PERHATIAN
PERHATIAN
PERHATIAN
Slide ini hanya merupakan media pengajaran di INSTITUT TEKNOLOGI TELKOM
di INSTITUT TEKNOLOGI TELKOM
dan tidak direkomendasikan sebagai acuan yang dapat digunakan sebagai referensi
untuk penyusunan buku/laporan Tugas Akhir maupun Proyek Akhir.
Hanya untuk kepentingan internal IT TELKOM.
l h d l l d d
Seluruh muatan dalam slide ini mengacu pada hak cipta masing-masing resource yang digunakan.
17 YFA CS4383 S1/IT/WE/E6/1110
Internet Hacking
Internet Hacking
Semester Ganjil 2010/2011 oleh Yanuar Firdaus Semester Ganjil 2010/2011 oleh Yanuar Firdaus
Fakultas Informatika
Fakultas Informatika –– IT TELKOMIT TELKOM
http://www.ittelkom.ac.id/yanuarfirdaus http://www.ittelkom.ac.id/yanuarfirdaus
Budaya Buruk
•
Mudahnya Menyusup ke MPR
RI
h // i lk id/ fi d /? i
– http://www.ittelkom.ac.id/yanuarfirdaus/?categoryi
Hacking
Client
Side
for
Dummies
•
Client
side
scripting
l h b lik i b
– masalah besar aplikasi web.
•
Webmaster:
Hati
‐
hati
dengan
penggunaan
form!
•
Form
– pengiriman data dari sebuah form (dengan metode
post maupun get) untuk diproses oleh server side
scripting
– permasalahan sederhana yang sering diabaikan,
Contoh
• Sistem informasi akademik Universitas “X” memiliki fasilitas
lengkap, salah satunya fasilitas administrasi nilai yang
digunakan oleh dosen untuk melakukan input nilai seorang
digunakan oleh dosen untuk melakukan input nilai seorang
mahasiswa.
• Sumber masalah:
– Core website dibangun dengan script PHP, namun ada satu celah
besar, form input nilai diletakkan di folder nilai dengan tanpa file
indeks dan dibangun dengan HTML murni!
form input nilai html form_input_nilai.html
– Script pemroses input nilai ini dibangun dengan script PHP.
proses_input_nilai.php
– Informasi kode mata kuliah dan NIM disimpan secara hidden padaInformasi kode mata kuliah dan NIM disimpan secara hidden pada
form dengan input tag.
– Seluruh file website ditangani oleh file index.php menggunakan
include file. File indeks ini diproteksi dengan pengecekan session,
•
Hacker:
stateless
Æ
masalah
besar!
– Ketika kamu mengunjungi sebuah halaman web sebutKetika kamu mengunjungi sebuah halaman web, sebut
saja b.html tidak mengetahui apakah kamu membuka
halaman b.html tersebut secara langsung atau melalui
link pada halaman a html Sifat jelek stateless inilah yang link pada halaman a.html. Sifat jelek stateless inilah yang
bisa dimanfaatkan.. .
•
Proses Semestinya:
Proses Semestinya:
– User melakukan login terlebih dahulu baru dapat
menggunakan halaman administrasi nilai ini untuk
kk b h il i h i
memasukkan atau mengubah nilai seorang mahasiswa,
dan administrasi nilai dilakukan dari form yang
Hackingg
•
Hacking:
– Cari tahu masalah pada sistem informasi akademik
tersebut, dapatkan informasi file!
– Hacker bisa membuat script yang berupa form
dengan fungsi seperti yang ditampilkan dalam
h l d i i i il i k l
halaman administrasi nilai untuk secara langsung
mengirimkan nilai ke halaman proses_input_nilai.php tanpa harus melalui halaman login!
Hackingg
•
Hacking:
– Hacker cukupp menentukan NIM mahasiswa yangy g akan
diubah nilainya dan dengan leluasa bisa
Solusi
• Jangan pernah berfikiran bahwa form/data dalam bentuk HTML tidak akan dimanfaatkan untuk kepentingan if negatif. • Lakukan semuanya melalui file indeks menggunakan server side scripting, proses validasi session pada setiap p g, p p p file atau tambahkan validasi pada setiap file bahwa hanya bisa berjalan jika diakses dari file indeks.• Gunakan folder yang aman untuk meletakkan indeksGunakan folder yang aman untuk meletakkan indeks halaman administrasi, bisa juga dengan menyediakan subdomain terpisah, atau protokol yang berbeda misal menggunakan HTTPS menggunakan HTTPS. • Berikan file indeks kosong pada setiap folder yang tidak memiliki file indeks.
• Jangan mengandalkan pengecekan data
header http tambahkan security code yang header http, tambahkan security code yang berubah setiap saat untuk memastikan
bahwa user mengirimkan data benar‐benar dari form “asli” Security code ini harus
dari form asli . Security code ini harus diketikkan secara manual oleh user sesuai dengan input gambar yang ditampilkan.
Hindari penggunakan metode get pada form, meskipun metode
post juga dapat dimanipulasi, namun kenyataannya metode get lebih berbahaya Æ URL action form dengan metode get dapat dijadikan source file pada image tag.
Magic
HTML
Injection
•
Webmaster:
Hati
‐
hati
menampilkan
data
secara
langsung yang diproses dari input user melalui
langsung
yang
diproses
dari
input
user
melalui
form!
Æ
k k
kk
•
Form
Æ
memungkinkan
user
memasukkan
kode
‐
kode
HTML
yang
diinjeksikan
melalui
input
f
i
d
d i
i l
form
yang
meminta
data
dari
user,
misalnya
Contoh
•
Sebuah
perusahaan
“Y”
berniat
mengumpulkan
data dari para pengunjung website sebagai
data
dari
para
pengunjung
website
sebagai
masukan
terhadap
website
mereka
maupun
layanan
y
yang
y g
mereka
sediakan.
Fasilitas
yang
y g
berupa
buku
tamu
ini
dapat
diisi
oleh
semua
pengunjung
(termasuk
guest).
Setiap
isian
buku
tamu
disimpan
dalam
database
dan
ditampilkan
juga
melalui
halaman
website.
•
Sumber
masalah:
– Tidak adanya filter atau perlakuan khusus terhadap
i i ki di kk l h
•
Hacker:
mencoba
dengan
injeksi
kode
HTML!
K ik k k b h b i
– Ketika kamu menemukan sebuah website yang
menyediakan form (dalam bentuk fasilitas apa pun),
yang kemudian semua isian form akan ditampilkan yang kemudian semua isian form akan ditampilkan
pada halaman website tersebut, maka kamu bisa
mencoba melakukan HTML injectionj melalui form
tersebut. Jika tidak ada filter terhadap kode HTML
yang dimasukkan, maka form tersebut bisa
Hackingg
•
Hacking
– Cari website dengan fasilitas buku tamu atau apa
pun yang lainnya, yang memungkinkan pengunjung
mengisikan data untuk ditampilkan pada halaman
website tersebut.
I ik f d k k d k d HTML
– Isikan form dengan menyertakan kode‐kode HTML
untuk melakukan injeksi. Pilih kode HTML yang
sesuai untuk memanipulasi tampilan halaman sesuai untuk memanipulasi tampilan halaman
Hackingg
•
Hacking
– Kamu bisa menampilkan isian kamu dengan format
tertentu, atau menambahkan tampilan tertentu,
atau melakukan hal‐hal lain yang membuat user lain
jadi kewalahan, misal membuka jendela browser
baru dalam jumlah sangat banyak dll baru dalam jumlah sangat banyak dll.
Solusi
•
HTML
injection
bukan
merupakan
teknik
penyerangan di sisi server meskipun hanya di
penyerangan
di
sisi
server,
meskipun
hanya
di
sisi
browser
client,
teknik
ini
dapat
merugikan
nama baik pemilik website
nama
baik
pemilik
website.
•
Gunakan
fungsi
khusus
pada
server
side
i i
k
i
i j
i
scripting
untuk
menangani
HTML
injection,
seperti
penggunaan
fungsi
HTLMEncode
pada
ASP d
HTMLS
i lCh
HTMLE i i
ASP
dan
HTMLSpecialChars
atau
HTMLEntities
The
Power
of
SQL
Injection
•
Masih
ingat
kasus
Hacker
KPU
pada
Pemilu
2004?
2004?
Sabtu (17/4/2004) jam 03:12:42, secara tanpa hak seseorang telah melakukan akses ke jaringan telekomunikasi milik KPU dan melakukan penyerangan ke server tnp.kpu.go.id dengan cara SQL
(S Q L ) I j i H k b h il b k i I
(Structure Query Language) Injection. Hacker berhasil menembus kunci pengaman Internet Protocol (IP) 203.130.201.134 yang tak lain adalah IP tnp.kpu.go.id. Teknik yang dipakai adalah teknik spoofing (penyesatan), yaitu melakukan hacking dari IP 202.158.10.117 PT Danareksa dengan menggunakan IP Proxy Thailand yaitu 208.147.1.1 yang didapatkan terdakwa dari situs http://www.samair.ru/proxy.
http://www.samair.ru/proxy.
Dengan IP Proxy Thailand tersebut, hacker mencoba menganalisa kembali variabel‐variabel yang ada di situs http://tnp.kpu.go.id. Metode yang digunakan masih SQL Injection yaitu dengan menabahkan perintah‐perintah SQL dari URL
menabahkan perintah perintah SQL dari URL
http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view &kodeprop=1&kodekab=7. Dari hasil analisa tersebut, didapat nama kolom ‘nama’ dan ‘pkid’ di ‘tabel partai’ pada web tnp.kpu.go.id. Kemudian dari hasil uji coba diperoleh kesimpulan bahwa situs TNP KPU terkena Bug SQL
Injection. Hal ini bisa dilihat dari pesan error yang tampak pada browser yang digunakan hacker
d k d
Dengan menggunakan modifikasi URL, terdakwa kemudian menambahkan perintah‐perintah SQL seperti pada contoh: h t t p : / / t n p . k p u . g o . i d / D P R D I I / d p r _ d a p i l . a s p
?type=viewyp view&kodeprop=1p p 1&kodeprop=11&kodekab=7;UPDATEp p ; ppartai set nama=
nama=’partai dibenerin dulu webnya’ where pkid=13 13’;Penambahan kode SQL tersebut telah menyebabkan perubahan pada salah satu nama partai di situs TNP KPU menjadi ‘partai dibenerin dulu webnya‘.
Hacker berhasil melakukan perubahan pada seluruh nama partai di situs TNP KPU pada jam 11:24:16 sampai dengan 11:34:27. Perubahan ini menyebabkan nama partai yang tampil pada situs yang diakses oleh publik, seusai Pemilu Legislatif lalu, berubah menjadi nama‐nama lucu seperti Partai Jambu Partai Kelereng Partai Cucak Rowo Partai Si Yoyo Partai Mbah Jambon seperti Partai Jambu, Partai Kelereng, Partai Cucak Rowo, Partai Si Yoyo, Partai Mbah Jambon, Partai Kolor Ijo, dan lain sebagainya.
Lingkup
Kerja
SQL
Injection
•
SQL
injection
sangat
tergantung lingkungan
kerja.
– Program yang menggunakan database SQL Server akanProgram yang menggunakan database SQL Server akan
mempunyai teknik yang berbeda jika dibandingkan
dengan Oracle atau Microsoft Access. Demikian juga
dengan script yang digunakan ASP akan sangat berbeda dengan script yang digunakan, ASP akan sangat berbeda
dengan PHP misalnya.
•
SQL injection paling umum dilakukan melalui form
SQL
injection
paling
umum
dilakukan
melalui
form
login.
•
Kasus
lingkungan
g
g
kerja
j
KPU:
server
side
scripting
p
g
ASP,
SQL
Server
sebagai
database
server
dan
IIS
sebagai
web
servernya
Æ
bukan
melalui
form
login,
t t i
l l i URL
Simulasi:
Persiapan
p
Korban
•
Simulasi
terhadap
kasus
KPU:
– Aplikasi web yang menampilkan berita. Data
disimpan dalam SQL Server dengan nama database
Database1 dengan nama tabel Table1. Dalam
Table1, terdapat dua field yaitu ID yang berisi kode
berita dan IsiBerita yang berisi file HTML suatu berita dan IsiBerita yang berisi file HTML suatu
Simulasi:
Persiapan
p
Korban
•
Simulasi terhadap kasus KPU:
•
Server,
akan
berisi
sebuah
file
index.asp
yang
bertugas menampilkan isi berita berdasarkan
bertugas
menampilkan
isi berita
berdasarkan
parameter
Kode
artikel
yang
diberikan.
<%
set cnn = server.createobject(“ADODB.Connection”) “PROVIDER SQLOLEDB DATA
cnn.open “PROVIDER=SQLOLEDB;DATA
SOURCE=w2000;UID=sa;PWD=;DATABASE=database1” set Rs = server.createobject(“adodb.recordset”) Kode = Request.QueryString(“Kode”)
SQLStatement = “Select * From table1 Where ID=” & Kode Rs.Open SQLStatement,Cnn
Response.Write Rs(“IsiBerita”) %>
•
Untuk
menampilkan
artikel
pertama,
url
lengkapnya
adalah
:
http://alamat/index.asp?kode=1
,
dan
untuk
menampilkan
artikel
kedua, url
SQL
Injection
j
Melalui
URL
•
Cek
apakah
aplikasi
web
bermasalah dengan
SQL
Injection:
tambahkan
katakter
petik
’ di
belakang
parameter
Æ
jika
ya,
browser
akan
•
Error
terjadi
karena
penambahan
tanda
petik
pada statement SQL yang digunakan:
pada
statement
SQL yang
digunakan:
“Select * From table1 Where ID=” & Kode
•
Ketika mendapatkan parameter Kode berupa 1’
•
Ketika
mendapatkan
parameter
Kode
berupa
1
(dengan
tambahan karakter
tanda
petik
tunggal) statement SQL akhirnya akan seperti:
tunggal),
statement
SQL
akhirnya
akan
seperti:
“Select * From table1 Where ID=1’”
Kita
Mulai,
Mencari
Field
Database
•
Kembali
pada
kasus
KPU:
http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view&kodeprop= 1&kodeprop=1&kodekab=7;UPDATE partai set nama=’partai
dibenerin dulu webnya’ where pkid=13;
•
Perhatikan,
nama
dan
pkid
adalah
nama
field
tabel
database
KPU!
– Bagaimana nama field database bisa diketahui padahal
jelas jelas penyerang berada pada jarak yang jauh? jelas‐jelas penyerang berada pada jarak yang jauh?
Apalagi informasi dijaga dengan rahasia dan tidak
pernah diinformasikan ke publik. Menarik memang
k f b d k h l
karena informasi ini ternyata bisa diketahui tanpa perlu
membeli obeng dan linggis untuk masuk ke ruangan
• Teknik untuk mendapatkan nama field dan tabel ditemukan oleh
David Litchfield Teknik yang digunakan disini adalah dengan David Litchfield. Teknik yang digunakan disini adalah dengan
membuat terjadinya error menggunakan perintah having 1=1.
• Kita masukkan perintah tersebut, http://alamat/index.asp?kode=1 having 1=1
• Sangat mengejutkan, karena ternyata nama field pertama dan
• Lalu bagaimana mencari field kedua dan seterusnya? Gunakan
perintah group by berdasarkan nama tabel dan field yang telah perintah group by berdasarkan nama tabel dan field yang telah
diketahui seperti berikut: http://alamat/index.asp?kode=1 group by table1.id having 1=1.
K j t b l j t t t k l h b ik
• Kejutan berlanjut, ternyata pesan kesalahan server memberikan
Manipulasi
Data
•
Hacking:
ubah
data!
•
SQL server menggunakan karakter ; (titik koma)
SQL
server
menggunakan
karakter
;
(titik
koma)
untuk
memisahkan antar
statement.
– Artinya kamu bisa memberikan dua statement dalam satu baris asalkan antar statement tersebut dipisahkan satu baris asalkan antar statement tersebut dipisahkan
dengan karakter ; (titik koma).
– Selain itu terdapat juga karakter ‐‐ (dua kali minus) untuk
d k khi d i di i h
menandakan akhir dari statement dimana perintah
selanjutnya tidak akan diproses lagi.
•
Perhatikan
pada
p
kasus
KPU:
http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view&kodeprop= 1&kodeprop=1&kodekab=7; UPDATE partai set nama=nama=’partai dibenerin dulu webnya where pkid=13’;
• Selain mengubah data, semua query dapat dijalankan dengan SQL injection: menambah data, menghapus tabel b hk ik SQL ! atau bahkan mematikan SQL server! • Proses SQL injection juga bisa melalui form login, dengan memasukkan username dan/atau password / p menggunakan kemungkinan‐kemungkinan variabel berikut: or 1=1--1 1=1--1 “ or 1=1--‘ or 1=1--‘a’=1=1--‘a “ or “a”=“a ‘) or (‘a’=‘a ‘ or 0=0 “ or 0=0 ‘ or 1=1 “ or 1=1 --Dll.
Hacking
Client
Side
for
Dummies
•
Buka sebuah website,
misalnya
http://www ittelkom ac id
http://www.ittelkom.ac.id
Jurusan Teknik Informatika
Sekolah Tinggi Teknologi Telkom
YFA
S1/IT/WE/E2/1206 CS4713
Sekolah Tinggi Teknologi Telkom CS4713
Keamanan Aplikasi Web
Keamanan
Aplikasi
Web
Pengantar
• KPU dapat saja membeli aplikasi atau perangkat firewall
yang sangat mahal, antivirus terbaik, menambahkan IDS
y g g , , terbesar, namun ternyata masih saja ada kelemahan dalam rencana sekuriti yang diabaikan. A k k l k k t k li d i j i • Apa yang akan kamu lakukan untuk melindungi jaringan komputer terhadap seseorang yang memiliki kemampuan khusus mengeksploitasi kelemahan aplikasi (web) tertentu? • Kita tahu bahwa cara yang paling mudah untuk
membobol aplikasi (web) pada sebuah server adalah membobol aplikasi (web) pada sebuah server adalah membukanya dengan kunci. Tentu jarang dari kita yang menghabiskan waktu menggunakan program penebak password.
•
Konteks
sekuriti
komputer,
proses
mendapatkan
key
Æ
social engineering
Æ
tidak memerlukan teknik
Æ
social
engineering
Æ
tidak
memerlukan
teknik
yang
rumit.
– Menggunakan hadiah, intimidasi atau tipuan yang
meyakinkan orang lain untuk membuka informasi yang
dilindungi sekuriti jaringan komputer.
– Kevin Mitnick menjadi terkenal (dan masuk penjara)
– Kevin Mitnick menjadi terkenal (dan masuk penjara)
karena dia ahli dalam hal ini. Bahkan dia menuliskan
sebuah buku mengenai hal ini, bersama dua orang
li St W i k d Willi L Si B k i i penulis, Steve Wozniak dan William L. Simon. Buku ini
berjudul "The Art of Deception: Controlling the Human
Element of Security (diterbitkan oleh John Willey and
Modus
Operandi
Social
Engineering
• Social Engineering: suatu keahlian non‐teknis dari intrusi yangberhubungan erat dengan interaksi manusia dan bertujuan
menipu orang lain untuk membuka prosedur sekuriti normal
menipu orang lain untuk membuka prosedur sekuriti normal
• Skenario umum Social Engineering antara lain:
– Menelepon seorang user dan berpura‐pura sebagai seorang
t t IT b t hk t d d
anggota team IT, yang membutuhkan account dan password user
serta informasi lain dengan alasan memperbaiki kerusakan pada
jaringan komputer.
– Menelepon departemen IT dan berpuraMenelepon departemen IT dan berpura pura‐pura sebagai seorang sebagai seorang
eksekutif puncak suatu perusahaan yang kelupaan password dan
mendesak untuk diberikan informasi secepat mungkin karena ada
urusan yang mahapenting.
– Membangun suatu hubungan persahabatan yang indah dengan
salah seorang anggota tim IT untuk mendapatkan informasi yang
– Seorang pelaku social engineering yang ahli tidak hanya seorang
aktor yang baik, tapi juga membaca tabiat orang untuk
menentukan jenis orang bagimana yang bekerja terbaik dengan menentukan jenis orang bagimana yang bekerja terbaik dengan
fakta‐fakta. Saat seorang hacker mengombinasikan kemampuan
social engineering dengan keahlian teknis, maka sangatlah mudah
bagi mereka menyusup ke jaringan komputer mana pun.
– Beberapa teknik di Internet, seperti e‐mail yang dikirim oleh
seorang pegawai bank atau perusahaan kartu kredit yang meminta
kalian pergi ke suatu website dimana kalian diharuskan mengisi
informasi account dan lainnya. Website yang sebenarnya palsu dan informasi account dan lainnya. Website yang sebenarnya palsu dan
menjebak.
– Beberapa pelaku social engineering mengandalkan keberhasilan
mereka dari kemampuan meneliti. Sebagaimana aktivitas
b h k ( l l h k k l h
membuang sampah kantor (melalui sampah kertas kerja inilah
mereka menemukan informasi penting dan dihubungkan dengan
– Beberapa orang hacker menempuh cara yang
berbeda,, sepertip menjadij seorangg tukangg bangunan,g ,
teknisi alat‐alat rumah tangga atau tukang bersih‐
bersih kantor yang bekerja paruh waktu. Sebenarnya
mereka hanya ingin memperoleh akses saat yang mereka hanya ingin memperoleh akses, saat yang
lainnya sibuk dengan pekerjaan mereka atau ada hal
yang mengharuskan mereka meninggalkan tempat
y g g gg p
kerja. Hacker ini berusaha menekuni tugas‐tugas
harian yang kalian tinggalkan di meja kerja sampai
menemukan apa yang ia cari (Entah itu melalui menemukan apa yang ia cari. (Entah itu melalui
catatan pribadi, percakapan telepon atau cetakan e‐
– Adakalanya hacker tersebut bertindak sebaliknya yaitu
menjadi seorang teknisi komputer yang membuat
b b t l h d j i k t t
beberapa urutan masalah pada jaringan komputer atau
pengguna komputer. Berbicara dengan petugas
keamanan bahwa terjadi masalah yang sangat serius dan
memerlukan penanganan sesegera mungkin memerlukan penanganan sesegera mungkin.
Siapa sih yang nggak percaya sama teknisi. Kalian
disuruh membuka email anda dan dia akan memeriksa
l h i i il b k h b i ik k d k d seluruh isi email tersebut apakah berisikan kode‐kode
jahat atau lampiran yang berisi virus. Mengenai hal ini
bisa saja sebelumnya hacker tersebut mengirimkan virus
t k d j h t l i k il b k j
atau kode jahat lainnya ke email seseorang yang bekerja
di kantor tersebut. Hacker ini benar‐benar tampil
Melindungi
Diri
Dari
Pelaku
Social
Eng.
• Perlindungan terhadap aksi social engineering ini
seharusnya menjadi bagian dari strategi pertahanan dalam seharusnya menjadi bagian dari strategi pertahanan dalam departemen/divisi perusahaan, tapi seringkali diabaikan. Perhatikan hal‐hal di bawah ini:
Jangan biarkan user kalian memberikan password mereka ke
– Jangan biarkan user kalian memberikan password mereka ke
orang lain tanpa seijin kalian. Dengan kata lain jangan
menanyakan apa pun yang berhubungan dengan aktivitas
merekae e a epada seseo a g ya g t da be a kepada seseorang yang tidak berhak.
– Para petugas keamanan di tempat tersebut harus menanyakan
identitas diri, bahkan kepada anggota tim IT sekalipun atau
seseorangg y g yang marah dan mengakug bahwa mereka
merupakan salah satu dari manajer puncak perusahaan
tersebut.
– Melindungi jaringan komputer dari permintaan yang berbau
social engineering, hal pertama dan terpenting adalah
mengeset kebijakan sekuriti yang mengatur alasan dan
– Seluruh anggota manajemen harus menyetujui dan
menandatangani Prosedur Operasional Standar ini menandatangani Prosedur Operasional Standar ini
dan memahami perlunya menunjukkan identitas
mereka saat membuat permintaan untuk password
dsb.
– Kebijakan ini harus diumumkan ke seluruh pengguna
jaringan komputer, dibarengi dengan pendidikan dan
pelatihan yang berguna untuk mengatasi berbagai
k l h t j di
keluhan yang terjadi.
– Andanya sanksi yang tegas terhadap pelanggaran
kebijakan ini kebijakan ini.
Kebijakan
Sekuriti
• Kebijakan sekuriti harus spesifik dan meliputi isu‐isu
keamanan seperti:
– Kebijakan Strong Password: panjang minimum, kompleksitas,
permintaan mengubah password pada waktu tertentu,
larangan penggunaan password yang terkait dengan tanggal
l hi KTP t J t k d b t t l
lahir, nomor KTP atau Jamsostek dsb... terutama melarang
menulis password agar tidak lupa di media lain.
– Larangan untuk memperlihatkan password, kepada siapa pun.
Password hanya dapat dibuka dengan memperhatikan Password hanya dapat dibuka dengan memperhatikan
keadaan sekitar, sesuai prosedur yang telah ditentukan
bersama.
Meminta kepada para user untuk me log off atau
– Meminta kepada para user untuk me‐log off atau
menggunakan proteksi password screen saver saat
meninggalkan komputer, dan memastikan bahwa tak seorang pun yang melihat saat mengetikkan informasi log on, dsb.
– Keamanan secara fisik dimaksudkan untuk
mencegahg pengunjungp g j g atau kontraktor luar dari
mengakses sistem dengan memasang key logger dsb.
d f k d
– Prosedur yang memverifikasi identitas user yang
bekerja di departemen IT dan personil IT (PIN
rahasia, prosedur callback dsb.) rahasia, prosedur callback dsb.)
– Kebijakan perintah merusak (menghancurkan,
membakar dsb.) kertas kerja, disk atau media lain
yang dapat dimanfaatkan oleh para hacker untuk
Pencegahan
Social
Engineering
•
Untuk
mencegah
pelaku
social
engineering
berhasil memperoleh informasi serta melakukan
berhasil
memperoleh
informasi
serta
melakukan
hal
‐
hal
yang
tidak
diinginkan
pada
jaringan
komputer kalian dan membantu mendeteksi
komputer
kalian,
dan
membantu
mendeteksi
berbagai
kemungkinan
terjadinya
social
engineering lakukan langkah langkah
engineering,
lakukan
langkah
‐
langkah
pencegahan
berikut
ini:
A k fi ik k t d k l k
– Amankan secara fisik komputer dan kelengkapan
jaringan komputer.
Membangun kebijakan sekuriti yang rinci untuk
– Membangun kebijakan sekuriti yang rinci untuk
mencegah isu‐isu keamanan dan menerapkannya ke
Kesimpulan
•
Social
Engineering
merupakan
cara
termudah
bagi seorang hacker untuk memperoleh akses ke
bagi
seorang
hacker
untuk
memperoleh
akses
ke
suatu
jaringan
komputer,
dan
kebanyakan
dari
kita menghabiskan ribuan dollar hanya untuk
kita
menghabiskan
ribuan
dollar
hanya
untuk
mencegah
teknik
serangan
dan
tidak
melakukan
apa pun untuk mencegah eksploitasi terhadap
apa pun
untuk
mencegah
eksploitasi
terhadap
faktor
manusianya.
P
b
b b
i k bij k
k i i
•
Pembuatan
berbagai
kebijakan
sekuriti
merupakan
langkah
pertama
mencegah
j di
i l
i
i
terjadinya
serangan
social
engineering,
namun
mungkin
langkah
terpenting
adalah
mendidik
Web Engineering
Web Engineering
Web Engineering
Web Engineering
Institut Teknologi Telkom
Institut Teknologi Telkom
Center of Excellent in ICT Business Center of Excellent in ICT Business
http://www.ittelkom.ac.id http://www.ittelkom.ac.id