Tag: STEI ITB

Foreword Kuliah Jaja, Preview Series

Foreword Kuliah Jaja, Preview Series

Jadi kalau ada yang penasaran urusan kuliah-kuliahanku, (Iya, kuliah-kuliahan) bisa cek disini.

Sejak pertengahan Agustus aku setiap hari Selasa ke ITB untuk Sit-In di Kuliah Pak Budi Rahardjo, dosen ITB yang aku kenal di Fakultas STEI, singkatan untuk Sekolah Tinggi Elektro dan Informatika, karena singkatan lebih catchy daripada nama lengkap.

Selama 3 bulan terakhir, aku menjadi sit in, dan ikut Kuliah Pak Budi, dengan tujuan mencoba rasanya kuliah tuh gimana sih. Thoughts awal saja, aku senang banget nyobain kuliah bareng Pak Budi, karena aku bisa ngerasain sebenarnya kuliah itu gimana.

Di sini aku mau tulis sedikit foreword dan apa aja yang dipelajari selama 3 bulan terakhir, mungkin dalam 2-3 minggu, setiap kuliah yang aku ikuti akan ada tulisannya, dan kerennya gaya Pak Budi menjelaskan sesuatu, lengkap dengan analogi andaikan sebuah sistem komputer adalah bagian dari dunia nyata, dan dengan pembawaan yang santai.

Ini sebenarnya hanya introduksi ke Web-Series yang akan aku kerjakan, semoga tertarik mengikuti Web Series itu ya!

Thanks to Pak Budi sudah mengizinkan aku sit-in di kuliahnya.

Software Security

Jadi ada 3 Mata Kuliah yang aku ikuti, (kodenya tetep aku ga bisa inget tapi meski sudah 3 bulan ikut) Ini adalah salah satunya, dan sebenarnya udah ketahuan dari judul artikelnya, mata kuliahnya membahas Software Security.

Apa Sih Software Security?

Karena ada kemungkinan pembaca orang awam, aku mau buka dulu sedikit tentang apa itu Software Security.

Sepertinya analogi akan sedikit lebih membantu, karena sejujurnya aku belum bisa menyusun kalimat untuk orang yang belum baca secara mendalam tentang subjek ini, padahal Security untuk software ini sudah sering dijumpai (dan digunakan) di HP atau Komputer yang sekarang dipakai untuk membaca artikel ini. Oh iya, terima kasih sudah mau meluangkan waktu untuk membaca artikel ini.

Andaikan kita mempunyai dokumen yang berisi informasi penting, dan identitas diri kita, karena siapa yang ga punya… Kalau kita asumsikan Internet adalah public space, (which it is, banyak orang kira karena bukan face-to-face kita bebas mau bilang apa aja di Internet) informasi private yang kita kirimkan ke Internet tidak difilter jika kita menggunakan software atau aplikasi tanpa security. Metodenya sebenernya ada banyak, yang akan aku bahas dalam beberapa minggu kedepan.

Kalau analogi diatas belum masuk, aku mau pake analogi Rumah. Analogi rumah sangat kepake dalam urusan security. Semua software yang kita pakai adalah barang berharga di rumah kita. Apa yang bisa dilakukan untuk menjaga barang berharga tersebut sih?

Bisa mulai dengan bikin pagar, yang dikunci dengan gembok, jika rumah kita tidak terlalu butuh penjagaan karena kurang berharga.

Untuk security yang lebih berat bisa ditambah dengan mengunci pintu, lengkap dengan slot yang hanya bisa dibuka dari dalam.

Jika barang sangat penting (misal emas, kunci mobil mewah, atau sertifikat rumah), kita bisa beli brangkas, atau untuk overkill bisa ditambah fingerprint scanner untuk mengamankan benda tersebut.

Jadi semakin penting sebuah barang (atau dalam kasus software, informasi, bahkan to some extent, payment, dan autentikasi), semakin tebal line of defense software, atau benda tersebut.

Aplikasi seperti Gojek, yang mempunyai sistem E-Money, bisa memancarkan lokasi kita, dan punya identitas kita, pastinya butuh security lebih banyak daripada aplikasi Game-game Puzzle yang bisa dimainkan tanpa internet.

Jadi sebenarnya Security di aplikasi udah seringkali kita pakai dan gunakan, tapi mungkin ga ngeh aja, padahal kalau ga ada Security di aplikasi atau software yang kita pakai, data privat kita akan mudah sekali bocor, dan dibaca secara publik.

Apa aja yang dibahas sih?

Well, selama 3 bulan terakhir (bentar lagi UTS, aku gak ikut tapi), Pak Budi membahas step by step cara dibuatnya sebuah software sampai tepat Selasa kemarin membahas apa yang perlu dilakukan pada software yang sudah diluncurkan agar keamanannya tetap terjaga.

Pak Budi membahas mulai dari planning sebuah software, dan info bahwa security sudah harus dirancang dalam blueprint software yang akan dibuat, sampai arsitektur (or desain, tapi aku suka perumpamaan), sebuah software secara detail.

Pak Budi juga menyelipkan enkripsi dan metode-metodenya sebagai snack sampingan. Sebenarnya materi enkripsi diselipkan karena tahun lalu ada mata kuliah mengenai itu, tetapi dihilangkan. Jadi Pak Budi membuat materi satu semester dibuat compact menjadi materi 2 minggu.

Pada satu pertemuan, ada special guest datang untuk memberi sedikit insight untuk mengetes security sebuah aplikasi, dan memastikan bahwa aplikasi yang dideploy sudah aman dan tidak bisa ditembus lagi. Basically kita mencoba jadi maling dan berusaha merampok diri kita sendiri, tapi untuk software.

Karena Security atau pengamanan sebuah benda dilakukan untuk memastikan tidak ada maling masuk, maka identifikasi jenis kemalingan dan maling-maling Pak Budi juga menyiapkan satu sesi khusus untuk menjelaskan jenis-jenis pencurian dan pencuri ini. (Ini sebenarnya ga bisa pake analogi, soalnya jenis maling gak terlalu banyak, tapi untuk Software, banyak sekali)

Overall satu semester bahasannya di kisaran hal-hal diatas, tunggu artikelku ya!

Incident Handling

Untuk mata kuliah kedua ada Incident Handling, kisarannya juga mirip-mirip dengan Software Security, dan dilaksanakan di ruangan yang sama.

Incident Handling 101

Jadi, seperti Software Security, Incident Handling berada di daerah Security juga, tetapi jika Software Security membahas metode mencegah sebuah kebocoran data, atau eksploitasi Software, Incident Handling lebih diarahkan untuk apa yang perlu dilaksanakan agar sebuah insiden yang gagal dicegah Security dasar sebuah software tidak berpengaruh terlalu banyak dan memastikan adanya recovery sesudah diserang.

Kalau bingung dengan tulisan rada-rada… membingungkan (sorry, ga nemuin kata yang lebih cocok) di atas, aku mau pake analogi perang, dan andaikan masih belum mengert, kita pakai rumah saja agar tidak terlalu pusing.

Jika dunia ini mendekati perang, peran Security adalah memastikan dunia berdamai, mungkin dengan membuat campaign dan meeting netral sambil membuat Peace Treaty. Security hanya bisa diapply untuk kondisi andaikan belum ada perang.

Jika perang sudah breakout, atau sudah terjadi, kita harus ke Incident Handling, sebenarnya bukan cara memenangkan perangnya, tapi cara agar sebuah pihak sesudah perang bisa recover dan kembali stabil sebagai negara. Kecuali jika perang Ragnarok, untuk itu maaf, dunianya sudah rusak, tidak bisa dibenarkan sejago-jagonya orang yang Handle Incident tersebut.

Jadi, sesudah membaca ulang tulisan sendiri, orang yang meskipun kurang familier dengan dunia IT, setidaknya kebayang lah ngapain orang yang Handling Incident.

Jadi jika sebuah perusahaan yang mempunyai Software A diserang dan datanya diambil, maka agar lubang yang sudah dibuat dan biasanya disebarluaskan juga, karena banyak Black hat Hacker (Hacker jahat) yang suka bragging kalau mereka sukses hack suatu sistem, agar kesalahan yang sama tidak terjadi lagi.

Biasanya user software atau aplikasi tersebut juga complain kalau data mereka diambil, dan ada kebocoran disistem, apalagi kalau Credit Card dibobol, itu komplainnya pasti parah. Sayangnya kuliah Incident Handling tidak membahas cara mengatasi orang-orang yang complain, karena itu pasti kepake banget untuk mengatasi orang yang complain…

Untuk hal-hal seperti itu, bukan IT, tapi lebih ke life skill, jadi kuliahnya tetap on-topic.

Stating the obvious, semakin besar insidennya, semakin besar usaha yang diperlukan untuk me-reverse attack itu, dan juga untuk patching (atau membenarkan). Contoh kasus mungkin saat mesin ATM sebuah titik mati, jika hanya 1 yang mati, bukan masalah besar… tapi kalau sampai seluruh branch ATM itu mati world wide, aksi yang perlu dilakukan tentunya lebih banyak dan lebih drastis.

Side note: Sebuah insiden yang bukan serangan dan sama sekali tidak bisa dicegah tetap perlu dihandle, mungkin tidak dengan cari penyerang dan patching software, karena tidak ada, tapi dengan memastikan sistem online kembali. Contohnya jika satelit yang memegang semua data dan koneksi televisi meledak atau entah kenapa, intinya rusak, tetap harus dicari apa yang

Jadi… Apa yang dibahas?

Apa saja yang dibahas… Banyak…

Kisaran pembahasan mulai dari hal simpel seperti definisi dan step by step mencari solusi ke sebuah serangan, sampai ke hal yang kompleks dan susah dilakukan seperti cara membalikkan sebuah bug exploit agar data tidak keluar sama sekali.

Pak Budi menjelaskan mulai dari cara mencari sumber serangan, karena informasi siapa yang menyerang sangat penting untuk narrowing down motif, dan juga penangkapan di dunia nyata, tapi itu urusan polisi.

Selain itu ada beberapa metode komunikasi alternatif yang perlu dilakukan jika sebuah insiden sudah terjadi. Untuk kenapanya akan dibahas dalam artikel-artikel berikutnya, tetapi jika komunikasi sudah terkompromi (biasanya serangan skala besar), metode komunikasi biasa seperti SMS, WA, atau Telepon tidak cocok lagi untuk komunikasi hal-hal yang sensitif.

Pak Budi juga masuk ke Sejarah dan contoh penyerangan yang sudah terjadi, karena sebenarnya ada beberapa teroris yang memanfaatkan rusaknya metode komunikasi untuk menyerang agar lebih sulit mencari bantuan. Bahkan ada beberapa teroris yang merusak hardware (misalkan tiang telepon agar telepon tidak bekerja) demi mematikan metode komunikasi.

Sama seperti Security, jenis serangan yang sering dilakukan juga dijelaskan, dan caranya mengatasi issue tersebut, secara detail juga dijelaskan serangan skala besar dan skala kecil.

Sepertinya kisarannya masih ada lagi yang masih bisa ditambah, tapi biar penasaran cukup disini deh, semoga kebayang apa itu Incident Handling ya.

Introduction to ICT

Information and Communication Technology, itu singkatannya, karena seperti STEI di atas, singkatan lebih catchy, tapi ada saat aku bingung singkatan sebuah benda, dan sering ketuker-tuker antara 2 singkatan yang mirip. Anyways, ini mata kuliah terakhir, yang sebenarnya aku paling banyak kelewatan karena mencari bangunan yang berbeda saat minggu pertama kuliah, dan pernah juga terdistraksi ada kuliah umum di jam yang sama (hanya sekali sih).

Info on Information and Communication Tech

Ini 101 banget sih, kuliahnya juga terkesan lebih simpel dari yang kedua sebelumnya. Kuliah ini membahas progress-nya komunikasi, dan by definition, adalah extension dari IT (singkatan information technology), tetapi lebih membahas secara spesifik ke komunikasinya, dan bagaimana kita maju dari komunikasi via telepon rumah ke sekarang.

Tampaknya sebenarnya ICT tidak perlu dijelaskan dengan terlalu detail karena meskipun tidak familier ke dunia IT, komunikasi via Internet, atau dengan Pemancar dan sinyal HP sudah cukup dimengerti. Regardless, tetap aku lakukan, karena aku suka menulis 😀 .

Aku mau membahas contoh yang pastinya semua orang sudah tahu, karena sebenarnya aku sedikit lupa definisi resmi yang Pak budi berikan (maafkan pembaca, aku juga kecewa pada ingatanku ke definisi, sampai-sampai aku lupa). Contoh paling mendasar adalah Internet, yang merupakan salah satu teknologi terpenting dan paling sering digunakan di zaman Millenial ini.

Selain itu, untuk komunikasi dibutuhkan 3 hal penting. Pengirim, jembatan (atau istilah lebih tepatnya sebenarnya domain, metode, atau media), dan penerima. Internet itu sudah jadi media paling utama di abad ke 21 ini, dan untuk device pengirim dan penerima sudah banyak sekali, karena sekarang dengan adanya sosmed, kita tidak hanya mengirim sebatas ke satu penerima, tapi bisa ke semua friend list kita (or kalau kita selektif hanya beberapa, just a thought).

Jadi sebenarnya penerapan dari mata kuliah ini mungkin yang paling sering dijumpai oleh siapapun, karena berdasarkan data ada 3.000.000.000 orang yang sudah terhubung ke Internet

Yes, this article that you’re scrolling with your mouse (or keyboard), or maybe if you’re using your phone, swiping with your fingers… is indeed the result of ICT.

Spoiler ICT

Mata kuliah ICT berkisar dari metode, transfer data dan komunikasi in general.

Sejarah dan pembahasan zaman dahulu kalanya (sejarahnya) juga dibahas, karena ICT baru benar-benar melesat dalam 10-15 tahun kemarin. Dengan Internet penghematan juga banyak yang bertambah, hanya side note untuk orang-orang kopet 😀 .

Oh iya, untuk ICT ini, yang dibahas bukan hanya Software, tapi juga hardware-nya, karena sender dan receiver sangat-sangat rely ke Hardware. (bukan berarti hardware tidak dibahas di 2 mata kuliah sebelumnya sih)

Sedikit pemikiranku saja, tampaknya dunia kita makin melesat ke jalur efisien, portable dan ringan daripada efektif tetapi tidak mobile. Semakin jauh ke abad ke 21, Hardware makin kecil dan efisien.

Selain Internet juga ada beberapa metode lain yang dibahas, seperti cellular data (okay, this sounds pretty old to be honest) or well, 2G, tapi regardless, tanpa 2G pertama, kita ga bakal sampai ke 4G.

 

Well, sebenarnya preview series ini cukup sampai sini saja sih, terima kasih sudah mau membaca trailer seriesku ya (of course, jangan jadi orang yang nonton trailer tapi ga nonton filmnya soalnya trailernya kurang wah). Sampai berjumpa di artikel ku dan “episode” pertama serial ini

Side Note: aku sebut serial karena aku juga doyan nonton serial, dan juga gak salah kan?

[Azriel’s Late Post] Unnovation Seminar

[Azriel’s Late Post] Unnovation Seminar

Seri Azriel’s Late Post ini adalah kumpulan tulisan yang dibuat sebelum laman dikakipelangi ini diluncurkan, dan ditulis selama periode 2015 – 2017. Selamat menikmati 🙂

 

 

Aku pertama kali sampai di ITB pukul 8.00 dengan naik gojek. Gojeknya tidak mau mengantar sampai dalam kampus ITB. Beruntungnya, lokasi penyelenggaraan seminar tidak jauh dari gerbang, tepatnya di samping pintu gerbang, yaitu Aula Barat ITB. Ketika aku tiba ternyata peserta seminar belum boleh masuk ke dalam gedung seminar, padahal dalam jadwal disebutkan mulai pukul 8.00. Maka, aku memutuskan untuk berjalan-jalan di sekitar kampus ITB.

 

Pada pukul 8.45 aku sudah kembali ke Aula Barat dan sudah diperbolehkan masuk. Sudah ada bebereapa peserta di dalam ruangan namun masih belum terlalu ramai. Karena tempat duduk di barisan paling depan adalah untuk peserta lomba, maka aku memutuskan untuk duduk di barisan kedua sebelah kanan. Lucunya, seluruh peserta memilih untuk duduk di sebelah kiri sehingga kursi di sebelah kanan kosong.

Pak Arif Sasongko (Sumber foto situs ITB)

Acara dimulai pukul 9.15 dengan sambutan dari Kepala Program Studi Teknik Elektronika ITB, Arif Sasongko, S.T., M.Sc, Ph.D.. Sambutan berisi pentingnya tech-startup dalam ekosistem ekonomi sekarang. Menurutku, sambutan nya sangat menarik dan cocok dengan tema seminar. Sambutannya pun cukup pendek hanya sekitar 15menit. Cukup menarik bagiku, karena tidak ada sesi menyanyikan lagu Indonesia Raya pada seminar ini, biasanya bila aku mengikuti seminar selalu dimulai dengan menyanyikan lagu Indonesia Raya.

 

Setelah sambutan usai, pembicara pertama adalah Aussie Wijaya, dari Boston Consulting Group. Boston Consulting Group, merupakan sebuah perusahaan yang menyediakan jasa konsultasi decision making dalam sebuah bisnis. Sejak 2015, perusahaan ini lebih sering memberi advise tentang memberi sentuhan technology pada sebuah bisnis.

 

Beliau menunjukkan bahwa berdasarkan data, perubahan bisnis yang terjadi dari tahun 2012 hingga 2015 sangat drastis. Hal ini terlihat dalam sebuah perusahaan CD besar di Amerika Serikat kehilangan 100% value sahamnya, karena terkalahkan oleh Spotify dan iTunes. Selain perusahaan CD ada beberapa perusahaan lain yang terkena imbasnya, seperti Ace Hardware dan Electronic Solution. Perusahan-perusahaan ini kehilangan 30% salesnya, karena toko jual beli online seperti Tokopedia, Lazada, Bukalapak dan sebagainya. Masih banyak lagi perusahaan yang kehilangan penjualan tahunannya dengan angka sekitar 15-68%.

 

Sejak itu, maka Boston Consulting Group memutuskan untuk beralih dengan memberi saran berbasis teknologi untuk perusahaan-perusahaan yang menjadi clientnya. Berdasarkan data lagi, Indonesia, khususnya Pulau Jawa didominasi oleh ekonomi tingkat tengah dan menengah keatas. Kalangan ini, sebagian besar tidak punya banyak waktu untuk belanja sehingga mereka beralih ke belanja online. Bahkan, 80% dari kalangan ini memiliki gadget dan 60% memiliki akses ke wi-fi.

 

Kemudian, Pak Aussie menjelaskan cara memberi sentuhan teknologi dalam suatu bisnis. Penjelasannya, bahwa bisnis harus memiliki akses mudah dalam bentuk domain atau halaman toko online, untuk memudahkan kalangan dominan yaitu kalangan menengah yang sekarang lebih fokus dalam membeli barang via internet. Setelah itu beliau menutup dengan statement yang menyatakan bahwa apabila kita tidak melangkah masuk ke dunia digital maka kita akan tertinggal dengan kecepatan perubahan zaman.

Om Leon (Sumber foto situs ITB)

Pembicara kedua adalah Leontinus Alpha Edison – COO Tokopedia. Om Leon membuka dengan sejarah mengenai bagaimana tokopedia dimulai. Berdasarkan ceritanya, tokopedia mulai pada Januari 2009. Dimana ketika pertama kali launching baru ada 50 barang milik tokopedia sendiri. Dari kolaborasi Om Leon dan Om William Tanuwidjadja, yang sekarang menjadi CEO tokopedia.

 

Om Leon bercerita selama beliau menjadi (yang disebut oleh Om Leon sebagai) Half Engineer, beliau berkolaborasi dengan Om William untuk membuat sebuah website, yaitu tokopedia. Om Leon mendapatkan ide membuat tokopedia karena dia sempat mengalami kebingungan kala mengetahui promo sebuah brand ternama untuk produk mesin cuci. Ceritanya begini,di pagi hari Om Leon menghubungi dealer untuk mengklarifikasi sebuah promo yang beliau lihat. Kemudian beliau mendatangi dealer untuk membeli mesin cuci yang dipromokan. Namun, menurut dealer syarat dan ketentuan yang kurang sehingga mesin cuci tidak dibeli dengan harga promo. Selanjutnya, Om Leon kembali ke kantor untuk melanjutkan bekerja dan menyempatkan menghubungi dealer kembali dan diinformasikan bahwa barang sudah bisa dibeli. Pada jam istirahat, Om Leon datang kembali ke dealer dan katanya masih ada lagi syarat ketentuan yang kurang. Dan Om Leon kembali bekerja dan kembali lagi menghubungi via telp, pihak Customer Service dan diinformasikan bahwa promo tetap bisa diperoleh. Pada pukul 15.00 beliau kembali ke dealer hanya untuk menyampaikan keluhan tentang syarat dan ketentuan promo. Menurut Om Leon dan disampaikan ke pihak dealer syarat ketentuan promo tidak jelas, sehingga menimbulkan kebingungan. Dari pengalaman ini Om Leon berangan-angan memiliki online store dimana konsumen adalah prioritas.

 

Sekarang, tokopedia sudah menjadi sebuah perusahaan yang besar dan Om Leon menyampaikan DNA dari seluruh sistem operasi tokopedia. Prioritas pertama tokopedia adalah konsumen dan konsumen harus selalu menjadi prioritas tanpa terkecuali apapun. Tim tokopedia juga harus dapat bekerja sama dengan baik, karena setiap ada update dalam code tokopedia maka projectnya dilakukan secara bersama-sama dalam tim dan bukan perorangan. DNA terakhir dan menurutku paling penting adalah harus selalu mau berkembang, hal ini dapat dilihat dari perkembangan pesat tokopedia sejak 2009, dimana sekarang sudah ada jutaan jenis barang dan jutaan pengguna.

 

Kualitas DNA ini dapat dipertahankan oleh tokopedia dengan filter recruitment yang cukup ketat. Jika seseorang ingin menjadi bagian dari keluarga tokopedia, maka haruslah memiliki beberapa hal penting. Yang pertama, culture di rumah dan pendidikan rumah yang baik. Maksudnya, jika culture rumah dan kebiasaan si pelamar dirasa kurang cocok dengan culture tokopedia maka lamaran akan ditolak. Menurut Om Leon, jika seseorang tidak memiliki kebiasaan yang baik (yang dimulai dengan kebiasaan baik di rumah) maka dapat meberikan dampak negatif pada keseluruhan culture tokopedia. Setelah culture dari pelamar dirasa sesuai, maka yang dilihat adalah bagaimana pelamar dapat cocok dengan culture kerjasama dalam keluarga tokopedia. Apabila kedua culture tersebut sudah cocok, yang selanjutnya dinilai adalah pengalaman dan apakah si pelamar cukup kompeten. Langkah terakhir setelah kesemua syarat tersebut sesuai, adalah pihak tokopedia akan mencarikan tim yang tepat untuk rekan kerja si pelamar atau membuatkan tim baru yang sesuai.

 

Selanjutnya, Om Leon bercerita bahwa di tahun 2012 tokopedia memiliki akademi untuk bagian keluarga tokopedia. Akademi ini melatih keluarga tokopedia untuk menambah pengetahuan, kreativitas serta mempertajam DNA yang tertanam. Om Leon mendapatkan ide ini dari sebuah film yang beliau tonton bersama crew tokopedia (di tokopedia ada acara bernama movie day, yaitu sekali dalam satu bulan, keluarga tokopedia akan bersama-sama menonton sebuah film di bioskop) pada movie day, yang berjudul The Internship. Jadi dalam film berlatar belakang program magang sebagai seleksi untuk bekerja di Google. Karena tertarik dengan ide dari film tersebut, Om Leon memutuskan untuk membuat pelatihan tahunan, namanya adalah Nakama.

 

Nakama adalah event selama seminggu setiap tahunnya dimana crew tokopedia diberi tantangan untuk mengasah kemampuan dari crew. Kreativitas crew juga diuji dalam event ini. Seperti Om leon ceritakan bahwa diakhir minggu dari Nakama Academy ini, sudah ada ide baru yang kreatif untuk memperkuat environment tokopedia dari setiap tim. Tim dengan skor tertinggi di akhir minggu akan diapresiasi dengan Piala Nakama dan idenya akan diterima serta diimplementasikan.

 

Dari semua ide yang Om Leon ceritakan, yang paling menarik menurutku adalah bagaimana anak buah bisa menyampaikan report pada atasan. Yang membuat Om Leon menerima ide ini adalah karena ketika beliau masih menjadi Half-Engineer, beliau tidak suka pada bosnya yang menurut beliau cerewet dan tidak bisa apa-apa. Jadi beliau ingin memastikan bahwa dalam environment kerja tokopedia kekurangan ini tidak ada. Laporan haruslah memiliki 4 bagian, yaitu deskripsi mengenai bos, keuntungan memiliki bos tersebut sebagai atasan, kerugian memiliki bos tersebut sebagai atasan dan apa yang bisa diperbaiki.

 

Om Leon menutup presentasi dengan menyampaikan impiannya bahwa disuatu hari nanti tokopedia bisa memiliki sebuah kampus. Aku sangat senang mendengar presentasi dari Om Leon sehingga ketika presentasi selesai aku berlari cepat menuju Om Leon, mencegatnya dan memberikan kartu namaku. Om Leon cukup terkejut mengetahui aku memiliki kartu nama, dan aku pun meminta kartu nama Om Leon. Aku mengatakan keinginanku untuk magang di tokopedia, dan tanggapan Om Leon adalah bahwa biasanya tidak ada kesempatan magang untuk pihak luar. Tapi Om Leon berjanji akan menghubungiku apabila ada perubahan atau bila ada kesempatan untukku.

 

Sukan Makmuri (sumber foto Kudo)

Presentasi berikutnya adalah dari KUDO, dengan pembicara Sukan Makmuri, yang merupakan CTO dari KUDO. Aku menikmati presentasi dari Pak Sukan, beliau dahulu merupakan CEO dari Kaskus. Beliau mebuka dengan menceritakan apa itu Kudo. Kudo merupakan singkatan dari Kios Untuk Dagang Online.

 

Beliau menunjukkan data bahwa diluar pulau Jawa, orang yang meiliki akses ke Internet dan Smart Phone masih dibawah 20%. KUDO ingin dapat meningkatkan peluang perdagangan online ke daerah-daerah luar Jawa. Namun, banyak kendala yang harus diatasi, karena orang-orang di luar Jawa kurang teredukasi dalam hal internet dan kurang percaya jika tidak kenal dengan penjualnya. Salah satu faktor lain adalah kurang ATM untuk melakukan transaksi pembayaran belanja online.

 

Dalam hal inilah KUDO berperan. KUDO berusaha menghubungi warung terbesar dari satu daerah, kemudian diajak untuk menjadi partner KUDO. Setelah warung setuju, maka akan dipinjamkan smart phone yang telah terinstall aplikasi KUDO. Disini KUDO berperan memberi suplai barang dari daerah lain, misalnya beras dengan kualitas lebih baik. Aplikasi ini diharapkan memfasilitasi pedagang untuk menyediakan komoditas yang lebih baik dan variatif.

 

KUDO juga berperan meningkatkan value suatu warung karena aplikasi ini memiliki iklan, yang dapat menghasilkan uang. KUDO membagi sebagian penghasilan via iklan ini, serta membagi pada warung-warung setidaknya USD 100 dari hasil iklan. KUDO juga mengapresiasi warung dengan penghasilan terbanyak pada suatu pulau dengan memberikan smart phone yang awalnya dipinjamkan. Jika pada satu desa ada warung yang memiliki KUDO, maka menurutku secara tidak langsung warga-warga desa tersebut lebih teredukasi mengenai teknologi. Selain itu, bagi brand yang bekerja sama dengan KUDO dari pulau Jawa akan mendapatkan perluasan peluang bisnis.

 

Menurutku, meskipun Pak Sukan tidak menyebutnya secara langsung, KUDO sangat beneficial untuk orang di luar pulau Jawa dan bagi entrepreneur di dalam pulau Jawa. Ini yang membuatku menilai KUDO sebagai sociopreneursip. Aku sangat menikmati presentasi dari Pak Sukan dengan kontennya yang menarik dan baru kuketahui bahwa ada perusahaan seperti itu. Meskipun sebetulnya aku sudah cukup lama mengetahui tentang KUDO, karena ketika aku melewati Jalan Setiabudi disebelah jajaran tukang rotan ada kantor KUDO. Bahkan aku pernah mampir -ketika aku masih memainkan game online- untuk membeli voucher game. Tapi kala itu aku belum tahu bahwa KUDO memiliki benefit sedemikian rupa dan menambah value dari sebuah usaha di Indonesia.

 

Pembicara selanjutnya adalah Riri Satria, CEO dari value alignment group. Sayang sekali presentasinya kurang menarik sehingga membuatku tidak terlalu ingat akan materi yang disampaikan. Presentasi tersebut merupakan presentasi terakhir dari rangkaian presentasi dalam seminar ini. Menurutku, seminar ini secara keseluruhan menarik dan menyenangkan, karena selain mendapat ilmu dan wawasan baru, aku juga mendapat kesempatan bertemu orang-orang yang memberi inspirasi. Sayang sekali, seminar ini sepertinya tidak dipromosikan selain di dalam kampus ITB, meskipun aku bersyukur karena aku kebetulan berada di ITB tepat satu hari sebelum seminar sehingga aku melihat spanduk seminar hingga akhirnya mendaftar untuk menghadirinya. Akan lebih baik bila event-event seperti ini diinfokan melalui social media atau melalui komunitas juga agar lebih banyak yang bisa mengetahui.

[Azriel’s Late Post] OSCP Hacking Workshop

[Azriel’s Late Post] OSCP Hacking Workshop

Seri Azriel’s Late Post ini adalah kumpulan tulisan yang dibuat sebelum laman dikakipelangi ini diluncurkan, dan ditulis selama periode 2015 – 2017. Selamat menikmati 🙂

Jumat kemarin tanggal 17 maret 2017, aku mengikuti workshop hacking berbasis tes OSCP. Pelatih di workshop ini adalah Pak Yoko, yang merupakan sebuah konsultan security aplikasi. Tes OSCP sendiri adalah sebuah tes hacking yang dilakukan secara remote, dengan OS Kali Linux. Aku menginstall VmWare workstation untuk menggunakan device Kali Linux-ku

Sebelum workshop dimulai, Pak Yoko memberikan kita overview dari tes sertifikasi security. Ada 2 jenis tes, yaitu management dan offensive, OSCP termasuk yang Offensive. Selain itu OSCP juga menggunakan system soal dan scoring. Tes OSCP sendiri dilaksanakan dalam waktu 24 jam di rumah masing-masing, dan dengan soal berbeda. Selain itu ada juga banyak sekali metode yang bisa kita gunakan untuk mengexploit sebuah system. Semakin ketat sebuah system maka semakin besar poin yang kita dapatkan dari soal tersebut.

Sesudah masuk ke virtual machine Kali Linux, kita langsung diberi set command untuk mencari tahu data di sebuah system dan berusaha membobolnya. Sesudah masuk ke satu server spesifik IP, dan dokumen-dokumen yang memaintain server dan OS yang juga ada di IP itu, aku langsung memodif user lain di OS pemegang server ini. Sesudah masuk, aku menambahkan user administratorku agar aku bisa akses system server. Ini bisa kulakukan karena server punya banyak sekali loophole untuk aku exploit. Sesudah mendapat akses, aku masuk ke device server dan mendisable administrator lain. Ketika aku satu-satunya user administrator yang tersisa, aku mengopi list kode untuk exploitasi dan mengeksploit semua kelemahan data dengan software bernama Mimikatz. Mimikatz berfungsi untuk membobol OS apapun yang diatas Windows Vista. Aku langsung mematikan server dan menghapus semua user lain di PC itu dan membuat server di IP tersebut mati untuk durasi yang cukup lama. Semua proses ini sebenarnya bisa dilakukan tanpa perlu retrieve IP dan password user terlebih dahulu, tapi justru proses itu yang sulit, karena aku bisa mendisable device orang lain asal tidak di password, dan aku punya IP. Proses ini juga dilakukan dengan aplikasi yang windows sendiri miliki dalam built in OS tanpa perlu download atau install apapun terlebih dahulu.

Aku menggunakan proses diatas untuk 2 soal, namun metode aku mendapatkan administratornya yang berbeda. Di soal yang menggunakan server SQL, aku cukup menggunakan list command built in SQL-nya, password didapatkan via brute force, dan lokasi server didapatkan dengan melakukan perintah Nmap Scan, dan ditemukannya file Robots.txt dan XAMPP. Di soal yang satunya lagi menggunakan server berbasis Tomcat. Untuk memasukkan command ke server Tomcat ini, aku perlu mengupload shell yang sudah berisi command ke server dan mengakses shellnya untuk melakukan command seperti di paragraph atas ini. Ketika aku sudah mendapatkan username dan lokasinya, baru aku bisa masuk dan membobol server ini. Sesudah ini selesai, aku langsun berjalan ke Masjid Salman dan sholat disana

Hari ini ada total 7 soal, namun kami hanya sempat mengerjakan 6 soal, karena tidak ada cukup waktu untuk mengerjakan soal nomor 7, yaitu soal paling susah. Soal paling susah ini bernama Stack Overflow, yang bertujuan memenuhi threshold sebuah server sampai servernya terlalu penuh. Pada pagi hari kita sudah sempat mengerjakan 2 soal. Tinggal tersisa 4 soal lagi dari Jam 13.00 sampai jam 17.30.

Ke empat soal ini memiliki flow yang sama, dan kurang lebih dikerjakan seperti ini,  cari page utama untuk server host-nya, cari hal yang bisa di exploit, (misal file, command, dan lain-lain) dari bahan yang bisa di exploit itu, buat user baru (contoh: Admin, Administrator, [NamaWebsitenya], dll), dengan password “P@ssw0rd”, brute force list password itu, cari yang benar, login dengan yang benar. Carilah ssh address yang mestinya sudah tampak ketika login, cari versi kernel server, cari daftar exploit di internet, dan tinggal download lalu compile command-nya. Laksanakan file compile-nya dan kamu sudah sukses menghack sebuah server. 4 soal itu dilakukan dengan flow yang sama, namun metode per soal beda, ada soal yang dilaksanakan dengan memasukkan username dan password yang paling common, ada yang perlu upload CMD terlebih dahulu, ada yang perlu command khusus, dan lain-lain.

Soal nomor 3 pada hari ini cukup simpel karena di IP yang Pak Yoko berikan (menggunakan server CuppaCMS) ada file .txt yang sudah ada address, username dan password. Sesudah masuk kita tinggal masukkan script via url, karena URL-nya support command langsung. Sesudah itu kita tinggal menambahkan username dan mem-brute force, di soal 3-5 semua proses sudah sama persis sesudah mem-brute force username dan passwordnya. Soal nomor 4 cukup mirip dengan soal nomor 3, tetapi karena menggunakan server Google Statistics, perlu upload command prompt terlebih daulu karena URL tidak bisa digunakan untuk menambahkan direct command. Untungnya, Google Statistics punya built in cloud untuk menjalankan file dan menguploadnya. Yang perlu dilakukan  sesudah login ke server, cukup upload CMD Google Statistics yang sudah ada di Kali Linux secara built in. Sesudah di upload tinggal jalankan command brute force, dan kita akan dapatkan akses server dan user. Soal nomor 5 lucunya lebih mudah lagi karena semua data sudah ada di file Robots.txt dan kita tidak perlu upload file lebih lanjut, karena sudah punya Cmd built in di website (tidak menggunakan link ataupun upload file, sama seperti textbox kode). Data langsung didapatkan dan system server juga cukup rusak.

Soal terakhir yang cukup sulit untukku adalah web calendar, untuk ini tidak ada CMD atau metode memasukkan kode sama sekali. Karena itu untuk input code kita membutuhkan shell open source dari github, buatan orang Indonesia, bernama B374k Shell. B374k Shell berguna untuk memasukkan kode ke file web yang hidden, karena semua web pasti punya server di sebuah PC. B374k memasukkan kodenya ke dalam PC yang menjalankan servernya, dan bukan servernya. Tapi untuk masuk ke dalam Shell B374k, kita butuh keluar dari “gerbang” yang membatasi Kali Linux. Untuk melakukan itu cukup masukkan sedikit kode di python dan dia akan mengkonversi ke Terminal Linux semi Python, dan Shell B374K bisa dimasukkan ke sini. Sesudah selesai bruteforcing, aku mulai tidak mengerti dan sedikit salah di bagian ini (ini bukan pas aku pegang HP kok). Tapi intinya flownya masih cukup mirip, hanya ada sedikit perbedaan di injeksi karena harus menggunakan B374K.

Sesudah soal nomor 6 selesai, aku langsung memberikan kartu namaku ke Pak Yoko yang cukup sering bercanda dan tertawa sepanjang workshop ini. Oh iya, kata Pak Yoko, terkadang hacking bisa membuatmu frustasi, jadi setiap menyelesaikan soal, wajib istirahat 5-10 menit dahulu. Ketika foto selesai aku langsung mengembalikan semua meja bersama kakak mahasiswa ke ruangannya di lantai 3, baru aku jalan ke Pico.

Thoughts and Experiences:

Aku sangat senang akhirnya bisa belajar Hacking. Sejujurnya aku tidak mengira scope hacking lebih luas dari perkiraanku sebelumnya, dan ternyata lebih mudah dari yang kukira (basicnya). Pak Yoko juga hobi bercanda selama workshop jadi workshopnya kerasa lebih casual. Aku senang bisa ikut acara dari ISG dan Isaca dan ingin belajar hacking lebih lanjut.

[Azriel’s Late Post] Workshop Digital Forensic

[Azriel’s Late Post] Workshop Digital Forensic

Seri Azriel’s Late Post ini adalah kumpulan tulisan yang dibuat sebelum laman dikakipelangi ini diluncurkan, dan ditulis selama periode 2015 – 2017. Selamat menikmati 🙂

 

Pada tanggal 17 februari kemarin, aku pergi ke ITB karena ada Workshop Digital Forensic. Workshop ini disertai Guest Host Pak Nuh yang merupakan kepala lab digital forensic. Kemarin malam sesudah menginstall software yang diperlukan, aku tidak sabar belajar digital forensic karena aku sempat tertarik dengan ini ketika menonton CSI: Cyber (yang pada akhirnya dicancel tanpa alasan jelas), namun belum menguliknya.

Sebelum masuk ke Workshop, Pak Nuh bercerita mengenai backgroundnya. Pak Nuh juga sempat bercerita bahwa ia sempat berpikir untuk menghack sebuah bank besar di Indonesia, dan sampai sekarang, masih ada program untuk melakukan itu. Untungnya karena Pak Nuh kuliah dengan bimbingan polisi, Pak Nuh menjadi Cyber Forensic, bukan Cyber Criminal.

Sumber foto dari hukumonline.com, aku lupa dokumentasi soalnya 😀

Workshop dimulai dengan teori dari Digital Forensic. Aku sudah cukup tahu dengan bentuk dan evidence dari Digital Forensic sebelumnya. Jenis buktinya tentu adalah software dan hardware, dimana software evidence biasa berisi dari jejak history sebuah PC, dan hardware evidence adalah PC-nya sendiri (sebagai contoh saja karena masih banyak lagi tentunya). Selain bentuk dan bukti, juga ada “code of conduct” yang harus dipatuhi oleh seorang forensic digital. Kode pertama untuk ini adalah untuk tidak pernah mengedit sebuah barang bukti, tanpa disecure atau write block terlebih dahulu. Dengan ini kita tidak akan merubah hash code sama sekali. Kode berikutnya adalah, “Untuk melakukan suatu tindakan forensic, orang harus tersertifikasi, dan tahu apa yang dia lakukan”, cukup self explanatory menurutku. Kode berikutnya: adalah untuk merekap dan meninggalkan jejak ke setiap tindakan, menurutku dan mungkin semua programmer (forensic atau bukan) ini penting agar kita dapat mentrace segala tindakan yang kita buat, dan mencari kesalahan atau kebenaran di sebuah barang bukti. Kode ke empat adalah “Setiap tindakan harus dimonitor dan dipertanggung jawabkan ke seorang supervisor”, ini untuk memastikan kerusakan data dan kegagalan satu kasus tidak terjadi.

Aku bertanya ke Pak Nuh, apakah kita diberi izin untuk mengubah hard disk dan mungkin merusak konten sebagai last resort? Pak Nuh pun memarahi aku dan bilang bahwa forensik itu bukan tuhan dan jika ada data yang terubah karena kerusakan maka ya barang bukti tidak valid lagi. Pak Nuh sepertinya galak dan aku menekan trigger button-nya. Pak Nuh melanjutkan penjelasan dengan galak lagi ke aku bahwa ada kemungkinan kalau kita melanggar code of conduct bisa membuat satu isi lab di ban dan dibubarkan, karena supervisor juga harus bertanggung jawab, jadi sebaiknya kita tidak perlu mengedit konten sama sekali… Sesudah ini aku tidak mengucapkan satu katapun ke Pak Nuh sepanjang workshop  aku takut mengeluarkan pertanyaan yang salah lagi, kan malu kalau dimarahin di umum pas workshop, bahkan aku tidak memberitahu umurku ke Pak Nuh.

Seusai code of conduct dijelaskan, Pak Nuh melanjutkan dengan contoh kasus Cyber Criminal. Karena muka pelaku tidak diketahui, CIA menghargai kepala sebuah mafia hacker asal Russia 1 Juta Dollar. Ya kasus Cyber Forensic memang mulai meningkat cukup pesat secara global ataupun local tahun ini. Bahkan peningkatannya sampai 80% dari 2014 ke 2015, menurut statistic milik Pak Nuh.

Sesudah itu Pak Nuh mendemokan Hash Calculator yang merupakan sebuah software untuk membaca encoding sebuah file. Cara menggunakannya sangat simple, cukup masukan file kedalam Hash Calculator-nya. Hash Calculator berguna untuk membaca apakah sebuah file pernah diedit atau belum. Hash Calculator juga bisa dipakai untuk membedakan 2 file yang tampak sama persis berdasarkan signature-nya. Hash Calculator menunjukkan data file dengan sejumlah karakter yang unik, dan akan berubah berdasarkan semua properti file yang berubah (baik secara sengaja atau tidak sengaja), Di windows, bahkan mengubah file, meski tidak di save perubahannya akan mengubah Hash Code-nya, jika di Linux ini tidak akan terjadi. Membaca Hash akan berguna untuk membedakan 2 file dan mencari mana file yang benarnya.

Sesudah Hash Calculator kucoba, waktu makan siang tiba dan aku jumatan sesudah itu langsung makan siang. Topik Khutbah Jumat hari itu adalah cara mempursue passion dengan gaya islami, dan kebetulan Pak Nuh bahas lagi saat workshop dimulai lagi. Selesai ISHOMA, aku visit lab Nano Sains dan say hi ke beberapa kakak disitu, lalu kembali lagi ke ruang rapat STEI.

Berikutnya aku mencoba software USB Write Block, yang berguna untuk memastikan kita tidak mengedit satupun hash code dari sebuah file. Cara pakainya pun sangat simple, cukup di toggle on dan off, ketika kucoba dengan USB, USB itu tidak bisa diedit sama sekali. Sayangnya aku lupa men-toggle fitur ini off ketika sampai rumah, dan membuat sebuah USB tidak bisa di edit. Ini adalah langkah yang simpel tapi wajib dilakukan kata Pak Nuh.

Sesudah selesai memblock USB dari editan apapun, aku pun mencoba mengkonversi sebuah USB menjadi database. Aplikasi ini butuh waktu lama untuk memproses sebuah USB 8 GB dan membaca isi file-nya. Aplikasi ini juga bisa membaca sebuah folder yang di delete, meskipun bisa membaca folder dan file yang sudah di delete,  kita tidak bisa melihat konten file selain namanya dan tanggal delete-nya. Pak Nuh juga bercerita bahwa dia hanya mau menyewa gamer ataupun eks-gamer karena hanya mereka yang punya stamina untuk dapat tahan melihat screen selama itu sambil membuat satu file jadi sebuah .ISO dan membaca ulangnya. Kadang Pak Nuh member mereka izin untuk main game sambil menunggu konten satu hard disk dibaca, dan dikonversi ke ISO. Di USB pinjamanku aku melihat beberapa folder yang sudah di delete, dan ternyata kita bisa melihat JPG yang sudah didelete. Sayangnya sebelum aku bisa eksplorasi lebih lanjut Pak Nuh yang sibuk harus pulang. Masih ada satu software untuk melakukan autopsy pada ISO yang belum sempat kita coba hari ini. Kata Pak Nuh software Autopsy ini bisa merecover file-file hilang. Pak Nuh memberi salam penutup dan mendoakan yang terbaik untuk kita semua ketika ia bersiap kembali ke labnya di Jakarta.

Thoughts:
Workshop ini overall menarik, dan aku sangat senang bisa belajar lebih lanjut mengenai topic yang dari dulu sudah ingin aku ulik. Bahkan meski Pak Nuh galak, dan membuatku malu, (untungnya para mahasiswa sebagian sudah tahu aku hanya seumuran dengan siswa SMP) tetap sangat menarik bertemu dengannya, karena Pak Nuh sudah punya pengalaman yang cukup banyak di bidang ini, dan sempat diberi keputusan untuk melakukan sesuatu yang berdosa dan illegal untuk uang yang sangat banyak, dan sesuatu yang tidak illegal, bahkan mendefend legalitas itu sendiri untuk uang yang sedikit.