
Deputi Operasional dan Keamanan CSIRT.ID Muhammad Salahuddien | Foto: Arsip pribadi
Deputi Operasional dan Keamanan CSIRT.ID Muhammad Salahuddien | Foto: Arsip pribadi
Cyberthreat.id – Tahun ini menjadi tantangan baru bagi peserta kompetisi Cyber Jawara. “Pertarungan” para peserta harus dilakukan secara online lantaran pandemi Covid-19.
The Cyber Security Independent Resilience Team of Indonesia (CSIRT.ID) sebagai penyelenggara telah menggelar kompetisi sejak 2012. Sejak 2014, para finalis telah mewakili Indonesia ke kompetisi hacking tingkat Asia.
Tahun ini, Cyber Jawara diadakan selama sebulan dan telah dimulai sejak September 2020. Ada dua babak yang terdiri atas empat game: Capture The Flag (CTF), Digital Forensic, Penetration Testing (pentest) dan Computer Network Defense (CND).
Untuk lebih lengkapnya terkait latar belakang kompetisi ini dan bagaimana jalannya kompetisi di era pandemi ini, berikut cuplikan wawancara wartawan Cyberthreat.id Tenri Gobel dengan Muhammad Salahuddien, Deputi Operasional dan Keamanan CSIRT.ID juga anggota Tim Pengarah di Cyber Jawara, beberapa waktu lalu.
Kapan sih awalnya Cyber Jawara ini dibuat?
Cyber Jawara awalnya 2012. Kami lalu kerja sama dengan AOSI (Asosiasi Open Source Indonesia). Mereka punya acara ”Indonesia Creative Open Source Software” (ICrOSS), di situ ada kompetisi cybersecurity juga, tapi berbasis open-source.
Di 2013, ada tambahan lagi namanya Cyber Defence Competition (CDC) kerja sama antara Federasi Teknologi Informasi Indonesia (FTII) dengan Kementerian Pertahanan. Setelah itu berlanjut setiap tahun.
Kenapa namanya Cyber Jawara?
Nama "jawara" atas usulan pimpinan ID-SIRTII/CC ketika itu. Semula ada beberapa alternatif seperti "pendekar", tapi yang terdengar lebih pas adalah "jawara".
“Jawara” secara etimologi adalah sebutan kehormatan bagi seseorang yang memiliki keahlian seni bela diri pencak silat di daerah Banten. Dipanggil "jawara" apabila telah terbukti unggul atau menang dalam berbagai pertarungan. "Jawara" juga sering dimaknai sebagai "juara" atau "pemenang"
Ada tujuan lain sebenarnya penggunaan nama "jawara" yaitu turut memopulerkan dan memperbaiki istilah "jawara" yang belakangan lebih dikenal dalam konotasi negatif, seperti premanisme atau kriminal. Ini, sekali lagi, setelah kita pelajari secara etimologis adalah karena stigma di zaman kolonial.
Cyber Jawara dari awal ID-SIRTII yang bikin?
Iya ini memang orisinal ID-SIRTII. Sejak 2014, kurang lebih, jura Cyber Jawara berlanjut ke kompetisi di level Asia, CTF Seccon di Tokyo Jepang biasanya. Jadi, setiap pemenang Cyber Jawara itu kemudian mewakili Indonesia untuk ditingkat Asia.
Pada 2015, Sekretariat ASEAN membuat kompetisi siber juga namanya “Cyber Sea Games”. Kayak SEA Games, tapi di bidang siber, dilakukannya setiap tahun, pesertanya adalah anggota negara ASEAN plus biasanya ada undangan dari negara-negara di sekitarnya.
Alasan di balik mencanangkan Cyber Jawara?
Tujuannya untuk mengarahkan atau membina sumber daya manusia lokal ya. Begini salah satu membina, menyalurkan bakat, dan kreativitas itu tentu saja melalui game ya, melalui sesuatu event yang sifatnya kompetitif, membina sportivitas, melatih kerja sama tim, dan seterusnya. Ini yang cocok formatnya kompetisi. Oleh karena itu, kami membuat event ini.
Capture The Flag itu yang paling meriah, biasanya, karena sifatnya fun game gitu ya dan kalau bagi tim-tim ingin mendapat popularitas itu memang ajang yang bagus untuk menunjukkan kemampuan. Kompetisi CTF itu ada roadmap-nya sampai ke tingkat global.
Di Indonesia, ada beberapa seri yang terkenal IDSeccon; setahun bisa beberapa kali, ada juga yang lain.
Cyber Jawara ada berapa kategori?
Pertama, computer network defense (CND). Biasanya jarang dikompetisikan, karena butuh infrastruktur yang cukup kompleks. Di CND setiap tim itu harus mengelola satu infrastruktur sendiri, memperbaiki kelemahan yang ada di dalamnya. Setelah itu harus terhubung dengan yang lain dan mempertahankan diri dari seranga.
Selain itu, harus offensive, harus nyerang pihak lain. Cukup kompleks seperti itu makanya biasanya hanya sedikit penyelenggara atau operator yang mampu untuk menyelenggarakan kontes CND.
Kedua, capture the flag (CTF) skenarionya ialah adu cepat menyelesaikan persoalan. Skor penuh akan diperoleh tim yang memberikan jawaban benar; menemukan flag yang diminta, biasanya, berupa string tertentu yang disembunyikan atau dilindungi dalam rentang waktu tertentu.
Kemudian diminta laporannya oleh panitia. Laporan ini disebut dengan “write-up”, yaitu proses, kronologis bagaimana tim tersebut menyelesaikan persoalan sehingga dapat menemukan flag. Bila tidak dapat menjelaskan jawaban, biasanya terjadi pengurangan poin.
Skenario CTF, biasanya digunakan sebagai "pembukaan kompetisi" dan "babak seleksi" karena soalnya melibatkan sejumlah teknik dasar yang harus dikuasai sebelum masuk ke babak yang selanjutnya seperti penetration testing.
Sejumlah pengetahuan, pemahaman dan keahlian harus dikuasai untuk dapat menyelesaikan persoalan CTF. Seperti teknik encoding, enkripsi, forensik, steganografi, reverse engineering sehingga perlu juga menguasai ilmu programming dan reconnaissance yaitu keahlian menemukan kerawanan dengan menggunakan tools/exploit yaitu kemampuan untuk memanfaatkan kerawanan dalam sistem.
CTF biasanya menggunakan format jeopardy atau semacam games yang meliputi beragam jenis persoalan tadi di lingkungan terbatas.
Karena bentuk CTF yang jeopardy dan mirip game, ada kelompok yang kemudian membuat suatu "standardisasi". Soal harus memenuhi sejumlah kriteria, seperti tidak boleh mengandung unsur "tebak-tebakan" yang murni untung-untungan, tidak mengandalkan kemampuan atau teknik tertentu dan membatasi jenis soal yang sudah terlalu sering digunakan seperti steganografi, QR code atau soal yang dalam kehidupan nyata tidak akan pernah digunakan; murni games.
Di Cyber Jawara, CTF hanya menjadi salah satu babak kompetisi sebagai kualifikasi. Sehingga penguasaan keahlian berbagai teknik CTF hanyalah salah satu tujuan. Namun, ada juga tujuan lain yang lebih penting yaitu menguji mentalitas peserta, sportifitas, kejujuran, team work, cara berkomunikasi juga menjadi bagian dari penilaian. Soal-soal CTF tidak murni CTF yang mengikuti "standardisasi" tadi.
Ketiga, digital forensic. Beberapa tahun belakangan ini dijadikan satu dalam babak penyisihan bersama dengan CTF karena sejumlah soal CTF juga melibatkan teknik forensik. Soalnya sama-sama dengan CTF, sama-sama menemukan flag. Bedanya, flag yang ditemukan biasanya suatu "artifact" yang harus dianalisis lebih lanjut dengan berbagai teknik forensik yang hasilnya akan membuktikan atau tidak membuktikan suatu persoalan.
Keempat, penetration testing. Biasanya panitia akan menyediakan sejumlah live server untuk masing-masing tim. Server tersebut sudah di-setting memiliki berbagai jenis kerawanan yang harus ditemukan oleh tim peserta. Setiap menemukan satu kerawanan akan bertambah skor untuk tim peserta. Semakin lambat waktu menyelesaikan, skor berkurang. Tim peserta juga harus membuat laporan yang akan dinilai oleh juri. Apabila proses yang dijelaskan di write-up sesuai dengan hasil pentest, tim akan mendapatkan skor penuh. Skor semakin berkurang apabila write-up kurang memuaskan.
ilustrasi.
Dari tahun ke tahun tetap stabil ya antusiasme peserta?
Cukup stabil ya. Seperti yang sekarang juga sudah lebih dari 100 tim yang mendaftar. Kami rekor peserta terbanyak itu sekitar 300 hampir 400 tim.
Dalam satu tim ada berapa?
Kalau sekarang satu tim dibatasi 3 orang, kalau dulu satu tim bisa 5 orang.
Kalau sekarang dibatasi 3 orang per tim, kenapa?
Supaya lebih tajam lagi. Sepertinya sih ada kecenderungan pesertanya semakin milenial, usia muda.
Beberapa tahun belakangan ini yang masuk semi final dan final justru tim yang muda-muda ini. Jadi, awal-awal Cyber Jawara, itu banyak yang profesional, ada sebagai konsultan sekuriti, ada praktisi. Makin ke sini yang menang mahasiswa, pelajar.
SDM muda kita banyak dong ya?
Salah satu tujuan kami supaya mereka yang ingin beraktivitas ini terwadahi dan semangat untuk berkompetisinya ada challenge. Supaya adrenalinnya terpacu, tetapi diruangan yang benar, metode yang memang benar. Nah daripada mereka menyasar sembarang target kemudian malah jadi kriminal.
Ada pandemi Covid-19 pasti ada perbedaan dibanding tahun sebelumnya
Kami menyelenggarakan secara online itu bukan pertama kali, dari sejak awal kita menyelenggarakan, awal 2012 penyisihan semi online, setelah 2015 penyisihan selalu online. Jadi, kami tidak ada masalah. Lain, kalau final. Final offline itu ada live streaming yang menunjukkan siapa nyerang siapa.
Untuk final tahun ini, bagaimana?
Rencananya online. Kami sedang berusaha agar sistemnya bisa ditonton orang, ditontonnya apakah seru atau tidak enggak tahu nanti.
Baru dong ya final online?
Iya. Karena kan biasanya final itu dibarengkan dengan exhibition, seminar, workshop. Mencoba final online memang baru sekarang ya.
Soal pembiayaan kompetisi dari mana sebetulnya?
Sebelum 2017 sepenuhnya dibiayai oleh anggaran ID-SIRTII, waktu itu bernaung di Kementerian Kominfo; anggaran memang dari PNPB jasa telekomunikasi.
Kemudian, ada sponsorship, biasanya dari mitra organisasi, bukan perusahaan, misal APJII, FTII; mereka menyumbangkan dalam bentuk hadiah, karena kan anggaran pemerintah itu enggak boleh untuk hadiah.
Di 2017, pindah ke Badan Siber dan Sandi Negara (BSSN), tapi kemudian mungkin karena persoalan organisasi baru, komitmennya naik turun sehingga kami putuskan untuk tahun ini kami selenggarakan sendiri, tidak atas nama pemerintah lagi, baik Kementerian Kominfo atau BSSN.
Kenapa begitu?
Begini, menyelenggarakan event seperti ini memerlukan komitmen; komitmen itu tidak bisa disikapi sebagai business as usual sebagaimana yang dilakukan oleh lembaga-lembaga pemerintah. Sayangnya yang dilakukan BSSN dua tahun belakangan ini hanya sekadar ya pokoknya menyelenggarakan, tidak ada perhatianlah, perhatian yang komitmen yang sebagaimana visi yang kita inginkan awalnya dulu.
Jadi, perhatian terhadap kualitas penyelenggaraan, terhadap perkembangan talenta yang hendak kami bina di kompetisi ini; perhatiannya tidak sejauh itu ya.
Keluaran Cyber Jawara itu tidak diambil oleh pemerintah untuk disekolahkan atau bagaimana?
Tidak sejauh itu sih. Paling tidak begini, kan ada roadmap-nya, juara ini kan sampai ke Jepang, itu kan membutuhkan komitmen. Persoalan klasik di pemerintahan, masalah anggaran. Kami tidak ingin berlarut-larut dalam perdebatan yang tidak ada ujungnya, sementara visi dan misi kami tidak tercapai.
Dukungan dari pemerintah itu enggak ada?
Persoalannya kan soal administrasi, secara policy, itu mungkin belum match, sehingga kami tidak bisa terus-terusan berdebat ke situ-situ saja gitu.
Keluaran Cyber Jawara ini pada ke mana saja mereka?
Sejauh pantauan kami memang banyak yang tertap menekuni dunia sekuriti, sebagai praktisi/profesional baik di perusahaan maupun diinstansi pemerintah atau BUMN. Memang tidak semuanya ya, tapi banyak juga yang hanya hobi, enggak masalah juga.
Tidak ditarik jadi staf pemerintah gitu?
Kalau di pemerintahan kan banyak persyaratannya [...] kalau ditarik ke pemerintahan ujian PNS, enggak pernah bisa lulus, karena masalah faktor ujian PNS yang “misterius” itu.
Tahun ini hadiahnya berapa?
Ini kita lagi pendekatan dengan beberapa sponsor. Mudah-mudahan asosiasi tetap mendukung tahun ini, dan ada beberapa perusahaan.
Cyber Jawara kan baru tahun ini spin off dari program kelembagaan pemerintah, jadi masih belum tahu juga. Mungkin untuk juara akan dapat berupa digital asset, cryptocurrency akan dikasih.
Final Cyber Jawara selalu diadakan di mana?
Kalau final selalu diadakan di Codebali di Bali. Jadi, agendanya di Bali terus.
Final kali ini lebih beruntung bisa di mana saja ya?
Iya keuntungannya itu, tapi masih tentatif. Seandainya memungkinkan offline bisa diselenggarakan ya kita selenggarakan offline. Mungkin yang sekarang ada untungnya online, jadi kami enggak mempersiapkan dana untuk akomodasi peserta. Biasanya kami dukung akomodasinya sehingga memakan anggaran yang cukup besar.
Harapan Anda dengan Cyber Jawara?
Kami berharap semua aktivitas yang dulunya dirintis dan memang menjadi pioner oleh ID-SIRTII dilanjutkan, ditingkatkan lebih besar lagi, sehingga menjadi agendanya dan atau bahkan trademark-nya pemerintah.
Tetapi, masalahnya kan dalam hal ini yang melanjutkan BSSN, tetapi badan sibernya masih terjebak business as usual, masih ribet dengan urusan anggaranlah, urusan administrasilah, urusan birokrasi di dalam pemerintahan itu siapa yang handle dan sebagainya.
Masih masalah klasik seperti itu, saya kira mengabaikan atau bahkan menurunkan animo terhadap aktivitas yang telah susah payah rintis selama 10 tahun ke belakang.
Kalau lihat kecenderungan seperti itu, kami lebih baik menyelamatkan event-nya karena ini sudah terbentuk ekosistemnya, terbentuk komunitasnya, kan kalau kita tidak rawat ini kerugian besar bagi Indonesia.
Harapan lain, makin banyak lomba sejenis, tidak hanya Cyber Jawara. Kami ingin seperti Grand Prix, berseri. Katakanlah setiap bulan ada, makin banyak talenta lagi yang tertampung dan mungkin jenis kompetisinya bisa beragam. Ada yang spesialis CTF, ada yang bug bounty.[]
Redaktur: Andi Nugroho
Share: