Computer Security
Presented by :Digit Oktavianto
30 Maret 2012BPPTIK Kominfo
Computer Security Basic Concept
Keamanan computer adalah tindakan pencegahan dari serangan
pengguna computer atau pengakses jaringan yang tidak bertanggung
jawab. Keamanan computer berhubungan dengan pencegahan dini dan
deteksi terhadapa tindakan pengganggu yang tidak dikenali dalam
system computer.
Komponen Standar Computer Security
Confidentiality adalah menyembunyikan informasi atau sumber
daya
Integrity mengacu pada keterpercayaan terhadap data atau sumber
informasi yang ada
Availability memiliki arti bahwa data atau informasi yang
penting dapat dipergunakan oleh pengguna di waktu-waktu
tertentu.
Klasifikasi Keamanan Komputer Berdasarkan Celah Keamanan
Keamanan Fisik (Physical Security)
Keamanan Personal (Personal Security)
Keamanan Komunikasi (Communication Security
Keamanan Operasional (Operational Security)
Model Serangan Komputer
Interruption
Interception
Modification
Fabrication
Penggolongan Hacker Berdasarkan Aktivitas Hacking
Black Hat
White Hat
Grey Hat
Hacking Phase
Reconnaisance
Scanning
Gaining Access
Maintaining Access
Covering Tracks
Security Assesment
Security assesment merupakan penilaian terhadap keamanan
infrastruktur yang ada dalam satu organisasi atau perusahaan.
Assesment ini merupakan suatu penilaian seberapa besar suatu
organisasi atau perusahaan menerapkan prinsip keamanan komputer
terhadap seluruh perangkat dan jaringan yang dalam lingkup mereka
masing-masing.
Security Assesment (Cont'd..)
Vulnerability Assesment
Penetration Test
Vulnerability Assesment
Vulnerability assessment adalah proses pencarian kelemahan yang
ada pada target. Attacker melakukan identifikasi apa saja celah
yang ada dalam system, lalu memberikan informasi berapa banyak
kelemahan atau celah yang ada pada system tersebut, lalu memberikan
urutan prioritas sesuai dengan besar atau kecilnya resiko yang
timbul dengan adanya celah keamanan tersebut.
Penetration Test
Penetration test adalah proses melakukan eksplorasi dan
eksploitasi lebih jauh ke dalam system target setelah megetahui bug
atau security hole yang di report pada proses vulnerability
assessment. Pada proses ini aktivitas gaining access coba di
lakukan oleh attacker. Attacker akan mencoba mengeksploitasi celah
keamanan sehingga berhasil mendapatkan akses ke dalam system
target.
Penetration Test (Cont'd..)
Ada 3 tipe penetration test berdasarkan lokasi di lakukannya
penetration test :White Box
Black Box
Grey Box
Vuln. Assesment Vs Pentest
Vulnerability AssesmentPenetration Test
Batasan TestMelakukan scanning terhadap semua infratruktur yang
memungkinkan adanya celah keamananFokus melakukan eksploitasi
terhadap celah keamanan yang telah ditemukan
TujuanUntuk mengelompokkan vulnerability berdasarkan tingkatan
besar atau kecilnya risk, dan mengetahui berapa banyak jumlah celah
keamanan yang berisiko pada systemHasil dari report penetration
test digunakan untuk menambal celah yang berhasil di eksploitasi,
dan meneiliti seberapa jauh dampak yang ditimbulkan akibat celah
yang berhasil di eksploitasi tersebut
Vuln. Assesment Vs Pentest (Cont'd..)
ProsesVulnerability assessment merupakan passive
processPenetration test merupakan active process
ManfaatVulnerability assessment dilakukan untuk meningkatkan
keamanan komputer pada system yang telah di terapkan, menambal
celah yang ada.Penetration test mencoba melakukan test apakah
keamanan komputer yang telah diterapkan sudah efektif atau
belum
Hasil dan ReportReport pada vulnerability assessment ada yang
benar-benar mengungkapkan celah keamanan yang ada, namun ada pula
yang menunjukkan false positive.Hasil penetration test adalah bisa
atau tidaknya pentester menembus celah keamanan yang ada, dan
melaporkan cara exploitasi yang digunakan untuk menembus keamanan
system tersebut.
Tools Information Gathering
Nmaphttp://nmap.org/download.htmlAutoScanhttp://autoscan-network.com/AngryIPhttp://www.angryip.org/w/DownloadMaltegohttp://www.paterva.com/web5/FOCAhttp://www.informatica64.com/foca.aspxTheHarvesterhttps://code.google.com/p/theharvester/
Tools Vuln. Assesment
Nessus
http://www.tenable.com/products/nessusOpenVAShttp://www.openvas.org/Nexposehttp://www.rapid7.com/products/nexpose-community-edition.jspGFI
Languardhttp://www.gfi.com/network-security-vulnerability-scannerAcunetixhttp://www.acunetix.com/vulnerability-scanner/Niktohttp://cirt.net/nikto2
Tools Pentest
Metasploithttp://www.metasploit.com/download/Armitagehttp://www.fastandeasyhacking.com/SAP
Bizploithttp://www.onapsis.com/research-free-solutions.php#bizploitCanvashttp://immunityinc.com
Web Security Attack
Keamanan web merupakan salah satu hal yang mutlak untuk
diterapkan, karena hampir sebagian besar kegiatan di dunia internet
dilakukan melalui fasilitas ini. Aktivitas social networking,
blogging, online learning, transaksi perbankan, perncarian
informasi, dan banyak aktivitas lainnya kita lakukan melalui media
website. Namun sayangnya masih banyak user yang tidak aware
mengenai keamanan web ini, sehingga banyak terjadi kejahatan
internet yang terhadi pada user, seperti pencurian akun social
networking, website yang di deface, phising, sampai pencurian
identitas penting lainnya.
Common Web Hacking Method
Cross Site Scripting (XSS)Kelemahan XSS terjadi ketika aplikasi
mengambil data yang tidak dapat dipercaya dan mengirimnya ke suatu
web browser tanpa validasi yang memadai. XSS memungkinkan penyerang
mengeksekusi script-script di dalam browser korban, yang dapat
membajak sesi pengguna, mengubah tampilan website, atau mengarahkan
pengguna ke situs-situs jahat.
Common Web Hacking (Cont'd..)
SQL InjectionSQL injection exploits dan sejenisnya adalah hasil
interfacing sebuah bahasa lewat informasi melalui bahasa lain .
Dalam hal SQL injection, sebuah bahasa pemrograman seperti PHP atau
Perl mengakses database melalui SQL query. Jika data yang diterima
dari pengguna akhir yang dikirim langsung ke database dan tidak
disaring dengan benar, maka yang penyerang dapat menyisipkan
perintah SQL nya sebagai bagian dari input. Setelah dijalankan pada
database, perintah ini dapat mengubah, menghapus, atau membeberkan
data sensitif.Lebih parah lagi jika sampai ke sistem eksekusi kode
akses yaitu mematikan database itu sendiri, sehingga tidak bisa
memberi layanan kepada web server.
Common Web Hacking (Cont'd..)
Denial of ServiceDoS adalah adalah jenis serangan terhadap
sebuah komputer atau server di dalam jaringan internet dengan cara
menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut
sampai komputer tersebut tidak dapat menjalankan fungsinya dengan
benar sehingga secara tidak langsung mencegah pengguna lain untuk
memperoleh akses layanan dari komputer yang diserang tersebut.
Common Web Hacking (Cont'd..)
Cross Site Request ForgerySuatu serangan CSRF memaksa browser
korban yang sudah log-on untuk mengirim HTTP request yang
dipalsukan, termasuk di dalamnya session cookie korban dan
informasi otentikasi lain yang otomatis disertakan, ke suatu
aplikasi web yang rentan. Hal ini memungkinkan penyerang untuk
memaksa browser korban menghasilkan request yang dianggap sah oleh
aplikasi rentan tadi.
Common Web Hacking (Cont'd..)
Directory Traversal AttackDirectory Traversal adalah suatu
serangan yang mengeksploitasi engine (web server) yang memungkinkan
penyerang mengakses direktori yang dibatasi dan mengeksekusi
command diluar direktori root web server.
Tools Web Security Testing
Vegahttp://www.subgraph.com/OWASP
ZAPhttps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_ProjectWebscarabhttps://www.owasp.org/index.php/Category:OWASP_WebScarab_ProjectArachnihttp://arachni-scanner.com/Burphttp://portswigger.net/burp/
Tools Web Security Testing (Cont'd..)
Websecurifyhttp://www.websecurify.com/Skipfishhttps://code.google.com/p/skipfish/Grendel-Scanhttp://grendel-scan.com/download.htmOWASP
Mantrahttps://www.owasp.org/index.php/OWASP_Mantra_-_Security_FrameworkW3afhttp://w3af.sourceforge.net/
