Office 365, Solusi Cloud untuk Perusahaan

Teman saya sedang mendirikan perusahaan startup yang bergerak di bidang G&G services. Sebagai perusahaan yang mulai berjalan, berbagai infrastruktur disiapkan, seperti kantor, komputer-komputer, dan tentu saja sistem IT backoffice-nya. Awalnya ia ingin membuat infrastruktur IT sendiri — web, email, kalender, manajemen proyek –sendiri. Saya bilang, apakah tidak terlalu besar investasinya? Saya menyarankan tiga hal:

• Menyewa web dan email hosting
• Menyewa VPS (Virtual Private Server)
• Menyewa layanan cloud Office 365 dari Microsoft

Opsi pertama meskipun yang paling murah tetapi kurang tepat kebutuhan. VPS ternyata lebih mahal jika dibandingkan dengan cloud Office 365. Di Office 365, kita sudah diberikan paket email account, website berbasis sharepoint, team site untuk kolaborasi, dan aplikasi Microsoft Office lengkap. Dan bedanya dengan layanan dari Google, disediakan pula lisensi MS Office versi desktop. Jadi untuk kebutuhan pekerjaan kantor secara offline, tidak diperlukan CD bajakan lagi.

Membangun infrastruktur sendiri dalam jangka pendek jelas jauh lebih mahal. Kita harus punya koneksi internet dedicated untuk server farm. Dan itu jauh lebih mahal dari harga Speedy yang paling mahal sekalipun. Belum lagi harus beli server-server untuk email dan web. Belum lagi maintenance-nya — pertempuran melawan spam yang melelahkan.

Zaman sekarang layanan cloud hadir untuk menjawab kebutuhan ini. Dihitung-hitung, total sekitar Rp. 500 ribu per bulan untuk lima orang staf, dengan lisensi MS Office mencapai 25 komputer. Ada plus minusnya memang, tetapi dipikir-pikir jika dibandingkan dengan biaya investasi membangun infrastruktur sendiri, yang ini jauh lebih murah — bahkan dengan VPS. Biaya itu paling hanya bisa mendapatkan satu server dengan spek minimal.

Ternyata settingnya juga cukup mudah. Saya menyelesaikan semuanya dalam dua hari. Beli domain, setup DNS server untuk diarahkan ke Microsoft, lalu sisanya tinggal dilakukan di webnya Office 365. Setup email, website, dan team site. Kesulitannya kemarin adalah memindahkan DNS dari MasterWebNet ke Microsoft. Saya rupanya bolos pas diajari setting DNS oleh mentor saya dulu di ITS, hehehe. Atas bantuan beliau juga, akhirnya DNS bisa dipindahkan ke sana.

Dan sepertinya, arah layanan ke depannya akan ke sana. Microsoft Office 2010 sangat dilengkapi fitur-fitur untuk mengakses layanan cloud. Di Indonesia sudah ada yang memulai belum yah? Seiring dengan semakin cepatnya koneksi internet, saya rasa era cloud service di Indonesia tidak akan lama lagi akan hadir.

Mengenal Cloud Computing

Saya pertama kali mendengar kata “computing” waktu di kampus dimana ada empat laboratorium bidang minat, yaitu Lab Rekayasa Perangkat Lunak (Software Engineering), Lab Arsitektur dan Jaringan Komputer, dan Lab Sistem Bisnis Cerdas (Intelligence Business System), dan Lab Komputing. Kebanyakan mahasiswa akan mengambil bidang minat perangkat lunak dan sistem bisnis cerdas. Sementara lab yang agak mendapatkan peminat adalah lab komputing dan jaringan komputer. Belakangan ketika saya mau lulus, Lab Komputing mengubah namanya menjadi Cloud Computing Lab.

Apa yang ada di benak saya tentang cloud computing adalah hal yang canggih-canggih seperti parallel computing. Contohnya, sebuah operasi komputasi yang memerlukan tenaga super komputer seperti operasi memecah enkripsi password. Ingat buku Dan Brown yang berjudul Digital Fortress? Mereka mempunyai super komputer yang sanggup memecah enkripsi password dengan metode tebak-tebak manggis (brute force). Parallel computing adalah metode untuk membagi tugas komputasi itu ke setiap komputer yang bergabung dalam satu jaringan, atau cloud. Jadi jika setiap komputer di Jakarta saja bergabung dalam sebuah cloud dan mengerjakan tugas komputasi bersama-sama, kita bisa memiliki super komputer yang setara dengan milik NSA dibukunya Dan Brown.

Dalam perkembangannya, teknologi cloud hadir dengan lebih tepat guna ke khalayak ramai, yaitu cloud service. Ini adalah layanan berbasis cloud (halah). Maksudnya, pengguna mendapatkan apa yang dibutuhkan tanpa harus menyiapkan infrastruktur hardware dan software. Hanya koneksi internet dan aplikasi client sederhana semacam browser sudah cukup.

Contoh satu. Layanan penyimpanan awan (cloud storage). Contoh yang populer adalah DropBox dan iCloud. Dengan layanan ini, kita tidak perlu menyewa hosting sendiri, cukup register dan bayar sewanya (kebanyakan provider memberikan gratis untuk ukuran di bawah 2 GB). Dengan cloud storage, setiap alat yang terhubung entah laptop, tablet, handphone akan mensinkronisasi secara otomatis melalui sambungan internet. Lebih praktis.

Contoh dua. Layanan software cloud. Contohnya Google Documents, Google Apps, Office 360, dan beberapa software yang dilisensikan dengan model begini. Jadi berbeda dengan software kebanyakan yang beli lisensi (atau bajakan) lalu di-install di PC lokal, metode ini software nya ada di tempat si penyedia layanan dan kita menggunakannya melalui browser dan internet. Dalam beberapa kondisi skema ini lebih murah dan kita lagi-lagi tidak perlu menyediakan hardware dan harus membeli software-nya untuk diinstall di laptop.

Contoh tiga. Server farm cloud. Ini mungkin mirip layanan Virtual Private Server (VPS). Saya pernah melihat layanan ini kalau ga salah VMWare. Jadi kita menyewa satu space virtual machine, kemudian kita konfigurasi, install sistem operasi, dan semacamnya. Keuntungannya, infrastruktur hardware server yang mahal tidak perlu dimiliki. Lagi-lagi cukup koneksi internet yang kencang.

Beberapa vendor lokal seperti Telkom sudah mulai mengimplementasikan layanan cloud ini. Beberapa waktu yang lalu saya juga didatangi sales dari Google untuk memperkenalkan Google Appliances. Tapi saya rasa, perkembangan cloud di Indonesia akan seiring dengan berkembangnya kecepatan internet kita. Tanpa komponen yang satu ini, sulit rasanya cloud akan berkembang di sini. Orang masih akan lebih memilih membangun infrastruktur sendiri yang lebih stabil dan mudah diakses. Untuk kebutuhan personal apalagi, selama software bajakan masih mudah didapat, layanan cloud akan sulit tumbuh.

Layanan cloud yang paling dekat dan sudah berkembang sepertinya adalah cloud storage. Saya semakin sering menemui kawan-kawan yang memiliki folder bernama DropBox di folder mereka. Apalagi bagi pengguna device Apple, mereka mau tidak mau suka tidak suka harus menggunakan layanan iCloud sebagai sarana penyimpanan file yang paling praktis.

Tools Ada, Implementasi Nanti Dulu

Tadi sore kami kedatangan tamu dari Microsoft dalam rangka technology update mengenai Microsoft Sharepoint 2013. Kami memang sedang melakukan riset dan evaluasi untuk melakukan upgrade sistem yang saat ini menggunakan MS Sharepoint 2007. Saat ini yang sudah hadir ke kantor adalah Microsoft, Alfresco, dan Liferay.

Melihat perkembangan teknologi Sharepoint, saya antara terkesan dan tidak terkesan. Terkesan karena rupanya telah terjadi lompatan yang sangat berarti jika dibandingkan dengan Sharepoint 2007 (sebenarnya lompatannya terjadi di teknologi Sharepoint 2007 ke 2010). Tidak terkesan karena Sharepoint hanya mengumpulkan apa yang sedang tren di internet dan membungkusnya dalam satu platform.

Apa saja jualan Microsoft tentang Sharepoint 2013 ini? Kolaborasi dalam lingkungan kerja. Sharepoint mengadopsi gaya Facebook (bahkan tampilannya selain kotak khas Windows 8 juga sangat mirip dengan Facebook). Ada follow-follow-an seperti Twitter, juga ada content sharing. Ada berbagi tugas (tasks), project, dan kolaborasi dokumen Office yang terintegrasi dengan Cloud. Nah nah, bukankah apa yang saya sebutkan adalah buzzword internet jaman sekarang?

Tentu saja sangat menyenangkan jika memiliki portal yang bisa memfasilitasi kolaborasi semacam itu dimana portal menjadi sebuah Knowledge Management. Saya yakin teknologi portal semacam Sharepoint ini bisa mewujudkan sebuah sistem yang baik. Sayangnya ada pekerjaan yang jauh lebih berat daripada sekadar memasang software: yaitu membuat kultur!

Saya pikir budaya kolaborasi, apalagi melalui sebuah sistem portal digital, masih jauh panggang dari api. Pada dasarnya kita orang kan tidak memiliki budaya membaca apalagi budaya menulis. Berbagi di portal, mengajukan pertanyaan, membantu menjawab sesuai dengan kompetensi, menulis pengetahuan di blog korporat, bukanlah kebiasaan kita. Menyimpan pengetahuan untuk diri sendiri masih dijadikan sebagai alat untuk meningkatkan posisi tawar di mata perusahaan. Ada kekhawatiran yang umum berkembang, ketika pengetahuan itu dishare sehingga banyak orang yang tahu, kekhususan dari orang tersebut menjadi hilang sehingga ia mudah diganti — sama dengan job security yang berkurang.

Ini menjadi tantangan klasik bagi setiap perusahaan yang berusaha mengembangkan sistem manajemen pengetahuan. Mengubah tacit knowledge menjadi explicit knowledge bukan pekerjaan yang gampang. Ini adalah usaha memindahkan pengetahuan yang tersembunyi di setiap otak-otak para karyawan yang ahli di bidangnya menjadi pengetahuan yang dimiliki oleh perusahaan.

Kembali ke Sharepoint, mungkin jika saya tidak pernah mendapatkan kuliah Knowledge Management, saya sudah langsung tertarik untuk mengimplementasikan semua fitur-fitur Sharepoint 2013 yang sangat “ngehits” ini di project portal upgrade nanti. Dan seperti project-project yang hanya meng-upgrade teknologi tanpa upgrade proses bisnis dan budaya penggunanya, teknologi yang bagus itu hanya akan ditinggalkan dan semakin dibenci karena sama sekali dirasa tidak memberikan nilai tambah bagi para penggunanya.

IT di Industri Minyak dan Gas

Era milenium ke-3 atau abad 21 bukan ditandai dengan hidupnya robot-robot pintar seperti yang saya bayangkan waktu kecil, tapi penetrasi internet dan hadirnya teknologi informasi (Information Technology – IT) di semua bidang. Kini tidak ada bidang pekerjaan yang tidak memanfaatkan IT, termasuk industri minyak dan gas, industri tempat saya bekerja.

Secara umum, model bisnis industri hulu migas sangat sederhana. Ada dua tahapan dalam eksploitasi migas, yaitu eksplorasi dan produksi. Eksplorasi adalah fase coba-coba dimana suatu lapangan yang diduga berpotensi memiliki kandungan migas mulai dibor. Sumur-sumur eksplorasi dibor untuk mengetahui kondisi perut bumi di bawah sana. Bisa jadi yang keluar adalah air, atau bahkan tidak keluar sama sekali.

Fase produksi adalah ketika lapangan eksplorasi dinyatakan benar-benar memiliki sumber daya migas dan siap diambil. Sumur produksi dibor, minyak atau gas yang keluar dialirkan melalui pipa ke plant lalu dialirkan untuk dikapalkan ke pembeli. Garis besar alur bisnis migas salah satunya diterangkan di web ini: http://www.vico.co.id/gas-business.

Karena bisnisnya cukup sederhana, maka implementasi IT untuk mendukung proses bisnis itu juga relatif sederhana, meskipun tidak murah. Selain infrastruktur telekomunikasi dan jaringan, aplikasi-aplikasi yang dibangun di atasnya juga tidak ada yang terlalu istimewa. Misalnya aplikasi monitoring produksi, penanganan rantai supply material (perencanaan, pengadaan, dan penggudangan), aplikasi keuangan dan akunting, aplikasi personalia, dan beberapa aplikasi pendukung lainnya.

Mayoritas aplikasi bisnis adalah aplikasi manajemen data. Hanya beberapa aplikasi yang masif terhadap komputasi grafis seperti aplikasi Geology and Geophysics dan aplikasi berbasis pemetaan. Diantara semua itu, integrasi yang dilakukan menggunakan sistem berbasis service (SOA – Service Oriented Architecture).

Memang cakupan IT di industri migas sudah sangat luas. IT telah menjadi business enabler, meskipun belum menjadi business driver. Posisi IT di industri migas adalah sebagai consumer teknologi. Kami jarang sekali bisa mengembangkan riset untuk suatu implementasi IT. Yang sering kami lakukan adalah mengundang konsultan IT, menjelaskan kebutuhan teknis, lalu mengawasi pelaksanaan implementasi mulai dari pengadaan hingga eksekusinya. Itulah sebabnya, meskipun secara adopsi teknologi IT di industri migas cukup kompleks dari A ke Z, pelaksanaannya cukup sederhana.

Hal ini menyebabkan kompetensi yang diperlukan tim IT di sektor migas juga berbeda. Di sini yang diperlukan adalah orang yang generalis – tahu sedikit dari yang banyak. Beda dengan tim IT di konsultan yang dituntut menjadi spesialis – tahu banyak dari yang sedikit. Menjadi generalis atau spesialis tentu memiliki keuntungan dan kerugiannya masing-masing.

Jadi, tertarik menyelami IT di industri hulu migas? ^_^

Don’t Mess with Me, I’m CEH

Itulah slogan yang ada di website nya EC-Council, dengan foto seorang hacker ganteng (padahal hacker sejati pastinya kebanyakan begadang, pecandu rokok, kopi, dan jarang mandi).

Anyway, seminggu penuh saya ikut training C|EH, atau Certified Ethical Hacker di Teluk Betung, seberang Grand Indonesia. Training ini diadakan oleh Global Knowledge Indonesia, si pemegang lisensi CEH Training Center di Indonesia. Empat hari diisi materi tentang security dan teknik-teknik penjebolannya, dan hari terakhir ujian sertifikasinya.

Sebenarnya masih menjadi perdebatan apakah memang ada hacker baik dan hacker jahat, hacker ya hacker saja, orang yang memahami seluk beluk tentang security dan bagaimana memanfaatkan kelemahannya. Disebut ethical karena sebenarnya jualannya adalah “Penetration Test”, tetapi untuk kebutuhan marketing, kata “Hacker” yang dipakai karena jauh lebih populer. Penetration Test, atau Pentest, adalah sebuah kegiatan untuk melakukan tes keamanan sebuah sistem dengan ruang lingkup yang jelas. Hacker yang akan melakukan pentest harus menandatangani NDA (Non Disclosure Agreement), dan dokumen Scope of Works yang menyebutkan di titik mana saja ia diizinkan untuk mencoba menembus sistem keamanannya. Dokumen ini yang membuatnya menjadi seorang Penetration Tester, atau Ethical Hacker, atau hacker yang baik.

Dalam system security, ada dua pendekatan untuk melakukan pengamanan, yaitu defensif dan ofensif. Cara defensif adalah memasang alat-alat pencegahan dan memperkuat keamanan. Analoginya seperti mengamankan rumah dengan menutup pagar, mengunci pintu, menambah gembok, dll. Sysadmin akan memasang Firewall, mengizinkan hanya port-port tertentu saja yang boleh diakses, rajin melakukan patch, memasang IDS (Intrusion Detection System), Internet Security System, dsb.

Tindakan pencegahan tersebut belum cukup untuk menjamin bahwa sistem yang dilindungi telah aman sepenuhnya. Oleh karena itu dibutuhkan testing yang ofensif, dengan berpikir dan bertindak seperti hacker yang akan menjebol sistem. Diajari jadi maling. Alat-alat yang digunakan adalah alat-alat maling, dan teknik-teknik penembusan sistem keamanan juga menggunakan cara-cara yang umum dipakai maling. Dengan selalu meningkatkan pengamanan secara defensif dan secara rutin melakukan penetration test secara ofensif, maka diharapkan sistem akan aman — meskipun diakui tidak ada sistem yang benar-benar 100% aman.

Ujian sertifikasinya sendiri cukup berat buat saya. Jumlah soal ada 150 dan harus diselesaikan dalam waktu kurang dari 4 jam. Ada soal analisis, soal cerita, soal hapalan alat, perintah-perintah khusus, pokoknya lengkap dari A-Z. Passing grade yang diminta juga cukup tinggi, yaitu 70%. Alhamdulillah, saya lulus dan mendapatkan gelar CEH. Apakah setelah ini saya boleh bilang, “Don’t mess with me, I’m CEH!”?

Saya rasa tidak. Kesombongan adalah awal bencana di dunia keamanan komputer. Bisa saja besok blog saya ini dihack oleh anak SMP. Bisa jadi, hehehe…

Mengapa Sedemikian Mudah nge-Hack Account Facebook?

#OlehOleh dari training Certified Ethical Hacker (CEH v7)

Apakah teman-teman sidang pembaca pernah mengalami akun Facebook-nya kebobolan atau dihack? Saya sih belum, tetapi akun email Yahoo! saya pernah dihack dan mengirimkan email-email spam jual Viagra ke daftar teman di buku alamat. Apa betul seorang hacker bisa dengan mudah menjebol akun email atau Facebook seseorang? Kayaknya makin banyak kita jumpai remaja-remaja yang bangga bisa ngehack akun gadis yang telah menolaknya (kasihan ya orang IT itu, cuma bisa berani di dunia dia sendiri, diam-diam stalking dan menjebol akun Facebooknya).

Benarkah sistem pertahanan Facebook sedemikian lemah? Bukankah Facebook adalah tempat pakar-pakar IT nomor satu di dunia?

Berbicara tentang dunia keamanan komputer adalah bahan pembicaraan yang luar biasa luas. Untuk membawa satu halaman Facebook yang indah itu ke hadapan kita, dibutuhkan kerjasama dari berbagai macam sistem. Jaringan komputer sebagai infrastruktur, sistem operasi yang kita pakai (Windows, Mac, Linux), web browser (IE, Firefox, Chrome, Safari), aplikasi Facebook-nya sendiri, database yang bekerja mensuplai data, koneksi internet yang sedang kita pakai (LAN kantor, 3G modem, Free Wi-Fi nya Sevel, Warnet, dsb). Sekian banyak sistem itu tentu memiliki ratusan titik-titik kelemahan yang bisa dimanfaatkan oleh seorang hacker.

Tak perlu menjadi ahli keamanan untuk menjebol akun Facebook. Ini bukan berarti orang harus menjebol Facebook yang sedemikian canggih itu, tetapi orang bisa memanfaatkan titik-titik lemah yang lain. Dan memang seperti itulah cara hacker bekerja!

Penjaga warnet tamatan SMK itu juga bisa.

Di warnet, orang pasti buka Facebook kan? Yakin warnetnya jujur? Mungkin di PC itu dipasangi keylogger yang selalu merekam apa yang Anda ketikkan. Atau di server warnet dipasangi alat penyadap? Membuat kloning halaman e-banking dan menyajikannya kepada Anda halaman e-banking yang palsu tanpa Anda sadari? Seharusnya, warnet adalah tempat yang paling tidak terpercaya untuk browsing. Ironisnya, setiap orang datang ke warnet untuk Facebookan.

Di mal, saya selalu kecewa kalau di sana ada banyak Wi-Fi tapi tidak banyak yang free. Naluri gratisan saya selalu mencari-cari Free Wi-Fi dengan biaya sekecil mungkin. Masuk Starbucks, pesan kopi paling murah, lalu internetan seharian. Begitu kan? Saya juga sering gembira jika ada Wi-Fi yang kencang, gratis, dan tanpa password pengaman.

Lagi-lagi, siapa yang tahu Wi-Fi gratis itu punya siapa? Dengan membuat koneksi ke Wi-Fi, maka Anda akan melewatkan seluruh paket data anda melalui Wi-Fi itu. Kasusnya jadi kayak warnet. Seberapa percayakah Anda? Untrusted Network, kata Windows, memang harus selalu menjadi Untrusted Network. Tidak ada jaminan informasi yang Anda kirimkan melalui jaringan itu tidak disadap.

Ah, kan cuma Facebook yang ga terlalu penting?

Tunggu dulu, seberapa banyak dari teman-teman sidang pembaca yang budiman memakai password yang berbeda-beda? Saya kok yakin hampir semuanya memakai password yang sama untuk semua account. Ya email, Facebook, WordPress, Google, Paypal, dan bahkan mungkin e-banking! Sekali hacker menangkap satu password, dia akan mencobanya ke semua layanan. Habis semua lah.

Lalu yang pernah tahu teknik-teknik penyadapan akan bilang, lalu lintas data melalui HTTPS lebih aman daripada HTTP karena dienkripsi. Hacker yang menyadap meskipun bisa mendapatkan paket data tetap tidak bisa membaca data aslinya.

Mari kita lihat kelemahannya. Browser-browser modern memerlukan izin pengguna ketika akan menginisiasi koneksi HTTPS, kecuali untuk koneksi yang memiliki sertifikat HTTPS yang telah verified dan trusted, seperti Facebook. Saya, si hacker usil itu, akan membuat sertifikat palsu lalu mengirimkannya kepada calon korban. Di sini kelemahan psikologis-nya. Seberapa banyak dari kita yang membaca pesan penting di bawah ini?

Tentunya kita akan menekan tombol “Yes” kan? Padahal dialog ini akan menunjukkan detail sertifikat HTTPS yang ada palsu atau asli. Ketika korban menekan tombol “Yes”, koneksi HTTPS terenkripsi sudah tak ada artinya lagi. Hacker sudah bisa membaca data apapun yang lewat karena korban telah mempercayai sertifikat palsu si hacker.

Setelah ini (kalau sempat dan masih mood nulis topik sekuriti ini), kita akan bahas tentang phishing, teknik hacking yang sedang sangat populer karena memanfaatkan kelemahan psikologis dan ketidaktelitian pengguna. Email Yahoo! saya pernah sekali jebol, padahal saya sudah sangat teliti dan hapal dengan web-web phising ini.