Berhentilah Jadi Script Kiddie

Saya sering mau ketawa tapi juga merasa sedih, kasihan dan juga marah kalau liat ada posting tentang ajakan DDOS sebuah situs. Ketawa karena mereka berusaha men-DDOS situs yang dilindungi Cloudflare (atau cloud firewall lain) dan ketawa karena mereka memakai tools-tools tua yang parah. Kalau memilih target jangan malu-maluin lah, ibaratnya mau menyerang klub malam maksiat tapi yang diserang malah papan iklan klub malam tersebut di pinggir jalan.

Copy paste ajakan semacam ini sangat banyak yang beredar di Facebook/WA/Telegram

Di posting ajakan mereka biasanya juga diberikan daftar tool yang bisa dipakai. Saya lihat ada batch file yang sekedar melakukan ping, dan ada salah satu tool DDOS Android bahkan mengirimkan IMEI dan Device ID ke server yang diserang, jadi memudahkan untuk dilacak balik. Mereka ini benar-benar script kiddies yang memakai skrip yang bahkan tidak mereka mengerti.  Sebagai catatan “kiddie” di sini bukan menunjukkan umur, tapi skill yang seperti anak-anak.

Sebagai catatan ada banyak teknik DDOS yang menarik dan ada yang spesifik satu OS/server/aplikasi tertentu. Di tulisan ini DDOS yang saya maksud di sini hanya DDOS generik dengan ping (ICMP), UDP, dan request flooding. Lanjutkan membaca “Berhentilah Jadi Script Kiddie”

Kalau pembantu harus punya 2, sebagai Ibu Rumahtangga harus bisa semua sendiri

Ini tulisan selingan, minggu kemarin ini Eyang datang dan jadi banyak ngobrol dengan Eyang selain sambil masak dan cucipiring, makanya jadi ga sempet nulis ataupun baca buku. Pekerjaan ibu rumahtangga itu kayaknya aja gak ngapa-ngapain, kayaknya aja ga stress ga mikirin klien atau deadline, tapi sebenernya kalau diliat lagi sejak pagi ada deadline buat bangun siapin makan 3 kali sehari, mikirin menu makan apa, mikirin hal-hal kecil yang sepertinya saking rutinnya jadi beban karena bosan.

Biasanya habis lebaran begini topik paling populer adalah mbak yang ga balik lagi, dan kebanyakan orang bakal sibuk nyari pengganti. Saya jadi teringat beberapa waktu lalu di grup ibu-ibu ada yang mencari seorang mbak untuk urus anak, bersihin rumah dan masak. Komentar yang masuk dari ibu-ibu lainnya adalah: kalau kayak gitu harus cari 2, kasian mbaknya kalau harus lakukan semua. Alasannya masuk akal, katanya supaya anaknya lebih terperhatikan sewaktu mbaknya kerjain bebersih dan urusan domestik lainnya.

Ngajakin Joshua baca buku supaya mamanya bisa cuci piring

Faktanya nyari pembantu 1 aja susah, lah ini disuruh cari 2. Terus komentar lainnya sih bilang ya bisa aja cari 1 doang tapi ibunya harus ikut bantuin juga. Saya tercenung dengan komentar yang ada, karena sebagai ibu yang ga pergi ngantor yang kenal banyak ibu tidak bekerja lainnya di kota ini, saya bisa liat sebagai Ibu kami harus bisa lakukan semuamya, sambil urus rumah, urus cucian, urus anak dan urus diri sendiri tentunya. Makanan ga terhidang dengan sendirinya, walaupun di sini bisa praktis bisa beli dengan harga yang ga terlalu mahal, tapi mikirin menu makan apa berikutnya kadang bikin pusing, apalagi kalau tiap orang punya selera berbeda. Untuk makan di luar lebih ga praktis lagi, karena anak-anak biasanya lebih terdistract buat liat sekeliling daripada makan di rumah jadi makan di rumah lebih jadi pilihan. Lanjutkan membaca “Kalau pembantu harus punya 2, sebagai Ibu Rumahtangga harus bisa semua sendiri”

Mahalnya Sekolah

Beberapa waktu lalu, saya iseng cari tahu biaya sekolah kalau pulang ke Indonesia untuk dibandingkan dengan biaya sekolah di Chiang Mai sini. Saya masih ingat waktu saya SD uang SPP nya sekitar 300 rupiah, SMP dan SMA saya lupa tapi saya ingat ga pernah bayar lebih dari 1000 rupiah per bulan. Saya sekolah negeri sejak SD, SMP, SMA dan yang paling mahal ketika saya harus kuliah di Bandung tiap semesternya biaya 445 ribu rupiah. Masa SD saya bisa jalan kaki ke sekolah, SMP mulai naik bemo/becak/sepeda dan SMA naik angkutan kota yang jaraknya 7 km dari rumah. Ketika jadi mahasiswa saya semakin jauh deh dari orangtua saya karena saya merantau ke Bandung.

Biaya sekolah mengirim saya ke universitas terasa lebih mahal buat orangtua saya karena saya diterima di ITB (Bandung) dan orangtua saya di Medan. Mereka harus kirimin uang buat saya tiap bulan sekitar 150 ribu rupiah buat ongkos dan makan saya. Uang kontrakan kost sudah dibayarkan langsung setahun supaya saya pasti punya tempat tinggal selama setahun dan harganya ga naik selain dapat diskon 200ribu kalau bayar pertahun dibandingkan bayar perbulan. Saya merasa beruntung karena orangtua saya dengan kondisi ekonomi yang cukup sehingga saya masih bisa sekolah dan fokus belajar tanpa harus memikirkan biaya hidup saya. Saya bisa lihat, mereka berusaha mencukupkan kami anak-anaknya untuk mendapatkan pendidikan dengan harapan mendapat masa depan lebih baik dari mereka.

Waduh intro jadi kepanjangan karena bernostalgia. Dari hasil browsing saya mengenai uang sekolah, saya pikir di sini saja sekolah mahal, ternyata di Indonesia juga ga kalah mahal (bahkan mungkin lebih mahal). Jaman sekarang kalau mau cari sekolah buat anak lebih banyak pertimbangan dibanding jaman saya sekolah dan biayanya juga bikin saya menahan napas. Saya yakin dulu orangtua saya kirim kami ke sekolah terdekat dari rumah dan sekolah negeri karena masa itu orangtua saya ya mampunya sekolah negeri, dekat rumah lebih baik karena lebih gampang untuk antar jemput dan saya ingat kelas 1 SD kadang saya pulang sekolah jalan sendiri, kadang saya jalan dengan kakak saya dan masa itu semua terasa aman-aman saja.

Saya tidak tau biaya sekolah negeri sekarang ini berapa, tapi sepertinya jaman sekarang ini ada banyak kekhawatiran memasukkan anaknya ke sekolah negeri. Entah kenapa dan sejak kapan, ada kesan sekolah negeri kurang bagus mutu pendidikannya dan kekhawatiran bertemu anak yang nakal dari lingkungan masyarakat kurang mampu. Banyak orang tua terutama yang di kota besar memilih memasukkan anaknya ke sekolah swasta yang punya nama dan menurut survey cukup berkualitas dari segi pengajaran dan keamanan. Beberapa orang memilih yang dekat kantor supaya bisa berangkat dan pulang bareng. Atau ya yang menyediakan layanan antar jemput. Umumnya anak SD akan diantar karena sekolahnya ga walking distance dari rumah (kecuali mungkin sekolah dalam komplek perumahan). Beberapa orangtua yang lebih dari cukup juga umumnya akan berusaha mencari sekolah terbaik walaupun agak jauh dari rumah dan biaya yang mungkin ga sedikit.

Angka yang saya dapati yang bikin shock itu uang pendaftaran. Dari hasil google sejak beberapa tahun terakhir yang paling murah harus habiskan di atas sepuluh juta di awal masuk sekolah. Dari level TK ke level SD walaupun di sekolah yang sama, orangtua harus bayar lagi uang pangkal/pembangunan/pendaftaran. Jadi kebayang untuk masuk Preschool (usia 3 tahun) orangtua harus nabung sejak anak lahir, lalu ketika anak masuk SD harus bayar sekian puluh juta lagi. Kalau anak lebih dari 1 dan beda usia berdekatan, orangtua harus kerja ekstra keras mendapatkan penghasilan tambahan.

Sumber : http://www.the-alvianto.com/2017/10/binus-school-kinderfield-global.html

Ada beberapa sekolah yang membutuhkan orangtua siapin uang sekitar 100 juta rupiah untuk daptar TK. Saya bayangkan orangtuanya mungkin pengusaha yang omsetnya Miliar perbulan atau kalau pegawai pastinya punya gaji lebih dari 100juta perbulan. Biaya bulanan juga variasi, yang paling murah sekitar 450 rebu perbulan untuk TK. Untuk level daycare bahkan ada yang memasang harga sekitar 5 juta sebulan.

Waktu Jonathan menjelang usia 4 tahun, saya survey banyak sekolah di Chiang Mai. Ada 3 jenis sekolah di sini, Thai, bilingual (kurikulum Thai tapi menggunakan bahasa pengantar Inggris dan sebagian Thai) dan sekolah Internasional (menggunakan kurikulum Amerika atau British, full bahasa Inggris). Untuk biaya sekolah sudah pasti sekolah Thai paling murah, dibandingkan dengan sekolah Internasional bisa berpuluh kali lipat.

Contoh biaya salah satu sekolah bukan internasional, sumber http://www.varee.ac.th/en/admissions.php (diakses Mei 2018)

Saat ini kurs 1 THB sekitar 440 rupiah. Untuk uang pendaftaran, beberapa sekolah Thai meminta sekitar 10.000 baht dan uang sekolah persemesternya sekitar 18.000 – 22.000 baht. Sekolah internasional uang pendaftaran sekitar 50.000 baht dan uang semesternya bisa mencapai di atas 100.000 baht. Di Thailand sini, sekolah itu seperti tempat menitipkan anak. Mereka menyediakan kelas mulai dari umur 18 bulan (persiapan TK), lalu sejak umur 3 tahun kelas TK sebanyak 3 level, dan mulai SD sejak umur 6 tahun selama 6 tahun. Level SMP dan SMA ada 6 tahun.

Contoh biaya sekolah internasional. Sumber: https://www.vcis.ac.th/fee-schedule/ diakses Mei 2018

Ketika melihat angka yang fantastis untuk menyekolahkan anak, saya dan Joe sering berpikir dengan uang sekolah semahal itu, kalau anak sekolah sejak umur 3 tahun sampe kuliah, berapa dana pendidikan yang harus disiapkan? Setelah menyekolahkan anak semahal itu, kira-kira anak harus jadi apa supaya penghasilan nya bisa lebih dari biaya pendidikannya? Saya tahu kita harus berpikir optimis dan berharap anak akan lebih dari apa yang kita capai sekarang ini, dan saya tahu mengirimkan anak ke sekolah adalah bentuk investasi kita untuk masa depan anak yang mandiri dan bisa membiayai keluarganya kelak. Tapi kalau angkanya sekarang udah fantastis, berarti kami harus mempersiapkan anak yang bisa menyekolahkan anaknya lebih lagi dari yang dibayarkan sekarang ini.

Situasi kami sebagai orang asing tinggal di Thailand awalnya bikin pusing pilih sekolah buat Jonathan. Kami pingin anak-anak kami tetap bisa bahasa Indonesia, tapi juga fasih berbahasa Inggris dan Thai. Sekolah berbahasa Indonesia cuma ada di kedutaan di Bangkok. Awalnya kami sepakat bahasa Inggris lebih penting dari bahasa Thailand karena kami belum tahu berapa lama kami akan di sini dan supaya logatnya Inggris nya ga seperti Thaiglish ataupun Indoglish.

Harapannya anak-anak bisa menyerap bahasa Thai setelah fasih berbahasa Inggris dan tetep bisa bahasa Indonesia. Untuk saat ini target kami cukup berjalan sesuai harapan buat Jonathan. Kami cukup beruntung Jonathan bisa kami masukkan sekolah Internasional yang harga seperti sekolah Thai. Tapi setelah hampir 3 tahun di sana, Jonathan kami homeschooling.

Berdua belajar

Sejak homeschooling perhitungan uang sekolah digantikan dengan uang beli buku, berbagai peralatan dan mendaftarkan Jona berbagai kegiatan yang  ga bisa saya ajarkan sendiri. Ternyata sekolah ga harus mahal. Di tulisan berikut akan saya tulis lebih banyak soal homeschooling Jonathan.

Lulusan Kuliah IT seharusnya bisa apa?

Tahun lalu saya membaca mengenai skill yang seharusnya dimiliki lulusan SMK. Entah kenapa tulisan ini beredar lagi di timeline saya tahun ini. Ketika saya baca lagi mengenai skill yang diharapkan, kebanyakan skill ini bahkan tidak dimiliki oleh lulusan Sarjana Informatika/Ilmu Komputer/Teknologi Informasi (berikutnya akan saya singkat jadi: lulusan/sarjana IT).

Sudah menjadi fakta bahwa banyak lulusan IT yang tidak bisa memprogram (silakan baca artikel: Why can’t programmers.. program?). Separah ini:

Like me, the author is having trouble with the fact that 199 out of 200 applicants for every programming job can’t write code at all. I repeat: they can’t write any code whatsoever.

Sebelum diskusi masuk ke masalah pekerjaan, kesuksesan, jiwa entrepreneur, dsb saya ingin menekankan dulu: lulusan apapun dengan skill bagaimanapun bisa bekerja di berbagai bidang yang tidak sesuai jurusan yang diambilnya. Tapi jika sebuah negara ingin bisa maju di bidang tertentu, ya tentunya yang diharapkan adalah lulusan dari bidang tersebut memiliki skill yang baik dan berkontribusi di bidangnya. Lanjutkan membaca “Lulusan Kuliah IT seharusnya bisa apa?”

Jadi peserta CTF yang bener dong, jangan malu-maluin

Tahun lalu saya mengkritik panitia Cyber Jawara karena soal CTF-nya ngawur. Sekarang gantian saya mengkritik peserta yang ngawur di penyisihan online. Banyak peserta yang sharing jawaban, seperti mencontek soal ujian.

Tahun ini, panitia Cyber Jawara dan pembuat soal sudah bekerja sangat baik. Soal yang dibuat berkualitas, dan mereka juga mengecek jawaban peserta dengan teliti sehingga kelakuan curang seperti itu bisa diketahui dan didiskualifikasi.

Kutipan komentar dari panitia (Fariskhi Vidyan):

jadi gini ceritanya ya. Ada beberapa tim yang melaporkan ada tim-tim yang minta flag dan juga menawarkan flag dengan bukti screenshot. Jadi ada tim yang kerjaannya minta-minta flag dan mendistribusikan itu ke tim lain dengan syarat minta pap/foto tim. Ada juga yang pakai cara-cara lain. Gara-gara komunikasi pakai telegram jadinya mudah untuk ngelakuin ini.

Selain itu writeupnya juga pada gak bener. Ada yang persis copy paste. Bahkan user terminalnya pun sama persis -,- dan kata-katanya pure copy tanpa ada perubahan satu karakter pun. Banyak juga yang isinya asal-asalan dan bahkan penjelasan yang salah pun diikutin.

Dan katanya ini emang udah terjadi dari tahun2 lalu. Tapi kalau tahun2 lalu nilai akhir itu nilai di web scoring + nilai write up. Makanya yang curang-curang pada datang rombongan. Mana bisa begitu. Untuk tahun ini, ditegasin dengan kasih penalti besar-besaran ke write up yang gak valid, untuk nilai soal yang write upnya gak bener/ngasal dijadikan 0. Ada yang tadinya full score sampai jadi di bawah 500. Yang write up soalnya sama persis juga dikasih penalti dua-duanya.

Saya kesal dengan mentalitas pencontek seperti ini. Dulu waktu saya masih sering ikutan CTF di akhir pekan, banyak juga yang menanyakan apa flag (jawaban) sebuah soal. Sebenarnya kalo ada yang tanya petunjuk (hint) untuk mengerjakan soalnya, biasanya akan saya jawab. Misalnya akan saya jawab dengan: coba SQL injection, atau: coba baca artikel ini.

Untungnya masih ada beberapa yang bertanya seperti itu, dan sampai sekarang pun masih ada yang rajin menanyakan hint dan meminta petunjuk buku atau artikel mana yang perlu dibaca untuk menyelesaikan soal tertentu atau memahami konsep tertentu. Orang-orang seperti ini yang akan sangat dirugikan oleh cheater.

CTF perlu anti contek juga?

Banyak orang mengkritik kalau pejabat pemerintah bobrok, banyak koruptor, dsb. Padahal kelakuan seperti itu dimulai dari kelakuan kecil seperti mencontek ini.  Jangan pikir bahwa mencontek ini tidak merugikan siapa-siapa: di lomba semacam ini, kelakuan curang akan sangat merugikan orang yang jujur dan memiliki keahlian.

Sebenarnya apa sih tujuan main CTF kalau mainnya curang? CTF itu untuk belajar, dan nanti bisa terpakai di dunia nyata di dunia security. CTF juga buat bersenang-senang seperti menyelesaikan puzzle. Kelakuan cheater seperti ini cuma merusak kesenangan orang yang beneran menikmati main CTF.

Andaikan team curang ini lolos ke final, mereka akan bengong melihat soal-soal yang ada. Andaikan panitia tidak teliti, dan semua team cheater yang masuk final, maka ketika ke tahap berikutnya di level ASEAN, mereka akan bengong dan memalukan Indonesia.

Mencegah kecurangan

Sebenarnya ada cara untuk mempersulit kecurangan semacam ini, tapi panitia harus bekerja ekstra. Tiap flag bisa dibuat unik per peserta, jadi flag tidak bisa dishare begitu saja. Tentunya tidak mudah membuat variasi ini untuk semua jenis soal, tapi mungkin bisa dilakukan untuk sebagian soal saja. Ini tidak mencegah peserta untuk sharing cara mereka menyelesaikan soal.

Untuk membuat orang segan berbagi metode, di beberapa CTF, skor untuk satu soal dikaitkan dengan dua faktor: siapa yang menyelesaikan duluan dan berapa banyak yang menyelesaikan soal tersebut.

Peserta yang duluan menyelesaikan soal mendapat skor lebih tinggi dari peserta berikutnya (misalnya 100%, 99%, dst). Jika sebuah soal banyak diselesaikan oleh orang, maka bobot soal dikurangi, artinya soal yang hanya bisa dipecahkan oleh 10 orang bobotnya lebih tinggi dari yang bisa diselesaikan 100 orang.

Dalam metode scoring ini skornya jadi dinamis. Misalnya soal 1 nilai bobot awalnya 1000. Team A menyelesaikan soal 1, dan mendapat skor 1000. Tiba-tiba ada 9 peserta lain yang berhasil menyelesaikan, bobot skor dikurangi jadi 900, sekarang tiba-tiba team A memiliki skor 900 meskipun tidak melakukan apa-apa.

Team yang jagoan, yang bisa menemukan beberapa flag akan malas sharing dengan team lain: buat apa sharing, nanti skor saya akan menurun kalo banyak yang menyelesaikan soalnya.

Penutup

Bagi saya sendiri, CTF untuk bersenang-senang, kenalan dengan banyak orang, dan kadang-kadang juga mendatangkan rejeki dari tawaran pekerjaan. Beberapa CTF (Seperti Flare On) juga menawari peserta untuk mengirimkan resume (jika berhasil menyelesaikan semua challengenya).

CTF yang baik dan fun butuh panitia yang baik, dan juga butuh peserta yang baik. Jadilah peserta CTF yang jujur dan mau belajar. Panitia jadi akan punya lebih banyak waktu untuk membuat soal yang baik daripada susah payah mencegah cheater.

Dunia CTF dan CTF Tingkat Dunia

Sebagian pihak ternyata “tidak terima” dengan pendapat saya di tulisan sebelumnya, bahwa event CTF (capture the flag) tertentu itu levelnya buruk. Mereka berpendapat itu hanya “pendapat sebagian orang saja”. Di tulisan ini saya akan membahas seputar dunia CTF, dan apa yang saya maksud dengan CTF Tingkat dunia. Buat Anda yang blank mengenai dunia CTF, bisa membaca perkenalan CTF oleh saya di posting ini.

Setelah membaca defense dari pihak Cyberjawara, yang penuh dengan kekonyolan, sampai tidak tahu harus mulai dari mana (contohnya: katanya tidak semua writeup dipublish publik karena pembuat soal tidak mengijinkan), saya memutuskan untuk memperkenalkan dengan gamblang dunia CTF bagi semua orang.
Lanjutkan membaca “Dunia CTF dan CTF Tingkat Dunia”

Bikin CTF yang bener dong, jangan malu-maluin

Daripada sekedar menyindir (sindiran sudah dilakukan puluhan orang dari beberapa tahun lalu), sekalian lah saya posting terbuka bagi penyelenggara lomba Capture The Flag (CTF) yang super ngawur, terutama CTF Cyber Jawara. Beberapa CTF Indonesia sudah baik (seperti botani.cf Gemastik, atau idsecconf), tapi Cyberjawara ini sudah parah, jadi bahan tertawaan setiap tahun tetap saja tidak membaik (tahun ini saja sudah ada beberapa, misalnya ini, ini dan ini). Padahal ini adalah kegiatan ID SIRTII (Indonesia Security Incident Response Team on Internet Infrastructure)

ctf
Lanjutkan membaca “Bikin CTF yang bener dong, jangan malu-maluin”