Lagi-lagi selamat kepada Zeddy dan Tim nya – Armanovous, yang telah mengharumkan nama bangsa Indonesia, terlebih di bidang IT. Bagaimana tidak, software canggih yang menggunakan Latest Technology dari Microsoft, selalu dibuat di luar negeri. Itu sebabnya – salah satunya – kita selalu tertinggal dalam hal development dan inovasi di bidang IT.

Namun, kali ini angin segar dibawakan oleh Zeddy dari komunitas .NET Developer di Indonesia, http://geeks.netindonesia.net, ia berhasil menggunakan salah satu teknologi mutakhir dari produk Microsoft, produk yang merupakan rival bagi Adobe Corporation dengan Flash nya, yang dikenal dengan nama SilverLight. Versi terakhir dari SilverLight adalah versi 2.0.

Lantas, apa itu SilverLight? SilverLight adalah sebuah tool berbasis web yang digunakan untuk menyajikan User Interface yang menarik dan kaya akan konten. Bagi kalangan programmer ataupun developer, SilverLight adalah tools, namun bisa juga disebut sebagai Add-On bagi kalangan awam. Kenapa disebut dengan Add-On? Karena bila kita ingin mengakses sebuah website yang menggunakan SilverLight, maka kita harus terlebih dahulu menginstal SilverLight tersebut ke dalam komputer kita. Jika anda sudah kenal dengan YouTube, maka tahukah anda sebenarnya player pada YouTube tidak akan dapat anda lihat jika browser anda belum memiliki Add-On dari Adobe Corporation yaitu Flash Player? Konsep yang sama juga terjadi dengan SilverLight. Maka dari itu, alangkah baiknya pada halaman Home sebuah website, web master memberikan informasi bahwa situs tersebut menggunakan teknologi SilverLight. Oleh sebab itu, pengguna harus terlebih dahulu mend-download dan menginstal nya ke komputer mereka.

Cara instal SilverLight sendiri cukup mudah. Setelah anda download, klik aja 2 kali untuk mengeksekusi programnya. Setelah selesai, maka browser yang telah didukung SilverLight (saat ini IE) secara otomatis akan mampu untuk menampilkan kecanggihan yang dimiliki oleh situs yang menggunakan SilverLight.

Okay, sebagai salah satu gambaran apa itu SilverLight, silahkan simak situs berikut, http://epaper.kompas.com. Halaman utama belum menggunakan SilverLight. Namun, silahkan login terlebih dahulu untuk masuk ke halaman yang menggunakan teknologi SilverLight. Jangan kuatir, saya telah menyiapkan email untuk anda. Masukkan my_sampah86@yahoo.com untuk alamat emailnya. Dan bauBAU!@# untuk password nya. Silahkan melihat kecanggihan yang ditawarkan SilverLight kepada anda pada umumnya, dan developer web pada khususnya.

Walaupun ada yang namanya Key BCA atau token key dan otentikasi lainnya, e-Banking masih terbilang rawan. Apalagi user awareness kita masih kurang. Kesadaran para webmaster pun terbilang lamban. BCA saja baru memperbaiki bug nya 2 tahun setelah kasus yang ada.

Ada yang namanya serangan MITM (Man In The Middle). Jika sudah diserang seperti ini, katakan selamat tinggal dengan uang anda. Serangan ini memanfaatkan issue mengenai Certificate Authority atau CA pada browser. Pertama attacker akan memaksakan atau me-reroute komunikasi yang digunakan oleh client (anda) ke server (banking) menjadi ke arahnya. Informasi dari server terlebih dahulu di capture oleh attacker dan kemudian diteruskan ke anda. Begitu juga dengan informasi dari anda ke server, terlebih dahulu disaring oleh attacker kemudian di teruskan ke server.

Masih bingung? Sama.

Begini, anggap anda akan chatting ke teman anda si Botak. Anda, si kurus, pertama kali melakukan kontak ke Botak. Anda mengatakan “hallo botak. Kapan cukur rambut?” kepada si Botak. Namun, di antara anda, ternyata ada si C yang telah memantau komunikasi anda sehari sebelumnya. Karena anda tidak memiliki otentikasi terhadap Botak dan begitu juga sebaliknya, maka si C dengan leluasa “mengendalikan” percakapan anda. Si Botak tidak akan pernah tau bahwa anda lah yang sedang berbicara dengan nya. Begitu juga dengan anda.

Berikut adalah contoh dari Buku Network Security yang saya baca.

MITM attack adalah serangan dimana attacker berada di tengah bebas mendengarkan dan mengubah percakapan antara dua pihak. Jadi dengan serangan MITM ini attacker tidak hanya pasif mendengarkan, tetapi juga aktif mengubah komunikasi yang terjadi. Sebagai contoh, pada percakapan antara Alice dan Bob, Charlie menjadi pihak yang ditengah melakukan MITM attack. Charlie tidak hanya bisa mendengarkan percakapan itu, namun juga bisa mengubah percakapannya. Ketika Alice berkata “Besok makan siang jam 11″, Charlie bisa mengubahnya menjadi “Besok makan siang dibatalkan” sehingga Bob mengira makan siang dengan Alice tidak jadi.

Sama dengan kasus eBanking MITM ini. Ketika anda login ke server, apakah anda yakin bahwa server yang asli yang akan menghandle login anda? Oh iya, perhatikan saja address bar nya, yaitu https. Pinter, lalu apakah anda menuliskan manual https nya di address bar? Misalkan anda login ke eBanking Mandiri yang beralamatkan https://ib.bankmandiri.co.id/retail/Login.do?action=form&lang=in_ID. Apa anda menuliskan https nya secara manual? Pasti tentunya kebanyakan TIDAK. Cara umum yang sering digunakan yaitu masuk terlebih dahulu ke halaman Home, kemudian klik Login.

Berikut adalah uji coba yang dilakukan oleh Rizki Wicaksono pada alamat http://www.ilmuhacking.com/web-security/hacking-mandiri-internet-banking-dengan-session-fixation/ .

Apa yang harus anda lakukan sebagai end user? Simak nasehat berikut baik2 sebelum anda menjadi korban.

1. SELALU mengetikkan HTTPS pada address bar browser untuk mengakses situs yang sensitif. Jangan malas! Atau gunakan fasilitas BookMark pada browser. Bookmark lah HALAMAN LOGIN nya, jangan halaman HOME. Pastikan halaman login nya menggunakan protokol HTTPS (HTTP Over SSL)
2. SELALU bersihkan history dan cookies anda setelah selesai browsing. JANGAN MALAS. Caranya yaitu pada IE, klik Tools >> Internet Options. Klik tombol Delete pada segmen Browsing History. Delete semua nya. Gunakan fasilitas Delete browsing history on exit jika anda menggunakan IE 8. Fitur ini cukup membantu untuk menghapus history dan cookies secara otomatis ketika anda menutup browser.
3. Perhatikan Address Bar nya. Selalu lah curiga jika terdapat banyak sekali karakter dan parameter aneh.
4. Jika bisa, jangan membuka akun eBanking anda di warnet.
5. Gunakan browser yang aman yang telah mendukung teknologi Flag HTTPOnly. Yaitu mulai dari IE 6 hingga IE yang terbaru, IE 8. Mungkin yang lain sudah ada (menurut informasi yang saya dengar, browser lain tidak terlalu memikirkan hal ini), namun saya lebih prefer IE 8 ini J
6. HATI-HATI dengan peringatan Certificate yang invalid. Kebanyakan pengguna awam selalu mengklik OK dan Next tanpa peduli apa yang telah dilakukannya. Browser yang pintar akan mampu mendeteksi pemalsuan sertifikat ini (termasuk ketika terjadi MITM di mana orang ketiga tidak akan tahu menahu dengan certificate yang digunakan antara komunikasinya.). Jika User mengklik OK, yah, siapa yang harus disalahkan? Browser sudah galak2 ngasi warning tapi anda masih tetap klik OK. Artinya anda mengundang orang ke tiga tersebut untuk masuk ke dalam session transaksi internet anda.

Sekian.

Nyeseg dah. Gw beli CD-R 100 biji dengan tipe SkyLab tapi gak bisa di burn di Windows Vista. Sompret dah ah… Selalu error burn pke CD itu. Mau pke Nero, Roxio, mpe fitur Burning default Vista nya pun kgk bisa menyelesaikan tugas2 burn nya. Zzzzz…

So, tiati kawan dalam membeli CD-R (dan tak tertutup kemungkinan DVD R/RW juga). Silahkan tanya ke penjualnya mengenai kompatibilitasnya jika di burning di Windows Vista.

NB: msh belum yakin sih gw entah karena beda OS atau bukan. CD-R ini di burn di CD Writer merk Lite-On (mesin XP) berjalan dengan sukses. Pas gw burn di laptop dengan Writer nya merk Toshiba DVDW/HD (mesin Vista), gagal semua tuh. Selalu error message nya lebih kurang “could not perform end track”.

Kenapa tulisan judulnya gw mark dengan huruf gede? Karena ini masalah serius yang pernah gw temui ndiri di tempat-tempat cash register di seluruh pusat perbelanjaan modern di Jakarta (karena gw tes nya di daerah Jakarta)

Lokasi testpen sendiri gw lakukan di salah satu Carrefour di Jakarta Selatan. Tentunya kurang lebih 2 bulan sebelumnya gw udah lakukan pengujian trial n error terhadap sistem kerja barcode dan barcode reader nya. Apakah bisa bermodalkan informasi yang telah didapatkan kita bisa mengubah harga barang dari database berdasarkan nomor barcode nya? Well, sebagai hasilnya silahkan lihat gambar-gambar berikut:

Gambar-gambar tersebut langsung gw jepret begitu berhasil mendapatkan “kembalian tak sah” sebesar 9800 dari Carrefour. Semestinya gw cuma dapetin kembalian sebesar 200 perak lho… Hehehe.. So, can you make a conclusion with those stuffs up there? Atau, semua cash register di dunia ini memiliki bug “anak SD” ? Hehehehehe…

Do not ever ask me how. Because this is a serius problem n could be a massive criminal attack if you ask.

Pada jaman es dulu, yang namanya bikin blog tuh susah amat bin repot. Si Hahu (pemeran utama kita dari jaman dinosaurus) harus terlebih dahulu dating ke tempat ritual (baca: website) untuk login dan kemudian menulis ide-ide nya tentang kepunahan dirinya sendiri di suatu masa nanti. Setelah itu, baru lah ide-ide nya dapat dibaca oleh semua orang.

Sekarang, dengan hadirnya Microsoft Office 2007 – dan tentunya si Hahu telah punah, urusan posting blog udah gampang banget. Yang penting kita harus punya terlebih dahulu 1 akun pada layanan-layanan blog, baik yang gratis ataupun yang berbayar.

Setelah proses registrasi selesai, maka untuk memposting sebuah artikel tidak harus di websitenya lagi. Cukup gunakan Microsoft Word 2007. Berikut adalah penjelasannya.

1. Buka program Word nya.
2. Pada tombol Office Button di pojok kiri atas, klik tombolnya dan pilih New. Pilih Blog.

3. Kemudian, jika anda belum pernah sama sekali mendaftarkan akun blog anda di Ms Word 2007 ini, maka otomatis akan ada popup untuk mendaftarkan akun blog anda. Karena saya sudah pernah mendaftarkan akun blog saya, maka klik tombol Manage Accounts.

4. Tekan tombol New. Maka akan keluar window yang berisikan layanan-layanan blog yang dapat anda gunakan. Saya sendiri telah mendaftarkan layanan Blogger. Dan untuk contoh kali ini, kita pilih WordPress.

5. Masing-masing layanan memiliki konfigurasi yang berbeda-beda. Untuk layanan Blogger, kita cukup memasukkan Username dan Password kita. Sedangkan untuk WordPress, ada tambahan untuk memasukkan link (URL) atau alamat blog kita di wordpress.

6. Setelah URL kita masukkan dengan benar dan Username beserta Password telah ditulis dengan benar, maka klik tombol OK.
7. Jika proses registrasi berhasil, maka akan muncul mantra seperti di bawah ini:

Mini F.A.Q

Q: Saya mendapatkan pesan error ketika registrasi
A: Sama, saya juga sering mendapatkannya..hahaha. Coba cek lagi Username dan Passwordnya. Dan pastikan ada koneksi internet yang aktif.

Q: Layanan blog apa saja yang dapat saya gunakan?
A: Coba klik link “Help me fill out this session”

Q: Pada wordpress, ada tulisan xmlrpc.php. Bolehkah ini saya hapus?
A: Tidak. Walopun alamat blog anda tidak ada xmlrpc.php nya, namun xmlrpc.php tersebut adalah file program yang digunakan untuk memposting artikel anda. Ingat, masing-masing layanan blog memiliki konfigurasi yang berbeda-beda.

Q: Bagaimana caranya untuk memposting artikel saya sebagai draft?
A: Klik tombol panah bawah Publish. Pilih Publish as Draft.

N.B
Untuk pengguna Blogger, terdapat permasalahan untuk memilih kategori artikel. Tombol Insert Category nya tidak dapat diakses. Sedangkan untuk WordPress, tombol tersebut dapat diakses.

Beberapa hari yang lalu saya di minta oleh teman saya yang bernama Asenk dengan sebutan Polisi Hindia, untuk membasmi virus yang ada di laptop nya. Laptopnya mantep abis coi. Kalo gak bisa dinyalain dengan cara normal, tuh laptop harus dibalikin dulu (bener2 180 derajat) n tempat hardisk nya mesti diurut2 gitu. Huakaakka… (ya ini saatnya kalian menunjukkan senyum monyet kalian )

Setelah uji forensik sekian lama, ternyata nama virus/worm nya adalah Nita. Saya belum sempat telaah lebih lanjut si Nita ini termasuk virus atau worm karena gak sempat uji menggunakan jaringan. Kalo cuma nyebar via FlashDisk, brarti teknologi Worm nya gak ada. Alias si Nita ini cuma virus… Sekali lagi, belum saya selidiki lebih lanjut

Okay, kali ini saya tidak bermaksud menulis tutorial bagaimana menangani virus ini tanpa menggunakan antivirus, melainkan hanya ingin menyebarkannya saja . Tenang! Tenang! Virus ini sudah jinak. Kalo mau uji coba (saya sarankan di komputer sendiri) tinggal rename aja file nya menjadi abc.exe . Pokoknya terserah deh ganti nama jadi apa (aslinya new folder.exe). Yang penting hilangkan ekstensi .jinak nya.

Oiah, beberapa vendor antivirus ternyata ada yang belum bisa mendeteksi virus ini loh . Tapi klo antivirus anda sudah mampu mendeteksinya, maka bisa2 langsung dihapus tuh begitu anda rename file nya….

Okay…here’s the link http://www.wikifortio.com/164551/Nita_Worm.exe.zip (batas download 90 hari terhitung sejak 31-12-2008)

Hmm, silahkan simak Wawancara UUITE berikut dari radio ElShinta dengan bung RS (baca: Raja Setan). Pernyataan si RS ini sungguh-sungguh di luar otak. Mendiskreditkan para hacker dan blogger.

Cuma sekedar sharing ajah…n_n. File asli dapat ditemukan di virologi.info

Sepertinya gak juga seh klo dibilang “menjebol”. Lebih baik gunakan kata “mencuri”. Hehehe. Posting ini masih menceritakan bagaimana caranya mencuri lagu yang diputar melalui media flash player pada kebanyakan website. Dan korban kali ini telah mengaku bahwa nama aslinya adalah vox.com, sebuah situs tempat berkumpulnya blogger² yang menggunakan blog service dari vox.com.

Situs ini beralamatkan di…cari aja ndiri. Googling laah.. Sebelumnya, saya sendiri lagi ingin mencari sebuah lagu dari Muse pada album BH & R nya. Gosipnya seh ada bonus lagu dengan judul Glorious. Yodah, tanpa tunggu komando, langsung searching via paman Gogol (baca: Google) menggunakan teknik google hack.

1. Buka Google
2. Gunakan teknik Google Hack (tidak akan saya bahas kembali pada posting ini karena pernah saya bahas sebelumnya pada posting sebelumnya).
3. Setelah itu, pilih link yang kira-kira “bersahabat” supaya boleh dicuri lagunya. Pilihan jatuh kepada vox.com dengan sub-site lexcorpninja. Simak gambar berikut.

Wew….lagi-lagi dihadapkan dengan flash player. Pada posting yang terdahulu (situs korban ada di listen77.com), terdapat variabel soundpath pada player nya. Namun, bagaimana dengan player yang satu ini? Nyampe botak juga gak bakal ketemu tuh variabelnya. So? Give up?

No!! View the source, man! Kenapa harus lihat source nya? Pertama², server tentunya tidak ingin memiliki beban yang berlebihan ketika lagu diputar pada browser client. Maka dari itu, akan muncul alasan kedua yaitu local cache. Pada saat lagu yang diputar telah habis (selesai), ketika ingin diputar lagi, apakah komputer client harus me-request kembali lagu tersebut ke server? Tentu tidak! Karena sebenernya lagu tersebut telah tersimpan dengan indah dan rapih di komputer kita sendiri. Loh kok??? Gak percaya? Silahkan buktikan sendiri. Coba dengarkan lagunya sampai selesai setelah itu putar kembali. Perhatikan icon internetnya.. Apakah busy??

Oi, di mana tuh file lagu nya????? Ada, tapi dalam keadaan ter-enkripsi. Apa itu enkripsi? Berhubung topik kali ini tidak membahas itu, jadi terima saja pernyataan bahwa file tersebut memang telah di-download oleh komputer tanpa sepengetahuan kita.

Kembali ke persoalan, bagaimana caranya mencuri lagu pada player tersebut? Lihat kembali halaman source nya. Klik kanan pada browser dan pilih View Source. Kemudian tekan Ctrl+F dan cari embed src. . . . . . . . . . . . Toenk!!! Adakah?? Wew…tidak ada!! Lantas? Huhh… Situs ini bener-bener merepotkan maling lagu yang malas seperti saya.

Semangat hacker!! Pantang menyerah!! Kali ini cari dengan cara licik. Klik kanan area gambar speaker nya dan pilih Properties. Catat dengan pulpen lokasi address nya. Kemudian kembali ke source nya dan cari berdasarkan data yang sudah dicatat pake pulpen tadi. Dan kali ini pastikan mendarat dengan sempurna di (lihat gambar).

Hmmm, cukup pintar juga programmer web nya. Dia seolah-olah menipu pengguna bahwa gambar speaker tersebut adalah komponen player. Padahal tidak sama sekali. Komponen player nya ternyata cuma berdimensi 502 x 17 pixel. Trik yang bagus tapi ternyata masih lebih licik otak saya. Huhahahhaaha… Okay, mari kita liat script yang dipakai programmer tersebut.

<textarea class=”embed-code”><div><img src=”http://a7.vox.com/6a00c2251e73cff21900c2252c2867604a-500pi” alt=”Muse – Glorious (BH&R B-Side)” /></div> <object width=”502″ height=”17″> <param name=”movie” value=”http://aka-static.vox.com/.shared:v42.4:vox:id_id/flash/MusicPlayer.swf” /> <param name=”quality” value=”high” /> <param name=”wmode” value=”transparent” /> <param name=”allowscriptaccess” value=”never” /> <param name=”flashvars” value=”mediaURL=http://a7.vox.com/6a00c2251e73cff21900c2252c2867604a-mp3&mediaWidth=500&autostart=true” /> <embed type=”application/x-shockwave-flash” width=”502″ height=”17″ src=”http://aka-static.vox.com/.shared:v42.4:vox:id_id/flash/MusicPlayer.swf” quality=”high” wmode=”transparent” allowscriptaccess=”never” flashvars=”mediaURL=http://a7.vox.com/6a00c2251e73cff21900c2252c2867604a-mp3&mediaWidth=500&autostart=true” /> </object><br />

Tulisan yang saya mark dengan warna hitam tebal adalah lokasi gambar speaker. Sedangkan yang berwarna merah,,,,hmmm. Ini dia nih yang patut dicurigai. Okay, let’s crack out this stuff… Silahkan catat pake pulpen tulisan yang berwarna merah dan tulis ulang ke address bar browser kalian. Setelah tombol Enter di tekan… Bim Ba Lasim… JRENG JRENG…

Akhirnya trik si programmer web kalah juga dengan otak si pencuri maling (hee??) seperti sayahh…. Huehuehue…

Fiuhh.. Kira-kira tahun 2006 silam, saya pernah nulis artikel ini. Saya mengulas berita (kabar burung) yang menginformasikan bahwa jika Anda dalam keadaan diteror di mesin ATM (baca: ada abang-abang tukang siomay yg berencana nagih hutang ke anda setelah anda keluar dari mesin ATM ), maka masukkan PIN anda ke mesin ATM namun dengan sarat cara masukkinnya harus terbalik. Misalnya PIN ATM anda adalah 1254, maka baliklah sehingga menjadi 4521. Dengan segera polisi akan segera menuju ke mesin ATM tempat anda keringatan barusan (hee??).

Believe it? Or Not? Dari keterangannya, cukup masuk akal juga. Embedded System biasanya memiliki backdoor terhadap device nya. Dan trik PIN dibalik itu kelihatannya cukup meyakinkan. Ya sudah, lantas silahkan percaya dan lakukan hal tersebut suatu saat ketika dibutuhkan. Jangan salahkan diri anda atau siapa-siapa jika bantuan tak kunjung datang dan malah kartu anda di blokir setelah 10x (hiperbola mode ON) anda memasukkan PIN yang salah.

Why? Hello… Knock knock knock… Gak nyadar juga yahhh dari keterangan di atas? Keterangan tersebut benar-benar bodoh. Hayoo, buktikan IQ kita gak jongkok. Saya hitung 1 sampai 10, siapa yang bisa jawab dikasi balon… ???

Okay, saya beri 2 pendekatan supaya paham. Pendekatan pertama yaitu berdasarkan logika ajah dan yang kedua berdasarkan pengetahuan mengenai sistem IT dan enkripsi.

PENDEKATAN LOGIKA
Si Acong PIN ATM nya adalah 1254. Si Becong PIN ATM nya adalah 4521. Jika si Acong membalikkan PIN nya dan begitu juga dengan si Becong, apa yang terjadi? Bukankah PIN mereka ‘tertukar’? Lantas, siapa menjadi siapa?? Bagaimana mesin ATM bisa membedakan bahwa si Acong benar-benar Acong dan si Becong tidak menyamar menjadi Acong? Bingung? Sama…

PENDEKATAN IT
Yang namanya berbau finansial dan skala nya besar, pasti harus didukung dengan peran IT yang sangat signifikan. Lihat kartu kredit anda. Terdiri dari beberapa bagian yang penting. Misalnya nomor kartu kredit, scanner, CCV/CCV2/CID (International card such as Visa, MasterCard, etc), dan bahkan voto narcis anda. Pernah terbayangkan informasi apa yang tertera di kartu tersebut? Okay, skip this one. Ini berbau carder dan anda belum siap untuk mengetahui hal ini (serius!!).

Database! Okay, saya coba pendekatan IT menggunakan database. Saya beri contoh yang simpel. Watch this out!

Saya kira tabel di atas cukup jelas apa maknanya. Yang jadi pertanyaan adalah, kolom atau field mana yang patut anda curigai selain DOB (ada data unknown dan DOB itu adalah penting jadi tidak boleh kosong)? Bagi yang belum pernah mendesain sistem database dan membuat aplikasi atau programnya, wajar jika anda tidak tahu.

Yang patut dicurigai adalah kolom PIN. Langsung aja, apa anda percaya si Brad Jambret memiliki PIN 5541? Apakah PIN Becong sama dengan 4521? Hmm, okay. 1 skenario lagi. Ceritanya (cee lah) anda customer baru di perusahaan X. Lantas, setelah melewati beberapa tahap, pegawai mereka mengisi data-data yang berhubungan dengan finansial anda. Anggap aja lah seperti di atas (malas lah nampilin tabel yang bener²..hehehhe)

Lantas, di database mereka akan tampak menjadi

Pertanyaannya. Apakah sudah benar cara pengisian database nya? PIN saya benar-benar tersimpan dengan jelas, 1010. Ada yang aneh? Di tunggu dah jawabannya… Mau ke WC dulu yaakk…

…

PIN. Yup, itu yang aneh. Kenapa?

PIN tersebut layaknya password. Tidak boleh diketahui oleh siapapun kecuali anda (dan programmer sistemnya). Bahkan pegawai bank pun tidak bisa mengetahui password Anda walaupun mereka memiliki program banking. Jadi, jangan pernah jadi orang bego dengan menanyakan ke bank mengenai password atau pin anda. Mereka tidak tahu!

Loh!! Ngomong doank lo bacot gede! Kan dah jelas-jelas di tabelnya tersimpan PIN/Password customer. Masa gak tau? Heii domba!! Tabel di atas salah besar!! Jika saya yang mendesain sistem databasenya, maka setidaknya ada 3 kolom yang perlu saya tambahkan module security. Yaitu LastName, FirstName, dan PIN. Kolom-kolom tersebut harus dienkripsi terlebih dahulu sebelum disimpan secara permanen ke database. Yahh, paling banter 1 kolom deh, PIN doank.

Enkripsi? Ya. Melalui enkripsi, data asli akan diacak terlebih dahulu menggunakan rumus-rumus yang telah diakui secara Internasional sebelum disimpan ke tabel database. Misalnya, PIN anda 1234, maka setelah dienkripsi akan menjadi (misalnya) SDRERX213SFF8410500AAS!&. Nah, SDRERX213SFF8410500AAS!& ini lah yang akan disimpan ke database perusahaan. Perhatikan tabel berikut setelah mengalami enkripsi pada kolom PIN.

Terlihat perbedaannya? Data PIN pelanggan telah dienkripsi dan hasilnya disimpan ke database. Jadi, bukan data aslinya yang disimpan, melainkan data acak. Now it’s time for you to say….”OoOoOoOo….”. Hmm, okay. Lantas, darimana atau bagaimana caranya mengacak PIN yg hanya 4 digit menjadi sekumpulan karakter-karakter acak? Hehehe… Itu sih terdapat pada program nya. So, yang mengetahui password Anda di dunia ini hanya ada 3. Tuhan, Anda sendiri, dan tentunya…si programmer sistem tersebut. Dia lah yang menentukan jenis enkripsi serta metode-metode enkripsi apa yang dipakai pada sistem perusahaan.

Nah, bagi para carder pintar yang berhasil menjebol database finansial perusahaan, akan menghadapi 1 tantangan lagi. Yaitu memecahkan enkripsi yang dipakai, dikenal dengan Deskripsi. Bagaimana dengan yang bodoh? Carder yang bodoh akan percaya saja dengan data tersebut. Dia akan login ke sistem korban memakai salah satu ID yang ia dapatkan. Begitu juga dengan PIN/Password nya. Sudah ketebak, sistem akan menolak otorisasi login tersebut. Ya jelas lah, PIN si Acong kan 1254, bukan TTEC353542SDFE3210. Sistem hanya mengizinkan jika PIN yang dimasukkan SETELAH dienkripsi HARUS SAMA dengan yang di database.

Perhatikan skema berikut.

Jika dari awal login si Carder memasukkan PIN yang dia dapat dari database, maka PIN yang dia masukkan tersebut akan di enkripsi lagi (padahal sudah ter-enkripsi dari awal) dan dicocokkan ke tabel. Hasilnya? Tebak aja ndiri… Masa di kasi tau mulu si ah.. Hehe…

Encrypt dan Decrypt merupakan bagian dari ilmu Cryptography. Departemen hacking yang mengurusi masalah ini berada di divisi Cryptanalist.

So, kini saya yakin anda sudah paham mengenai isu PIN DIBALIK itu. Saya harap sih gda yang melakukannya karena benar-benar aneh. Paling-paling data yang sampai ke kepolisian seperti “pak, tolong pak… Ada rampok lagi nungging di sini”.

Nah, berhubung soal carder neh, kali ini saya berbicara sebagai programmer nya deh. Gimana cara nangkep si carder? Tentunya selain bisa menyerang, kita juga wajib bisa bertahan bukan? Cara simpel untuk menangkap para carder yang ceroboh adalah dengan memasang modul perangkap pada sistem login di atas. Namun, saya tidak bisa mengulasnya sekarang karena nanti sudah keluar dari topik utama. Tunggu aja ya..huehuehue. Yang penting kalian semua sudah mengerti bahwa isu PIN DIBALIK tersebut adalah donkey!!!

-sky73rx3 a.k.a sky73rx7-