> -----Original Message----- > From: Dudi Indrasetiadi [mailto:[EMAIL PROTECTED] > Sent: Selasa, 27 April 2004 12:29 > To: [EMAIL PROTECTED] > Subject: Re: [tanya-jawab] [OOT] FW: Dibalik Perburuan Hacker > KPU (2) - XSS + SQL injection ??? > > --- Rio Martin <[EMAIL PROTECTED]> wrote: > > waduh tutorial :)) .. > > Ntar kamu bisa ditangkap kalau nyoba lagi exploit ke server > KPU lagi. > > Mohon > > maklum, adminnya lagi sensitif, dihack terus panggil POLDA .. gawat > > banget tuh .. :)) > > Waaah, gimana nih cnrg? > :-P > > ===== > <idud> >
Saya bukan dari CNRG, saya hanya simpatisan yg sempet bantu KPU sedikit... Berikut saya berikan sedikit keluhan dari Pak Rahmat Zikri [EMAIL PROTECTED] dari milis sebelah ([EMAIL PROTECTED]) :)... Untuk kebenarannya, silakan dikonfirmasi ke beliau - atau mungkin ada rekan dari CNRG yg bisa menjelaskan... Regards Eko ---------------- Yudis, kenapa thread email ini jadi melenceng ke IT KPU (bahkan ber-reinkarnasi menjadi subject baru)? bukankah sebelumnya yg dibahas berkisar payroll application? kenapa juga yang 'ditembak' adalah gue dan teman2 (baca: CNRG ITB ?) FYI, keberadaan gue dan teman2 dari CNRG ITB (selanjutnya akan gue bahasakan sebagai: kami) adalah atas permintaan KPU Pusat, diminta kesediaannya untuk impersonating sebagai bagian internal dari KPU Pusat (baca: posisi sebagai _OWNER OF THE PROJECT_). kami di sini bukan sebagai bagian dari vendor atau pihak ke-tiga. status ini perlu digarisbawahi karena akan berkaitan dgn paragraf pembahasan gue selanjutnya. elo juga sudah tau kan, kapan gue muncul di sini.. hanya beberapa saat sebelum Pemilu! bahkan waktu itu gue lagi enak-enakan berlibur lebaran haji (awal februari '04) di Lampung, ketika tiba2 ditelpon supaya ikut mbantuin KPU. baru di minggu2 berikutnya menyusul yang lain. sekali lagi, status awal adalah bukan sebagai PEKERJA (untuk ini sudah ada vendor/contractor/implementer/developer yang memang sudah dibayar untuk itu). malah seharusnya secara struktural kami ngga ada di sini.. let's see, alasan awal gue dipanggil adalah untuk mengawasi pekerjaan2 vendor ini. ada apa dan mengapa, sepertinya mutar-mutar saja di tempat. ngga selesai2. mulai dari infrastruktur s.d aplikasi. padahal hari H kian mendekat. saya ngga mau njelek-jelekin. tapi contoh kecil saja, masa' pernah ada kesalahan konseptual, netmask yg cuma 8 bit, utk 2 interface yang sama2 pakai kelas A? bagaimana capability yg seperti ini? ketika hari semakin dekat, database dan aplikasi utama juga ngga jelas. sampai akhirnya teman gue yg biasa membuat aplikasi diminta juga untuk hadir di KPU Pusat (note that: ybs adalah orang yg membuat aplikasi Air Defence Simulator System TNI AU, bukan sebagai "kenek" .. dan segudang kerjaan besar lainnya. jadi, "tembakan" elo mengenai masalah SDM yg secara tersurat menyebut "Rekan2 dari ITB, ngga bisa gue terima). dia datang tepat 1 bulan sebelum tgl 5 April! apa yang terjadi selanjutnya? sebagai orang yang akan impersonating KPU sebagai owner dan sekaligus eksekutor aplikasi/database ketika tgl 5 April, dia ini ngga kunjung mendapatkan penjelasan tentang logik aplikasi dan/atau database yg dibuat oleh vendor kesayangan kita. catat itu. semua perwakilan vendor yg ada terlihat sibuk dgn aktivitasnya masing2. well, mungkin memang semua sedang sibuk kejar target menyelesaikan tanggungjawabnya masing2. it's okay. tapi permintaan ijin utk bisa punya akses ke server agar dapat melihat dan men-trace sendiri bagaimana logik-nya pun tidak kunjung diberikan! tepat 2 minggu menjelang hari H, teman gue ini atas approval dari atas, membuat skenario bayangan, dgn juga membuat aplikasi back-end sendiri! catat ini kawan. apa yang kami asumsikan adalah bahwa vendor tidak mampu menyelesaikan pekerjaannya. lha wong ditanyain soal perkembangan dan bagaimana logik aplikasi/database saja ngga dijawab-jawab. apa yang bisa kita harapkan dari aplikasi "cadangan" yang digeber dalam waktu 2 minggu? siapa yang mau disuruh bikin aplikasi se-kaliber Pemilu di Indonesia dalam waktu 2 minggu? dan parahnya lagi, itu semua dikerjakan dgn tanpa mengetahui berapa "tips" yang akan kamu peroleh? well, sekarang kita bahas soal "proyek" yang elo bilang "anak-anak ITB ngga mau bagi2 dng orang di luar ITB". begini kawan: pertama, permintaan kepada ITB utk meng-handle semua ini adalah otoritas sepenuhnya dari para pimpinan KPU Pusat. bagaimana caranya gue, atau siapa pun yang berasal dari ITB di sini, bisa ngajak elo, atau yang lainnya? lha gue aja ditunjuk, tanpa punya hak tunjuk (merekomendasikan orang lain). kedua, elo sendiri yang bilang ke gue, pengen sekali2 diajak, supaya bisa beli susu buat anak. benang merah-nya di sini adalah: DUIT. sekarang gue kasih tau, SUMPAH DEMI ALLAH, atau demi apa-lah yang elo mau, gue dan kawan2 (CNRG ITB) di sini benar2 kerja bakti. gue ngga pernah menandatangani kontrak untuk meng-handle project ini dari tgl sekian s.d sekian. dengan bayaran sekian! apa elo beneran mau gue ajak nyemplung ke tempat "terkutuk" seperti itu? We know our prices each other. gue single. elo punya tanggungan. gimana bisa gue tega2nya njerumusin elo ke tempat seperti ini yg ngga jelas berapa uang lelahnya? yg pasti, pastilah jauh di bawah harga kita kalo ngajar training. tapi tanggungjawabnya, ngga ketulungan berkali-kali lipat. itu sebabnya, kadang kalo ada tawaran ngajar pas siangnya, gue terima aja. sore-malam baru gue ke KPU. kecuali pas hari2 genting, +/- 1-2 minggu dari hari H. gue bener2 relakan waktu buat sepenuhnya di KPU. bahkan kalo mau dibikinkan laporan keuangannya, defisit gue pribadi aja di sini udah lumayan. berapa biaya transportasi gue? gimana dgn urusan makan (belakangan emang ada ransum)? gimana dgn kewajiban menjaga kesehatan dan kebugaran (baca: kudu beli vitamin dan suplemen lainnya).. semua itu gue keluarkan dgn duit pribadi. sekedar info, 3 bulan gue di sini, gue sudah 2x K.O! demam... mampus.. klenger. tidur cuman di kursi yang dijejerkan, dsb. kasarnya, kalo gue mau ninggalin tempat ini (KPU), gue bisa dapatkan itu yg kita semua mau (DUIT). di sini, gue sementara ini malah spend duit. so, you may interpolate it by yourself.. berapa honor ngajar kita? mau-kah menukarnya dgn sebuah penderitaan berupa limpahan kerjaan bejibun yg berantakan, tanpa kontrak, ngga tau berapa honornya.. ditambah "kesialan" menjadi tempat limpahan caci-maki.. padahal, semua ini awalnya siapa yg kerja yah? lalu, apa iya semua masalah yg terjadi ini murni 100% kesalahan tim IT KPU (contoh saja seperti keterlambatan finishing tabulasi penghitungan suara.. bahkan ngga sedikit yg kecamatan-nya belum kunjung meng-input data, yg dicaci oleh publik adalah IT KPU ;-) ) yudis, elo nyebut2 nama produk, bilang bahwa OS dan produk tsb ok dan sanggup melayani transaksi yg jauh lebih besar. gue dan semua juga mestinya setuju utk itu. tapi, poin utama yg selanjutnya dibahas (termasuk soal "tembakan" elo, kayaknya lebih ke masalah SECURITY bukan? kenapa yang jadi alasan malah KEMAMPUAN HANDLE TRANSAKSI YANG LEBIH BESAR? ;-) ... well, bagaimana dgn kasus deface hari sabtu tgl 17 april yll? ini saya kasih satu baris dari LOG Microsoft Internet Information Services Server: 2004-04-17 11:25:33 a.b.c.d GET /Tabulasi/DPRDII/dprd2_dapil.asp type=VIEW&prop_id=1&kab_id=7;UPDATE%20partai%20set%20nama_partai='Partai%20K olor%20Ijo'%20Where%20artai_id=6;|103|80040e14|[Microsoft][ODBC_SQL_Server_D river][SQL_Server]Incorrect_syntax_near_the_keyword_'order'. 80 - w.x.y.z Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.0) 500 0 0 catatan: IP source dan destination gue ganti jadi w.x.y.z dan a.b.c.d. begitu juga nama2 kolom. for future security reason. singkatnya sederhana saja. ada serah terima pekerjaan (infrastruktur dan aplikasi) dari vendor ke kami. standard operation procedure, kami pasti cek, mulai dari masalah konfigurasi s.d implementasi. secara fisik networking, sudah kami pastikan ngga ada kebocoran. saya juga dapat beberapa informasi, dari teman yg hacker, atau sekadar yg modalnya script utk scanning, dkk. no problemo with network. dan ini concern utama kami (ingat, CNRG --> computer NETWORK research group. jadi mainan utama kami itu ya infrastruktur). siapa yg ngga kaget kalo ternyata satu2nya port yg terbuka, 80 (HTTP), bisa dipakai buat meng-inject SQL?!! siapa yg seharusnya lebih care dgn produk dan versi produk tsb.. berikut kelemahan (baca: bugs -nya??!!). kalau saja sejak awal teman2 gue yg handle, mustahil yang dipasang adalah produk tsb. oke, buat yg belum tahu/ngerti dgn log di atas, kira2 begini. normalnya pengunjung akan melakukan proses yg namanya VIEW. utk melihat/meng-query tabel berdasarkan apa yg ia inginkan. misal ingin melihat tabulasi suara utk propinsi A, dapil B, kabupaten C, kecamatan D, kelurahan E, TPS F. query ini sebenarnya bisa ditulis via address bar di internet browser yg dipakai. asal kita tahu strukturnya. nah, query ini "diakali" dgn cara mengganti dgn perintah UPDATE. hasilnya, ter-update-lah tampilan di situs http://tnp.kpu.go.id ! utk statement elo yang berbunyi "Jadi sekali lagi saya sampai kan kegagalan TI KPU bukan karena product Microsoft atau OS Microsoft nya yg tidak mampu, tapi lebih ke SDM nya KPU yg menutup diri dan tidak mau diskusi dengan praktisi IT dan Komunitas IT.", gue mau tanya 2 hal: - siapa yang dimaksud dgn praktisi IT? - siapa yang berhak juga menyebut diri (dan kelompoknya) sebagai komunitas IT? dua hal di atas perlu kita definisikan bersama. jawaban gue utk statement elo, pertama, emang elo anggap gue dan teman2 di sini (KPU Pusat) bukan praktisi IT apa yah? satu contoh yg udah gue sebutin di atas, gimana kaliber teman yang ada di sini. kalo masih belom puas, masa' iya elo ngga tahu kerjaan anak2 CNRG.. well, it's part of an Asian wide project. udah bertahun-tahun kami terlibat dgn riset dan pengembangan jaringan yg kalibernya network antar negara-negara di Asia. apa ini belum masuk kategori praktisi IT? kalau mau lihat orang2 satu generasi di atas gue, (yg ada juga ikut bercokol di IT KPU sekarang, dgn posisi sebagai staf ahli IT KPU), mereka ini bagian dari sejarah awal mula dan perkembangan internet di Indonesia. bahkan sampai yg sejarah "kroco2", macam warnet di Indonesia, wireless networking di Indonesia, semua akarnya kembali ke CNRG. so? yang kedua, siapa yg berhak meng-klaim sebagai wakil dari komunitas IT? ente? MUGI? MSITPRO? IT-CENTER? ID-LINUX? INDOCISCO? atau semua? ini yang ngga jelas. tapi yang jelas2 adalah, bahwa tim gue juga acap kali berdiskusi dgn "oknum2" dari kelompok2 yang ada. walau ngga semua. gue jamin ini dan bersedia juga dgn bersumpah tentang kesaksian gue. apa setiap ada diskusi personal dan/atau tim dgn personil atau kelompok tertentu lainnya harus juga diumumkan ke semua orang, bahwa: "hey, we've been talked.." atau "we are talking about it now, with.." perlu gue sebutkan di sini juga, bahwa sistem IT KPU ini memiliki nilai strategis bagi kepentingan negara. di sini terdapat dokumen penting negara. contoh saja, secara tidak langsung implementasinya telah menghasilkan sistem database kependudukan nasional, dgn 140-an juta penduduk yg telah terdaftar di Pemilu2004.. dgn 10 parameter!!! belum lagi kepentingan2 negara lainnya. apa iya, sebuah sistem yg sangat strategis seperti ini akan dibawa ke semua forum, OPEN FOR PUBLIC, ANY OF IT COMMUNITY HAS BEEN GRANTED TO SEE THE SYSTEM? tentu saja tidak. ada protokoler utk akses ke sana. satu yang pasti, KEPERCAYAAN. kredibilitas orang dan/atau lembaga atau komunitas itu harus jelas terlebih dahulu. satu lagi, di sini gue cuman dikasih makan nasi padang dan nasi pecel. baca di sini: http://www.kompas.co.id/kompas-cetak/0404/17/Politikhukum/973987.htm pada mau elo pade ngegantiin gue? dikasih makan cuman begitu.. gak jelas dibayar berapa (kalo ngga dibayar ngga mungkin lah.. tapi kalo pun dibayar, apa iya nutup biaya operasional gue.. kudu kost, kudu beli ini itu.. dan sekali lagi, bisa dijamin, jauh di bawah HARGA GUE sebagai seorang freelance trainer.) regards, -zikri (IT KPU) http://www.zikri.com yudistira-- said: > > > > > TI di KPU bukan kesalahan OS atau Product Microsoft seperti yg di > bilang Onno W. Purbo di kompas kemarin. > Onno W. Purbo jangan mengambil kesempatan ini untuk mendeskriminasikan > produk tertentu dong .... karena kalau di amati memang bukan karena > produk dan OS yg dipakai yg tidak mampu tapi lebih ke SDM dan > tailoring aplikasi nya yg ujung2 nya juga SDM nya yg kurang siap. > > Product Microsoft yg dipakai di KPU seperti Exchange 2003 enterprise > 64 bit, SQL server 64 bit dll. mampu melayani transaksi yg lebih besar > dan lebih rumit dari sekedar transaksi penghitungan suara di KPU. > > Jadi sekali lagi saya sampai kan kegagalan TI KPU bukan karena product > Microsoft atau OS Microsoft nya yg tidak mampu, tapi lebih ke SDM nya > KPU yg menutup diri dan tidak mau diskusi dengan praktisi IT dan > Komunitas IT. > > Team TI KPU banyak yg dari ITB, yg sudah bukan rahasia lagi kalau > orang ITB ada proyek pasti akan melibatkan mayoritas orang ITB > juga,saya tidak tau apakah karena mereka tidak percaya kalau dengan yg > bukan lulusan ITB ? > atau juga merasa kalau orang ITB yg paling canggih di teknology. > > yudis > > > On Fri, 23 Apr 2004 07:23:32 +0700 > [EMAIL PROTECTED] wrote: > !!!!!!!!! -- Unsubscribe: kirim email kosong ke [EMAIL PROTECTED] Arsip dan info di http://linux.or.id/milis.php FAQ milis http://linux.or.id/faq.php
