Ingin Tenang? Lakukan Patching!

Tulisan ini sebenarnya masih terkait tulisan saya sebelumnya mengenai serangan malware ransomware WannaCry. Terus terang tulisan saya tersebut lebih ditujukan kepada tim IT yang ada di organisasi/perusahaan karena menurut saya dampak ransomware akan lebih besar  bagi organisasi/perusahaan.  Akan tetapi dari pantauan dan interaksi saya di beberapa grup instant messaging ataupun media sosial ketika kehebohan WannaCry terjadi ternyata keresahan atau kekuatiran (akan terinfeksi) pun melanda para pengguna komputer rumahan/pribadi.

WannaCry-Windows7

WannaCry menyerang komputer yang tidak terlindungi dari kelemahan sistem remote code execution pada SMBv1 yang ada di sistem Microsoft sebagaimana dipublikasikan pada Microsoft Security Bulletin MS17-010 Critical, pada tanggal 14 Maret 2017.  Jadi di sini kata kuncinya adalah sudah atau tidaknya sebuah komputer terupdate dengan pembaharuan program (patch) dari Microsoft ini.  Tapi rupanya terminologi Patch atau update masih terdengar asing bagi kebanyakan pengguna. Rata-rata mereka tidak tahu atau bingung bagaimana melakukan patch sistem operasi mereka.

Jadi, sebenarnya apa sih Patch itu?

Menurut wikipedia, ” A patch is a piece of software designed to update a computer program or its supporting data, to fix or improve it.[1] This includes fixing security vulnerabilities[1] and other bugs, with such patches usually called bugfixes or bug fixes,[2] and improving the usability or performance

Kalau bahasa gampang saya, karena software dibuat oleh manusia maka tidak ada software yang sempurna. Baik di sisi fungsionalitas maupun sisi keamanan. Karenanya si pembuat software merasa perlu untuk melakukan perbaikan softwarenya. Perbaikan itu berupa patch yang harus dipasang/install ke software tersebut. Konteks patch yang saya maksud dalam tulisan saya ini adalah patch yang terkait dengan keamanan sistem.

Di dunia ini selalu ada dua sisi yang berseberangan. Dalam konteks keamanan sistem, di satu sisi ada sekelompok orang yang melakukan riset dan study untuk menemukan kelemahan sebuah sistem dan di sisi yang lain, si pembuat software harus menutup kelemahan yang telah ditemukan. Hampir setiap hari ditemukan kelemahan atau biasa disebut vulnerability baru yang dipublikasikan. Contoh situs yang mempublikasikan vulnerability tersebut adalah milik NIST di https://nvd.nist.gov/home ataupun https://www.cvedetails.com.

Berdasarkan vulnerability yang ditemukan, si pembuat software harus segera membuat program untuk menutupi kelemahan tersebut. Nah, serunya ternyata tidak hanya pembuat software yang mempergunakan vulnerability ini. Ada juga sekelompok orang -mungkin bisa disebut sebagai hacker– yang membuat juga program yang memanfaatkan kelemahan sistem ini untuk kepentingan tertentu. Ini yang biasa disebut dengan Exploit.

Menurut wikipedia, an exploit (from the English verb to exploit, meaning “using something to one’s own advantage”) is a piece of software, a chunk of data, or a sequence of commands that takes advantage of a bug or vulnerability in order to cause unintended or unanticipated behavior to occur on computer software, hardware, or something electronic (usually computerized). Such behavior frequently includes things like gaining control of a computer system, allowing privilege escalation, or a denial-of-service (DoS or related DDoS) attack

Ibaratnya, seseorang menemukan bahwa pada jendela sebuah rumah tidak didisain dengan baik sehingga dengan sebuah cara/alat tertentu jendela itu akan dapat dibuka dan seseorang dapat masuk ke dalam rumah tersebut. Kemudian, temuan itu dipublikasikan. Jelas disebutkan alamat rumahnya dan jendela yang sebelah mana. Berdasarkan temuan tersebut, tentu si pemilik rumah harus memperbaiki disain jendela rumahnya untuk mencegah orang menyalahgunakan kesalahan disain tersebut. Nah, pada saat yang sama ada juga orang lain yang membuatkan alat untuk membuka jendela tersebut.

Di sini si pemilik rumah (pembuat software) harus secepat mungkin memperbaiki kelemahan disain jendela tersebut agar rumahnya tidak dimasuki orang!

Zero-day Vulnerability

Dalam kondisi sebuah exploit telah tersedia secara publik atau sebuah serangan telah terjadi, sementara patch untuk memperbaiki kelemahan sistem belum tersedia (disediakan oleh si pembuat software) maka kondisi ini dikenal dengan istilah Zero-day Vulnerability.

Menurut Wikipedia, A zero-day (also known as zero-hour or 0-day or day zero) vulnerability is an undisclosed computer-software vulnerability that hackers can exploit to adversely affect computer programs, data, additional computers or a network.[1]

Jadi, apa yang harus dilakukan? 

Kali ini saya tidak membahas proses pemeliharaan untuk organisasi atau perusahaan dimana tentu sudah ada tim IT yang secara khusus bertugas memelihara sistem termasuk keamanannya. Kendala-kendala dalam proses patch telah saya singgung di tulisan saya terdahulu. Fokus tulisan saya kali ini adalah untuk pengguna komputer personal/rumahan.

Pengkinian software baik aplikasi maupun sistem operasi (Windows, Linux, MacOSX, Android, IOS) harus rutin dilakukan. Sebenarnya, secara rutin pembuat software maupun sistem operasi akan melakukan pembaharuan software atau sistem operasi melalui sistem mekanisme update yang sudah tersedia di sistem. Apabila komputer terhubung ke internet maka biasanya akan muncul notifikasi atau pemberitahuan kepada pengguna bahwa sebuah update atau patch telah tersedia untuk diunduh dan dipasang.  Pengguna tinggal mengikuti instruksi yang tersedia.

Dalam kasus ransomware WannaCry, sebenarnya patch sudah tersedia di bulan Maret 2017 dan insiden/attack terjadi di bulan Mei 2017. Jadi dalam kenyataannya banyak pengguna yang tidak mengindahkan notification/pemberitahuan tersebut dan tidak melakukan patch sehingga komputer mereka berisiko terinfeksi malware tersebut.  

Proses sistem update dapat dilakukan secara otomatis selama komputer terkoneksi ke internet. Contoh bagaimana melakukan konfigurasi sistem agar dapat melakukan update secara otomatis dapat dilihat di sini –> http://www.wikihow.com/Enable-Automatic-Updates. Untuk sistem operasi Linux dan MacOSX umumnya sudah didisain by default untuk menerima notifikasi/alert mengenai adanya update. Sekali lagi dengan catatan selama terkoneksi ke internet!

Jadi, sebenarnya mudah .. pastikan saja komputer Anda sudah terkonfigur secara otomatis untuk menerima update. Dan apabila ada informasi bahwa update telah tersedia, tinggal klik dan ikuti langkah-langkahnya. Beberapa update perlu restart agar berfungsi. 

Catatan penting

Umumnya pembuat software HANYA menyediakan update untuk aplikasi atau sistem operasi yang masih dalam masa dukungan mereka.  Misalnya, secara resmi Microsoft sebenarnya telah mencabut dukungan teknis (termasuk penyediaan patch) untuk Windows XP sejak April 2014. Rilis Ubuntu Linux akan mendapatkan dukungan paling tidak selama 9 (sembilan) bulan sejak dirilis, kecuali untuk versi LTS (Long Time Support) yaitu selama 5 (lima) tahun. Konsekuensi apabila Anda masih mempergunakan versi aplikasi atau sistem operasi yang sudah tidak didukung adalah tentu Anda harus melakukan upgrade aplikasi atau sistem operasi Anda ke versi yang lebih tinggi.

Sebagai penutup, menurut saya berikut adalah beberapa kendala/hambatan yang mengakibatkan proses patch tidak berjalan baik bagi pengguna komputer personal/rumahan:

  • Kesadaran pengguna terhadap pentingnya update/patch
    Ketidakpedulian atau ketidaktahuan masih jadi faktor penting. Ini jadi tantangan para praktisi keamanan informasi untuk menyebarkan kesadaran keamanan komputer.
  • Koneksi internet
    Harus diakui bahwa ini masih jadi kendala di Indonesia dimana penetrasi internet belum merata ke seluruh wilayah Indonesia. Terjangkaupun belum tentu mendapatkan koneksi dan kecepatan yang stabil. Terkadang memang proses patch memerlukan waktu yang lumayan lama apabila pengguna baru pertama kali melakukan patch (karena jumlah patch yang perlu didownload lumayan banyak atau koneksi yang lemot). Akan tetapi bagi yang berada di kota-kota yang sudah terjangkau internet yang relatif stabil dan cepat, harusnya hal ini tidak menjadi masalah.
    Apabila komputer dalam posisi off-line, harus diupayakan metode lain agar komputer juga dapat selalu mendapatkan patch/update secara teratur. Misalnya melakukan download patch dari warnet ke dalam media CD atau usb drive, kemudian melakukan instalasi manual ke komputer off-line tersebut.
  • Sistem Operasi Bajakan (Pirated),
    Saya tidak punya statistik pengguna OS bajakan di Indonesia, tetapi saya yakin jumlahnya masih cukup banyak. Untuk menghindari terdeteksinya OS bajakan yang mereka pakai, fitter otomatis update yang ada di OS sengaja dimatikan.  Saya tidak punya solusi bagi mereka kecuali menyarankan untuk mempergunakan software original atau berpindah ke Linux 🙂
  • Kelemahan Sistem Operasi itu sendiri
    Bagi pengguna awam, melakukan konfigurasi sederhana pun adalah hal yang membingungkan. Sehingga seharusnya pembuat aplikasi atau sistem operasi HARUS secara default membuat aplikasi atau sistem operasinya terupdate secara otomatis. Seperti halnya Linux dan MacOSX, sejak Windows 10 Microsoft sudah secara default melakukan hal ini.

Secara konsep, tulisan ini juga applicable untuk mobile OS seperti Android, Windows Phone ataupun IOS. Seperti halnya komputer, mobile device pun memiliki risiko yang sama dengan komputer.

Jadi kalau Anda tidak mau panik ketika ada serangan, mulai sekarang update komputer Anda secara teratur. Percayalah, there will be more malware and threat to come!

—-

Tulisan ini dibuat dalam rangka ikut berpartisipasi untuk mencerdaskan kehidupan bangsa khususnya di bidang keamanan informasi.

 

 

 

 

 

 

Advertisements

“WannaCry” – Mimpi Buruk di Akhir Pekan

Akhir minggu ini rupanya bukanlah week end biasa khususnya bagi orang yang bekerja di bidang IT Infrastruktur ataupun IT Security. Sejak pagi, linimasa di Twitter sudah diramaikan dengan berita tentang terjadinya serangan ransomware secara massive di banyak negara. Mengutip dari cnn.com serangan terjadi lebih 75.000 serangan di 99 negara. Masih dari berita yang sama, 16 National Health Services (NHS) di UK terkena dampaknya sehingga berpengaruh terhadap pelayanan kesehatan, Spanish Telecomm Company Telefonica (SEF) dan FedEx juga dilaporkan terdampak serangan tersebut.

Siangnya, portal berita terkemuka di Indonesia pun memberitakan bahwa sebuah Rumah Sakit di Jakarta terkena serangan di sistem antriannya. Disusul berita-berita lain yang mengkonfirmasi bahwa Indonesia termasuk dalam 99 negara yang terinfeksi. Serangan ini begitu massive seperti digambarkan pada peta yang dikutip dari rt.com dimana hampir merata ke seluruh dunia. Ya, “WannaCry” telah menjadi serangan ransomware terbesar dalam sejarah hanya dalam hitungan jam!

Serangan ransomware yang diberi nama “WannaCry” ini seolah menjadi mimpi buruk di akhir minggu, meski dampak yang sesungguhnya baru akan terlihat di hari Senin pagi mengingat perkantoran baru akan buka dimana banyak komputer akan dinyalakan dan terhubung ke jaringan.

Ransomware menurut wiki adalah  a type of malicious software designed to block access to a computer system or data until a ransom is paid. Ransomware tergolong malware yang akan melakukan enkripsi pada data-data korbannya. Untuk membuka enkripsi tersebut korban harus menyerahkan sejumlah uang kepada pembuat malware tersebut sebagai tebusan guna mendapatkan “kunci” untuk melakukan dekripsi pada data-data yang terenkripsi tersebut.  Dalam kasus “WannaCry” korban diminta untuk membayar tebusan US$300 dalam bentuk bitcoin. Dalam publikasi symantec.com “WannaCry” akan mengenkripsi file-file (termasuk file gambar dan microsoft office) dan kemudian menambahkan ekstensi .WCRY pada akhir nama file.

“WannaCry” memanfaatkan kelemahan sistem remote code execution pada SMBv1 yang ada di sistem Microsoft sebagaimana dipublikasikan pada Microsoft Security Bulletin MS17-010 Critical, pada tanggal 14 Maret 2017.

Munculnya “WannaCry” dikaitkan dengan dibocorkannya powerful hacking tools milik National Security Agency (NSA) oleh Group Hacker yang bernama Shadow Broker pada pertengahan April 2017 lalu. Hacker tersebut mempublikasikan exploit yang berguna untuk memanfaatkan kelemahan pada sistem operasi Windows. Exploit ini dikenal dengan sebutan Project EternalBlue. Pihak Microsoft menjelaskan bahwa daftar exploit tersebut telah diperbaiki pada patch bulan Maret 2017.

Well, we live in a powerful global world !

Dalam waktu singkat seluruh praktisi keamanan dunia bereaksi. Microsoft pun merilis patch untuk Windows XP, Windows 8 dan Windows Server 2003. Note bahwa Microsoft sebenarnya telah menghapuskan support untuk platform-platform tersebut.

Melalui twitter misalnya, solusi sementara dilontarkan untuk  membuka koneksi ke domain tertentu sehingga malware berhenti!  Per tulisan ini dibuat, solusi ini masih efektif untuk menghentikan serangan/menonaktifkan payload.

Secara lokal, ID-SIRTII selaku penanggungjawab kegiatan tanggap apabila terjadi insiden keamanan informasi memberikan beberapa tips sebagaimana dikutip dari detik.com sbb:
1. update security pada sistem operasi windows yang digunakan dengan menginstal Patch MS17-010 yang telah dikeluarkan oleh Microsoft, melalui tautan ini.
2. Jangan mengaktifkan fungsi macros
3. Non aktifkan fungsi SMB v1
4. Lakukan pemblokiran pada akses port 139/445 dan 3389
5. Backup file penting yang ada di komputer pada lokasi lain

Keamanan sistem informasi adalah proses yang terus menerus. Tanpa manajemen sistem keamanan informasi (information security management system) yang baik maka organisasi akan selalu berada di posisi reaktif dan selalu berada di belakang insiden.

Beberapa catatan penting terkait insiden keamanan informasi besar hari ini adalah:

Patch and Patch and Patch!

Salah satu proses dalam dunia keamanan informasi adalah memastikan bahwa setiap sistem selalu dalam kondisi aman. Termasuk didalamnya adalah melakukan pemeliharaan rutin pada sistem berupa patching (pemutakhiran sistem) untuk memastikan bahwa tidak terdapat kelemahan pada sistem. Faktor penting dalam proses patching adalah kedisiplinan dari tim IT karena proses ini harus dilakukan secara terus menerus. Identify Vulnerability – Test Patch – Deploy Patch – Monitoring, begitu seterusnya. Untuk memperkuat keyakinan, perlu dilakukan juga vulnerability assessment teratur dari pihak independen. Dalam standar keamanan sistem informasi (ISMS) ISO 27002  disyaratkan bahwa Management of Technical Vulnerabilities harus dilakukan (clause 12.6.1).

Permasalahan umum yang sering menjadi kendala dalam proses patching adalah:

  • Tersedianya automated system untuk melakukan patching
  • Variasi sistem operasi dan aplikasi
  • Jumlah sistem dalam environment IT
  • Jumlah sumber daya IT yang dialokasikan untuk proses patching
  • Kesadaran pengguna

Back Up, Back Up and Back Up! 

Ransomware meminta korban untuk membayar sejumlah tebusan guna mendapatkan “kunci” enkripsi. Apabila tidak dibayar, dalam periode tersebut grup hacker akan menghapus kunci tersebut sehingga otomatis file tersebut tidak akan bisa dibuka untuk selamanya.

Harus disadari bahwa tidak semua orang/perusahaan mau membayar tebusan kepada grup hacker. Sehingga satu-satunya cara untuk mendapatkan file-file kembali adalah dengan melakukan pemulihan dengan cara restore dari file backup. Namun proses restore tidak akan dapat dilakukan apabila proses backup tidak pernah dilakukan atau tidak dilakukan secara teratur!

Standar keamanan informasi (ISMS) ISO 27002 mengharuskan untuk dilakukan backup untuk menghindari hilangnya data (clause 12.3.1).

User Awareness – Human is the weakest link

Umumnya malware masuk melalui email, usb-port ataupun peramban (browser). Sekalipun tim IT telah melakukan proteksi sistem dengan mempergunakan teknologi, manusia tetap merupakan kelemahan terbesar karena dialah yang berinteraksi dengan email, mempergunakan usb-drive dan melakukan selancar di dunia maya melalui peramban. Sehingga terhadap pengguna komputer perlu diinformasikan risiko-risiko keamanan informasi yang berhubungan dengan aktifitasnya.

Standar keamanan informasi (ISMS) ISO 27002 mengharuskan untuk dilakukan kegiatan pelatihan dan pendidikan mengenai keamanan informasi (clause 7.2.2).

Management of Security Incident 

Apabila sebuah insiden keamanan informasi terjadi seperti hari ini, maka yang diperlukan adalah kesiapan organisasi dalam menangani sebuah insiden. Ini akan menentukan seberapa luas dampak insiden bisa diminimalisir, seberapa cepat insiden bisa ditangani dan berapa banyak data dapat dipulihkan. Dalam banyak organisasi, biasanya Information Security Manager juge bertugas sebagai kordinator dari Security Incident Response Team.

Standar keamanan informasi (ISMS) ISO 27002 mengharuskan organisasi untuk memiliki manajemen insiden keamanan informasi (clause 16.1). Secara lebih spesifik, prinsip manajemen insiden tertuang dalam ISO 27035 yang secara umum meliputi tahapan berikut:

  1. Plan and Prepare
  2. Detection and Reporting
  3. Assessment and Decision
  4. Responses, termasuk Post Incident Activity
  5. Lesson Learnt

Hingga tulisan ini dibuat, proses penyebaran “WannaCry” masih berlangsung dan para pegiat keamanan informasi beserta organisasi yang terkena dampak masih berjuang untuk meminimalkan dampaknya. Mari berharap agar “badai” ini lekas berlalu.

Tapi pertanyaan pentingnya adalah,”Are you ready for the next?

Karena percayalah, there will be more to come.

Scam Mail

Mungkin Anda juga mengalaminya, belakangan ini banyak sekali saya terima email yang terkategori sebagai “scam”. Ada yang bilang saya menang undian, ada yang mau menghibahkan uangnya buat saya, dan banyak lagi. Kalau saya sih email seperti itu sudah pasti saya marked sebagai “junk”. Tapi saya sengaja tidak delete. Sengaja saya koleksi untuk cari tahu perkembangan modusnya. Hihihi … kurang kerjaan ya?

Penasaran aja, apa ada yang terpedaya oleh email-email semacam ini. Hari ini masih ada yang berharap kaya mendadak? Hmmm ….

Definisi menurut wikipedia.org:

scam letter is a document, distributed electronically or otherwise, to a recipient misrepresenting the truth with the aim of gaining an advantage in a fraudulentmanner.

Jenis-jenisnya, masih menurut wikipedia:

Nigerian 419 advance fee fraud scam letter

The most common scam letter received by e-mail users are the typical Nigerian 419 advance-fee fraud scam letter. In short, this scam letter contains a statement that a large sum of money is available for transfer to another country, and requires the assistance of a local citizen to assist in receiving the funds, with a promise of a generous percentage share. This is a typical scam, as these funds do not exist, but the victim are required to continuously pay small amounts of money in order to get the funds released, which will never materialize.

Lottery scam letter

Based on fairly the same principles than the Nigerian 419 advance-fee fraud Scam, this scam letter informs recipients that their e-mail addresses have been drawn in online lotteries and that they have won large sums of money. Here the victim will also be required to pay substantial small amounts of money in order to have the winning money released, which never materializes.

Phishing scam letter

Phishing scam letters in short, is a notification from an online ‘financial institution’, requiring its clients to log into their accounts and verify or change their login details. A fraudulent website is set up by offenders, which appears to be the website of the actual financial institution. Once a victim follows the login link from the scam letter and logs into the ‘account’, the login details are sent to the offenders.

Cheap Viagra / Software product scam letter

This is yet another scam where the misrepresentation is made as an offer for cheap medical products and computer software. Often, when ordered, victims will not receive the goods or in certain instances a fake version of the goods ordered.

The dating love scam letter

Often users will find the letter from a young and attractive female wanting to meet or relocate to the users’ country. After invoking their confidence trick on the user they will require the recipient of the scam letter to pay the funds necessary for the relocation. Once paid, the correspondence ends and the writer never appears.

Subscription scam

Users to some internet sites are sometimes faced with invoices from internet sites to which they have visited. One company with a reputation for this is the Swiss/German based company Media Intense GmBH, which runs win-load.net.[2] Users are asked to create an account before downloading a piece of software. The terms and conditions state that the account requires a subscription of 8 euros per month for a minimum of 24 months, but that the user forfeits the right to cancel. The user will then receive threatening invoices from the company [3][4] .[5]

Today there exists many forms of scam letters distributed on the Internet. The mentioned examples above acts as an indication on how these scam letters work and how victims are defrauded.

Berikut beberapa contoh scam letters yang ada di koleksi saya 🙂

======

Permintaan Untuk Bantuan,

Nama saya Mrs.Rachel Amatullah. Saya berusia 63 tahun, saya wanita yang sedang sekarat dan saya memutuskan untuk mendonasikan apa yang saya punya untuk kamu/ gereja/ yatim piatu/ orang miskin dan wanita yang sudah bercerai. Saya didiagnosa mempunyai kanker 2 tahun lalu. Saya telah disentuh Tuhan dan ingin mendonasikan apa yang saya punya dari
almarhum suami saya untuk seseorang yang bekerja melayani Tuhan. Saya selalu memohon ampun pada Tuhan dan saya percaya Dia, karena Dia adalah Tuhan yang baik.

Saya akan menjalani operasi minggu depan. Saya putuskan untuk mendonasikan sejumlah uang senilai $7.7 juta dollars untuk kamu yang bekerja melayani Tuhan, dan juga menolong sesama yang membutuhkan seperti yatim piatu, wanita yang diceraikan suaminya ataupun orang yang tidak bisa makan karena kemiskinan. Saat ini saya tidak bisa menjawab
telepon karena keluarga saya yang sedang meributkan dana yang sudah saya berikan pada mereka sebelumnya, mereka terus menerus berada didekat saya dan juga karena kondisi kesehatan saya.

Saya ingin kamu menginvestasikan dana ini untuk program kemanusiaan di kawasan Asia. Singkatnya, saya ingin menggunakan dana ini untuk meningkatkan taraf hidup manusia yang kurang beruntung. Saya memutuskan
melakukan ini karena saya tidak punya anak yang mewarisi dana ini dan saya tidak bisa percaya pada keluarga saya karena mereka sangat tidak perduli dan sangat jahat pada saya sejak pertama kali saya di diagnosa mempunyai kanker.

Saya hanya ingin mewujudkan keinginan saya untuk beramal dan pengacara saya menghargai keputusan saya. Saya berdoa yang terbaik untukmu dan tolong gunakan dana saya ini sebaik mungkin untuk berbagi kepada semua orang yang membutuhkan bantuan. Setelah kamu balas saya, saya akan berikan informasi mengenai apa saja yang saya butuhkan darimu kemudian kamu telepon Bank saya dan bilang bahwa saya akan memberikan uang sejumlah $7.7 juta dollars untukmu dengan memberitahukan nomor referensi saya dan saya juga akan memberitahu kepada perusahaan security saya kalau benar saya akan berikan dana ini kepada kamu untuk digunakan untuk kebaikan, saling tolong menolong dan melindungi kaum yang kurang beruntung.

Saya tidak mengenal kamu tetapi saya melakukan ini atas nama Tuhan sebagai hamba Tuhan yang ingin melayaniNya untuk sesama umat manusia,menghubungi saya melalui email ini(MrsRachelAmatullah@asylum.com).

Terima kasih, Tuhan berkati hidupmu.

Salam,
Mrs.Rachel Amatullah.

======

Hello My Dearest

I am writing this mail with tears and sorrow from my heart, With due respect trust and humanity, i appeal to you to exercise a little patience and read through my letter i feel quite safe dealing with you in this important business having gone through your remarkable profile, honestly i am writing this email to you with pains, tears and sorrow from my heart, i will really like to have a good relationship with you and i have a special reason why i decided to contact you, i decided to contact you due to the urgency of my situation, My names are Miss Alia Kipkalya Kones, 25yrs old female a citizen of Kenya in East Africa.

My father was the former Kenyan road Minister. He and Assistant Minister of Home Affairs Lorna Laboso had been on board the Cessna 210, which was headed to Kericho and crashed in a remote area called Kajong’a, in western Kenya. The plane crashed on the Tuesday 10th, June,2008. You can read more about the crash through the below site

:http://edition.cnn.com/2008/WORLD/africa/06/10/kenya.crash/index.html

After the burial of my father, my stepmother and uncle conspired and sold my father’s property to an Italian Expert rate which they shared the money among themselves and left nothing for me. One faithful morning, I opened my father’s briefcase and found out the documents which he used in depositing a huge amount of money in one of the reliable banks in Burkina Faso with my name as the next of kin. I traveled to Burkina Faso to withdraw the money for a better life so that I can take care of myself and start a new life, on my arrival, the Bank Director whom I meet in person told me that my father’s instruction to the bank is that the money would only be released to me when I am married or present a legal truss

I am in search of a honest and reliable person who will help me  stand as a trustee so that I will present him to the Bank for the transfer of the money to his bank account overseas. I have chosen to contact you after my prayers and I believe that you will not betray my trust, but rather take me as your own sister. Though you may wonder why I am so soon revealing myself to you without knowing you, well I will say that my mind convinces me that you may be the true person to help me. I will like to disclose much to you if you can help me to relocate to your country because my stepmother have threatened to assassinate me, The amount is ($10.2MillionUSD) and I have confirmed from the bank in Burkina Faso on my arrival.

You will also help me to place the money in a more profitable business  in your Country. However, you will help by recommending a nice University in your country so that I can complete my studies. It is my intention to compensate you with 25% of the total sum for your services and the balance shall be my capital in your establishment. As soon as I receive your positive response showing your interest, I will put things into action immediately. In the highlight of the above, I shall appreciate an urgent message indicating your ability and willingness to handle this transaction sincerely.

Your’s Sincerely,

Miss Alia Kipkalya Kones.

======

Dear Friend,

Thanks for your mail and for accepting my offer. I apologize for my late reply; it’s due to my duty here. Since your last email to me on the month of August, I couldn’t reply back because my troops were camping at the road to the Turkmenistan border, Afghanistan that makes it difficult for me to check my mail.

I have finally secured the money as being agreed and have every proof of this transaction only what I need is your assistance to transfer the fund to your personal Bank Account. I am ready now to transfer the money to your Bank Account. All I need is your correct Bank Account Details to enable me start transferring the funds immediately and Your Personal Contact Telephone Number for easy communication as I cannot leave Afghanistan because of the nature of my work.

I will transfer the Money with the Brak Afghanistan Bank . They do International Transfer. I will not transfer the $10,500,000.00 at once to your Bank Account, I will be transferring the fund Bit by Bit $500,000 each transfer for security reasons. I will inform you on what to do when i finally transferred the money into your Bank Account.

Please do not disclose this deal to anybody as to protect my duty. I attached my picture and picture of the Money for your confirmation and documentation.

Remember, your share still remains the same 20% out of the total amount of the money. The total amount of the money is $10,500,000.00 {Ten Million Five Hundred Thousand US Dollars }.

I will be waiting to hear from you as soon as possible to enable me proceed on the transfer. Please, Do not reply to this email, reply me to my private email address { capt.jamesk@gmail.com } for security reasons.

Best Regard,

Capt.James Kirk
US Army Peacekeeping,
Counter Insurgency Training Center Afghanistan at Camp Julien, Kabul
Email : capt.jamesk@gmail.com

 

Pesan buat Ortu: Awareness Itu Perlu !

Sering saya dianggap terlalu berlebihan ketika saya tidak mengabulkan permintaan anak kembar saya (keduanya berusia 8 tahun) untuk membuat account facebook sendiri. “Kenapa Pa? Temen-temen aku semua punya”.  Meski  berkali-kali berargumentasi dengan mereka, sampai saat ini saya memang belum mengijinkan karena mereka belum saya anggap cukup “dewasa” memilah-milah mana yang baik dan mana yang buruk -di dunia maya yang kejam ini.

Beberapa kali saya dianggap aneh, terlalu paranoid. Tapi true story berikut mungkin perlu disimak untuk diambil hikmahnya bagi para orang tua.

—-

Sebut saja Andi -baru kelas 5 SD- punya account facebook sendiri. Meski orang tuanya sudah berpesan untuk tidak menerima permintaan pertemanan dari orang yang tidak dikenal, tapi what do you expect dari anak kelas 5 SD? Mau tahu berapa friendnya? 500! ya … limaratus saudara-saudara. *Kadang saya heran sebagian orang bangga banget punya teman sampai 2000 … hihihihi*

Dari sekedar pertemanan kemudian game online di facebook, dan kemudian chatting. Ketika sampai di titik ini, IMHO, kontrol akan sulit dilakukan. Kecuali orang tua berada di samping anaknya ketika chat itu terjadi, sulit untuk melakukan sortir apa yang sedang dibicarakan. Bahasa teknisnya ini “legitimate traffic” yang sulit difilter oleh firewall 🙂

Si Andi yang baik dan polos tentu tidak akan berpikir macam-macam siapa yang sedang diajak bicara. Dengan polosnya ia akan merespon semua pertanyaan dan permintaan dari lawan chatnya. Tentu ia berpikir lawan bicaranya juga seumur dia, dan semua baik hatinya. Termasuk ketika ia diiming-iming bahwa lawan chat nya akan mampu membantunya mendapatkan score tertinggi di game online, dengan syarat ia memberikan username dan password facebooknya! *Social Engineering*

Ketika kemudian, username dan password berpindah tangan … semua sudah terlambat!!!

Yang terjadi kemudian bisa ditebak. Password diganti, sehingga si Andi tidak bisa mengakses account facebooknya dan account tersebut sudah berada dalam kendali penuh orang lain.

Sungguh mengerikan dampaknya. Bayangkan … yang ditulis di Status si Andi adalah kata-kata dan kalimat dewasa yang tidak pantas diucapkan di depan anak-anak. Berkali-kali, setiap hari. Tentu karena ditulis di Status, maka teman-teman si Andi yang notabene teman sekolah (seumur) akan membacanya. Saya yakin bahwa seluruh orang tua yang anaknya sudah membaca tulisan di Status itu pasti sedang pusing tujuh keliling bagaimana caranya menghapus ingatan anak-anak mereka atas kata-kata itu!

—-

Di Terms of Use Facebook sendiri, persisnya di No 4 mengenai Registration and Account Security point no 5 jelas-jelas disebutkan bahwa “You will not use Facebook if you are under 13“. Kenapa?  Saya rasa Anda semua tahu jawabannya!

Masalahnya, hanya sedikit dari kita mau membaca “Terms of Use” ini atau kalau toh pernah membaca tapi cenderung untuk meremehkan risiko bahaya internet. Ketika aturan tersebut kita langgar -dengan menyetujui anak di bawah 13 tahun- untuk register account di facebook artinya kita sudah menyerahkan nasib anak kita pada hukum rimba internet. Beberapa kali saya dengar komentar orang tua mengenai hal ini, ” Alah, bisa apa sih? cuma buat main-main aja paling”. Tapi jangan lupa, facebook lebih powerful dari yang Anda kira.  Anda tidak akan punya kontrol, kecuali, jika Anda mampu untuk selalu mendampingi anak-anak Anda ketika sedang menggunakan facebook. I don’t know about you, tapi saya sih ngga mampu.

Kembali ke kisah Andi, although mitigation action has been taken tapi the damage has been done. Khususnya buat teman-teman sekolah si Andi yang sudah terlanjur membaca serial “status dewasa” di account si Andi. Ah, seandainya waktu bisa diputar ulang.

Saya merasa perlu share kisah ini untuk awareness bagi kita orang tua. Karena kita semua pastinya sayang pada anak-anak kita.  Kita semua ingin anak kita “melek” teknologi, tapi jika kita tidak tahu risikonya, kita tidak akan dapat tahu kapan kita harus “mengerem” mereka.

Akhirnya, berikut adalah tambahan tips dari beberapa situs yang saya pikir akan berguna bagi perlindungan tambahan untuk berinternet sehat:

http://www.esc-creation.com/2009/09/25/tips-blokir-situs-pornografi/

http://www.sabili.co.id/indonesia-kita/tips-internet-aman-untuk-keluarga

http://ictwatch.com/internetsehat/2010/02/09/bergaul-aman-di-internet-bagi-remaja/

Pendiri Facebook: Privasi Bukan Lagi Norma Sosial

privacy .. privacy .. privacy

==================

SAN FRANCISCO, KOMPAS.com — Pendiri Facebook Mark Zuckerberg menyatakan, privasi bukan lagi norma sosial seiring makin menjamurnya layanan jejaring sosial di dunia maya. Hal tersebut diungkapkan dalam penganugerahan Crunchie Awards di San Francisco, akhir pekan lalu. “Orang semakin nyaman tidak hanya karena berbagi informasi yang sekamin banyak dan bermacam hal lain, tetapi juga karena semakin terbuka dan semakin banyak orang lain,” ujar Zuckerberg yang kini baru berusia 25 tahun itu seperti dilansir situs Telegraph. Menurutnya, privasi sebagai norma sosial telah mengalami evolusi. Ia mengatakan, saat mulai mengembangkan Facebook di asrama mahasiswa Harvard, banyak orang yang bertanya apa perlunya membagi semua informasi di internet dan buat apa memiliki situs web pribadi. Namun, 5-6 tahun kemudian, ternyata blog begitu menjamur berikut berbagai layanan online untuk saling berbagi informasi.

Pernyataan tentang privasi itu disampaikannya tak lama setelah Facebook melakukan perubahan aturan main yang membebankan masalah pengaturan privasi kepada pengguna. Sejak akhir Desember 2009, semua status pengguna Facebook dinyatakan terbuka, kecuali penggunanya mengganti pengaturan menjadi privat. Sebagai pilihan, tersedia fitur untuk mengingatkan pengguna, baik baru maupun lama agar memperketat setting privasi. Pengaturan tersebut juga dapat dilakukan untuk setiap konten yang diunggah, baik foto maupun video.

Meski fitur tersebut sudah disediakan, langkah Facebook mendapat penentangan. Aktivis hak pengguna internet menilai langkah Facebook lebih banyak membiarkan privasi orang terbuka ke internet tanpa menyadarinya. Perubahan aturan main ini menyusul kesepakatan Facebook dengan Google dan Microsoft. Semua status pengguan Facebook yang tidak diatur privat akan diindeks Google dan Bing sehingga dapat muncul dalam hasil pencarian kedua layanan tersebut secara real time. Zuckerberg mengakui, mengubah aturan privasi untuk 350 juta pengguna Facebook saat ini bukanlah hal yang bisa dilakukan kebanyakan perusahaan. Namun menurutnya, Facebook harus melakukan hal itu demi menyesuaikan dengan norma sosial yang berlaku saat ini

Prita Mulyasari Divonis Bebas

Akhirnya ….

kasus ini jadi pembelajaran mahal, bahwa semua pihak utamanya penegak hukum mesti memahami esensi kenapa UU ITE dilahirkan dan apa yang sebenarnya berusaha dilindungi oleh UU ini. Apa sih yang menjadi semangatnya? Selain itu, para pengguna internet juga mestinya mulai sadar bahwa apa yang diposting mesti bisa dipertanggungjawabkan. Klik-mu Harimau-Mu! 🙂

Karena toh UU ini buatan manusia, maka bukanlah hal yang haram untuk direvisi. Di era sekarang ini, informasi menyebar begitu cepat. Regardless media yang dipergunakannya -digital ataupun tidak- mestinya aturannya sama. Mesti Akurat dan Akuntabel. Jadi UU yang terkait dengan “informasi” mestinya digabung saja. Dan UU ITE mungkin akan lebih baik untuk secara spesifik diarahkan ke “Transaksi Elektronik” saja.

Pencemaran nama baik, perbuatan tidak menyenangkan … biarkan UU lain yang menanganinya.

=========================================

dikutip dari http://www.detik.com

Jakarta – Prita Mulyasari akhirnya divonis bebas. Prita tidak terbukti melakukan pencemaran nama baik RS Omni Internasional. Prita pun langsung sujud syukur. “Menyatakan terdakwa Prita Mulyasari bebas dan tidak terbukti secara sah dan meyakinkan melakukan pencemaran nama baik,” kata Ketua Majelis Hakim, Arthur Hangewa, di Pengadilan Negeri (PN) Tangerang, Jalan TMP Taruna, Tangerang, Selasa (29/12/2009). Kedua, kata Arthur, membebaskan Prita dari dakwaan dan tuntutan jaksa penuntut umum. Ketiga, memulihkan nama baik dan martabat terdakwa. Selanjutnya, keempat menyita barang bukti dan membebankan biaya perkara kepada negara.

Prita tampak memanjatkan syukur dengan mengusap wajahnya. Puluhan pendukung Prita pun bersorak gembira. “Hidup Prita! Allahu Akbar!” Prita langsung maju ke depan meja hakim dan melakukan sujud syukur. (aan/gah)