Book 3: Panduan Audit Keamanan Komputer Bagi Pemula

Alhamdulillah buku ketiga seri keamanan informasi sudah terbit pada hari ini (6 Maret 2017).

Saat ini penggunaan sistem komputer sudah menjadi kebutuhan bagi setiap individu maupun organisasi/perusahaan. Namun dibalik kemudahan sistem yang ada, terdapat ancaman yang dapat mengganggu keberadaan sistem sehingga dapat menyebabkan hilangnya data/informasi, bahkan sampai terganggunya proses bisnis di dalam suatu organisasi/perusahaan.

Untuk mengetahui kondisi keamanan sistem yang digunakan, diperlukan sebuah panduan terperinci agar pengguna dapat melakukan penilaian kondisi keamanan sistem secara mandiri.

Buku ini menyediakan panduan dalam melakukan penilaian kondisi keamanan pada suatu sistem yang digunakan secara teknis dan rinci. Penjelasan ditulis dengan bahasa yang lugas untuk memudahkan pembaca dalam memahami isi buku.

Semoga bermanfaat (:

buku3

Mutual Authentication, perlukah?

Institusi keuangan, dalam hal ini adalah Bank, merupakan lembaga yang krusial dalam hal keamanan teknologi informasi. Di tempat inilah uang saya -uang Anda juga ‘disimpan’. Di tempat ini juga nasabah melakukan transaksi baik secara manual maupun secara elektronik.

Namun sebagai nasabah, apakah Anda mengenal baik risiko yang dihadapi ketika melakukan transaksi melalui elektronik banking (e-banking)? Dalam hal ini adalah internet banking.

Suatu bank memiliki portal internet banking sebagai media transaksi bagi pengguna. Melalui portal inilah nasabah dapat melakukan transaksi (melihat balance, melakukan transfer, pembayaran, dsb). Pihak bank (mungkin) menyadari bahwa portal ini sebenarnya sangat rentan terhadap serangan sehingga mereka menyediakan perangkat keamanan tambahan bagi nasabah. Perangkat ini akan membuat transaksi nasabah (seolah) menjadi lebih aman. Perangkat tambahan tersebut berupa token yang pada umumnya telah lazim digunakan oleh nasabah. Token merupakan faktor otentikasi yang dimiliki (something you have) oleh nasabah selain password (something you know). Dua faktor ini harus dimiliki oleh penyerang untuk meng-compromise akun nasabah.

Continue reading

Book 2: Melumpuhkan Hacker dengan Web Application Firewall (WAF)

Alhamdulillah buku kedua sudah terbit pada bulan Juni kemarin.

Buku ini membahas mengenai keamanan dalam pembuatan sistem aplikasi web. Tidak sedikit teman-teman kita yang membangun aplikasi tanpa mempertimbangkan aspek keamanan sehingga ketika aplikasi telah selesai, maka selesai pula pekerjaannya. Akibatnya, aplikasi pun dapat dibobol oleh orang yang tidak bertanggung jawab.

cover Continue reading

Framework Verifikasi Keamanan DNS v1.0

Saat ini saya baru saja menyelesaikan sebuah project kecil-kecilan. Project ini adalah sebuah dokumen framework yang dapat digunakan untuk melakukan verifikasi keamanan terhadap DNS.

Framework ini dibuat dengan tujuan agar memudahkan para teknisi untuk melakukan pengecekan terhadap konfigurasi DNS yang akan dan telah mereka implementasikan. Framework ini saya buat berdasarkan referensi dari National Institute of Standards and Technology (NIST) SP800-81-2.

Adapun istilah yang ada dalam dokumen ini sengaja tidak saya terjemahkan ke dalam Bahasa Indonesia, guna menghindari kesalahpahaman dalam memahaminya.

Continue reading

Hati-hati mengupload konten multimedia ke facebook

Apakah Anda suka menggunakan facebook? Mendokumentasikan, meng-upload setiap momen ke album facebook Anda? Jika ya, mulai saat ini Anda harus berhati-hati. Facebook memang menyediakan media yang interaktif bagi Anda untuk dapat berkomunikasi dengan yang lainnya. Tetapi, jika saat ini Anda sering meng-upload konten multimedia (foto, video, dsb) di media sosial tersebut, maka konten yang ter-upload akan tersimpan di server dan TIDAK akan bisa dihapus secara permanen. Dengan kata lain, semua konten yang sudah Anda upload saat ini tersimpan dengan rapi di server (mungkin suatu saat nanti mereka BUTUH foto dan data Anda? Who knows?).

Saya melakukan percobaan meng-upload sebuah gambar, segera setelah ter-upload kemudian gambar tersebut saya hapus. Di album saya, gambar tersebut memang sudah ter’hapus’. Namun, sebelum saya menghapus gambar tersebut, saya menyalin link gambar terlebih dahulu sehingga saya masih dapat mengakses gambar yang di upload tadi.

Anda dapat melihat gambar yang sudah terhapus di link berikut:

Thumbnail
https://fbcdn-photos-b-a.akamaihd.net/hphotos-ak-xfl1/v/t1.0-0/p206x206/12814178_10207642355170068_6687177366171029766_n.jpg?oh=794e0060b11e87b911f3e6d272ba39a3&oe=575C14A3&__gda__=1466044221_1de6458ad441fa2bc4901de1162887ac

Gambar Asli
https://scontent-sit4-1.xx.fbcdn.net/hphotos-xfl1/v/t1.0-9/12814178_10207642355170068_6687177366171029766_n.jpg?oh=e98fd3ff54f639ea405a0b16f220d6cd&oe=574CE011

Anda memang menemukan pilihan delete untuk mengapus foto tetapi Anda tidak akan bisa menghapus secara permanen dari server yang menyimpan foto Anda.

This is new security breach.

Moral of the story
Dalam menggunakan teknologi, Anda sebenarnya bertransaksi dengan penyedia – Anda menggunakan teknologi; mereka (penyedia teknologi) menyimpan (baca: mendapatkan) data Anda. Jadi, tetap waspada terhadap data yang Anda berikan kepada penyedia teknologi yang Anda gunakan.

Tulisan di link berikut menjelaskan bagaimana seharusnya Anda menghadapi teknologi yang ada saat ini.

Semoga bermanfaat.

Jangan mengirim konten multimedia melalui WhatsApp – UPDATED!

Mungkin dari judulnya agak provokatif ya? Tapi memang itulah yang ingin saya sampaikan.

Berikut ini adalah sepenggal hasil analisa saya mengenai messenger yang paling banyak digunakan di abad ini (baca: WhatsApp).

Bagi rekan-rekan yang mungkin suka membagikan foto-foto, suara, bahkan videonya di WA, sebaiknya pertimbangkan kembali karena hal-hal tersebut TIDAK bisa dihapus secara permanen. Memang ada pilihan delete messages, tetapi itu tidak membuat messages yang dihapus menjadi terhapus secara permanen.

Prinsip pengiriman konten multimedia di WA menggunakan mekanisme upload file. Jadi, sejatinya jika rekan-rekan membagikan konten multimedia, berarti rekan-rekan telah meng-upload konten tersebut ke server WA. Ini berarti setelah konten di upload, maka konten tersebut akan menjadi hak milik WA dan uploader tidak bisa menghapus kontennya.

Hal yang cukup krusial adalah jika seseorang mengetahui link / tempat konten tersebut berada, maka dengan segera seseorang juga dapat mengakses konten yang di upload tadi.

Jadi harap berhati-hati jika membagikan konten multimedia.

Ini adalah contoh konten multimedia yang dibagikan:
https://mmi726.whatsapp.net/d/oqeRTlliV-sLFYArScFya1a-isI/AgqoxLjArwFM9oI77JZAx0C1tygDxnaoabs4JS2OM4Wz.jpg

Note:
Saya belum menganalisa jenis messenger lain, namun pada prinsipnya semua messenger sama yaitu menggunakan mekanisme upload file. Perbedaannya bisa terletak pada akses link / tempat penyimpanan konten yang di upload. Apakah konten yang di upload tersebut mengizinkan akses publik atau tidak.

Updated
Hari ini (16-02-2016) saya iseng mengecek link image di atas, ternyata sudah tidak ada (dihapus atau dipindahkan?). Dari sini terlihat bahwa pihak WA memiliki tindakan yang responsif, dengan kata lain, aktivitas monitoringnya sangat baik.

filenotfoundGambar 1. Image not found

Catatan
Gambar yang dihapus oleh WA itu adalah suatu gambar yang sudah saya tambahkan beberapa caption di dalamnya.

Tidak tahu mengapa ketika dicek sudah tidak ada lagi (object not found). Asumsi saya mungkin karena caption yang saya berikan, atau karena link ini sudah tersebar.

FYI
Untuk gambar yang tidak saya beri caption, ternyata masih bisa diakses via link. Berikut ini adalah contoh link yang masih dapat diakses:

https://mmi494.whatsapp.net/d/L80F_C5LOX5kVZer4u_ItlbCpIU/AqCehHTUAVLfhnN2w71YK8eKkPOpF4eIX7HunfrnctZB.jpg

Radio Hijacking: Take Over Your Favorite Radio Stations Less Than 90 Seconds

Sebenarnya tulisan ini adalah paper yang saya submit pada konferensi riset keamanan informasi yang diselenggarakan oleh suatu badan independen. Namun, dalam prosesnya, ternyata paper saya tidak lolos seleksi. Kemungkinan juga karena masih banyak kekurangan pada paper saya.
Anyway, panitia penyelenggara menentukan tema konferensi saat pengumuman paper sudah lolos seleksi. Jadi, ketika saya mengirimkan paper ini, saya tidak mengetahui tema apa yang akan diangkat oleh panitia, funny, jadi curcol begini saya 😆

Ok. Tulisan ini telah saya edit sedemikian sehingga memudahkan Anda dalam membaca dan memahaminya.

Continue reading

SmarTech, antara pelanggaran privacy dan kebutuhan pengguna

Pada kuartal 2 di tahun 2015, jumlah pengiriman (shipment) Android masih melesat jauh di atas platform smartphone lain. Gambar di bawah ini merupakan statistik yang dikeluarkan oleh idc.com; suatu lembaga yang membantu organisasi dalam membuat keputusan berdasarkan fakta dan data yang ada[1].

chart-ww-smartphone-os-market-shareCaptureGambar 1. Worldwide Smartphone OS Market Share

Terlihat pada gambar tersebut sebanyak 82% (dari 341,5 juta pemesanan) lebih merupakan pengguna Android. Dari data di atas, dapat disimpulkan bahwa mayoritas pengguna smartphone di dunia adalah pengguna Android.

Continue reading

“Kami sudah aman, kami memiliki firewall”

Apakah Anda pernah mendengar kalimat seperti di atas? Mungkin klien, kolega, atau bahkan Anda sendiri yang mengatakannya?

Percaya atau tidak, pernyataan seperti itu dapat dikemukakan oleh pemilik sistem untuk meyakinkan bahwa sistem yang mereka miliki aman dan tidak membutuhkan perangkat keamanan atau bahkan sebuah pemeriksaan keamanan (security assessment).

Tidak sedikit individu/kelompok ketika mereka mengamankan infrastrukur hanya terfokus kepada teknologi saja, padahal aspek teknologi hanyalah salah satu aspek pendukung dalam meningkatkan keamanan informasi.

Dalam membangun infrastrukur berbasis keamanan informasi, sedikitnya ada tiga aspek yang harus diperhatikan.

Pada tulisan kali ini, saya akan mendeskripsikan tiga aspek yang dapat menjadi acuan dalam membangun infrastrukur berbasis keamanan informasi.

Continue reading

Go-Jek Hacking: Get more free credit over IDR 50 thousands

Go-Jek merupakan aplikasi yang digunakan untuk mempermudah penumpang dalam pemesanan ojek (transportasi umum informal di Indonesia yang berupa sepeda motor atau sepeda, namun lebih lazim berupa sepeda motor). Meskipun tergolong masih baru, namun peminat dari Gojek sudah ramai.

Dengan aplikasi ini calon penumpang akan lebih mudah serta praktis dalam menggunakan angkutan bermotor ini. Selain biayanya yang jelas (3 KM awal = + RP 10.000), penumpang juga akan dijemput oleh Gojek ke tempat asal mereka memesan. Penumpang juga bisa melihat (tracking) posisi gojek mereka sudah sampai dimana sehingga hal ini akan meningkatkan efisiensi waktu dalam beraktivitas. Selain itu, kelebihan Go-Jek juga menawarkan fasilitas gratis kepada penumpangnya seperti masker, hair cover, serta jaket untuk melindungi tubuh serta pakaian dari bau asap (biasanya di kota besar tingkat polusinya tinggi. Selain mengantar penumpang, beberapa layanan seperti pengiriman barang, pembelian makanan dan barang lain juga tersedia. Namun dalam tulisan ini saya tidak membicarakan hal tersebut.

Pagi ini saya telah mencoba aplikasi tersebut. Karena saya tidak bisa mengantar istri ke suatu acara, maka saya iseng menginstal aplikasi ini dan langsung mencoba melakukan pemesanan. Saat itu juga gojek pesanan saya langsung meluncur ke tempat saya. Kurang lebih 15 menit gojek sudah menunggu di depan rumah. Memang terjangkau, saya hanya membayar cash sebesar Rp 10.000 karena jarak yang ditempuh istri saya tidak jauh hanya sekitar 2,5 KM.

Penasaran dengan cara kerja aplikasi ini kemudian saya cari tau lebih jauh. Selain pembayaran melaui cash, penumpang juga bisa melakukan top up sehingga pembayaran dapat dilakukan hanya dengan memotong uang yang telah dideposit.

Continue reading