31/01/2019
Is this how low you can go, Indihome? What a terrible service.
tl;dr version: Telkom bisa mencegat koneksi kalian ke website dan ngelakuin hal-hal aneh kalo websitenya blom HTTPS termasuk ngeliat informasi sensitif seperti username dan password. Pernah kena iklan dari ISP atau redirect ke Mercusuar atau bahkan inject cryptominer? Iya, itu lah penyebabnya.
Jadi gw lagi ngetes RESTful web service di EC2 instance yang gw punya and... guess what? Indihome intercepted my traffic and then redirects it to Mercusuar. Wow, amazing right?
Karena gw blom register IP servernya ke domain manapun, jadinya gw make local hostname resolver (/etc/hosts) dengan nama (contoh) server.aws. Lebih gampang ngapalin hostname daripada ngapalin IP address kan? That's all fine and dandy so I just call it a day, moving on.
Nah pas gw lagi test hit web service-nya, ternyata ISP gw (Indihome) ngebaca traffic gw dan ngetes kalo hostname yang gw pake (server.aws) bisa mereka resolve apa ngga dengan ngebaca HTTP header-nya. Tough luck, Indihome, of course you can't resolve it. Dan akhirnya traffic gw diredirect ke Mercusuar karena dianggep traffic gw dituju ke server yang ga bisa diakses. Amazing, simply amazing.
Oke mungkin ini masih mending kalo cuman di-redirect ke Mercusuar. Tapi gimana kalo misalnya mereka sampe inject ads (kasus lama), mencuri secret credentials (username/password), atau bahkan inject malicious scripts seperti cryptominer? (kasus baru seiring maraknya crypto mining)
Now what can I do instead? Gw punya 3 pilihan disini.
1. Gunain HTTPS untuk web service
2. Gunain VPN atau proxy biar traffic-nya ga dibaca Indihome dan diredirect ke halaman Mercusuar
3. Gunain IP address servernya
Pilihan 1 dan 3 terlalu ribet jadinya gw pake pilihan 2. This isn't a production server, mind you. Dan di sini gw mau menekankan dua hal.
Untuk pemilik website, mulailah gunakan HTTPS untuk production server. There's just no reason of not doing so. Kalo ga mau bayar buat SSL certificates, masih ada layanan gratis seperti Let's Encrypt. (https://letsencrypt.org/)
Kenapa HTTPS? Soalnya traffic website lo bakalan dilindungin dengan enkripsi sehingga ISP ga bakalan bisa intercept traffic dari dan ke website lo. Ini juga demi ngelindungin pengujung website lo dari ISP ngelakuin hal-hal aneh.
Not convinced? Silahkan baca artikel ini: https://www.troyhunt.com/heres-why-your-static-website-needs-https/
Untuk pengguna internet, start considering to invest in VPN. No, not the public and free ones. Public VPN juga ga kalah bahayanya sama ISP lo, not to mention their snail slow connectivity. Lo ga bakalan tau kapan dan ISP mana yang bakalan ngelakuin hal-hal aneh sama internet traffic lo. Ngga, ini bukan demi kepentingan buat buka bokep atau Reddit. This is for your own security and privacy.
Ada beberapa layanan VPN berbayar yang bagus, tapi gw baru berani rekomen NordVPN (https://nordvpn.com/) karena koneksinya reliable, harganya ga terlalu mahal (kadang ada promo 70$ untuk 3 tahun), dan gw sendiri juga make.
Ada juga Private Internet Access (https://www.privateinternetaccess.com/) tapi gw sendiri blom pernah cobain, meskipun dari yang gw denger layanannya cukup bagus dan lebih murah daripada NordVPN.
Atau kalo mau cara yang lebih tech savvy, bisa cari layanan VPS hosting (Amazon LightSail is great and cheap) dan pasang Algo VPN (https://github.com/trailofbits/algo) di servernya. Gw personally make cara ini buat dibagi sama beberapa temen gw.
Net neutrality has been dead in Indonesia for a long time and it's been a bad thing.
Ini juga sebagai pengingat kalo tahun kemarin di US lagi heboh gara-gara net neutrality mau dicabut sama FCC, sedangkan kita orang di sini ga ada yang peduli karena kita ga sadar kalo net neutrality di negeri kita sendiri udah lama mati.
---- You may now stop reading here ----
Explanation buat yang dewa-dewain DNSCrypt:
Kenapa ga make DNS-over-HTTPS/DNS-over-TLS/DNSCrypt/DNSSEC aja?
This is probably going to be a long explanation.
Pertama-tama ada konsep tentang DNS resolution, dimana tujuannya adalah mengubah domain name yang biasa kita masukkin buat ngakses website (eg: www.facebook.com) menjadi IP address (eg: 157.240.13.35) yang bisa dimengerti oleh komputer dan jaringan internet. Nah yang bertugas untuk melakukan DNS resolution ini adalah DNS resolver, dan resolver ini bisa berupa beberapa bentuk.
DNS resolver yang umum digunakan adalah DNS server, cara kerjanya adalah komputer kita mengirim permintaan untuk resolve (mengubah) suatu domain name menjadi IP address, ke DNS server melalui jaringan internet dengan IP yang sudah kita ketahui dan atur sebelumnya (eg: 1.1.1.1 atau 8.8.8.8). Server ini akan menjawab dengan memberikan IP address untuk domain name yang kita minta.
Ada juga cara klasik yang sudah dipakai dari sebelum adanya DNS server sampai sekarang, yaitu menggunakan file di setiap komputer yaitu /etc/hosts (Linux/Mac/Unix-based) atau C:\Windows\system32\Drivers\etc\hosts (Windows). File ini berisikan daftar domain name beserta IP address untuk domain name tersebut. Nah ini cara yang gw pakai untuk nyimpan IP address dari domain name server gw (server.aws). Lebih jelasnya: https://bencane.com/2013/10/29/managing-dns-locally-with-etchosts/
Nah kalo domain name-nya terdaftar di DNS server dan /etc/hosts, mana yang bakal dipake duluan d**g? Hampir semua OS yang gw tau bakalan selalu make IP address di /etc/hosts duluan kalo ada. Kalo ngga ada baru make DNS server. Karena gw make /etc/hosts, udah pasti DNS resolution untuk server.aws ga perlu make DNS server.
Oke udah cukup penjelasannya, tapi apa masalahnya di sini? Ga ada.
Mungkin kalian yang ngomong DNSCrypt udah tau kalo kadang ISP bisa redirect atau respond DNS request dari DNS server mereka sendiri, yang mana harusnya ke DNS server yang kita minta. Inilah kenapa kadang make DNS CloudFlare (1.1.1.1) atau Google (8.8.8.8) ga mempan, ujung-ujungnya yang resolve domain name itu ISP kita sendiri, bukan CloudFlare/Google.
Solusinya? DNS-over-HTTPS/TLS menggunakan software seperti DNSCrypt atau DNSSEC. Gunanya? Untuk memastikan permintaan DNS kita benar-benar dikirim dan diterima dari DNS server yang kita tentukan, tanpa ada modifikasi atau intercept apapun dari ISP berkat enkripsi dari HTTPS/TLS. Atau jika menggunakan DNSSEC, bisa dicek bahwa jawaban dari DNS server adalah asli dari server yang kita inginkan.
Terus katanya ga ada masalah dan ga perlu DNSCrypt/DNSSEC? Emang ga ada.
Soalnya domain name server gw (server.aws) itu di-resolve di komputer gw sendiri, tanpa perlu ada koneksi internet, tanpa perlu ada request ke DNS server. Caranya gimana? Mending baca lagi dari atas. Ini bukan masalah di DNS resolution. Domain name server gw di-resolve ke IP address yang semestinya. Jadi ga perlu DNSCrypt.
Masalahnya ada di mana d**g? Baca lagi dari atas: Indihome mencegat koneksi HTTP ke server gw dan ngelakuin hal aneh di situ, yaitu nge-redirect ke situs Mercusuar. Sekali lagi, ini bukan masalah DNS (setidaknya di komputer gw) jadi ga usah nyebut-nyebut DNSCrypt. Gw sendiri juga make DNSCrypt juga sama aja hasilnya.
Let’s Encrypt is a free, automated, and open certificate authority brought to you by the non-profit Internet Security Research Group (ISRG).
