Courtesy of Benedictine University

Pengalaman Magang Mahasiswa sebagai Pentester

Internship Program as Penetration Tester at PT Datacomm Diangraha

Sudah bertahun-tahun saya jatuh cinta dan berkecimpung pada dunia keamanan siber. Menghabiskan ribuan jam untuk menyelesaikan kursus gratis dan berbayar tentang keamanan siber secara online maupun offline, mengikuti seminar & workshop, aktif diskusi serta berkumpul dengan komunitas-komunitas penggiat keamanan siber, dan bahkan melakukan riset proyek kecil untuk dunia keamanan siber. Sudah lama saya mengimpikan untuk bisa merasakan bekerja di dunia profesional industri IT Security/Cyber Security (Keamanan Siber), terkhusus menjadi seorang Penetration Tester (Pentester). Karena mungkin basic skill set yang saya punya pada saat itu condong berkiblat ke arah Offensive. Ketika menduduki semester 10 — 11 (Trimester Kuliah) di kampus saya yakni; Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana. Mahasiswa/i diwajibkan untuk menjalankan Internship Program atau Magang atau yang biasa juga disebut Kuliah Kerja Nyata (KKN) selama minimal: 2 semester (6 bulan) lamanya. Intensi saya ingin propose 7 bulan ke pihak Fakultas & Perusahaan, karena menurut saya jangka waktu tersebut sangat tepat dengan strategi agenda timeline perkuliahan saya. Saya sengaja memberikan spare waktu 1 bulan dari regulasi minimal yang diterapkan Fakultas dengan tujuan agar disaat waktu yang seharusnya saya menikmati libur semester seperti kolega saya pada umumnya, justru saya memilih tetap produktif bekerja. Tidak terlalu lama, tidak juga terlalu cepat. Saya adalah penganut teori filosofi tionghoa: Yin & Yang bahwasanya semua hal haruslah balance.

Sebenarnya selama ini kampus saya belum bekerjasama dengan perusahaan manapun yang berkaitan dengan dunia keamanan siber. Dan dari perusahaan terkait juga tidak mebuka program internship untuk posisi penetration tester. Bahkan posisi ini tidak di mention sama sekali dalam portal career mereka, terselubung layaknya tim pasukan khusus yang very confidential. Hal ini yang memicu saya untuk melawan arus sistem yang ada. Memang terdengar sedikit contraflow anarchy, tetapi terkadang kita harus melakukan hal apapun untuk menggapai impian kita bukan? Selama itu memiliki intensi yang positif serta bisa dipertanggungjawabkan saya kira tidak ada salahnya untuk diperjuangkan.

“Tak Kenal, Maka Tak Sayang”. Kata-kata cliché dari pepatah tersebut yang sangat sering kita dengar di telinga. Niscaya kutipan bijak tersebut memang bersifat umum dan bisa diimplikasikan dalam berbagai lini kehidupan sebagai pedoman. Maka dari itu sebelum saya melakukan apply ke perusahaan Datacomm saya melakukan reconnaissance terlebih dahulu pada situs perusahaan Datacomm yang beralamatkan https://datacomm.co.id serta melakukan simple dorking melalui beberapa search engine konvensional seperti Google, DuckDuckGo dengan tujuan mempelajari seluruh informasi yang ada di Internet tentang perusahaan yang kita idamkan untuk bisa bekerja disana. Setelah itu dilanjutkan dengan melakukan information gathering, fase dimana saya mengumpulkan semua informasi dan melakukan filter. Saya mengumpulkan berbagai macam alamat e-mail yang saya dapatkan dari hasil reconnaisance di Public Internet dan melakukan apply secara massive ke seluruh department & division e-mail dengan akhiran @datacomm.co.id. Saya kira setiap orang mempunyai cara dan kisahnya masing-masing, tetapi pesan wejangan saya cuman satu yakni:

“Be Unique & Make an Remarkable First Impression!”

Singkat cerita saya mendapatkan positive feedback dari marketing team Datacomm yang mengarahkan saya untuk langsung melakukan apply ke Human Resource Department E-mail Address. Fast-forward sekitar 2–3 hari kemudian saya mendapatkan inbox e-mail dari HRD Manager yang menunjukkan bahwa beliau tertarik dengan submission yang saya apply, maka dari itu saya harus melengkapi beberapa administrative documents serta selanjutnya saya diarahkan ke salah satu HR Team, staf beliau untuk kelanjutan proses rekrutmen yang lebih dalam.

Selanjutnya saya diberikan kesempatan untuk adjustment schedule psychological testing secara online melalui platform yang bernama Digius HR Test. Setelah pengaturan jadwal untuk tes, saya mempersiapkan diri dengan riset dari berbagai macam sumber Tips & Tricks serta contoh soal psikotes yang bertebaran di Internet. Hari tes telah tiba, saya tidak merasa gugup sama sekali karena saya sudah mempersiapkan segalanya dengan matang.

The more familiar you are with the material you have prepared, the less nervous you’ll feel.

— Robert Walters

📝Tips & Tricks Face A Test

1. Kondisi Prima — Ini adalah faktor terpenting saat menghadapi suatu tes/ujian jenis apapun. Atmosphere dari sebuah tes/ujian ini pasti di design sangat stressful oleh sang pembuat soal untuk mengukur kemampuan problem solving Anda , maka dari itu dibutuhkan high persistence & high endurance effort. Jika Anda tidak dalam kondisi prima karena kurang istirahat, kelaparan serta dehidrasi, atau bahkan keadaan sakit, maka Anda akan kehilangan semua kompetensi diatas.
2. Koneksi Stabil — “Selalu sedia payung sebelum hujan”. Artinya sebelum test dimulai, kondisikan serta netralisir traffic penggunaan Internet di jam tersebut sehingga meminimalisir terjadinya lagging, request time out, ETC. Jangan lupa menyediakan backup gear seperti Mobile WiFi (MiFi) 3G/4G, Wi-Fi Adapter, Wi-Fi Extender, ETC. Jadi jika sumber akses Internet “A” mengalami trouble, kita bisa beralih langsung ke sumber “B” atau “C”.
3. Memecahkan Soal — Tetap relax & optimis karena Anda sudah mempersiapkan semuanya dengan matang. Usaha tidak pernah mengkhianati hasil. Tetapi terkadang kita sering putus asa ketika dihadapkan dengan soal-soal yang memutar otak dan akhirnya stuck kehabisan waktu hanya karena terkecoh memecahkan 1 persoalan. Cukup kerjakan soal yang mudah terlebih dahulu dan skip soal yang susah. Jangan pernah gambling untuk mengarang indah. Semua action yang kalian lakukan itu ada sistem penilaian serta poinnya. Just Be Real & Honest.
4. Perhatikan Detail — Jangan pernah menganggap remeh segalanya. Mulai beri empati & simpati dari hal yang kecil itu akan membawa Anda ke suatu hal yang lebih besar lagi nantinya. Terkadang karena kita meremahkan hal sepele seperti tidak menyediakan MiFi untuk backup akses Internet, sedangkan akses Internet primer mati. Pada akhirnya kita akan kehilangan kesempatan berharga yang mungkin tidak akan datang kedua kalinya. So, Watch Ür Step & Do The Advices!

Fase psikotes telah usai, saya mendapatkan akumulasi skor: 120 dari sistem. Tentu saja hasil tes bukanlah segalanya, karena hanya menunjukkan angka. Tetapi yang perlu digarisbawahi adalah prosesnya. Dari hasil tersebut maka saya dianggap layak untuk melanjutkan tahap Screening-1 Interview oleh HR, overall berkaitan dengan pertanyaan kepribadian. Soft Skills & Hard Skills Anda akan di highlights oleh Interviewer pada saat Anda berinteraksi. Kuncinya adalah menjadi orang yang jujur apa adanya agar aura Anda bisa dirasakan jelas saat mengobrol dengan seorang HR yang biasa bermain dengan psikologi manusia.

Setelah sesi Interview dengan HR berakhir, Anda akan dijadwalkan tahap Screening-2 untuk Interview dengan User (Pengguna). Tujuan dari Interview User adalah untuk mengetahui apakah User (Dalam konteks ini adalah pimpinan divisi/departemen terkait) membutuhkan serta cocok memiliki calon anak buah seperti Anda atau tidak. Pertanyaan yang biasa dilontarkan oleh User adalah poin-poin yang terkait dengan Experiences, Technichal Skills, Team Work, bahkan sedikit tentang Personality seperti Hobbies, atau Daily Routines. Biasanya yang menjadi poin-poin pertimbangan besar dari User adalah:

1.) Apakah kira-kira seorang Anda ini bisa cocok untuk tandem sebagai kolega anak buah beliau yang lainnya, jika Anda ditempatkan di divisi/departemen terkait?

2.) Bagaimana kompetensi dalam diri Anda?

3.) Bagaimana attitude Anda?

4.) Bagaimana rekam jejak digital Anda?

Congrats Letter from HR

Voilà, finally accepted! Berangkat ke Ibukota dengan Kereta Api dibiayai full oleh perusahaan. Dan merasa sangat bersyukur mendapatkan perjanjian sallary dalam bentuk allowance yang sangat cukup untuk bertahan hidup di Jakarta Selatan setiap bulannya membayar kos serta konsumsi 3 kali sehari, bahkan bisa hangout di Beer Garden, SCBD setiap weekend.

✍🏻 Weekly Report At A Glance

Notabene: saya tidak akan menjelaskan secara detail, dikarenakan terikat oleh Non Disclosure Agreement (NDA) & Ethical Issues.

👷🏻Kerja Praktek 1 (8 SKS)

⦿Minggu 1 (2 September 2019 — 6 September 2019):

↪Masa orientasi tempat kerja. Lalu dilanjutkan dengan perkenalan dengan seluruh karyawan PT Datacomm Diangraha yang ada ditempat di Graha Datacomm Head Office/Headquarter, Tendean, Mampang Prapatan, Jakarta Selatan. Setelah itu IT Security Consultant (Special Architect) mengarahkan untuk adaptasi terlebih dahulu dengan situasi selama 1 minggu, dan mempersiapkan diri untuk belajar Domain Name System (DNS) secara kompleks, karena incomming project adalah Penetration Testing DNS salah satu perusahaan operator telekomunikasi seluler terkemuka di Indonesia.

⦿Minggu 2 (9 September 2019 — 13 September 2019):

↪Deploy & Setup VPS (Ubuntu Bionic) untuk keperluan bahan Penetration Testing DNS dengan berbagai macam referensi metode yang sudah di riset sebelumnya.

⦿Minggu 3 (16 September 2019 — 20 September 2019):

↪Penetration Testing DNS dengan dnscat2.

⦿Minggu 4 (23 September 2019 — 27 September 2019):

↪Penetration Testing DNS dengan dnscat2. Membaca buku A Comprehensive Guide to 5G Security.

⦿Minggu 5 (30 September 2019 — 4 Oktober 2019):

↪Membuat penetration testing progress report untuk diberikan sementara ke client (satu perusahaan operator telekomunikasi seluler terkemuka di Indonesia), Lalu melakukan meeting dengan tim dari client. Mereka mengatakan pasti masih ada hole/lubang/celah. Just Dig In & Try Harder!

⦿Minggu 6 (7 Oktober 2019 — 11 Oktober 2019):

↪Setup VPS (Redhat), untuk keperluan bahan Penetration Testing DNS salah satu perusahaan operator telekomunikasi seluler terkemuka di Indonesia.

⦿Minggu 7 (14 Oktober 2019 — 18 Oktober 2019):

↪Penetration Testing DNS salah satu perusahaan operator telekomunikasi seluler terkemuka di Indonesia dengan dns2tcp.

⦿Minggu 8 (21 Oktober 2019 — 25 Oktober 2019):

↪Penetration Testing DNS dengan dns2tcp. Masih belum ada progres yang signifikan. Dan hari Jumat, 25 Oktober 2019 akan ada meeting internal para pentesters untuk membahas project pentesting DNS salah satu operator seluler di Indonesia ini. Berharap kami semua bisa berkolaborasi & berelaborasi untuk melakukan pentesting DNS ini secara massive & aggreesive.

⦿Minggu 9 (28 Oktober 2019 — 01 November 2019):

↪Penetration Testing DNS salah satu perusahaan operator telekomunikasi seluler di Indonesia dengan Iodine (berbeda metode) & sudah memperlihatkan progres hasil yang memiliki harapan untuk di ulik lebih lanjut. Lalu dilanjutkan dengan project pentest web apps internal company menggunakan standard acuan dari Open Web Aplication Security Project (OWASP). Penetration Testing process dilakukan full manual, karena dilarang menggunakan automatic tools yang dapat memberatkan server.

⦿Minggu 10 (04 November 2019 — 08 November 2019):

↪Melanjutkan, Penetration Testing DNS salah satu perusahaan operator telekomunikasi seluler Indonesia dengan Iodine & Melanjutkan project pentesting Internal Web Apps Company yang sudah di analisa ternyata menggunakan CMS WordPress & WHMCS. Mencari referensi terkait vulnerability untuk plugin, themes, framework, security misconfiguration, environment OS dalam web apps tersebut dengan kondisi Black-Box pentesting. Semua dilakukan di local area network.

⦿Minggu 11 (11 November 2019 — 15 November 2019):

↪Penetration Testing DNS dengan iodine salah satu perusahaan operator telekomunikasi seluler Indonesia sudah membuahkan hasil, persiapan untuk membuat laporan dokumentasi hasil pentesting ke IT Secuity Consultant yang nantinya akan disempurnakan bersama untuk final documentation. Dikemas secara profesional untuk di present ke client sekaligus menjadi Internal Company Archive. Pada hari rabu & kamis melakukan perjalanan dinas ke Bandung, Jawa Barat, datang di security event yakni “Peningkatan Kemampuan Deteksi Dini & Koordinasi Dalam Rangka Cyber Situational Awareness” yang diselangarakan oleh Badan Siber & Sandi Negara berkolaborasi dengan The Indonesia Honeynet Project serta Telkom University.

⦿Minggu 12 (18 November 2019 — 22 November 2019):

↪Membuat dokumentasi Proof of Concept Penetration Testing Domain Name System pada kartu GSM salah satu perusahaan operator telekomunikasi seluler Indonesia, membuat video dokumentasi, membuat file presentasi. Sekaligus membuat laporan akhir Kerja Praktek 1 dari hasil project yang sudah completed.

⦿Minggu 13 (25 November 2019 — 29 November 2019):

↪Cuti kerja untuk melakukan bimbingan serta presentasi laporan ke pembimbing di Fakultas Teknologi Informasi, Universitas Kristen Satya Wacana, Salatiga.

W/ Datacomm Pentesters at DTC-LAB

👷🏿Kerja Praktek 2 (8 SKS)

⦿Minggu 1 (01 Desember 2019 — 6 Desember 2019):

↪Research tehnik-tehnik Penetration Testing sembari menunggu incomming project, karena di bulan Desember (akhir tahun) semua project full freeze, dan estimasi akan mulai kembali di pertengahan Januari.

⦿Minggu 2 (09 Desember 2019 — 13 Desember 2019):

↪Masih berlanjut research tehnik-tehnik Penetration Testing. Mempelajari MITRE Attack Framework.

⦿Minggu 3 (16 Desember 2019 — 20 Desember 2019):

↪Masih berlanjut research tehnik-tehnik Penetration Testing. Mempelajari Physical Hacking.

⦿Minggu 4 (23 Desember 2019 — 27 Desember 2019):

↪Cuti Keagamaan (Natal).

⦿Minggu 5 (30 Desember 2019 — 03 Januari 2020):

↪IT Security Consultant (Team Leader) memberikan spoiler incomming project yang akan dikerjakan dipertengahan Januari.

⦿Minggu 6 (06 Januari 2020 — 10 Januari 2020):

↪Research serta mempersiapkan kebutuhan project. Sembari menunggu project tersebut di accept final fix deal antara vendor & client. Dinas project Penetration Testing untuk team SIEM SOC, salah satu perusahaan yang bergerak di bidang transmisi dan distribusi gas bumi. Melakukan simulasi attack & baby sitting terhadap tim analyst & defender belia mereka.

⦿Minggu 7 (13 Januari 2020 — 17 Januari 2020):

↪Mempersiapkan serta research kebutuhan project.

⦿Minggu 8 (20 Januari 2020 — 24 Januari 2020):

↪Mempersiapkan & research kebutuhan project. Sembari menunggu project tersebut di accept & final fix deal antara kedua perusahaan.

⦿Minggu 9 (03 Februari 2020 — 07 Februari 2020):

↪Present Proof Of Concept Penetration Testing Web Application di salah satu bank BUMN di Indonesia. Dilakukan secara local melalui VLAN yang sudah mereka siapkan. Tentunya dengan kondisi ini kita harus datang ke venue lokasi secara langsung, tidak bisa remote. Dan setiap gerak-gerik kita diawasi oleh staf mereka selama melakukan kegiatan pentesting.

⦿Minggu 10 (10 Februari 2020 — 14 Februari 2020):

↪Penetration Testing Proof Of Concept DNS Attack untuk salah satu perusahaan penyedia jasa telekomunikasi dan jaringan telekomunikasi partikelir di Indonesia, mengimplementasikan serta mensimulasikan attack & defence perangkat dari principal: Efficient IP (EIP), Product: DNS Guardian.

⦿Minggu 11 (17 Februari 2020 — 21 Februari 2020):

↪Penetration Testing Proof Of Concept DNS Attack salah satu perusahaan penyedia jasa telekomunikasi dan jaringan telekomunikasi partikelir di Indonesia masih berlanjut.

⦿Minggu 12 (24 Februari 2020 — 28 Februari 2020):

↪Meeting & presentation Proof Of Concept DNS Attack salah satu perusahaan penyedia jasa telekomunikasi dan jaringan telekomunikasi partikelir di Indonesia.

⦿Minggu 12 (02 Maret 2020 — 06 Maret 2020):

↪Membantu troubleshooting VMWare vSphere Virtualization untuk server LAB Security Department Datacomm Head Office/Headquarter.

⦿Minggu 13 (09 Maret 2020 — 13 Maret 2020):

↪Senior Manager Consulting Services mengarahkan untuk mempelajari tentang IT di tataran level manajemen seperti ITIL framework, sebelum menyusun laporan Kerja Praktek 2.

⦿Minggu 14 (16 Maret 2020 — 20 Maret 2020):

↪Membantu IT Security Consultant (Special Architect) untuk membangun environtment vulnerable apps di LAB untuk simulasi proof of concept attack & defence pada calon client high priority (very confidential). Sembari menyelesaikan Tugas Akhir 2 & Laporan Kerja Praktek 2, di DTC-LAB.

⦿Minggu 15 (23 Maret 2020 — 27 Maret 2020):

↪Konsentrasi untuk menyelesaikan Tugas Akhir 2 & Laporan Kerja Praktek 2, di DTC-LAB.

⦿Minggu 16 (30 Maret 2020 — 01 April 2020):

↪Program contract for Internship has ended, mengurus berbagai administrasi ke HR dan lain-lain untuk keperluan exit checklist dari company. Kembali ke Salatiga dengan Batik Air (via Semarang). GrabCar Corporate dari indekos ke soekarno-hatta international airport serta itenerary tiket pesawat semua dibiayai oleh kantor.

All Datacomm Security Services Department Team

📚Learn & Research, Like Almost Every Day

“Tiada ada hari tanpa belajar”. Itu yang bisa saya sampaikan jika Anda ingin berkecimpung di dunia keamanan siber, terkhusus menjadi seorang Penetration Tester. Jika Anda tidak memiliki passion serta komitmen dedikasi dibidang ini, saya kira pekerjaan ini akan sangat stressful. Selain itu menjadi seorang pentester juga bisa dianalogikan layaknya seniman. Relatif bersifat abstract maka dari itu dituntut kreatifitas yang out of the box. Perubahan disiplin ilmu ini sangat dinamis, kita harus bisa adaptive untuk mengikuti trend updates yang sangat cepat berubah seiring peradaban.

“The only way to do great work is to love what you do. If you haven’t found it yet, keep looking. Don’t settle. As with all matters of the heart, you’ll know when you find it.”

―Steve Jobs

Lists of Attack Method w/ Custom Payload

DNS Amplification Attack File’s Properties

DNS Amplification Attack Custom Payload File Sample

See? Riset dan belajar tidak akan pernah absent dalam daily routines seorang pentester. Anda bisa mendapatkan serta mempertajam skill teknis di platform berikut: https://tryhackme.com/signup?referrer=61bafc8ef1b609005f66b8be.

🎖️Lessons Learned Along The Way

Lesson #1: Siapapun bisa, asalkan mau berusaha keras.

Saya mendapatkan kesempatan ini bukan karena saya seorang jenius dengan IQ 140+ layaknya Albert Einsten & Isaac Newton, atau diberi bakat alami oleh Tuhan. Saya mendapatkannya karena saya mengorbankan banyak waktu dan kerja keras untuk itu. Jika Anda mulai berfokus pada hal-hal yang Anda gemari, Anda akan memiliki keuntungan besar dibandingkan orang lain.

Lesson #2: Mengapa tidak untuk menetapkan mimpi yang tinggi?

Buat dulu saja target yang tinggi. Tujuannya adalah apabila nanti jatuh tidak akan terlalu jauh dari target. Bahkan jika Anda gagal, Anda akan mendapatkan lebih dari yang seharusnya. Jangan takut bermimpi, tentu saja diimbangi dengan aksi serta doa. Layaknya peribahasa “sambil menyelam minum air” juga bisa diimplikasikan dalam proses menggapai mimpi. Mengerjakan laporan Tugas Akhir sekaligus laporan Kerja Praktek. Siapa takut?

Lesson #3: Jelajahi segalanya! Selagi di Ibukota.

Ini adalah saat yang tepat & jitu untuk menetapkan serta mengembangkan goals, skill sets, knowledges, mentor, job opportunities, trainingship.

Ingatlah untuk selalu bersedia mengambil kesempatan & mencoba sesuatu yang menantang diluar zona nyaman Anda, mungkin sepanjang perjalanan Anda akan menemukan bakat-bakat terpendam Anda yang lain. Keep Strugling & Survive!

W/ Co-Founder, a Private Companies in Korea

📌Some Personal Tips Might Be Helpful

• Pelajari cara Mengenal Diri Sendiri serta Personal Branding, lalu lengkapi dengan Growth Mindset.
• Find The Right Role Model — Carilah panutan penggiat keamanan siber dalam Negeri maupun Luar Negeri yang tidak keluar lajur (blackhat).
• Find The True Mentor — Temukan mentor yang benar-benar tulus bisa membimbing dalam dunia yang Anda geluti, dalam hal ini keamanan siber.
• Get Supportive Circle — Berbeda ketika ada 10 otak yang berpikir dibanding 1 otak saja. Jangan jadi independent, manusia pada dasarnya adalah mahluk sosial maka dari itu bergabunglah serta aktif di organisasi/komunitas nirlaba yang sangat suportif dan konstruktif seperti Arisan SECurity (A-SEC).
• English Is Mandatory — Menguasai bahasa Inggris ini sudah harga mati. Tidak bisa ditawar lagi. Apalagi jika Anda bekerja di perusahaan besar dengan global exposures.

W/ Another Colleague of Satya Wacana Christian University Student (Coop. Network Engineer)

Last but not least: suatu kebanggan tersendiri bisa menjadi bagian dari salah satu perusahaan TI Nasional yang masuk nominasi 10 perusahaan TI wawancara kerja paling sulit di Indonesia. Terkhusus sebagai anak Magang Putra Daerah yang bisa diterima serta dipercaya dalam menduduki posisi; Penetration Tester, Consulting Services Division, Security Services Department di Headquarter (HQ) / Head Office (HO) PT Datacomm Diangraha, Mampang Prapatan, Jakarta Selatan, DKI Jakarta. Tentu saja pencapaian ini didapatkan dengan berdarah-darah, sifat kesetiaan yang konsisten, serta rela mengorbankan banyak hal hanya demi menyongsong sesuatu yang besar dan gemilang di masa yang akan datang. Percalayah bahwa:

“Usaha Tidak Pernah Mengkhianati Hasil”

Terima kasih banyak kepada semua orang yang telah membantu saya sepanjang jalan, dan kepada Anda karena telah meluangkan waktu berharga Anda untuk membaca coretan cerita perjalanan hidup saya.

📞 You Can Find Me: HERE

Temukan BUKU BELAJAR SECURITY JARINGAN KOMPUTER BERBASIS CERTIFIED ETHICAL HACKER CEH RIFKIE PRIMARTHA dengan potongan 5%! Hanya Rp171.000. Dapatkan sekarang juga di Shopee! https://shope.ee/4fRimBVbTs?share_channel_code=1