Tag Archives

5 Articles
Belajar dari Equifax: Menerapkan Standarisasi Organisasi yang Berbasis TIK

Belajar dari Equifax: Menerapkan Standarisasi Organisasi yang Berbasis TIK

Equifax ternyata terjebol dari titik celah keamanan Apache Struts. Celah dengan kode CVE-2017-5638 tersebut merupakan celah keamanan yang memungkinkan penyerang mengunggah kode yang dapat menjalankan perintah. Celah ini diumumkan pada 19 Maret 2017.

Untungnya, pengembang Apache telah menambal celah keamanan tersebut pada hari yang sama. Namun, Equifax tidak dapat dengan segera menambal celah tersebut dengan cepat. Bisa jadi, hal ini disebabkan oleh karena penambalan tersebut akan menyebabkan operasi bisnis Equifax terhenti.

Praktik Standar Keamanan Informasi

Tidak akan pernah ada perangkat lunak yang tidak bercacat. Hal ini berlaku baik untuk perangkat lunak bebas/terbuka (FOSS) atau pun perangkat lunak tertutup (proprietary). Untuk itu, diperlukan penerapan prinsip-prinsip penerapan TIK yang benar dalam sebuah organisasi. The Apache Struts Project Management Committee (PMC) memberikan saran mengenai hal tersebut:

  1. Mengerti pustaka perangkat lunak dan versinya apa saja yang digunakan dalam organisasi. Ikuti dan lacak perkembangan untuk setiap perangkat lunak tersebut.
  2. Buat sebuah proses dalam organisasi untuk dapat menambal dengan cepat. Cepat dalam hitungan jam atau beberapa hari, bukan bulan atau pun tahun. Kasus yang ditemui biasanya kasus penjebolan melalui cacat yang sudah diumumkan berbulan/bertahun-tahun sebelumnya.
  3. Setiap perangkat lunak yang kompleks mengandung cacat. Jangan membuat kebijakan keamanan (security policy) berdasarkan asumsi bahwa perangkat lunak yang mendukung itu bebas cacat, terutama kecacatan dalam hal keamanan.
  4. Buat lapisan-lapisan keamanan. Adalah sebuah praktik pengembangan perangkat lunak yang baik untuk melindungi setiap lapisan yang ada di belakang lapisan presentasi seperti Apache Struts. Terjebolnya lapisan presentasi (web) seharusnya tidak menyebabkan akses menyeluruh kepada seluruh data.
  5. Buat pemonitoran yang aktif terhadap Web yang dimiliki. Saat ini sudah banyak solusi baik perangkat lunak terbuka mau pun komersial yang bisa mendeteksi dan memberitahukan adanya pola-pola penyerangan.

Hal ini adalah standar paling dasar yang diterapkan dalam sebuah organisasi. Ada hal-hal lain yang juga perlu diperhatikan selain perangkat lunak dan perangkat keras dalam perusahaan. Keamanan sistem informasi juga berlaku untuk sumber daya manusia dan yang lainnya yang dapat menimbulkan risiko keamanan.

Semua ini sudah ada dalam standar-standar Kebijakan TIK. Ada ITIL, TOGAF 9.1, dan bahkan ISO/IEC 27001:2013. Semuanya bisa dipilih dan diterapkan kepada organisasi. Biasanya, mereka menerapkan level dan roadmap sesuai dengan kebutuhan organisasi.

UI sendiri, walau pun tanpa SK Rektor, telah menerapkan kebijakan keamanan sejak zaman dahulu kala. Misalnya, hal yang paling menyebalkan dan sederhana, mengganti sandi setiap 6 bulan sekali. Kebijakan ini adalah bagian dari Kebijakan Sandi (Password Policy) yang merupakan bagian dari standar Kebijakan TIK. Saking sudah lamanya, semua sistem operasi, baik Microsoft Windows maupun GNU/Linux, sudah memiliki perkakas untuk menerapkan kebijakan pembuatan sandi.

Bukan hanya itu, Badan standar Amerika (NIST) menganjurkan kebijakan cara membuat sandi yang benar dalam NIST SP 800-63B-3. SANS Institute bahkan menawarkan templat dokumen yang dapat digunakan untuk membuat sandi. Sedikit pencarian dapat ditemukan artikel yang memberikan petunjuk kepada pengguna ketika membuat sandi. Pembuatan sandi yang aman itu sendiri masuk dalam ITIL Access Management.

Metrik Pengukuran Penerapan Keamanan Sistem Informasi

Ada prinsip yang selalu saya pegang sejak lama:

Keamanan berbanding terbalik dengan Kenyamanan

Mengakses langsung tentunya jauh lebih cepat dari pada mengakses melalui HTTPS dan memasukkan sandi. Menaruh satpam dan CCTV di depan pintu gerbang menghabiskan banyak duit dibandingkan gerbang terbuka bagi siapa saja. Ya, Anda mungkin mengerti maksud saya.

Memilih titik tengah antara pengamanan dan kenyamanan adalah sebenarnya memilih metrik yang tepat sehingga keamanan dapat dicapai dengan tingkat kenyamanan yang bisa diterima. Beberapa metrik yang sederhana yang saya tahu:

  • Visi dan misi organisasi. Hal fundamental ini yang mendasari semua hal dalam organisasi. Keamanan tentunya juga bagian dari visi dan misi organisasi. Jika terkandung visi tridarma, maka keamanan harus disesuaikan dengan kemudahan menerapkan tridarma. Jika misi mendukung disabilitas, maka keamanan yang diterapkan harus mencakup kaum difabel.
  • Pengalaman Pengguna (User eXperience). Pengalaman pengguna ini justru membuat keamanan itu seakan nyaman. Hal ini karena praktik keamanan yang lumrah di pengguna (kebiasaan) dapat menyebabkan persepsi kenyamanan tinggi bagi pengguna. Bahkan anehnya lagi, jika keamanan itu tidak diterapkan, pengguna malah merasa tidak nyaman. Metrik ini berguna untuk membuat penerapan keamanan yang baik atau pun menerapkan langkah-langkah bertahap untuk mencapai standar keamanan tanpa membuat pengguna terusik.
  • Manajemen Risiko (Risk Management). Manajemen Risiko membuat penilaian tentang risiko-risiko yang mungkin terjadi beserta dengan dampaknya. Saya paling suka dengan dokumen ini karena bila sebuah risiko dapat dikuantifikasi, kita dapat tahu seberapa potensi kerugian organisasi. Dengan menggunakan penilaian ini, kita juga dapat terbantu untuk mengenali titik-titik yang harus dilindungi dalam organisasi dan membuat proses mitigasi sesuai dengan level risiko dan nilai kerugian yang dapat timbul.

Ketiga metrik ini cukup untuk mengukur dan membuat kebijakan keamanan dalam sebuah organisasi. Tentunya, ada beberapa platform seperti ITIL, TOGAF, dan lainnya yang sudah menerapkan titik-titik yang perlu dibuat dan dikelola. Ya, intinya, buatlah sesuai kemampuan dan kepentingan organisasi.

Mohon maaf, saya diajak minum kopi. Mungkin nanti saya lanjutkan lagi. Tulisan ini terlalu panjang sepertinya dan akan saya lanjutkan Nanti bila saya ada waktu℠ 😛

Bacaan Lebih Lanjut

Belajar Dari Kasus Equifax: Privasi, SNI, dan Payung Hukum Terpadu

Belajar Dari Kasus Equifax: Privasi, SNI, dan Payung Hukum Terpadu

Ada 3 perusahaan besar (swasta) di Amerika Serikat (AS) yang mencatat semua transaksi keuangan (kartu kredit, pinjaman, SSN/nomor sosial) warga negara AS. Mereka adalah Equifax, Experian, dan TransUnion. Pada tanggal 7 September 2017, Equifax mengumumkan bahwa datanya telah terjebol. Sebanyak 143 juta rakyat AS, sekitar 44% populasi total AS, terlepas mereka menggunakan Equifax atau tidak, memiliki kemungkinan bahwa identitasnya yang tercuri dapat digunakan untuk melakukan transaksi keuangan.

Ironisnya, menurut Michael Riley, data tersebut justru tercuri dari situs Equifax yang menawarkan produk perlindungan pencurian informasi. Situs tersebut teretas menggunakan kelemahan-kelemahan yang ada untuk mengakses 143 juta data tersebut. Equifax menunggu 6 minggu untuk mengumumkan peretasan tersebut.

 The twins looked at each other jubilantly but with some surprise. Although 70-534 answer analysis they 70-534 answer analysis considered themselves Scarlett’s favored suitors, they had never before gained tokens ADM-201 exam dumps of this favor so easily. Usually she made them beg and plead, while she put them off, CISSP exam topics refusing to give a 70-534 answer analysis Yes or No answer, laughing if they sulked, growing cool if they became angry. And here she had practically promised them 70-534 answer analysis the ADM-201 exam dumps whole of tomorrow—seats by her at 70-534 answer analysis the barbecue, all the waltzes (and they’d see to it that the dances were CISSP exam topics all waltzes!) and the supper intermission. This was worth getting expelled from the university.Filled ADM-201 exam dumps with new enthusiasm by their success, they CISSP exam topics lingered on, talking about the barbecue 70-534 answer analysis and the ball and Ashley Wilkes 300-208 study material CISSP exam topics and Melanie Hamilton, CISSP exam topics interrupting each other, making jokes and laughing at them, hinting broadly for invitations 300-208 study material to supper. ADM-201 exam dumps Some time had passed before they realized that Scarlett was having very little to say. The atmosphere had somehow changed. Just how, the twins did not know, but the fine glow had gone out of the afternoon. Scarlett seemed to ADM-201 exam dumps be paying little attention to 70-534 answer analysis what they 300-208 study material 70-534 answer analysis ADM-201 exam dumps said, although she made the correct answers. Sensing something they 300-208 study material could not understand, baffled and annoyed by it, the twins struggled along for a while, and then rose reluctantly, ADM-201 exam dumps looking at their 300-208 study material watches.The sun was low CISSP exam topics across the new-plowed fields and the tall woods across the river ADM-201 exam dumps were looming ADM-201 exam dumps blackly in silhouette. Chimney swallows were darting swiftly across the yard, and chickens, ducks and turkeys were waddling 70-534 answer analysis and strutting and straggling in from the fields.Stuart bellowed: “Jeems!” And after an interval a 70-534 answer analysis tall black boy of their own age ran breathlessly around CISSP exam topics the house and out toward the ADM-201 exam dumps tethered horses. Jeems was their 300-208 study material body servant and, like CISSP exam topics the dogs, accompanied them everywhere. He had been CISSP exam topics their childhood playmate and had been given to the twins for their own ADM-201 exam dumps on their tenth birthday. At the sight of him, CISSP exam topics CISSP exam topics the Tarleton hounds rose up out of the red dust and stood waiting expectantly for their masters. The 300-208 study material boys bowed, shook hands and 300-208 study material told CISSP exam topics Scarlett they’d be over 300-208 study material at the 300-208 study material Wilkeses’ early in the morning, waiting for her. Then CISSP exam topics they were ADM-201 exam dumps off down the 70-534 answer analysis walk CISSP exam topics at a rush, mounted their horses and, followed by ADM-201 exam dumps ADM-201 exam dumps Jeems, went down the avenue of cedars at a gallop, waving their hats and yelling back to her.When they had rounded the curve of the dusty road that hid them from Tara, Brent drew his horse to a ADM-201 exam dumps stop under a clump of dogwood. Stuart halted, 70-534 answer analysis too, and the darky boy pulled up a few paces behind 300-208 study material them. The horses, feeling slack reins, 300-208 study material stretched down their necks to crop the tender spring grass, and the patient hounds lay down again in the 300-208 study material CISSP exam topics soft red dust and looked up longingly at the chimney swallows circling in the gathering dusk. 300-208 study material Brent’s wide ingenuous face was puzzled and mildly indignant.“Look,” he said. “Don’t it look to you like she 70-534 answer analysis would of asked us to stay for supper?”  Nor did 70-534 answer analysis James and Andrew, who took him into their store in Savannah, regret his lack of education. His clear hand, his 300-208 study material accurate CISSP exam topics figures and his shrewd ADM-201 exam dumps ability in bargaining won their respect, where a knowledge 70-534 answer analysis of literature and a fine appreciation of music, had young 300-208 study material Gerald possessed them, would have moved them to snorts of contempt. America, in the early years of the century, had been kind to the Irish. James and Andrew, who had begun by hauling goods in covered wagons 70-534 answer analysis from Savannah to Georgia’s inland towns, had prospered into a store of their own, and Gerald prospered with them.

Apa yang dilakukan Equifax dalam 6 minggu?

Mereka membuat sebuah laman www.equifaxsecurity2017.com yang dibuat di sebuah penyedia situs umum dengan DNS yang terdaftar secara anonim, bukan atas nama Equifax. Situs ini sepertinya dibuat secara tergesa-gesa sehingga masih ada beberapa data sensitif yang belum dilindungi. Situs ini bahkan sempat ditandai sebagai situs yang mencurigakan. Padahal, situs ini menyediakan layanan kepada rakyat AS apakah data mereka terjebol.

Situs ini mensyaratkan setiap orang yang menggunakan layanan untuk mengetahui datanya terjebol atau tidak harus secara otomatis melepaskan haknya untuk menuntut Equifax untuk hal yang terjadi sebagai syarat penggunaan (Terms of Use). Artinya, semua orang yang akan menggunakan layanan itu akan secara otomatis tidak bisa lagi menuntut kecerobohan Equifax. Namun, Jaksa Umum New York mengatakan bahwa syarat arbitrasi tersebut tidak benar dan meminta Equifax untuk mengubah/menghapus syarat penggunaan tersebut.

Beberapa hari setelah terjebolnya data Equifax, 3 orang eksekutif dalam perusahaan tersebut menjual sahamnya. Mereka berdalih bahwa ini hanya kegiatan yang biasa dan, menurut perusahaan, tidak mengetahui adanya kejadian terjebolnya data sebelum penjualan saham tersebut. Terlepas dari itu semua, para analis pasar modal justru menyarankan yang lain untuk membeli saham Equifax atau menahan diri untuk menjual saham tersebut.

Pelajaran

Banyak orang berasumsi bahwa tidak ada yang perlu ditakutkan bila kita tidak melakukan hal-hal yang salah. Nyatanya, penggunaan data secara ilegal pada era digital justru memerlukan privasi. Privasi bukan hanya mengatur data apa saja yang perlu dilindungi (boleh dibuka/tidak), namun juga mengatur kewajiban apa yang diperlukan untuk sebuah entitas (perusahaan/orang/apa pun) yang memegang info sensitif tersebut. Itu sebabnya, sebuah entitas bisnis diperlukan untuk membuat pernyataan privasi pada banyak negara.

Hal-hal yang dilakukan oleh Equifax ketika terjadi peretasan menandakan bahwa mereka tidak siap. Bahkan, mereka terkesan hendak cuci tangan. Padahal, ISO27001 dan standar keamanan sistem informasi (COBIT, ITIL, TOGAF) lainnya sudah ada.

Apakah standar-standar keamanan organisasi ini wajib diterapkan?

Kalau di Indonesia, sejauh ini saya baru menemukan POJK Nomor 38/POJK.03/2016 mengenai ketentuan bank umum untuk menerapkan standar-standar keamanan sistem informasi. Belum secara spesifik menyebutkan standar apa yang dipakai, misalnya SNI ISO/IEC 27001:2013. Jadi, standar apa pun yang digunakan asalkan disebutkan standar keamanan yang memenuhi kaidah tersebut, bolehlah. Lalu, bagaimana dengan industri telekomunikasi dan lembaga-lembaga lainnya yang non-bank umum?

Anda mungkin percaya kepada entitas yang memegang data Anda. Namun, ketidaktahuan bagaimana cara mereka menyimpannya dapat membuat data Anda tercuri. Alangkah baiknya pada era digitalisasi dan pertukaran data, payung hukum terpadu yang mendukung privasi dan prinsip keamanan dikembangkan. Hal ini dapat memaksa mereka untuk menerapkan standar keamanan yang cukup untuk melindungi data yang sudah dipercayakan.

Mungkin, suatu hari nanti apa bila itu terjadi, penipuan berbasis SMS sudah tidak laku lagi. Amin.

Maaf, ya, karena penjabaran berita Equifax kepanjangan, saya tidak menulis secara lengkap pendapat saya seperti biasanya. Nanti bila saya ada waktu℠ 😛

 

Kabar dari Dunia Keamanan
Let's draw something cool and call it cyber war.

Kabar dari Dunia Keamanan

Tulisan ini mungkin bukan untuk Anda. Tapi, Snowden memperlihatkan bahwa spionase negara-negara maju telah sampai kepada tingkat memprihatinkan. Penyadapan negara terhadap warga negaranya sendiri mempertanyakan sebuah masalah serius: dapatkah demokrasi tetap ada?

Kendati banyak yang berpendapat bahwa saat ini hanyalah pseudo-demokrasi, namun tetaplah demokrasi masih ada dan dipraktikkan. Penyadapan dan interfensi informasi, sayangya, dapat mengancam demokrasi yang secuil itu. Hak-hak manusia untuk memilih jalan hidupnya semakin dipertanyakan. Semua ditentukan oleh penguasa (pemerintah dan korporasi).

Jangan-jangan, akan timbul generasi yang tidak mengenal lagi arti kebebasan karena segala sesuatunya telah ditentukan oleh pemerintah dan korporasi. Ini bisa jadi awal mula titik kepunahan manusia. Pemikiran yang seragam membuat jalan keluar sebuah masalah pun seragam.

Pluralitas manusia menjamin akan ada selalu jawaban alternatif yang siap untuk menjawab. Jawaban-jawaban ini saling menajamkan satu sama lain sehingga menghasilkan jawaban yang semakin sempurna. Itu sebabnya, alternatif akan selalu diperlukan untuk melihat sebuah masalah dari sisi lain.

Mungkin berita ini lebih banyak mengenai Amerika Serikat. Namun, negara-negara lain pun melakukan hal yang sama. Hanya saja, operasi-operasi ini lebih banyak terbuka di Amerika Serikat, terutama semenjak Snowden.

Berikut catatan keamanan yang berhasil saya kompilasi.

Pintu Belakang IPSEC OpenBSD

Berita paling tua tentang keberadaan campur tangan pemerintahan untuk sengaja melemahkan sebuah sistem operasi berada pada tahun 2010 sebelum Snowden. Kala itu sebuah audit kode yang dilakukan menemukan adanya kelemahan dalam kernel IPSEC pada OpenBSD. OpenBSD adalah sebuah varian BSD yang bertujuan untuk keamanan.

Dari hasil penelusuran, diduga kode diinjeksi oleh sebuah perusahaan. Perusahaan ini terletak di Washington DC. Dari hasil investigasi, diduga kode tersebut diinjeksi oleh FBI.

Update on the OpenBSD IPSEC backdoor allegationwithout a ‘hint’ (true or fake), Well, the allegations came without any facts pointing at specific code. At the moment my beliefs are somewhat along these lines: (a) NETSEC, as a company, was in that peculiar near-DC business of accepting contracts to do security and anti-security work from parts of the government.
via Lwn

RSA Sengaja Melemahkan Kriptografinya

Siapa RSA? RSA adalah pemegang paten dari kriptografi RSA, sebuah formula kunci publik-kunci pribadi. Algoritmanya banyak dipakai perusahaan-perusahaan untuk membuat kriptografi keamanan yang diperlukan untuk melindungi data-datanya. Algoritma/formula tersebut juga digunakan pada produk-produk pihak ketiga.

NSA Paid a Huge Security Firm $10 Million to Keep Encryption WeakReuters reports that the NSA paid massive computer security firm RSA $10 million to promote a flawed encryption system so that the surveillance organization could wiggle its way around security. In other words, the NSA bribed the firm to leave the back door to computers all over the world open.

Yahoo!, Google, Microsoft, dan Facebook beritahu Publik tentang data yang diberikan kepada NSA

Perusahaan-perusahaan yang beroperasi di Amerika Serikat terikat Undang-Undang Pengintaian Mata-mata Asing (Foreign Intelligence Surveillance Act). Intinya, UU ini memperbolehkan pemerintah AS untuk meminta data-data pribadi pada perusahaan-perusahaan tersebut. Hal ini dapat dilakukan dengan dalih nasionalisme perlindungan terhadap niat-niat jahat asing termasuk terorisme.

Microsoft, Facebook, Google and Yahoo release US surveillance requestsTens of thousands of accounts associated with customers of Microsoft, Google, Facebook and Yahoo have their data turned over to US government authorities every six months as the result of secret court orders, the tech giants disclosed for the first time on Monday.

Kriptografi lemah SSL pada Apple

Auditor menemukan kelemahan pada implementasi SSL Apple sehingga orang dapat melewati satu bagian dari enkripsinya. SSL dipakai untuk mengenkripsi sandi dan data-data penting sebelum dikirim melalui jaringan. Hal ini dapat mengakibatkan pihak tak berkepentingan dapat mengeksploitasi sistem untuk mencuri data.

Apple’s #gotofail weekendIn case you spent your weekend watching closing ceremonies and not reading tech news, there was a lot of buzz around a security problem in Apple products. On Friday, Apple released an emergency update for iOS7 that fixed a severe vulnerability in their SSL/TLS implementation on the iPhone.

Kode Verifikasi GnuTLS Rusak

Redhat menemukan pada GnuTLS versi apa pun bahwa fungsi validasi sertifikat telah terkompromi sehingga dapat membuat verifikasi sertifikat dilewati. Hal ini membuat sebuah aplikasi menjadi tak aman.

Critical crypto bug leaves Linux, hundreds of apps open to eavesdroppingHundreds of open source packages, including the Red Hat, Ubuntu, and Debian distributions of Linux, are susceptible to attacks that circumvent the most widely used technology to prevent eavesdropping on the Internet, thanks to an extremely critical vulnerability in a widely used cryptographic code library.

 

Kebobrokan GnuTLS sudah diduga sejak lama. Sayangnya, tidak banyak orang yang tahu. Karena kode sumber yang terbuka, akhirnya banyak orang yang melihat dan sudah mendengar.

Untungnya, audit terbuka Redhat menghasilkan sebuah keputusan yang luar biasa. Produk tersebut diperbaiki. Sambil malu, pengembang GnuTLS menyarankan untuk pengguna memperbaharui versi GnuTLS mereka ke versi 3.2.12 atau 3.1.22.

GnuTLSCVE-2014-0092 Certificate verification issue A vulnerability was discovered that affects the certificate verification functions of all gnutls versions. A specially crafted certificate could bypass certificate validation checks. The vulnerability was discovered during an audit of GnuTLS for Red Hat. Who is affected by this attack? Anyone using certificate authentication in any version of GnuTLS.
via Gnutls

Kata Terakhir

Menjual keamanan seperti menjual keledai mati. Semua orang membayar mahal untuk itu hanya demi rasa aman. Rasa aman yang semu ini sering kali menjadi justifikasi orang untuk lengah. Ya, kalau pun teknologi memang kuat, belum tentu social engineering tidak dapat dilakukan. Keamanan tetaplah sesuatu yang dapat dikompromikan bila dengan pihak ketiga.

Kebanyakan dari apa yang saya ceritakan ini sudah diperbaiki. Hal ini karena kode-kode sumber yang terbuka membuat banyak orang tahu. Keterbukaan ini membuat produk-produk tersebut diperbaiki. Entah bagaimana dengan perangkat lunak yang tidak menyertakan kode sumber.

Salah satu motivasi saya dalam menggunakan FOSS adalah audit kode. Banyak orang ditakut-takuti dengan bilang bahwa kode yang terbuka membuat orang banyak tahu. Namun, justru kode yang terbuka menjamin integritas implementasi. Alternatif yang berbeda menyebabkan setiap orang dapat menggunakan implementasi yang berbeda.

Keamanan Identitas

Keamanan Identitas

Scurity!

Saya baru saja menyelesaikan pelatihan CompTIA Security+ (2008 Objectives). Saya jadi vakum menulis karena tidak kuat menulis. Pulang-pergi ke daerah Sudirman (Jakarta) sungguh melelahkan. Saya salut dengan orang-orang yang melakukannya setiap hari kerja.

Oh, iya…

Oleh kantor saya ditawari antara Certified Ethical Hacker (CEH) atau CompTIA. Saya, mah, lebih memilih CompTIA. Lebih bergengsi dan lebih gimana, gitu… xD

Menurut saya, menginjeksi situs-situs sudah tidak semenarik social engineering. Botnet dan bahkan perang menggunakan situs pihak ketiga yang terbajak sudah lebih aplikatif. Ibarat jenderal perang, seseorang hanya perlu merencanakan sebuah obyektif (mencuri informasi, mengubah saham, merusak sebuah negara, dan berspekulatif misalnya) dan tinggal membeli botnet yang sudah jadi sesuai kebutuhan. Botnet pun tinggal bekerja dengan memanfaatkan kelengahan korban-korbannya.

Inilah kelebihan dari social engineering: menggunakan praktik-praktik sosial untuk mendapatkan informasi digital yang seringkali secara normal dijaga dalam sebuah benteng digital.

Apakah ini mungkin? Mungkin saja. Apalagi di Indonesia yang departemen terkaitnya cuma mengurusi bokep.

Masuk Gedung

Ketika saya masuk ke gedung tempat pelatihan, saya disuruh mendaftar ke meja registrasi. Hal yang membuat saya terkejut adalah sudah setiap orang dimonitor dengan CCTV, kita yang di meja registrasi juga ditangkap dengan kamera Web. Yang paling mengejutkan, saya harus menyerahkan KTP/SIM dan KTP/SIM tersebut dipindai ke dalam komputer.

Astaga! Memang, untuk manajemen keamanan bangunan tersebut, mereka berhak untuk melakukan pengamanan. Tetapi, apakah saya juga tidak berhak melindungi keamanan data saya?

Saya tidak pernah mengaudit keamanan manajemen gedung tersebut. Padahal, mereka sudah mengaudit saya dari pintu depan sampai ke meja registrasi. Bagaimana saya tahu kalau mereka tak akan menggunakan data dari KTP saya untuk hal-hal yang tidak benar atau menjualnya ke pihak ketiga?

Taruhlah bahwa mereka bertanggung jawab dan berintegritas atas keamanan data mereka. Namun, saya mau tahu bagaimana keamanan data saya yang telah mereka ambil? Apakah mereka menggunakan pengamanan yang cukup sehingga dapat dijamin bahwa memerlukan usaha dengan biaya yang tidak sebanding untuk mendapatkannya?

Sempat terbersit dalam hati saya untuk membeli materai Rp6000,00 dan menulis surat perjanjian yang ditandatangani oleh wakil manajemen gedung dan saya. Isinya adalah jaminan dan klausul perlindungan data KTP dan wajah saya yang dipindai takkan disalahgunakan. Selain itu, kebocoran data yang terjadi adalah sepenuhnya tanggung jawab manajemen yang berkewajiban untuk mengganti secara material maupun moral kerugian potensial yang terjadi.

Oh, iya, dong. Saya masuk gedung itu dengan penyanderaan data pribadi saya. Sedangkan mereka tidak diberikan tanggung jawab apa pun apabila terjadi kebocoran data. Anda tahu sendiri, ‘kan, penipuan sedang marak dewasa ini dan tak satupun berita yang menyebutkan negara secara aktif melibas gerakan tersebut. Ya, wajar, dong, saya paranoid. Saya bukan orang kaya yang bisa paksa negara menanggung kerugian saya.

Sayangnya, saya datang sebagai seorang pegawai dari sebuah institusi pendidikan di Indonesia. Gak asyik, ‘lah, pokoknya kalau cari gara-gara! 🙂 [PEACE}

Privasi Itu Bahasa Asing

Saya pasrah saja melihat data personal saya ditawan. Apalagi, yang lain juga diam saja diperlakukan seperti itu. Duh, kok, bisa, ya, semua orang diam. Mengapa mereka tak merasa sungkan dengan invasi privasi tersebut?

Dari hasil perenungan yang mengganjal pintu ini, (Halah… :-D)

saya menemukan perbedaan budaya yang berbeda antara orang Jakarta (dan Indonesia umumnya) dengan bangsa melek TIK. Yang pertama, adalah kebiasaan rumah tangga Satelit vs. Keluarga Besar. Kalau di Amerika Serikat, katanya kalau anak sudah kuliah langsung keluar dari rumah dan hidup sendiri. Di Indonesia, masih lazim kakek-nenek, ayah-ibu, dan anak-anak tinggal bersama-sama dalam rumah besar.

Sudah pasti, keluarga tersebut biasa berbagi rahasia. Apalagi, entah mengapa bangsa kita itu latah sekali di media sosial. Tidak mengerti tentang adanya cyber bullying, sindikat pedofilia, dan bahaya lainnya. Untung hal yang positif dari situ adalah Fatin jadi trending topic.

Yang kedua, saya pelajari bahwa bangsa kita masih memegang teguh gotong royong. Gerakan gotong royong mengakrabkan orang. Itu sebabnya, budaya timur santun dan peduli, tepa selira. Hal ini mengakibatkan rasa mudah percaya dalam mempercayakan informasi. Saya perhatikan, gedung itu bisa saja, kok, ditembus tanpa menimbulkan kegaduhan.

Tapi, ya, itulah susahnya kalau sudah lama jadi Sysadmin. Tangan sudah terikat dengan etiket dan kode kehormatan. Sudah tak ada lagi nafsu untuk melakukan hal-hal yang aneh seperti itu. Walau pun tantangan untuk masuk ke gedung tanpa melewati prosedur merupakan sebuah hacking yang menarik, penjaga keamanan juga sama seperti saya.

Salam damai dari sesama admin! 🙂

Saya penasaran mengenai pencurian identitas, apakah menurut Anda itu adalah sebuah hal yang sepele sehingga tidak perlu diregulasi?

Waspadai Pencurian Data Lewat Udara

Waspadai Pencurian Data Lewat Udara

Bagi para pengguna Facebook dan Twitter yang menggunakan WiFi, berhati-hatilah dalam menggunakan WiFi. Beberapa waktu lalu ada sebuah tambahan Firefox bernama Firesheep yang dapat digunakan untuk mencuri kunci masuk Anda ke situs-situs tersebut. Prinsip kerjanya sebenarnya mirip dengan airsnort, mengendus paket jaringan dan menginterpretasikannya. Gunakan tambahan Fireshepherd untuk melindungi data Anda.

Memang, informasi ini sudah agak basi. Para ninja sudah lama menggunakan airsnort. Tetapi, saya pikir tidak banyak orang Indonesia yang paham akan kegunaannya. Ditambahkan lagi, perkakas seperti Firesheep membuat orang-orang yang tidak mengerti dapat secara sembarangan menggunakannya. Hal ini menambah potensi penjahat. Hei, within great power lies great responsibility.

Bacaan lebih lanjut:

http://www.downloadsquad.com/tag/Firesheep/