PERHATIAN. Slide ini hanya merupakan media pengajaran

(1)

PERHATIAN

Slide ini hanya merupakan media pengajaran di INSTITUT TEKNOLOGI TELKOM

di INSTITUT TEKNOLOGI TELKOM

dan tidak direkomendasikan sebagai acuan yang dapat digunakan sebagai referensi

untuk penyusunan buku/laporan Tugas Akhir maupun Proyek Akhir.

Hanya untuk kepentingan internal IT TELKOM.

l h d l l d d

Seluruh muatan dalam slide ini mengacu pada hak cipta masing-masing resource yang digunakan.

(2)

17 YFA CS4383 S1/IT/WE/E6/1110

Internet Hacking

Semester Ganjil 2010/2011 oleh Yanuar Firdaus Semester Ganjil 2010/2011 oleh Yanuar Firdaus

Fakultas Informatika

Fakultas Informatika –– IT TELKOMIT TELKOM

http://www.ittelkom.ac.id/yanuarfirdaus http://www.ittelkom.ac.id/yanuarfirdaus

(3)

Budaya Buruk

• _{Mudahnya Menyusup ke MPR}

_RI

h // i lk id/ fi d /? i

– http://www.ittelkom.ac.id/yanuarfirdaus/?categoryi

(4)

Hacking

Client

Side

for

Dummies

• _Client

_side

_scripting

l h b lik i b

– masalah besar aplikasi web.

• Webmaster:

Hati

‐

hati

dengan

penggunaan

form!

• _Form

– pengiriman data dari sebuah form (dengan metode

post maupun get) untuk diproses oleh server side

scripting

– permasalahan sederhana yang sering diabaikan,

(5)

Contoh

• Sistem informasi akademik Universitas “X” memiliki fasilitas

lengkap, salah satunya fasilitas administrasi nilai yang

digunakan oleh dosen untuk melakukan input nilai seorang

mahasiswa.

• Sumber masalah:

– Core website dibangun dengan script PHP, namun ada satu celah

besar, form input nilai diletakkan di folder nilai dengan tanpa file

indeks dan dibangun dengan HTML murni!

form input nilai html form_input_nilai.html

– Script pemroses input nilai ini dibangun dengan script PHP.

proses_input_nilai.php

– Informasi kode mata kuliah dan NIM disimpan secara hidden padaInformasi kode mata kuliah dan NIM disimpan secara hidden pada

form dengan input tag.

– Seluruh file website ditangani oleh file index.php menggunakan

include file. File indeks ini diproteksi dengan pengecekan session,

(6)

• Hacker:

stateless

Æ

masalah

besar!

– Ketika kamu mengunjungi sebuah halaman web sebutKetika kamu mengunjungi sebuah halaman web, sebut

saja b.html tidak mengetahui apakah kamu membuka

halaman b.html tersebut secara langsung atau melalui

link pada halaman a html Sifat jelek stateless inilah yang link pada halaman a.html. Sifat jelek stateless inilah yang

bisa dimanfaatkan.. .

• Proses Semestinya:

Proses Semestinya:

– User melakukan login terlebih dahulu baru dapat

menggunakan halaman administrasi nilai ini untuk

kk b h il i h i

memasukkan atau mengubah nilai seorang mahasiswa,

dan administrasi nilai dilakukan dari form yang

(7)

(8)

Hackingg

• _Hacking:

– Cari tahu masalah pada sistem informasi akademik

tersebut, dapatkan informasi file!

– Hacker bisa membuat script yang berupa form

dengan fungsi seperti yang ditampilkan dalam

h l d i i i il i k l

halaman administrasi nilai untuk secara langsung

mengirimkan nilai ke halaman proses_input_nilai.php tanpa harus melalui halaman login!

(9)

Hackingg

• _Hacking:

– Hacker cukupp menentukan NIM mahasiswa yangy g akan

diubah nilainya dan dengan leluasa bisa

(10)

Solusi

• _{Jangan pernah berfikiran bahwa form/data dalam bentuk} HTML tidak akan dimanfaatkan untuk kepentingan if negatif. • _{Lakukan semuanya melalui file indeks menggunakan} server side scripting, proses validasi session pada setiap p g, p p p file atau tambahkan validasi pada setiap file bahwa hanya bisa berjalan jika diakses dari file indeks.

• Gunakan folder yang aman untuk meletakkan indeksGunakan folder yang aman untuk meletakkan indeks halaman administrasi, bisa juga dengan menyediakan subdomain terpisah, atau protokol yang berbeda misal menggunakan HTTPS menggunakan HTTPS. • Berikan file indeks kosong pada setiap folder yang tidak memiliki file indeks.

(11)

• Jangan mengandalkan pengecekan data

header http tambahkan security code yang header http, tambahkan security code yang berubah setiap saat untuk memastikan

bahwa user mengirimkan data benar‐benar dari form “asli” Security code ini harus

dari form asli . Security code ini harus diketikkan secara manual oleh user sesuai dengan input gambar yang ditampilkan.

Hindari penggunakan metode get pada form, meskipun metode

post juga dapat dimanipulasi, namun kenyataannya metode get lebih berbahaya Æ URL action form dengan metode get dapat dijadikan source file pada image tag.

(12)

Magic

HTML

Injection

• _Webmaster:

_Hati

_‐

_hati

_menampilkan

_data

_secara

langsung yang diproses dari input user melalui

langsung

yang

diproses

dari

input

user

melalui

form!

Æ

k k

kk

• Form

Æ

memungkinkan

user

memasukkan

kode

‐

kode

HTML

yang

diinjeksikan

melalui

input

f

i

d

d i

i l

form

yang

meminta

data

dari

user,

misalnya

(13)

Contoh

• Sebuah

perusahaan

“Y”

berniat

mengumpulkan

data dari para pengunjung website sebagai

data

dari

para

pengunjung

website

sebagai

masukan

terhadap

website

mereka

maupun

layanan

y

yang

y g

mereka

sediakan.

Fasilitas

yang

y g

berupa

buku

tamu

ini

dapat

diisi

oleh

semua

pengunjung

(termasuk

guest).

Setiap

isian

buku

tamu

disimpan

dalam

database

dan

ditampilkan

juga

melalui

halaman

website.

• Sumber

masalah:

– Tidak adanya filter atau perlakuan khusus terhadap

i i ki di kk l h

(14)

• _Hacker:

_mencoba

_dengan

_injeksi

_kode

_HTML!

K ik k k b h b i

– Ketika kamu menemukan sebuah website yang

menyediakan form (dalam bentuk fasilitas apa pun),

yang kemudian semua isian form akan ditampilkan yang kemudian semua isian form akan ditampilkan

pada halaman website tersebut, maka kamu bisa

mencoba melakukan HTML injectionj melalui form

tersebut. Jika tidak ada filter terhadap kode HTML

yang dimasukkan, maka form tersebut bisa

(15)

(16)

Hackingg

• _Hacking

– Cari website dengan fasilitas buku tamu atau apa

pun yang lainnya, yang memungkinkan pengunjung

mengisikan data untuk ditampilkan pada halaman

website tersebut.

I ik f d k k d k d HTML

– Isikan form dengan menyertakan kode‐kode HTML

untuk melakukan injeksi. Pilih kode HTML yang

sesuai untuk memanipulasi tampilan halaman sesuai untuk memanipulasi tampilan halaman

(17)

Hackingg

• _Hacking

– Kamu bisa menampilkan isian kamu dengan format

tertentu, atau menambahkan tampilan tertentu,

atau melakukan hal‐hal lain yang membuat user lain

jadi kewalahan, misal membuka jendela browser

baru dalam jumlah sangat banyak dll baru dalam jumlah sangat banyak dll.

(18)

(19)

Solusi

• _HTML

_injection

_bukan

_merupakan

_teknik

penyerangan di sisi server meskipun hanya di

penyerangan

di

sisi

server,

meskipun

hanya

di

sisi

browser

client,

teknik

ini

dapat

merugikan

nama baik pemilik website

nama

baik

pemilik

website.

• _Gunakan

_fungsi

_khusus

_pada

_server

_side

i i

k

i

i j

i

scripting

untuk

menangani

HTML

injection,

seperti

penggunaan

fungsi

HTLMEncode

pada

ASP d

HTMLS

i lCh

HTMLE i i

ASP

dan

HTMLSpecialChars

atau

HTMLEntities

(20)

The

Power

of

SQL

Injection

• Masih

ingat

kasus

Hacker

KPU

pada

Pemilu

2004?

Sabtu (17/4/2004) jam 03:12:42, secara tanpa hak seseorang telah melakukan akses ke jaringan telekomunikasi milik KPU dan melakukan penyerangan ke server tnp.kpu.go.id dengan cara SQL

(S Q L ) I j i H k b h il b k i I

(Structure Query Language) Injection. Hacker berhasil menembus kunci pengaman Internet Protocol (IP) 203.130.201.134 yang tak lain adalah IP tnp.kpu.go.id. Teknik yang dipakai adalah teknik spoofing (penyesatan), yaitu melakukan hacking dari IP 202.158.10.117 PT Danareksa dengan menggunakan IP Proxy Thailand yaitu 208.147.1.1 yang didapatkan terdakwa dari situs http://www.samair.ru/proxy.

http://www.samair.ru/proxy.

Dengan IP Proxy Thailand tersebut, hacker mencoba menganalisa kembali variabel‐variabel yang ada di situs http://tnp.kpu.go.id. Metode yang digunakan masih SQL Injection yaitu dengan menabahkan perintah‐perintah SQL dari URL

menabahkan perintah perintah SQL dari URL

http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view &kodeprop=1&kodekab=7. Dari hasil analisa tersebut, didapat nama kolom ‘nama’ dan ‘pkid’ di ‘tabel partai’ pada web tnp.kpu.go.id. Kemudian dari hasil uji coba diperoleh kesimpulan bahwa situs TNP KPU terkena Bug SQL

Injection. Hal ini bisa dilihat dari pesan error yang tampak pada browser yang digunakan hacker

d k d

(21)

Dengan menggunakan modifikasi URL, terdakwa kemudian menambahkan perintah‐perintah SQL seperti pada contoh: h t t p : / / t n p . k p u . g o . i d / D P R D I I / d p r _ d a p i l . a s p

?type=viewyp view&kodeprop=1p p 1&kodeprop=11&kodekab=7;UPDATEp p ; ppartai set nama=

nama=’partai dibenerin dulu webnya’ where pkid=13 13’;Penambahan kode SQL tersebut telah menyebabkan perubahan pada salah satu nama partai di situs TNP KPU menjadi ‘partai dibenerin dulu webnya‘.

Hacker berhasil melakukan perubahan pada seluruh nama partai di situs TNP KPU pada jam 11:24:16 sampai dengan 11:34:27. Perubahan ini menyebabkan nama partai yang tampil pada situs yang diakses oleh publik, seusai Pemilu Legislatif lalu, berubah menjadi nama‐nama lucu seperti Partai Jambu Partai Kelereng Partai Cucak Rowo Partai Si Yoyo Partai Mbah Jambon seperti Partai Jambu, Partai Kelereng, Partai Cucak Rowo, Partai Si Yoyo, Partai Mbah Jambon, Partai Kolor Ijo, dan lain sebagainya.

(22)

Lingkup

Kerja

SQL

Injection

• SQL

injection

sangat

tergantung lingkungan

kerja.

– Program yang menggunakan database SQL Server akanProgram yang menggunakan database SQL Server akan

mempunyai teknik yang berbeda jika dibandingkan

dengan Oracle atau Microsoft Access. Demikian juga

dengan script yang digunakan ASP akan sangat berbeda dengan script yang digunakan, ASP akan sangat berbeda

dengan PHP misalnya.

• SQL injection paling umum dilakukan melalui form

SQL

injection

paling

umum

dilakukan

melalui

form

login.

• Kasus

lingkungan

g

kerja

j

KPU:

server

side

scripting

p

g

ASP,

SQL

Server

sebagai

database

server

dan

IIS

sebagai

web

servernya

Æ

bukan

melalui

form

login,

t t i

l l i URL

(23)

Simulasi:

Persiapan

p

Korban

• _Simulasi

_terhadap

_kasus

_KPU:

– Aplikasi web yang menampilkan berita. Data

disimpan dalam SQL Server dengan nama database

Database1 dengan nama tabel Table1. Dalam

Table1, terdapat dua field yaitu ID yang berisi kode

berita dan IsiBerita yang berisi file HTML suatu berita dan IsiBerita yang berisi file HTML suatu

(24)

Simulasi:

Persiapan

p

Korban

• _{Simulasi terhadap kasus KPU:}

(25)

• _Server,

_akan

_berisi

_sebuah

_file

_index.asp

_yang

bertugas menampilkan isi berita berdasarkan

bertugas

menampilkan

isi berita

berdasarkan

parameter

Kode

artikel

yang

diberikan.

<%

set cnn = server.createobject(“ADODB.Connection”) “PROVIDER SQLOLEDB DATA

cnn.open “PROVIDER=SQLOLEDB;DATA

SOURCE=w2000;UID=sa;PWD=;DATABASE=database1” set Rs = server.createobject(“adodb.recordset”) Kode = Request.QueryString(“Kode”)

SQLStatement = “Select * From table1 Where ID=” & Kode Rs.Open SQLStatement,Cnn

Response.Write Rs(“IsiBerita”) %>

(26)

• _Untuk

_menampilkan

_artikel

_pertama,

_url

lengkapnya

adalah

:

http://alamat/index.asp?kode=1

,

dan

untuk

menampilkan

artikel

kedua, url

(27)

SQL

Injection

j

Melalui

URL

• _Cek

_apakah

_aplikasi

_web

_{bermasalah dengan}

_SQL

Injection:

tambahkan

katakter

petik

’ di

belakang

parameter

Æ

jika

ya,

browser

akan

(28)

(29)

• _Error

_terjadi

_karena

_penambahan

_tanda

_petik

pada statement SQL yang digunakan:

pada

statement

SQL yang

digunakan:

“Select * From table1 Where ID=” & Kode

• Ketika mendapatkan parameter Kode berupa 1’

• Ketika

mendapatkan

parameter

Kode

berupa

1 (dengan

tambahan karakter

tanda

petik

tunggal) statement SQL akhirnya akan seperti:

tunggal),

statement

SQL

akhirnya

akan

seperti:

“Select * From table1 Where ID=1’”

(30)

Kita

Mulai,

Mencari

Field

Database

• Kembali

pada

kasus

KPU:

http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view&kodeprop= 1&kodeprop=1&kodekab=7;UPDATE partai set nama=’partai

dibenerin dulu webnya’ where pkid=13;

• Perhatikan,

nama

dan

pkid

adalah

nama

field

tabel

database

KPU!

– Bagaimana nama field database bisa diketahui padahal

jelas jelas penyerang berada pada jarak yang jauh? jelas‐jelas penyerang berada pada jarak yang jauh?

Apalagi informasi dijaga dengan rahasia dan tidak

pernah diinformasikan ke publik. Menarik memang

k f b d k h l

karena informasi ini ternyata bisa diketahui tanpa perlu

membeli obeng dan linggis untuk masuk ke ruangan

(31)

• Teknik untuk mendapatkan nama field dan tabel ditemukan oleh

David Litchfield Teknik yang digunakan disini adalah dengan David Litchfield. Teknik yang digunakan disini adalah dengan

membuat terjadinya error menggunakan perintah having 1=1.

• Kita masukkan perintah tersebut, http://alamat/index.asp?kode=1 having 1=1

• Sangat mengejutkan, karena ternyata nama field pertama dan

(32)

• Lalu bagaimana mencari field kedua dan seterusnya? Gunakan

perintah group by berdasarkan nama tabel dan field yang telah perintah group by berdasarkan nama tabel dan field yang telah

diketahui seperti berikut: http://alamat/index.asp?kode=1 group by table1.id having 1=1.

K j t b l j t t t k l h b ik

• Kejutan berlanjut, ternyata pesan kesalahan server memberikan

(33)

Manipulasi

Data

• Hacking:

ubah

data!

• SQL server menggunakan karakter ; (titik koma)

SQL

server

menggunakan

karakter

;

(titik

koma)

untuk

memisahkan antar

statement.

– Artinya kamu bisa memberikan dua statement dalam satu baris asalkan antar statement tersebut dipisahkan satu baris asalkan antar statement tersebut dipisahkan

dengan karakter ; (titik koma).

– Selain itu terdapat juga karakter ‐‐ (dua kali minus) untuk

d k khi d i di i h

menandakan akhir dari statement dimana perintah

selanjutnya tidak akan diproses lagi.

• Perhatikan

pada

p

kasus

KPU:

http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view&kodeprop= 1&kodeprop=1&kodekab=7; UPDATE partai set nama=nama=’partai dibenerin dulu webnya where pkid=13’;

(34)

• _{Selain mengubah data, semua query dapat dijalankan} dengan SQL injection: menambah data, menghapus tabel b hk ik SQL ! atau bahkan mematikan SQL server! • _{Proses SQL injection juga bisa melalui form login, dengan} memasukkan username dan/atau password / p menggunakan kemungkinan‐kemungkinan variabel berikut: or 1=1--1 1=1--1 “ or 1=1--‘ or 1=1--‘a’=1=1--‘a “ or “a”=“a ‘) or (‘a’=‘a ‘ or 0=0 “ or 0=0 ‘ or 1=1 “ or 1=1 --Dll.

(35)

Hacking

Client

Side

for

Dummies

• _{Buka sebuah website,}

_misalnya

http://www ittelkom ac id

http://www.ittelkom.ac.id

(36)

(37)

(38)

Jurusan Teknik Informatika

Sekolah Tinggi Teknologi Telkom

YFA

S1/IT/WE/E2/1206 CS4713

Sekolah Tinggi Teknologi Telkom CS4713

Keamanan Aplikasi Web

Keamanan

Aplikasi

Web

(39)

Pengantar

• _{KPU dapat saja membeli aplikasi atau perangkat}_firewall

yang sangat mahal, antivirus terbaik, menambahkan IDS

y g g , , terbesar, namun ternyata masih saja ada kelemahan dalam rencana sekuriti yang diabaikan. A k k l k k t k li d i j i • _{Apa yang akan kamu lakukan untuk melindungi jaringan} komputer terhadap seseorang yang memiliki kemampuan khusus mengeksploitasi kelemahan aplikasi (web) tertentu? • _{Kita tahu bahwa cara yang paling mudah untuk}

membobol aplikasi (web) pada sebuah server adalah membobol aplikasi (web) pada sebuah server adalah membukanya dengan kunci. Tentu jarang dari kita yang menghabiskan waktu menggunakan program penebak password.

(40)

• Konteks

sekuriti

komputer,

proses

mendapatkan

key

Æ

social engineering

Æ

tidak memerlukan teknik

Æ

social

engineering

Æ

tidak

memerlukan

teknik

yang

rumit.

– Menggunakan hadiah, intimidasi atau tipuan yang

meyakinkan orang lain untuk membuka informasi yang

dilindungi sekuriti jaringan komputer.

– Kevin Mitnick menjadi terkenal (dan masuk penjara)

karena dia ahli dalam hal ini. Bahkan dia menuliskan

sebuah buku mengenai hal ini, bersama dua orang

li St W i k d Willi L Si B k i i penulis, Steve Wozniak dan William L. Simon. Buku ini

berjudul "The Art of Deception: Controlling the Human

Element of Security (diterbitkan oleh John Willey and

(41)

Modus

Operandi

Social

Engineering

• Social Engineering: suatu keahlian non‐teknis dari intrusi yang

berhubungan erat dengan interaksi manusia dan bertujuan

menipu orang lain untuk membuka prosedur sekuriti normal

• Skenario umum Social Engineering antara lain:

– Menelepon seorang user dan berpura‐pura sebagai seorang

t t IT b t hk t d d

anggota team IT, yang membutuhkan account dan password user

serta informasi lain dengan alasan memperbaiki kerusakan pada

jaringan komputer.

– Menelepon departemen IT dan berpuraMenelepon departemen IT dan berpura pura‐pura sebagai seorang sebagai seorang

eksekutif puncak suatu perusahaan yang kelupaan password dan

mendesak untuk diberikan informasi secepat mungkin karena ada

urusan yang mahapenting.

– Membangun suatu hubungan persahabatan yang indah dengan

salah seorang anggota tim IT untuk mendapatkan informasi yang

(42)

– Seorang pelaku social engineering yang ahli tidak hanya seorang

aktor yang baik, tapi juga membaca tabiat orang untuk

menentukan jenis orang bagimana yang bekerja terbaik dengan menentukan jenis orang bagimana yang bekerja terbaik dengan

fakta‐fakta. Saat seorang hacker mengombinasikan kemampuan

social engineering dengan keahlian teknis, maka sangatlah mudah

bagi mereka menyusup ke jaringan komputer mana pun.

– Beberapa teknik di Internet, seperti e‐mail yang dikirim oleh

seorang pegawai bank atau perusahaan kartu kredit yang meminta

kalian pergi ke suatu website dimana kalian diharuskan mengisi

informasi account dan lainnya. Website yang sebenarnya palsu dan informasi account dan lainnya. Website yang sebenarnya palsu dan

menjebak.

– Beberapa pelaku social engineering mengandalkan keberhasilan

mereka dari kemampuan meneliti. Sebagaimana aktivitas

b h k ( l l h k k l h

membuang sampah kantor (melalui sampah kertas kerja inilah

mereka menemukan informasi penting dan dihubungkan dengan

(43)

– Beberapa orang hacker menempuh cara yang

berbeda,, sepertip menjadij seorangg tukangg bangunan,g ,

teknisi alat‐alat rumah tangga atau tukang bersih‐

bersih kantor yang bekerja paruh waktu. Sebenarnya

mereka hanya ingin memperoleh akses saat yang mereka hanya ingin memperoleh akses, saat yang

lainnya sibuk dengan pekerjaan mereka atau ada hal

yang mengharuskan mereka meninggalkan tempat

y g g gg p

kerja. Hacker ini berusaha menekuni tugas‐tugas

harian yang kalian tinggalkan di meja kerja sampai

menemukan apa yang ia cari (Entah itu melalui menemukan apa yang ia cari. (Entah itu melalui

catatan pribadi, percakapan telepon atau cetakan e‐

(44)

– Adakalanya hacker tersebut bertindak sebaliknya yaitu

menjadi seorang teknisi komputer yang membuat

b b t l h d j i k t t

beberapa urutan masalah pada jaringan komputer atau

pengguna komputer. Berbicara dengan petugas

keamanan bahwa terjadi masalah yang sangat serius dan

memerlukan penanganan sesegera mungkin memerlukan penanganan sesegera mungkin.

Siapa sih yang nggak percaya sama teknisi. Kalian

disuruh membuka email anda dan dia akan memeriksa

l h i i il b k h b i ik k d k d seluruh isi email tersebut apakah berisikan kode‐kode

jahat atau lampiran yang berisi virus. Mengenai hal ini

bisa saja sebelumnya hacker tersebut mengirimkan virus

t k d j h t l i k il b k j

atau kode jahat lainnya ke email seseorang yang bekerja

di kantor tersebut. Hacker ini benar‐benar tampil

(45)

Melindungi

Diri

Dari

Pelaku

Social

Eng.

• Perlindungan terhadap aksi social engineering ini

seharusnya menjadi bagian dari strategi pertahanan dalam seharusnya menjadi bagian dari strategi pertahanan dalam departemen/divisi perusahaan, tapi seringkali diabaikan. Perhatikan hal‐hal di bawah ini:

Jangan biarkan user kalian memberikan password mereka ke

– Jangan biarkan user kalian memberikan password mereka ke

orang lain tanpa seijin kalian. Dengan kata lain jangan

menanyakan apa pun yang berhubungan dengan aktivitas

merekae e a epada seseo a g ya g t da be a kepada seseorang yang tidak berhak.

– Para petugas keamanan di tempat tersebut harus menanyakan

identitas diri, bahkan kepada anggota tim IT sekalipun atau

seseorangg y g yang marah dan mengakug bahwa mereka

merupakan salah satu dari manajer puncak perusahaan

tersebut.

– Melindungi jaringan komputer dari permintaan yang berbau

social engineering, hal pertama dan terpenting adalah

mengeset kebijakan sekuriti yang mengatur alasan dan

(46)

– Seluruh anggota manajemen harus menyetujui dan

menandatangani Prosedur Operasional Standar ini menandatangani Prosedur Operasional Standar ini

dan memahami perlunya menunjukkan identitas

mereka saat membuat permintaan untuk password

dsb.

– Kebijakan ini harus diumumkan ke seluruh pengguna

jaringan komputer, dibarengi dengan pendidikan dan

pelatihan yang berguna untuk mengatasi berbagai

k l h t j di

keluhan yang terjadi.

– Andanya sanksi yang tegas terhadap pelanggaran

kebijakan ini kebijakan ini.

(47)

Kebijakan

Sekuriti

• _{Kebijakan sekuriti harus spesifik dan meliputi isu‐isu}

keamanan seperti:

– Kebijakan Strong Password: panjang minimum, kompleksitas,

permintaan mengubah password pada waktu tertentu,

larangan penggunaan password yang terkait dengan tanggal

l hi KTP t J t k d b t t l

lahir, nomor KTP atau Jamsostek dsb... terutama melarang

menulis password agar tidak lupa di media lain.

– Larangan untuk memperlihatkan password, kepada siapa pun.

Password hanya dapat dibuka dengan memperhatikan Password hanya dapat dibuka dengan memperhatikan

keadaan sekitar, sesuai prosedur yang telah ditentukan

bersama.

Meminta kepada para user untuk me log off atau

– Meminta kepada para user untuk me‐log off atau

menggunakan proteksi password screen saver saat

meninggalkan komputer, dan memastikan bahwa tak seorang pun yang melihat saat mengetikkan informasi log on, dsb.