Kami, di evilfactorylabs, ikut andil dalam membantu membuat Internet—khususnya di Indonesia—menjadi tempat yang lebih baik, aman, dan sehat.

Per tanggal 19 November 2020, baru 3 lapisan yang kami ikut berpartisipasi untuk mencapai tujuan tersebut, antara lain:

TOR Relay

Misi dari Tor Project adalah To advance human rights and freedoms by creating and deploying free and open source anonymity and privacy technologies, supporting their unrestricted availability and use, and furthering their scientific and popular understanding.

Jaringan TOR cocok untuk kamu yang menginginkan anonimitas lebih lanjut; melawan teknologi pelacak, mencegah pembuatan sidik jari unik, dan mencegah pengintai yang mengamati aktivitas kamu di Internet.

Jaringan TOR sangat berguna untuk jurnalis & aktivis yang keamanan serta ranah privasi nya sangat rentan untuk diserang.

https://metrics.torproject.org/rs.html#details/35C7266E4BA5EFAFE1032C24B657BBF14ADDD88B

Kami sudah mengoperasikan TOR Relay selama ~2 bulan, yang berlokasi di Singapura dengan rata-rata bandwidth yang ditawarkan sebesar ~250KiB/s yang mana tergolong relatif cepat.

Harapannya, agar teman-teman di Indonesia yang menggunakan jaringan TOR—untuk kepentingan apapun itu—mendapatkan koneksi yang lebih cepat, stabil, dan tentunya lebih aman.

Dan mengoperasikan TOR Relay langsung di Indonesia sudah berada di daftar kami, demi membuat jaringan tersebut menjadi lebih cepat & stabil lagi!

Siapapun (secara acak) dapat menikmati TOR Relay kami.

Siapapun.

Virtual Private Network (VPN)

Jika TOR membuat diri kamu di Internet menjadi lebih-acak-namun-seragam, dengan menggunakan VPN, itu membuat diri kamu di Internet menjadi sedikit-acak-namun-seragam.

Maksud "acak-seragam" diatas adalah penyedia layanan di Internet mungkin mengetahui kalau kamu menggunakan jaringan TOR (seragam), terlepas kamu siapa, itu maksud dari acak (karena alamat IP kamu berubah-ubah, user-agent kamu berubah-ubah, dsb).

Di ranah VPN pun relatif sama, namun tidak se-acak menggunakan jaringan TOR.

Penyedia layanan di Internet mungkin mengetahui kalau kamu menggunakan VPN—yang entah dari Mozilla VPN, Mulvad, dsb—namun mereka tidak mengetahui siapa 'orang' dibalik jaringan tersebut.

Kita disini menyediakan layanan VPN juga, namun sayangnya, khusus untuk pendukung evilfactorylabs. VPN tersebut menggunakan Wireguard® di protokol 8999, dari yang sebelumnya menggunakan Outline yang dikembangkan oleh tim Jigsaw nya Alphabet.

https://ipleak.net/

VPN tersebut mendukung IPv6, menggunakan DNS Server sendiri (via Unbound), dan menggunakan Pi-hole sebagai DNS Resolver nya.

DNS Over HTTPS (DOH)

Selain menawarkan VPN yang terkesan eksklusif, kami juga menawarkan DNS Over HTTPS atau DoH yang bisa digunakan melalui https://doh.edgy.network/dns-query.

Perbandingan dengan 1.1.1.1 nya Cloudflare

Masih menggunakan DNS Server sendiri (Unbound) dengan tujuan agar tidak bergantung dengan layanan yang sudah ada yang ditawarkan oleh perusahaan besar seperti Cloudflare dan Google.

Dan karena kita menggunakan PiHole sebagai DNS Resolver nya, maka kita pun memblokir DNS Query yang mengarah ke iklan/pelacak/dsb.

Query ke Google Analytics dibalikkan ke 0.0.0.0—jika menggunakan VPN kita, maka bisa query via IPv6

Jika kamu ingin menggunakan DoH dari kita, bisa setting di Firefox via Preferences > Network Settings > Enable DNS over HTTPS

Setting DOH di Firefox

Dan karena mengarah ke DNS Server yang sama, maka kamu pun mendapatkan keuntungan dari Pihole!

Untuk yang tidak bisa menggunakan DOH, kamu bisa menggunakan DNS Server 172.105.127.151 (atau PING sin2.edgy.network bila alamat IP berubah) dan kamu akan mendapatkan benefit yang sama (tergantung ISP mu bila tidak menindih konfigurasi) dengan catatan, yang sayangnya, server kita akan tahu alamat IP kamu dan yang kamu query jika kamu langsung query ke port 53 kita dan tidak melalui IPv6.

Update (20/11/20 17:03): Setelah di restart DNS Resolver, nya sekarang sudah berjalan sebagaimana mestinya, yeay!

Zero logging

Benar sekali, selain karena gak penting juga agar menghemat sumber daya.

Tidak ada dns query yang dicatat

Terus gimana kalau ada error? Tinggal cek apakah proses tersebut (Unbound, Pihole, doh-server) masih berjalan, jika tidak, tinggal restart hahahaha (tapi restart policy kita always).

Selain itu, karena kita pakai Docker, kemungkinan log akan dikirim ke /dev/stdout, kan?

Container berjalan dengan logging.driver=none

Tapi disini kita tidak mengaktifkan itu dengan menggunakan log driver none, jadi semua query yang masuk dijamin aman tanpa mengetahui siapa yang melakukan query tersebut!

SHOW US SOME TCPDUMP?

Oke sebelumnya sudah kita singgung tentang "leak" bila menggunakan IPv4, sebagaimana contoh berikut ketika gue mengakses xhamster.com via curl:

tcpdump ke port 53

Disitu jelas: Ada alamat IP gue (10.0.0.100, private via VPN), kemana query tersebut di lempar (disitu ke 8657418acdce/172.16.238.1 yang mana adalah alamat pihole), lalu meminta record apa (A dan AAAA untuk xhamster.com).

Berikut output nya:

fariz:~$ sudo tcpdump port 53 -c 8
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vetha9b2fdb, link-type EN10MB (Ethernet), capture size 262144 bytes
17:37:42.455285 IP 10.0.0.100.53345 > 8657418acdce.domain: 10606+ A? xhamster.com. (30)
17:37:42.456519 IP 8657418acdce.domain > 10.0.0.100.53345: 10606 2/0/0 A 104.18.156.3, A 104.18.155.3 (62)
17:37:42.456895 IP 172.16.238.1.38509 > 8657418acdce.domain: 25185+ PTR? 3.238.16.172.in-addr.arpa. (43)
17:37:42.457097 IP 8657418acdce.domain > 172.16.238.1.38509: 25185* 1/0/0 PTR 8657418acdce. (69)
17:37:42.457146 IP 10.0.0.100.53345 > 8657418acdce.domain: 52968+ AAAA? xhamster.com. (30)
17:37:42.462997 IP 172.16.238.1.56291 > 8657418acdce.domain: 32871+ PTR? 100.0.0.10.in-addr.arpa. (41)
17:37:42.463268 IP 8657418acdce.domain > 172.16.238.1.56291: 32871 NXDomain 0/0/0 (41)
17:37:42.464303 IP 172.16.238.1.34848 > 8657418acdce.domain: 13847+ PTR? 1.238.16.172.in-addr.arpa. (43)
8 packets captured
9 packets received by filter
0 packets dropped by kernel

Ini menarik, karena bila gue menggunakan IPv6 ketika melakukan query, masalah diatas tidak muncul alias si Pihole melakukan tugasnya dengan benar:

DNS Query via IPv6

Berikut outputnya:

fariz:~$ sudo tcpdump port 53 -c 6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vetha9b2fdb, link-type EN10MB (Ethernet), capture size 262144 bytes
18:10:09.850707 IP 172.16.238.1.41598 > 8657418acdce.domain: 32545+ [1au] A? xhamster.com. (41)
18:10:09.851919 IP 172.16.238.1.49893 > 8657418acdce.domain: 64544+ PTR? 3.238.16.172.in-addr.arpa. (43)
18:10:09.852217 IP 8657418acdce.domain > 172.16.238.1.41598: 32545 2/0/1 A 104.18.156.3, A 104.18.155.3 (73)
18:10:09.852564 IP 8657418acdce.domain > 172.16.238.1.49893: 64544* 1/0/0 PTR 8657418acdce. (69)
18:10:09.852878 IP 172.16.238.1.36851 > 8657418acdce.domain: 18960+ PTR? 1.238.16.172.in-addr.arpa. (43)
18:10:09.852999 IP 8657418acdce.domain > 172.16.238.1.36851: 18960 NXDomain 0/0/0 (43)
6 packets captured
6 packets received by filter
0 packets dropped by kernel

Gue belum yakin masalahnya di mana, untuk sekarang, silahkan gunakan DoH dari kita aja terlebih dahulu karena lebih aman:

masih tcpdump ke port 53 tapi via DoH

Meskipun IP kita disitu ada, tapi kita (sebagai DNS Server & Resolver) tidak tahu apa yang sebenarnya kamu akses, karena proses query melalui DoH.

Ketika weekend akan gue cari tahu masalahnya dimana.

Update (20/11/20 17:03): Setelah di restart DNS Resolver nya, sekarang sudah berjalan sebagaimana mestinya, yeay!

Show us some surveillance example, plz?

Oke mari kita melakukan demonstrasi, yang pertama, untuk agar sadar mengapa HTTPS penting. Sekarang, mari kita buat untuk contoh kasus mengakses situs HTTP alias di protokol 80.

Biar enak bacanya, gue pakai IPv4

Disitu terlihat jelas bahwa gue (sin2) mengakses situs example.com, berikut dengan request & response yang diberikan. Ini contoh request yang gue kirim ke example.com:

Lihat ke yang paing atas

Disitu jelas, siapapun yang bisa 'memonitor' jaringan kita (ISP, MITM, dsb) bisa melihat aktivitas kita di internet, termasuk melakukan POST Request ke example.com dengan payload email & password.

Jika menggunakan protokol HTTPS (port 443), berikut yang bisa kita monitor aktivitasnya:

Pake mode -X biar lihat data via hex

Disitu terlihat bahwa data yang dikirim/diterima ter-enkripsi, kita menampilkan hex disini karena paket yang ada tidak berbentuk ASCII.

Karena gue pakai VPN, request tersebut terjadi di server. Bagaimana bila "orang selain server" memonitor data gue?

IP internal gue 10.0.0.100

Data dalam bentuk ter-enkripsi!

Meskipun disitu ada leak terkait dns query. Tapi ini bisa kita selesaikan dengan... DoH?

Contoh menguntit paket yang dikirim/diterima via Wireguard®

Si penguntit hanya mengetahui kita mengakses doh.edgy.network dan tidak yang lain!

Penutup

Gambar-gambar diatas adalah gambaran nyata untuk siapapun yang berada di jaringan internet orang lain, termasuk ISP; VPN Provider, Proxy Provider, dkk dengan menggunakan tcpdump(1).

Data diatas dapat digunakan untuk apa saja, misal, untuk kasus yang ekstrim: IP 36.79.230.200 mengakses situs apa saja? Melakukan DNS Query kemana saja?

Untuk apa? Kalau hoki, paling untuk profiling.

Paling apes nya kalau ada yang ingin meretas kamu.

Menggunakan jaringan TOR membuat identitas (nyata) kamu di internet menjadi semakin terjaga, TOR melakukan enkripsi 3x ketika mengirim paket/data yang terlebih dahulu; Membuat peramban kamu sebisa mungkin seragam dengan pengguna TOR yang lain, dan masih banyak lagi termasuk melakukan DNS Query yang keamanan nya lumayan oke karena query dilakukan di exit node.

Jika aktivitas "surveillance" dirasa "too good to be true" mari kita sederhanakan untuk aktivitas Censorship. Ingat kapan waktu netflix.com masih di blokir oleh beberapa ISP di Indonesia?

Mengapa mereka bisa melakukan blokir?

Ya karena mereka tahu situs apa yang ingin kamu akses, yakni netflix.com.

Ketika melakukan DNS Query, kemungkinan, mereka memberikan alamat IP yang bukan alamat IP nya Netflix, mangkanya yang muncul di peramban kamu adalah internetpositif.

Atau kasus lain: Inject iklan.

Ada yang ingat? Atau memang sampai hari ini masih ada?

Inject iklan tidak sesederhana hanya menampilkan iklan di suatu situs, melainkan melakukan profiling terhadap dirimu, dari browsing history (alamat domain yang kamu akses, tidak menutup kemungkinan path nya juga 😉), peramban yang kamu gunakan, ukuran layar, atau yang lebih ekstrim: membuat/mencocokkan fingerprint.

Mungkin data-data tersebut terlihat tidak berguna, tunggu sampai kamu dapat SMS pinjaman online ketika kebetulan lagi gak punya duit; promo di Starbucks Dipatiukur ketika kebetulan sedang berjalan ke arah Surapati, dan masih banyak lagi iklan-iklan yang menganggu yang kAyaKnYa gW eMaNG bUTuH SiH.

Oke oke, fuck, gue benci banget iklan.

Hitung aja ada berapa barang kalian dari hasil "korban iklan". Anywaysss.

Sebagai penutup, berbicara tentang attack vector, pelaku yang ada bukan hanya ISP; VPN provider, ataupun seorang peretas. Bisa saja malware yang ada di komputermu, admin dari public Wi-Fi yang kamu gunakan, atau mungkin bosmu yang memasang backdoor di laptop kantor yang kamu gunakan.

Bisa saja, kan?

Tujuannya untuk apa? Kalo gue pribadi klo jadi pelaku, yaa buat dijadiin duit lah.

Nampilin halaman phising? Sepertinya tidak susah-susah amat.

MITM Attack di protokol HTTPS? Kayaknya bertingkah menjadi CA Authority gue rasa bukan sesuatu yang mustahil?

Pokoknya jangan merasa aman bila menggunakan jaringan Internet. Udah lama gue ada hate-love relationship dengan jaringan bernama internet ini. Ada 4 milyar lebih pengguna internet di dunia ini, silahkan pikirkan berapa persen kemungkin kamu terserang baik secara random ataupun yang paling menjadi mimpi buruk: ter-target.

Sebagai rekap, berikut alasan kami mengapa mengoperasikan TOR Relay, VPN, dan DoH:

  • TOR: Untuk ikut membantu mengamankan jaringan internet untuk mereka yang membutuhkan anonimitas lebih lanjut.
  • VPN: Untuk 'sedikit' menyembunyikan dirimu di internet berdasarkan alamat IP.
  • DoH: Untuk 'sedikit' menyembunyikan aktivitasmu di internet akan situs yang kamu akses.

Silahkan gunakan TOR (dan donasi!) bila ingin, pasang sendiri VPN berbasis Wireguard jika tidak malas, dan gunakan DoH yang sudah kita berikan (gratis!) secara cuma-cuma, atau gunakan DoH lain yang independen juga.

Next Layer

Batu loncatan selanjutnya yang ingin kami buat adalah memberikan layanan "private relay" untuk email, karena gue udah muak melihat kasus "kebocoran data" yang ada di Indonesia.

Dengan menggunakan Private Relay, setidaknya kasus tersebut menjadi lebih tidak membuat panik: Alamat email 'asli' kamu tetap terjaga, dan pemberi layanan menjadi semakin sulit untuk menentukan siapa kamu di internet.

Tidak ada ETA yang pasti, karena kita anaknya anti agile banget.

Akhir kata, selamat menikmati layanan yang kami berikan secara cuma-cuma, dan semoga bermanfaat!


Catatan: Jika kamu pendukung kita melalui Trakteer dan ingin menggunakan VPN dari kita, silahkan kirim DM ke @evilfactorylabs di Twitter dan pasang Wireguard di komputermu. Nanti akan kita kasih berkas konfigurasi nya.