Tag Archive for: FTI UII

Password Stuffing dan Aplikasi Zoom

Dr. Yudi Prayudi, Kepala Pusat Studi Forensika Digital (PUSFID) Universitas Islam Indonesia

= = =

 

Zoom adalah sebuah aplikasi yang tiba-tiba melejit popularitasnya sejalan dengan munculnya kebutuhan video conference untuk mendukung aktivitas Work from Home, termasuk kegiatan belajar mengajar. Review tentang keunggulan Zoom dibandingkan dengan aplikasi video conference lainnya sebenarnya sudah mulai banyak disampaikan sejak 2 tahun lalu. Zoom mendapatkan momen terbaik untuk dikenal luas ketika pandemi corona merebak yang memaksa untuk mengubah aktivitas fisik sehari menjadi aktivitas berbasiskan pada Internet. Naiknya popularitas Zoom tidak lepas dari berbagai kemudahan yang ditawarkan Zoom dalam memfasilitasi video conference baik yang berbasis komputer maupun handphone.

Namun demikian, meningkatnya popularitas Zoom juga menjadi perhatian dari pelaku dan pengamat keamanan komputer. Sejak awal Maret 2020 ketika mulai banyak negara menerapkan Work from Home maka sejak itu pula pengguna aplikasi video conference Zoom meningkat dengan tajam. Sejak itu pula, berbagai issue keamanan Zoom mulai ramai dibahas dan dijadikan topik utama berbagai media terkemuka. Salah satu issue yang sangat menghebohkan adalah laporan dari perusahaan keamanan online Cyble yang menyatakan bahwa terdapat 530.000 akun Zoom yang diperjual belikan di pasar dark web. Laporan tersebut tentunya sangat mengagetkan banyak pihak. Bagi masyarakat awam yang selama ini sebagai pengguna Zoom tentunya laporan tersebut akan menambah kekhawatiran akan kelangsungan aktivitas berikutnya dalam menjalankan Work from Home. Namun benarkah demikian rentannya aplikasi Zoom sehingga hacker mampu meretas sekian banyak akun pengguna Zoom?

Sayangnya, media tidak mengungkap sisi lain dari laporan dari perusahaan keamanan online Cyble tersebut. Laporan tersebut sebenarnya memberikan ulasan juga tentang bagaimana teknik yang memungkinkan hacker bisa mendapatkan 530.000 akun tersebut. Ternyatanya tekniknya adalah menggunakan Password Stuffing atau dikenal juga dengan Credential Stuffing. Dalam hal ini, Credential Stuffing adalah metode yang digunakan oleh hacker untuk melakukan pembobolan akun dengan mengandalkan informasi atau data sensitif yang sebelumnya sudah tersedia di ranah publik. Teknik ini sebenarnya adalah teknik sederhana, yaitu memanfaatkan akun-akun yang sudah pernah jebol sebelumnya dari berbagai situs untuk kemudian digunakan kembali untuk menjebol aplikasi Zoom. Pengertian lainnya dari Password Stuffing adalah Recycling Passwords, yaitu penggunaan password yang sama untuk berbagai layanan yang berbeda.

Merujuk pada situs https://haveibeenpwned.com/ yang dikelola oleh seorang pakar keamanan web dari Australia bernama Troy Hunt, saat ini tercatat sekitar 9,5 milyar akun yang berhasil diretas yang berasal dari 495 website. Akun yang diretas umumnya adalah alamat email dan passwordnya. Jumlah akun yang berhasil diretas oleh hacker diyakini lebih besar dari yang dipublikasikan oleh Troy Hunt melalui situs tersebut. Data yang dipublikasikan tersebut hanya bersumber dari informasi publik atau yang didapat melalui forum-forum underground. Sementara beberapa basis data lainnya memang tidak dipublikasikan luas dan hanya beredar secara terbatas dalam kelompok kelompok kecil hacker. Sehingga jumlah akun dan websitenya akan lebih banyak dibandingkan dengan publikasi pada website tersebut.

Tidak sedikit diantara kita yang tidak menyadari bahwa akun e-mail dan password yang kita miliki adalah termasuk salah satu dari data yang berhasil diretas tersebut. Pada sisi lain, salah satu kelemahan yang sangat disadari oleh sebagian besar user sistem adalah menggunakan pasangan e-mail dan password yang sama untuk berbagai aplikasi lainnya. Alasan kemudahan dan kepraktisan menjadi alasan utama mengapa umumnya user menggunakan pasangan e-mail dan password yang sama untuk berbagai aplikasi yang berbeda. Hal ini sesuai dengan fakta dari sebuah survey pada tahun 2018 yang dirilis oleh Security Boulevard, disebutkan bahwa 59% responden selalu menggunakan username dan password yang sama untuk semua aplikasi yang digunakannya. Sementara alasannya mengapa menerapkan username dan password yang sama pada semua aplikasi, 61% jawabannya adalah karena takut lupa password bila setiap aplikasi harus menggunakan password yang berbeda.

Hal itulah yang sebenarnya terjadi dengan kasus diretasnya 530.000 akun Zoom. Hacker memanfaatkan data basis akun yang telah terpublikasi sebelumnya untuk kemudian menggunakannya kembali untuk meretas aplikasi Zoom. Dengan kata lain sebenarnya hal ini bisa terjadi pada aplikasi apa saja, tidak hanya terbatas pada aplikasi Zoom. Hanya karena Zoom sedang menjadi pusat perhatian dari seluruh komunitas siber, maka aktivitas Password Stuffing dilakukan pada Zoom. Bila memang diretasnya sekian banyak akun Zoom tersebut adalah menggunakan aktivitas Password Stuffing, maka kelemahan sebenarnya terletak pada user-nya itu sendiri, bukan pada aplikasi Zoomnya. Untuk itu, pengetahuan tentang bagaimana cara menggunakan username dan password yang aman harus menjadi dasar bagi setiap user agar bisa lebih tenang dan nyaman dalam menggunakan aplikasi apapun, termasuk aplikasi Zoom.

Dalam dunia keamanan komputer, Password Stuffing hampir sama dengan teknik Brute Force Attack, alias teknik coba-coba untuk menjebol sebuah sistem. Hanya saja Brute Force Attack sifat serangannya adalah tanpa konteks dengan string acak dan mendasarkan pada pola umum yang digunakan atau kamus frasa umum dalam membuat password. Sementara Password Stuffing mendasarkan teknik coba-cobanya pada database user dan password yang pernah digunakan sebelumnya. Peneliti keamanan menyebutkan bahwa tingkat keberhasilan Password Stuffing lebih tinggi dibandingkan dengan teknik Brute Force Attack. Bahkan dengan teknik keamanan web modern, Brute Force Attack semakin kecil kemungkinannya untuk berhasil. Namun tidak demikian dengan Password Stuffing, pasangan akun dan password seseorang dapat dengan mudah digunakan pada aplikasi target bila memang akun tersebut terdaftar sebagai pengguna aplikasi tersebut.

Solusi terhadap Password Stuffing adalah mengganti password yang lama dengan password baru yang berbeda sama sekali. Kemudian terapkan secara konsisten kombinasi password yang kuat yang memuat huruf besar, huruf kecil, angka dan karakter. Sementara untuk memudahkan penerapan password yang berbeda-beda untuk setiap aplikasi yang kita gunakan, maka gunakan aplikasi sejenis password manager untuk menyimpan dan mengelola username dan password kita pada aplikasi yang berbeda-beda. Dengan demikian, apabila kita pengguna aktif aplikasi video conference Zoom, maka untuk meyakinkan diri kita bawa akun kita tidak termasuk kedalam data 530 ribu akun yang retas oleh hacker, maka segera ganti password. Username dan password adalah kunci terhadap segala aktivitas pada dunia siber, maka berikan perhatian pada kedua hal tersebut agar kita tidak menjadi korban dari upaya-upaya peretasan akun yang akan mengganggu ketenangan, kenyamanan dan keamanan dalam beraktivitas di dunia siber.

Yogyakarta, 19 April 2020

 

 

/by

FTI UII Serahkan Bantuan Logistik ke Mahasiswa Rantau

Fakultas Teknologi Industri (FTI) Universitas Islam Indonesia (UII) menyerahkan bantuan logistik kepada mahasiswa yang tengah belajar di rumah atau kos, sebagaimana Surat Edaran Rektor UII Nomor: 1499/Rek/10/SP/IV/2020, perihal Perpanjangan Kerja dari Rumah, Pembelajaran Daring, Libur dan Jam Kerja Selama Ramadan, dan Layanan Konseling.

Dr. R.M. Sisdarmanto Adinandra, S.T., M.Sc, Wakil Dekan Bidang Keagamaan, Kemahasiswaan, dan Alumni FTI UII mengatakan “menyusul pembatasan aktivitas untuk mencegah meluasnya wabah Covid-19.  Bantuan logistik ini diberikan untuk meringankan beban ekonomi mahasiswa, sekaligus untuk mengatasi keterbatasan akses logistik yang mulai tutup.”

“Program ini dilatar belakangi oleh masih adanya mahasiswa FTI UII yang tinggal di Yogyakarta dan memerlukan bantuan. Jadi idenya mendata dari masing-masing Program Studi, siapa mahasiswa yang tinggal di Yogya dan memerluan bantuan, selanjutnya dilakukan seleksi” katanya disela-sela kegiatan bertempat di Teras Hall FTI UII, Gedung KH Mas Mansur, Kampus Terpadu UII, Yogyakarta (18 April 2020).

Mahasiswa yang mendapatkan bantuan logistik tercatat 80 mahasiswa. “Kriteria bantuan tidak hanya diberikan kepada mahasiswa yang kurang mampu, namun juga bagi yang mulai mengalami kesulitan mengakses logistik. Adapun bantuannya tidak diberikan dalam bentuk uang tunai, karena sebagai institusi pendidikan, kita mengajak untuk hidup sehat dengan memasak sendiri sehingga berupa kebutuhan pokok berupa beras dan lauk pauk,” tutur Dosen Program Studi Teknik Elektro FTI UII tersebut.

Harapan Sisdarmanto Adinandra untuk rekan-rekan mahasiswa semua, adalah  “stay safe, stay strong and stay healthy. Untuk tetap di kos, jaga jarak aman, jaga kesehatan, be happy karena bagian meningkatkan imunitas dan semoga kita semua dipertemukan di bulan Ramadhan 1441 H. Insha Allah Ramadhan tahun ini membawa keberkahannya Allah, aamiin” pungkasnya.

Jerri Irgo

/by

Fair terhadap Zoom

Mukhammad Andri Setiawan, S.T., M.Sc., Ph.D. Kepala Badan Sistem  Informasi (BSI) Unversitas Islam Indonesia (UII)

= = =

 

Ini bukan posting berbayar, dan bukan karena UII juga pakai Zoom. Tapi untuk sekedar meluaskan pandangan, agar juga tidak menelan mentah-mentah semua yang ada di internet. Always take everything with a grain of salt, termasuk tulisan saya ini tentu saja.

  1. Zoombombing. Ini sudah menjadi word kayaknya hehe. Yakni menampilkan “ilicit” video di tengah meeting berlangsung. Ada orang-orang tidak dikenal masuk ke kanal meeting Zoom, terus menampilkan video-video yang tidak “baik”. Hal ini terjadi karena banyak orang yang menyebarkan link Zoom di publik, kemudian ada orang-orang yang join di meeting tersebut. Fitur share link bukan hanya dimiliki oleh Zoom, tapi hampir semua conferencing media memiliki hal yang sama. Potensi “zoombombing” pun bisa terjadi di seluruh platform conferencing yang lain. Isu utamanya bukan Zoom yang “bolong”, tapi karena orang ceroboh membuka link conferencing ke tempat publik. Platform lain? Ya tetap punya kerawanan yang sama, asal public link dibagi. Setidaknya sekarang di Zoom waiting room di-encourage, ada lock meeting, dlsb untuk mencegah zoombombing. Mengapa kok di platform lain nggak kedengaran isu ini? Karena mereka penggunanya sedikit hehe. Kalau mereka banyak, mungkin isu sama pun akan terjadi.
  2. Password Zoom bocor sebanyak 500.000. Jika merujuk ke beragam sumber yang ada, sebenarnya yang terjadi karena orang-orang menggunakan password yang sama di akun-akun mereka. Ya email, ya sosial media, ya Zoom. Akibatnya para “hacker” bisa masuk ke akun-akun Zoom tersebut. Same old lazy people who have been using the same password again. Kalau mereka pakai akun itu di Google, Microsoft, Cisco, dlsb gimana? Ya sama aja 🙂
  3. Zoom tidak end-to-end encryption. Betul. Tapi begitu juga mayoritas video conferencing yang lain. Hanya sebagian kecil, dan itu pun tidak aktif by default. Salah satu yg ada fitur end-to-end adalah Cisco Webex. So far, Google Meet? Nope. Microsoft Teams? Nope. Jitsi? AFAIK, Nope.
  4. Privacy Issue, attendance tracker. Ini tidak disukai banyak orang karena bisa tahu kalau ada peserta meeting yang Idle. Dosen suka fitur ini, karena tahu kalau mahasiswanya ngeZoom tapi malah ditinggal pergi (entah ke mana gitu) hehehe. Conference lain? Ada juga, Cisco WebEx sampai beberapa waktu lalu pun ada. Tapi fitur ini ditentang oleh banyak pegiat privasi, sehingga akhirnya fitur ini dibuang (dan dosen jadi sedih kembali hihihi)

Itu beberapa isu yang sering dimunculkan. Tentu Zoom tidak berarti tidak ada masalah, faktanya dia di-ban oleh Tesla dan Google (aneh aja sih kalau Google pake Zoom wkwk, orang dia punya platform sendiri) – meski untuk kepentingan individual, employee masih boleh pake Zoom.

Tapi setidaknya mereka mulai terbuka dengan beragam masukan. Wajar aja, tiga bulan lalu mereka cuma 10 juta pengguna, dan hari ini 200 juta pengguna. Anak kecil tiba-tiba jadi bongsor, tentu banyak pihak jadi shock, termasuk zoom sendiri.

Btw, sampai hari ini, kalau saya meeting sama partner-partner UII dari LN, semua juga masih pakai Zoom 😀 termasuk pagi ini, saya diskusi sama team Coursera, mereka juga masih pakai Zoom.

sumber : Facebook Andri Setiawan

/by

Bantuan Untuk Mahasiswa Terdampak Wabah Covid-19

Bantuan untuk Mahasiswa Universitas Islam Indonesia yang mata pencarian orangtua/penanggung biaya kuliah terdampak wabah Covid-19, Besaran bantuan didasarkan pada tingkat keterdampakan.

Beryukurlah kepada Allah, jika mata pencarian orangtua/penanggung biaya kuliah tidak terdampak. Bantulah yang terdampak dengan cara membayar biaya kuliah pada waktunya, sehingga proses bisnis dan layanan UII masih dapat berjalan dengan baik.

Terkhusus untuk adik-adik saya, mahasiswa Universitas Islam Indonesia, yang berbahagia, para pejuang penuntut ilmu. Kami mengeluarkan kebijakan baru untuk membantu mahasiswa yang terdampak wabah Covid-19. Saya yakin, kebijakan ini tidak akan bisa memuaskan semua pihak, tetapi ini ikhtiar terbaik yang mungkin kami lakukan. Semoga dapat sedikit meringankan beban. Bismillah. Semoga Allah meridai UII. Amin.

Rektor UII

Prof. Fathul Wahid., S.T., M.Sc., Ph.D

= = = =

 

 

/by

Online Academy dalam Program DTS 2020

Untuk meningkatkan produktivitas masyarakat Indonesia yang sedang #dirumahaja dalam situasi darurat COVID-19, Kementerian Komunikasi dan Informatika kembali menyelenggarakan Online Academy dalam Program Digital Talent Scholarship (DTS) 2020.

Program Digital Talent Scholarship adalah program beasiswa pelatihan dan sertifikasi yang ditujukan kepada para peserta terpilih untuk meningkatkan keterampilan di bidang IT. Program DTS kembali menghadirkan Online Academy dengan materi pelatihan yang sudah disiapkan oleh Kementerian Kominfo bekerjasama dengan Global Technology Company seperti Cisco, Redhat, Google, dan mitra lainnya. Peserta Online Academy akan belajar secara mandiri secara daring/online dan peserta mengatur waktu belajar secara mandiri dan terjadwal sesuai dengan waktu yang telah ditentukan.

Adapun tema pelatihan Online Academy yang dibuka sebagai berikut:

1. Cloud Computing
(Open Stack Administration)
Pendaftaran: 30 Maret – 11 April 2020
Pelatihan: mulai 15 April 2020
Durasi Pelatihan: 5 Minggu

2. Cloud Computing
(Containers, Kubernetes, OpenShift)
Pendaftaran: 30 Maret – 11 April 2020
Pelatihan: mulai 15 April 2020
Durasi Pelatihan: 4 Minggu

3. IT Essentials
Pendaftaran: 30 Maret – 11 April 2020
Pelatihan: mulai 15 April 2020
Durasi Pelatihan: 9 Minggu

4. CCNA Network Engineer
Pendaftaran: 30 Maret – 23 April 2020
Pelatihan: mulai 4 Mei 2020
Durasi Pelatihan: 9 Minggu

5. CCNA Cyber Operations Specialist
Pendaftaran: 30 Maret – 23 April 2020
Pelatihan: mulai 4 Mei 2020
Durasi Pelatihan: 9 Minggu

6. Python
Pendaftaran: 30 Maret – 23 April 2020
Pelatihan: mulai 4 Mei 2020
Durasi Pelatihan: 8 Minggu

Persyaratan:
– Warga Negara Indonesia
– Memiliki KTP / KK
– Sedang bekerja/sudah pernah bekerja (dibuktikan dengan surat pernyataan sedang atau pernah bekerja / ID Card / Surat Tugas)
– Tidak sedang menempuh pendidikan/perkuliahan
– Terbuka untuk ASN/TNI/Polri
———————————————–

7. Digital Entrepreneurship
Pendaftaran: 30 Maret – 12 April 2020
Pelatihan: mulai 15 April 2020
Durasi Pelatihan: 1 Hari

Persyaratan:
– Warga Negara Indonesia
– Memiliki KTP / KK
– Untuk Kelas Umum berusia minimal 17 Tahun
– Memiliki akun gmail dan sosial media
terbuka juga kelas untuk Ibu Rumah Tangga
———————————————–

8. Programming
(HTML, CSS, Javascript)
Pendaftaran: 30 Maret – 11 April 2020
Pelatihan: mulai 15 April 2020
Durasi Pelatihan: 8 Minggu

Persyaratan:
– Warga Negara Indonesia
– Memiliki KTP / KK
– Terbuka untuk umum Lulusan SMA/SMK/Sederajat yg belum bekerja (tidak sedang menempuh pendidikan /perkuliahan)
– Terbuka untuk ASN/TNI/Polri
———————————————–

9. Digital Marketing
Pendaftaran: 30 Maret – 9 April 2020
Pelatihan: 13 – 24 April 2020
Durasi Pelatihan: 10 Hari

Persyaratan:
– Warga Negara Indonesia
– Memiliki KTP / KK
– Lulusan D3/D4/S1 yang belum bekerja / tidak sedang bekerja
– Usia 18-30 Tahun
– Berkomitmen untuk mengikuti live session 3 jam sehari
———————————————–

Seluruh pelatihan Terbuka untuk penyandang disabilitas (dengan sarana prasarana disediakan oleh peserta secara mandiri)

INFORMASI DAN PENDAFTARAN melalui digitalent.kominfo.go.id

Follow untuk informasi lebih lanjut:
Instagram: @digitalent.kominfo
Twitter: DTS_Kominfo
Facebook & Telegram: Digital Talent Scholarship

Stay safe & stay healthy Digiers!

Salam,
Kementerian Komunikasi dan Informatika RI

 

Unduh Poster | Info Detail: Program Online Academy (OA)

/by

Protokol Kesehatan Mitigasi Penyebaran Covid-19

Assalammu’alaikum warahmatullahi wabarakatuh,

Bismillahirrahmanirrahiim

Memperhatikan dan menindaklanjuti Surat Edaran Rektor Universitas Islam Indonesia Nomor: 1048/Rek/10/SP/III/2020 tentang UII Mitigasi Penyebaran Covid-19 tanggal 14 Maret 2020, Nomor: 1080/Rek/10/SP/III/2020 tentang Perpanjangan Pembelajaran Daring dan Peniadaan Layanan Tatap Muka tanggal 23 Maret 2020 dan dengan berlandaskan pada kaidah dar’ul mafaasid muqaddamun ‘ala jalbil mashaalih, maka Fakultas Teknologi Industri (FTI) Universitas Islam Indonesia (UII) menerbitkan protokol kesehatan Mitigasi Covid-19 di FTI UII sebagai berikut:

Jika Ibu/Bapak/Sdr merasa kondisi badan sedang tidak sehat dengan kriteria:

  1. Suhu Badan setelah diukur mencapai 38 derajat celcius, dan/atau
  2. Batuk/Pilek

Maka mohon maaf jika Ibu/Bapak/Sdr TIDAK DIIJINKAN MASUK kedalam Gedung K.H. Mas Mansur, mohon untuk segera pulang untuk istirahat yang cukup di rumah dan perbanyak minum air putih.

Jika keluhan berlanjutatau disertai dengan kesulitan bernafas (sesak atau nafas cepat) segera lakukan pemeriksaan diri ke fasilitas pelayanan kesehatan terdekat, dengan memperhatikan hal berikut:

  1. Gunakan Masker
  2. Apabila tidak menggunakan masker, ikuti etika batuk/bersin yang benar dengan cara menutup mulut dan hidung dengan tisu atau punggung lengan
  3. Sebaiknya menggunakan transportasi pribadi, bukan transportasi umum

Wassalammu’alaikum warahmatullahi wabarakatuh

 

= = =

Surat Edaran Dekan FTI UII Nomor: 164/Dek/10/DAURT/III/2020

unduh: format pdfformat JPEG

/by

Face Shield T57 Produk Prof Fathul Wahid

Alat Pelindung Diri (APD) jadi kebutuhan utama dokter dan tenaga medis dalam menangani pasien infeksi virus Covid-19. Penggunaan APD dilakukan sesuai petunjuk dan standar kesehatan dunia dari World Health Organization (WHO). Hanya saja persediaan APD dalam penanganan Virus Corona (Covid-19) di sejumlah rumah sakit (RS) di Yogyakarta menipis.

Pelaksana Tugas (Plt.) Direktur Utama RSUD Sleman, Joko Hastaryo dalam rilisnya (26 Maret 2020) membenarkan pihaknya sedang menggalang donasi dari masyarakat untuk pengadaan APD berupa masker bedah, masker N-95, kacamata google atau face shield.

Kurangnya ketersediaan APD membuat ada dokter yang disebut harus berjibaku dengan mengenakan jas hujan dan itu sejatinya sangat membahayakan dirinya. Karena APD adalah alat kelengkapan yang wajib digunakan saat bekerja sesuai bahaya dan risiko menjaga keselamatan pekerja itu sendiri dan lingkungannya.

credit photo : Facebook Dr Nurul Indarti

Credit photo : Facebook Dr Nurul Indarti

Melihat kebutuhan APD tersebut, membuat Prof. Fathul Wahid, S.T., M.Sc., Ph.D, Rektor Universitas Islam Indonesia  (UII) bersama istri Dr Nurul Indarti serta kedua anaknya berinisiatif membuat Face Shield

Prof Fathul Wahid dalam rilisnya, mengatakan dalam waktu sekitar 5 jam, di sela kegiatan utama bekerja atau belajar di rumah, keempat orang tersebut dapat memproduksi 35 buah face shield dan 15 lagi sedang dalam proses. “Insya Allah, besok dapat didistribusikan 100-an,” ujar Prof Fathul Wahid

Face Shield produk Tim57 karena dari Timoho 5 no 7 Peduli Covid-19 telah rapi dan siap diambil RS JIH pada hari Kamis (26 Maret 2020) dan menurut Prof Fathul akan dibagi ke RS PDHI dan RS milik UII, jika mungkin. “Dengan ukuran 28×28 berbahan mika hanya diperlukan Rp 5.000-an per biji,” ujar guru besar bidang ilmu sistem informasi tersebut

Prof Fathul Wahid menegaskan bahwa Face Shield yang diproduksinya ini tidak diperjual belikan namun diberikan ke rumah sakit, puskesmas, dan klinik yang membutuhkan sebagai donasi. “Untuk donasi. Ada uang tapi kalau tidak ada barang, akan repot juga,” ujarnya.

Prof Fathul Wahid bersama dengan keluarga melayani permintaan dengan semampunya, hingga saat ini sudah ada pesanan dari rumah sakit, puskesmas dan klinik yang ada di Jogja maupun di luar kota.

Selain itu, bermodalkan video tutorial yang telah dibuatnya, Rektor UII tersebut juga mengajak mahasiswa dan rekan-rekan untuk memproduksi sendiri.

Berikut adalah video tutorial dari Prof Fathul Wahid: Tutorial Membuat Pelindung Muka Face Shield

Jerri Irgo

 

/by

Antisipasi Covid-19, FTI UII Layanan Terbatas

Fakultas Teknologi Industri (FTI) Universitas Islam Indonesia (UII) melakukan pelayanan terbatas pada civitas akademik untuk mengantisipasi penyebaran covid-19. Langkah ini dilakukan Pimpinan FTI UII untuk melindungi sekaligus menjaga agar lingkungan kampus tidak terpapar virus corona yang saat ini sedang menjadi perhatian serius.

“Kami harus melakukan langkah inisiatif sebagai upaya preventif yang perlu diambil segera berdasar arahan Pimpinan Fakultas dan Surat Edaran Rektor UII, Nomor: 1050/Rek/10/SP/III/2020, tentang Kerja dari Rumah (KdR) untuk Mitigasi Penyebaran Covid-19,” tutur Kepala Divisi Administrasi Umum dan Rumah Tangga,  Ervin Yulianita Indriyani, S.T., M.T., saat mendampingi Dekan FTI UII, Prof. Dr. Ir. Hari Purnomo., M.T dan Dr. Arif Hidayat., ST., MT, Sekretaris Jurusan Teknik Kimia FTI UII memantau kondisi terkini (20 Maret 2020).

Saat ditemui di Hall FTI UII, Gedung KH Mas Mansur Kampus Terpadu, Ervin menjelaskan “selain layanan terbatas tersebut, juga memberlakukan 1 pintu dan protokol sebagai bentuk komitmen agar KdR dapat berjalan dengan baik dan tetap menjaga produktivitas untuk kemajuan Universitas Islam Indonesia. Selain itu juga sebagai wujud dari Surat Edaran Rektor UII, Nomor: 928/Rek/10/SP/III/2020 tentang Pencegahan Dampak Meluasnya Covid-19.”

Layanan terbatas yang dimaksud sebagaimana Surat Edaran Dekan FTI UII, Nomor: 160/Dek/10/DAURT/III/2020, yang mengatur semua akan melewati prosedur pengecekan terlebih dahulu sesuai petunjuk teknis yang dilakukan di pintu masuk Hall Gedung KH Mas Mansur.

Pada saat ini pun, Pimpinan FTI UII memberikan tugas kepada Satuan Pengamanan (Satpam) dan Cleaning Service untuk menjaga kebersihan lingkungan dan memastikan semua streril sebagai upaya tindakan preventif yang juga wajib dilakukan seluruh sivitas akademika UII.

“Sementara ini akan berlaku sampai dengan ada Surat Edaran selanjutnya dan nanti akan kita evaluasi lagi. Semoga ini salah satu ikhtiar kita untuk dapat tetap memberikan layanan terbaik,” tandas Ervin.

Jerri Irgo

/by

Analisis Drone Emprit: Corona Virus

Ismail Fahmi., Ph.D – Drone Emprit and Media Kernels Indonesia, Founder

= =

Analisis Drone Emprit: Corona Virus

After having 2 days of complete data, Drone Emprit now release some insight and findings based on it’s analysis of conversation in social media and online media (Indonesian).

detail

/by

Java Script Sniffer Attack

Dr. Yudi Prayudi, M.Kom. Kepala Pusat Studi Forensika Digital FTI UII

– – 

Java Script Sniffer Attack (JS Sniffer Attack)

 

Berbagai kemudahan dan kenyamanan dalam hal memilih barang dan bertransaksi secara online, telah menumbuhkan pasar e-commnerce di seluruh dunia. Menurut survey dari Pew Research Center, delapan dari sepuluh orang dewasa di Amerika adalah merupakan konsumen dari e-commerce. Indonesia sendiri, menurut lembaga riset asal Inggris Merchant Machine adalah salah satu negara dengan pertumbuhan e-ecommerce tercepat. Pada tahun 2018 tercatat angka pertumbuhan 78% untuk pertumbuhan e-commerce di Indonesia. Sementara itu berdasarkan survey e-commerce yang dilakukan oleh BPS pada tahun 2019, tercatat angka 24. 82 juta transaksi e-commerce dari 13.485 usaha e-commerce dengan nilai transaksi mencapai 17, 21 T.

Diantara sekian banyak Bahasa pemrograman untuk membangun sebuah website, salah satunya adalah JavaScript. JavaScript (JS) adalah salah satu bahasa pemrograman tingkat tinggi yang dinamis. JavaScript banyak dipilih oleh programmer untuk membuat sebuah website. Salah satu kelebihannya adalah dukungan dari semua web browser modern sehingga memudahkan programmer untuk membangun sebuah website. JavaScript merupakan bahasa dari sisi klien yang berarti program diunduh di perangkat yang dimiliki oleh pengunjung situs, lalu diproses di perangkat klien. Saat pengguna mengunjungi situs web, maka file JavaScript akan diunduh dan dijalankan secara otomatis. Hal ini berbeda dengan bahasa di sisi server dimana program dijalankan pada server sebelum mengirimkan file ke pengunjung situs. Selain membangun sendiri website melalui Bahasa pemrograman, sebuah website E-Commerce dapat pula dibangun dengan mudah melalui ketersediaan berbagai jenis CMS (Content Management System) untuk e-commerce. Bahkan melalui CMS, dalam hitungan menit atau jam, sebuah website e-ecommerce dapat dibangun dengan mudah oleh siapapun.

Namun kenyamanan berbelanja online memiliki kelemahan transaksi data yang terjadi pada saat berbelanja online menjadi target tersendiri dari para pelaku kejahatan dunia maya. Khususnya data-data yang berkaitan dengan transaksi keuangan. Pelaku e-commerce yang menggunakan kartu pembayaran untuk belanja online menghadapi ancaman dunia maya yang tak terhitung jumlahnya, salah satunya adalah JavaScript-sniffer. Laporan yang dibuat oleh pada April 2019, menyebutkan bahwa sebuah malware baru yang dikenal dengan JavaScript- sniffers telah berhasil menginfeksi 2440 situs e-commerce di seluruh dunia. Malware ini dirancang untuk mencuri data pembayaran pelanggan dari toko online. JS-sniffer adalah salah satu type malware yang diinjeksi oleh pelaku kejahatan kepada website tertentu untuk melakukan intersep data yang dimasukkan oleh user seperti: kartu kredit, username, password dll.

Dalam hal kejahatan ATM dikenal dengan istilah teknik skimming, yaitu menambahkan alat tertentu pada mesin ATM sehinggga data-data nasabah yang tersimpan pada Kartu ATM/Kredit Card dapat dicuri melalui alat skimming yang terpasang di sekitar mesin ATM. JS sniffer sifatnya adalah sama dengan skimming namun dilakukan secara online melalui injeksi beberapa baris kode pada situs web tertentu. Baris-baris koder tersebut dalam menangkap data yang dimasukkan oleh pengguna, seperti nomor kartu kredit, nama, alamat, kata sandi, dll. Selain digunakan langsung oleh si pelaku kejahatan, data-data yang didapat dari aktivitas JS Sniffer dijadikan sebagai salah satu komoditas produk yang jual di forum-forum illegal atau black market.

JS Sniffer adalah termasuk dalam katagori Web/ Online Skimming yaitu suatu bentuk kejahatan siber dimana sebuah malware di injeksikan kepada sebuah website untuk

menjalankan aktifitas intersep data perbankan/transaksi keuangan yang dimasukkan oleh pengguna website tersebut. Aktivitas web/online skimming ini mulai marak sejak tahun 2016. Salah satu kasus terbesar dari web/online skimming ini adalah kasus yang menimpa perusahaan Briitish Airways dimana terdapat sekitar 380.000 data kartu kredit yang berhasil dicuri dari pelanggan perusahaan ini. Demikian juga dengan web Ticketmaster dimana terdapat 40.000 pelanggan website ini yang menjadi korban dari aktivitas web/online skimming.

Menurut riset dari Group-IB, pada tahun 2019 telah terdeteksi 38 varian dari JavaScript sniffers. Menurut riset tersebut, 70% malware JS Script berjalan pada platform (Content Management System) – CMS Magento, yaitu sebuah platform open source untuk e-commerce yang dibangun menggunakan bahasa pemrograman PHP. Magento sendiri adalah salah satu platform e-commerce yang sangat popular. Menurut statistic dari web Magento sendiri, saat ini terdapat lebih dari 250.000 web site e-commerce yang memanfaatkan Magento sebagai platform aktivitasnya. Selain, Magento, beberapa platform e-commerce lainnya juga seperti OpenCart, Shopify, WooCommerce dan WordPress telah berhasil ditembus oleh malware JS Sniffer walaupun prosentasenya tidak sebanyak Magento.

Hal yang mengkhawatirkan dari JS Sniffer adalah sulitnya melakukan deteksi terinfeksinya sebuah website oleh JS Sniffer. Attack JS Sniffer dapat dilakukan langsung kepada websitenya ataupun melalui library/plug in yang digunakan yang berasal dari pihak ketiga. Kekhawatiran lainnya adalah terkait dengan luasnya potensi pencurian data dari sebuah website e-commerce yang telah terinfeksi. Melihat cara kerja dari JS Sniffer ini, menurut Grup IB sangat dimungkinkan terjadinya korban berantai, yaitu tidak hanya pengunjung situs saja namun juga perusahaan pemilik situs serta pihak perbankan yang menjadi mitra transaksi pembayaran dari situs e-ecommerce tersebut juga berpotensi dicuri datanya. Hal ini mengingat banyaknya varian dari JSScript dengan cara kerja dan kemampuan yang berbeda-beda. Group-IB mengidentifikasi bahwa banyaknya varian JS Sniffer tersebut diduga karena dikembangkan oleh sebuah komunitas, bukan oleh individu. JS sniffer telah menjadi bagian dari komunitas underground yang luas dan hal ini tercermin dari adanya penjualan kode JS Script serta penjualan data-data yang diperoleh dari website yang terinfeksi JS Sniffer. Pada awal perkembangannya, JS Sniffer banyak mengarah pada aplikasi Magecart yang diduga dikembangkan oleh oleh sebuah grup hacking yang memuat berbagai script untuk kepentingan berbagai aktivitas pembayaran/payment. Tanpa sadar, pengguna script dari layanan Magecart tersebut akan langsung menjadi target dari aktivitas sniffing perusahaan tersebut.

Secara umum, terdapat 4 tahapan dari aktivitas JS Sniffer, yaitu:

  1. Mendapatkan akses kepada website target Web dengan vulnerabilitas yang rendah akan menjadi sasaran utama dari pelaku JS Sniffer.
  2. Mendapatkan kode JS Sniffer,baik dengan cara melalukan koding sendiri ataupun membeli dari forum
  3. Melakukan instalasi/injeksi kode JS
  4. Memanfaatkan (monetisasi) hasil pencurian data yang didapat, baik dijual melalui forum underground ataupun dimanfaatkan sendiri untuk pembelian barang-barang pada web e- ecomercer

Kunci pertamanya adalah pada langkah awal untuk mendapatkan akses kepada website. Disinilah pentingnya setiap website melakukan external pentest untuk mendapatkan feedback terhadap vulnerability dari website tersebut. Selain itu, melakukan assesmet ketat terhadap vendor atau pihak ketiga yang terkait langsung dengan aplikasi website kita sangatlah penting dilakukan untuk memastikan bahwa pihak ketiga juga telah menerapkan standar keamanan siber yang sesuai.

Untuk meningkatkan faktor keamanan dari website e-ecommerce, maka memanfaatkan layanan premium dari CMS adalah salah satu solusinya. Selain itu juga melakukan update secara berkala versi dari CMS yang digunakan. Selain itu, penggunaan plug-in untuk menambah fungsionalitas website juga harus dilakukan secara hati-hati. Secara umum, kerentan sebuah website e-commerce salah satunya dipengaruhi oleh setting keamanan yang tidak maksimal dari website tersebut. Karena itu, untuk pengelola website e-ecommerce hal yang dapat dilakukan untuk mencegah terinjeksinya JS Sniffer pada websitenya langkah yang dapat dilakukan antara lain:

  1. Gunakan kata sandi yang kuat dan unik untuk akun admin dan lakukan perubahan secara teratur.
  2. Lakukan pembaharuan secara lengkap terhadap semua sistim pada perangkat yang digunakan, terutama pada CMS. Library atau plug-in yang
  3. Lakukan pengecekan secara rutin terhadap keamanan system e-eccomerce yang
  4. Lakukan mekanisme pencatatan terhadap semua perubahan yang terjadi di situs, log ke panel kontrol, serta perubahan
  5. Pertama, pastikan semua infrastruktur server web dilakukan update/patching sepenuhnya ke versi terbaru. Hal ini meliputi perangkat lunak dan perangkat lunak serta sistim operasi yang berjalan pada masing-masing

Web/online skimming banyak menyerang website e-ecommerce dengan katagori kecil dan menengah. Salah satunya adalah karena kurangnya perhatian dari pemilik dan pengeloka website tersebut terhadap aspek keamanan siber. Website untuk usaha e-commerce kecil dan menengah umumnya berfokus pada pengembangan produk, jejaring pemasaran, promosi. Sementara aspek keamanan siber agak terabaikan. Hal inilah yang justru menjadi sasaran pelaku kejahatan siber. Dalam sebuah rantai bisnis, setiap aktivitas bisnis akan saling terhubung, termasuk keterhubungan dengan e-commerce yang besar. Sehingga mentargetkan website e-ecommerce kecil dan menengah adalah salah satu taktik pelakuk kejahatan untuk bisa menembus web ecommerce yang besar, yang relative telah didukung oleh sebuah sitim keamanan siber yang ketat.

Sejalan dengan keberhasilan Ditipidsiber Bareskrim dalam mengungkap pembobolan sejumlah toko online menggunakan JS Sniffer, maka hal yang perlu diapresiasi adalah kemampuan SDM dan teknologi yang dimiliki oleh Ditipidsiber Bareskrim untuk menerapkan teknik-teknik pengungkapan kejahatan siber yang semakin canggih. Hal ini tentunya didukung pula oleh koordinasi lintas negara yang dilakukan oleh penegak hukum dan perusahaan keamanan siber dalam mengidentifikasi terjadinya kejahatan siber.

Apakah pelaku yang diamankan adalah seorang hacker ? Bisa jadi ya bisa juga tidak. Dalam sebuah organized crime, pelaku umumnya memiliki peran masing-masing. Dalam kasus tersebut bisa jadi pelaku yang sudah dan maupun yang belum tertangkap menjalankan salah satu dari peran berikut yaitu:

  • programmer, yaitu yang mengembangkan langsung JS sniffer untuk diinjeksi ke website tertentu.
  • technology expert dan hosted system, yang berperan untuk membangun infrastruktur IT dan server
  • hacker, yang melakukan eksploitasi awal dari sebuah website sehingga didapat celah untuk melakukan injeksi JS Sniffer
  • cashier, money mules, teller, yang berperan dalam hal mekanisme dana yang didapat dari aktivitas criminal
  • distributor, yang berhubungan dengan pihak ketiga untuk menjual data yang didapat dari JS Sniffer
  • leader, pemimpin yang mengendalikan seluruh aktivitas

Bisa jadi diantara pelaku tersebut salah satunya adalah hacker atau salah satu dari tiga peran tersebut karena memang berhubungan langsung dengan sistim komputer dan jaringan serta bertugas untuk melakukan eksploitasi langsung website target serta melakukan injeksi kode JS Sniffer pada website tersebut. Atau bisa saja mereka yang tertangkap itu adalah pelaku yang termasuk salah satu dari tiga peran lainnya yang tidak secara langsung berhubungan dengan teknis computer dan aktivitas hacking. Pihak penegak hukum perlu melakukan pendalaman yang cermat atas peran masing-masing karena kana berkaitan dengan penerapan pasal hukum yang tepat untuk perbuatan yang telah mereka lakukan.

Yogyakarta, 25 Januari 2020

 

/by