Kategori: security

Ke Belanda

Dari RHME2 tahun lalu saya mendapatkan hadiah mengikuti kursus security gratis di Riscure Delft, Belanda. Karena ini bukan perjalanan dinas dari kantor, jadi saya perlu mengurus segala sesuatu sendiri, dan saya bisa bebas menceritakan perjalanannya.

Visa

Di Chiang Mai tidak ada kedutaan Belanda, jadi untuk mengurus Visa saya perlu ke Bangkok. Sebenarnya mengurus Visa bisa dilakukan di kedutaan Belanda atau di VFSGlobal. Saya memilih menggunakan VFSGlobal karena mereka punya jasa kirim balik visa via EMS (menghemat uang dan waktu, tidak perlu kembali ke Bangkok lagi).

Website VFSGlobal sudah sangat bagus, ada checklist mengenai berbagai dokumen yang dibutuhkan sesuai dengan jenis Visa-nya. Karena saya ke sini untuk training, saya menggunakan Visa bisnis. Sebagai catatan, bidang security ini tidak ada hubungannya sama sekali dengan tempat saya bekerja sekarang, tapi tetap butuh surat pengantar dari tempat bekerja.

Tidak ada proses wawancara ketika menyerahkan dokumen. Saya hanya menyerahkan semuanya, diminta scan sidik jari, mengisi alamat pengiriman kembali paspor setelah selesai. Visa saya dapatkan sekitar seminggu, saya masukkan alamat kantor supaya yakin ada selalu orang yang menerima. Karena proses VISA sangat singkat, saya sempat makan siang dengan Pak Kief, alumni Informatika ITB yang saat ini bertugas di KBRI.

Perjalanan

Ada pesawat KLM dari Bangkok langsung ke Belanda. Perjalanannya 11 jam. Karena tidak ada connecting KLM dari Chiang Mai, jadi saya naik airline lain, dengan menyisakan waktu 4 jam. Ternyata 4 jam ini cukup pas, karena butuh menunggu bagasi, antri memasukkan bagasi, antri imigrasi, antri scan.

Di dalam pesawat ada Entertainment System. Kalo saya membawa peralatan yang lengkap, sistemnya sepertinya bisa dijebol. Sistemnya menerima input USB, dan biasanya sistem seperti ini rentan terhadap berbagai macam file yang corrupt. Sistemnya sendiri memakai HTML untuk user interfacenya, ini bisa terlihat dari sifatnya, misalnya file yang memiliki nama &lt; akan muncul sebagai tanda kurang dari (<).

Lanjutkan membaca “Ke Belanda”

Ponsel Anda disadap? (bagian 2)

Setelah Anda membaca bagian pertama posting ini, pertanyaan yang kemungkinan muncul adalah: jadi bagaimana saya tahu kalau ponsel saya sudah terinstall program untuk menyadap? Jawaban sederhananya: jika yang menyadap level biasa, maka penyadapan akan sangat mudah dideteksi. Jika yang menyadap level negara, akan sangat sulit dideteksi.

Sebelum mengecek Ponsel

Sebelum mencurigai ponsel Anda, cek dulu semua account online Anda. Cek sejarah login Anda untuk melihat ada yang mencurigakan atau tidak.  Seperti telah dibahas sebelumnya: cara seseorang bisa masuk ke HP Anda ada banyak, jadi meskipun Anda bisa membersihkan HP, kalau cara masuknya masih terbuka ya masih bisa kena lagi.

Cek juga desktop/laptop Anda. Tidak ada satu resep khusus untuk melakukan ini, jika ragu: backup data, lalu reinstall semuanya, dan update semua software yang Anda pakai ke versi terbaru. Hati-hati dengan software bajakan, meski pembajak awal mungkin jujur dan tidak memberikan backdoor, orang lain mungkin menambahkan backdoor.

Cek juga apakah kecurigaan Anda bisa dijelaskan dari sudut pandang lain. Misalnya apakah informasi yang bocor hanya yang diterima orang tertentu saja. Mungkin orang tersebut dihack, mungkin pula dia yang membocorkan informasinya.

Pemeriksaan Ponsel

Ada beberapa titik di HP yang bisa diperiksa. Pertama coba perhatikan semua notifikasi yang muncul. Lihatlah jika ada yang tidak wajar atau mencurigakan. Dalam kasus di bawah ini saya memang sengaja menginstall certificate supaya bisa melakukan monitoring koneksi jaringan. Informasi mengenai WhatsApp juga wajar karena saya sedang mengakses WhatsApp via web.

Lanjutkan membaca “Ponsel Anda disadap? (bagian 2)”

Ponsel Anda disadap? (bagian 1)

Beberapa waktu yang lalu ada yang mengirim pesan di Facebook: “Mas, saya merasa ada yang mengintip pesan WhatsApp saya”. Pertanyaan dilanjutkan dengan bagaimana caranya mengetahui apakah memang benar disadap, bagimana cara membersihkannya, dan juga bagaimana orang tersebut bisa masuk?

Ada banyak alasan kenapa seseorang mungkin mau menyadap Anda. Mungkin Anda orang penting dan pemerintah mau menyadap Anda. Mungkin ada rekan atau lawan bisnis yang ingin tahu soal bisnis Anda. Mungkin Anda berteman dengan orang penting yang terlalu sulit didekati untuk disadap. Mungkin Anda punya mantan pacar yang masih belum bisa melupakan Anda.

Secara umum, seseorang bisa saja tidak bertujuan menyadap. Bisa saja seseorang masuk ke HP Anda untuk  sekedar merampok: mengakses rekening bank Anda atau informasi kartu kredit Anda, atau bahkan sekedar mengambil pulsa Anda. Bahkan kadang sekedar agar uang dari iklan yang tampil di berbagai aplikasi masuk ke rekening penyerang.

Lanjutkan membaca “Ponsel Anda disadap? (bagian 1)”

Unbreakable Encryption

“Emangnya nggak bisa dibongkar virusnya?”. Masih terkait dengan ransomware. Banyak orang yang sulit menerima bahwa dalam kasus tertentu tidak ada cara membongkar file yang terenkripsi tanpa mengetahui keynya walaupun kita bisa membongkar algoritmanya sampai sangat detail.

Konsep yang sepertinya sulit diterima oleh orang awam yang tidak memiliki dasar dalam kriptografi: bahwa ada kriptografi yang tidak bisa dijebol meskipun kita tahu dengan tepat apa algoritmanya (bahkan jika punya source codenya yang lengkap). Bahwa satu-satunya cara menjebol adalah dengan mengetahui kunci-nya. Dan bahwa kadang satu-satunya cara mencari keynya adalah dengan mencoba semua kemungkinan yang ada yang jumlahnya sangat besar.

Enkripsi Simetrik

Mari kita mulai dengan satu konsep kriptografi yang sederhana: one time pad. Ini adalah bentuk enkripsi sangat sederhana, tapi tidak mungkin bisa dipecahkan tanpa mengetahui key-nya. Dalam one time pad, keynya harus sama panjangnya atau lebih panjang dari pesan yang akan kita enkrip, dan keynya hanya boleh dipakai sekali.

Saya contohkan sederhana sekali: anggap huruf A=1, B=2, C=3, … , Z=26 dan 0 adalah spasi.  Sekarang jika saya punya pesan rahasia ini:XYZABCD. Apakah isi pesannya? Kuncinya adalah serangkaian bilangan, bisa negatif ataupun positif. Lanjutkan membaca “Unbreakable Encryption”

Ransomware WannaCry

Posting ini sekedar klarifikasi untuk berbagai misinformasi mengenai ransomware, khususnya WannaCry/WannaCrypt yang baru saja beredar. Sejujurnya saya malas menuliskan ini, tapi nggak tahan juga melihat banyak informasi salah yang beredar. Sekalian juga saya bahas Ransomware secara umum baik penyebaran maupun penanganannya. Posting ini akan saya update jika ada sesuatu yang baru.

Ransomware adalah jenis malware (software jahat) yang mengenkripsi data milik korban lalu meminta tebusan uang (biasanya melalui bitcoin) agar file korban bisa dibuka lagi. Ransomware bisa menyebar melalui email, website, network share, ataupun media lain. Khusus untuk WannaCry, malware ini juga memanfaatkan bug di OS Windows. Jika komputer Windows di jaringan yang sama belum diupdate (dan setting SMB-nya belum diubah), maka tanpa melakukan apapun, komputer tersebut bisa kena. Lanjutkan membaca “Ransomware WannaCry”

Cara cepat hacking ribuan site dan menjadi kaya secara ilegal

Baru-baru ini membaca berita tentang tertangkapnya ‘hacker’ muda yang membobol ‘ribuan’ site. Bagi yang melek dunia security, berita ini biasa saja. Tapi tentunya bagi orang awam ini kedengaran hebat.

Saya kasihan dengan orang jujur yang berkomentar benar, tapi malah dibalas dengan: “emangnya kamu bisa hacking sebanyak itu?” Jadi ya saya  tuliskan saja caranya di artikel ini. Ini bukan untuk ditiru, tapi sebagai petunjuk bagaimana mengamankan diri dari serangan semacam ini.

Pertama kita liat dulu yang dimaksud “hacking” di sini apa. Biasanya yang diketahui orang adalah sekedar mengubah sebuah homepage (atau menaruh sebuah file di sana). Tentunya ini nggak keren kalau tidak dipamerkan.

Masalahnya hasil deface seperti ini bisa diperbaiki dalam hitungan menit atau jam (maksimum beberapa hari jika adminnya sedang libur). Jadi supaya ketenaran sesaat ini terdokumentasi, ada situs-situs yang akan mencatat sejarah bahwa ini pernah terjadi. Contoh situs yang mentrack ini adalah http://www.zone-h.org (internasional) dan http://defacer.id/ (Indonesia, saat ini sudah tutup).

Hack Ribuan Situs

Ini profile salah satu contoh hacker yang katanya “meretas” lebih dari 4000 situs. Di sini ada penjelasan ekstra bahwa dari 4239 situs,3443 di antaranya adalah mass defacements.

Lanjutkan membaca “Cara cepat hacking ribuan site dan menjadi kaya secara ilegal”

Bug: file version control yang bisa diakses via web

Untuk orang awam: saya menemukan bahwa beberapa situs yang cukup besar (beberapa di antaranya: Kompas  dan Tempo) memiliki kesalahan konfigurasi (misconfiguration) sehingga memungkinkan saya mendownload source code web tersebut. Saya akan membahas bagian teknisnya, tapi sebelumnya saya akan berusaha jelaskan untuk orang awam.

Nilai sebuah source code bisa beragam. Ibaratnya di depan rumah seseorang saya menemukan ada dokumen lengkap tentang sebuah bangunan. Di situ tercantum berbagai informasi, denah lengkap rumahnya, sampai merk kunci yang digunakan.

Nah jika rumah itu ada celahnya, maka dengan mudah saya tinggal membacanya, tanpa perlu mengelilingi rumah untuk mencari kelemahannya, dokumen itu nilainya penting, karena jadi komponen penting untuk bisa masuk. Tapi jika rumah itu memang aman, tidak ada celahnya, maka dokumen itu tidak terlalu bernilai. Jadi memiliki source code, tidak berarti kita selalu akan bisa masuk.

Lalu apa hasil temuan dari beberapa situs besar yang saya temukan? Salah satu situs ada yang ternyata memiliki password rahasia yang memungkinkan kita bisa login ke account manapun (password ini memang ditanam oleh developernya). Ada situs yang memiliki API Key dalam source code. Lanjutkan membaca “Bug: file version control yang bisa diakses via web”