Aneka bug bypass OTP (One Time Password)

Berbagai website memiliki fitur two factor authentication (2FA) dalam bentuk OTP (One Time Password) alias password sekali pakai yang biasanya dikirim via SMS atau email. Sering kali ini tidak diimplementasikan dengan sempurna dan bisa dibypass. Tulisan ini tidak membahas metode baru, hanya sekedar koleksi beberapa OTP bypass yang sering saya temukan. Tujuan tulisan ini:

  • Untuk pentester supaya jadi checklist ketika mengecek OTP
  • Untuk programmer supaya jadi checklist ketika mengimplementasikan OTP

Tulisan ini juga untuk memberi pencerahan, supaya user sadar bahwa meskipun sebuah website memiliki OTP tidak berarti 100% aman. OTP biasanya diminta ketika login kali pertama, dan kadang hanya diminta ketika akan melakukan transaksi (contoh: ketika akan transfer uang). Kadang bypass OTP bisa dilakukan di login saja, transaksi saja, atau keduanya.

Sebagai catatan: OTP hanyalah salah satu bentuk dari 2FA, contoh lainnya adalah penggunaan hardware key. Implementasi OTP yang baik seharusnya tidak bisa dibypass. Jadi jika sebuah website tidak bisa dibypass OTP-nya dengan cara di sini, maka ada beberapa kemungkinan

  • Implementasi OTP website/aplikasi tersebut sudah aman dan memang tidak bisa dibypass
  • Anda kurang kreatif memikirkan bug lain yang mungkin spesifik terhadap aplikasi tersebut

OTP kosong

Kadang sebuah website membuat OTP jadi opsional, user bisa mengaktifkan OTP jika ingin lebih aman. Beberapa website mengecek ini dari ada atau tidaknya OTP yang dikirimkan dan dengan meremove field otp kadang OTP bisa dibypass.

OTP Non Numerik/Non String

Ini bypass sangat sederhana. Program backend berharap OTP adalah string, tapi bagaimana jika kita beri input berupa array atau object? Contohnya di PHP, parameter otp=123456 bisa dicoba diganti dengan otp[]=12356. Contoh lain jika backend menerima JSON: {"userid": "x123", "otp":"123456"} lalu kita ganti menjadi {"userid": "x123", "otp":[]} .

Salah satu penyebab ini bisa terjadi adalah penggunaan strcmp di PHP untuk membandingkan string dan array. Ini adalah salah satu kelemahan type juggling di PHP. Sementara di NodeJS atau teknologi javascript lain, bisa juga memiliki bug prototype pollution.

Intinya adalah: input-input non numerik/non string atau bahkan string dengan format tertentu bisa saja membuat error pada pemrosesan di backend.

SQL Injection/Akses Database

Bug SQL injection memungkinkan kita mengintip nilai OTP saat ini. Bahkan dalam kasus tertentu field OTP itu sendiri yang memiliki SQL injection. Hal ini bisa parah jika OTP yang dipakai adalah berbasis TOTP (time based OTP), dan kita memiliki seed untuk OTP tersebut. Artinya kita bisa mendapatkan OTP untuk sembarang orang kapanpun juga.

Tentunya akses database tidak harus selalu melalui SQL Injection, bisa saja melalui noSQL injection atau melalui Remote Code Execution (RCE). Jika kita bisa mendapatkan RCE kita bisa mengupload shell yang bisa mengakses database.

Bruteforce OTP

Jika tidak dibatasi waktu dan jumlah percobaan, maka OTP bisa dibypass dengan bruteforce terutama jika hanya 4 digit. Hanya dibutuhkan maksimum 10 ribu percobaan. Dalam kasus tertentu jumlah request bisa sangat sedikit. Kasus menarik yang pernah saya temui: OTP dibutuhkan untuk menambahkan email, dan format requestnya seperti ini:

actions: [{"action": "add_email",  "email": "[email protected]", "otp":"1232"}]

Menariknya di sini adalah adanya array actions, artinya kita bisa mengirimkan banyak request sekaligus, seperti ini:

actions: [
{"action": "add_email",  "email": "[email protected]", "otp":"0001"},  
{"action": "add_email",  "email": "[email protected]", "otp":"0002"},
{"action": "add_email",  "email": "[email protected]", "otp":"0003"} 
] 

Saya beruntung karena aplikasi tersebut meneruskan memproses action berikutnya jika yang pertama gagal. Karena hanya ada 10 ribu kemungkinan, kita cukup mengirimkan 100 request dengan masing-masing request mencoba 100 OTP. Atau bahkan jika sistemnya mampu menerima, kita mungkin bisa mengirimkan 1000 OTP, dan hanya butuh 10 request.

OTP dicek di client

Ini adalah bug yang sangat aneh dan seharusnya tidak terjadi. Ketika aplikasi butuh OTP, server mengembalikan nilai OTP ke client. Client di sini artinya browser atau mobile app. Jadi jika kita bisa mengintercept hasil requestnya, kita tahu apa OTPnya. Bug ini mungkin terdengar konyol, tapi setidaknya sudah ada 3 aplikasi yang saya cek yang memiliki bug sejenis ini.

Memakai OTP user lain

Ada OTP yang diimplementasikan dengan aneh: OTP tidak diasosiasikan dengan user id, tapi dengan OTP token. Atau sederhananya: OTP sesorang bisa dipakai orang lain.

Dalam bug ini, ketika user melakukan aksi yang butuh OTP, aplikasi meminta ke server (generateOTP) dan server akan mengembalikan sebuah token OTP (bukan string OTPnya, hanya sekedar ID misalnya xyz123) ke aplikasi sambil mengirimkan nilai OTP ke SMS User (misalnya 7171). Ketika user mengetikkan OTP dari SMS yang diterimanya, maka yang dikirimkan ke server adalah: aksi user saat ini (misalnya transfer uang), token OTP (xyz123) dan OTP-nya (7171).

Masalahnya token OTP ini bisa dipakai di user lain, jadi dengan mengirimkan transaksi sebagai user B, tapi memakai nilai OTP dari user A (dengan token OTP dan nilai OTP user A) kita bisa membypass OTP user B. Jadi dalam kasus ini: attacker A memiliki account juga di website target agar bisa menerima OTP di ponselnya.

OTP spamming

Terkadang SMS tidak langsung sampai, jadi user meminta OTP sampai beberapa kali. Kadang jika kita meminta OTP 3 kali, yang sampai ke HP malah hanya 2 OTP pertama (sementara OTP terakhir masih “nyangkut”). Karena ingin berbaik hati, sebagian programmer menerima tidak hanya OTP terakhir, tapi beberapa OTP sebelumnya. Kadang ini tidak berdasarkan jumlah (n OTP sebelumnya), tapi berdasarkan waktu, misalnya OTP yang dihasilkan 10 menit terakhir akan dianggap valid.

Kita bisa menspam server dengan meminta OTP sebanyak-banyaknya. Misalnya OTP hanya 4 digit dan selama 10 menit kita bisa meminta 1000 OTP, maka kemungkinan OTP kita benar adalah 1 banding 10.

Bug IDOR update profile/phone number

Biasanya kita bisa mengubah nomor telepon via aplikasi atau via web. Jika ada bug indirect object references (IDOR) sehingga kita bisa mengupdate/menimpa profil atau ponsel orang lain ketika kita melakukan aksi profile (yang seharusnya mengupdate profile kita sendiri), maka ini bisa digunakan untuk bypass OTP karena OTP akan dikirimkan ke nomor ponsel kita.

Sebagai catatan: kebanyakan bank (termasuk yang saya pakai) hanya mengijinkan perubahan nomor ponsel dengan datang langsung ke banknya. Sementara perubahan email berbeda kebijakannya (ada bank yang mengijinkan online, ada yang tidak, ada yang butuh OTP dan ada yang tidak).

Weak Random Number Generator

Ini hanya bisa ditemukan jika kita bisa mendapatkan akses ke source code melalui bug lain (atau mungkin adminnya lupa sehingga direktori .git bisa diakses). Kadang OTP dihasilkan hanya dari random number generator yang memakai waktu saat ini sebagai seed.

Logic Reset Password

Dalam banyak aplikasi, setelah kita reset password, maka kita otomatis login. Jika ada kelemahan dalam mekanisme reset password (ini mungkin akan saya bahas di kesempatan lain), maka kita bisa memanfaatkan ini untuk bypass OTP.

Cara lain (bukan bug aplikasi)

Sebagai pelengkap, saya akan menuliskan beberapa bypass OTP yang bukan bug aplikasi dan biasanya di luar scope sebuah bounty ataupun pentest.

Kebanyakan orang jahat memakai social engineering agar korban membacakan OTP. Ini menurut saya bukan bug aplikasi, terutama jika ada instruksi yang jelas di SMS: jangan berikan OTP ini pada siapapun. Jika instruksinya tidak ada atau tidak jelas, maka itu bisa disarankan kepada developernya.

Simjacking atau SIM swap adalah serangan social engineering ke perusahaan telekomunikasi. Intinya penyerang mengumpulkan data orang lain, dan menghubungi perusahaan telekomunikasi: “Maaf SIM card saya hilang, tolong buatkan SIM card baru dengan nomor yang sama, berikut ini data pribadi saya”. Dengan data yang cukup lengkap, penipu bisa meyakinkan agar diberikan SIM Card baru.

Cara lain bypass OTP adalah dengan mengakses sistem telekomunikasi, baik itu bug di level SS7 maupun di sistem lain yang berhubungan dengan SMS. Sebagai catatan: serangan ini cukup kompleks dan rawan ketahuan. Jadi biasanya hanya dilakukan jika targetnya nilainya cukup besar.

Cara berikutnya adalah dengan malware: jika ada malware yang terinstall di HP korban, maka semua SMS bisa diakses oleh attacker. Dengan cara ini OTP aplikasi apapun yang berbasis SMS bisa diakses oleh attacker. Agar korban menginstall aplikasi malware ini, korban bisa ditipu dengan social engineering tertarget (“bapak perlu menginstall aplikasi kami terbaru agar dapat mengakses layanan ini”) atau sekedar membuat aplikasi palsu dan disebar ke web ( misalnya: “APK terbaru cheat Mobile Legends”).

Jika OTP dikirim via email, dan email sudah diambil alih oleh attacker, maka attacker akan bisa mengakses OTP. Berbagai serangan untuk mengakses email orang bisa dilakukan, dan mungkin akan saya bahas juga di tulisan lain.

Penutup

Mungkin masih ada bug-bug lain yang tidak tercantum di sini, jadi jangan cuma terpaku pada list yang tercantum di sini. Intinya pikirkan dari mulai OTP dibuat, dikirimkan, sampai divalidasi di sisi server.

Ketika saya mendapatkan source code sebuah aplikasi, kadang saya terpikir beberapa bug yang tidak terpikirkan sebelumnya. Misalnya ternyata programmernya memiliki backdoor OTP, yaitu OTP sakti berupa string khusus yang bisa dipakai di sembarang transaksi (mungkin digunakan ketika testing tapi tidak dihapus dalam production).

Artikel singkat ini sekedar menjadi checklist ketika pentest untuk mengetahui serangan apa saja yang bisa dilakukan untuk bypass OTP. Saya juga berharap programmer membaca ini agar membuat sistem yang aman. Saya suka sistem yang aman karena membuat pekerjaan pentest saya jadi lebih cepat, dan saya jadi bisa memikirkan bug lain yang lebih kreatif.

Mengenal Frida untuk Reverse Engineering

Salah satu tools reverse engineering yang sering saya pakai adalah Frida. Frida memungkinkan kita meng-intercept fungsi dalam C/native code (di berbagai sistem operasi), Java (di Android) dan Objective C (di macOS/iOS) dengan menggunakan JavaScript. Mungkin bagi sebagian orang deskripsi ini masih agak terlalu mengawang-awang, jadi akan saya berikan contoh nyata apa maksudnya mengintercept fungsi.

Saya berikan contoh program kecil seperti ini dalam C, yang hanya melakukan loop membuka satu file, mencetak sebaris dari file tersebut, lalu program akan sleep selama 1 detik. Program ini akan saya intercept dengan Frida.

Saya mengisi file1 dengan string “Yohanes Nugroho” dan file2 dengan string “Risnawaty”, jadi ketika dijalankan outputnya seperti ini:

Jenis intercept pertama adalah hanya sekedar memonitor pemanggilan fungsi. Dalam kasus ini saya memakai cara mudah memakai frida-trace dan meminta agar fungsi “open” ditrace. Pertama kita jalankan test-open di satu window, dan frida-trace di Window lain.

Sebagai catatan: fungsi C fopen akan memanggil fungsi “open”. Jadi kita juga bisa mengintercept “open”, dan hasilnya seperti ini:

Saya lebih suka bekerja dengan fungsi yang levelnya lebih dekat ke kernel, karena tidak perlu khawatir dengan berbagai detail implementasi di library C. Contohnya: fungsi fwrite akan membuffer penulisan ke file, sedangkan jika kita memakai write, akan langsung dituliskan. Contoh masalahnya ketika memakai fwrite kadang bingung: loh kenapa isi filenya masih sama? oh ternyata belum di-flush.

Dari contoh ini sudah bisa terlihat satu kegunaan tools ini: untuk melihat parameter sebuah fungsi. Dalam kasus tertentu ini sangat berguna, misalnya Kita bisa melihat key apa yang dipakai oleh sebuah fungsi enkripsi dengan memonitor fungsi enkripsi. Selain memonitor, kita bisa mengubah mengganti sesuatu, tidak sekedar memonitor.

Program frida-trace akan otomatis membuat file javascript sesuai nama fungsinya di direktori __handlers__. Dalam kasus ini didapati ada dua fungsi open: didalam libc dan libpthread. Dalam kasus ini yang akan terpakai adalah open di dalam libc. File Javascript yang dihasilkan oleh frida-trace seperti ini:

Intinya adalah: ketika masuk ke fungsi open, maka log/cetak parameter fungsinya. Sekarang kita bisa mengganti agar jika file1 dibuka, kita ganti dengan file2, seperti ini:

Sekarang kita bisa mencoba lagi menjalankan frida-trace. Di Window atas adalah program sebelumnya. Di bawahnya saya menjalankan frida-trace (dengan Javascript yang sudah dimodifikasi). Hasilnya di awal program akan mencetak “Yohanes Nugroho”, dan ketika frida-trace dijalankan, file yang dibuka diganti dengan file2 yang berisi “Risnawaty”. Ketika frida-trace dihentikan, fungsi dikembalikan seperti semua.

Perhatikan bahwa saya tidak mengubah sama sekali program test-open. Program tersebut dijalankan apa adanya seperti semula. Dengan kemampuan untuk mengubah parameter (dan juga kembalian fungsi, dalam onLeave), maka kita bisa membypass berbagai proteksi sederhana misalnya membuat isJailbroken() mengembalikan false, atau membuat layar administrator di aplikasi mobile bisa diakses user biasa. Dalam kasus tertentu ini bisa gawat jika ternyata checking hanya dilakukan lokal dan bukan di server.

Ketika mengintercept fungsi, Frida bisa memetakan dari calling convention menjadi objek javascript, misalnya register RDI di calling convention x86_64 menjadi isi args[0], dan ketika mengubah args[0] ini dipetakan agar mengubah RDI. Translasi calling convetion ini otomatis, jadi kita tidak perlu tahu di ARM memakai register apa untuk parameter pertama. Selain intercept fungsi, frida juga bisa mengintercept alamat tertentu (satu titik). Di mode ini, kode kita akan dipanggil tiap kali alamat tersebut dilewati (seperti breakpoint di debugger) tapi tidak ada pemetaan register atau stack ke argumen, jadi register dan memori perlu diakses manual.

Dalam banyak kasus, Frida bisa menggantikan peran debugger. Biasanya ketika melakukan RE Native Code, saya akan membaca kodenya, memahaminya, lalu biasanya perlu tahu nilai sebuah register atau isi memori tertentu. Dengan debugger, saya akan melakukan breakpoint di sebuah fungsi, lalu melihat isi registernya di titik itu atau mengubah nilai registernya. Dengan Frida, saya bisa menulis skrip untuk mengintercept alamat tertentu, dan di situ saya bisa melakukan aksi apapun dengan Javascript, misalnya:

  • Memprint isi register (atau mengubah registernya)
  • Mencetak backtrace fungsi (mengetahui fungsi mana yang memanggil fungsi ini)
  • Memprint isi memori (atau bahkan mengubahnya)

Perlu diperhatikan bahwa: kita perlu tahu dengan tepat fungsi apa yang perlu diintercept. Ini bisa dilakukan dengan static analysis (menggunakan disassembler/decompiler). Seperti contoh yang saya berikan: kita bisa melakukan intercept pada fungsi/API yang umum (open) tanpa mengetahui kodenya.

Cara kerja Frida

Ada banyak tulisan mengenai Frida, tapi kebanyakan hanya membahas satu hal kecil saja (kebanyakan untuk intercept API di Android saja). Di sini akan saya bahas sedikit lebih luas, supaya bisa memakai Frida di platform mana saja, bukan hanya untuk intercept aplikasi mobile.

Secara umum sebagian besar kode Frida ditulis dalam C dan bahasa Vala. Karena Frida memakai Javascript sebagai bahasa untuk mengontrol target, sebagian API Frida ditulis dalam Javascript. Tools command line Frida ditulis dengan Python, dan API utama Frida adalah dalam C. API Frida juga bisa diakses berbagai bahasa (Python/Java/.NET/Node dsb).

Hal pertama yang harus dipahami adalah: Frida perlu berjalan di address space proses yang menjadi target. Ada beberapa cara frida bisa masuk ke address space proses lain:

  • Kita compile source code kita dengan menginclude library Frida (dengan frida-gum-devkit, atau frida-gumjs-devkit)
  • Kita load library Frida (frida-gadget) dengan fitur OS tertentu, misalnya LD_LIBRARY_PATH di berbagai OS sejenis Unix (misalnya Linux), atau injeksi dylib di iOS/macOS. Intinya kita mengubah program atau lingkungan program agar library Frida diload sebelum program berjalan.
  • Injeksi program yang sudah berjalan menggunakan ptrace atau API sejenis. Injeksi bisa dilakukan secara langsung atau menggunakan frida-server.

Injeksi ke proses menggunakan API ptrace hanya bisa dilakukan jika kita memiliki permission untuk melakukan debugging pada proses tersebut (di iOS kita butuh jailbreak jika ingin memakai cara ini). Program frida-server berguna jika kita ingin mengakses API dari device lain, misalnya di Android yang sudah di-root, kita bisa memakai frida-server untuk melakukan injeksi dan sekaligus menjadi jembatan agar API-nya bisa diakses dari PC.

Saya tidak akan membicarakan dengan detail bagaimana melakukan berbagai langkah di atas, karena tiap OS butuh penjelasan yang detail. Contoh di iOS (tanpa jailbreak) kita harus mengekstrak IPA (harus unencrypted), mengcopy library, mengedit load command di binary utama, menandatangani file IPA. Masing-masing langkah butuh penjelasan yang tidak singkat. Intinya adalah: kita harus bisa membuat Frida berjalan di aplikasi target.

Setelah bisa berjalan di address space target, Frida akan menulis ulang implementasi assembly fungsi yang kita intercept supaya melakukan jump ke library frida yang sudah ada di address space proses tersebut. Di sini ada magic yang dilakukan Frida: frida akan melakukan tracing statik untuk mengetahui di mana saja titik keluar fungsi dan membuat hook juga di situ untuk onLeave.

Frida kemudian akan bisa memanggil kode Javascript yang kita tulis. Ada dua opsi engine Javascript yang bisa dipakai: V8 dan Duktape, secara umum V8 lebih cepat, tapi butuh lebih banyak memori, dan duktape sebaliknya: lebih lambat tapi hemat memori. Ketika melakukan detach, frida akan mengembalikan kode yang diubah kembali seperti semula.

Modul Frida

Jika melihat halaman release frida, akan ada banyak sekali file yang bisa didownload. Ini mungkin akan sangat membingungkan buat pemula, jadi akan saya jelaskan secara singkat berbagai file yang bisa didownload di situ.

Frida tertarget sangat spesifik untuk sistem operasi tertentu, jadi ada banyak rilis Berdasarkan sistem operasi (android, ios, windows, dsb). Frida juga perlu dicompile spesifik untuk arsitektur CPU tertentu, jadi ada banyak arsitektur CPU: x86-64, arm, arm64, dsb. Jadi pertama kita bisa menyaring untuk OS dan CPU mana yang ingin kita pakai.

Frida dipisahkan menjadi banyak modul:

  • Kita bisa menginjeksikan kode langsung dengan memanggil API Frida dalam C. Jika ingin melakukan ini downloadlah frida-core-devkit
  • Jika kita ingin memakai frida di aplikasi yang ada source codenya, kita bisa mendownload frida-gum-devkit atau frida-gumjs-devkit
  • Jika kita ingin menginjeksi satu proses saja di iOS/Android, kita bisa memakai frida-inject
  • Jika kita ingin menginjeksi berbagai proses mengaksesnya dari device lain (misalnya injeksi Android/iOS dan akses API-nya dari PC) kita bisa memakai frida-server
  • Jika kita ingin manual memasukkan library dengan LD_LIBRARY_PATH atau dylib injection, kita bisa memakai frida-gadget

Selain kode di atas, ada beberapa API bindings untuk berbagai bahasa: Python, nodejs, Java, QML (Qt), Swift, dan .NET. Untuk pemula: sebaiknya gunakan Python saja, ada banyak contohnya, sedangkan untuk bahasa lain masih minim.

Secara praktis, berikut ini yang perlu dilakukan untuk pemula:

  • Di desktop: “pip install frida frida-tools” ini sudah cukup untuk debugging aplikasi lokal di desktop
  • Di Android: sebaiknya root HP Anda, lalu gunakan frida-server
  • Di iOS (karena Jailbreak semakin sulit): gunakan frida-gadget

Penutup

Sudah ada banyak sekali contoh penggunaan Frida di berbagai situs lain, misalnya untuk: disable certificate pinning, mendapatkan key enkripsi, bypass jailbreak check, dsb. Jadi silahkan dicari sendiri sesuai kebutuhan. Di Artikel lain saya akan membahas beberapa trik yang saya pelajari setelah cukup lama memakai Frida.

Menurut saya Frida merupakan tools yang sangat powerful yang bisa membantu banyak task reverse engineering. Tahun lalu saya banyak menyelesaikan Flare-On dengan Frida. Bahkan saya juga memakai Frida ini untuk debugging secara umum di aplikasi saya yang ditulis dalam C/C++.

Meskipun demikian Frida juga memiliki berbagai masalah: dokumentasi Frida cukup terbatas dan sering kali saya harus membaca source codenya untuk memahami berbagai hal. Selain itu Frida juga masih terus diupdate, sering kali versi baru membawa banyak fitur baru, tapi seringkali juga membuat error baru. Tadinya saya ingin membuat contoh yang lebih sederhana, tapi terkena error ini (saat artikel ini ditulis: belum ada solusinya).

Saran saya: cobalah memakai Frida. Tools ini masih terus dikembangkan secara aktif. Frida juga cross platform, jadi toolsnya akan terpakai di banyak tempat tidak seperti tools spesifik OS tertentu (misalnya WinDBG yang hanya untuk Windows).

Pinjaman Online Ilegal dan Data Anda

Beberapa waktu yang lalu sempat ada berita tentang pinjaman online (ilegal) yang servernya terbuka dan ternyata di dalamnya ada banyak data lain, termasuk data dari provider seperti Telkomsel, XL, Go-Jek dsb. Saya tidak akan membahas mengenai kasus ini secara spesifik karena informasinya sudah diserahkan ke kominfo dan OJK via Xynexis dan saat ini sedang diproses.

Saya hanya ingin membahas: dari mana pinjaman online ini mendapatkan berbagai data pribadi. Data yang saya maksud contohnya data telkomsel ( berapa sisa saldo, kapan terakhir kali mengisi), gojek ( data perjalanan yang pernah dilakukan), dan berbagai layanan lain.

Jawabannya sangat sederhana: dari user itu sendiri secara sukarela. Loh kok ada yang mau memberikan data secara sukarela? karena ada rewardnya. Dalam kasus pinjaman online: jika user bersedia login ke layanan tertentu, maka limit pinjamannya akan dinaikkan.

Perlu diketahui ada beberapa perusahaan (setahu saya semuanya dari China) yang menyediakan SDK (software development kit) untuk memudahkan mendapatkan data dari user Jadi sebuah perusahaan pinjaman tidak perlu repot-repot mempelajari bagaimana protokol Go-jek atau Telkomsel, cukup install SDK tersebut maka aplikasi bisa menerima data dari pengguna.

Contoh penggunaan SDK

Sumber data yang bisa diminta sangat banyak, ini contohnya dari satu perusahaan saja bisa menyediakan ini semua. Masih ada juga beberapa perusahaan yang menyediakan sumber data lain, misalnya BPJS.

Tentunya pihak ketiga tersebut juga bisa menyimpan data untuk tiap orang yang datanya diambil. Jadi jangan kaget kalau data yang tidak pernah diinput di satu aplikasi bisa didapatkan oleh aplikasi lain.

Dengan data ekstra ini para pemberi pinjaman online akan bisa melakukan banyak hal, misalnya:

  • melakukan profiling apakah seseorang punya risiko tinggi untuk kabur
  • mengetahui semua alamat pengiriman belanja online
  • memberi tahu debt collector untuk menunggu Anda di tempat yang biasa Anda datangi dengan Gojek

Penutup

Saya menyarankan: jangan pakai jasa peminjaman online. Alasan utamanya: bunganya sangat tinggi. Untuk yang ilegal, ada banyak masalah:

  • Mereka kadang menggunakan cara kasar untuk penagihan
  • Data pribadi Anda bisa bocor ke mana-mana (dengan sengaja oleh mereka)
  • Mereka tidak menginvestasikan uang untuk keamanan server, jadi data Anda bisa tersebar ke mana-mana karena server mereka dijebol orang lain (atau bahkan kadang terbuka di Internet)
  • Anda juga membocorkan data orang lain (data orang-orang di phonebook Anda)

Kalau bisa sih, jangan miskin supaya tidak butuh pinjaman, tapi tentunya ini sulit.

Sumber dari Video: Lessons from the longest study on human development | Helen Pearson

Biaya Reverse Engineering

Saya pernah menuliskan mengenai mahalnya membuat aplikasi mobile. Saya juga pernah menulis mengenai ransomware dan RE dan betapa sulitnya hal tersebut. Tapi sepertinya banyak yang belum paham bahwa RE juga mahal (untuk yang tidak tahu apa itu RE, silakan baca FAQ berbahasa Indonesia di sini). Ini untuk menjawab berbagai pertanyaan orang yang ini minta bantuan untuk: Reverse engineering game, reverse engineering malware/ransomware, cracking software tertentu, dan segala macam bantuan yang berhubungan dengan reverse engineering.

Jumlah orang yang bisa melakukan reverse engineering di dunia ini tidak banyak. Sesuai hukum supply dan demand: karena yang bisa melakukan RE relatif sedikit maka harga jasanya jadi mahal. Reverse engineering juga butuh waktu cukup lama. Jangan bayangkan RE ini sekedar membuka IDA Pro atau tool sejenis dan langsung bisa menemukan di mana harus patch sesuatu atau menemukan algoritma tertentu.

Coba minta seorang programmer membaca kode program di github dan minta dia memodifikasi sesuatu. Berapa banyak yang langsung bisa memahami isi sebuah program yang lumayan kompleks? Banyak programmer bahkan sudah menyerah duluan karena tidak bisa mengcompile programnya. Reverse engineering kode biner akan butuh waktu jauh lebih lama dari membaca source code yang lengkap ada komentar dan dokumentasinya.

Harga jasa RE juga akan lebih mahal jika program memiliki proteksi kompleks. Jika harga sebuah software hanya puluhan hingga ratusan USD: masih lebih murah membeli software tersebut daripada membayar orang untuk mengcracknya.

Dalam kasus malware dan ransomware : jarang sekali malware yang tidak diproteksi, jadi proses reversingnya tidak sebentar. Belum lagi ada banyak sekali varian ransomware yang masing-masing versinya sudah berbeda sama sekali. FireEye dulu menyediakan jasa decrypt ransomware, tapi kemudian terlalu banyak varian yang ada, jadi mereka sudah tidak mau lagi menghabiskan sumber daya untuk ini:

If your computer has recently been infected with ransomware, chances are that the infection has been caused by one of the many copycat attacks that use the same or similar name and method of operation. Since these new ransomware variants use different encryption keys, we have discontinued the DecryptCryptoLocker website and its associated decryption service.

https://www.fireeye.com/blog/executive-perspective/2014/08/your-locker-of-information-for-cryptolocker-decryption.html

Saat ini saya tidak tertarik untuk mereverse engineer ransomware, apalagi jika diminta tolong secara gratis. Analisis malware butuh waktu minimal beberapa jam dan bisa sampai berhari-hari. Meskipun jika sedang tidak ada proyek lain, saya lebih senang menghabiskan waktu ini bersama keluarga. Saya sudah menulis lebih banyak mengenai ransomware di posting ini.

Orang yang ahli dan terbukti bisa melakukan RE biasanya sudah punya pekerjaan. Ada banyak jalan untuk menghasilkan uang dari skill RE, baik jalan legal, ilegal, atau yang di tengah-tengah. Orang-orang yang sudah mendapatkan banyak uang dari aktivitas-aktivitas tersebut biasanya akan malas menerima pekerjaan baru.

Melakukan RE pada aplikasi tertentu secara rutin biasanya akan lebih mudah. Kode program biasanya tidak berubah drastis dari satu versi ke berikut, jadi jangan heran juga jika seseorang lebih memilih melakukan pekerjaan RE yang rutin daripada menerima proyek yang sesekali datang.

Pekerjaan RE Legal

Pekerjaan RE legal biasanya di bidang software security (walau tidak selalu). Ada beberapa pekerjaan yang berhubungan dengan RE:

  • Reversing malware. Kerjanya membongkar berbagai malware/virus baru tiap hari
  • Mencari bug di software dan membuat exploit untuk software tersebut
  • Mencari bug di hardware dan membuat eksploit untuk hardware tersebut
  • Memberikan training. Banyak perusahaan mulai memperhatikan masalah security, jadi para engineer diharapkan bisa membongkar sendiri hasil kerja mereka apakah aman atau tidak
  • Pentesting aplikasi (baik resmi ataupun untuk bug bounty)
  • Rekonstruksi program berdasarkan program lama yang source codenya hilang

Saat ini kebanyakan pekerjaan legal seperti ini didapatkan dari luar Indonesia karena belum terlalu banyak riset security tingkat lanjut di Indonesia. Negara paling dekat yang membutuhkan banyak reverse engineer adalah Singapura.

Ada juga jalan legal unik yang dilakukan oleh Jane Wong. Dia melakukan RE berbagai aplikasi mobile untuk mengetahui fitur apa yang belum dirilis. Dalam artikel tersebut dituliskan bahwa dia menghabiskan 18 jam sehari untuk melakukan reverse engineering berbagai aplikasi.

Dengan jalan legal, gaji yang didapatkan bisa cukup banyak. Semakin tinggi skillnya, makin besar yang bisa didapatkan. Gaji terendah sudah setara dengan gaji programmer level menengah. Untuk kasus yang sangat ekstreem: jika sudah sangat jago RE, maka bisa menemukan dan membuat eksploit zero day yang harga per eksploitnya puluhan ribu hingga ratusan ribu USD. Bahkan exploit untuk iOS bisa dihargai hingga 1 juta USD.

Pekerjaan RE ilegal

Bagaimana dengan yang ilegal? Ada banyak hal ilegal yang bisa dilakukan, misalnya:

  • Cracking aplikasi (menghilangkan proteksi tertentu)
  • Hacking game (modifikasi game)
  • Hacking aplikasi (mengubah/menambah fungsionalitas tertentu, misalnya aplikasi Go-Jek)

Apakah bisnis ilegal ini menghasilkan uang banyak? jawabannya: iya, banyak sekali. Baru-baru ini Niantic (pembuat Pokemon Go) menuntut group Hacker yang membuat mod IPA game Pokemon Go dan Wizards Unite. Dalam tuntutannya disebutkan bahwa para hacker ini menggunakan Patreon di mana para pengguna bisa membayar biaya bulanan untuk mendapatkan modnya. Para pengguna harus membayar minimum 5 USD, dan jumlah total pengguna sudah lebih dari 10 ribu orang. Artinya mereka mendapatkan minimum 50 ribu USD per bulan.

Pokemon Go bukan satu-satunya game yang dicurangi hacker, masih ada banyak contoh game yang lain, hanya saja yang lain lebih susah dilacak karena memakai cryptocoin dan memakai group yang tertutup. Biasanya proses mencurangi game bukan sekedar membaca kode, tapi juga menulis kode baru. Contoh game lain juga masih banyak, misalnya ada hacker yang didenda 5.1 juta dollar karena hacking PUBG dan mencuri informasi user. Bahkan tanpa RE pun, cheating di berbagai game ini imbalannya sangat menjanjikan, misalnya ada contoh kisah bagaimana seorang remaja 16 tahun mendapatkan 200 ribu USD dari hacking game.

Di dalam negeri Indonesia ada juga mereka yang memodifikasi APK Gojek dan Grab (contoh berita: Grab rugi 6 milyar dari order fiktif). Saya tidak tahu berapa jumlah pengguna yang memakai APK yang dimodifikasi ini, tapi dari pengamatan saya di berbagai forum internet, jumlahnya setidaknya ribuan orang. Saat ini ada lebih dari 2 juta driver Go-jek, jadi mungkin perkiraan saya itu terlalu rendah, mungkin ada puluhan ribu orang yang memakai APK yang dimodifikasi. Uang bulanan untuk mendapatkan APK antara puluhan sampai ratusan ribu rupiah. Jadi para hacker ini mendapatkan setidaknya puluhan juta rupiah per bulan.

Di Singapore, Aplikasi Grab dan GO-JEK juga dihack dengan tarif 200-350 SGD/bulan. Andaikan bagian RE mendapatkan 10% saja (20-35 USD per driver), dari 100 driver bisa didapatkan 2000-3500 SGD (20-35 juta rupiah per bulan). Angka tersebut merupakan perkiraan yang sangat rendah, baik dari share untuk RE (bisa 25% atau lebih), maupun jumlah usernya (bisa ribuan).

Dengan banyaknya kesempatan mendapatkan uang dari RE ilegal, jangan heran jika tidak banyak yang mau mengcrack software untuk Anda (meskipun Anda berani membayar). Kemungkinan sudah ada pekerjaan ilegal lain yang hasilnya lebih besar dan lebih teratur.

Pekerjaan RE abu-abu

Lalu bagaimana dengan yang abu-abu? contohnya adalah reverse engineering aplikasi untuk mendapatkan API-nya, reverse engineering hardware untuk membuat clonenya atau membuat aksesori tambahan. Di beberapa negara ini ilegal, di tempat lain bisa dianggap legal karena bertujuan untuk interoperabilitas.

Contoh hal lain yang abu-abu adalah membongkar skrip trading untuk mengetahui strategi apa yang dipakai seseorang. Selama strateginya tidak dicopy dan disebarkan umum, ini sulit dituntut karena tujuannya hanya untuk mempelajari sesuatu.

Penutup

Seperti saran saya di tulisan mengenai aplikasi mobile: jika Anda merasa memakai jasa orang lain terlalu mahal, cobalah belajar sendiri RE. Sering kali orang merasa sesuatu terlalu mahal, tapi tidak mau juga belajar sendiri.

Saya sendiri jarang sekali menerima pekerjaan RE ekstra dari yang sudah saya lakukan sehari-hari. Jika ditanya siapa kenalan yang bisa melakukan RE, saya juga sering bingung karena mereka masing-masing juga sudah penuh dengan pekerjaan legal/ilegal/abu-abu.

OSCP

Posting ini akan membahas pengalaman saya mengambil sertifikasi Offensive Security Certified Professional (OSCP). OSCP merupakan sertifikasi di bidang security yang fokusnya adalah pentesting. Kebanyakan sertifikasi security hanya merupakan pertanyaan pilihan berganda, tapi dalam OSCP ujiannya adalah praktik langsung dengan mendapatkan akses ke 5 mesin dalam sebuah lab dalam waktu 23 jam 45 menit. Tidak ada soal pilihan ganda sama sekali. Setelah itu peserta perlu menulis laporan dalam 24 jam berikutnya untuk menjelaskan bagaimana bisa mendapatkan aksesnya.

Sebelum Agustus 2018 OSCP ini ujiannya tidak diawasi. Jadi seseorang diberi akses VPN ke lab, lalu ditunggu hasilnya besok. Hasilnya: banyak orang curang, memakai joki, meminta bantuan, dsb. Akhirnya sekarang OSCP ini diawasi dengan webcam dan screen sharing (istilahnya: proctored).

Buat yang tidak ingin membaca detail: saya lulus dengan akses lab 30 hari (saya hanya pakai sekitar 3 minggu) dan lulus di ujian pertama dengan skor 100 poin. Total biaya untuk sertifikasi ini dengan akses lab minimum dan sekali ujian langsung lulus adalah: 800 USD (~11 jt rupiah).

Perlukah sertifikasi ini?

Sebenarnya bagi saya pribadi, sertifikasi ini tidak terlalu perlu. Saya masuk ke dunia security tanpa sertifikasi apa-apa. Berbagai tulisan berbahasa Inggris yang ada di blog saya tinyhack.com dan berbagai karya di github dan tulisan di blog ini sudah lebih dari cukup untuk mendapatkan tawaran pekerjaan di berbagai negara. Saya sendiri saat ini masih kerasan di Chiang Mai dalam bidang software development dan belum berniat pindah ke mana-mana.

Karena saya tidak memiliki tekanan mendapatkan sertifikasi ini, saya tidak memiliki beban sama sekali dalam mengerjakan lab dan ujiannya. Dan ini membuat saya bisa mengerjakan dan mendapatkan sertifikasinya dengan relatif mudah.

Sebagai catatan: sering kali dalam hidup ini ijazah dan sertifikasi tidak menunjukkan skill tertentu. Tapi tetap saja ijazah dan sertifikasi bisa membuka banyak jalan. Contohnya: jika ingin bekerja di luar negeri, ijazah sarjana atau master akan sangat memudahkan untuk urusan Visa dibandingkan ijazah SMP atau SMU. Jika ingin melamar pekerjaan tertentu, kadang-kadang HR sudah membuang duluan CV tanpa sertifikasi padahal mungkin kemampuannya lebih hebat.

Sertifikasi OSCP ini cukup dipandang positif di banyak tempat (internasional). Setidaknya jika seseorang lulus OSCP (secara jujur), maka kemampuan memakai berbagai tool dasar, kemampuan menggunakan eksploit baru tanpa bergantung metasploit sudah teruji. Sedangkan pada sertifikasi lain yang teruji hanya kemampuan menghapal teks.

Meski OSCP ini cukup dikenal, tapi ada juga perusahaan-perusahaan yang butuh sertifikasi “hapalan” seperti CEH. Menurut saya seseorang yang sudah lolos OSCP akan relatif mudah mengambil sertifikasi lain yang sifatnya hapalan.

Untuk mahasiswa atau orang IT secara umum (baik itu software developer, sysadmin dsb) yang ingin terjun ke dunia security atau pentesting, sertifikasi ini cukup disarankan. Dengan sertifikasi ini, akan cukup mudah untuk mencari pekerjaan di dunia pentesting.

Jika Anda merasa bahwa Anda sudah jago dalam bidang security tapi tidak punya karya yang bisa ditampilkan (misalnya karena kebanyakan yang Anda lakukan adalah illegal), maka ikut OSCP ini juga bisa jadi jalan untuk menunjukkan kemampuan Anda secara legal. Kalau memang sudah beneran jagoan, maka ikut OSCP ini akan sangat mudah. Tapi kalau ternyata belum sejago itu, berarti masih ada hal-hal yang ternyata belum dikuasai dan perlu diperdalam.

Motivasi pribadi

Lucunya beberapa hari sebelum ujian, saya baru mendapatkan wawancara teman saya Tintin tahun lalu:

https://book.theprasojos.id/download/169/pdf/169.pdf

Kalau merasa tidak perlu, lalu kenapa mengambil sertifikasi ini? Tahun ini saya sedang ingin belajar banyak hal. Menurut saya perlu untuk sesekali merefresh ilmu. Minat saya terlalu banyak, dari mulai elektronik, embedded system, security, jaringan, software development, sampai AI. Awal tahun saya sudah mengambil 6 course dalam topik AI dari Coursera. Lalu saya menimbang-nimbang ingin belajar topik tertentu dengan sertifikasi.

Saya memiliki beberapa kriteria sertifikasi:

  • Sertifikasinya yang ada nilainya, andaikan suatu saat dibutuhkan di masa depan (contoh sertifikasi lain yang berharga adalah dari Cisco, sedangkan sebagian sertifikasi tidak dipandang sama sekali)
  • Tidak akan expired (saya malas memperbarui)
  • Bisa dilakukan online (saya malas datang ke tempat tertentu untuk sertifikasi saja)

Sebenarnya saya tadinya lebih tertarik ke berbagai sertifikasi jaringan (seperti dari Cisco atau Juniper), tapi semua sertifikasinya butuh diperbarui setiap beberapa tahun padahal sertifikasinya tidak akan saya pakai (tidak berniat pindah jadi network admin).

Pilihan akhirnya jatuh ke OSCP. Sebenarnya ada juga sertifikasi lain dari Offensive Security: OSCE dan OSEE. OSCE berfokus pada exploit development level menengah dan OSEE di level yang lanjut. Tapi sepertinya saat ini kebutuhan di banyak tempat baru di level OSCP, jadi saya putuskan untuk mengambil OSCP. Saya sering menyarankan orang mengambil OSCP, tapi saya sendiri belum pernah, jadi ya sekalian biar bisa merasakan nasihat saya.

Sebagai informasi saja: jika tertarik bekerja di tempat yang berfokus pada reverse engineering dan exploit development, saya lebih menyarankan menyelesaikan Flare On. Jika selesai Flare On, kita bisa langsung wawancara dengan FireEye. Dari Flare On saya juga jadi kenal banyak orang di dunia malware dan low level research yang menawarkan pekerjaan dan proyek di bidang RE.

Materi dan Lab

Saat ini saya menjadi remote pentester untuk PT Xynexis (sudah beberapa tahun jadi pekerjaan part time, pekerjaan full time saya tetap di Chiang Mai). Xynexis mendukung rencana saya mengambil OSCP, jadi saya mendaftar di bulan April, dan mengambil lab 30 hari (biayanya 800 USD), jika ingin 60 hari 1000 USD, dan jika ingin 90 hari: 1150 USD. Akses lab di sini artinya secara remote dengan VPN.

Sebagai catatan: waktu kita mendaftar kita tidak langsung akan bisa mendapatkan langsung akses lab maupun materi. Biasanya akses lab dan materi akan didapatkan beberapa minggu sesudah kita mendaftar nanti. Dalam salah satu langkah pendaftaran akan ditunjukkan kapan lab bisa tersedia. Jadi jika ingin mengakses lab mulai saat tertentu (misalnya pas liburan), maka daftarlah jauh-jauh hari.

Materi yang diberikan berupa Video dan satu diktat. Saya hanya menonton sekilas beberapa videonya. Bagi saya melihat video memakan waktu terlalu lama dan menurut saya materinya terlalu sederhana. Untuk pemula, video akan sangat membantu.

Perlu diperhatikan bahwa materi dan video di-watermark per orang, jadi tidak boleh dibocorkan/diberikan pada siapapun. Risikonya adalah: OSCP bisa dicabut sertifikasinya dan akan di-ban tidak boleh mengambil sertifikasi lain apapun dari offensive security.

Diktat yang diberikan juga hanya menyentuh berbagai permukaan saja. Tapi ini tidak apa-apa, karena dalam kehidupan nyata kita harus banyak mencari di Google untuk informasi keamanan dan eksploit terbaru. Ada banyak soal latihan yang bisa dikerjakan. Jika kita mengerjakan semua soal latihannya, maka jawabannya bisa dituliskan dan digabung dengan laporan lab untuk mendapatkan 5 point ekstra. Point ekstra ini hanya berguna kalau misalnya ketika ujian nilai kita ada di ambang batas.

Selain video dan diktat, peserta juga mendapatkan akses ke forum OSCP. Di dalamnya ada beberapa informasi ekstra dan diskusi mengenai masing-masing mesin. Tentunya selain forum resmi, peserta juga bisa bergabung dengan berbagai komunitas lain di tempat lain (misalnya di reddit).

Tidak ada panduan khusus dalam mengerjakan lab. Intinya adalah kita harus bisa masuk ke sebuah mesin dan mendapatkan file bukti di dalamnya. Di forum diberikan satu contoh bagaimana masuk ke sebuah mesin, lalu sisanya perlu dipikirkan sendiri. Jika bingung, kita bisa membaca sedikit hint di forum (tapi hintnya biasanya tidak jelas). Ada puluhan mesin yang bisa kita hack dalam beberapa jaringan yang terhubung, awalnya kita hanya diberi akses ke jaringan publik dan jaringan lain baru bisa terbuka setelah kita menyelesaikan mesin tertentu.

Walau punya akses 30 hari, saya hanya mengakses lab sekitar 3 minggu pertama, menyelesaikan seluruh jaringan publik dan sebagian jaringan lain. Seminggu terakhir saya sudah sibuk dengan hal lain. Saya juga sempat berlatih di Hack The Box (HTB) menyelesaikan sekitar 10 mesin. Sebagian besar mesin di HTB menurut saya lebih sulit dari lab OSCP.

Akses lab saya berakhir di pertengahan Mei dan saya menjadwalkan ujian di awal bulan Juli. Jadwal ujian dipilih oleh kita sendiri dalam batas tanggal dan slot waktu yang tersedia. Sebenarnya menurut saya awal Juli sudah terlalu jauh dari tanggal lab, tapi saya perlu mengatur agar tidak mengganggu jadwal kegiatan hidup yang lain.

Ujian

Sebelum ikut ujian, baca dulu segala macam aturan di URL ini dan pahami semuanya. Kalau ada yang kurang jelas, tanyakan pada offensive security:

https://support.offensive-security.com/oscp-exam-guide/

hal-hal yang sering tidak diperhatikan peserta:

  • Ada batasan pemakaian tool metasploit (cuma boleh maksimum sekali, tidak boleh diulangi jika gagal)
  • Screenshot sangat penting untuk laporan, jangan sampai terlewat requirementnya (harus terlihat IP server dan isi file bukti)
  • Isi file bukti harus dikirimkan ke control panel. Cek lagi sebelum ujian selesai. Saya sempat salah klik dan ada submission terhapus, untungnya ini saya cek ulang
  • Ada tool-tool yang tidak boleh dipakai (misalnya sqlmap dan berbagai tool otomatis lain, cek di url di atas untuk lebih jelasnya)

Saya pernah membaca: ada yang ujiannya nilai 100 tapi gagal karena memakai metasploit 2 kali. Jadi perhatikanlah hal-hal kecil seperti itu. Saya sendiri tidak memakai metasploit sama sekali ketika ujian.

Untuk ujian sebaiknya kita melakukannya di tempat yang tidak terlalu banyak gangguan. Pastikan koneksi internet stabil dan punya cadangan akses internet misalnya via 4G. Sekitar 15 menit sebelum ujian kita akan diberi email instruksi bagaimana melakukan koneksi. Akan ada instruksi spesifik yang diberikan mengenai target, jadi bacalah ini dengan teliti. Dijelaskan masing-masing poin dari tiap mesin, jadi kita bisa mengatur strategi mesin mana duluan yang akan kita serang.

Untuk bisa lolos minimal kita mendapatkan skor 70 dari 100. Ada target yang terbagi dalam dua bagian: mendapatkan shell user dan shell root/administrator. Nilai poin adalah jika kita mendapatkan akses penuh menjadi root/administrator, tidak diberikan penjelasan berapa poinnya jika hanya berhasil shell user saja (kalau saya baca di forum nilainya: 50% atau kurang dari poin penuh). Perlu diperhatikan bahwa laporan juga harus lengkap, jadi walaupun nilai sudah cukup di ambang batas ada kemungkinan tidak lulus jika laporan tidak lengkap.

Ketika ujian disarankan memakai Virtual Machine (VM) Kali Linux, tapi saya memutuskan memakai Linux saja (Debian) langsung tanpa VM di laptop Thinkpad X230 (dengan RAM 6 GB). Waktu berlatih/mengakses lab saya memakai VM Kali, dan ternyata di laptop saya ada beberapa tool yang lupa saya install dan memakan waktu saya. Kalau Anda khawatir dengan berbagai hal, pakailah VM.

Bos saya tahu mengenai ujian ini dan saya diberi tawaran oleh bos untuk menggunakan satu ruangan di kantor untuk ujian jadi bisa bebas dari gangguan anak-anak. Saya memilih waktu mulai jam 9 pagi, istirahat makan siang sejam dan istirahat makan malam 30 menit, saya selesai seluruhnya 100 poin pada jam 9 malam. Sebenarnya sore hari saya sudah memiliki poin yang cukup untuk lulus, tapi saya masih penasaran dan akhirnya menyelesaikan semua sisanya.

Karena ada jeda waktu cukup lama dari sejak terakhir mengakses lab dan waktu ujian, saya tidak langsung bisa fokus dan bahkan 3 jam pertama hanya berhasil mendapatkan user shell di mesin 20 poin (artinya nilai saya baru dapat 10 poin atau kurang). Andaikan bisa langsung fokus, maka seharusnya bisa selesai jauh lebih cepat.

Beberapa tips yang bisa saya berikan adalah:

  • OSCP adalah sertifikasi level awal, kita tidak diminta membuat eksploit sendiri. Jika eksploit tidak ditemukan di exploit-db, maka kemungkinan bukan itu targetnya. Kadang saya berpikir terlalu jauh ingin membuat eksploit sendiri.
  • Jika eksploit tidak jalan, cek segala macam detailnya dan apa yang membuat eksploitnya tidak jalan
  • Laporan merupakan komponen sangat penting. Jangan lupa memastikan bahwa catatan dan screenshot sudah lengkap. Saya sempat kehilangan catatan karena ketika ditinggal makan siang, komputer saya sleep dan hang, jadi perlu restart paksa
  • Berlatihlah dan buat catatan ketika mengerjakan lab. Jika sudah cukup berlatih di lab, maka seharusnya sudah terbentuk kebiasaan yang baik dan terstruktur dalam menangani sebuah mesin: nmap, nikto, gobuster, dst.
  • Kerjakan latihan buffer overflow di diktat dan pahami semuanya

Jika kita gagal dalam ujian, maka ada dua jalan yang bisa diambil:

  • mengambil ujian saja lagi (150 USD)
  • mengambil perpanjangan lab sehingga dapat gratis kesempatan ujian, minimal perpanjangan akses lab 15 hari (200 USD)

Kali pertama mendaftar kita harus membeli akses lab dengan satu kali kesempatan ujian, tidak bisa membeli ujian saja. Jadi biaya minimal sertifikasi ini jika langsung lulus adalah 800 USD (30 hari lab dan sekali ujian) atau nilai rupiah saat ini sedikit lebih dari 11 juta rupiah.

Jika Anda gagal, jangan terlalu kecewa karena sertifikasi ini memang termasuk sulit. Silakan baca pengalaman berbagai orang di https://reddit.com/r/oscp/ dan berbagai forum lain sejenis. Beberapa orang bahkan mengambil ujian ini sampai lebih dari 5 kali.

Setelah ujian, ada waktu 24 jam untuk menyelesaikan laporan. Seperti materi, laporan ini juga tidak boleh dibocorkan/dishare ke siapapun, jika ketahuan maka akan dicabut sertifikasinya dan di-ban tidak boleh ikut sertifikasi Offensive Security yang lain. Ada instruksi sangat spesifik bagaimana mengirimkan hasil laporannya. Jangan sampai salah, karena nilai bisa menjadi nol.

Pengumuman hasil maksimum akan datang dalam 5 hari kerja setelah laporan dikirimkan. Banyak orang dapat hasil dalam 2-3 hari kerja, tapi dalam kasus saya: tepat 5 hari, bahkan sudah hari kerja ke 5 dan hampir jam 5 sore waktu New York baru dapat hasilnya. Jadi bersabarlah jika belum ada hasilnya.

Ketika menunggu hasil, saya sendiri sempat sedikit khawatir karena setelah membaca ulang laporannya ada beberapa hal yang terlewat (padahal sudah dibaca ulang beberapa kali sebelum dikirimkan):

  • Ada screenshot yang tidak menunjukkan apa perintahnya, hanya outputnya saja
  • Ada screenshot yang terlewat saya buat (akhirnya hanya dijelaskan dengan kata-kata)
  • Ada beberapa salah ketik

Saran saya adalah: coba pelajari contoh laporan yang diberikan, dan buatlah kira-kira seperti itu. Biasakan melakukan screenshot seluruh layar dan juga me-log seluruh output terminal ke file. Kalau perlu, cobalah membuat laporan untuk mesin di lab agar terlatih ketika ujian nanti.

Penutup

Dari materi pelajaran saya hanya mendapatkan sedikit ilmu baru, tapi labnya cukup berguna untuk membentuk kebiasaan baik bagi saya agar meminimalisasi hal yang terlewat. Saya biasanya hanya melakukan pentest aplikasi mobile dan web eksternal jarang pentest internal, jadi pengalamannya cukup berguna.

Semoga pengalaman saya bisa berguna untuk orang lain karena saya lihat berbagai tulisan OSCP berbahasa Indonesia dibuat di jaman sebelum proctored test. Jangan takut dengan ujian yang proctored (diawasi), karena jika kita memang mampu, tidak peduli diawasi atau tidak, maka akan tetap bisa melakukannya. Anggap saja tidak ada yang melihat apa yang kita lakukan.

Reverse Engineering Aplikasi iOS

Sudah lama saya menuliskan tentang reverse engineering Android tapi sampai saat ini belum menuliskan untuk iOS. Tulisan ini akan memperkenalkan cara reverse engineering aplikasi iOS dengan berbagai pendekatan. Tujuan utamanya di sini adalah untuk pentesting. Reversing untuk tujuan lain (misalnya Tweak development) sebagian akan sama, tapi masih butuh usaha dan tool ekstra dan hanya akan saya bahas sekilas.

Mesin macOS dan XCode

Memiliki mesin macOS akan sangat membantu dalam reverse engineering. Mesin ini bisa fisik asli dari Apple (Macbook, MacMini atau yang lain), mesin tidak resmi (Hackintosh), atau bahkan Virtual Machine. Pengunaan utamanya adalah untuk menjalankan Xcode terbaru dan iTunes.

Sebenarnya ini tidak 100% wajib, karena kebanyakan tool bisa berjalan di OS Lain. Misalnya di Linux saya memakai libimobiledevice untuk menginstall IPA, membaca log dari device, dsb. Tapi biasanya jika ada iOS baru, berbagai tool di luar OS X akan berhenti bekerja sampai beberapa hari atau bulan, menunggu developernya memahami apa yang diubah Apple dan bagaimana memperbaikinya.

Device iOS dan Simulator

Di dunia Android, kita bisa menjalankan hampir semua APK Android di Emulator kecuali beberapa yang butuh akses hardware tertentu. Emulator Android mengemulasikan keseluruhan hardware dan bisa menjalankan APK meskipun APK tersebut memakai kode biner ARM/ARM64.

Tapi saat ini tidak ada emulator iOS yang bisa diakses umum dengan mudah. Hanya ada satu perusahaan bernama Correlium yang menyediakan emulator dan inipun saat ini clientnya masih sangat dibatasi. Masih lebih mudah dan murah membeli iPhone bekas daripada mendapatkan akses ke Correlium.

Apple hanya menyediakan simulator untuk x86, artinya kita harus mengcompile khusus source code kita supaya jalan di simulator yang disediakan. Jika kita mendownload IPA dari App Store, binarynya pasti ARM/ARM64/ARM64e dan tidak akan jalan di simulator.

Jadi jika kita ingin melakukan analisis dinamik, maka kita perlu hardware iOS tergantung aplikasinya mungkin akan butuh iPhone atau iPad. Beberpa aplikasi bisa juga berjalan di iPod Touch (tapi aplikasi banking yang butuh verifikasi SMS sering kali tidak mau jalan di iPod Touch).

Ketika membeli hardware iPhone/iPad bekas, harap diperhatikan versi iOS yang masih didukung dan kira-kira masih akan didukung atau tidak dalam waktu dekat ini. Contoh: saya membeli iPhone 5S baru sekitar 5 tahun yang lalu dan hardware ini masih bisa dipakai sampai sekarang (mendukung iOS 12), tapi kemungkinan besar tidak akan disupport lagi akhir tahun ini (kemungkinan tidak akan mendukung iOS 13). Update setelah WWDC: iPhone 5S tidak termasuk dalam device yang bisa memakai iOS 13, minimum adalah iPhone 6S.

Ketika tulisan ini dibuat (Mei 2019), jika ingin membeli iPhone, hardware minimal yang saya sarankan adalah iPhone 7 Plus. Alasannya:

  • Versi baru ponsel ini masih dijual oleh Apple
  • Harga second hand benda ini mulai reasonable
  • Prosessornya A10, sama seperti yang dipakai iPod Touch generasi 7 yang baru saja diluncurkan
  • versi 7 Plus memiliki RAM 3 GB (versi 7 saja tanpa plus, hanya 2 GB) jadi kemungkinan akan bisa dipakai untuk beberapa iOS mendatang

Jika dana terbatas belilah iPhone 6S yang bisa dipakai setidaknya setahun lagi. Jika ingin lebih jauh lagi, menurut saya iPhone XR merupakan pilihan yang baik:

  • Harganya cukup jauh di bawah iPhone XS
  • Sudah memakai A12, bisa belajar Pointer Authentication

Tapi tentu saja jika ada dananya, silakan saja beli iPhone terbaru dan termahal.

File IPA

Jika di Android kita memakai file APK untuk instalasinya, maka di iOS kita memakai format IPA. Seperti APK, format IPA ini sebenarnya juga hanya file berformat zip yang di dalamnya berisi resource (gambar, suara, dsb) dan program. Tapi tentu saja walau sama-sama file ZIP, keduanya tidak kompatibel karena isinya benar-benar berbeda.

Khusus untuk format PNG, Apple memakai optimasi khusus sehingga perlu dikonversi kembali. Di OS X ini bisa dilakukan dengan pngcrush. Perlu dicatat pngcrush di OS lain tidak memiliki opsi yang sama, jadi gunakan tool lain untuk mengembalikan PNG agar bisa dilihat. Ini hanya contoh kecil mengapa memiliki hardware macOS plus XCode bisa memudahkan proses RE.

Tanda tangan digital dan Enkripsi

Setiap aplikasi yang berjalan di iOS harus ditandatangani secara digital. Selain itu setiap aplikasi dari App Store dienkrip (memakai DRM Fair Play) dan hanya bisa dipakai di account tertentu. Artinya saya tidak bisa mendownload file IPA dari app store dengan account saya dan langsung ditransfer ke iPhone orang lain.

Jika ingin disebarkan ke orang lain, sebuah program perlu didekrip. Proses dekripsi butuh iPhone/iPad yang sudah dijailbreak. Saat ini belum ada yang berhasil mengekstrasi key dari account, jadi sebuah hardware wajib dimiliki. Program yang dienkrip tidak bisa direverse engineer. Bisa saja dipaksa dibuka di disassembler, tapi instruksinya tidak masuk akal.

Dalam proses pentesting kadang client meminta kita testing dari app store dan kadang dari developer. Proses enkripsi ini dilakukan oleh Apple di server apple, jadi aplikasi yang belum diupload ke App Store masih dalam kondisi tidak terenkripsi. Jika kita dibolehkan meminta dari developer, maka akan lebih mudah melakukan reversing tanpa perlu hardware untuk mendekrip.

Jailbreak

Saat ini jailbreak sangat penting untuk security researcher iOS. Tidak semua versi iOS bisa dijailbreak dan pada semua versi iOS beberapa tahun terakhir kita tidak bisa dengan mudah downgrade ke versi sebelumnya. Satu-satunya cara untuk pindah ke sebuah versi tertentu adalah jika kita punya yang namanya SHSH blob untuk versi tersebut yang spesifik untuk device kita. Di ponsel dengan CPU A12, proses ini lebih kompleks lagi.

Jadi jika kita membeli ponsel dengan software terbaru dan belum ada jailbreaknya, tidak ada yang bisa kita lakukan selain menunggu sampai ada yang menjailbreak. Selagi menunggu, kita bisa menyimpan blob SHSH untuk versi berikutnya. Jadi misalnya kita ada di versi 12.3 (belum ada jailbreak) dan sudah ada versi 13 (belum ada jailbreak juga), kita bisa menyimpan blob untuk versi 13. Nanti misalnya ada jailbreak untuk versi 13 kita bisa upgrade ke versi tersebut.

Biasanya ketika ada jailbreak untuk versi tertentu (misalnya 13), dan Apple sudah merilis vesi lebih baru (misalnya 13.1) maka “signing window” akan ditutup, artinya kita tidak bisa lagi upgrade ke versi 13 tapi harus langsung ke 13.1. SHSH blob hanya bisa dipakai di device yang sudah dijailbreak karena perlu akses root untuk set nonce.

Update November 2019: Dengan exploit checkm8 (misalnya https://checkra.in/), kita bisa menjailbreak semua device iOS yang tidak memakai SOC A12 ke atas. Artinya semua iPhone sampai iPhone X bisa dijailbreak.

Ini berbeda dengan sebagian device Android yang mengijinkan unlocked bootloader. Pada device Android dengan unlocked bootloader, kita bisa me-root ponsel kita dengan sangat mudah. Di Android APK dari playstore juga tidak dienkripsi (hanya ditandatangi digital) jadi rooting juga tidak wajib dilakukan.

Perlu diperhatikan: banyak website menyesatkan yang menyatakan bisa jailbreak iOS terbaru. Informasi terkini dan valid mengenai berbagai device dan versi iOS yang bisa dijailbreak serta tool untuk jailbreaknya bisa dilihat di:

https://www.reddit.com/r/jailbreak/wiki/escapeplan/guides/jailbreakcharts

Setelah jailbreak, tool yang bisa digunakan untuk mendekrip aplikasi adalah Clutch (iOS versi lama), bfinject (iOS 11/12) dan CrackerXI (iOS 12).

Developer Account

Untuk device yang tidak dijailbreak, semua aplikasi yang diinstall harus ditandangani digital. Dulunya kita perlu memiliki developer account (99 USD/tahun) untuk bisa menjalankan aplikasi apapun di device kita. Ini termasuk juga aplikasi/IPA yang sudah didekrip tetap perlu ditandatangani agar berjalan di device kita.

Tapi sekarang sudah ada kelonggaran: kita bisa menandatangani gratis tapi hanya berlaku 7 hari. Artinya setelah 7 hari, aplikasi tersebut tidak bisa berjalan, kita harus menandatangani (sign) dan menginstall lagi tiap 7 hari. Maksimum dalam satu waktu kita bisa menginstall 3 aplikasi dengan account gratis ini dan tidak bisa diakali dengan memakai beberapa Apple ID. Jika device tidak dijailbreak, proses reinstall ini butuh waktu dan butuh komputer. Saat ini cara termudah instalasi tanpa developer account dan tanpa jailbreak adalah dengan Cydia Impactor.

Untuk proyek jangka pendek dan untuk testing, account gratis ini sudah cukup. Tapi jika kita perlu sering melakukan ini, developer account akan sangat membantu. Tanpa developer account, beberapa hal cukup mengesalkan, misalnya:

  • Cydia Impactor sering tidak jalan di iOS terbaru (harus menunggu rilis terbaru),
  • Kita perlu membuat password iCloud spesifik untuk Cydia Impactor (dan kadang password ini expire, harus diset ulang)
  • Cydia impactor ini tidak mengingat password (harus ketik ulang atau copy paste)
  • Jika instalasi gagal, harus memasukkan ulang password
  • Jika ada banyak pekerjaan pentest, batas jumlah aplikasi akan terlampaui

Jika ponsel sudah dijailbreak, kita bisa memakai Reprovision yang berjalan di ponsel dan otomatis menandatangani ulang aplikasi tiap 7 hari. Tapi tentunya batasan jumlah aplikasi tetap berlaku.

Karena hasil dari testing iOS ini sudah jauh lebih besar dari harga developer account per tahun, saya memilih memakai developer account. Selain itu accountnya bisa saya pakai untuk development.

Membuat Aplikasi iOS

Mengenal cara sebuah aplikasi dibuat akan sangat membantu dalam proses reverse engineering. Khusus untuk pentesting, kadang developer meminta saran pada kita bagaimana memperbaiki sesuatu. Terkadang memberikan link saja sudah cukup, tapi di kasus tertentu sebuah solusi tidak bisa dipakai dan kita akan dipandang sebagai pentester yang baik jika kita bisa memberi saran perbaikannya.

Aplikasi iOS dulunya hanya ditulis dengan Objective C tapi sekarang Apple juga mendukung bahasa Swift. Objective-C masih merupakan bahasa utama yang dipakai di seluruh sistem operasi, sama seperti Java di Android. Seluruh API utama masih menggunakan Objective C.

Sebuah aplikasi iOS akan dikompilasi menjadi format MachO. Format ini berbeda dengan ELF (Linux) dan PE (Windows) sehingga tool yang dipakaipun berbeda. Program bawaan XCode adalah otool yang bisa dipakai untuk men-dump file MachO (seperti objdump di Linux). Selain itu ada jtool yang fungsinya lebih banyak.

Saya sangat menyarankan reverser iOS memahami minimal C dan Objective C. Jika memahami Swift akan lebih baik lagi karena aplikasi modern sekarang ditulis menggunakan Swift. Cobalah membuat aplikasi Objective-C sederhana, lalu reverse engineer aplikasinya.

Sekarang ada banyak teknologi yang bisa dipakai untuk mengembangkan aplikasi iOS misalnya:

  • Cordova dan teknologi lain berbasis HTML
  • Unity (berbasis C#)
  • RubyMotion (Ruby)

Saya akan mengasumsikan aplikasi yang akan direverse engineer menggunakan Objective C atau Swift. Jika menggunakan bahasa lain, maka pelajarilah teknologi tersebut (di luar scope artikel ini). Ketika belajar Objective-C jangan lupa belajar teknik tingkat lanjut seperti Method Swizzling yang bisa dipakai untuk runtime patching sebuah method/class Objective C.

Assembly ARM64

iPhone versi awal memakai Thumb/ARM32, tapi saat ini semua device iOS terbaru memakai instruction set ARM64 jadi jika Anda belum pernah belajar ARM 32 bit bisa langsung skip ke ARM64. Secara teori jika kita memakai decompiler kita tidak perlu memahami level assembly, tapi kenyataanya:

  • Decompiler sering salah atau tidak lengkap hasil dekompilasinya
  • Beberapa aplikasi menggunakan proteksi yang menyulitkan decompiler
  • Untuk patching, kita tetap perlu paham assembly

Jadi saran saya: pelajarilah dasar assembly ARM64. Semakin dalam eksplorasi yang dilakukan, pengetahuan ARM64 yang dibutuhkan juga semakin banyak.

Untuk memulai belajar ARM, saya menyarankan website https://azeria-labs.com/. Websitenya sangat lengkap dan berfokus pada ARM secara umum (tidak spesifik ke teknologi untuk iOS).

Contoh dekompilasi dengan Ghidra

Langkah-langkah reverse engineering

Secara umum langkah-langkah reverse engineering Aplikasi iOS adalah sebagai berikut:

  • Dapatkan versi aplikasi yang tidak terenkripsi (langkah wajib). Bisa dari developernya atau dari dekrip aplikasinya
  • Opsional: gunakan class-dump untuk mendapatkan gambaran aplikasi
  • Bongkar aplikasinya dengan disassembler/decompiler
  • Opsional: lakukan dynamic reverse engineering dengan Frida atau Cycript
  • Opsional: lakukan patching aplikasi jika ada jailbreak detection

Langkah pertama sudah jelas, dan langkah-langkah berikutnya pada dasarnya adalah memakai berbagai tool.

Class-dump

Tool class-dump dapat digunakan untuk menghasilkan header objective-c dari binary Mach-O. Berbagai decompiler seperti Hopper, IDA Pro dan juga Ghidra bisa mengekstrak informasi ini secara otomatis, tapi class dump ini masih berguna karena:

  • Prosesnya cepat
  • Setelah mendapatkan header kita bisa dengan cepat melihat-lihat nama fungsi yang ada

Disassembler/Decompiler

Baik jtool maupun otool bisa mendisassemble file MachO, tapi untuk file yang berukuran besar proses membaca assembly memakan waktu lama. Biasanya sama memakai gabungan decompiler dan disassembler untuk memahami sebuah program.

Ghidra tools gratis dari NSA

Dulu satu-satunya decompiler untuk iOS adalah IDA Pro yang harganya mahal. Sekarang ini ada opsi gratis: Ghidra (pernah saya bahas di sini) dan ada opsi yang harganya relatif murah: Hopper. Kualitas dekompilasi Ghidra lebih bagus dan bisa berjalan cross platform, sementara tampilan Hopper lebih menarik.

Frida dan Cycript

Seringkali reversing statik sulit dilakukan dan modifikasi dinamik lebih cepat untuk memahami sebuah aplikasi. Ada dua tool yang berguna untuk ini: Frida dan Cycript. Untuk saat ini saya lebih menyarankan Frida karena masih dipelihara terus.

Frida bisa dijalankan di ponsel yang sudah dijailbreak (bisa meng-hook semua aplikasi) atau pada satu aplikasi di ponsel yang tidak dijailbreak. Untuk yang sudah dijailbreak, langkahnya lebih sederhana. Untuk yang belum dijailbreak:

  • Ekstrak IPA-nya (harus sudah didekrip)
  • Edit binarynya agar meload Frida (misalnya dengan insert_dylib)
  • Masukkan shared library Frida ke dalam aplikasi

Aplikasi kemudian perlu dijalankan dalam mode debug, karena tanpa ini beberapa fungsionalitas Frida tidak akan berjalan. Setelah frida berjalan, kita bisa menulis skrip dalam javascript untuk menginspeksi atau mengubah jalannya program.

Binary Patching

Jika jailbreak detection dilakukan di satu method terpisah (misalnya: isJailBroken) maka ini biasanya bisa diintercept oleh Frida dan tinggal diganti agar mengembalikan falses (“return 0”). Tapi kadang deteksi jailbreak dilakukan sambil melakukan hal lain. Kelemahan frida adalah: kita hanya bisa menambah/mengubah sesuatu di awal/akhir fungsi, jadi dalam kasus tertentu kita masih butuh melakukan patching.

Tidak ada yang istimewa dalam patching file MachO. Asalkan kita bisa mengerti ARM64, kita bisa mempatch opcode seperti biasa dengan hex editor.

Tweaks

Jika kita memakai iOS yang dijailbreak, maka kita bisa menginstall Tweaks. Tweaks ini pada dasarnya adalah shared library (dylib) yang akan diinjeksikan oleh daemon jailbreak ke proses target. Ada tweak tertentu yang bisa membantu proses reverse engineering/pentesting, misalnya ssl-kill-switch 2 untuk mendisable SSL Pinning.

Kita juga bisa membuat sendiri Tweaks untuk iOS dengan menggunakan Xcode, tapi biasanya tweaks dibuat menggunakan Theos. Kelebihan Theos dibandingkan Xcode adalah tersedianya SDK dengan private headers, yang berisi interface fungsi-fungsi yang tidak publik.

Penutup

Artikel ini masih merupakan perkenalan dan baru menyentuh hal-hal dasar reversing aplikasi iOS. Seperti bisa dilihat bahwa untuk terjun ke reversing iOS secara nyaman dibutuhkan uang yang lumayan (untuk membeli hardware macOS dan iPhone) atau waktu yang cukup banyak (setup Hackintosh).

Beberapa aplikasi dan game terkenal memakai berbagai teknik yang membuat reverse engineering iOS menjadi cukup sulit. Karena tingkat kesulitannya. para hacker game iOS bisa mendapatkan uang cukup banyak dari hacking berbagai game dan aplikasi iOS (contohnya developer ini).

Hacking di Serial Phantom/Ghost/유령 (bagian 4)

Ini merupakan bagian terakhir dari seri posting ini yang membahas episode 15 sampai 20. Di akhir seri ini adegan hacking yang dilakukan semakin sedikit dan fokus lebih pada cerita. Walau demikian, adegan hackingnya tetap lebih meyakinkan dari “hacker wannabe” dengan tag yang sempat trending di masa setelah pemilu ini.

Fokus akhir cerita masih ke software security/antivirus yang diberi backdoor. Kasus ini sangat mungkin terjadi seperti dalam berita tentang antivirus Kaspersky yang dicurigai dipakai menghack NSA. Sebagai catatan: cerita tentang Kaspersky di dunia nyata bahkan lebih seru dari di film ini.

Ada bagian mereka mengambil rekaman dari dashcam mobil. Setahu saya tidak ada dashcam yang bisa menyimpan video sampai puluhan hari, apalagi yang diakses adalah SD card yang menempel di dash cam. Andaikan ada sistem yang bisa menyimpan jangka panjang, kemungkinan medianya adalah harddisk (atau data ditransmit ke server ketika sampai di garasi).

Ada adegan waktu koneksi internet tiba-tiba mati: program yang dilihat adalah PRTG Traffic Grapher yang cukup masuk akal. Penyebab trafficnya tiba-tiba berhenti agak kurang masuk akal yaitu DDOS, seharusnya tiba2 ada traffic besar. Kecuali ada bug di firewallnya yang justru mematikan koneksi ketika ada serangan.

Di dalam film ini juga digambarkan bahwa tidak semua hal bisa dihack secara remote, tapi harus datang ke tempat langsung. Ini memang benar, tidak semua sistem bisa dihack dari jauh jika tidak terhubung ke jaringan. Di kasus tertentu bahkan kita tidak tahu data apa yang harus diambil, jadi di film ini mereka membuat clone harddisk komputer target.

Di sini juga diceritakan tentang malware yang “tidak meninggalkan jejak”. Ini masuk dalam kategori “fileless malware“. Malware jenis ini memang ada walau masih cukup jarang. Malware jenis ini hanya ada ketika sedang aktif dan ketika komputer direstart/dimatikan, malware hilang, tidak ada jejaknya di disk. Kebanyakan malware ingin tetap ada ketika direstart, jadi biasanya kebanyakan malware adalah file based malware.

You have to catch them in the act

Berikutnya ketika mencari tahu situs terakhir yang dikunjungi, sang tokoh utama melihat ke Event Viewer. Perlu dicatat bahwa informasi di sini memang banyak, tapi jika tidak disetting khusus informasi situs terakhir yang dikunjungi tidak ada di sini. Dalam kasus ini ceritanya di PC ini sudah terinstall program jahat versi beta yang masih melog ke Event Log.

Ada juga kasus pembunuhan oleh gamer karena masalah game online. Kasus seperti ini sudah pernah terjadi beberapa kali di dunia nyata (contohnya ini), jadi cukup masuk akal.

Penggunaan steganografi juga dimunculkan lagi. Kali ini dipakai untuk menjebak seseorang sehingga tanpa password. Sebenarnya agak aneh menyembunyikan file dengan software steganografi tapi tanpa password.

Salah satu tokoh di film ini memiliki 10000 PC Zombie (bagian dari botnet). Definisi Zombie Computer dari wikipedia adalah: a computer connected to the Internet that has been compromised by a hacker, computer virus or trojan horse and can be used to perform malicious tasks of one sort or another under remote direction. Atau intinya: PC yang sudah diinfeksi malware dan bisa dikendalikan dari jauh. PC yang mereka kendalikan ini bisa digunakan untuk menyerang sistem lain.

Ada adegan tokoh jagoan film ini gantian mengirim malware ke tokoh jahat. Ketika menyadari ada yang aneh, si tokoh jahat segera mencabut koneksi internet (hal yang bijaksana) lalu melihat proses yang berjalan. Di sini terlihat nama prosesnya svch0st.exe (dengan angka 0, sedangkan proses Windows asli adalah svchost.exe dengan huruf o). Cara seperti ini sering digunakan oleh malware (variannya misalnya menggunakan spasi ekstra atau nama yang panjang)

Tentunya proses semacam ini perlu di-kill jika sudah ketemu. Software yang digunakan adalah Process Explorer dari Microsoft.

Kadang hacking tidak bisa dilakukan karena alasan teknis dan juga bisa bermasalah dengan hukum. Dalam film ini yang dilakukan adalah: pemerasan. Kadang cara ini memang lebih efektif dari hacking.

Dalam film ini juga beberapa kali tokohnya menghack display reklame LCD (videotron). Seberapa sulitkah ini? tidak sulit jika kita memang tahu targetnya. Contoh kejadian yang pernah ada di Indonesia adalah ketika film porno diputar di sebuah videotron. Intinya hanya perlu remote desktop (atau di kasus Indonesia memakai team viewer). Dan itu yang dilakukan di film ini.

Koneksi ke remote desktop

Sebagai catatan: banyak orang yang menjual akses shell/remote desktop ke berbagai sistem di forum-forum underground.

Hacking videotron

Ada kamera yang berisi SD Card yang memegang bukti penting dalam film ini. Katanya isi SD Cardnya kosong (sudah dihapus), tapi polisi bisa mengembalikan file yang terhapus. Sebenarnya ini masuk akal, yang tidak masuk akal adalah kamera dan SD Cardnya tidak dipakai selama setahun selama kameranya dipegang seseorang (kameranya tidak dipakai mengambil foto sama sekali). Ada banyak software file recovery yang bisa ditemui di internet untuk tujuan ini.

Ada satu bagian adegan yang agak kurang masuk akal dan sedikit mengganggu, tapi saya mengerti mereka membuat ini supaya ada sesuatu yang bisa dikenali penonton (logo H untuk Hades). Tokoh utama mengetik suatu perintah, lalu muncul sederetan teks tidak berguna (supaya keliatan keren, padahal itu hanya sekedar type sesuatu.js). Ini agak mirip tagar konyol yang sedang trending saat ini.

Ceritanya tokoh utamanya memiliki aplikasi (mungkin dengan bug zero day) yang mampu menghentikan segala jenis program (baik itu disk erase atau apapun). Lalu di akhir selalu muncul payload animasi yang sampai akhir film tidak diganti padahal ceritanya penggunaan logo ini mencurigakan sekali karena hacker yang membuatnya dianggap sudah mati.


Demikian akhir dari seri review serial TV Phantom ini. Secara umum ceritanya cukup baik. Ada beberapa bagian yang dibuat terlalu bertele-tele supaya jadi 20 episode. Secara umum ceritanya cukup cerah dan bersih. Tidak seperti Mr Robot yang terlalu gelap ada penggunaan drugs dsb. Bahkan di film ini tidak ada adegan ciuman.

Detail semua yang tampil di layar cukup diperhatikan. Software yang dipakai meyakinkan, dan bahkan listing assembly pun cukup masuk akal. Bahkan detail tanggal di listing program juga benar. Jumlah adegan hacking pun cukup banyak (setidaknya di awal seri ini). Mungkin di masa depan saya akan mencoba menonton ulang film lain untuk mereview adegan hackingnya.