Pertemuan 2. Sistem Informasi Berbasis Internet

(1)

Pertemuan 2

Sistem Informasi Berbasis

Internet

(2)

Sistem Informasi Berbasis Internet

Capaian Pembelajaran :

Mahasiswa memahami tentang Alasan Sistem Informasi Berbasis Internet, Keamanan sistem internet, Statistik Sistem Keamanan, Dasar – Dasar Keamanan Sistem Informasi.

(3)

Alasan Sistem Informasi Berbasis Internet

Sistem informasi saat ini banyak yang menggunakan Internet, Hal ini disebabkan :

• Internet merupakan sebuah platform yang terbuka (open platform) sehingga menghilangkan ketergantungan perusahaan pada sebuah vendor(pembuat perangkat hard/software) tertentu

• Open platform juga mempermudah interoperability (kemampuan saling mendukung) antar vendor.

• Internet merupakan media yang paling ekonomis untuk digunakan sebagai basis sistem informasi, Dapat diakses dimanapun dan perangkat lunak yang digunakan untuk mengakses internet banyak tersedia secara murah bahkan gratis.

(4)

Alasan Sistem Informasi Berbasis Internet

(Lanjutan)

Alasan-alasan tersebut di atas menyebabkan Internet menjadi media elektronik yang paling populer untuk menjalankan bisnis, yang kemudian dikenal dengan istilah electronic commerce (e-commerce).

Dengan diperbolehkannya bisnis menggunakan Internet, maka penggunaan Internet menjadi meledak. Statistik yang berhubungan dengan kemajuan Internet dan e-commerce semakin meningkat dan sangat menakjubkan.

Selain hal diatas internet juga digunakan sebagai media sosial, hal ini di buktikan dengan suksesnya :

Koin Peduli Prita ( 2009) Koin Cinta Bilqis (2010)

(5)

Alasan Sistem Informasi Berbasis Internet

(Lanjutan)

Statistik Internet

Data-data statistik tentang pertumbuhan jumlah pengguna Internet di Indonesia saja Juni 2012, 55 juta dari total di Asia 1,076,681,059 yang diperoleh dari “Internet World Stats”.

(6)

Alasan Sistem Informasi Berbasis

Internet (Lanjutan)

(7)

Alasan Sistem Informasi Berbasis

Internet(Lanjutan)

Statistik Electronic Commerce

Hampir mirip dengan statistik jumlah pengguna Internet, statistik penggunaan Internet untuk keperluan e-commerce juga meningkat dengan nilai yang menakjubkan.

Berdasarkan data dari International Data Corporation (IDC) tahun 2011, tercatat nilai perdagangan lewat internet di Indonesia mencapai sekitar $ 3,4 miliar atau setara dengan Rp 30 triliun

Dan sekarang hampir semua perusahaan terutama perusahaan perbankkan menyediakan fasilitas transaksi bisnis yang dapat dilakukan dengan internet

(8)

Alasan Sistem Informasi Berbasis Internet

(Lanjutan)

Keamanan Sistem Internet

Untuk melihat keamanan sistem Internet terlebih dahulu harus mengetahui cara kerja sistem Internet. Seperti :

- Hubungan antara komputer di Internet - Protokol yang digunakan.

Internet merupakan jalan raya yang dapat digunakan oleh semua orang (public). Untuk mencapai server tujuan, paket informasi harus melalui beberapa sistem (router, gateway, hosts, atau perangkat-perangkat komunikasi lainnya) yang kemungkinan besar berada di luar kontrol dari kita. Setiap titik yang dilalui memiliki potensi untuk dibobol, disadap, dipalsukan. Dan kelemahan sebuat sistem terletak kepada komponen yang paling lemah.

(9)

Alasan Sistem Informasi Berbasis Internet

(Lanjutan)

Hackers, Crackers, dan Etika

Aspek dari pelaku yang terlibat dalam masalah keamanan dalam internet, yaitu para hackers and crackers.

Hackers vs Crackers

Terminologi hacker muncul pada awal tahun 1960-an diantara para anggota organisasi mahasiswa Tech Model Railroad Club di Laboratorium Kecerdasan Artifisial Massachusetts Institute of Technology (MIT). Kelompok mahasiswa tersebut merupakan salah satu perintis perkembangan teknologi komputer dan mereka berkutat dengan sejumlah komputer mainframe

(10)

Alasan Sistem Informasi Berbasis Internet

(Lanjutan)

Kata hacker pertama kalinya muncul dengan arti positif untuk menyebut seorang anggota yang memiliki keahlian dalam bidang komputer dan mampu membuat program komputer yang lebih baik ketimbang yang telah dirancang bersama.

Menurut Mansfield, hacker didefinisikan sebagai seseorang yang memiliki keinginan untuk melakukan eksplorasi dan penetrasi terhadap sebuah sistem operasi dan kode komputer pengaman lainnya, tetapi tidak melakukan tindakan pengrusakan apapun, tidak mencuri uang atau informasi.

(11)

Alasan Sistem Informasi Berbasis Internet

(Lanjutan)

Sedangkan cracker adalah sisi gelap dari hacker dan memiliki kertertarikan untuk mencuri informasi, melakukan berbagai macam kerusakan dan sesekali waktu juga melumpuhkan keseluruhan sistem komputer.

Berdasarkan motif dari para perusak, ada yang berbasis politik, ekonomi, dan ada juga yang hanya ingin mencari ketenaran. Masalah politik nampaknya sering menjadi alasan untuk menyerang sebuah sistem (baik di dalam maupun di luar negeri).

(12)

Alasan Sistem Informasi Berbasis Internet

(Lanjutan)

Beberapa contoh dari serangan yang menggunakan alasan politik antara lain:

 Hackers Portugal yang mengubah isi beberapa web site milik pemerintah Indonesia karena tidak setuju dengan apa yang dilakukan oleh pemerintah Indonesia di Timor Timur. Selain itu, mereka juga mencoba merusak sistem yang ada dengan menghapus seluruh disk.

 Hackers Cina dan Taiwan terhadap beberapa web site Indonesia atas kerusuhan di Jakarta (Mei 1998) yang menyebabkan etnis Cina di Indonesia mendapat perlakukan yang tidak adil. Hackers ini mengubah beberapa web site Indonesia untuk menyatakan ketidaksukaan mereka atas apa yang telah terjadi.

(13)

Alasan Sistem Informasi Berbasis

Internet (Lanjutan)

 Beberapa hackers di Amerika menyatakan akan merusak sistem milik pemerintah Iraq ketika terjadi ketegangan

politik antara Amerika dan Irak.

Salah satu hal yang membedakan antara crackers dan hackers, adalah masalah etika. Keduanya memiliki basis etika yang berbeda atau mungkin memiliki interpretasi yang berbeda terhadap suatu topik yang berhubungan dengan masalah computing.

Batas antara hacker dan cracker sangat tipis. Batasan ini ditentukan oleh etika. moral, dan integritas dari pelaku sendiri.

(14)

Apakah ada hackers dan crackers

Indonesia?

Beberapa komunitas underground(istilah hacker crackers) di Indonesia, antara lain:

 Jasakom

Didirikan Tahun 2000 dimotori oleh S’to, Dany Firmansyah (xnuxer), dan Onno W. Purbo. Segala aktivitas online Jasakom dipusatkan di forum yang beralamat dijasakom.com dan milis di Yahoo! Groups.

 Xcode

Xcode atau biasa juga dikenal sebagai Yogyafree atau Yogya Family Code adalah komunitas underground yang berbasis di Kota Gudeg, Yogyakarta didirikan pada 5 Juni 2004 alamatnya di xcode.or.id

(15)

Apakah ada hackers dan crackers

Indonesia ?

 Echo

Komunitas Echo didirikan oleh y3dips, m0by, comex, dan theday. Markas utama komunitas ini beralamat di

echo.or.id. Echo juga mempunyai media publikasi berupa majalah digital yang diberi nama Echo|Zine. Majalah digital ini dapat diunduh secara bebas dan gratis

 Kecoak Elektronik

Di antara empat komunitas ini, Kecoak Elektronik adalah komunitas underground paling tua dan bisa dibilang merupakan salah satu perintis komunitas keamanan komputer di Indonesia. Kecoak Elektronik didirikan pada tahun 1995 sebagai sebuah komunitas pengguna Internet Situs utama Kecoak Elektronik beralamat di kecoak.or.id

(16)

Apakah ada hackers dan crackers Indonesia ?

(Lanjutan)

Dari gambar disamping

hanya sebagian kecil yang dapat orang umum akses, masih banyak yang belum diketahui dan Untuk masuk ke dunia underground

sampai lapisan 8, browser yang digunakan adalah TORBROWSER

(17)

Dasar-Dasar Keamanan Sistem

Informasi

David Khan dalam bukunya The Code-breakers membagi masalah pengamanan informasi menjadi dua kelompok :

Security Hal ini dikaitkan dengan pengamanan data Intelligence Hal dikaitkan dengan pencarian (pencurian,penyadapan) data.

Dan keduanya hal dimaksud diatas merupakan hal yang sama pentingnya.

(18)

Dasar-Dasar Keamanan Sistem

Informasi

(19)

Dasar-Dasar Keamanan Sistem

Informasi

Majalah IEEE Spectrum bulan April 2003, menceritakan tentang penyadapan internasional yang dilakukan oleh beberapa negara yang dimotori oleh Amerika Serikat, Inggris, dan Australia dan terjadi lagi tahun 2013 .

Penyadapan ini dilakukan secara besar-besaran di udara, darat, dan laut, padahal melakukan penyadapan dan mengelola data yang disadap bukan hal yang mudah, apalagi jika volume dari data tersebut sangat besar.

Bagaimana melakukan penyadapan terhadap pembicaraan orang melalui telepon? Bagaimana mendeteksi kata-kata tertentu? Perlukan semua hasil sadapan disimpan dalam database?

(20)

Dasar-Dasar Keamanan Sistem

Informasi

Seberapa besar databasenya? Bagaimana proses data mining, pencarian informasi dari database tersebut. Masih banyak pertanyaan-pertanyaan lain yang belum terjawab secara teknis.

Jadi, masalah penyadapan informasi negara bukan isapan jempol lagi. Ini sudah menjadi informasi yang terbuka.

Pengamanan data dapat dilakukan dengan cara, yaitu : a. Steganography

(21)

Steganography

Pengamanan dengan menggunakan steganografi membuat seolah-oleh pesan rahasia tidak ada atau tidak nampak. Bedanya dengan cryptography pesan rahasianya nampak tapi dalam bentuk enkripsi sedangkan steganography tidak terlihat. Padahal pesan tersebut ada. Hanya saja kita tidak sadar bahwa ada pesan rahasia di sana.

Contoh steganografi antara lain :

“Setelah engkau rasakan nikmatnya gula, hisap aroma rokok ini sampai engkau nyaman ingin nambah”.

Pesan rahasia dari pesan diatas adalah “serang hari senin” “Ada kuliah umum hari apa Miss ida leman?”

Apa pesan rahasianya?

(22)

Steganography

 Ada sebuah teknik steganography modern yang telah lama dikembangkan namun jarang diketahui umum. Teknik steganography ini menyembunyikan pesan di dalam sebuah pesan spam. Definisi umum dari spam adalah email sampah yang hanya berisi iklan2 yang tidak diinginkan oleh penerimanya.

 Ada sebuah situs bernama http://www.spammimic.com yang dapat anda gunakan sebagai salah satu cara menyembunyikan pesan yang ingin anda kirim. Pada halaman utama situs tersebut terdapat link "Encode" dan "Decode". Gunakan link "Encode" untuk menyembunyikan pesan rahasia anda ke dalam sebuah pesan spam. Gunakan link "Decode" untuk merubah pesan spam yang anda dapat kembali menjadi pesan rahasia.

(23)

Steganography

Misalnya kamu ingin menuliskan pesan rahasia “aku sayang padamu” yang disembunyikan lewat surat/email ke temanmu. (sebaiknya lakukan secara berpasangan)

Caranya mudah, buka situsnya www.spammimic.com

Klik menu encode. Ketikan pesan rahasianya cth: aku sayang padamu. Klik button encode, Tampil isi suratnya(jangan ditambah/dikurangi, di rapihkan boleh). Dicopy seluruh isi suratnya untuk dikirm via email ke temanmu.

(24)

Steganography

Lalu temanmu buka email, lihat di inbox/ di spam. Isi surat tadi di copy mulai dari dear … god bless., kemudian buka spammimic.com pilih menu decode

(25)

Steganography

menu decode untuk menampilkan pesan rahasianya,

setelah dicopy dari email lalu paste di kotak decode, tekan button decode maka akan tampil pesan rahasianya

(26)

Cryptography

Kriptografi (cryptography) merupakan ilmu dan seni untuk menjaga pesan agar aman. Crypto” berarti “secret” (rahasia) dan “graphy” berarti “writing” (tulisan). Kalau cryptography pesan rahasianya terlihat/tidak disembunyikan.

Para pelaku atau praktisi kriptografi disebut cryptographers. Sebuah algoritma kriptografik (cryptographic algorithm), disebut cipher, merupakan persamaan matematik yang digunakan untuk proses enkripsi dan dekripsi. Biasanya kedua persamaan matematik (untuk enkripsi dan dekripsi) tersebut memiliki hubungan matematis yang cukup erat.

(27)

Cryptography

Proses yang dilakukan untuk mengamankan sebuah pesan (yang disebut plaintext) menjadi pesan yang tersembunyi (disebut ciphertext) adalah enkripsi (encryption). Ciphertext adalah pesan yang sudah tidak dapat dibaca dengan mudah.

Menurut ISO 7498-2, terminologi yang lebih tepat digunakan adalah “encipher”

Proses sebaliknya, untuk mengubah ciphertext menjadi plaintext, disebut dekripsi (decryption). Menurut ISO 7498-2, terminologi yang lebih tepat untuk proses ini adalah “decipher”.

(28)

Cryptography

Cryptanalysis adalah seni dan ilmu untuk memecahkan ciphertext tanpa bantuan kunci. Cryptanalyst adalah

pelaku atau praktisi yang menjalankan cryptanalysis.

Cryptology merupakan gabungan dari cryptography dan cryptanalysis.

(29)

Enkripsi

Enkripsi digunakan untuk menyandikan data-data atau informasi sehingga tidak dapat dibaca oleh orang yang tidak berhak.

Dengan enkripsi data disandikan (encrypted) dengan menggunakan sebuah kunci (key).

(30)

Enkripsi Dekripsi

Enkripsi

Untuk membuka (decrypt) data tersebut digunakan juga sebuah kunci yang dapat sama dengan kunci untuk mengenkripsi

Diagram Proses Enkripsi dan Dekripsi

Secara matematis, proses atau fungsi enkriEnkripsipsi (E) dapat dituliskan : E ( M ) = C

Proses atau fungsi dekripsi (D) dapat dituliskan sebagai : D (C) = M

Dimana :

M adalah Plaintext (Message) C adalah Ciphertext.

(31)

Enkripsi

Plaintext adalah pesan atau informasi yang akan dikirimkan dalam format yang mudah dibaca atau dalam bentuk aslinya.

Ciphertext adalah informasi yang sudah dienkripsi.

Algoritma dari enkripsi adalah fungsi-fungsi yang digunakan untuk melakukan fungsi enkripsi dan dekripsi.

Algoritma yang digunakan menentukan kekuatan dari enkripsi.

(32)

(33)

SOAL LATIHAN

1. Seseorang yang memiliki keinginan untuk melakukan eksplorasi dan penetrasi terhadap sistem operasi dan kode komputer pengaman, definisi hacker menurut:

a. Budi Rahardjo d.Gunawan Wibisono b. Lawrie Brown e. Mansfield

c. Menurut G. J. Simons

2. Merupakan sisi gelap dari hacker dan memiliki ketertarikan untuk mencuri informasi, disebut:

a. Pemakai d. Cracker

b. Sniffer e. Penjahat Kriminal c. Teroris

(34)

SOAL LATIHAN

2. Merupakan sisi gelap dari hacker dan memiliki ketertarikan untuk mencuri informasi, disebut :

a. Pemakai d. Cracker

b. Sniffer e. Penjahat Kriminal c. Teroris

3. Pesan yang dikirimkan dalam bentuk aslinya dalam format yang mudah dibaca disebut :

a. Algoritma d. Ciphertext b. Plaintext e. User

(35)

SOAL LATIHAN

3. Pesan yang dikirimkan dalam bentuk aslinya dalam format yang mudah dibaca disebut :

c. Enkripsi

4. Ilmu dan seni untuk menyembunyikan kerahasiaan pesan yang tidak terlihat/disembunyikan disebut :

a. Interruption d. Enkripsi

b. Cryptography e. Cryptanalysis c. Steganography

(36)

SOAL LATIHAN

4. Ilmu dan seni untuk menyembunyikan kerahasiaan pesan yang tidak terlihat/disembunyikan disebut :

a. Interruption d. Enkripsi

b. Cryptography e. Cryptanalysis c. Steganography

5. Pesan yang sudah dienkripsi disebut :

(37)

SOAL LATIHAN

5. Pesan yang sudah dienkripsi disebut :

c. Enkripsi

1. Seseorang yang memiliki keinginan untuk melakukan eksplorasi dan penetrasi terhadap sistem operasi dan kode komputer pengaman, definisi hacker menurut :

a. Budi Rahardjo d.Gunawan Wibisono b. Lawrie Brown e. Mansfield

(38)

Pertemuan

3 Keamanan Sistem

Informasi

(39)

Keamanan Sistem

Informasi

Capaian pembelajaran:

Mahasiswa memahami tentang Evaluasi Keamanan Sistem Informasi, Cara Mengamankan Sistem Informasi

(40)

1. Evaluasi Keamanan Sistem Informasi

Meski sebuah sistem informasi sudah dirancang memiliki perangkat pengamanan, harus selalu dimonitor. Hal ini disebabkan oleh beberapa hal, antara lain:

Ditemukannya lubang keamanan (security hole) baru. Perangkat lunak dan perangkat keras biasanya sangat kompleks sehingga tidak mungkin untuk diuji seratus persen. Kadang-kadang ada lubang keamanan yang ditimbulkan oleh kecerobohan implementasi.

(41)

1. Evaluasi Keamanan Sistem Informasi

(lanjutan)

Kesalahan konfigurasi. Karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan

lubang keamanan. Misalnya mode (permission atau

kepemilikan) dari berkas yang menyimpan password secara tidak sengaja diubah sehingga dapat diubah atau ditulis.

Contoh di windows

Atau di /etc/passwd di sistem linux dengan perintah chmod 777 /etc/passwd sehingga memberi izin user,group,other untuk read,write, execute

(42)

1. Evaluasi Keamanan Sistem Informasi

(lanjutan)

Penambahan perangkat baru (hardware atau software) yang menyebabkan menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem. Operator dan administrator harus belajar lagi. Dalam masa belajar ini banyak hal yang jauh dari sempurna, misalnya server atau software masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).

(43)

Sumber Lubang Keamanan

Lubang keamanan (security hole) dapat terjadi karena :

Salah disain (Design Flaw)

Contoh : Disain urutan nomor (sequence numbering) dari paket TCP/IP. Sehingga timbul masalah yang dikenal dengan nama “IP spoofing”.

Implementasi Kurang Baik

Contoh : seringkali batas/bound dari sebuah “array” tidak dicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapat dieksploitasi (misalnya overwrite ke variable berikutnya). Contoh lain adalah kealpaan memfilter karakter-karakter yang aneh-aneh yang dimasukkan sebagai input dari sebuah program web.

(44)

Sumber Lubang Keamanan(lanjutan)

Salah Konfigurasi

Contoh : Berkas yang semestinya tidak dapat diubah oleh pemakai secara tidak sengaja menjadi “writeable”. Apabila berkas tersebut merupakan berkas yang penting, seperti berkas yang digunakan untuk menyimpan password.

Salah Menggunakan Program atau Sistem

Contoh : Kesalahan menggunakan program dengan account root (super user) dapat berakibat fatal. Sering terjadi cerita horor dari sistem administrator baru yang teledor dalam menjalankan perintah “rm -rf” (remove) di sistem linux (yang menghapus berkas atau direktori beserta sub direktori di dalamnya). Akibatnya seluruh berkas di sistem menjadi hilang mengakibatkan Denial of Service (DoS).

(45)

Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis :

- Pencegahan (preventif)

Usaha pencegahan dilakukan agar sistem informasi tidak memiliki lubang keamanan

- Pengobatan (recovery).

Usaha-usaha pengobatan dilakukan apabila lubang keamanan sudah dieksploitasi.

(46)

2. Cara Mengamankan Sistem Informasi

(lanjutan)

Beberapa cara yang dapat digunakan untuk mengamankan informasi adalah :

• Mengatur akses

• Menutup Servis yang tidak digunakan • Memasang Proteksi

• Firewall

• Pemantau adanya serangan • Pemantau integritas sistem • Audit

• Backup secara rutin • Penggunaan enkripsi • telnet atau shell aman

(47)

Mengatur akses (Access Control)

Mengatur akses ke informasi melalui mekanisme “authentication” dan “access control”. Implementasi dari mekanisme ini antara lain dengan menggunakan “password”.

Di sistem LINUX dan Windows NT,untuk menggunakan sebuah sistem atau komputer, pemakai diharuskan melakukan authentication dengan menuliskan “userid” dan “password”. Apabila keduanya valid, pemakai tersebut diperbolehkan menggunakan sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini biasanya dicatat dalam berkas log.

(48)

Mengatur akses (Access Control)

Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan program password cracker, maka memilih password memerlukan perhatian khusus.

Hal-hal yang sebaiknya dihindari sebagai password adalah :

Nama anda, nama istri / suami, anak, nama teman. Nama komputer yang anda gunakan.

Nomor telepon atau plat nomor kendaran anda Tanggal lahir

Alamat rumah

(49)

Menutup Servis Yang Tidak Digunakan

Seringkali sistem (perangkat keras dan/atau perangkat lunak) diberikan beberapa servis yang dijalankan sebagai default.

Contoh Pada sistem LINUX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya. Pada sistem windows seperti servis apache, mysql, telnet, remote dekstop dll.

Padahal Servis tersebut tidak semuanya dibutuhkan, untuk mengamankan sistem, servis yang tidak diperlukan di server (komputer) tersebut sebaiknya dimatikan.

Sudah banyak kasus yang menunjukkan abuse dari servis tersebut.

(50)

Memasang Proteksi

Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik firewall.

Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.

Contoh :

LINUX paket program “tcpwrapper” dapat digunakan untuk membatasi akses servis atau aplikasi tertentu.

Misalnya servis untuk “telnet” dapat dibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu.

(51)

Gambar Sebuah Firewall

Gambar Software windows firewall di controlpanel komputer

Firewall

Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal, dan setiap

(52)

Firewall (lanjutan)

Tujuan utama dari firewall adalah untuk menjaga (agar akses (ke dalam maupun ke luar) dari orang yang tidak berwenang agar tidak dapat dilakukan.

Konfigurasi dari firewall bergantung kepada kebijaksanaan dari organisasi yang bersangkutan, yang dapat dibagi menjadi dua jenis:

- Apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted)

- Apa-apa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted)

(53)

Firewall(lanjutan)

Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi.

Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu,

sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server.

Satu hal yang perlu diingat bahwa adanya firewall bukan menjadi jaminan bahwa jaringan dapat diamankan

seratus persen. Meskipun sudah menggunakan firewall, keamanan harus tetap dipantau secara berkala.

(54)

Pemantau adanya serangan

Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak diundang (intruder) atau adanya serangan (attack).

Nama lain dari sistem ini adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator melalui e-mail maupun melalui mekanisme lain seperti melalui pager.

Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile.

(55)

Pemantau adanya serangan (lanjutan)

Contoh software IDS antara lain :

 Autobuse,

Mendeteksi probing dengan memonitor logfile.

 Courtney dan portsentry

Mendeteksi probing (port scanning) dengan memonitor packet yang lalu lalang. Portsentry bahkan dapat memasukkan IP penyerang dalam filter tcpwrapper (langsung dimasukkan kedalam berkas /etc/hosts.deny)

(56)

Pemantau adanya serangan (lanjutan)

 Snort

Mendeteksi pola (pattern) pada paket yang lewat dan mengirimkan alert jika pola tersebut terdeteksi. Pola-pola atau rules disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan. Contoh aplikasi Snort:

(57)

Pemantau integritas sistem

Pemantau integritas sistem dijalankan secara berkala untuk menguji integratitas sistem.

Contoh : Pada Sistem UNIX adalah program Tripwire. Program paket Tripwire digunakan untuk memantau adanya perubahan pada berkas. Tripwire dijalankan dan membuat database mengenai berkas-berkas atau direktori yang ingin kita amati beserta “signature” dari berkas tersebut.

Signature berisi informasi mengenai besarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum atau hash dll. Apabila ada perubahan pada berkas tersebut, maka keluaran dari hash function akan berbeda dengan yang ada di database sehingga ketahuan adanya perubahan.

(58)

Audit : Mengamati Berkas Log

Hampir semua kegiatan penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut “logfile” atau “log” saja.

Berkas log ini sangat berguna untuk mengamati penyimpangan yang terjadi. Kegagalan untuk masuk ke sistem (login), akan tersimpan di dalam berkas log. Untuk itu para administrator diwajibkan untuk rajin memelihara dan menganalisa berkas log yang dimilikinya.

Letak dan isi dari berkas log bergantung kepada operating system yang digunakan.

(59)

Audit : Mengamati Berkas Log (lanjutan)

Pada sistem berbasis UNIX/LINUX, biasanya berkas ini berada di direktori /var/adm atau /var/log.

(60)

Backup secara rutin

Seringkali tamu tak diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus berkas-berkas yang ditemui. Jika intruder ini berhasil menjebol sistem dan masuk sebagai administrator, maka ada kemungkinan dia dapat menghapus seluruh berkas. Untuk itulah, backup data wajib dilakukan secara rutin.

Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang letaknya berjauhan secara fisik. Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dll. karena bila data dibackup tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.

(61)

Backup secara rutin(lanjutan)

Salah satu cara backup system saja, klik start – klik kanan computer pilih properties – klik system protection – klik create input tgl restore point

Kalau windowsnya suatu saat error, caranya komputernya direstart masuk ke safemode lalu arahkan ke restore point, pilih tgl backup yang pernah dilakukan.

(62)

Penggunaan Enkripsi

Salah satau mekanisme untuk meningkatkan keamanan adalah dengan menggunakan teknologi enkripsi. Data-data yang anda kirimkan diubah sedemikian rupa sehingga tidak mudah disadap.

Banyak servis di Internet yang masih menggunakan “plain text” untuk authentication, seperti penggunaan pasangan userid dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).

(63)

Penggunaan Enkripsi (lanjutan)

Contoh servis yang menggunakan plain text antara lain :

 Akses jarak jauh dengan menggunakan telnet dan rlogin

 Transfer file dengan menggunakan FTP

 Akses email melalui POP3 dan IMAP4

 Pengiriman email melalui SMTP

 Akses web melalui HTTP

Penggunaan enkripsi dapat digunakan untuk remote akses (misalnya melalui ssh sebagai penggani telnet atau rlogin)

(64)

Telnet atau shell aman

Telnet atau remote login digunakan untuk mengakses sebuah “remote site” atau komputer melalui sebuah jaringan komputer.

Akses ini dilakukan dengan menggunakan hubungan TCP/IP dengan menggunakan userid dan password. Informasi tentang userid dan password ini dikirimkan melalui jaringan komputer secara terbuka.

Akibatnya ada kemungkinan seorang yang jahat akan melakukan “sniffing” dan mengumpulkan informasi tentang userid dan password ini.

(65)

Telnet atau shell aman (lanjutan)

Enkripsi dapat digunakan untuk melindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan

algoritma DES atau Blowish (dengan menggunakan kunci session yang dipertukarkan via RSA atau Diffie-Hellman) sehingga tidak dapat dibaca oleh orang yang tidak

berhak. Salah satu implementasi mekanisme ini adalah SSH (Secure Shell).

Ada beberapa implementasi SSH ini, antara lain :

 SSH untuk UNIX (dalam bentuk source code, gratis,

mengimplementasikan protokol SSH versi 1 dan versi 2)

 SSH untuk Windows95 dari Data Fellows (komersial, ssh versi 1 dan versi 2)

(66)

Telnet atau shell aman (lanjutan)

 TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis, untuk Windows 95, ssh versi 1)

http://www.paume.itb.ac.id/rahard/koleksi

 SecureCRT untuk Windows95 (shareware / komersial)

 Putty (SSH untuk Windows yang gratis, ssh versi 1) Selain menyediakan ssh, paket putty juga dilengkapi dengan pscp yang mengimplementasikan secure copy sebagai pengganti FTP.

(67)

(68)

SOAL LATIHAN

1. Yang merupakan contoh Salah konsep/disain dari

salah satu sumber lubang keamanan informasi, yaitu : a. Ip spoofing d. Syn flood

b. Denial of Service e. Internet Worm c. WiNuke

2. Salah satu cara pengamanan dengan caramengatur akses, yaitu :

a. Penggunaan antivirus d. Penggunaan password b. Audit sistem e. Menambah hardware

(69)

Soal Latihan

2. Salah satu cara pengamanan dengan cara mengatur akses, yaitu :

a. Penggunaan antivirus d. Penggunaan password b. Audit sistem e. Menambah hardware c. Satpam

3. Perangkat yang diletakkan antara internet dengan jaringan internal, yang diamati IP keluar masuk sistem informasi disebut:

a. Firewall d. Monitoring sistem b. Intruder detection system e. Sniffing c. Ip spoofing

(70)

Soal Latihan

3. Perangkat yang diletakkan antara internet dengan jaringan internal, yang diamati IP keluar masuk sistem informasi disebut:

a. Firewall d. Monitoring sistem b. Intruder detection system e. Sniffing

c. Ip spoofing

4. Kegiatan penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut :

a. Tcpwrapper d. Plain text b. Logfile e. SSH

(71)

Soal Latihan

4. Kegiatan penggunaan sistem dapat dicatat dalam berkas yang biasanya disebut :

a. Tcpwrapper d. Plain text b. Logfile e. SSH

c. Telnet

5. Cara komunikasi dijaringan komputer untuk Transfer/menerima file, yaitu:

a. IMAP d. POP3 b. FTP e. SMTP c. HTTP

(72)

Latihan Soal

5. Cara komunikasi dijaringan komputer untuk Transfer/menerima file, yaitu:

a. IMAP d. POP3 b. FTP e. SMTP c. HTTP

1. Yang merupakan contoh Salah konsep/disain dari salah satu sumber lubang keamanan informasi, yaitu :

a. Ip spoofing d. Syn flood

b. Denial of Service e. Internet Worm c. WiNuke

(73)

Pertemuan 4

(74)

E-Mail Security

Mahasiswa memahami tentang Penyadapan, Email Palsu, Penyusupan Virus, Spam, Mailbomb, Mail Relay

(75)

E-Mail Security

Dalam proses pengiriman email ada 2 komponen:

MUA (Mail User Agent) yang digunakan sebagai user interface dalam menulis/membaca surat, seperti Outlook, Pine, dll. Biasanya disebut program mail

MTA (Mail Transfer Agent) yang bertugas mengantarkan email, seperti Postfix, Sendmail, Qmail. MTA ini seperti kantor Pos pada proses pengiriman email yang akan mengirimkan dan memberikan stempel pada setiap email. Biasanya dikenal dengan istilah mailer

(76)

Sistem Email

Proses pengiriman E-Mail mirip proses pengiriman surat pos. Aliran surat Pos sbb:

Rumah pengirim -> Kantor Pos Terdekat Pengirim -> Kantor Pos Pusat Pengirim -> Kantor Pos Pusat Penerima -> Kantor Pos terdekat Penerima -> Rumah Penerima.

(77)

Format Email

Adapun penulisan email mempunyai standar, yakni terdiri dari header dan body.

Berikut contoh header dan body pada email. From: Budi Rahardjo [email protected]

To: [email protected] Subject: Ujian diundur

Ujian kuliah saya akan diundur sampai ada pengumuman

berikutnya. Mohon maaf atas ketidaknyamanan. -- budi

Standar penulisan email diatur dalam RFC822 (http://www.ietf.org/rfc/rfc0822.txt)

Header Body

(78)

Format Email (lanjutan)

• Header dapat memiliki beberapa field yang baku, seperti “From:”, “To:”, “Subject:”, “Date:”, “Cc:”, “Bcc:”

• Tetapi ada juga field yang ada, namun biasanya tidak terlihat, seperti “Message-ID:”, “Received:”, dan lain-lain. • Berikut ini adalah contoh header sebuah email, lengkap

dengan field-field lainnya. ( Melihat full header di yahoo: buka inbox - klik email yg dibaca – lihat menu ‘Reply | Forward | Print | Delete | dst - klik tanda roda(more action…) – klik view full header. Kalau di gmail: buka inbox - klik email yg dibaca lihat menu more klik panah ke bawah – pilih view full header).

(79)

Format Email

(lanjutan)

From syam sul Tue Jan 7 22:08:22 2014

X-Apparently-To: [email protected] via 98.138.87.142; Wed, 08 Jan 2014 06:08:22 +0000

Return-Path: <[email protected]> X-YahooFilteredBulk: 74.125.82.176

Received-SPF: pass (domain of gmail.com designates 74.125.82.176 as permitted sender)

X-Originating-IP: [74.125.82.176]

Authentication-Results: mta1429.mail.ne1.yahoo.com from=gmail.com; domainkeys=neutral (no sig);

from=gmail.com; dkim=pass (ok)

Received: from 127.0.0.1 (EHLO mail-we0-f176.google.com) (74.125.82.176)

(80)

Format Email (lanjutan

by mta1429.mail.ne1.yahoo.com with SMTP; Wed, 08 Jan 2014 06:08:22 +0000

X-Received: by 10.180.73.196 with SMTP id n4mr6645342wiv.24.1389161302331;

Tue, 07 Jan 2014 22:08:22 -0800 (PST)

Received: by 10.216.59.138 with HTTP; Tue, 7 Jan 2014 22:08:22 -0800 (PST)

Date: Wed, 8 Jan 2014 13:08:22 +0700

Message-ID: <CAE19S0GFQcNY7C07y82zan3hPD9T-pcpDe2E8rwDsmVkpNyOTQ@mail.gmail.com>

Subject: tes

From: syam sul <[email protected]> To: sul78 <[email protected]>

Content-Type: text/plain; charset=ISO-8859-1 Content-Length: 23

(81)

Format Email (lanjutan)

Body dari email diletakkan setelah header dalam bentuk teks (ASCII). Bagaimana dengan berkas biner (surat.doc, file.zip, gambar.jpg, lagu.mp3) yang sering kita kirimkan dalam bentuk attachment? Pada prinsipnya berkas ini dikodekan ke dalam bentuk ASCII, misalnya dengan menggunakan UUDECODE / UUENCODE, base64, dan beberapa coding lainnya. Pemilihan kode ini biasanya terkait dengan efisiensi saja.

(82)

Masalah yang berhubungan dengan email

Ada beberapa masalah keamanan yang terkait dengan sistem email, yaitu:

• Disadap • Dipalsukan • Disusupi (virus) • Spamming • Mailbomb • Mail Relay

(83)

Penyadapan

• Email dikirimkan dari komputer kita ke mail server (sering disebut SMTP server) yang kita gunakan. Email tersebut diproses dan dikirimkan ke server berikutnya, dan seterusnya sampai ke server mail yang dituju, kemudian ke mailbox dari pengguna email yang dituju.

• Setiap server yang dilalui membubuhi tanda dengan menambahkan header “Received:”. Seperti contoh email sebelumnya yang memperlihatkan banyaknya field “Received:”. Urutan penambahan stempel ini adalah dari bawah ke atas.

• Mail server yang baru saja menerima email tersebut membubuhkan tanda Received dibagian teratas. Potensi penyadapan dapat terjadi pada setiap jalur yang dilalui, termasuk pada server yang menjadi perantara email tersebut.

(84)

Penyadapan (lanjutan)

• Potensi penyadapan ini dapat terjadi karena pengiriman email menggunakan protokol SMTP (Simple Mail Transport Protocol) yang tidak menggunakan enkripsi. Jika kita berada pada satu jaringan yang sama denganorang yang mengirim email, atau yang dilalui oleh email, maka kita bisa menyadap email dengan memantau port 25,yaitu port yang digunakan oleh SMTP. • Demikian pula untuk mengambil email yang menggunakan protokol POP (Post Office Protocol). Protokol yang menggunakan port 110 ini juga tidak menggunakan enkripsi dalam transfer datanya. Ketika seorang pengguna mengambil email melalui POP ke mail server, maka kita bisa menyadap data yang melewati jaringan tersebut.

(85)

Penyadapan (lanjutan)

• Agar email aman dari penyadapan maka perlu digunakan enkripsi untuk mengacak isi dari email. Header dari email tetap tidak dapat dienkripsi karena nanti akan membingungkan MTA.

• Salah satu software untuk melakukan penyadapan: Wireshark.

• Saat ini sudah ada beberapa program (tools) yang dapat memproteksi terhadap penyadapan email. Contoh: Pretty Good Privacy (PGP), GnuPG, dan PEM.

(86)

Penyadapan (lanjutan)

PGP adalah singkatan dari Pretty Good Privacy, dan merupakan

program komputer yang sering dipakai dalam proses kriptografi dan autentikasi pengiriman data komputer. Diperkenalkan tahun 1991 oleh Philip Zimmermann untuk menyandikan data dalam pengiriman surat elektronik. Dalam proses penyandian data ini, PGP mengikuti standar RFC 4880. Dengan menggunakan PGP maka isi akan dienkripsi, dan hanya orang tertuju yang dapat mendekripsi dan membaca email tersebut.

Kerugiannya adalah membuat repot pihak pengirim dan penerima karena keduanya harus memiliki program PGP, dan pengirim juga harus memiliki kunci umum penerima dan melakukan enkripsi pesan dengan kunci tersebut. Dalam bidang kriptografi, selain PGP, terdapat metode penyandian enkripsi dan dekripsi yang lain seperti: DES, AES, RSA, dan lain lainnya

(87)

Email Palsu

• Dalam aturan penulisan surat dengan Pos, di halaman depan terdapat alamat pengirim dan di halaman belakang terdapat alamat tujuan. Pak Pos tetap dengan senang hati mengantarkan surat ke alamat tujuan walaupun alamat pengirimnya salah bahkan dipalsukan asalkan alamat tujuan jelas. Akan tetapi yang tidak dapat dipalsukan adalah bahwa surat akan mendapatkan stempel dari kantor pos-kantor pos yang dilewatinya sehingga surat pos dapat ditelusuri.

• Pemalsuan email merupakan tindakan kejahatan di dunia cyber. Pemalsuan email dapat dilacak melalui header email palsu tersebut yakni dengan mengamati stempel yang diberikan oleh MTA yang dilewatinya

(88)

Email Palsu (lanjutan)

• Salah satu situs untuk membuat email palsu: emkei.cz , to: bisa ke gmail atau yahoo

Pengirim email palsu

Penerima email

(89)

harusnya dari ip address with HTTPnya yahoo

harusnya dari @mail.yahoo.com

Contoh Email Palsu

From sby Tue Oct 8 01:18:25 2013

X-Apparently-To: [email protected] via 98.138.87.142; Tue, 08 Oct 2013 08:18:27 +0000 Return-Path: <[email protected]>

Received-SPF: none (domain of yahoo.com does not designate permitted sender hosts)

X-Originating-IP: [)

Received: from 127.0.0.1 (EHLO emkei.cz) (46.167.245.71)

by mta1575.mail.bf1.yahoo.com with SMTP; Tue, 08 Oct 2013 08:18:27 +0000 Received: by emkei.cz (Postfix, from userid 346.167.245.71]

Authentication-Results: mta1575.mail.bf1.yahoo.com from=yahoo.com; domainkeys=neutral (no sig); from=yahoo.com; dkim=neutral (no sig3)

id A454F6BA5C; Tue, 8 Oct 2013 10:18:25 +0200 (CEST) To: [email protected]

Subject: hadiah

From: "sby" <[email protected]> X-Priority: 3 (Normal)

Importance: Normal

Errors-To: [email protected] Reply-To: [email protected]

Content-Type: text/plain; charset=utf-8

Message-Id: [email protected] Date: Tue, 8 Oct 2013 10:18:25 +0200 (CEST)

(90)

Email Palsu (lanjutan)

Cara untuk melindungi kita dari email palsu adalah:

• Dengan melihat header dari email. Perhatikan tempat-tempat yang dilalui oleh email tersebut atau perhatikan warning yang tampil.

• Abaikan setiap email yang meminta username, email address, password, tanggal lahir, walaupun berbahasa Indonesia dan mengatasnamakan admin gmail/yahoo, itu adalah email phising yang berusaha mencuri email anda, hati-hati karena dampaknya bisa sangat fatal, email adalah identitas anda di Internet.

(91)

Email Palsu (lanjutan)

Attention:

We are having congestion due to the anonymous registration of accounts so

we are shutting down some accounts and your account was among those to be

deleted.

You account has been temporarily disable and needs to be re-validated.

To re-validate your mailbox please enter details below. Full Name: Email: User Name: Password:

You are to re-validate your mailbox.

Note:If your mailbox is not re-validated within 24 hours we shall shut

down this account permanently.

(92)

Penyusupan Virus

• Email sering dijadikan media yang paling efektif untuk menyebarkan virus. Hal ini disebabkan email langsung menuju pengguna yang umumnya merupakan titik terlemah (weakest link) dalam pertahanan sebuah perusahaan atau institusi.

• Program mail (MUA) dahulu sering dikonfigurasi untuk secara otomatis menjalankan program aplikasi yang sesuai dengan attachment yang diterima. Misalnya attachment yang diterima berupa berkas Microsoft Word, maka program mail langsung menjalankan Microsoft Word ketika file di download. Akibatnya berkas yang memiliki virus dapat langsung dijalankan.

(93)

Penyusupan Virus (lanjutan)

• Pengamanan sistem biasanya menggunakan firewall. Namun firewall biasanya bergerak di layer yang lebih rendah, bukan layer aplikasi, sehingga tidak dapat melihat isi atau data dari email. Firewall yang baru sudah dapat menguji isi email terhadap tanda-tanda virus.

• Solusi untuk mengurangi dampak terhadap penyusupan virus adalah dengan menggunakan anti-virus seperti microsoft security essentials. Program anti-virus ini harus diperbaharui secara berkala.

(94)

Spam

• Spam didefinisikan sebagai “unsolicited email”, yaitu email yang tidak kita harapkan. Spam ini berupa email yang dikirimkan ke banyak orang. Biasanya isi dari email ini adalah promosi.

• Spam ini tidak terfilter oleh anti-virus karena memang bukan virus. Filter terhadap spam harus dilakukan secara khusus. Namun mekanisme untuk melakukan filtering spam ini masih sukar karena kesulitan kita dalam membedakan antara email biasa dan email yang spam.

• Pada mulanya proses filter spam dilakukan dengan mencari kata-kata tertentu di email yang diterima. Kata-kata yang populer digunakan sebagai subyek dari email adalah “Make money fast”. Namun hal ini tidak efektif karena para spammer mengubah kata-kata tersebut menjadi kata-kata plesetan.

(95)

Spam (lanjutan)

• Jumlah email spam ini sudah sangat banyak sehingga dapat melumpuhkan server email. Banyak tempat yang tidak menjalankan filtering terhadap spam karena tidak mampu.

• Masalah spam masih menjadi masalah utama dalam sistem email saat ini. Ada organisasi yang bernama CAUCE (Coalition Against Unsolicited Commercial Email) yang menggalang upaya-upaya untuk membendung spam. Dan IDCERT Indonesia Computer Emergency Response Team, http://www.cert.or.id yang bertujuan memberikan deskripsi kejadian Abuse di Indonesia.

(96)

Statistik Internet Abuse Indonesia (IDCERT) Laporan Dwi Bulan V 2013

Pada periode September-Oktober 2013 ini, jumlah

pengaduan terbanyak adalah kategori spam dengan jumlah 11.528 atau 62,51% dari total pengaduan. Dengan jumlah lebih dari separuh pengaduan, spam mendominasi

pengaduan ke [email protected]

Sumber :IDCERT: LAPORAN DWI BULAN-V TAHUN 2013 Bulan September-Oktober

(97)

Mailbomb

• Mailbomb adalah mengirim email bertubi-tubi ke satu tujuan. Dampaknya mailbox yang dituju akan menjadi penuh. Dampak kepada sistem juga hampir sama, yaitu direktori yang digunakan untuk menampung email (mail spool) menjadi penuh sehingga pengguna lain tidak dapat menerima email juga.

• Pembuatan mailbomb dapat dilakukan dengan mudah, misalnya dengan menggunakan shell script di sistem UNIX. Skrip yang mungkin hanya 3 baris ini melakukan loop, dimana pada setiap loopnya dia memanggil MTA dan memberinya email yang harus dikirimkan ke target. Dipermudah lagi banyaknya software yang siap pakai untuk membuat mailbom seperti: AutosenderPro, E-Mail Bomber dll.

(98)

Mailbomb (lanjutan)

Seperti contoh di bawah ini dengan E-Mail Bomber, dapat langsung dijalankan tanpa diinstall

(99)

Mailbomb (lanjutan)

• Proteksi terhadap mailbomb adalah dengan membatasi quota email dari pengguna(via cpanel web hosting), misalnya dibatasi 20 MBytes, sehingga jika dia kena mailbomb tidak mengganggu pengguna lainnya. • Cara lain yang dapat dilakukan adalah menjalankan

program yang mendeteksi mailbomb. Program ini menganalisa isi email (dengan menggunakan checksum) dan membandingkan dengan email-email sebelumnya. Jika email sama persis dengan email sebelumnya maka email ini dapat dihilangkan. Namun kinerja program khusus ini masih dipertanyakan, khususnya untuk server mail yang banyak menerima email.

(100)

Mail Relay

• Mail relaying adalah mengirimkan email dengan menggunakan server mail milik orang lain. Aktivitas ini biasanya dilakukan oleh para pengirim spam. Mereka mendompleng server mail milik orang lain yang konfigurasi kurang baik dan memperkenankan orang lain untuk menggunakan server itu untuk mengirim email. Akibatnya bandwidth dari server itu bisa habis digunakan untuk mengirim email spam, bukan email dari pengguna yang sah.

(101)

Mail Relay (lanjutan)

• Penyalahgunaan terhadap server mail yang terbuka ini biasanya dilakukan oleh pengirim spam. Banyak tempat yang melakukan filtering terhadap server mail yang digunakan oleh pengirim spam. Jika server mail anda termasuk yang memperkankan mail relay, maka server anda dapat masuk ke dalam daftar tercela (blacklist) dan kena filter juga. Oleh sebab itu harus dipastikan bahwa server mail kita tidak memperkenankan mail relay.

• Kita juga dapat melakukan proteksi terhadap spam dengan melakukan filtering terhadap server mail yang terbuka. MTA kita dapat kita konfigurasi untuk menolak email yang berasal dari server mail yang memperkenankan mail relay (karena kemungkinan email yang dikirim adalah spam).

(102)

Daftar Database Mail Relay

Tempat-tempat database server yang memperkenankan mail relay:

• Mail Abuse Prevention System: http://mail-abuse.org

• ORBZ – Open Relay Blackhole Zone: http://www.orbz.org/

• ORDB – Open Relay Database: http://www.ordb.org/

• RBL-type services: http://www.ling.helsinki.fi/users/ reriksso/rbl/rbl.html

(103)

(104)

SOAL LATIHAN

1. Program yang biasa dikenal dengan istilah mailer dalam sistem email, yaitu :

a. Netscape d. Outlook b. Program mail e. MUA c. MTA

2. Standar yang mengatur format email, yaitu : a. Sendmail d. RFC 2822

b. Exchange e. Mercury c. Mdaemon

(105)

SOAL LATIHAN

2. Standar yang mengatur format email, yaitu : a. Sendmail d. RFC 2822

b. Exchange e. Mercury c. Mdaemon

3. Port yang digunakan oleh SMTP yang bisa disadap, yaitu:

a. Port 25 d. Port 120 b. Port 30 e. Port 100 c. Port 95

(106)

SOAL LATIHAN

3. Port yang digunakan oleh SMTP yang bisa disadap, yaitu:

a. Port 25 d. Port 120 b. Port 30 e. Port 100 c. Port 95

4. Email yang tidak kita harapkan, dikirimkan ke banyak orang. Biasanya isi dari email ini adalah promosi. disebut : a. Mailbomb d. Body email

b. Spam e. Mail abuse c. Sadap email

(107)

SOAL LATIHAN

4. Email yang tidak kita harapkan, dikirimkan ke banyak orang. Biasanya isi dari email ini adalah promosi. disebut : a. Mailbomb d. Body email

b. Spam e. Mail abuse c. Sadap email

5. Mengirim email bertubi-tubi ke satu tujuan, disebut:

a. SPAM d. MTA

b. FTP e. SMTP

(108)

SOAL LATIHAN

5. Mengirim email bertubi-tubi ke satu tujuan, disebut:

a. SPAM d. MTA

b. FTP e. SMTP c. Mailbomb

1. Program yang biasa dikenal dengan istilah mailer dalam sistem email, yaitu :

a. Netscape d. Outlook b. Program mail e. MUA c. MTA

(109)

Pertemuan 5

(110)

Web Security

Mahasiswa memahami tentang Web server dan jenis web server, Celah keamanan pada aplikasi web, Pengamanan web

(111)

Keamanan Server WWW

• Arsitektur sistem Web terdiri dari dua sisi: server dan client. Web server adalah suatu daemon yang berfungsi menerima request melalui protocol http baik dari local maupun dari internet. Cth: xampp, apache2triad dll.

• Informasi yang direquest oleh browser bisa berupa file yang ada dalam storage atau meminta server untuk melakukan fungsi tertentu. Cth browser: internet explorer, mozilla, opera, chrome dll.

• Jenis-jenis web server:

– IIS (web server untuk html dan asp). Bisa jalan di OS Windows

– APACHE web server (web server untuk html, php, asp, jsp, dan sebagainya). Bisa jalan di OS Windows dan LINUX

- World wide web publishing service

untuk service ini harus disable, karena menggunakan port yang sama dengan apache yaitu port 80, akibatnya localhost tidak dapat digunakan.

(112)

Mengaktifkan service apache

Start – run – ketik: services lalu enter – pilih service(local)

(113)

9 Celah Keamanan Pada Aplikasi Web

1. Unvalidated Input

Semua aplikasi web menampilkan data dari HTTP request yang dibuat oleh user dan menggunakan data tersebut untuk melakukan operasinya. Hacker dapat memanipulasi bagian-bagian pada request (query string, cookie information, header) untuk membypass mekanisme keamanan.

Berikut ini tiga jenis penyerangan yang berhubungan dengan masalah ini:

- Cross site scripting - Buffer overflows - Injection flaws

(114)

Cross site scripting

• XSS atau Cross Site Scripting adalah teknik yang digunakan untuk menambahkan script pada sebuah website yang akan dieksekusi oleh user lain pada browser user lain tersebut.

• Memasukan kode-kode html pada sebuah situs, misalkan di buku tamu ditambahkan di isi pesannya sebuah tag: <script>alert(‘salam’);</script>

(115)

1. Unvalidated Input (lanjutan)

Cara untuk menangani hal tersebut, diantaranya:

• Tidak baik pada aplikasi web untuk percaya pada client side scripting. Script tersebut biasanya menghentikan form submission apabila terdapat sebuah input yang salah. Akan tetapi, script tersebut tidak dapat mencegah hacker untuk membuat HTTP requestnya sendiri yang terbebas dari form. Menggunakan client side validation masih bisa membuat aplikasi web yang mudah diserang.

(116)

1. Unvalidated Input (lanjutan)

• Beberapa aplikasi menggunakan pendekatan "negative“ (negative approach) pada validasinya: Aplikasi mencoba mendeteksi jika terdapat elemen yang berbahaya pada request parameter. Masalah dari jenis pendekatan ini adalah hanya bisa melindungi dari beberapa serangan yaitu: hanya serangan yang dikenali oleh validation code yang dicegah.

• Cara yang lebih baik untuk menggunakan pendekatan "positive" (positive approach) yaitu: membatasi sebuah format atau pola untuk nilai yang diijinkan dan memastikan input tersebut sesuai dengan format tersebut.

(117)

9 Celah Keamanan Pada Aplikasi Web (lanjutan)

2. Broken Access Control

Banyak aplikasi yang terdapat user role dan admin role: hanya admin role yang diijinkan untuk mengakses halaman khusus atau melakukan action administration. Masalahnya adalah beberapa aplikasi tidak efektif untuk memaksa agar otorisasi ini bekerja.

Masalah lain yang berhubungan dengan access control adalah:

• Insecure Ids – Beberapa site menggunakan id atau kunci yang menunjuk kepada user atau fungsi.

• File permissions – Kebanyakan web dan aplikasi server percaya kepada external file yang menyimpan daftar dari user yang terotorisasi dan resources mana saja yang dapat dan/atau tidak dapat diakses.

(118)

Broken Access Control (lanjutan)

Langkah-langkah untuk mengatasinya adalah dengan mengembangkan filter atau komponen yang dapat dijalankan pada sensitive resources. Filter atau komponen tadi dapat menjamin hanya user yang terotorisasi dapat mengakases. Untuk melindungi dari insecure Ids, kita harus mengembangkan aplikasi kita agar tidak percaya pada kerahasiaan dari Ids yang dapat memberi access control. Pada masalah file permission, file-file tersebut harus berada pada lokasi yang tidak dapat diakses oleh web browser dan hanya role tertentu saja yang dapat mengaksesnya.

(119)

9 Celah Keamanan Pada Aplikasi Web

(lanjutan)

3. Broken Authentication dan Session Management

Authentication dan session management menunjuk kepada semua aspek dari pengaturan user authentikasi dan management of active session. Berikut ini beberapa hal yang perlu diperhatikan:

• Password strength – Aplikasi kita harus memberikan level minimal dari keamanan sebuah password, dimana dapat dilihat dengan cara melihat panjang dari password dan kompleksitasnya.

• Password use – Aplikasi kita harus membatasi user yang mengakses aplikasi melakukan login kembali ke sistem pada tenggang waktu tertentu.

(120)

Broken Authentication dan Session

Management (lanjutan)

• Password storage – password tidak boleh disimpan di dalam aplikasi. Password harus disimpan dalam format terenkripsi dan disimpan di file lain seperti file database atau file password.

• Issue lain yang berhubungan : password tidak boleh dalam bentuk hardcoded di dalam source code.

• Session ID Protection – server biasanya menggunakan session Id untuk mengidentifikasi user yang masuk ke dalam session.

• Salah satu cara yang dapat digunakan untuk mencegah terlihatnya session ID oleh seseorang pada suatu jaringan yang sama adalah menghubungkan komunikasi antara sever dan client pada sebuah SSL-protected channel.

(121)

9 Celah Keamanan Pada Aplikasi Web

(lanjutan)

4. Cross Site Scripting

Cross site scripting terjadi ketika seseorang membuat aplikasi web melalui script ke user lain. Hal ini dilakukan oleh penyerang dengan menambahkan content (seperti JavaScript, ActiveX, Flash) pada request yang dapat membuat HTML output yang dapat dilihat oleh user lain. Apabila ada user lain yang mengakses content tersebut, browser tidak mengetahui bahwa halaman tersebut tidak dapat dipercaya.

Cara yang bisa digunakan untuk mencegah serangan cross site scripting adalah dengan melakukan validasi data masuk dari user request (seperti header, cookie, user parameter,...).

(122)

9 Celah Keamanan Pada Aplikasi Web

(lanjutan)

5. Buffer Overflows

Penyerang dapat menggunakan buffer overflows untuk merusak aplikasi web. Penyerang mengirimkan request yang membuat server menjalankan kode-kode yang dikirimkan oleh penyerang.

Tetapi pada desain dari Java environment, aplikasi yang berjalan pada J2EE server aman dari jenis serangan ini. Untuk memastikan keamanan, cara yang paling baik adalah melakukan pengawasan apabila terdapat patch atau bug report dari produk server yang digunakan.

(123)

9 Celah Keamanan Pada Aplikasi Web

(lanjutan)

6. Injection Flaws

Hacker dapat mengirimkan atau menginject request ke operating system atau ke external sumber seperti database. Berikut ini salah satu contoh dari SQL injection: masukkan salah satu keyword di google untuk mendapatkan halaman login.Cth.: “/admin.asp" , "/login.asp" dll. Kalau sudah dapat isikan di username “or”=“ di password “or”=“ lalu klik login kalau sukses akan masuk

(124)

Injection Flaws (lanjutan)

Sintak di web:

Select * from admin where username = ‘administrator’ and Password = ‘admin’

Maka inputkan: ”or ‘’ = “

Didapatkan: Select * from admin where username = ‘’ or ‘’ = ‘’ and Password = ‘’ or ‘’=’’

Perintah: “or “=“ menjadikan kondisi query menjadi true. Untuk mencegah inputan diatas maka di skrip php pada variabel penampung data post ditambahkan

mysql_real_escape_string() utk validasi input: $username

=mysql_real_escape_string($_POST['username']);

$password = mysql_real_escape_string($_POST['password']); Untuk pengguna php.

Ctype_alnum() tujuannya hanya menerima input alpha numerik tdk menerima spt (‘)petik, (=)samadgn

(125)

9 Celah Keamanan Pada Aplikasi Web

(lanjutan)

7. Insecure Storage

Aplikasi web biasanya menyimpan informasi penting yang perlu dienkripsi untuk menghindari pengaksesan secara langsung. Tetapi beberapa metode enkripsi masih lemah dan bisa diserang. Berikut ini beberapa kesalahan yang terjadi:

• Kesalahan untuk mengenkripsi data penting

• Tidak amannya kunci, certificate, dan password • Kurang amannya lokasi penyimpanan data

• Kurangnya perhitungan dari randomisasi • Kesalahan pemilihan algoritma

• Mencoba untuk menciptakan algoritma enkripsi yang baru

(126)

Insecure Storage (lanjutan)

Salah satu cara yang dilakukan untuk menghindari kesalahan penyimpanan informasi yang sensitif adalah : tidak membuat password sebagai atribut dari kelas yang mewakili informasi user; Daripada mengenkripsi nomor kartu kredit dari user, akan lebih baik untuk menanyakannya setiap kali dibutuhkan.

(127)

9 Celah Keamanan Pada Aplikasi Web

(lanjutan)

8. Denial of Service

Denial of Service merupakan serangan yang dibuat oleh hacker yang mengirimkan request dalam jumlah yang sangat besar dan dalam waktu yang bersamaan. Dikarenakan request-request tersebut, server menjadi kelebihan beban dan tidak bisa melayani user lainnya. Serangan DoS mampu menghabiskan bandwidth yang ada pada server. Selain itu dapat juga menghabiskan memory, koneksi database, dan sumber yang lain.