Shellshock, Bug yang Lebih Berbahaya Daripada Heartbleed

Bagi para admin sistem yang tugasnya merawat server, tentunya ini menjadi minggu yang sangat sibuk. Sebuah bug yang baru ditemukan telas dipublikasin dan diperkirakan semua server yang menggunakan "Bash", rentan terhadap peretasan. Bash merupakan sebuah interpreter yang banyak digunakan OS distro Linux untuk mengatur hampir semua sumber daya yang ada di komputer tersebut. Bug tersebut membuat para peretas bisa mengeksekusi kode Bash dari jauh dan tanpa otentikasi. Kenapa lebih berbahaya dari heartbleed? Karena jumlah komputer yang menggunakan Bash sangatlah lebih banyak dan bug ini memberikan akses yang lebih besar pada peretas daripada Heartbleed.

Tentunya pertanyaan terbesar, bagaimana caranya mengakses server yang kita sendiri tidak punya informasi untuk masuk ke sana. Jadi, bug ini memanfaatkan perintah  ForceCommand yang terdapat di Web server Apache yang dapat digunakan untuk menjalankan perintah di sebuah server melalui skrip CGI. Nah, contohnya adalah header HTTP request berikut.

http-header = Cookie:() { :; }; ping -c 3 209.126.230.74

Bug shellshock adalah kesalahan pada bash yang mengeksekusi string yang ada setelah definisi sebuah fungsi sebagai perintah Bash yang valid. Tentunya, celah ini sangat berbahaya karena jika seorang peretas berhasil mempunyai akses terhadap bash di suatu server, artinya peretas tersebut dapat melakukan apapun terhadap server tersebut. Coba jalankan perintah di bawah untuk mengecek apakah server Anda juga terkena bug Shellshock.

env x='() { :;}; echo rentan' bash -c "ini adalah test"

Jika kode tersebut menghasilkan "rentan" artinya Anda pun ikut terkena bug Shellshock ini. Bisa dilihat "echo rentan" itu merupakan string setelah deklarasi fungsi kosong "() { :;};". Ada beberapa solusi yang dapat digunakan untuk menutup lubang keamanan tersebut. Salah satunya dengan menghilangkan akses skrip CGI untuk melakukan pemanggilan fungsi ke sistem bash. Selain itu, cara yang lebih simpel adalah dengan menginstall Bash yang terbaru dengan perintah berikut di server Linux yang berbasis debian.

apt-get update; apt-get upgrade;

Beberapa tambalan kode yang pertama ternyata gagal menghilangkan bug Shellshock secara penuh. Oleh karena itu, selalu siapkan diri Anda untuk memperbarui Bash Anda dalam beberapa hari atau minggu ke depan secara rutin. Informasi lengkap terkait Shellshock bisa dilihat di sini. Semoga membantu. :)

Library Python Pertama: django-naomi

Setelah hampir 3 tahun menggunakan Python, akhirnya saya merilis secara publik pustaka pertama saya. :). Dengan menjadi pustaka publik, semua orang bisa menggunakannya dengan sesuka hatinya. Pada awal penggunaan Python, saya rasa sulit sekali mencari celah untuk menulis sebuah pustaka baru. Seakan-akan Python atau komunitasnya sudah membuatkannya untuk saya. Semakin lama saya menggunakan Python, semakin sadar pula bahwa celah-celah itu semakin besar dan banyak. Tentunya, jiwa open-source saya semakin terbakar melihat kesempatan ini. 

Pustaka yang saya tulis, bernama django-naomi. Merupakan pustaka yang memudahkan untuk men-debug email saat menggunakan Django. Kalau dalam kasus biasanya, email akan terkirim ke alamat email yang dituju, django-naomi akan membuat email tersebut langsung muncul di web browser sehingga memudahkan untuk melihat hasil email. Membuat pada pengembang web tidak perlu menggunakan SMTP server untuk melihat hasil pengiriman email. Pustaka ini merupakan hasil inspirasi dari pustaka letter-opener. Sebuah pustaka yang menghasilkan efek yang sama namun, dalam bahasa pemrograman Ruby.

Sampai sekarang, kegunaan pustaka django-naomi hanya begitu saja. Memudahkan dalam men-debug email. Saya memegang prinsip bahwa sebuah library pembantu itu sebaiknya cukup satu fungsi yang utama dan lakukan itu dengan baik. Tentunya, django-naomi belum sempurna, masih ada beberapa fungsionalitas yang belum bekerja dengan baik contohnya belum bisa menampilkan attachment pada email. Tapi tentunya ini merupakan awal untuk django-naomi. Tunggulah perkembangan-perkembangan selanjutnya dari django-naomi. :D

Ulasan ASUS UX32VD

Halo semuanya, akhir-akhir ini saya merasakan, pentingnya sebuah Ulasan terhadap suatu barang. Saat saya ingin membeli suatu barang, pergi ke restoran, ataupun menggunakan sebuah jasa dari tempat tertentu, saya dengan pasti akan mencari ulasan terkait jasa atau barang tersebut secara online. Sayangnya, ulasan-ulasan dalam bahasa Indonesia tersebut masih sangatlah jarang. :(. Padahal, ulasan yang tepat pada suatu barang akan sangat berpengaruh terhadap hidup seseorang. Oleh karena itu, saya akan mulai membudayakan memberikan ulasan terhadap semua barang yang saya gunakan. Mulai dari Laptop saya. Yuk, langsung mulai saja.

Laptop saya merupakan ASUS UX32VD. Saya membelinya 2 tahun yang lalu dan sampai sekarang belum ada masalah yang berarti. Hanya saja, pas saya membeli, beberapa hari kemudian hardisknya bermasalah. Namun, setelah saya bawa ke service center ASUS, sampai sekarang tidak ada masalah. Enaknya dengan laptop ini, ringan, mudah di bawa ke mana-mana.

Terkait dengan performa, adanya SSD 32GB sangat membantu proses booting. Saat saya membandingkan kecepatan boot saya dengan leptop teman saya yang prosesornya lebih baik, laptop ini masih jauh lebih cepat. Kalau untuk performa game, NVIDIA 620 memberikan kesempatan untuk bermain game-game yang tidak beban grafisnya tidak terlalu berat. DotA 2 dengan setting mendekati medium masih kuat. Sayangnya, saat membuka cukup banyak aplikasi, sudah mulai terasa lag. Saya rasa karena prosesornya, bukan karena memorynya yang tidak cukup. Dengan intel i5 versi low voltage, kekuatan memprosesnya memang tidak terlalu kuat, tapi lebih dari cukup untuk melakukan banyak hal.

Saya akui, monitor di UX32VD sangatlah bagus. Resolusinya memang belum full-HD(1080p), tetapi kualitas gambar dan layar monitor bukan terkesan plastik seperti monitor laptop lainnya.

Untuk suara, jika dibandingkan dengan leptop yang lain dengan harga yang mirip, volume maksimal laptop ini sedikit lebih besar. Untuk kualitas suara, tampaknya tidak jauh berbeda. Kalau untuk suara, saya merekomendasikan menginvestasikan untuk membeli headphone yang bagus. 

Untuk kamera, standar, tidak terlalu jelek, tidak terlalu bagus. Cukup untuk melakukan video call dengan kualitas yang rendah.

Terkait touch pad, standar, tidak terlalu berbeda dengan touch pad laptop lain. USB portnya pun baik, namun, dari 3 USB port yang ada, saya merasa ada 1 USB port yang performanya paling baik. Setiap kali mencolok ke port itu, hampir selalu berhasil, sedangkan port yang lainnya tidak. Audio port masih berjalan dengan baik sampai sekarang. Mungkin salah satu kerurangan leptop ini adalah tidak ada port VGA. Jadi, untuk presentasi, harus membawa converter VGA ke port lain(Seperti Mac Book).

Salah satu fitur dari latop ini yang aku rasa sangat membantu adalah ada backlit LED di keyboard yang membuat saya tetap bisa melihat keyboard walaupun saat gelap.

Lalu, saat saya menginstal OS Ubuntu, semua function keys berjalan dengan lancar. Padahal, ada teman saya yang mempunyai laptop ASUS dan saat menginstal Ubuntu, beberapa tombolnya tidak jalan. :). Baterai pun sudah berjalan 2 tahun tapi masih bagus. Tahan 1 jam lebih untuk bekerja saat penuh. Chargernya pun belum pernah rusak sampai sekarang.

Jadi, pengalaman saya menggunakan ASUS UX32VD sangatlah baik dan saya sangat mempertimbangkan untuk menggunakan produk ASUS lagi untuk leptop saya yang selanjutnya. Mungkin ulasan ini memang telat, tapi ini sebagai awal untuk saya mengulas barang dan jasa yang pernah saya gunakan. Tunggu ulasan-ulasan saya yang berikutnya. :D