Workshop Akademik Computer Emergency Response Team – Hari Pertama

Tanggal 23 Mei yang lalu, saya dan 9 orang teman-teman dari Program Studi Teknik Informatika Universitas Paramadina berangkat menuju Surabaya untuk mengikuti workshop akademik yang diselenggarakan di Institut Teknologi Sepuluh November (http://ftif.its.ac.id/archives/315). Dari Jakarta pukul 16.00, tiba di Surabaya Senin pagi sekitar 06.30. Dengan jeda waktu dua setengah jam untuk siap-siap, kami pun segera mengikuti seminar pertama.

Pukul 09.00 pagi, bertempat di Hotel Novotel Surabaya, diadakan workshop seminar berjudul Arsitektur Kemanaan Informasi Pelanggan. Ada 4 pembicara yang hadir yaitu Ibu Titin Hadijanti dari EC Council, Mr. Masaki Kubo dari Japan Computer Emergency Response Team (JPCERT), Bapak Febriliyanto dari Institut Teknologi Sepuluh November (ITS), dan Bapak Salahudin dari Indonesia Security Incident Response Team on Internet Infrastructure (ID-SIRTII).

Materi yang disampaikan dipisahkan per presentasi. Saya menarik kesimpulan garis besarnya saja dari semuanya.

Beberapa hal yang menarik pada presentasi ini adalah dua quote yang merupakan fakta (saya rasa)

“People remain the weakest link in Information Security”

“There’s no patch for human stupidity”

Ini adalah hal yang menarik, karena sebenarnya keamanan yang dibicarakan di dunia Teknologi Informasi ternyata bukanlah masalah teknis perangkat, melainkan sumber dayanya.

Dalam hal ini, pembicara semuanya menyinggung tentang perlunya policy pada suatu institusi ataupun perusahaan yang mengatur tata tertib yang memastikan keamanan benar-benar dijaga.

Para Pembicara dan Moderator

Karena keamanan berbanding terbalik dengan kenyamanan, sehingga cenderung tidak dipedulikan oleh orang lain. Untuk masalah password saja yang sederhana misalnya, orang cenderung menggunakan hal-hal yang mudah diingat seperti tanggal lahir, pola di keyboard seperti QWERTYUIOP, atau nama pacar, sehingga ada kemungkinan untuk tertebak dengan mudah.

Password yang baik (baca http://en.wikipedia.org/wiki/Password_strength) tentunya yang sulit ditebak. Ada beberapa konvensi, misalnya harus lebih dari sekian karakter, terdiri dari gabungan angka, huruf, dan simbol-simbol tertentu. Pastinya lebih sulit juga untuk diingat, tapi lebih aman dari password biasa.

Hal lain seperti perlindungan data pribadi juga menjadi perhatian. Lewat jejaring sosial, informasi pribadi seseorang begitu mudah untuk dieksplor. Cukup lihat di internet saja dan informasi itu akan didapatkan: tanggal lahir, hobi, sekolah, alamat rumah, e-mail, handphone, dan sebagainya. Ini merupakan sesuatu yang harus disadari juga.

Ketersediaan informasi yang banyak ini menjadikan tindakan Social Engineering menjadi semakin mudah, yang artinya keamanan juga harus lebih ditingkatkan levelnya.

Saya pribadi cenderung kaget karena selama ini memikirkan tentang keamanan di dunia IT hanya dari segi teknis saja (hacking, cracking). Kasus-kasus kebocoran keamanan justru (walaupun ada juga) banyak timbul bukan dari serangan teknis, melainkan dari tindakan-tindakan yang disebabkan oleh ‘pengkhianatan’ oknum-oknum internal, ataupun dari ketidakwaspadaan terhadap penipuan yang terstruktur. Dari sini bahkan didapatkan kesimpulan baru, trust juga merupakan sesuatu yang harus diperhatikan.

Untuk kasus teknis, saat presentasinya, Mr. Masaki Kubo menampilkan statistik dan contoh-contoh website yang melakukan aksi phishing di Jepang. Dari mulai jejaring sosial, hingga situs seperti game online juga menjadi mangsa.

Di Jepang, untuk kegiatan edukasi menghadapi hal ini, Mr. Kubo sempat memberikan screen shot dari sebuah website yang dibuat di Jepang yang menyediakan sejenis game yang digunakan untuk membedakan mana website yang merupakan phishing dan mana yang tidak. Sayang saya lupa mencatat alamatnya, dan dari tampilan situsnya masih menggunakan huruf non-latin. Tapi meskipun belum global, ini adalah sebuah metode edukasi yang menarik untuk ditiru.

Teman-teman Paramadina

Siangnya, setelah istirahat dilanjutkan dengan seminar Drill Test and Incident Handling yang dibawakan oleh ID-SIRTII. Pembicaranya dua orang yang masih muda dan semangat sekali, mas Amien Harisen R. dan Bondan Wahyutomo.

Seminar yang kedua ini benar-benar teknis sehingga sulit untuk diceritakan. Selain itu karena saya pribadi juga belum mengerti tentang jaringan komputer.

Pada seminar ini ditampilkan bagaimana serangan-serangan dapat terjadi dan bagaimana cara menghadapinya. Sempat ada demonstrasi SQL-Injection untuk mem-bypass autentikasi dan Brute Force untuk menebak password.

Peserta juga diberikan latihan, yaitu menganalisis sesuatu yang saya kira itu sebuah log jaringan yang direkam oleh suatu perangkat, di mana transaksi-transaksi yang terjadi mencerminkan kejadian tertentu yang dapat diklasifikasikan. Perangkat yang digunakan adalah Wireshark dan NetworkMiner (silakan browsing di Google).

Penjelasan tentang serangan malware juga disampaikan pada seminar ini. Malware yang dicontohkan adalah malware yang disisipkan dalam format dokumen populer yaitu PDF. Kode yang malicious itu ditanamkan secara tersembunyi. User mungkin tidak mengira apa-apa kalau antivirus tidak memberikan alert, karena dokumennya persis seperti dokumen biasa. Tapi ketika dibuka, sebenarnya ada rutin khusus yang dieksekusi oleh komputer. Rutin tersebut bisa mempengaruhi sistem. Untuk sistem operasi Windows misalnya, kode biasanya akan menambahkan entry tertentu ke registry yang bisa mempengaruhi sistem operasi secara umum.

Selesai sekitar pukul 17.00 dan kami kembali ke penginapan. Masih ada seminar hari esoknya tentang secure coding. Tulisan selanjutnya akan membahas hal tersebut.

Semoga bermanfaat.

Paramadina Personal Website Training And Competition (P2WTC)

Paramadina Personal Website Training & Competition (P2WTC) 2011 adalah sebuah acara workshop dan kompetisi membuat website dengan CMS Joomla!

WORKSHOP
Pembangunan web pribadi menggunakan CMS open source Joomla!

KOMPETISI PERSONAL WEBSITE
Setiap peserta dari workshop akan diberi waktu sesuai dengan ketentuan. Dua puluh besar pilihan juri akan diundang untuk interview dan demo di depan juri.

KETENTUAN LOMBA:

  • Siswa berstatus pelajar aktif di Sekolah Menengah Atas atau sederajad di daerah Jabodetabek
  • Mengisi formulir pendaftaran (download formulir pendaftaran).
  • Membayar uang pendaftaran senilai Rp. 50.000,00
  • Melampirkan scan kartu pelajar
  • Melampirkan bukti pembayaran
  • Formulir lengkap, scan kartu pelajar, dan bukti pembayaran dapat dikirim ke p2wtc[at]paramadina.ac.id
  • Pendaftaran dapat dilakukan perorangan maupun kolektif di sekolah masing-masing,
  • Formulir dan info lebih lanjut dapat dilihat di http://webcompetition2011.paramadina.ac.id/

JADWAL ACARA P2WTC 2011:
Pendaftaran Peserta: 1 Jan – 17 Feb 2011
Workshop: 19-20 Februari 2011
Waktu Kompetisi: 21 Feb – 13 Maret
Pengumuman 20 Besar: 21 Maret 2011
Demo dan Interview: 27 – 2 Maret 2011

HADIAH UTAMA:
BEASISWA SENILAI 85 JUTA

Pembayaran biaya pendaftaran melalui bank dapat ditransfer ke:

BANK BCA a.n. SELLY IMANDA No.Rek: 5040173741
BANK BCA a.n. ADE HERDIANA No.Rek: 504017524

Indonesia National Contest 2010 (INC 2010) – Problems

Huff, saya baru saja mengikuti INC 2010. Ini adalah pengalaman pertama saya mengikuti lomba pemrograman on-line.

Ada 9 Problems yang harus diselesaikan dalam waktu 5 jam, dari pukul 10.00 sampai pukul 15.00. Ini adalah babak penyisihan, 50 tim teratas akan maju untuk mengikuti babak selanjutnya. Sayang, saya belum diberi kesempatan untuk mendapat nominasi. Insya ALLAH, tahun depan saya akan mencoba ikut lagi 😀

Ini problem yang diujikan tadi. Saya berhasil mengerjakan 2 soal (Problem A dan C) . Sisanya gagal. Ya, sudahlah.

Silakan unduh dokumennya di bawah ini:

Download dokumen : INC 2010 Problems

Semoga bermanfaat.