. Tapi sejak Jonathan bisa lancar membaca bukunya sendiri, ceritanya sekarang berubah: tentang topik apa saja.

Dongeng di malam hari ini jadi kesempatan bagi Jonathan untuk mendapatkan perhatian penuh dari saya karena adiknya tidur bersama mamanya. Tapi beberapa hari terakhir ini Joshua sepertinya mulai penasaran juga dan ikut masuk kamar kakaknya untuk ikut mendengarkan cerita.

Kadang saya cerita tentang masa lalu saya di kampung. Hidup tanpa listrik, tanpa telepon, menggunakan kayu bakar, rumah dengan dinding bambu. Buang air di kali depan rumah. Segala pengalaman saya setelah itu juga saya ceritakan, termasuk juga sampai bisa masuk ITB. Untuk berbagai kenakalan, misalnya menghack kampus dan hampir DO, saya ceritakan juga tapi dengan penjelasan bahwa itu tidak baik, dan setelah peristiwa itu saya tidak melakukan hal semacam itu lagi.

Berbagai fakta tidak penting yang pernah saya ketahui juga ternyata menarik bagi Jonathan. Setelah membaca buku Murderous Math, Jonathan ingin tahu trik matematika apa yang saya tahu, dan saya ingat tentang perpangkatan 2 untuk bilangan yang berakhiran 5 (5 pangkat 2, 25 pangkat 2, dst). Caranya: ambil bilangan sebelum angka 5 (anggap ini X), kalikan dengan (X+1) dan tambahkan akhiran 25. Contohnya 35×35, 3 x 4 = 12, jadi hasilnya: 1225.

Di lain kesempatan saya membahas tentang sejarah komputer. Pembahasannya bisa ke mana-mana, dari mulai sejarah transistor sampai bahasa pemrograman. Waktu saya cerita tentang KIM-1, Jonathan tertarik sekali dan ingin mencobanya di emulator. Keesokan harinya saya menemukan website emulator KIM-1, dan dia memasukkan satu digit demi satu digit program (dari Internet) untuk menampilkan jam.

Kadang saya bercerita panjang lebar demi mengajari Jonathan untuk memahami sebuah lelucon. Contohnya dalam pelajaran sainsnya dia belajar tentang bebatuan dan ada dibahas sedikit tentang penggunaan dinamit untuk tambang. Saya kemudian menjelaskan tentang bahan peledak C-4, hanya supaya dia mengerti joke: If A is for Apple and B is for Banana then what is C for? Plastic Explosives. Untungnya Jonathan cukup cerdas jadi dia bisa langsung paham dan tertawa dengan joke-joke semacam itu.

Masalah cerita sebelum tidur ini mengingatkan saya dulu waktu kecil diberi banyak dongeng oleh nenek. Dulu saya hanya mendengarkan saja, berbeda dengan Jonathan yang banyak bertanya. Sekarang ini berbagai pertanyaannya belum ada yang aneh, saya belum tahu nanti di masa depan akan seperti apa pertanyaan-pertanyaan yang diajukannya.

Membaca Buku Digital

Posting ini sekedar mengupdate bagaimana sekarang saya membaca buku elektronik. Tahun 2012 saya sudah mulai memakai Kindle dengan eink, dan mulai membeli konten dari Amazon. Sekarang sudah 7 tahun sejak Kindle pertama yang saya beli.

Kindle pertama sudah rusak (terinjak waktu menggendong Jonathan), lalu sudah beli lagi Kindle keyboard 3G dan Kindle paperwhite. Sekarang keduanya masih ada dan kadang masih dipakai untuk membaca jika ada cerita fiksi yang sedang saya sukai.

Kindle e-ink masih enak untuk membaca buku fiksi/non teknis yang tidak perlu dibaca acak. Untuk buku teknis yang harus bolak balik mengecek ke halaman lain, Kindle terasa sangat lambat dan layarnya kurang besar. Saya lebih suka membaca dengan kindle yang klasik, lebih terasa seperti kertas. Sayangnya yang klasik ini tidak bisa dibaca dalam gelap.

Selain masalah sifatnya yang seperti kertas, batere kindle cukup tahan lama. Asalkan kita tidak menyalakan fitur wirelessnya, baterenya masih cukup untuk beberapa minggu dengan pemakaian ringan (atau beberapa hari jika cukup berat). Dulu saya pikir kindle ini bakal jadi pegangan ketika liburan supaya tidak terlalu memikirkan batere, kenyataannya tetap saja saya lebih sering memegang HP.

Handphone memang lebih praktis karena selalu dibawa ke mana saja, sedangkan repot sekali membawa Kindle ke mana-mana jika tidak berniat secara khusus membaca sesuatu. Biasanya saya mulai dulu membeli dan membaca sebuah buku di HP, dan jika terasa menarik, saya download juga kontennya di kindle lalu saya teruskan baca di Kindle karena layar HP (yang sudah 6 inch) masih terasa terlalu kecil untuk membaca teks panjang.

Beberapa minggu terakhir ini saya memakai iPad untuk membaca dan sejauh ini cukup suka. iPad sangat cocok untuk membaca buku teknis, PDF readernya sangat cepat dan layarnya cukup besar untuk menampilkan semua informasi. Batere iPad juga cukup tahan lama dibandingkan HP.

Untuk konten, saya tetap membeli dari Amazon karena masih yang paling murah. Pernah saya menghabiskan pulsa Telkomsel hasil pentesting untuk membeli beberapa buku bahasa Indonesia dan pernah juga saya mendapatkan satu kupon dari Google Play Books dan membeli satu buku, tapi selain itu belum pernah membeli buku lain.

Sekarang saya juga sedang trial Scribd yang memiliki cukup banyak buku fiksi yang menarik (misalnya dari Stephen King, Agatha Christie dan Terry Pratchett) , tapi sayangnya belum punya cukup banyak waktu untuk membaca. Biasanya jika saya sudah mulai membaca cerita yang menarik jadi penasaran dan terus membaca, jadi kalau belum punya waktu sangat banyak, saya urungkan dulu membaca buku non teknis.

Konten teknis sekarang saya dapatkan dari Safari Books Online. Ini sangat praktis dan bisa diakses dari HP, web, dan juga dari iPad. Sesekali saya membeli juga buku dari humble bundle jika ada yang menarik (dan tidak ada di Safari Books). iPad juga memiliki fitur print to PDF, jadi berbagai blog teknis kadang saya save menjadi PDF untuk dibaca menggunakan software iBooks.

Seminggu terakhir ini saya juga mencoba menggunakan Apple Pencil untuk memberikan anotasi dan juga untuk mencatat. Sejauh ini Apple Pencil memang sangat nyaman dipakai, tapi saya belum optimal untuk tujuan utamanya: untuk membaca dan mencoret-coret berbagai paper.

Saya belum terbayang bagaimana saya akan membaca buku di masa depan. Mungkin di masa depan jika teknologi layar lipat sudah semakin murah dan bagus, sehingga tidak perlu lagi membawa-bawa tablet.