Latar Belakang
• Ancaman selalu datang tidak terduga, berakibat pada resiko yang lebih besar jika resiko tidak
dikelola (Risk Management)
• Kerentanan (Vulnerability) pada sistem informasi selalu ada dan cenderung meningkat.
• Peningkatan penggunaan exploit secara terbuka dan mudah digunakan.
• Perlunya pengendalian terhadap Ancaman dan
Vulnerability untuk menekan resiko kepada tingkat yang wajar melalui “Vulnerability Assessment”
Regulasi & Standar
Regulasi
• UU – ITE (Undang-Undang – Informasi dan Transaksi Elektronik)
• PBI (Peraturan Bank Indonesia) no. 9/15/PBI/2007
Standar
• SNI ISO 27001 : 2009 – Sistem Manajemen Keamanan
Informasi
• PCI – DSS (Payment Card Industry - Digital Security Standards)
Regulasi
UU ITEPasal 15
(1)Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung
jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya.
Penjelasan :
“Andal” artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya.
“Aman” artinya Sistem Elektronik terlindungi secara fisik dan nonfisik.
Regulasi
Perbankan• Peraturan Bank Indonesia no. 9/15/PBI/2007 tentang “Penerapan Manajemen Risiko dalam Penggunaan
Teknologi Informasi oleh Bank Umum”
“Pengujian Penetrasi (Penetration Testing) terhadap jaringan internal dan eksternal secara berkala
Standard
SNI ISO IEC 27001 : 2009 – Sistem Manajemen Keamanan Informasi
A.15.2 Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis
A. 15.2.1 Pemenuhan terhadap kebijakan keamanan dan standar A. 15.2.2 Pengecekan pemenuhan teknis
Sistem Informasi harus secara regular dicek pemenuhan teknis terhadap standar penerapan keamanan
Beberapa Istilah Penting
• Hacking
• Ethical Hacking • White Hat Hacker • Black Hat Hacker
• Security Assessment
• Vulnerability Assessment • Penetration Testing
• Cracking, Phreaking, Carding • Security Audit
Hacking vs Ethical Hacking
Hacking
• Memanipulasi teknologi untuk dapat melakukan sesuatu yang tidak dirancang / direncanakan (Hacking).
• Membobol sistem komputer dan jaringan tanpa izin (Cracking) Black Hat Hacker.
Ethical Hacking
• Teknik serangan dengan menggunakan komputer untuk
menemukan kelemahan keamanan dengan mendapatkan ijin dari pemilik target dengan tujuan untuk meningkatkan
Cracking / Black Hat Hacker
• Tidak memiliki pola (metodologi)
• Tujuan Cracking dan Target Cracking : “Tidak jelas”
Tujuan : Eksis, Narsis
Target : Site yang lemah, atau media apa saja yang dapat di exploitasi.
• Mengandalkan Tools dan jam terbang
Mencari Target Mencari Vulnerability Mencari Vulnerability Dapat Target Mencari exploit
Action
Cracking / Black Hat Hacker -
Lanjutan
• Memiliki karakter sendiri.
Setiap hacker memiliki latar belakang dan pengetahuan yang berbeda.
– Web Defacement
– Wireless Hacking, sniffing
– System Hacking & Networking . – Carding
– Lock Picking
– Social Engineering – Phreaking.
Securtiy Assessment
• Profesional dan Metodologis
• Pola : Standard Metodologi Script Pentest
• Tujuan Hacking : Pemenuhan Regulasi dan Standar • Target Hacking :
Perusahaan / Lembaga yang terkena Regulasi. Pemenuhan Standar, misalnya ISO 27001.
Proses Development : Development UAT SAT Pentest
• Mengandalkan Tools, Seni dan jam terbang
Metodologi Script Pentest Tools / Manual / Check List Action Report patch Regulasi & Standar Terpenuhi.
Vulnerability Assessment vs Penetration Test
Vulnerability Assessment (VA)
Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan.
Evaluasi dan analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Memberikan laporan dan rekomendasi atas temuan yang didapat dari kegiatan VA
Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack).
Penetration Testing (PT)
Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan.
Eksploitasi terhadap temuan vulnerability (PoC)
Evaluasi terhadap sistem keamanan yang sudah dibuat , dengan cara melakukan simulasi serangan yang menggunakan metoda yang biasa digunakan oleh Hacker.
Analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack).
Security Audits
Pengujian yang dilakukan berdasarkan acuan pada sebuah standar.
Teknik Security Assessment
Passive research / Information Gathering
• Mengumpulkan Informasi tentang organisasi (Apapun informasi yang bisa didapat), misalnya tentang
konfigurasi sistem, kebocoran data, web defacement, email phising, dll)
Network mapping and OS fingerprinting
• Pengujian pada konfigurasi jaringan
Network sniffing
Teknik Security Assessment
Trojan Attacks
• Mengirimkan trojan / backdoor melalui email, file sharing, chat rooms, dan ”Instant Message”.
Cracking Password
• Melakukan serangan cracking password dengan
menggunakan berbagai metoda cracking yang umum digunakan.
Vulnerability Scanning
Proses Security Assessment
Menentukan Scope Kegiatan
• Apa saja, dari mana, dan oleh siapa akan dilakukan pengujian.
• Apa saja yang boleh diketahui / diberikan kepada Tim Security Assessment (SA)
• Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA.
Proses Security Assessment
Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA. • A non-destructive test
Scanning Findings and map the Vulnerabilities PoC
Tidak boleh melakukan DoS. • Destructive test
Scanning Findings and Vulnerabilities DoS dan Buffer Overflow Attacks
Proses Security Assessment
Kegiatan Security Assessment
• Mencari dan menemukan informasi vulnerability • Pada umunya mencakup konfigurasi jaringan,
topologi, hardware dan software
Pelaporan
• Hal yang penting dan menjadi penentu akhir dari hasil kegiatan SA.
• Berisi daftar vilnerability yang telah diklasifikasikan sesuai dengan tingkat Risikonya : High, Medium Low. • Rekomendasi untuk melakukan mitigasi pada setiap
Metodologi
EC-Council LPT http://www.eccouncil.org
OWASP (Open Web Application Security Project) http://www.owasp.org
OSSTMM (Open Source Security Testing Methodology Manual) http://www.isecom.org/osstmm
ISSAF (Information System Security Assessment Framework) http://www.oissg.org/issaf
CISSP (Certified Information System Security Professional) https://www.isc2.org/
Pendekatan
Black Box :
Zero knowledge Assessment Internal / External Attack
White Box
Full knowledge Assessment Internal Attack
Grey Box
Partial knowledge Assessment Internal Attack
Cakupan Teknis
Lingkungan Produksi : Sistem Operasi, Aplikasi e-banking, Database, Peralatan jaringan Perimeter keamanan (Internal dan eksternal)
Lingkungan Pengembangan dan Publik Aplikasi e-Banking
Penetration Testing Team
Team Ethical Hacker Pendekatan Proses Bisnis (UAT) Pendekatan Hacker (HAT)
Pendekatan Tools dan Analisis report tools (VA)
Toolbox
Network Vulnerability Scanner
Nessus, GFI LanGuard, Retina, Core Impact Web Vulnerability Scanner
Acunetix, Nikto, WebScarab, Black Widow, Manual
External Penetration Testing
• Merupakan pendekatan tradisional (sering digunakan) • Pengujian difokuskan pada Server publik (web server,
dan email server) dan infrastruktur (seluruh eksternal network, Router dan Firewall).
Internal Security Assessment
• Pengujian dilakukan dari sejumlah titik akses jaringan, yang mewakili setiap segmen fisik dan logic.
misalnya, beberapa titik segmen jaringan internal, DMZ dan termasuk koneksi ke seluruh mitra
organisasi.
Application Security Assessment
• Aplikasi yang lemah walaupun berada dalam infrastruktur yang aman, tetap dapat diekspos. • Pengujian aplikasi ini sangat penting, karena bisa
merupakan produk inti dari organisasi.
• Pengujian ini dimaksudkan agar pengguna (jahat) aplikasi tidak dapat mengakses, memodifikasi atau merusak data dan layanan dalam sistem
Jenis2 Application Security Assessment
Source code review
• Melakukan analisa terhadap kode aplikasi, bahwa tidak mengandung kode sensitif / curang atau
backdoor, atau kode yang memungkinkan kelemahan aplikasi yang dapat dieksploitasi.
Authorization testing
• Menguji aplikasi dari kemungkinan akses yang tidak diijinkan (mis. SQL Injection) dan penggunaan session. • Pengujian Guessing & Cracking password
Jenis2 Application Security Assessment
Functionality testing
• Pengujian fungsi aplikasi berdasarkan hak akses user, kesesuaian dengan proses bisnis, tidak melanggar
policy/prosedur.
• Pengujian kemungkinan user dapat menaikkan hak akses (escalating privilege)
Web penetration testing
• Pengujian dapat menggunakan berbagai cara untuk mengidentifikasi vulnerability : SQL Injection, XSS, otentikasi lemah, atau sourcode terbuka.
Network Security Assessment
• Melakukan scanning vulnerability pada lingkungan jaringan untuk mengetahui vulnerability dan
meningkatkan kebijakan keamanan.
• Untuk mengungkapkan kesalahan keamanan jaringan yang dapat menyebabkan data atau peralatan terkena trojan / backdoor, atau layanan tidak dapat bekerja dan jenis intrusi lainnya.
Wireless / Remote Access Assessment
• Titik kerentanan jaringan internal terkadang muncul dari koneksi wireless dan Remote access, karena titik ini sangat mudah dibuat dan sulit dibatasi aksesnya (wireless).
• Wireless networks:
• 802.11a,b and g • Bluetooth
• Wireless radio transmissions • Radio communication channels
Social Engineering
• Pengujian ini dapat dilakukan dengan melakukan
interview dan angket terhadap beberapa bagian atau beberapa staf yang berhubungan dengan publik.
National Vulnerability Database
(nvd.nist.gov)
Secunia (secunia.com/product/)
Exploit Database
Inject0r Exploit Database
Information Gathering
• Google Hacking
• Netcraft
• Domain / Subdomain Scanner
• Whois
• Free Online Network Tools
Google Hacking
• Operator Site :
site:go.id site:bandung.go.id
• Teknik Traversal
intitle:index.of inurl:"/admin/*"
• Error | warning, login | Logon,
• username | userid, password | passcode
• Admin | administrator
Analisa dari sisi luar
Informasi Sub Domain, bersifat terbuka
Tools : dig dan sub-domain scanner
Mencari Website domain tertentu Tools : Google
Informasi Sistem Website domain tertentu Tools : netcraft
Scanning Infrstruktur Jaringan Tools : Look@lan, nmap