Heboh Soal Password di Minggu Ini: Twitter dan #WorldPasswordDay

Terus terang saya mempergunakan Twitter lebih sebagai News-Aggregator, jadi ketimbang saya harus membuka website berita satu-per-satu saya lebih suka follow saja akun media tersebut untuk mendapatkan berita-berita terupdate setiap harinya. Lebih simpel dan lebih cepat -menurut saya.

Tetapi pagi itu, Jumat 4 Mei 2018 ketika saya membuka twitter sebagaimana kebiasaan harian saya- ada yang tidak biasa di aplikasi micro blogging website tersebut. Seketika sebuah pop-up screen muncul untuk meminta saya mengganti password saya saat itu juga. Segera saya ikuti saran tersebut mengikuti panduan layar dan dalam beberapa menit, password sudah berhasil saya ganti. Namun tak bisa dihindari muncul pertanyaan mengenai apa yang sebenarnya sedang terjadi.

Setelah saya login, segera saya temukan sebabnya. Berita mengenai apa yang terjadi pada twitter sudah banyak mewarnai linimasa saya. Sebuah “bug” ditemukan di sistem twitter yang mengakibatkan password yang disimpan di internal server direkam dalam format yang dapat dibaca manusia (plain-text, tidak dalam bentuk “hash”)!

Tentu ini berita besar apabila menimpa “pemain” sekaliber Twitter!

Sisi positifnya adalah “bug” ini diungkapkan oleh Twitter sendiri. Mereka menemukannya di Kamis sore dan segera melakukan investigasi. Problem segera ditemukan, investigasi internal segera dilakukan dan tidak ditemukan indikasi bahwa telah terjadi penyalahgunaan password. Dan, segera seluruh pengguna diminta untuk segera melakukan penggantian password untuk langkah pengamanan.

Mengutip berita yang dimuat di www.silicon.co.uk, ini bukan case Password pertama bagi Twitter. Di tahun 2012, secara tak sengaja mereka melakukan penggantian password secara massal karena issue terjadinya hacking. Di bulan Maret 2014, secara tidak sengaja mereka mengirimkan email kepada pengguna bahwa akun mereka berisiko dan pengguna diminta untuk segera mengganti password. Di tahun 2016, mereka menjadi sorotan kembali setelah mengungkapkan adanya kelemahan serius dalam sistem pemulihan password mereka yang dapat mengungkapkan informasi detil (termasuk alamat email dan no telepon) hampir 10.000 akun pengguna aktif mereka. Dan akhirnya di bulan Juni di tahun yang sama, Twitter menonaktifkan secara sepihak akun penggunanya yang informasi detil loginnya terindikasi terupload di web.

Ironisnya, di hari yang sama ketika “bug” tersebut ditemukan yaitu Kamis tanggal 3 Mei 2018 adalah Hari Password Sedunia #WorldPasswordDay!

 

World Password Day ditetapkan di setiap Kamis pertama di bulan Mei dan dimaksudkan sebagai media untuk mengingatkan kembali mengenai perilaku ber-password yang baik. Password adalah penjaga gawang penting bagi identitas digital yang memungkinkan kita untuk melakukan akses, berkomunikasi dan bertansaksi.

Saya yakin Anda sudah mengetahui pentingnya Password dan sering mendapatkan informasi mengenai bagaimana menjaga password Anda tetap rahasia dan aman. Anda tentu sudah tahu mengenai kompleksitas (kombinasi huruf, angka, atau tanda % misalnya) serta panjang password akan membuat password Anda lebih sulit ditebak/dicuri. Juga bagaimana Anda sebaiknya menyimpan catatan password yang banyak itu dan sebagainya.

Dewasa ini, makin banyak penyedia layanan yang menyediakan otentikasi secara berlapis untuk meningkatkan keamanan. Misalnya, ketika Anda login dari perangkat yang belum pernah tercatat sebelumnya, Anda akan segera mendapatkan informasi melalui email apakah Anda benar-benar sedang mengakses layanan tersebut. Ketika Anda bertransaksi, Anda segera mendapatkan informasi melalui SMS ke nomor hp Anda untuk memastikan bahwa pengguna login yang dipakai sebagai transaksi tersebut adalah benar-benar Anda! Bahkan ketika seseorang mencoba untuk mengganti password Anda di sebuah layanan, Anda akan dapat mengetahuinya dengan segera.

Jadi, tambahkan satu lapis pengamanan lagi untuk login Anda. Apabila penyedia layanan sudah menyediakan fasilitas tersebut, segera aktifkan.

Trust me, it’s for your own good and it is very useful!

Mengutip dari http://www.passwordday.org:

Treat everyday like Password Day and #LayerUp your login to make the Internet a more secure place.

==========

Update,  baru ‘ngeh’ kemarin dapat kiriman “surat cinta” dari tim Twitter 🙂

Hi @users,
 
When you set a password for your Twitter account, we use technology that masks it so no one at the company can see it. We recently identified a bug that stored passwords unmasked in an internal log. We have fixed the bug, and our investigation shows no indication of breach or misuse by anyone.
 
Out of an abundance of caution, we ask that you consider changing your password on all services where you’ve used this password. You can change your Twitter password anytime by going to the password settings page.
 
About The Bug
 
We mask passwords through a process called hashing using a function known as bcrypt, which replaces the actual password with a random set of numbers and letters that are stored in Twitter’s system. This allows our systems to validate your account credentials without revealing your password. This is an industry standard.
 
Due to a bug, passwords were written to an internal log before completing the hashing process. We found this error ourselves, removed the passwords, and are implementing plans to prevent this bug from happening again.
 
Tips on Account Security
 
Again, although we have no reason to believe password information ever left Twitter’s systems or was misused by anyone, there are a few steps you can take to help us keep your account safe:
 
1.   Change your password on Twitter and on any other service where you may have used the same password.
2.   Use a strong password that you don’t reuse on other services.
3.   Enable login verification, also known as two factor authentication. This is the single best action you can take to increase your account security.
4.   Use a password manager to make sure you’re using strong, unique passwords everywhere.
 
We are very sorry this happened. We recognize and appreciate the trust you place in us, and are committed to earning that trust every day.
 
Team Twitter
Advertisements

Ubuntu 18.04 LTS is Out Now!

Tiba sããtnya untuk upgrade dari Ubuntu 16.04 LTS ke versi terbarunya.

LTS andalan kependekan dari  “Long Term Support”.

Versi Ubuntu Desktop dan Server dirilis setiap enam bulan sekali. Artinya setiap enam bulan penggunanya dapat melakukan upgrade ke versi terakhir secara “free”. Sedangkan versi LTS dirilis setiap dua tahun. Sebelumnya versi LTS mendapatkan dukungan selama tiga tahun untuk Desktop dan lima tahun untuk Servers. Namun sejak Ubuntu 12.04 baik Desktop maupun Server mendapatkan dukungan selama lima tahun.

Menariknya, upgrade versi Ubuntu SELALU “free”.  

Launching note berikut saya kurir dari http://www.ubuntu.com.

Anda bisa download iso Ubuntu terbarunya dari sini

======

Ubuntu 18.04 LTS optimised for security, multi-cloud, containers & AI

26th April 2018, London, UK: Ubuntu 18.04 LTS – the newest version of the most widely used Linux for workstations, cloud and IoT, is now available.

“Multi-cloud operations are the new normal” said Mark Shuttleworth, CEO of Canonical and founder of Ubuntu. “Boot-time and performance-optimised images of Ubuntu 18.04 LTS on every major public cloud make it the fastest and most efficient OS for cloud computing, especially for storage and compute-intensive tasks like machine learning.”

Kubeflow, the Google approach to TensorFlow on Kubernetes, and a range of CI/CD tools are integrated in Canonical Kubernetes and aligned with Google GKE for on-premise and on-cloud AI development.

“Having an OS that is tuned for advanced workloads such as AI and ML is critical to a high velocity team” said David Aronchick, Product Manager, Cloud AI at Google. “With the release of Ubuntu 18.04 LTS and Canonical’s collaborations to the Kubeflow project, Canonical has provided both a familiar and highly performant operating system that works everywhere. Whether on-premise or in the cloud, software engineers and data scientists can use tools they are already familiar with, such as Ubuntu, Kubernetes and Kubeflow, and greatly accelerate their ability to deliver value for their customers.”

Hardware acceleration with NVIDIA GPUs is integrated in Ubuntu 18.04 LTS cloud images and Canonical’s OpenStack and Kubernetes distributions for on-premise bare metal operations, supporting Kubeflow and other machine learning / AI workflows.

Private cloud alternative to VMware

Canonical OpenStack delivers private cloud with significant savings over VMware and provides a modern, developer-friendly API. With built-in support for NFV and NVIDIA Tesla GPUs as well as other GPUs, the Canonical OpenStack offering has become a reference cloud for digital transformation workloads. Today, Ubuntu is at the heart of the world’s largest OpenStack clouds, both public and private, in key sectors such as finance, media, retail and telecommunications.

Kubernetes

Canonical’s Distribution of Kubernetes (CDK) runs on public clouds, VMware, OpenStack, and bare metal and delivers the latest upstream version, currently Kubernetes 1.10. After the initial three-step guided deployment, the distribution supports upgrades to future versions of Kubernetes, expansion of the Kubernetes cluster on demand, and integration with optional components for storage, networking and monitoring. A range of partners deliver their solutions on CDK, such as Rancher 2.0.

Platform for AI and machine learning

CDK supports GPU acceleration of workloads using the NVIDIA device plugin for Kubernetes. Complex workloads like Kubeflow that leverage NVIDIA GPUs ‘just work’ on CDK, reflecting joint efforts with Google to accelerate machine learning in the enterprise and providing a portable way to develop and deploy ML applications at scale. Applications built and tested with Kubeflow and CDK are perfectly transportable to Google Cloud.

Developers on Ubuntu can create applications on their workstations, test them on private bare-metal Kubernetes with CDK, and run them across vast data sets on Google’s GKE. The resulting models and inference engines can be delivered to Ubuntu devices at the edge of the network, creating a perfect pipeline for machine learning from workstation, to rack, to cloud and device.

Containers for legacy workloads with LXD 3.0

LXD 3.0 enables ‘lift-and-shift’ of legacy workloads into containers for performance and density, an essential part of the enterprise container strategy. While new applications will be built with containers and Kubernetes in mind, the long tail of legacy applications represents the most immediate benefit for data centre operators interested in containers.

LXD provides ‘machine containers’, which behave like virtual machines in that they contain a full and mutable Linux guest operating system such as Ubuntu, RHEL or CentOS. That provides a traditional administration environment for legacy applications, which run at bare metal speeds with no hypervisor latency. Customers using unsupported or end-of-life Linux environments that have not received fixes for critical issues like Meltdown and Spectre can lift and shift those workloads into LXD on Ubuntu 18.04 LTS with all the latest kernel security fixes.

Acceleration of snaps, deployed across desktop to the cloud

With more than 3,000 snaps published and millions installed, including official releases from Spotify, Skype, Slack and Firefox snaps have become a popular way to get apps on Linux. Snaps are fully integrated in Ubuntu GNOME 18.04 LTS and KDE Neon. Publishers deliver updates directly and security is maintained with enhanced kernel isolation and system service mediation.

“Snaps provide a platform for us to deliver our CLI reliably” said Jeff Dickey, CLI Engineer, Heroku. “The automatic updates ensure our users are always using the latest version which saves us a big support headache. We’re very happy to see snaps supported on more and more Linux distributions and becoming the standard for delivering software across Linux.”

Snaps work on desktops, devices, cloud virtual machines and bare-metal servers, providing a consistent delivery mechanism for applications and frameworks. Having an identical platform from workstation to edge and cloud accelerates global deployments and operations. Ubuntu 18.04 LTS features a default GNOME desktop in a family of desktop flavours including KDE, MATE and Budgie.

Ultra fast Ubuntu on your Windows desktop

New Hyper-V optimised images developed in collaboration with Microsoft enhance the virtual machine experience of Ubuntu in Windows. “In our upcoming OS release this spring, Hyper-V’s Quick Create VM Gallery will now include an image for the latest Ubuntu 18.04 LTS, officially stamped straight from Canonical” said Craig Wilhite, Program Manager, Microsoft. “This Ubuntu VM image will come pre-configured to offer clipboard functionality, drive redirection, dynamic resizing of VM console window, and much more as we look to provide a great Hyper-V client VM experience for Linux on Windows.”

Minimal desktop install

The popular new minimal desktop install provides only the core desktop and browser for those looking to save disk space and customise machines with their specific apps or requirements. In corporate environments, the minimal desktop serves as a base for custom desktop images, reducing the security cross-section of the platform.

Ubuntu 18.04 LTS will be available to download by clicking here.

Customer and partner quotes:

“Canonical and IBM have been working closely together to offer cloud solutions with Ubuntu on IBM LinuxONE and IBM Z. With today’s announcement of Ubuntu 18.04 LTS running on IBM LinuxONE and IBM Z with pervasive encryption, customers and service providers will be able to scale-up their containerized applications, manage them more easily with Kubernetes, and better protect them from external and internal attacks.”

Michael Desens, Vice President, Offering Management, IBM Z and LinuxONE, IBM

“Snaps enables us to access more Linux users and opens the market for us to accommodate more distributions. This was our biggest driver to build a Skype snap as it reduces the complexity and time of maintaining several packages across multiple distributions. In addition to that, we want our users to consistently experience the latest and greatest version of Skype and the automatic update feature allows us to seamlessly deliver this to them. It’s such a promising format and an asset for developers to help create unification.”

Jonáš Tajrych, Senior Software Engineer at Skype, Microsoft

“AI and IoT systems cannot be effectively implemented without an open computing platform that supports software agility and device diversity. We expect that the new version of Ubuntu will play this role and accelerate AI and IoT innovations”

Masahisa Kawashima, VP, Head of Software Innovation Center, NTT

“Organizations are increasingly looking to accelerate their deep learning and AI implementations. In addition to using Ubuntu on our DGX systems, we have been working with Canonical to offer Kubernetes on NVIDIA GPUs as a scalable and portable solution for multi-cloud deep learning training and inference workloads.” 

Duncan Poole, Director of Platform Alliances at NVIDIA 

“Canonical is a pioneer in enabling the adoption of infrastructure for optimized cloud workloads. The latest release of Ubuntu with OpenStack and Kubernetes is another significant step in strengthening the ecosystem which will enable compute for trillions of Arm-based devices at the edge and greater performance-per-watt in the datacenter.”

Drew Henry, Senior Vice President and General Manager, Infrastructure Business Unit, Arm

“IBM and Canonical continue to collaborate to rapidly deliver innovation to clients transforming their business to cloud and data rich workloads. The release of Ubuntu 18.04 LTS supporting IBM Power Systems based on POWER9 brings choice and new capabilities to the Linux market.”

Stefanie Chiras, Vice President, Offering Management, IBM Cognitive Systems

“Dell EMC sees great value in Canonical’s Ubuntu 18.04 LTS release.  Dell EMC and Canonical have a long-standing, forward-looking relationship that spans our client, IoT, and enterprise businesses. Our joint customers have come to expect seamless interoperability with our products, which we now extend with certification of our latest 14th Generation PowerEdge server platform on Ubuntu 18.04.”

Ravi Pendekanti, senior vice president, product management and marketing, Dell EMC Server and Infrastructure Systems

“Canonical’s release of Ubuntu 18.04 delivers the key operating system, tools and application support that Cavium’s ThunderX2 end users require across Cloud and HPC deployments. Canonical has aggressively optimized Ubuntu to take advantage of ThunderX2’s high computational performance delivering outstanding memory bandwidth and memory capacity with multiple workload optimized SKUs for both scale up and scale out applications in single and dual socket configurations. Today’s announcement is another exciting milestone in our partnership with the Canonical team and highlights the innovation we continue to deliver to the server market.”

Larry Wikelius, Vice President Software Ecosystem and Solutions Group at Cavium.

-Ends-

 

 

OSX High Sierra Upgrade – Sebuah Catatan

Week end ini salah satu “To Do” item saya adalah mencoba melakukan upgrade OS pada Macbook Pro saya yang saat ini mempergunakan OS Sierra ke versi yang lebih tinggi yaitu High Sierra. Beruntung, meski sudah tergolong “tua” mesin saya ternyata masih disupport untuk bisa ikut mencicipi OS terbaru besutan Apple ini. 

Sebagai langkah awal proses upgrade adalah melakukan riset “Do’s and Don’t” yang perlu diingat ketika melakukan proses upgrade ini. Banyak situs yang memberikan informasi mengenai hal ini. Googling aja, umumnya mereka menyarankan untuk melakukan pengecekan kompatibilitas mesin, kemudian -tentu saja- backup terlebih dahulu dan ini yang penting: pengecekan sisa space storage. Proses upgrade memerlukan sekitarnya 15-20GB tambahan sehingga Anda perlu memastikan kecukupan space yang tersisa di hard drive Anda. Dalam kasus saya, hard drive saya masih ada space sekitarnya 60GB jadi seharusnya Ok. Jadi saya putuskan untuk “go ahead”.

Saya melakukan upgrade melalui App Store. Tinggal cari High Sierra di App Store, click Download dan biarkan proses berjalan secara otomatis. Cukup makan waktu prosesnya, dan akan ada restart beberapa kali. Dalam kasus saya memakan waktu sekitarnya 3 jam. So, jangan lakukan hal ini ketika jam kerja atau ketika pekerjaan Anda sedang “peak” 🙂

Upgrade selesai, dan coba login … lancar. Coba semua applications, looks okey … tapi ternyata … very slow. Performance mesin jadi lambat sekali. Cannot accept it!

Googling dan ketemu beberapa artikel terkait hal ini. Ternyata “known problems”. Berikut beberapa article mengenai hal ini:

https://www.softwarehow.com/high-sierra-slow/
https://techsviewer.com/macos-high-sierra-slow-fixes/

Secara garis besar menyatakan bahwa OS ini memerlukan resource lebih besar untuk bekerja. Dan umumnya menyatakan bahwa langkah pertama troubleshoot adalah memastikan disk space dalam posisi cukup, artinya saya harus membuang file-file yang tidak diperlukan lagi atau memindahkan file tersebut ke media penyimpanan lain. Setelah hapus ini itu, akhirnya sisa disk space saya bertambah jadi 80GB. Barulah, performance kembali normal.

Jadi kesimpulan yang saya bisa ambil hari ini adalah: jika Anda tidak perlu fitur-fitur dari High Sierra dan cukup happy dengan Sierra, saya tidak recommend Anda untuk upgrade. Terutama apabila Anda memiliki mesin yang cukup usang (early 2011) seperti punya saya 🙂

Again, pengalaman adalah guru yang terbaik.

UPDATED – 27 October 2017

Setelah beberapa hari pemakaian, performance masih naik turun. Artinya hipotesa tentang space disk di atas belum menyelesaikan masalah. Sesuai arahan, saya coba memantau proses via Activity Monitor. Dan ternyata ada satu proses yang sering muncul yaitu “com.apple.photos.videoconversionservice” yang mengambil resource CPU saya secara significant.

Googling lagi. Again, known problems.

https://discussions.apple.com/thread/7032541?start=0&tstart=0

Intinya: proses ini adalah proses yang diperlukan untuk melakukan upload foto dan video ke iCloud. Ini rupanya “culprit” nya 😦

Resolutions:

Go to photos app; Photos dropdown, Preferences, select the iCloud tab, deselect all the check boxes in this tab.  (fixing the problem may not require deselecting all of these boxes.)

So far, performance terpantau normal.

Pantau terus.

UPDATED – 1 November 2017

Sampai saat ini tidak ada keluhan performance. Normal!

Case closed. 🙂

Selamat Datang Ubuntu 17.10

Beberapa hari lalu dapat kabar kalau Ubuntu terbaru -17.10- sudah rilis. Sekilas baca ulasannya sepertinya menarik untuk dicoba.

Berikut kutipan dari situs resmi Ubuntu.com

Ubuntu 17.10 releases with GNOME, Kubernetes 1.8 & minimal base images

 

19th October, London, UK: Canonical today announced the release of Ubuntu 17.10 featuring a new GNOME desktop on Wayland, and new versions of KDE, MATE and Budgie to suit a wide range of tastes. On the cloud, 17.10 brings Kubernetes 1.8 for hyper-elastic container operations, and minimal base images for containers. This is the 27th release of Ubuntu, the world’s most widely used Linux, and forms the baseline for features in the upcoming Long Term Support enterprise-class release in April 2018.

“Ubuntu 17.10 is a milestone in our mission to enable developers across the cloud and the Internet of Things” said Mark Shuttleworth, CEO and Founder of Canonical. “With the latest capabilities in Linux, it provides a preview of the next major LTS and a new generation of operations for AI, container-based applications and edge computing.”

Enhanced security and productivity for developers

The Atom editor and Microsoft Visual Studio Code are emerging as the new wave of popular development tools, and both are available across all supported releases of Ubuntu including 16.04 LTS and 17.10.

The new default desktop features the latest version of GNOME with extensions developed in collaboration with the GNOME Shell team to provide a familiar experience to long-standing Ubuntu users. 17.10 will run Wayland as the default display server on compatible hardware, with the option of Xorg where required.

Connecting to WiFi in public areas is simplified with support for captive portals. Firefox 56 and Thunderbird 52 both come as standard together with the latest LibreOffice 5.4.1 suite. Ubuntu 17.10 supports driverless printing with IPP Everywhere, Apple AirPrint, Mopria, and WiFi Direct. This release enables simple switching between built-in audio devices and Bluetooth.

Secure app distribution with snaps

In the 6 months since April 2017, the number of snaps has doubled with over 2000 now available for Ubuntu, Debian, Solus and other Linux distributions. Snaps are a single delivery and update mechanism for an application across multiple Linux releases, and improve security by confining the app to its own set of data. Hiri, Wavebox, and the Heroku CLI are notable snaps published during this cycle.

Ubuntu 17.10 features platform snaps for GNOME and KDE which enable developers to build and distribute smaller snaps with shared common libraries. Delta updates already ensure that snap updates are generally faster, use less bandwidth, and are more reliable than updates to traditional deb packages in Ubuntu.

The catkin Snapcraft plugin enables Robot Operating System (ROS) snaps for secure, easily updated robots and drones. There are many new mediated secure interfaces available to snap developers, including the ability to use Amazon Greengrass and Password Manager.

The latest hardware support and container capabilities

Ubuntu 17.10 ships with the 4.13 based Linux kernel, enabling the latest hardware and peripherals from ARM, IBM, Dell, Intel, and others. The 17.10 kernel adds support for OPAL disk drives and numerous improvements to disk I/O. Namespaced file capabilities and Linux Security Module stacking reinforce Ubuntu’s leadership in container capabilities for cloud and bare-metal Kubernetes, Docker and LXD operations.

Canonical’s Distribution of Kubernetes, CDK, supports the latest 1.8 series of Kubernetes. In addition to supporting the new features of Kubernetes 1.8, CDK also enables native cloud integration with AWS, native deployment and operations on VMWare, Canal as an additional networking choice, and support for the IBM Z and LinuxONE.

Netplan by default

Network configuration has over the years become fragmented between NetworkManager, ifupdown and other tools. 17.10 introduces netplan as the standard declarative YAML syntax for configuring interfaces in Ubuntu. Netplan is backwards compatible, enabling interfaces to continue to be managed by tools like NetworkManager, while providing a simple overview of the entire system in a single place. New installations of Ubuntu 17.10 will use Netplan to drive systemd-networkd and NetworkManager. Desktop users will see their system fully managed by NetworkManager as in previous releases. On Ubuntu server and in the cloud, users now have their network devices assigned to systemd-networkd in netplan. Ifupdown remains supported; upgrades will continue to use ifupdown and it can be installed for new machines as needed.

IOS 11 – Masih Bisa Pakaikah Perangkat Anda?

Baru-baru ini Apple mengumumkan rencana mengenai dirilisnya OS perangkat mobile terbarunya yakni IOS 11 dalam acara tahunan mereka WWDC17. Seperti biasa, para fans Apple sudah tidak sabar menanti apa saja fitur barunya meski OS ini baru akan resmi dirilis pada sekitar bulan September tahun ini.

Jangan buru-buru bahagia dulu, sebelumnya cek dulu perangkat Anda apakah masuk daftar perangkat yang didukung (atau bisa memakai) IOS 11 sebagaimana dikutip dari http://osxdaily.com/2017/06/06/ios-11-compatible-devices-list/   ini:

Kalau perangkat Anda tidak termasuk, Anda tetap punya pilihan untuk tetap di IOS 10. Tapi jika Anda ingin sekali memakai IOS 11, mungkin Anda perlu menabung mulai sekarang 🙂

Bad Sierra OS Upgrade -near ‘reinstall’ situation :-)

This morning today I just had a bad experience with my MacBook pro. I am using quite old -early 2011- version of MacBook Pro for daily work and so far it is working fine. It is running on Sierra OS and I have no complaint about it until this morning.

I recently received an alert from the system that new software updated available and last week -I think- I did follow the instruction to updated my mac. The update went fine, no problem until this morning. I shut down the machine normally yesterday. But this morning when I try to boot my machine, something strange happened. I cannot find my users to log in! Not only that, I cannot find others users list as well. There were only two blank field where I tried to enter my user name and my password (it is an admin account) and it is not working. Tried to reboot it several times but no luck.

I did some quick research on google and found that some users had experienced this same issues sometimes in year 2016 on Sierra 10.12.2. That’s weird considering that I only have this problem on recent Sierra update -10.12.5 last week end!

There were some recommendations provided on the internet or apple support. After read it thoroughly -well to reinstall the OS is my very last option- I decided to do this recommendation. At least I try it first 🙂

.

 

To reset the password for a user in recovery mode, and to keep data, you may type ‘resetpassword‘ into the terminal which can be found by clicking on the top menu under utilities

Note that while doing the password reset steps, you will be asked to provide your iCloud password.

I never tried to use the mac recovery mode before. Basically during the booting, you have to press Cmd-R buttons and you will have the recovery screen. There you can choose your recovery options including recovery from backup (Mac call it as “Time Machine”).

So I followed the instruction and did the “resetpassword” steps, restart and try my new password but still not working. After some more booting, and finally it works!

Not sure what’s really happened, but some said that the update has affected the user account folder on mac.

I have used OSX since Mountain Lion in 2011. Based on my experience, the worst version is Maverick. I think I wrote about that in this blog also. After some versions upgrade, this is the first problem I had. Quite disappointing though.

But I guess it is still better that Windows, I think 🙂

Ingin Tenang? Lakukan Patching!

Tulisan ini sebenarnya masih terkait tulisan saya sebelumnya mengenai serangan malware ransomware WannaCry. Terus terang tulisan saya tersebut lebih ditujukan kepada tim IT yang ada di organisasi/perusahaan karena menurut saya dampak ransomware akan lebih besar  bagi organisasi/perusahaan.  Akan tetapi dari pantauan dan interaksi saya di beberapa grup instant messaging ataupun media sosial ketika kehebohan WannaCry terjadi ternyata keresahan atau kekuatiran (akan terinfeksi) pun melanda para pengguna komputer rumahan/pribadi.

WannaCry-Windows7

WannaCry menyerang komputer yang tidak terlindungi dari kelemahan sistem remote code execution pada SMBv1 yang ada di sistem Microsoft sebagaimana dipublikasikan pada Microsoft Security Bulletin MS17-010 Critical, pada tanggal 14 Maret 2017.  Jadi di sini kata kuncinya adalah sudah atau tidaknya sebuah komputer terupdate dengan pembaharuan program (patch) dari Microsoft ini.  Tapi rupanya terminologi Patch atau update masih terdengar asing bagi kebanyakan pengguna. Rata-rata mereka tidak tahu atau bingung bagaimana melakukan patch sistem operasi mereka.

Jadi, sebenarnya apa sih Patch itu?

Menurut wikipedia, ” A patch is a piece of software designed to update a computer program or its supporting data, to fix or improve it.[1] This includes fixing security vulnerabilities[1] and other bugs, with such patches usually called bugfixes or bug fixes,[2] and improving the usability or performance

Kalau bahasa gampang saya, karena software dibuat oleh manusia maka tidak ada software yang sempurna. Baik di sisi fungsionalitas maupun sisi keamanan. Karenanya si pembuat software merasa perlu untuk melakukan perbaikan softwarenya. Perbaikan itu berupa patch yang harus dipasang/install ke software tersebut. Konteks patch yang saya maksud dalam tulisan saya ini adalah patch yang terkait dengan keamanan sistem.

Di dunia ini selalu ada dua sisi yang berseberangan. Dalam konteks keamanan sistem, di satu sisi ada sekelompok orang yang melakukan riset dan study untuk menemukan kelemahan sebuah sistem dan di sisi yang lain, si pembuat software harus menutup kelemahan yang telah ditemukan. Hampir setiap hari ditemukan kelemahan atau biasa disebut vulnerability baru yang dipublikasikan. Contoh situs yang mempublikasikan vulnerability tersebut adalah milik NIST di https://nvd.nist.gov/home ataupun https://www.cvedetails.com.

Berdasarkan vulnerability yang ditemukan, si pembuat software harus segera membuat program untuk menutupi kelemahan tersebut. Nah, serunya ternyata tidak hanya pembuat software yang mempergunakan vulnerability ini. Ada juga sekelompok orang -mungkin bisa disebut sebagai hacker– yang membuat juga program yang memanfaatkan kelemahan sistem ini untuk kepentingan tertentu. Ini yang biasa disebut dengan Exploit.

Menurut wikipedia, an exploit (from the English verb to exploit, meaning “using something to one’s own advantage”) is a piece of software, a chunk of data, or a sequence of commands that takes advantage of a bug or vulnerability in order to cause unintended or unanticipated behavior to occur on computer software, hardware, or something electronic (usually computerized). Such behavior frequently includes things like gaining control of a computer system, allowing privilege escalation, or a denial-of-service (DoS or related DDoS) attack

Ibaratnya, seseorang menemukan bahwa pada jendela sebuah rumah tidak didisain dengan baik sehingga dengan sebuah cara/alat tertentu jendela itu akan dapat dibuka dan seseorang dapat masuk ke dalam rumah tersebut. Kemudian, temuan itu dipublikasikan. Jelas disebutkan alamat rumahnya dan jendela yang sebelah mana. Berdasarkan temuan tersebut, tentu si pemilik rumah harus memperbaiki disain jendela rumahnya untuk mencegah orang menyalahgunakan kesalahan disain tersebut. Nah, pada saat yang sama ada juga orang lain yang membuatkan alat untuk membuka jendela tersebut.

Di sini si pemilik rumah (pembuat software) harus secepat mungkin memperbaiki kelemahan disain jendela tersebut agar rumahnya tidak dimasuki orang!

Zero-day Vulnerability

Dalam kondisi sebuah exploit telah tersedia secara publik atau sebuah serangan telah terjadi, sementara patch untuk memperbaiki kelemahan sistem belum tersedia (disediakan oleh si pembuat software) maka kondisi ini dikenal dengan istilah Zero-day Vulnerability.

Menurut Wikipedia, A zero-day (also known as zero-hour or 0-day or day zero) vulnerability is an undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network.[1]

Jadi, apa yang harus dilakukan? 

Kali ini saya tidak membahas proses pemeliharaan untuk organisasi atau perusahaan dimana tentu sudah ada tim IT yang secara khusus bertugas memelihara sistem termasuk keamanannya. Kendala-kendala dalam proses patch telah saya singgung di tulisan saya terdahulu. Fokus tulisan saya kali ini adalah untuk pengguna komputer personal/rumahan.

Pengkinian software baik aplikasi maupun sistem operasi (Windows, Linux, MacOSX, Android, IOS) harus rutin dilakukan. Sebenarnya, secara rutin pembuat software maupun sistem operasi akan melakukan pembaharuan software atau sistem operasi melalui sistem mekanisme update yang sudah tersedia di sistem. Apabila komputer terhubung ke internet maka biasanya akan muncul notifikasi atau pemberitahuan kepada pengguna bahwa sebuah update atau patch telah tersedia untuk diunduh dan dipasang.  Pengguna tinggal mengikuti instruksi yang tersedia.

Dalam kasus ransomware WannaCry, sebenarnya patch sudah tersedia di bulan Maret 2017 dan insiden/attack terjadi di bulan Mei 2017. Jadi dalam kenyataannya banyak pengguna yang tidak mengindahkan notification/pemberitahuan tersebut dan tidak melakukan patch sehingga komputer mereka berisiko terinfeksi malware tersebut.  

Proses sistem update dapat dilakukan secara otomatis selama komputer terkoneksi ke internet. Contoh bagaimana melakukan konfigurasi sistem agar dapat melakukan update secara otomatis dapat dilihat di sini –> http://www.wikihow.com/Enable-Automatic-Updates. Untuk sistem operasi Linux dan MacOSX umumnya sudah didisain by default untuk menerima notifikasi/alert mengenai adanya update. Sekali lagi dengan catatan selama terkoneksi ke internet!

Jadi, sebenarnya mudah .. pastikan saja komputer Anda sudah terkonfigur secara otomatis untuk menerima update. Dan apabila ada informasi bahwa update telah tersedia, tinggal klik dan ikuti langkah-langkahnya. Beberapa update perlu restart agar berfungsi. 

Catatan penting

Umumnya pembuat software HANYA menyediakan update untuk aplikasi atau sistem operasi yang masih dalam masa dukungan mereka.  Misalnya, secara resmi Microsoft sebenarnya telah mencabut dukungan teknis (termasuk penyediaan patch) untuk Windows XP sejak April 2014. Rilis Ubuntu Linux akan mendapatkan dukungan paling tidak selama 9 (sembilan) bulan sejak dirilis, kecuali untuk versi LTS (Long Time Support) yaitu selama 5 (lima) tahun. Konsekuensi apabila Anda masih mempergunakan versi aplikasi atau sistem operasi yang sudah tidak didukung adalah tentu Anda harus melakukan upgrade aplikasi atau sistem operasi Anda ke versi yang lebih tinggi.

Sebagai penutup, menurut saya berikut adalah beberapa kendala/hambatan yang mengakibatkan proses patch tidak berjalan baik bagi pengguna komputer personal/rumahan:

  • Kesadaran pengguna terhadap pentingnya update/patch
    Ketidakpedulian atau ketidaktahuan masih jadi faktor penting. Ini jadi tantangan para praktisi keamanan informasi untuk menyebarkan kesadaran keamanan komputer.
  • Koneksi internet
    Harus diakui bahwa ini masih jadi kendala di Indonesia dimana penetrasi internet belum merata ke seluruh wilayah Indonesia. Terjangkaupun belum tentu mendapatkan koneksi dan kecepatan yang stabil. Terkadang memang proses patch memerlukan waktu yang lumayan lama apabila pengguna baru pertama kali melakukan patch (karena jumlah patch yang perlu didownload lumayan banyak atau koneksi yang lemot). Akan tetapi bagi yang berada di kota-kota yang sudah terjangkau internet yang relatif stabil dan cepat, harusnya hal ini tidak menjadi masalah.
    Apabila komputer dalam posisi off-line, harus diupayakan metode lain agar komputer juga dapat selalu mendapatkan patch/update secara teratur. Misalnya melakukan download patch dari warnet ke dalam media CD atau usb drive, kemudian melakukan instalasi manual ke komputer off-line tersebut.
  • Sistem Operasi Bajakan (Pirated),
    Saya tidak punya statistik pengguna OS bajakan di Indonesia, tetapi saya yakin jumlahnya masih cukup banyak. Untuk menghindari terdeteksinya OS bajakan yang mereka pakai, fitter otomatis update yang ada di OS sengaja dimatikan.  Saya tidak punya solusi bagi mereka kecuali menyarankan untuk mempergunakan software original atau berpindah ke Linux 🙂
  • Kelemahan Sistem Operasi itu sendiri
    Bagi pengguna awam, melakukan konfigurasi sederhana pun adalah hal yang membingungkan. Sehingga seharusnya pembuat aplikasi atau sistem operasi HARUS secara default membuat aplikasi atau sistem operasinya terupdate secara otomatis. Seperti halnya Linux dan MacOSX, sejak Windows 10 Microsoft sudah secara default melakukan hal ini.

Secara konsep, tulisan ini juga applicable untuk mobile OS seperti Android, Windows Phone ataupun IOS. Seperti halnya komputer, mobile device pun memiliki risiko yang sama dengan komputer.

Jadi kalau Anda tidak mau panik ketika ada serangan, mulai sekarang update komputer Anda secara teratur. Percayalah, there will be more malware and threat to come!

—-

Tulisan ini dibuat dalam rangka ikut berpartisipasi untuk mencerdaskan kehidupan bangsa khususnya di bidang keamanan informasi.