Kebocoran Data Pribadi Skala Besar, Mengapa? dan Apa yang harus dilakukan?

Jakarta, 22 Januari 2019. www.ignmantra.id, Kebocoran data publik dalam skala besar kembali terjadi. Kali ini, lebih dari 6.5 Miliar account pribadi bocor di dunia internet.

Koleksi data pribadi yang disebut ‘Collection #1’ ini diunggah di layanan cloud mega dan pertama kali diungkap oleh peneliti keamanan siber serta pendiri situs Have I Been Pwned, Troy Hunt. Dalam koleksi ini terdapat 772,904,991 alamat email dan 21,222,975 password.

Data-data yang berada dalam koleksi ini dikumpulkan dalam jangka waktu yang cukup lama dan berasal dari lebih dari 2.000 sumber yang berbeda. Beberapa alamat email dan password dalam koleksi tersebut berasal dari tahun 2008.

http://www.ignmantra.id/2019/01/kebocoran-data-pribadi-skala-besar.html

Bila membaca ulasannya sudah 772,904,991 Collection #1 accounts yang terdeteksi pwned, artinya sudah hampir 800 juta terdeteksi emailnya bocor, bocor dalam arti banyak hal sbb :

  1. Bocor karena email id dan password sudah jatuh ke tangan pihak lain.
  2. Bocor karena email id sudah masuk ke dalam daftar email spam pihak lain.
  3. Bocor karena email id sudah menjadi lahan email collection di business pihak lain.

Sedangkan situs https://haveibeenpwned.com/ menjadi sangat popular saat ini karena banyak orang ingin check email id sudah bocor atau belum, dan ternyata dalam sisi aplikasi bila seorang user ingin check email id nya di https://haveibeenpwned.com/ maka email tersebut dapat disimpan oleh provider aplikasi https://haveibeenpwned.com/ ke data base mereka. Hal ini menjadi bertambah banyaknya kebocoran di no. 2 dan no. 3, jadi bocor belum tentu email sudah di breach tetapi email id kita terindikasi masuk dalam list “pwned” database mereka.

Bagaimana menghindari hal ini ?

  1. Tidak mencoba memasukkan email id kita di https://haveibeenpwned.com/
  2. Sering ganti password email id anda karena sangat rawan dengan email password yang itu-itu saja untuk dijebol crackers.
  3. Sebaiknya menggunakan 2 factor authentication bila menggunakan perangkat bukan milik sendiri, seperti konfirmasi ke mobile phone dan image.
  4. Sebaiknya menggunakan one time password di web tersebut, agar selalu berganti password yang sedang digunakan.

IGN Mantra

Senior Cyber Security Analyst, Perbanas Institute




Hoax Sangat Berbahaya

*HOAX Berita Palsu yang berbahaya dan Tips Aman menghindarinya.*

HOAX itu definisi nya kan berita burung atau berita palsu, berita yang tidak benar tapi seolah-olah dibuat benar, berita ini bisa berupa berita lisan atau berita tulis.

Berita tulis juga macam-macam bentuknya, bisa media web, photo/meme bahkan selebaran cetak bisa juga dijadikan berita Hoax.

Dampak yang terjadi bisa sangat besar, bisa secara ekonomi, politik dan keamanan, dapat membahayakan negara bila HOAX yang diterbitkan tentang keamanan negara, maka negara lain akan mengambil untung/peluang dengan berita tersebut.

Cyber War bisa terjadi bila masing-masing negara mendapat berita HOAX dari provokator,
Negara A akan menyerang duluan Negara B karena mendengar berita HOAX negara B akan menyerang negara A, bila sudah begini akan repot jadinya. Atau bisa saja politisi A akan gempur B bila mendengar B akan gempur politisi A.

Nah bagaimana menyikapinya, tentu butuh waktu, karena harus check and recheck kebenerannya, check dulu sumber beritanya, bisa dari orang atau organisasi yang menerbitkan berita tersebut.

*Cara aman terhindar dari HOAX :*

1. Tidak mudah terpancing, biasanya judul HOAX sangat provokatif, misal “Presiden X sakit keras…”
2. Biasanya penerbitnya tidak jelas, alias abal2, misal : media web, abc, tidak mungkin sekelas kompas gramedia menerbitkan berita HOAX yang tiba-tiba, pasti akan melewati filter yang panjang.
3. Cross check kepada media lain, apa betul berita tersebut ? biasanya ini disebut mencari fakta kebenaran.
4. Bila berupa photo/meme, pastikan dari sumber yang asli, bukan rekasaya photo digital, memang tidak mudah tapi harus hati2 dengan berita photo.
5. Check legitimasi berita, siapa wartawan dan medianya, bahkan sumbernya, bila Presiden dan pejabat negara pasti berita ini bukan HOAX.

IGN Mantra,
Dosen Senior, Ka.Lab Network & Security,
Perbanas Institute.




Pemerintah AS Memperingatkan Malware APT Korea Utara

Seperti yang dilansir oleh majalah security terkemuka (Info Security Group),

US-CERT telah merilis peringatan teknis terbaru yakni dua bagian malware yang digunakan untuk Advance Persistent Threat oleh pemerintah Korea Utara.

Peringatan bersama berasal dari Departemen Keamanan Dalam Negeri/Department Homeland Security(DHS), USA dan Biro Investigasi Federal (FBI) yang mengacu kepada kelompok APT produktif yang dikenal sebagai Hidden Cobra.

Dua malware yang digunakan adalah: trojan akses jarak jauh, Remote Access Trojan (RAT) “Joanap” dan worm SMB “Brambul”.

“Menurut laporan pihak ketiga yang terpercaya, para pelaku Hidden Cobra kemungkinan telah menggunakan malware “Joanap” dan “Brambul” setidaknya sejak 2009 yang menargetkan beberapa korban secara global di Amerika Serikat – termasuk media, aerospace, keuangan, dan sektor infrastruktur penting,” klaim US-CERT.

Pemerintah AS telah menemukan “Joanap” pada 87 node jaringan yang dikompromikan/menyerang di 17 negara termasuk China, Spanyol, Swedia, India, Brasil dan Iran.

URL, https://www.infosecurity-magazine.com/news/us-government-warns-north-korean/

Phil Muncaster UK / EMEA News Reporter , Infosecurity Magazine




Apakah data Facebook bisa digunakan untuk memenangkan Pilpres & Pilkada?

Beberapa hari lalu tersiar kabar bahwa data facebook bocor dan dapat digunakan untuk pemenangan pemilu presiden USA Donald Trump seperti yang dilansir beberapa media terkemuka di USA.

Mengapa bisa demikian ? Berkat salah seorang whistle blower di Christopher Wylie, mantan pegawai Cambridge Analytica yang bekerja sama dengan tim kampanye Donald Trump membocorkan skandal ini.

 

Jawaban dari pertanyaan diatas Apakah data Facebook bisa digunakan untuk memenangkan Pilpres & Pilkada ? bisa ya bisa tidak.

Bisa Ya, bila populasi pengguna facebook Indonesia yang besar sama dengan jumlah pemilik suara yang akan ikut pilkada dan pilpres.

Bisa Tidak, bila populasi pengguna facebook Indonesia bukan pemilik suara seperti yang diperkirakan.

Nah apa betul data Facebook bisa digunakan ? jawaban, bisa saja digunakan bila si pemilik data memiliki profile lengkap terhadap user facebook, sebagai contoh, untuk menjual camera seharga 50 juta rupiah tidak mudah di Indonesia, tetapi bila si sales memiliki profile para user facebook yang suka kamera digital dan mewah, berorientasi hasil yang maksimal, merupakan para photographer professional dan amatir, para blogger facebook,  instagram kamera dan photography, para penikmat photography. Tidak sulit bagi sales tersebut untuk menawarkan dan memberikan demo hasil jepretan kamera 50jt tersebut dan menjualnya.

Kembali kepada data facebook yang dapat digunakan untuk memetakan profile para pemilik suara untuk Pilpres dan Pilkada dapat dijadikan amunisi untuk mendulang suara pemilihnya dan sekaligus memenangkannya.

URL : https://inet.detik.com/cyberlife/d-3927407/facebook-dan-mark-zuckerberg-dihantam-krisis?_ga=2.86273434.360711365.1521785753-1097097774.1521785753




Gaji Spesialis Cyber Security naik 7% di 2018

Gaji spesialis cybersecurity meningkat 7% tahun ini, menurut Survei Gaji Robert Walters 2018.

Berdasarkan survei ini, spesialis keamanan cyber (cyber security) merupakan upah tertinggi di kalangan para profesional Teknologi Informasi, konsultan perekrutan (head hunter) mengklaim bahwa ada peningkatan peran profesi Teknologi Informasi diperkirakan rata-rata 2%.

Para pengembang aplikasi (developer) dan spesialis infrastruktur juga mendapatkan keuntungan dari kenaikan upah rata-rata 3% di tahun 2018.

Mengapa hal ini terjadi (spesialis keamanan cyber) ? karena saat ini profesi spesialis keamanan cyber sangat diminati, kesenjangan ketrampilan cyber yang terus melebar mengakibatkan kekurangan 1.8 juta profesional pada tahun 2022 (menurut studi ketahanan informasi global, ISC2).

https://www.infosecurity-magazine.com/news/cybersecurity-salaries-to-increase/

Berapakah Gaji seorang spesialis keamanan cyber ? di USA range gaji spesialis ini antara 74.000 USD sampai dengan 123.000 USD atau rata-rata 98.000 USD, bila naik 7% maka rata-rata gaji seorang spesialis keamanan cyber mencapai 104.860 USD atau setara dengan (1USD=13.500IDR) 1.415.610 USD per tahun. Fantastis ? memang gaji profesional IT di dunia sangat fantastis.

https://www.ziprecruiter.com/s/cyber-security-specialist-salary




Perbanas Sebut BSSN Berpotensi Tumpang Tindih dengan Lembaga Lain

KedaiPena.Com – Pengamat Keamanan Informasi dan Cyber Security dari Institut Keuangan, Perbankan dan Informatika (IKPIA) Perbanas, I Gusti Nyoman Mantra mengatakan, bahwa tugas Badan Siber dan Sandi Nasional (BSSN) berpotensi tumpang tindih dengan lembaga-lembaga lain yang berhubungan dengan siber.

Semisal dengan Kementerian Komunikasi dan Informasi (Kemkominfo) yang baru saja membeli program mesin ‘konten negatif” seharga Rp 200 miliar.

“Lalu juga pekerjaan memburu ujaran kebencian juga akan bersinggungan Kepolisian RI. Memburu penjahat digital (cyber criminal) hari ini sudah dilakukan oleh Unit Cyber Crimes Mabes Polri,” ujar dia kepada KedaiPena.Com, Selasa (9/1/2018).

Perbanas Sebut BSSN Berpotensi Tumpang Tindih dengan Lembaga Lain

 




Tumpang Tindih Tugas Badan Siber dengan Lembaga Lain

Jakarta

lanjut di https://inet.detik.com/security/d-3805210/tumpang-tindih-tugas-badan-siber-dengan-lembaga-lain




10 Mitos IT Security di benak Pelaku IT Enterprise, Mitos #4

Oleh : *IGN Mantra

IT Security tepatnya sebagai keamanan teknologi informasi saat ini didengungkan oleh semua kalangan, baik pemerintahan, swasta dan dunia akademis, 3 aspek ini seperti segitiga emas keterkaitan antara pemerintah-swasta-akademis. Saat ini semua aspek kehidupan menggunakan IT sebagai infrastruktur baik prasarana dan sarana untuk menunjang bisnis, selain itu proteksi terhadap IT (IT security) digunakan juga oleh beberapa pelaku industri, ada yang serius ada yang sekedarnya saja, sebagai pelengkap di permukaan saja.

Berikut ini Penulis akan mengungkapkan 10 Mitos tentang IT Security di benak para pelaku IT di perusahaan. Kita akan melihat benar tidaknya mitos tersebut, bisa jadi ada beberapa mitos masih ada di kepala kita masing-masing, karena sudah bertahun-tahun kita lakukan tanpa sadar seperti gerakan reflek di dalam olahraga. Begitu juga dengan mitos, ada yang telah kita kerjakan bertahun-tahun bahkan mungkin belasan tahun. Seyogyanya kita akan benahi pelan-pelan mana yang benar dan mana yang salah. Kecenderungan user/karyawan kita masih perlu diawasi oleh atasan agar tidak melenceng dari berbagai hal dalam penerapan IT Security policy di dalam pekerjaannya, berikut 10 mitos IT security tersebut.

Mitos #4 : Budget IT Security enterprise 10% cukuplah.

Para senior management dan para pengambil keputusan memberikan alokasi budget rata-rata 10% saja untuk IT security dari budget departemen IT secara keseluruhan, cukuplah untuk melakukan pertahanan keamanan informasi di dalam perusahaan.

Fakta #4 : Bisa dibayangkan budget IT Security 10% saja dari departemen IT secara keseluruhan, bila budget IT 1 M maka IT Security 100 juta, permasalahan utama sebenarnya bukan budget semata, tetapi keterlibatan pimpinan untuk sama-sama aware terhadap permasalahan keamanan informasi, jangan hanya bisa marah bila sudah terjadi incident keamanan, tetapi bersama-sama memikirkan system keamanan untuk keamanan bersama, perlu SDM yang mumpuni untuk dapat mengamankan system secara keseluruhan, tambahan SDM baik professional maupun outsourcing sangat diperlukan agar system keamanan terhindar dari incident keamanan yang tidak kita inginkan dan akhirnya akan merugikan kita bersama.




10 Mitos IT Security di benak Pelaku IT Enterprise, Mitos #3

Oleh : *IGN Mantra

IT Security tepatnya sebagai keamanan teknologi informasi saat ini didengungkan oleh semua kalangan, baik pemerintahan, swasta dan dunia akademis, 3 aspek ini seperti segitiga emas keterkaitan antara pemerintah-swasta-akademis. Saat ini semua aspek kehidupan menggunakan IT sebagai infrastruktur baik prasarana dan sarana untuk menunjang bisnis, selain itu proteksi terhadap IT (IT security) digunakan juga oleh beberapa pelaku industri, ada yang serius ada yang sekedarnya saja, sebagai pelengkap di permukaan saja.

Berikut ini Penulis akan mengungkapkan 10 Mitos tentang IT Security di benak para pelaku IT di perusahaan. Kita akan melihat benar tidaknya mitos tersebut, bisa jadi ada beberapa mitos masih ada di kepala kita masing-masing, karena sudah bertahun-tahun kita lakukan tanpa sadar seperti gerakan reflek di dalam olahraga. Begitu juga dengan mitos, ada yang telah kita kerjakan bertahun-tahun bahkan mungkin belasan tahun. Seyogyanya kita akan benahi pelan-pelan mana yang benar dan mana yang salah. Kecenderungan user/karyawan kita masih perlu diawasi oleh atasan agar tidak melenceng dari berbagai hal dalam penerapan IT Security policy di dalam pekerjaannya, berikut 10 mitos IT security tersebut.

Mitos #3 : Tenang, kita aman-aman saja kok di dalam Enterprise ini.

Banyak user dan karyawan di sebuah enterprise bergantung sepenuhnya kepada system keamanan perusahaan, sehingga ada anggapan kita aman-aman saja kok dan lakukan pekerjaaan hari ini. Fenomena ini sangat berbahaya karena user dininabobokan dengan anggapan keamanan di perusahaan ini aman-aman saja, sehingga menjadi teledor dan tidak tahu bahwa perusahaan sedang dilubangi oleh pihak lain.

Fakta #3  : Kompetitor dan cracker berusaha keras mencari celah keamanan (vulnerability) untuk melubangi system keamanan, tidak hari ini, akan mengulangi esok hari, tidak dapat esok hari maka akan berlanjut minggu depan dan seterusnya, sehingga fenomena aman akan membuat senang dan gigih para competitor untuk menembus system, diperlukan upgrade terus menerus untuk aware terhadap system keamanan secara keseluruhan, tidak ada kata aman 100%, harus ada monitoring, evaluasi dan update sehingga user akan selalu aware terhadap kondisi keamanan enterprise terkini.

 

Reference:

The Basics of Information Security,
Second Edition: Understanding the Fundamentals of InfoSec in Theory and Practice
2nd Edition by Jason Andress  (Author)

 




10 Mitos IT Security di benak Pelaku IT Enterprise, Mitos #2

Oleh : *IGN Mantra

IT Security tepatnya sebagai keamanan teknologi informasi saat ini didengungkan oleh semua kalangan, baik pemerintahan, swasta dan dunia akademis, 3 aspek ini seperti segitiga emas keterkaitan antara pemerintah-swasta-akademis. Saat ini semua aspek kehidupan menggunakan IT sebagai infrastruktur baik prasarana dan sarana untuk menunjang bisnis, selain itu proteksi terhadap IT (IT security) digunakan juga oleh beberapa pelaku industri, ada yang serius ada yang sekedarnya saja, sebagai pelengkap di permukaan saja.

Berikut ini Penulis akan mengungkapkan 10 Mitos tentang IT Security di benak para pelaku IT di perusahaan. Kita akan melihat benar tidaknya mitos tersebut, bisa jadi ada beberapa mitos masih ada di kepala kita masing-masing, karena sudah bertahun-tahun kita lakukan tanpa sadar seperti gerakan reflek di dalam olahraga. Begitu juga dengan mitos, ada yang telah kita kerjakan bertahun-tahun bahkan mungkin belasan tahun. Seyogyanya kita akan benahi pelan-pelan mana yang benar dan mana yang salah. Kecenderungan user/karyawan kita masih perlu diawasi oleh atasan agar tidak melenceng dari berbagai hal dalam penerapan IT Security policy di dalam pekerjaannya, berikut 10 mitos IT security tersebut.

Mitos #2 : Enterprise memiliki Physical Security yang kokoh dan kita aman di dalamnya.

Enterprise telah melakukan investasi secukupnya untuk membuat perimeter keamanan atau yang disebut dengan physical security, semakin tinggi dan sulit perimeter akan semakin menyulitkan penyusup masuk ke dalam area yang kita amankan, penjagaan yang ketat, menambah tenaga keamanan yang banyak dan tersebar, penambahan perimeter, peralatan CCTV, door access card dsbnya akan menambah kekuatan physical security di dalam enterprise.

Fakta #2 : Masih ada celah keamanan (vulnerability) walaupun sedikit akan dimanfaatkan oleh para penyusup untuk masuk ke dalam area steril, para penyusup berusaha keras dengan berbagai cara baik teori maupun praktek keamanan dengan mempelajari system keamanan yang sedang dipakai oleh para desainer keamanan enterprise, kata kuncinya adalah waktu dan kesempatan, masih ingat adanya penyusup membawa “senpi” ke dalam white house, walaupun akhirnya tertangkap juga, semata-mata masih ada kelengahan di dalam system keamanan. Sebaiknya para pelaksana keamanan terus-menerus peduli (aware) dan melakukan evaluasi terhadap perkembangan system keamanan mereka, seperti menambah sensor yang canggih terhadap para penyusup, sehingga system akan mengeluarkan alert bila ada yang mencoba menyusup ke dalam system.

Reference:
The Basics of Information Security, Second Edition: Understanding the Fundamentals of InfoSec in Theory and Practice 2nd Edition by Jason Andress  (Author)