Month: April 2026

Pendahuluan Saat berbicara tentang keamanan digital, ada banyak hal yang perlu diperhatikan. Tapi agar tidak bingung, sebenarnya ada empat pilar utama yang bisa kamu fokuskan untuk tetap aman saat beraktivitas online. Dengan memahami dan menerapkan empat hal ini, kamu sudah selangkah lebih maju dalam melindungi diri dari ancaman siber. Pilar 1: Media Sosial Pikirkan sebelum memposting Banyak orang mengira postingan mereka hanya dilihat oleh teman dan keluarga. Padahal, pengaturan privasi yang lemah atau akun teman yang diretas bisa membuat informasi pribadi kamu tersebar lebih luas. Contoh sederhana: foto “hari pertama sekolah” bisa tanpa sadar menunjukkan: Nama sekolah Lokasi tempat tinggal Informasi seperti ini sering digunakan untuk menjawab pertanyaan keamanan seperti: Nama sekolah pertama? Nama hewan peliharaan? Nama gadis ibu? Tips aman di media sosial: Cek pengaturan privasi secara rutin Gunakan fitur seperti “View as” (lihat sebagai orang lain) Hindari membagikan informasi sensitif Perhatikan latar belakang foto (misalnya layar laptop, catatan, ID kantor) Hati-hati dengan LinkedIn Platform profesional seperti LinkedIn bisa jadi “tambang emas” bagi hacker: Email kerja Nomor telepon Informasi jabatan Tanyakan pada diri sendiri: Apakah semua orang perlu tahu email kerja saya? Apakah nomor HP perlu dipublikasikan? Pilar 2: Perlindungan Akun Kenapa password sederhana itu berbahaya Menggunakan password seperti: Nama hewan peliharaan Tanggal lahir Nama pasangan itu sangat mudah ditebak, apalagi jika informasi tersebut tersedia di media sosial. Contoh buruk: Bella123 → mudah ditebak dan rentan terhadap serangan otomatis. Gunakan Password Manager Password manager adalah aplikasi untuk: Menyimpan password dengan aman Membuat password yang kuat dan unik Mengisi login otomatis Keuntungannya: Tidak perlu mengingat banyak password Menghindari penggunaan password yang sama di banyak akun Lebih aman dari phishing Aktifkan MFA (Multi-Factor Authentication) MFA menambahkan lapisan keamanan tambahan: Password + kode OTP Password + notifikasi di HP Walaupun password bocor, akun tetap aman karena butuh verifikasi tambahan. Tips: Aktifkan MFA di semua akun penting Jangan centang “Trust this device” di perangkat umum Pilar 3: Phishing & Social Engineering Serangan yang menargetkan manusia Berbeda dengan hacking teknis, social engineering menyerang psikologi manusia. Contoh: Email palsu dari bank Telepon dari “IT support” SMS hadiah atau promo Tujuannya biasanya: Mencuri password Mendapatkan kode MFA Mengambil data finansial Ciri-ciri phishing: Ada rasa urgensi (“akun akan diblokir!”) Link mencurigakan Permintaan aneh Email terlihat resmi tapi ada kejanggalan Tips menghindari: Jangan klik link langsung dari email Buka website resmi secara manual Verifikasi nomor telepon Jangan pernah share password atau kode OTP Vishing & Smishing Selain email: Vishing = penipuan via telepon Smishing = penipuan via SMS Hati-hati: Nomor bisa dipalsukan (spoofing) Penipu sering membuat panik agar kamu cepat bertindak Pilar 4: Update Software Jangan biarkan perangkat jadi pintu masuk hacker Aplikasi dan sistem operasi sering memiliki celah keamanan (vulnerability). Jika tidak diperbarui, celah ini bisa dimanfaatkan hacker. Kenapa update itu penting: Memperbaiki bug keamanan Menambah fitur perlindungan Menutup celah serangan Tips: Unduh aplikasi hanya dari sumber resmi Aktifkan auto-update Update browser secara rutin Hapus aplikasi yang tidak digunakan Contoh: Browser: cek di menu “Help → About” Aplikasi: “Check for updates” Kesimpulan Agar tetap aman di dunia digital, kamu tidak perlu menjadi ahli cybersecurity. Cukup fokus pada empat hal utama: Media sosial → jaga privasi dan batasi informasi Password & akun → gunakan password kuat + password manager Waspada phishing → jangan mudah percaya pesan mencurigakan Update software → selalu gunakan versi terbaru Dengan menerapkan kebiasaan ini, kamu sudah mengurangi sebagian besar risiko serangan siber. Keamanan digital bukan hanya soal teknologi, tapi juga soal kebiasaan. Mulai dari langkah kecil, dan jadikan itu rutinitas. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Pendahuluan Mengelola laporan kerentanan (vulnerability report) bukanlah hal yang mudah bagi sebuah organisasi. Secara teori, prosesnya terlihat sederhana dan rapi. Dalam kondisi ideal, alurnya seperti ini: Seorang peneliti keamanan (researcher) mengirim laporan yang valid Tim keamanan organisasi menerima dan segera menindaklanjuti Komunikasi berjalan lancar jika ada pertanyaan Disepakati rencana perbaikan (remediation) Masalah diperbaiki dan diverifikasi Hasilnya diumumkan secara terkoordinasi Semua pihak senang. Namun kenyataannya, proses ini sering jauh dari ideal. Masalah dari Sisi Organisasi Dari sudut pandang organisasi, banyak tantangan yang muncul, seperti: 1. Laporan “asal-asalan” Beberapa laporan hanya dibuat untuk mendapatkan reward (bug bounty), meskipun: Tidak relevan Tidak berdampak Bahkan bukan kerentanan serius 2. Laporan dari AI yang tidak akurat Dengan berkembangnya AI, banyak laporan dibuat otomatis, tetapi: Isinya tidak jelas Mengandung kesalahan (hallucination) Tidak bisa dibuktikan 3. Volume laporan yang terlalu banyak Sering kali ditemukan ribuan laporan serupa, contohnya: Cross-Site Scripting (XSS) Ditemukan oleh tools otomatis Dikirim satu per satu Akibatnya: 👉 Tim keamanan (PSIRT) kewalahan 4. Peneliti yang kurang pengalaman Beberapa peneliti: Terlalu cepat eskalasi masalah Memberi tuntutan yang tidak realistis Tidak memberikan detail lengkap Masalah dari Sisi Peneliti Sebaliknya, peneliti juga menghadapi masalah dari organisasi: 1. Laporan diabaikan Organisasi tidak merespon laporan sama sekali. 2. Proses lambat melalui pihak ketiga Banyak organisasi menggunakan platform seperti: HackerOne Bugcrowd Namun: Eskalasi ke organisasi bisa lambat Komunikasi tidak efektif 3. Kurangnya skill dalam triage Tim internal kadang: Tidak memahami tingkat keparahan Salah memprioritaskan 4. Tidak ada tindak lanjut Laporan sudah diterima, tetapi: Tidak diperbaiki Tidak ada update 5. Upaya membungkam peneliti Beberapa organisasi bahkan: Meminta NDA Mengancam secara hukum Dalam kondisi seperti ini: 👉 Tidak ada pihak yang benar-benar diuntungkan Masalah Utama: “Noise” dari AI Salah satu tantangan terbesar saat ini adalah meningkatnya jumlah laporan akibat AI. Sering muncul klaim: “AI menemukan lebih banyak kerentanan daripada manusia” Namun kenyataannya: AI hanya menemukan variasi dari masalah yang sama Contohnya: ribuan XSS dengan payload berbeda Masalahnya: 👉 Ini tidak meningkatkan keamanan secara signifikan Kenapa? Karena: Akar masalahnya tetap satu (misalnya validasi input buruk) Menemukan 1000 variasi tidak menambah nilai Yang dibutuhkan sebenarnya: 👉 1 laporan berkualitas tinggi Dampak Buruk bagi Semua Pihak Jika tidak dikelola dengan baik, dampaknya serius: Untuk organisasi: Tim kewalahan Kerentanan penting terlewat Untuk peneliti: Frustrasi karena tidak diperhatikan Dampak jangka panjang: Kerentanan bisa dipublikasikan sebagai zero-day Dijual ke pihak jahat Reputasi organisasi rusak Akhirnya: 👉 Semua pihak dirugikan Solusi yang Bisa Diterapkan 1. Desain program dengan baik Program pelaporan kerentanan harus: Memiliki scope yang jelas Tidak terlalu sempit Tidak mengecualikan hal penting 2. Kelola laporan AI dengan bijak Solusi sederhana: Batasi laporan dari AI Atau minta laporan serupa digabungkan Contoh: 👉 Lebih baik 1 laporan: “Ada masalah validasi input” Daripada: 1000 laporan XSS berbeda 3. Fleksibilitas dalam reward Pertimbangkan: Apakah mau bayar mahal untuk banyak laporan kecil? Atau bayar lebih besar untuk insight penting? Lebih efektif: 👉 Membayar satu laporan berkualitas tinggi 4. Sediakan jalur eskalasi langsung Ini penting untuk: Kerentanan kritis Peneliti serius Solusinya: Izinkan komunikasi langsung ke organisasi Jangan hanya bergantung pada platform bug bounty 5. Gunakan platform sebagai filter, bukan penghalang Platform bug bounty sebaiknya: Menyaring laporan yang tidak penting Tetapi tetap membuka jalur untuk laporan penting Kesimpulan AI memang membantu dalam menemukan kerentanan, tetapi juga membawa masalah baru: 👉 “Noise” atau kebisingan informasi Jika tidak dikelola: Tim keamanan akan kewalahan Kerentanan penting bisa terlewat Kunci utamanya adalah: Fokus pada kualitas, bukan kuantitas Memahami akar masalah, bukan hanya gejala Menjaga komunikasi yang sehat antara organisasi dan peneliti Pesan Penting Menggunakan platform bug bounty boleh saja, tetapi: 👉 Tanggung jawab keamanan tetap ada di organisasi Tidak bisa sepenuhnya diserahkan ke pihak ketiga. Dengan pendekatan yang tepat, program pelaporan kerentanan bisa menjadi: Alat kolaborasi Cara meningkatkan keamanan Bukan sekadar formalitas Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Pendahuluan Saat bekerja di lingkungan cloud seperti Amazon Web Services (AWS), sering kali kita menghadapi kendala saat ingin mengambil file dari server. Contohnya: Kamu sedang melakukan audit keamanan Perlu mengambil log atau bukti dari server Atau ingin mengakses aplikasi internal seperti Nessus Masalahnya, server tersebut biasanya: Tidak memiliki akses internet keluar Diblokir oleh firewall Berada di jaringan internal tanpa akses publik Jadi, bagaimana cara mengambil file tanpa membuka akses yang berbahaya? Jawabannya adalah menggunakan SSM (AWS Systems Manager). Apa Itu SSM dan Kenapa Penting? SSM memungkinkan kita untuk: Mengakses server tanpa SSH atau RDP Tidak perlu membuka port publik Tetap aman karena semua komunikasi lewat AWS Dengan SSM, kita bisa membuat port forwarding, yaitu membuat “jalur aman” dari laptop kita ke server di AWS. Syarat Sebelum Mulai Sebelum menggunakan metode ini, pastikan: Kamu sudah punya akses ke AWS Bisa login ke server via SSM Server menggunakan Linux atau Windows Python sudah terinstall di server AWS CLI sudah terinstall di laptop Langkah 1: Login ke AWS Pertama, kamu perlu autentikasi ke AWS. Biasanya ini dilakukan lewat: AWS Single Sign-On (SSO) Atau menggunakan access key Kalau pakai SSO: Masuk ke portal AWS Cari menu Access Keys Salin credential yang diberikan Di PowerShell, paste seperti ini: $Env:AWS_ACCESS_KEY_ID=”…” $Env:AWS_SECRET_ACCESS_KEY=”…” $Env:AWS_SESSION_TOKEN=”…” Ini akan mengaktifkan akses AWS CLI sementara di laptop kamu. Langkah 2: Membuat Port Forwarding dengan SSM Setelah login, kita buat koneksi ke server menggunakan perintah: aws ssm start-session –target <ID_INSTANCE> \ –document-name AWS-StartPortForwardingSession \ –parameters portNumber=”8000″,localPortNumber=”8000″ \ –region <REGION> Penjelasan: target → ID server di AWS portNumber → port di server (misalnya 8000) localPortNumber → port di laptop kamu region → lokasi AWS (contoh: ap-southeast-1) Jika berhasil, kamu akan melihat session aktif. Artinya: 👉 Laptop kamu sekarang terhubung ke server melalui “tunnel” aman Dan yang penting: Tidak perlu buka port di firewall Tidak ada akses publik Langkah 3: Transfer File dengan Python Web Server Sekarang kita sudah punya jalur koneksi. Tinggal ambil filenya. Cara paling sederhana: 👉 Jalankan web server di server menggunakan Python Di server, jalankan: python3 -m http.server 8000 Ini akan membuat server sederhana untuk download file. Mengakses File dari Laptop Karena kita sudah port forward ke port 8000, sekarang di laptop cukup buka: http://localhost:8000 Kamu akan melihat: Daftar file di server Bisa langsung download lewat browser Tips Penting: Enkripsi File Sebelum transfer file, sangat disarankan untuk mengamankan data. Gunakan tools seperti 7zip: 7z a file.7z * -pPassword1234 Tips: Gunakan password yang kuat Jangan kirim file mentah (raw) Ini penting terutama jika file berisi: Data sensitif Log keamanan Informasi internal Contoh Kasus: Akses Nessus Misalnya kamu ingin akses aplikasi keamanan seperti Nessus. Port default Nessus adalah: 8834 Maka command-nya: aws ssm start-session –target <ID> \ –document-name AWS-StartPortForwardingSession \ –parameters portNumber=”8834″,localPortNumber=”8835″ \ –region <REGION> Setelah itu, buka di browser: http://localhost:8835 Sekarang kamu bisa mengakses Nessus dari laptop, walaupun server tidak punya akses publik. Kenapa Metode Ini Lebih Aman? Metode ini lebih aman dibanding: Membuka port SSH/RDP ke internet Menggunakan VPN tambahan Mengubah firewall Karena: Semua komunikasi lewat AWS Tidak ada port terbuka ke publik Lebih mudah dikontrol dan diaudit Kesimpulan Menggunakan SSM untuk transfer file di AWS adalah solusi yang: Aman Praktis Tidak butuh konfigurasi kompleks Langkah utamanya: Login ke AWS Buat port forwarding dengan SSM Jalankan web server di server Akses file dari localhost Metode ini sangat berguna untuk: Security testing Audit server Mengambil log dan bukti Tips Tambahan Selalu hapus file sementara setelah selesai Matikan web server setelah digunakan Jangan lupa logout dari AWS CLI Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Apa Itu DFIR dan Kenapa Menarik? DFIR (Digital Forensics and Incident Response) adalah bidang keamanan siber yang fokus pada: Investigasi digital (seperti gaya “CSI” di dunia IT) Menangani insiden keamanan (serangan hacker, kebocoran data, dll) Bidang ini menarik karena menggabungkan: Analisis teknis Pemecahan masalah Tekanan situasi nyata saat serangan terjadi Kalau kamu tipe orang yang suka bertanya: “Kenapa ini bisa terjadi?” “Bagaimana caranya sistem ini diretas?” Maka DFIR bisa jadi bidang yang cocok untukmu. Perjalanan Belajar DFIR (Jalur Akademik) Banyak orang masuk ke DFIR melalui pendidikan formal seperti: Ilmu komputer Digital forensics Cybersecurity Awalnya mungkin tidak tahu apa itu forensik digital. Tapi saat belajar, kamu akan menemukan hal-hal menarik seperti: Steganografi (menyembunyikan data di dalam gambar) Forensik mobile (mengambil data dari HP) Recovery data (mengembalikan data yang terhapus) Namun yang paling penting bukan hanya materinya, tapi fondasinya, seperti: Cara sistem operasi menyimpan data Apa arti “file terhapus” sebenarnya Bagaimana artefak digital terbentuk Kenapa ini penting? Karena tanpa pemahaman dasar, kamu hanya akan: “klik-klik tools tanpa benar-benar mengerti apa yang terjadi” Dalam DFIR, kamu harus tahu: Data ini berasal dari mana Kenapa data ini ada Apa arti data tersebut Data Selalu Punya Cerita DFIR mencakup banyak area, seperti: Forensik komputer Forensik jaringan Forensik cloud Forensik mobile Bahkan perangkat IoT Setiap perangkat meninggalkan “jejak digital”. Contohnya: Jaringan menyimpan jejak paket data HP menyimpan data di database tersembunyi IoT bisa menyimpan data di tempat yang tidak terduga Tugas kita adalah: “membaca cerita dari data tersebut” Memulai Karier di DFIR Salah satu jalur terbaik untuk pengalaman awal adalah: 👉 Penegakan hukum (law enforcement) Di sini kamu belajar: Menangani barang bukti digital Menjaga integritas data Proses investigasi yang benar Awalnya mungkin pekerjaan terasa sederhana, seperti: Memfoto perangkat Membuka laptop Mengambil hard disk Tapi dari sini kamu belajar prinsip utama: 👉 Jangan merusak bukti Seiring waktu, kamu akan berkembang ke level lebih tinggi: Analisis data HP Mengambil pesan yang terhapus Analisis disk dan sistem Semakin sering praktik, semakin terasah instingmu. Tantangan Nyata di Dunia Kerja Dalam beberapa kasus, kamu bahkan bisa: Memberikan kesaksian di pengadilan Menjelaskan hal teknis ke orang awam Ini bukan hal yang bisa dipelajari dari sertifikasi saja. DFIR juga bisa membawa kamu ke kasus nyata yang berat, tetapi: 👉 kepuasan kerja yang didapat sangat tinggi Perbedaan: Law Enforcement vs Industri Swasta Di penegakan hukum: Fokus pada detail Harus sangat teliti untuk kebutuhan hukum Di industri (consulting / perusahaan): Fokus pada kecepatan Saat terjadi serangan, klien hanya ingin tahu: Apakah hacker masih ada? Bagaimana mereka masuk? Data apa yang diambil? Di sini tekanan lebih tinggi karena: Data bisa hilang dengan cepat Harus mengambil keputusan cepat Namun prinsipnya tetap sama: 👉 Integritas dan kejelasan hasil investigasi DFIR Itu Luas dan Tidak Bisa Sendirian DFIR mencakup banyak skill, seperti: Forensik Windows, Linux, macOS Analisis malware Threat hunting Incident response Analisis SIEM Reverse engineering Tidak ada satu orang yang menguasai semuanya. Itulah kenapa: 👉 DFIR adalah kerja tim Cara Belajar DFIR untuk Pemula Kalau kamu baru mulai: Jangan overthinking Pilih satu area yang menarik Mulai dari hal sederhana: Install virtual machine Gunakan tools forensik Analisis data sendiri Fokus pada: 👉 memahami data, bukan sekadar tool Sumber Belajar Gratis Banyak sumber gratis yang bisa kamu gunakan: Komunitas & Blog Forum DFIR Blog praktisi Discord komunitas Platform Latihan Lab cybersecurity CTF (Capture The Flag) Simulasi investigasi Tools Penting Tools forensik Windows Analisis memory Analisis network (Wireshark) Tools open-source lainnya Semua ini bisa diakses gratis atau murah. Tips Penting untuk Sukses Ada 3 hal utama yang menentukan sukses di DFIR: 1. Rasa Ingin Tahu Selalu bertanya “kenapa” sampai menemukan jawabannya 2. Disiplin Pastikan pekerjaanmu bisa: Dijelaskan Diulang Dipertanggungjawabkan 3. Passion Bidang ini terus berubah, jadi kamu harus: Mau belajar terus Siap menghadapi tantangan Kesimpulan DFIR adalah salah satu bidang paling menantang sekaligus paling menarik di dunia cybersecurity. Kamu tidak harus tahu semuanya. Tidak ada yang benar-benar ahli di semua bidang DFIR. Yang penting: Mulai saja dulu Belajar dari praktik Manfaatkan komunitas Kalau kamu suka mencari tahu “kenapa” dan “bagaimana”, maka kamu punya potensi besar untuk sukses di DFIR. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Ringkasan Singkat Saat ini, banyak kuesioner asuransi siber masih menggunakan pertanyaan standar berbasis kepatuhan (compliance). Masalahnya, pertanyaan seperti ini sering tidak mampu menggambarkan risiko nyata di dalam sebuah perusahaan. Pendekatan yang lebih efektif adalah: Menanyakan pengecualian (exceptions) Menyoroti area yang tidak sempurna Menggali kelemahan yang memang ada Dengan cara ini, perusahaan bisa lebih transparan, dan pihak asuransi bisa memahami risiko dengan lebih akurat. Masalah dengan Pertanyaan Asuransi Saat Ini Selama bertahun-tahun, banyak formulir asuransi siber berisi pertanyaan seperti: Apakah Anda menggunakan antivirus? Apakah Anda memiliki firewall? Di tahun sekarang, pertanyaan seperti ini terasa sudah ketinggalan. Kenapa? Karena hampir semua perusahaan pasti sudah memiliki hal tersebut. Jika tidak, kemungkinan besar bisnisnya sudah terkena serangan sejak lama. Artinya, jawaban “ya” tidak memberikan insight yang berarti. Cara Baru: Fokus pada Pengecualian Untuk benar-benar memahami risiko, kita perlu membalik cara bertanya. Alih-alih bertanya: “Apakah semua sistem menggunakan password yang kuat?” Lebih baik bertanya: “Berapa banyak sistem yang masih menggunakan password lemah atau default?” Kenapa ini penting? Karena dalam praktiknya: Hampir semua organisasi punya celah Tidak semua sistem mengikuti kebijakan dengan sempurna Contohnya: Password admin lokal Sistem lama (legacy system) Aplikasi internal yang jarang diperhatikan Jika tidak ditanyakan secara spesifik, celah ini sering terlewat. Risiko Nyata di Balik Jawaban “Ya” Bayangkan sebuah perusahaan menjawab: “Semua sistem kami menggunakan password yang kuat.” Namun kenyataannya: Ada satu sistem yang masih menggunakan password lama Sistem tersebut kemudian diretas Serangan menyebar ke seluruh jaringan Akibatnya: Terjadi kebocoran data Pihak asuransi merasa informasi tidak sesuai Terjadi konflik antara perusahaan dan pihak asuransi Padahal, jika sejak awal diketahui, risiko tersebut bisa: Dipertimbangkan dalam premi Dikelola dengan kontrol tambahan Contoh Pertanyaan yang Lebih Efektif 1. Tentang Password Alih-alih: Apakah semua password aman? Tanyakan: Berapa banyak sistem yang masih menggunakan password lemah atau default? Tujuannya bukan untuk menyalahkan, tetapi: Mengidentifikasi risiko nyata Memahami alasan di baliknya Melihat bagaimana risiko tersebut dikontrol 2. Tentang Patch dan Update Alih-alih: Apakah semua sistem selalu di-update? Tanyakan: Sistem mana yang tidak di-update secara rutin, dan kenapa? Faktanya: Hampir semua perusahaan punya sistem yang tidak di-patch Alasannya bisa karena sistem tersebut penting dan sensitif Contoh: Update sebelumnya menyebabkan sistem crash Mengganggu operasional bisnis Akibatnya, tim IT memilih untuk tidak melakukan update. Yang penting untuk diketahui: Apa risikonya Apa langkah mitigasinya 3. Tentang Enkripsi Data Alih-alih: Apakah semua data dienkripsi? Tanyakan: Data mana yang belum dienkripsi? Perusahaan yang matang biasanya tahu: Data mana yang terenkripsi Data mana yang belum Bagaimana kunci enkripsi dikelola Selain itu, penting juga mengetahui: Apakah data pernah diproses tanpa enkripsi (meskipun sebentar) 4. Tentang MFA (Multi-Factor Authentication) Alih-alih: Apakah MFA sudah digunakan? Tanyakan: Di mana MFA tidak digunakan, dan bagaimana mitigasinya? Contoh kasus: Sistem cadangan saat MFA gagal (“break glass system”) Digunakan oleh tim IT saat darurat Pertanyaannya: Apakah sistem ini aman? Apa kontrol tambahannya? Selain itu, penting juga: Apakah notifikasi MFA dibatasi untuk mencegah spam (push fatigue) Kenapa Pendekatan Ini Lebih Baik? Dengan menanyakan pengecualian: Risiko menjadi lebih jelas Tidak ada asumsi yang salah Semua pihak lebih transparan Ini tidak berarti risiko bertambah, tetapi: risiko yang sudah ada menjadi terlihat. Manfaat untuk Semua Pihak Untuk Perusahaan Bisa menjelaskan kondisi nyata Tidak terjebak pada jawaban “ideal” Bisa menunjukkan bagaimana risiko dikelola Untuk Asuransi Mendapat gambaran risiko yang lebih akurat Bisa menentukan premi dengan lebih tepat Menghindari kesalahpahaman di masa depan Untuk Hubungan Kerja Sama Meningkatkan kepercayaan Mengurangi konflik saat klaim Mendorong perbaikan keamanan Kesimpulan Dalam dunia asuransi siber, sekadar memastikan bahwa kontrol keamanan “ada” sudah tidak cukup. Yang lebih penting adalah: Mengetahui di mana kontrol tersebut tidak berjalan Memahami alasan di baliknya Melihat bagaimana risiko tersebut dikelola Pendekatan ini membantu: Mengungkap risiko nyata Meningkatkan transparansi Memperkuat keamanan sebelum terjadi insiden Pada akhirnya, pertanyaan yang tepat bukan hanya membantu proses asuransi, tetapi juga: membantu perusahaan menjadi lebih aman. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!

Ringkasan Singkat Kabar baiknya, kamu bisa mulai belajar eksplorasi (atau “hacking”) Bluetooth Low Energy (BLE) dengan biaya sangat murah—bahkan hampir gratis. Caranya: Gunakan perangkat sederhana seperti key finder (alat pencari kunci) Manfaatkan tools gratis Tangkap komunikasi antara aplikasi Android dan perangkat BLE Cari perintah yang membuat perangkat berbunyi (beep) Di artikel ini, kita fokus ke metode gratis. Di bagian berikutnya, biasanya akan dibahas hardware tambahan untuk eksplorasi lebih lanjut. Sebelum Memulai Bluetooth bisa terasa membingungkan, terutama untuk pemula: Banyak tools yang sudah usang Script yang tidak berjalan Dokumentasi yang kompleks Tapi sebenarnya, kita tidak perlu memahami semuanya. Fokus saja pada tujuan: membuat perangkat melakukan sesuatu yang kita inginkan. Ada tiga cara utama untuk eksplorasi BLE: Menggunakan Linux + Bluetooth adapter Bisa pakai laptop atau USB dongle murah Bahkan Raspberry Pi juga bisa digunakan Menggunakan smartphone (Android) Android lebih fleksibel dibanding iOS Banyak tools gratis tersedia Menggunakan perangkat tambahan (hardware) Mulai dari sekitar £40 hingga £100+ Lebih canggih, tapi tidak wajib untuk pemula Di artikel ini, kita fokus ke opsi pertama dan kedua (yang murah atau gratis). Target: Key Finder BLE Kita akan menggunakan perangkat sederhana seperti: Key finder BLE (alat pelacak kunci) Harga sekitar Rp30 ribuan Tujuan kita: membuat perangkat berbunyi (beep) tanpa menggunakan aplikasi resminya. Dasar Singkat BLE Perangkat ini menggunakan Bluetooth Low Energy (BLE), yang lebih sederhana dibanding Bluetooth klasik. BLE menggunakan konsep bernama GATT (Generic Attribute Profile). Sederhananya: Perangkat memiliki “service” Di dalamnya ada “characteristic” Characteristic ini bisa dibaca atau ditulis Untuk mengontrol perangkat, kita hanya perlu: Menemukan service yang tersedia Menemukan characteristic yang penting Mengirim data ke characteristic tersebut Langkah 1: Monitoring (Sniffing) dengan Android Karena perangkat dikontrol lewat aplikasi Android, kita bisa memantau komunikasinya. Caranya: Gunakan ADB (Android Debug Bridge) Hubungkan HP ke laptop Gunakan Wireshark untuk melihat traffic Bluetooth Saat kamu menekan tombol “alarm” di aplikasi: Akan terlihat perintah “write” ke sebuah characteristic Nilai 0x01 → menyalakan bunyi Nilai 0x00 → mematikan bunyi Jadi kesimpulannya: cukup kirim angka 1 atau 0 ke characteristic tertentu untuk mengontrol perangkat. Alternatif: Reverse Engineering Aplikasi Jika sulit membaca traffic, kamu bisa: Membongkar aplikasi Android (APK) Menggunakan tools seperti JADX Dengan cara ini, kamu bisa: Melihat kode program Menemukan perintah yang digunakan Mengetahui data apa yang dikirim Hasilnya sama: Nilai 1 → alarm ON Nilai 0 → alarm OFF Langkah 2: Mengontrol Perangkat dengan Linux Jika menggunakan Linux, kamu bisa memakai tools seperti: gatttool (meskipun sudah lama) Contoh perintah: gatttool –char-write-req –handle 0x0b –value 0x01 Fungsinya: Mengirim data ke perangkat BLE Mengaktifkan alarm Namun, tool ini kadang tidak stabil karena sudah deprecated. Alternatif: bluetoothctl Tool ini biasanya sudah ada di Linux. Langkahnya: Scan perangkat BLE Connect ke device Masuk ke menu GATT Pilih characteristic Kirim data (write) Hasilnya sama: Kirim 0x01 → bunyi Kirim 0x00 → mati Cara Lebih Mudah: Gunakan Aplikasi Android Kalau tidak ingin ribet dengan Linux, kamu bisa pakai aplikasi seperti: nRF Connect LightBlue Langkahnya: Scan perangkat BLE Connect ke device Cari service “Immediate Alert” Cari characteristic “Alert Level” Kirim nilai Hasilnya: Nilai 1 → alarm berbunyi Nilai 0 → alarm berhenti Cara ini paling mudah dan cocok untuk pemula. Apa yang Bisa Dipelajari? Dari latihan sederhana ini, kamu sudah belajar: Cara kerja dasar BLE Cara membaca komunikasi Bluetooth Cara mengontrol perangkat tanpa aplikasi resmi Ini adalah dasar penting untuk: Security testing IoT hacking Reverse engineering Keterbatasan Metode Gratis Meskipun menarik, metode ini punya beberapa kekurangan: Tools Linux kadang tidak stabil Proses manual cukup banyak Tidak cocok untuk eksplorasi lanjutan Untuk tahap berikutnya, biasanya diperlukan: Hardware tambahan Tools yang lebih canggih Script otomatis Kesimpulan Belajar eksplorasi BLE tidak harus mahal atau rumit. Dengan: Perangkat murah Tools gratis Sedikit rasa ingin tahu Kamu sudah bisa: Memahami cara kerja perangkat Mengontrolnya sendiri Membuka jalan ke dunia keamanan IoT Yang terpenting: mulai dari hal kecil, lalu berkembang. Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan pentest indonesia, merupakan bagian dari PT. iLogo Indonesia, yang merupakan mitra terpercaya dalam solusi Infrastruktur IT dan Cybersecurity terbaik di Indonesia. Hubungi kami sekarang atau kunjungi pentestindonesia.com untuk informasi lebih lanjut!