Book 3: Panduan Audit Keamanan Komputer Bagi Pemula
Alhamdulillah buku ketiga seri keamanan informasi sudah terbit pada hari ini (6 Maret 2017).
Saat ini penggunaan sistem komputer sudah menjadi kebutuhan bagi setiap individu maupun organisasi/perusahaan. Namun dibalik kemudahan sistem yang ada, terdapat ancaman yang dapat mengganggu keberadaan sistem sehingga dapat menyebabkan hilangnya data/informasi, bahkan sampai terganggunya proses bisnis di dalam suatu organisasi/perusahaan.
Untuk mengetahui kondisi keamanan sistem yang digunakan, diperlukan sebuah panduan terperinci agar pengguna dapat melakukan penilaian kondisi keamanan sistem secara mandiri.
Buku ini menyediakan panduan dalam melakukan penilaian kondisi keamanan pada suatu sistem yang digunakan secara teknis dan rinci. Penjelasan ditulis dengan bahasa yang lugas untuk memudahkan pembaca dalam memahami isi buku.
Semoga bermanfaat (:
Mutual Authentication, perlukah?
Institusi keuangan, dalam hal ini adalah Bank, merupakan lembaga yang krusial dalam hal keamanan teknologi informasi. Di tempat inilah uang saya -uang Anda juga ‘disimpan’. Di tempat ini juga nasabah melakukan transaksi baik secara manual maupun secara elektronik.
Namun sebagai nasabah, apakah Anda mengenal baik risiko yang dihadapi ketika melakukan transaksi melalui elektronik banking (e-banking)? Dalam hal ini adalah internet banking.
Suatu bank memiliki portal internet banking sebagai media transaksi bagi pengguna. Melalui portal inilah nasabah dapat melakukan transaksi (melihat balance, melakukan transfer, pembayaran, dsb). Pihak bank (mungkin) menyadari bahwa portal ini sebenarnya sangat rentan terhadap serangan sehingga mereka menyediakan perangkat keamanan tambahan bagi nasabah. Perangkat ini akan membuat transaksi nasabah (seolah) menjadi lebih aman. Perangkat tambahan tersebut berupa token yang pada umumnya telah lazim digunakan oleh nasabah. Token merupakan faktor otentikasi yang dimiliki (something you have) oleh nasabah selain password (something you know). Dua faktor ini harus dimiliki oleh penyerang untuk meng-compromise akun nasabah.
Book 2: Melumpuhkan Hacker dengan Web Application Firewall (WAF)
Alhamdulillah buku kedua sudah terbit pada bulan Juni kemarin.
Buku ini membahas mengenai keamanan dalam pembuatan sistem aplikasi web. Tidak sedikit teman-teman kita yang membangun aplikasi tanpa mempertimbangkan aspek keamanan sehingga ketika aplikasi telah selesai, maka selesai pula pekerjaannya. Akibatnya, aplikasi pun dapat dibobol oleh orang yang tidak bertanggung jawab.
Framework Verifikasi Keamanan DNS v1.0
Saat ini saya baru saja menyelesaikan sebuah project kecil-kecilan. Project ini adalah sebuah dokumen framework yang dapat digunakan untuk melakukan verifikasi keamanan terhadap DNS.
Framework ini dibuat dengan tujuan agar memudahkan para teknisi untuk melakukan pengecekan terhadap konfigurasi DNS yang akan dan telah mereka implementasikan. Framework ini saya buat berdasarkan referensi dari National Institute of Standards and Technology (NIST) SP800-81-2.
Adapun istilah yang ada dalam dokumen ini sengaja tidak saya terjemahkan ke dalam Bahasa Indonesia, guna menghindari kesalahpahaman dalam memahaminya.
Hati-hati mengupload konten multimedia ke facebook
Apakah Anda suka menggunakan facebook? Mendokumentasikan, meng-upload setiap momen ke album facebook Anda? Jika ya, mulai saat ini Anda harus berhati-hati. Facebook memang menyediakan media yang interaktif bagi Anda untuk dapat berkomunikasi dengan yang lainnya. Tetapi, jika saat ini Anda sering meng-upload konten multimedia (foto, video, dsb) di media sosial tersebut, maka konten yang ter-upload akan tersimpan di server dan TIDAK akan bisa dihapus secara permanen. Dengan kata lain, semua konten yang sudah Anda upload saat ini tersimpan dengan rapi di server (mungkin suatu saat nanti mereka BUTUH foto dan data Anda? Who knows?).
Saya melakukan percobaan meng-upload sebuah gambar, segera setelah ter-upload kemudian gambar tersebut saya hapus. Di album saya, gambar tersebut memang sudah ter’hapus’. Namun, sebelum saya menghapus gambar tersebut, saya menyalin link gambar terlebih dahulu sehingga saya masih dapat mengakses gambar yang di upload tadi.
Anda dapat melihat gambar yang sudah terhapus di link berikut:
Anda memang menemukan pilihan delete untuk mengapus foto tetapi Anda tidak akan bisa menghapus secara permanen dari server yang menyimpan foto Anda.
This is new security breach.
Moral of the story
Dalam menggunakan teknologi, Anda sebenarnya bertransaksi dengan penyedia – Anda menggunakan teknologi; mereka (penyedia teknologi) menyimpan (baca: mendapatkan) data Anda. Jadi, tetap waspada terhadap data yang Anda berikan kepada penyedia teknologi yang Anda gunakan.
Tulisan di link berikut menjelaskan bagaimana seharusnya Anda menghadapi teknologi yang ada saat ini.
Semoga bermanfaat.
Jangan mengirim konten multimedia melalui WhatsApp – UPDATED!
Mungkin dari judulnya agak provokatif ya? Tapi memang itulah yang ingin saya sampaikan.
Berikut ini adalah sepenggal hasil analisa saya mengenai messenger yang paling banyak digunakan di abad ini (baca: WhatsApp).
Bagi rekan-rekan yang mungkin suka membagikan foto-foto, suara, bahkan videonya di WA, sebaiknya pertimbangkan kembali karena hal-hal tersebut TIDAK bisa dihapus secara permanen. Memang ada pilihan delete messages, tetapi itu tidak membuat messages yang dihapus menjadi terhapus secara permanen.
Prinsip pengiriman konten multimedia di WA menggunakan mekanisme upload file. Jadi, sejatinya jika rekan-rekan membagikan konten multimedia, berarti rekan-rekan telah meng-upload konten tersebut ke server WA. Ini berarti setelah konten di upload, maka konten tersebut akan menjadi hak milik WA dan uploader tidak bisa menghapus kontennya.
Hal yang cukup krusial adalah jika seseorang mengetahui link / tempat konten tersebut berada, maka dengan segera seseorang juga dapat mengakses konten yang di upload tadi.
Jadi harap berhati-hati jika membagikan konten multimedia.
Ini adalah contoh konten multimedia yang dibagikan:
https://mmi726.whatsapp.net/d/oqeRTlliV-sLFYArScFya1a-isI/AgqoxLjArwFM9oI77JZAx0C1tygDxnaoabs4JS2OM4Wz.jpg
Note:
Saya belum menganalisa jenis messenger lain, namun pada prinsipnya semua messenger sama yaitu menggunakan mekanisme upload file. Perbedaannya bisa terletak pada akses link / tempat penyimpanan konten yang di upload. Apakah konten yang di upload tersebut mengizinkan akses publik atau tidak.
Updated
Hari ini (16-02-2016) saya iseng mengecek link image di atas, ternyata sudah tidak ada (dihapus atau dipindahkan?). Dari sini terlihat bahwa pihak WA memiliki tindakan yang responsif, dengan kata lain, aktivitas monitoringnya sangat baik.
Catatan
Gambar yang dihapus oleh WA itu adalah suatu gambar yang sudah saya tambahkan beberapa caption di dalamnya.
Tidak tahu mengapa ketika dicek sudah tidak ada lagi (object not found). Asumsi saya mungkin karena caption yang saya berikan, atau karena link ini sudah tersebar.
FYI
Untuk gambar yang tidak saya beri caption, ternyata masih bisa diakses via link. Berikut ini adalah contoh link yang masih dapat diakses:
Radio Hijacking: Take Over Your Favorite Radio Stations Less Than 90 Seconds
Sebenarnya tulisan ini adalah paper yang saya submit pada konferensi riset keamanan informasi yang diselenggarakan oleh suatu badan independen. Namun, dalam prosesnya, ternyata paper saya tidak lolos seleksi. Kemungkinan juga karena masih banyak kekurangan pada paper saya.
Anyway, panitia penyelenggara menentukan tema konferensi saat pengumuman paper sudah lolos seleksi. Jadi, ketika saya mengirimkan paper ini, saya tidak mengetahui tema apa yang akan diangkat oleh panitia, funny, jadi curcol begini saya 😆
Ok. Tulisan ini telah saya edit sedemikian sehingga memudahkan Anda dalam membaca dan memahaminya.
SmarTech, antara pelanggaran privacy dan kebutuhan pengguna
Pada kuartal 2 di tahun 2015, jumlah pengiriman (shipment) Android masih melesat jauh di atas platform smartphone lain. Gambar di bawah ini merupakan statistik yang dikeluarkan oleh idc.com; suatu lembaga yang membantu organisasi dalam membuat keputusan berdasarkan fakta dan data yang ada[1].
Gambar 1. Worldwide Smartphone OS Market Share
Terlihat pada gambar tersebut sebanyak 82% (dari 341,5 juta pemesanan) lebih merupakan pengguna Android. Dari data di atas, dapat disimpulkan bahwa mayoritas pengguna smartphone di dunia adalah pengguna Android.
“Kami sudah aman, kami memiliki firewall”
Apakah Anda pernah mendengar kalimat seperti di atas? Mungkin klien, kolega, atau bahkan Anda sendiri yang mengatakannya?
Percaya atau tidak, pernyataan seperti itu dapat dikemukakan oleh pemilik sistem untuk meyakinkan bahwa sistem yang mereka miliki aman dan tidak membutuhkan perangkat keamanan atau bahkan sebuah pemeriksaan keamanan (security assessment).
Tidak sedikit individu/kelompok ketika mereka mengamankan infrastrukur hanya terfokus kepada teknologi saja, padahal aspek teknologi hanyalah salah satu aspek pendukung dalam meningkatkan keamanan informasi.
Dalam membangun infrastrukur berbasis keamanan informasi, sedikitnya ada tiga aspek yang harus diperhatikan.
Pada tulisan kali ini, saya akan mendeskripsikan tiga aspek yang dapat menjadi acuan dalam membangun infrastrukur berbasis keamanan informasi.