Tentang Website Djakarta Warehouse Project Palsu

Beberapa saat lalu, di timeline Twitter saya muncul berita dari akun @detikcom yang berjudul “Polisi Tangkap Pemalsu Website Djakarta Warehouse Project“. Penasaran, saya coba baca artikelnya dan coba telusuri website palsu yang beralamat di http://dwp2016.com.

Singkat cerita, 1 pelaku tertangkap di Sulawesi Selatan dan konon 2 teman lainnya masih buron. Saya cek websitenya sendiripun, semua file web sudah terhapus dan menyisakan halaman “index of”

Setelah itu saya penasaran seperti apa rupa websitenya. Lalu saya telusuri cache-nya di Google.

Continue…

Menikmati Lampion Waisak Dari Puncak Bukit

Acara pelepasan ribuan lampion Waisak di Borobudur adalah salah satu event yang ditunggu tunggu. Selain karena event yang menarik juga pasti foto fotonya Instagram-able. Dan sudah dipastikan pelataran Borobudur akan dipadati ribuan pengunjung setiap moment Waisak ini. Karena sudah tau bakal ramai, saya mencari alternatif lain.

Puncak Bukit!

Borobudur

Tapi bukan Bukit Punthuk Setumbu yang baru saja lebih tersohor gara gara jadi salah satu destinasi di film AADC2. Ga kebayang deh untek-untekan nya Punthuk Setumbu kemarin saat Waisak :))

Saya memilih bukit di sebelahnya, Bukit Purwosari.

Bukit Purwosari

Bukit Purworsari atau yang sebelumnya dikenal sebagai Bukit Cemuris, berada disebelah Bukit Punthuk Setumbu atau persisnya ada di utaranya. Lokasi menuju kesana memang agak susah karena informasi yang sedikit yang didapat tentang lokasi ini. Sebenarnya cukup menuju arah Gereja Burung lalu terus saja, dan jangan lupa aktifkan GPS (Gunakan Penduduk Setempat). Saya pun sempat kesasar, padahal mata kuliah pemetaan dulu dapet A lho 😐

Oh ya, kalau berangkat saat malam hari kudu hati hati, apalagi setelah hujan turun. Jalanan yang sebagian besar masih berupa tanah dipadatkan, cukup licin. Selain itu yang kanan kiri kebun yang nyaris mirip hutan.

Pertama yang harus kamu lakukan untuk menuju ke Bukit Purwosari adalah menuju Gereja Burung, lalu baru tanya penduduk setempat arah menuju Bukit Purwosari. Bahkan, beberapa penduduk setempat pun yang saya tanyai tidak tau apa itu Bukit Cemuris atau Bukit Purwosari.

Konon ada 3 rute menuju bukit ini, melalui gerbang Bukit Purwosari, melalui Gereja Burung dan melalui jalur Bukit Punthuk Setumbu.

5000 Lampion

 

 

Tahun ini konon panitia Waisak menerbangkan 5000 lampion yang termasuk dalam rangkaian acara Waisak di Borobudur. Kalau saya amati sih, memang ada kayaknya 5000 lampion yang diterbangkan. Sayang sekali, ketika lampion mulai diterbangkan, kabut cukup tebal menutupi disekitar Borobudur.

Alternatif Sunrise Borobudur

Borobudur Sunrise dan Punthuk Setumbu sudah terkenal seantero Indonesia sebagai spot untuk menikmati sunrise di Borobudur. Apalagi sejak munculnya film AADC2, tambah mbludag aja Punthuk Setumbu. Bukit Purwosari ini bisa sebagai salah satu alternatifnya. Yang mana lokasinya jauh relatif sepi dibandingkan 2 tempat tersebut.

 

Sandera Domain

Sebut saja Bunga, seorang relasi yang sedang bermasalah dengan domainnya. Jadi ceritanya, Bunga lupa untuk perpanjang domain blog nya, yang mana domain ini di pointing ke blogspot milik dia. Usut punya usut, saat beli domain di penyedia domain dan hosting — sebut saja N, Bunga disuruh untuk mendaftar free hosting di idhostinger. Singkat cerita, ketika akan perpanjang domain di penyedia N, Bunga di paksa untuk juga membeli hosting di penyedia N. Sedangkan Bunga tidak menggunakan hosting karena blognya di pointing ke blogpost. Alasan dari penyedia N, katanya hosting digunakan untuk pointing ke blogpost.

Sedangkan sepemahaman saya, pointing domain ke blogpost (custom domain) memerlukan A Record dan CNAME, yang mana bisa di pasang di panel domain maupun panel hosting. Yang saya heran, kenapa harus dipaksa membeli hosting, jika melalui panel domain pun bisa memasang A Record dan CNAME nya.

Akhirnya saya arahkan Bunga untuk menjelaskan ke CS N bahwa beli domain saja harusnya boleh, tanpa dipaksa membeli hostingnya juga. Meskipun pada akhirnya CS nya membalas dengan ketus dan mengiyakan permintaan Bunga, hanya saja ternyata domain Bunga sudah melewati masa tenggang, dan harus menunggu 3 bulan lamanya.

Saat saya meminta Bunga untuk menanyakan panel domainnya kepada CS, CS pun menjawab bahwa panel domain ini ada jika telah membeli hosting terlebih dulu. Ini Lucu :))

“Pembebasan Lahan”

Selama ini, saya cukup sering di minta untuk melakukan “pembebasan lahan” dari para klien maupun teman, dikarenakan pengembang atau pengelola websitenya kabur, atau menahan domain serta hosting yang berujung minta bayaran dan sebagainya. Sesungguhnya, domain dan hosting ataupun akun lain yang terkait dengan kontrak pembuatan website, adalah milik klien dan seharusnya di serahkan ke klien. Dan entah kenapa cukup banyak pengembang yang nakal seperti ini.

Jadi buat para pemilik website, hendaklah meminta panel domain dan hosting kepada developer atau pengembang websitenya, karena itu adalah hak pemilik website.

Perkara Startup Dan Celah Keamanannya

penetration-testing

Beberapa hari lalu sempat muncul kehebohan di ranah media online yang berasal tulisan dari Yohanes Nugroho tentang bug Gojek yang beliau temukan. Jauh sebelum tulisan tersebut muncul, desas desus kabar burung yang saya dengar, API Gojek memang bocor. Kisah ini datang dari teman teman lama yang juga berkecimpung di dunia security, walaupun saya sendiri sampai saat ini belum mencoba melakukan penetrasi testing ke aplikasi Gojek.

Pro Kontra

Yang saya temukan dari komentar beberapa kawan–tentunya di kalangan IT, ada yang menyesalkan kenapa malah di publish secara umum, karena mungkin ada benefit yang di dapat dari celah keamanan Gojek ini. Di lain sisi, justru menyayangkan kenapa Gojek ini terkesan kurang pengalaman di bidang IT, hingga sistem keamanannya bolong sebesar itu, dan justru sampai meng-hire orang negeri sana sebagai developer. Yang konon developer dari negeri tersebut mempunyai track record asal jadi dalam pengerjaan 😀

Terkait tulisan Jim yang menanggapi tulisan Yohanes, tentang pengembang (dalam hal ini perusahaan startup) yang terkesan kurang menanggapi dan peduli terhadap keamanan sistemnya. Sekitar seminggu lalu saya pernah berkonsultasi dengan seorang kawan senior yang juga bermain di security system, dan komentar beliau “Semuanya, akan sadar after incident. Before incident mah ndak onok”. Masih sedikitnya perusahaan yang belum paham mengenai manfaat penetration testing, mengakibatkan banyak startup yang tidak membudget-kan buat security dan terkesan meng-anak-tiri-kan permasalahan vital ini.

Saya sendiri baru beberapa bulan ini mencoba untuk terjun kembali ke dunia security, itupun karna penasaran dengan tingkat security startup di Indonesia yang jumlahnya bejibun ini. Dan justru di awal mula saya mencoba kembali, justru banyak menangkap beberapa ikan paus 😀

Melaporkan Bug

Beberapa startup yang celahnya saya temukan, saya coba melaporkannya. Walaupun saya tidak menjabarkan detailnya, tetapi clue-nya tetap saya berikan. Beberapa dari mereka menanggapi dengan baik, beberapa lainnya belum merespon. Beberapa minggu sebelum saya menemukan blog Yohanes Nugroho, diskusi perihal bug reporting dan bagaimana mempublish bug yang sudah ditutup sudah pernah saya obrolkan dengan mas Rony. Intinya bagaimana mempublish bug yang sudah ditutup dengan etika yang baik dan tanpa membeberkan detail yang sekiranya membahayakan sistem tersebut. Dan mungkin di lain waktu akan saya coba mereview satu persatu celah keamanan di beberapa startup di Indonesia, yang tentunya sudah saya laporkan terlebih dahulu.

Review Infinix Hot 2 X510 Google Android One

26 November lalu saya membeli Infinix Hot 2 X510 Google Android One 16GB di Lazada. Dan dalam 4 hari, barang sudah diterima. Sebelum memantapkan pilihan pada Infinix Hot 2, saya mencoba compare dengan Asus Zenfone 4C ZC451CG 8 GB yang dari sisi harga mirip.

Sebelum ini, jajaran Android One dihuni oleh Evercross, Mito dan Nexian. Sedangkan perbedaan pada Infinix Hot 2 yang sangat menonjol adalah dari sisi RAM yang menjadi 2GB dibanding dengan merk sebelumnya. Lalu resolusi layar dari qHD menjadi HD 720p, kemudian disusul kapasitas memori internal dari 8GB menjadi 16GB dengan dukungan MicroSD sampai 32GB.

Infinix Hot 2 X510 Google Android One ini menggunakan chipset MediaTek MT6582 dengan kecepatan processor sebesar Quad Core 1.3 Ghz, sedangkan Asus Zenfone 4C ZC451CG menggunakan Intel Atom Z2520. Kemudian saya coba compare dari sisi chipsetnya disini. Akhirnya dari beberapa pertimbangan atas dasar kebutuhan pengguna (Dual SIM), saya memilih Infinix Hot 2 X510 Google Android One.

Sekedar Review : MatahariMall.com

mataharimall

MatahariMall.com adalah salah satu market place di Indonesia dibawah naungan Lippo Group yang konon bakal menjadi #1 eCommerce website di Indonesia — begitulah kalimat yang sering muncul di media promosinya. Saya termasuk salah satu yang berharap harap cemas menanti launching market place ini dengan rasa penasaran. Bagaimana tidak, Matahari sendiri secara offline sudah mempunyai market place yang sangat luar biasa, bagaimana jika versi onlinenya? Dan saya juga yang termasuk mbatin “iki ketoke bakal sangar”.

Beberapa hari lalu, untuk kesekian kalinya saya menelusuri alamat mataharimall.com dan mencoba melakukan pemesanan disana, belum ada yang salah dengan sistemnya. Iseng saya cek source melalui brower, baru tau kalau engine-nya menggunakan Drupal. Dengan nilai investasi yang konon $500 juta, dan dibanding dengan engine Drupal, sepertinya sangat jauh dari ekspektasi saya.

Sempat saya telusuri di Google, baru baru ini MatahariMall ini sedang membuka lowongan senior PHP developer, yang requirementnya adalah yang berpengalaman menggunakan Magento / Symphony. Magento sendiri adalah salah satu CMS E-Commerce yang berbasis Zend Framework yang sangat populer dan juga tersedia open source-nya. Menurut saya, penggunaan Drupal sebagai engine adalah keputusan yang terburu buru. Buru buru kudu cepat launching 😀

Dan sepertinya, MatahariMall sedang mengembangkan MORIS, atau Mataharimall Online Retail Information System yang sebelumnya beralamat di moris.mataharimall.net/login dan saat ini beralamat di seller.mataharimall.com/login. Kemudian saya lihat lagi, MatahariMall adalah salah satu portfolio dari Accomerce, dan memang menurut kabar burung yang saya dapat, MatahariMall memang akan menyerahkan pengembangannya ke Accomerce.

Awal tahun 2000 kalau engga salah, Lippo pernah membuat lippomall.com atau lipposhop.com (?) dan gagal, apa mungkin bakal mengulang kesalahan di masa lalu? Walaupun saat ini MatahariMall membanggakan dengan konsep O2O (Online to Offline), tapi jangan lupa, Mitra Adi Perkasa sekarang ini juga sedangan membangun MapeMall yang konon bakal jadi kompetitornya MatahariMall.

Satu lagi, buat MatahariMall, jangan lupain masalah keamanan website ya, karena sudah ada sekitar 7200an transaksi, jangan cuma kenceng di promo aja 😀 #serius #kode

Penipuan Berkedok Fake Login, Masih Kah?

2 hari lalu, seorang teman menelpon dan menceritakan jika kartu kreditnya baru saja digunakan oleh orang lain untuk transaksi online. Usut punya usut akhirnya ketahuan dia pernah mendapat email scam berisi informasi bahwa telah memenangkan hadiah iPhone dari Apple. Ga perlu diragukan lagi kalau itu adalah email penipuan yang berujung Phising.

Isi email scam

Lalu saya cek email pengirimnya menggunakan domain my.apple.co.id.ltd dan ga perlu saya cek lagi kalau itu adalah email palsu. Siapapun bisa mengirim email dengan alamat email apapun,  seperti email [email protected] :))

Email pengirim

Kemudian saya telusuri lagi link yang ada di email tersebut dan mengarah ke halaman login Apple, sayangnya saat saya cek kembali, halaman tersebut sudah dihapus

Halaman fake login

Disitu terlihat domain utama smk-alazhar.sch.id, kemudian langsung saya cek melalui whois domain dan hasilnya adalah

Informasi domain

Nah, selanjutnya terserah mau dibawa kemana. Saya masih belum tertarik mencari informasi lebih lanjut

Telkom dan IndiHome : Raksasa Digital yang Kehilangan Arah dan Kebingungan

Ditengah gemuruh revolusi digital yang terus melaju, Telkom Indonesia seperti raksasa yang limbung dan berjalan terhuyung-huyung.

Setelah layanan tv kabel Telkomvision-nya dijual ke Trans Group, lalu Flexy-nya lenyap (yang hingga kini belum juga tuntas mengurus migrasinya seluruh pelanggannya), kini Telkom juga akhirnya memutuskan untuk “membunuh” brand Speedy.

Kisah muram seperti itu mungkin wajah dari kegagalan beradaptasi dengan revolusi bisnis digital yang berubah dengan cepat. Kisah Telkom barangkali juga memberikan pelajaran krusial tentang change management.

Beruntung beberapa tahun silam, Telkom mendirikan anak perusahaan bernama Telkomsel. Sebagai informasi, jumlah karyawan Telkomsel hanya sekitar 20% jumlah karyawan Telkom, namun memberikan sumbangan profit hingga lebih dari 90% total profit Telkom. Gap produktivitas yang terasa begitu kelam.

Kalau saja tidak punya saham di Telkomsel, mungkin induk perusahaan Telkom sebaiknya diberikan tempat yang lebih layak : di museum.

Selain kegagalan Telkomvision dan Flexy, Telkom dulu juga pernah merilis usaha e-commerce bernama Plasa.com, namun juga gagal total.

Kini mereka mau mengulangi lagi dengan mendirikan Blanja.com (sebuah online marketplace). Namun gaungnya tidak kedengaran, jauh dibawah gema Tokopedia dan Bukalapak.com (dua start up ini hanya didirikan beberapa gelintir orang, bandingkan dengan ribuan pegawai Telkom).

Kini mereka merilis sebuah ambisi besar, dengan melaunch IndiHome – paket triple play, maksudnya gabungan internet kecepatan tinggi dengan fiber optic (hingga 100 Mbps), layanan TV kabel, dan layanan telpon tetap (btw, siapa yang sekarang masih pake telpon rumah?).

Manajemen Telkom memutuskan untuk “membunuh” brand Speedy, dan menggantikannya dengan IndiHome. Targetnya : jutaan rumah tangga di Indonesia mau berlangganan IndiHome.

Namun pengalaman personal saya saat mau mendaftar IndiHome menunjukkan sejumlah persoalan serius tentang “managing business”.

Pertama, web Indihome baru saja dirilis, dan tidak ada informasi harga didalamnya. Aneh, info sepenting ini tidak muncul di web mereka.

Digital marketing strategy IndiHome juga relatif buruk. Kampanye terpadu dalam semua kanal digital (mulai dari Twitter, Facebook, Youtube, hingga Mobile Friendly Web) nyaris tidak terlihat. Padahal segmen konsumen yang merek bidik mangkalnya di social media channel tersebut.

Problem kedua yang saya temui : saat mau register, visitor malah dibuang ke web telkomShop yang TIDAK mobile friendly. Ajaib perusahaan sekelas Telkom, membuat web yang mobile friendly saja tidak sanggup. Sudah tidak mobile friendly, ribet lagi. Muter-muter.

Saat mau pasang IndiHome, dibilang tarifnya 299 ribu per bulan untuk akses internet kecepatan 10 MBps plus gratis langganan TV kabel. Harga yang menarik, sebab ini harga promosi (harga normalnya 450 ribu. Kalau harga normal menjadi kurang menarik).

Namun ketika akhirnya mau membayar, petugas penagihan bilang bayarnya tetap Rp 450 ribu/bulan, tidak ada harga promosi. Mereka bilang tidak ada komunikasi dengan bagian marketing.

Oalah, mas, mas, sampeyan cocoknya jualan batu akik saja mas. Bukan jualan layanan digital broadband.

Apa pelajaran dari kegagalan demi kegagalan dan layanan yang relatif buruk tersebut?

Telkom mungkin menderita sindrom Big BUMN Company (sama seperti BUMN lain yang berada pada industri yang kurang kompetitif, seperti PLN, KAI, Jasa Marga atau Angkasa Pura).

Sindrom itu adalah : lamban, kurang lincah, tidak kreatif, terlalu birokratis dan acap koordinasi internal antar divisinya buruk.

Mungkin itu juga karena mayoritas manajer senior di Telkom rata-rata sudah berusia diatas 45 tahun (tua banget dalam ukuran industri digital yang dinamis). Sama seperti Sony – yang didominasi karyawan tua – maka iklim kreativitas yang segar pelan-pelan surut, dan lamban bergerak.

Kalau saja, seluruh posisi kunci Telkom dipegang oleh anak muda usia 25-an tahun yang kreatif dan paham benar dengan dunia digital, barangkali nasib mereka akan menjadi lebih baik. Namun tentu saja ini hanya angan-angan belaka.

IndiHome adalah pertaruhan besar bagi Telkom. Kegagalan produk ini bisa membuat masa depan mereka kian suram dan tidak relevan.

Either you change or you die. Tanpa perombakan besar-besaran dalam cara mereka memasarkan IndiHome, Telkom bisa benar-benar terkubur pingsan dalam kesunyian.

Disadur secara utuh dari http://strategimanajemen.net/2015/03/16/telkom-dan-indihome-raksasa-digital-yang-kehilangan-arah/

Zero Day XSS Vulnerability in WordPress 4.2

## Overview
Current versions of WordPress are vulnerable to a stored XSS.  An unauthenticated attacker can inject JavaScript in
WordPress comments. The script is triggered when the comment is viewed.

If triggered by a logged-in administrator, under default settings the attacker can leverage the vulnerability to
execute arbitrary code on the server via the plugin and theme editors.

Alternatively the attacker could change the administrator’s password, create new administrator accounts,
or do whatever else the currently logged-in administrator can do on the target system.

## Details
If the comment text is long enough, it will be truncated when inserted in the database.
The MySQL TEXT type size limit is 64 kilobytes, so the comment has to be quite long.

The truncation results in malformed HTML generated on the page.
The attacker can supply any attributes in the allowed HTML tags, in the same way
as with the two recently published stored XSS vulnerabilities affecting the WordPress core.

The vulnerability bears a similarity to the one reported by Cedric Van Bockhaven in
2014 (patched this week, after 14 months). Instead of using an invalid character to truncate
the comment, this time an excessively long comment is used for the same effect.

In these two cases, the injected JavaScript apparently can’t be triggered in the
administrative Dashboard so these exploits seem to require getting around comment
moderation e.g. by posting one harmless comment first.

The similar vulnerability released by Klikki in November 2014 could be exploited in the
administrative Dashboard while the comment is still in the moderation queue. Some
exploit attempts of this have been recently reported in the wild.

## Proof of Concept
Enter as a comment text:

<a title=’x onmouseover=alert(unescape(/hello%20world/.source)) style=position:absolute;left:0;top:0;width:5000px;height:5000px  AAAAAAAAAAAA…[64 kb]..AAA’></a>

Confirmed vulnerable: WordPress 4.2, 4.1.2, 4.1.1, 3.9.3.
Tested with MySQL versions 5.1.53 and 5.5.41.

Demo

LA Light Meet The Labels 2014

13 Desember 2014, program Meet the Labels telah rampung dilaksanakan. Puncak Kegiatan yang berlokasi di Yogyakarta dan Solo ini diikuti oleh 12 peserta yang telah tersaring dari ribuan peserta audisi dan bersaing untuk final .
Lolos tahap pertama dari sekian banyak pendaftar, tidak membuat kompetisi melonggar persaingannya, justru semakin seru karena keduabelas finalis diwajibkan untuk mengikuti tantangan “Siap Jadi Musisi Beken”, sebelum berangkat ke Yogyakarta guna mengikuti final.
Tantangan “Siap jadi Musisi Beken” yakni, finalis harus mendaftarkan satu akun twitter sebagai perwakilan dari tim/duo/solois , yang selanjutnya akun tersebut mengabarkan tentang diri masing-masing dan menanti dukungan rekan-rekan dari banyaknya jumlah retweet . Pemenang tantangan akan diumumkan pada 12 Desember 2014 .

f31cd73de33d7e871b3c953f6953d2b1

Continue…