Mata kuliah : Internet & Mobile Security Semester : VIJurusan : Manajemen InformatikaSKS : 3 sks

CAPAIAN PEMBELAJARAN :

Mahasiswa dapat memahami seperti apa sistem danancaman keamanan informasi internet,perkembangan teknologi mobile/seluler, wireless,termasuk sistem operasi mobile/seluler dankeamanannya

Pertemuan ke- Pokok Bahasan

Keterangan

1 Pengenalan Keamanan Sistem Informasi

2 Sistem Informasi Berbasis Internet

3 Keamanan Sistem Informasi

4 E-Mail and World Wide Web Security

5 Web and Web Browser Security

6 Wireless Security

7 Review / Quiz.

8 Ujian Tengah Semester (UTS) Mata Kuliah Teori

9 Pengenalan Teknologi Mobile

10 Evolusi Teknologi seluler

11 Teknologi Seluler Masa depan

12 Teknologi Broadband Wireless Access

13 Masalah Mobile Security

14 OS dan Solusi Mobile Security

15 Review / Quiz.

16 Ujian Akhir Semester (UAS) Mata Kuliah Teori

Internet & Mobile Security

Rahardjo. Budi. 2005. Keamanan Sistem InformasiBerbasis Internet. Penerbit PT Insan Indonesia - Bandung &PT INDOCISC – Jakarta

Ray Hunt, Associate Professor. 2006. Security in Mobileand Wireless Networks Dept. of Computer Science andSoftware Engineering. New Zealand

www.av.-comparatives.org.2010.Mobile Security.

www.internetworldstats.com. 2012. Internet Usage in Asia.

Sumber Referensi :

Wibisono. Gunawan & Gunadi. 2008. Dwi Hantoro. MobileBroadband : Tren Teknologi wireless Saat ini dan MasaDatang. Penerbit Informatika, Bandung

Institut Teknologi Sepuluh November. 2011. KeamananWeb Sistem. Penerbit Institut Teknologi Sepuluh November,Surabaya.

Jeni. 2011. Web Programming. Institut Pertanian Bogor,Bogor.

Institut Teknologi Sepuluh November. http://lecturer.eepis-its.edu.(Tanggal akses: 26 Januari 2012)

Sumber Referensi :

KONTRAK PERKULIAHAN

• Pertemuan 1-6 dilakukan seperti biasanya dimana dosenmenyampaikan materi kepada mahasiswa

• Disetiap pertemuan akan diadakan latihan/tugas yangwajib dikerjakan mahasiswa

• Pertemuan 7 diadakan QUIZ / review materi

• Pertemuan 8 diadakan UTS dimana materi diambil daripertemuan 1-6

• Pertemuan 9-14 dilakukan seperti biasanya dimana dosenmenyampaikan materi kepada mahasiswa

• Pertemuan 15 diadakan UAS dimana materi diambil daripertemuan 1-14

Lawrie Brown menyarankan menggunakan “RiskManagement Model” untuk menghadapi ancaman(managing threats). Ada tiga komponen yangmemberikan kontribusi kepada Risk, yaitu Asset,Vulnerabilities, dan Threats

Menurut G. J. Simons, keamanan informasi adalahbagaimana kita dapat mencegah penipuan (cheating)atau, paling tidak, mendeteksi adanya penipuan disebuah sistem yang berbasis informasi, dimanainformasinya sendiri tidak memiliki arti fisik

1. Pendahuluan

Untuk menanggulangi resiko (Risk) tersebut dilakukan

apa yang disebut “countermeasures” yang dapat berupa :

a. Usaha untuk mengurangi Threat

b. Usaha untuk mengurangi Vulnerability

c. Usaha untuk mengurangi impak (impact)

d. Mendeteksi kejadian yang tidak bersahabat (hostile event)

e. Kembali (recover) dari kejadian

2. Meningkatnya Kejahatan Komputer

Jumlah kejahatan komputer (computer crime), terutamayang berhubungan dengan sistem informasi, terusmeningkat hal ini disebabkan beberapa hal, yaitu :

a. Semakin banyaknya perusahaan yang menggunakanaplikasi bisnis berbasis teknologi informasi danjaringan komputer (internet)

b. Desentralisasi (dan distributed) server menyebabkanlebih banyak sistem yang harus ditangani.

c. Transisi dari single vendor ke multi-vendor sehinggalebih banyak sistem atau perangkat yang harusdimengerti dan masalah interoperability antar vendoryang lebih sulit ditangani.

d. Meningkatnya kemampuan pemakai di bidangkomputer sehingga mulai banyak pemakai yangmencoba-coba bermain atau membongkar sistem yangdigunakannya (atau sistem milik orang lain)

e. Mudahnya memperoleh software untuk menyerangkomputer dan jaringan komputer.

d. Kesulitan dari penegak hukum untuk mengejar

kemajuan dunia komputer dan telekomunikasi yang

sangat cepat.

e. Semakin kompleksnya sistem yang digunakan

seperti semakin besarnya program (source code)

yang digunakan sehingga semakin besar

probabilitas terjadinya lubang keamanan (yang

disebabkan kesalahan pemrograman, bugs).

3. Klasifikasi Kejahatan Komputer

a. Keamanan yang bersifat fisik (physical security)

− Termasuk akses orang ke gedung, peralatan, dan media yang digunakan.− Wiretapping, hal-hal yang ber-hubungan dengan akses ke kabel atau

komputer− Denial of Service, dilakukan misalnya dengan mematikan peralatan atau

membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisiapa saja karena yang diuta-makan adalah banyaknya jumlah pesan)

− Syn Flood Attack− Mematikan jalur listrik sehingga sistem tidak berfungsi

Dan Masalah keamanan fisik ini mulai menarik perhatikanketika gedung World Trade Center yang dianggap sangataman dihantam oleh pesawat terbang yang dibajak olehteroris. Akibatnya banyak sistem yang tidak bisa hidupkembali karena tidak diamankan. Belum lagi hilangnyanyawa.

b. Keamanan Yang berhubungan Orang (Personel)

Termasuk identifikasi, dan profil resiko dari orangyang mempunyai akses (pekerja).

Seringkali kelemahan keamanan sistem informasibergantung kepada manusia (pemakai dan pengelola).Ada sebuah teknik yang dikenal dengan istilah “socialengineering” yang sering digunakan oleh kriminaluntuk berpura-pura sebagai orang yang berhakmengakses informasi.

Misalnya kriminal ini berpura-pura sebagai pemakaiyang lupa passwordnya dan minta agar diganti menjadikata lain

c. Keamanan dari data dan media serta teknik komunikasi (Communications)

Yang termasuk di dalam kelas ini adalah kelemahansoftware yang digunakan untuk mengelola data. Seorangkriminal dapat memasang virus atau trojan horsesehingga dapat mengumpulkan informasi (sepertipassword) yang semestinya tidak berhak diakses.

d. Keamanan dalam operasi

Termasuk kebijakan (policy) dan prosedur yangdigunakan untuk mengatur dan mengelola sistemkeamanan, dan juga termasuk prosedur setelahserangan (post attack recovery).

4. Aspek / Servis dari Security

Garfinkel mengemukakan bahwa keamanan komputer(computer security) melingkupi empat aspek yaitu :− Privacy / Confindentiality− Integrity− Authentication− Availability

Selain hal di atas, masih ada dua aspek lain yangkaitannya berhubungan dengan electronic commerce,yaitu :− Access control− Non-repudiation

Privacy / Confidentiality

Inti utama aspek privacy atau confidentiality adalah usahauntuk menjaga informasi dari orang yang tidak berhakmengakses.

Privacy lebih kearah data-data yang sifatnya privat,misalnya e-mail user tidak boleh dibaca oleh administrator.

Confidentiality biasanya berhubungan dengan data yangdiberikan ke pihak lain untuk keperluan tertentu.misalnya proses pendaftaran yang wajib menginput datapribadi : nama, tempat tanggal lahir, social security number,agama, status perkawinan, penyakit yang pernah diderita,nomor kartu kredit, dll

Integrity

Aspek ini menekankan bahwa informasi tidak bolehdiubah tanpa seijin pemilik informasi. Adanya virus,trojan horse, atau pemakai lain yang mengubahinformasi tanpa ijin merupakan contoh masalah yangharus dihadapi.

− Sebuah e-mail dapat saja “ditangkap” (intercept) di tengahjalan, diubah isinya (altered, tampered, modified),kemudian diteruskan ke alamat yang dituju.

− Dengan kata lain, integritas dari informasi sudah tidakterjaga.

− Salah satu contoh kasus trojan horse adalah distribusipaket program TCP Wrapper

− Contoh serangan lain adalah “man in the middleattack”

Authentication

Aspek ini berhubungan dengan metoda untuk menyatakanbahwa informasi benar-benar asli.

orang yang mengakses atau server yang kita hubungiadalah benar orang dan server yang kita maksud.

Pernahkan kita bertanya bahwa mesin ATM yangsedang kita gunakan memang benar milik bank yangbersangkutan? Bagaimana jika ada orang nakal yangmembuat mesin seperti ATM sebuah bank danmeletakkannya di tempat umum?

Membuat web site palsu yang menyamar sebagai web sitesebuah bank yang memberikan layanan Internet Banking.

Availability

Aspek ini berhubungan dengan ketersediaan informasiketika dibutuhkan.

Contoh hambatan adalah serangan yang sering disebut :

− Denial of service attack” (DoS attack),Dimana server dikirimi permintaan (biasanya palsu)yang bertubi-tubi sehingga tidak dapat melayanipermintaan lain atau bahkan sampai down, hang, crash.

− Mailbomb, dimana seorang pemakai dikirimi e-mailbertubi-tubi dengan ukuran yang besar sehingga sangpemakai tidak dapat membuka e-mailnya

Access Control

Aspek ini berhubungan dengan cara pengaturan akseskepada informasi.

Hal ini biasanya berhubungan dengan :− Klasifikasi data : Public, Private, Confidential, Top secret− User : Guest, Admin, Top Manager

Access control seringkali dilakukan denganmenggunakan kombinasi user id / password ataudengan menggunakan mekanisme lain (seperti kartu,biometrics)

Non-Repudiation

Aspek ini menjaga agar seseorang tidak dapat menyangkaltelah melakukan sebuah transaksi.

Sebagai contoh, seseorang yang mengirimkan email untukmemesan barang tidak dapat menyangkal bahwa diatelah mengirimkan email tersebut.

Aspek ini sangat penting dalam hal electronic commerce.Penggunaan digital signature, certifiates, dan teknologikriptografi secara umum dapat menjaga aspek ini. Akantetapi hal ini masih harus didukung oleh hukum sehinggastatus dari digital signature itu jelas legal.

5. Serangan Terhadap Keamanan Sistem Informasi

Security attack, atau serangan terhadap keamanansistem informasi, dapat dilihat dari sudut peranankomputer atau jaringan komputer yang fungsinya adalahsebagai penyedia informasi.

Ada beberapa kemungkinan serangan (attack):a. Interruption

Perangkat sistem menjadi rusak atau tidak tersedia.Serangan ditujukan kepada ketersediaan (availability)dari sistem.Contoh serangan adalah “denial of service attack”.

b. ModificationPihak yang tidak berwenang tidak saja berhasilmengakses, akan tetapi dapat juga mengubah(tamper) aset.Contoh dari serangan ini antara lain adalah mengubahisi dari web site dengan pesan-pesan yang merugikanpemilik web site.

c. FabricationPihak yang tidak berwenang menyisipkan objek palsuke dalam sistem.Contoh dari serangan jenis ini adalah memasukkanpesan-pesan palsu seperti e-mail palsu ke dalamjaringan komputer.

Beberapa kasus yang berhubungan serangan terhadap keamanan informasi yaitu :

− Juni 2001. Peneliti di UC Berkeley dan University ofMaryland berhasil menyadap data-data yang beradapada jaringan wireless LAN (IEEE 802.11b) yangmulai marak digunakan oleh perusahaan-perusahaan

− Maret 2005. Seorang mahasiswi dari UCSBdituduh melakukan kejahatan mengubah data-datanilai ujiannya (dan beberapa mahasiswa lainnya). Diamelakukan hal tersebut dengan mencuri identitas duaorang profesor. Identity theft memang merupakansebuah masalah yang cukup pelik.

− Juni 2001. Seorang pengguna Internet Indonesiamembuat beberapa situs yang mirip (persis sama)dengan situs klikbca.com, yang digunakan oleh BCAuntuk memberikan layanan Internet banking. Situsyang dia buat menggunakan nama domain yang miripdengan klikbca.com, yaitu kilkbca.com

Sang user mengaku bahwa dia dapat memperoleh PINdari beberapa nasabah BCA yang salah mengetikkannama situs layanan Internet banking tersebut.

− 16 Oktober 2001. Sistem BCA yang menggunakanVSAT terganggu selama beberapa jam. Akibatnyatransaksi yang menggunakan fasilitas VSAT, sepertiATM, tidak dapat dilaksanakan. Tidak diketahui (tidakdiberitakan) apa penyebabnya. Jumlah kerugian tidakdiketahui.

− Maret 2005. Indonesia dan Malaysia berebut pulauAmbalat. Hacker Indonesia dan Malaysia berlomba-lomba untuk merusak situs-situs negara lainnya.Beberapa contoh halaman web yang dirusak di simpandi situs http://www.zone-h.org.

1. Alasan Sistem Informasi Berbasis Internet

Sistem informasi saat ini banyak yangmenggunakan Internet, Hal ini disebabkan :

− Internet merupakan sebuah platform yang terbuka(open platform) sehingga menghilangkanketergantungan perusahaan pada sebuah vendortertentu

− Open platform juga mempermudah interoperabilityantar vendor.

− Internet merupakan media yang paling ekonomisuntuk digunakan sebagai basis sistem informasi,Dapat diakses dimanapun dan perangkat lunak yangdigunakan untuk mengakses internet banyak tersediasecara murah bahkan gratis.

Alasan-alasan tersebut di atas menyebabkan Internetmenjadi media elektronik yang paling populer untukmenjalankan bisnis, yang kemudian dikenal denganistilah electronic commerce (e-commerce).Dengan diperbolehkannya bisnis menggunakan Internet,maka penggunaan Internet menjadi meledak. Statistikyang berhubungan dengan kemajuan Internet dan e-commerce semakin meningkat dan sangat menakjubkan.Selain hal diatas internet juga digunakan sebagai mediasosial, hal ini di buktikan dengan suksesnya :- Koin Peduli Prita ( 2009)- Koin Cinta Bilqis (2010)

Statistik InternetData-data statistik tentang pertumbuhan jumlahpengguna Internet di Indonesia saja Juni 2012, 55 jutadari total di Asia 1,076,681,059 yang diperoleh dari“Internet World Stats”.

Hampir mirip dengan statistik jumlah pengguna Internet,statistik penggunaan Internet untuk keperluan e-commerce juga meningkat dengan nilai yangmenakjubkan.- Berdasarkan data dari International Data Corporation

(IDC) tahun 2011, tercatat nilai perdagangan lewatinternet di Indonesia mencapai sekitar $ 3,4 miliar atausetara dengan Rp 30 triliun

Statistik Electronic Commerce

Dan sekarang hampir semua perusahaan terutamaperusahaan perbankkan menyediakan fasilitastransaksi bisnis yang dapat dilakukan dengan internet

Keamanan Sistem Internet

Untuk melihat keamanan sistem Internet terlebih dahuluharus mengetahui cara kerja sistem Internet. Seperti :- Hubungan antara komputer di Internet- Protokol yang digunakan.Internet merupakan jalan raya yang dapat digunakanoleh semua orang (public). Untuk mencapai servertujuan, paket informasi harus melalui beberapasistem (router, gateway, hosts, atau perangkat-perangkatkomunikasi lainnya) yang kemungkinan besar berada diluar kontrol dari kita. Setiap titik yang dilalui memilikipotensi untuk dibobol, disadap, dipalsukan. Dankelemahan sebuat sistem terletak kepada komponenyang paling lemah.

Hackers, Crackers, dan Etika

Hackers vs Crackers

Aspek dari pelaku yang terlibat dalam masalahkeamanan dalam internet, yaitu para hackers andcrackers.

Terminologi hacker muncul pada awal tahun 1960-andiantara para anggota organisasi mahasiswa Tech ModelRailroad Club di Laboratorium Kecerdasan ArtifisialMassachusetts Institute of Technology (MIT). Kelompokmahasiswa tersebut merupakan salah satu perintisperkembangan teknologi komputer dan mereka berkutatdengan sejumlah komputer mainframe

Kata hacker pertama kalinya muncul dengan arti positifuntuk menyebut seorang anggota yang memiliki keahliandalam bidang komputer dan mampu membuat programkomputer yang lebih baik ketimbang yang telah dirancangbersama.

Menurut Mansfield, hacker didefinisikan sebagaiseseorang yang memiliki keinginan untuk melakukaneksplorasi dan penetrasi terhadap sebuah sistem operasidan kode komputer pengaman lainnya, tetapi tidakmelakukan tindakan pengrusakan apapun, tidak mencuriuang atau informasi.

Sedangkan cracker adalah sisi gelap dari hacker danmemiliki kertertarikan untuk mencuri informasi,melakukan berbagai macam kerusakan dan sesekaliwaktu juga melumpuhkan keseluruhan sistemkomputer.

Berdasarkan motif dari para perusak, ada yang berbasispolitik, eknomi, dan ada juga yang hanya ingin mencariketenaran. Masalah politik nampaknya sering menjadialasan untuk menyerang sebuah sistem (baik didalam maupun di luar negeri).

Beberapa contoh dari serangan yang menggunakan alasan politik antara lain:

− Hackers Portugal yang mengubah isi beberapa website milik pemerintah Indonesia karena tidak setujudengan apa yang dilakukan oleh pemerintah Indonesiadi Timor Timur. Selain itu, mereka juga mencobamerusak sistem yang ada dengan menghapus seluruhdisk.

− Hackers Cina dan Taiwan terhadap beberapa website Indonesia atas kerusuhan di Jakarta (Mei 1998)yang menyebabkan etnis Cina di Indonesia mendapatperlakukan yang tidak adil. Hackers ini mengubahbeberapa web site Indonesia untuk menyatakanketidaksukaan mereka atas apa yang telah terjadi.

- Beberapa hackers di Amerika menyatakan akanmerusak sistem milik pemerintah Iraq ketikaterjeadi ketegangan politik antara Amerika danIrak.

Salah satu hal yang membedakan antara crackers danhackers, adalah masalah etika. Keduanya memiliki basisetika yang berbeda atau mungkin memiliki interpretasiyang berbeda terhadap suatu topik yang berhubungandengan masalah computing.

Batas antara hacker dan cracker sangat tipis. Batasanini ditentukan oleh etika. moral, dan integritas dari pelakusendiri.

Apakah ada hackers dan crackers Indonesia ?

Beberapa mailing list dimana para hackers bergabung,antara lain :- Mailing list pau-mikro.Mailing list ini termasuk yang tertua di Indonesia, dimulaisejak tahun 1980-an dimotori oleh staf PAUMikroelektronika ITB.Milis ini tadinya berkedudukan dijurusan elektro University of Manitoba, Canada(sehingga memiliki alamat pau-mikro@ee.umanitoba.ca)dan kemudian pindah menjadi pau- mikro@nusantara.net.

School of thought” (madzhab) hackers ada di Indonesia.Kelompok yang menganut “old school” dimana hackingtidak dikaitkan dengan kejahatan elektronik umumnyabergabung di berbagai mailing list dan kelompok, baiksecara terbuka maupun tertutup.

- Hackerlink- Anti-Hackerlink, yang merupakan lawan dari Hackerlink- Kecoa Elektronik yang memiliki homepage sendiri di <http://k-elektronik.org>

- IndosniffingDan masih banyak lainnya yang tidak mau dikenal atau kelompok yang hanya semusiman.

Selain tempat berkumpul hacker, ada juga tempat profesional untuk menjalankan security seperti di- IDCERT - Indonesia Computer Emergency Response Teamhttp://www.cert.or.id

- Mailing list diskusi@cert.or.id- Mailing list security@linux.or.id

Dasar-Dasar Keamanan Sistem Informasi

David Khan dalam bukunya The Code-breakersmembagi masalah pengamanan informasi menjadi duakelompok :- Security

Hal ini dikaitkan dengan pengamanan data- IntelligenceHal dikaitkan dengan pencarian (pencurian,penyadapan) data.

Dan keduanya hal dimaksud diatas merupakan hal yangsama pentingnya.

Majalah IEEE Spectrum bulan April 2003 menceritakantentang penyadapan internasional yang dilakukan olehbeberapa negara yang dimotori oleh Amerika Serikat,Inggris, dan Australia.

Penyadapan ini dilakukan secara besar-besaran diudara, darat, dan laut, padahal melakukan penyadapandan mengelola data yang disadap bukan hal yang mudah,apalagi jika volume dari data tersebut sangat besar.

Bagaimana melakukan penyadapan terhadappembicaraan orang melalui telepon? Bagaimanamendeteksi kata-kata tertentu? Perlukan semua hasilsadapan disimpan dalam database?

Seberapa besar databasenya? Bagaimana prosesdata mining, pencarian informasi dari databasetersebut. Masih banyak pertanyaan-pertanyaan lainyang belum terjawab secara teknis.

Jadi, masalah penyadapan informasi negara bukanisapan jempol lagi. Ini sudah menjadi informasi yangterbuka.

Pengamanan data dapat dilakukan dengan cara, yaitu : a. Steganography b. Cryptography

SteganographyPengamanan dengan menggunakan steganografimembuat seolah-oleh pesan rahasia tidak ada atautidak nampak. Bedanya dengan cryptography pesanrahasianya nampak tapi dalam bentuk enkripsi sedangkansteganography tidak terlihat. Padahal pesan tersebutada. Hanya saja kita tidak sadar bahwa ada pesantersebut di sana.Contoh steganografi antara lain :

“Setelah engkau rasakan nikmatnya gula, hisap aromarokok ini sampai engkau nyaman ingin nambah”.

Pesan rahasia dari pesan diatas adalah “serang harisenin”

“Ada kuliah umum hari apa Miss ida leman?”Apa pesan rahasianya?

− Ada sebuah teknik steganography modern yang telahlama dikembangkan namun jarang diketahui umum.Teknik steganography ini menyembunyikan pesan didalam sebuah pesan spam. Definisi umum dari spamadalah email sampah yang hanya berisi iklan2 yang tidakdiinginkan oleh penerimanya. Ada sebuah situs bernamahttp://www.spammimic.com yang dapat anda gunakansebagai salah satu cara menyembunyikan pesan yangingin anda kirim. Pada halaman utama situs tersebutterdapat link "Encode" dan "Decode". Gunakan link"Encode" untuk menyembunyikan pesan rahasia anda kedalam sebuah pesan spam. Gunakan link "Decode"untuk merubah pesan spam yang anda dapat kembalimenjadi pesan rahasia.

Misalnya kamu ingin menuliskan pesan rahasia “akusayang padamu” yang disembunyikan lewat surat/email ketemanmu. (sebaiknya lakukan secara berpasangan)Caranya mudah, buka situsnya www.spammimic.comKlik menu encode. Ketikan pesan rahasianya cth: akusayang padamu. Klik button encode, Tampil isisuratnya(jangan ditambah/dikurangi, di rapihkan boleh).Dicopy seluruh isi suratnya untuk dikirm via email ketemanmu.

Lalu temanmu buka email, lihat di inbox/ di spam. Isi surattadi di copy mulai dari dear … god bless., kemudian bukaspammimic.com pilih menu decode

menu decode untuk menampilkan pesan rahasianya,setelah dicopy dari email lalu paste di kotak decode, tekanbutton decode maka akan tampil pesan rahasianya

Kriptografi (cryptography) merupakan ilmu dan seniuntuk menjaga pesan agar aman. Crypto” berarti“secret” (rahasia) dan “graphy” berarti “writing”(tulisan). Kalau cryptography pesan rahasianyaterlihat/tidak disembunyikan.

Para pelaku atau praktisi kriptografi disebutcryptographers. Sebuah algoritma kriptografik(cryptographic algorithm), disebut cipher, merupakanpersamaan matematik yang digunakan untuk prosesenkripsi dan dekripsi. Biasanya kedua persamaanmatematik (untuk enkripsi dan dekripsi) tersebutmemiliki hubungan matematis yang cukup erat.

Cryptography

Proses yang dilakukan untuk mengamankan sebuahpesan (yang disebut plaintext) menjadi pesan yangtersembunyi (disebut ciphertext) adalah enkripsi(encryption). Ciphertext adalah pesan yang sudahtidak dapat dibaca dengan mudah.

Menurut ISO 7498-2, terminologi yang lebih tepatdigunakan adalah “encipher”

Proses sebaliknya, untuk mengubah ciphertextmenjadi plaintext, disebut dekripsi (decryption).Menurut ISO 7498-2, terminologi yang lebih tepatuntuk proses ini adalah “decipher”.

Cryptanalysis adalah seni dan ilmu untukmemecahkan ciphertext tanpa bantuan kunci.Cryptanalyst adalah pelaku atau praktisi yangmenjalankan cryptanalysis. Cryptology merupakangabungan dari cryptography dan cryptanalysis.

Enkripsi

Enkripsi digunakan untuk menyandikan data-data atauinformasi sehingga tidak dapat dibaca oleh orang yangtidak berhak.

Dengan enkripsi data disandikan (encrypted) denganmenggunakan sebuah kunci (key).

.

Untuk membuka (decrypt) data tersebut digunakanjuga sebuah kunci yang dapat sama dengan kunciuntuk mengenkripsi

Enkripsi Dekripsi

Diagram Proses Enkripsi dan Dekripsi

Secara matematis, proses atau fungsi enkripsi (E) dapat dituliskan :

E ( M ) = C

Proses atau fungsi dekripsi (D) dapat dituliskan sebagai :

D (C) = M

Dimana :

M adalah Plaintext (Message)

C adalah Ciphertext.

Plaintext adalah pesan atau informasi yang akandikirimkan dalam format yang mudah dibaca atau dalambentuk aslinya.

Ciphertext adalah informasi yang sudah dienkripsi.

Algoritma dari enkripsi adalah fungsi-fungsi yangdigunakan untuk melakukan fungsi enkripsi dandekripsi.

Algoritma yang digunakan menentukan kekuatan darienkripsi.

1. Evaluasi Keamanan Sistem Informasi

Meski sebuah sistem informasi sudah dirancangmemiliki perangkat pengamanan, harus selaludimonitor. Hal ini disebabkan oleh beberapa hal,antara lain:

− Ditemukannya lubang keamanan (security hole) baru.Perangkat lunak dan perangkat keras biasanyasangat kompleks sehingga tidak mungkin untuk diujiseratus persen. Kadang-kadang ada lubangkeamanan yang ditimbulkan oleh kecerobohanimplementasi.

‒ Kesalahan konfigurasi. Karena lalai atau alpa,konfigurasi sebuah sistem kurang benar sehinggamenimbulkan lubang keamanan. Misalnya mode(permission atau kepemilikan) dari berkas yangmenyimpan password secara tidak sengaja diubahsehingga dapat diubah atau ditulis.

‒ Penambahan perangkat baru (hardware atausoftware) yang menyebabkan menurunnya tingkatsecurity atau berubahnya metoda untukmengoperasikan sistem. Operator dan administratorharus belajar lagi. Dalam masa belajar ini banyakhal yang jauh dari sempurna, misalnya server atausoftware masih menggunakan konfigurasi awal darivendor (dengan password yang sama).

Sumber Lubang Keamanan

Lubang keamanan (security hole) dapat terjadi karena :

- Salah disain (Design Flaw)Contoh : Disain urutan nomor (sequence numbering) daripaket TCP/IP. Sehingga timbul masalah yang dikenaldengan nama “IP spoofing”.

- Implementasi Kurang BaikContoh : seringkali batas (“bound”) dari sebuah“array” tidak dicek sehingga terjadi yang disebut out-of-bound array atau buffer overflow yang dapatdieksploitasi (misalnya overwrite ke variable berikutnya).

- Salah KonfigurasiContoh : Berkas yang semestinya tidak dapat diubaholeh pemakai secara tidak sengaja menjadi“writeable”. Apabila berkas tersebut merupakanberkas yang penting, seperti berkas yang digunakanuntuk menyimpan password.

- Salah Menggunakan Program atau SistemContoh : Kesalahan menggunakan program denganaccount root (super user) dapat berakibat fatal. Seringterjadi cerita horor dari sistem administrator baru yangteledor dalam menjalankan perintah “rm -rf” di sistemUNIX (yang menghapus berkas atau direktori besertasub direktori di dalamnya). Akibatnya seluruh berkasdi sistem menjadi hilang mengakibatkan Denial ofService (DoS).

2. Cara Mengamankan Sistem Informasi

Pada umunya, pengamanan dapat dikategorikanmenjadi dua jenis :

- Pencegahan (preventif)Usaha pencegahan dilakukan agar sistem informasitidak memiliki lubang keamanan

- Pengobatan (recovery).Usaha-usaha pengobatan dilakukan apabila lubangkeamanan sudah dieksploitasi.

− Mengatur akses− Menutup Servis yang tidak digunakan− Memasang Proteksi− Firewall− Pemantau adanya serangan− Pemantau integritas sistem− Audit− Backup secara rutin− Penggunaan enkripsi− telnet atau shell aman

Beberapa cara yang dapat digunakan untukmengamankan informasi adalah :

Mengatur akses (Access Control)

Mengatur akses ke informasi melalui mekanisme“authentication” dan “access control”. Implementasidari mekanisme ini antara lain dengan menggunakan“password”.

Di sistem UNIX dan Windows NT,untuk menggunakansebuah sistem atau komputer, pemakai diharuskanmelakukan authentication dengan menuliskan “userid”dan “password”. Apabila keduanya valid, pemakaitersebut diperbolehkan menggunakan sistem. Apabilaada yang salah, pemakai tidak dapat menggunakansistem. Informasi tentang kesalahan ini biasanyadicatat dalam berkas log.

Dengan adanya kemungkinan password ditebak,misalnya dengan menggunakan program passwordcracker, maka memilih password memerlukanperhatian khusus.Hal-hal yang sebaiknya dihindari sebagai passwordadalah :- Nama anda, nama istri / suami, anak, nama teman.- Nama komputer yang anda gunakan.- Nomor telepon atau plat nomor kendaran anda- Tanggal lahir- Alamat rumah- Nama tempat yang terkenal.

Menutup Servis Yang Tidak Digunakan

Seringkali sistem (perangkat keras dan/atau perangkatlunak) diberikan beberapa servis yang dijalankansebagai default.

Contoh : Pada sistem UNIX servis-servis berikut seringdipasang dari vendornya: finger, telnet, ftp, smtp, pop,echo, dan seterusnya.

Padahal Servis tersebut tidak semuanya dibutuhkan,untuk mengamankan sistem, servis yang tidakdiperlukan di server (komputer) tersebut sebaiknyadimatikan.

Sudah banyak kasus yang menunjukkan abuse dari servistersebut.

Memasang Proteksi

Untuk lebih meningkatkan keamanan sistem informasi,proteksi dapat ditambahkan. Proteksi ini dapat berupa filter(secara umum) dan yang lebih spesifik.

Filter dapat digunakan untuk memfilter e-mail, informasi,akses, atau bahkan dalam level packet.

Contoh :

UNIX paket program “tcpwrapper” dapat digunakan untukmembatasi akses servis atau aplikasi tertentu.Misalnya servis untuk “telnet” dapat dibatasi untuk untuksistem yang memiliki nomor IP tertentu, atau memilikidomain tertentu.

Firewall

Firewall merupakan sebuah perangkat yang diletakkanantara Internet dengan jaringan internal, dan setiapInformasi yang keluar atau masuk harus melalui firewall.

Gambar Sebuah Firewall

Tujuan utama dari firewall adalah untuk menjaga (agarakses (ke dalam maupun ke luar) dari orang yangtidak berwenang agar tidak dapat dilakukan.

Konfigurasi dari firewall bergantung kepadakebijaksanaan dari organisasi yang bersangkutan, yangdapat dibagi menjadi dua jenis:- Apa-apa yang tidak diperbolehkan secara eksplisit

dianggap tidak diperbolehkan (prohibitted)- Apa-apa yang tidak dilarang secara eksplisit

dianggap diperbolehkan (permitted)

Firewall bekerja dengan mengamati paket IP (InternetProtocol) yang melewatinya. Berdasarkan konfigurasidari firewall maka akses dapat diatur berdasarkan IPaddress, port, dan arah informasi.Firewall dapat berupa sebuah perangkat keras yangsudah dilengkapi dengan perangkat lunak tertentu,sehingga pemakai (administrator) tinggal melakukankonfigurasi dari firewall tersebut. Firewall juga dapatberupa perangkat lunak yang ditambahkan kepadasebuah server.

Satu hal yang perlu diingat bahwa adanya firewall bukanmenjadi jaminan bahwa jaringan dapat diamankanseratus persen. Meskipun sudah menggunakanfirewall, keamanan harus tetap dipantau secaraberkala.

Pemantau adanya serangan

Sistem pemantau (monitoring system) digunakan untukmengetahui adanya tamu tak diundang (intruder) atauadanya serangan (attack).

Nama lain dari sistem ini adalah “intruder detectionsystem” (IDS). Sistem ini dapat memberitahuadministrator melalui e-mail maupun melalui mekanismelain seperti melalui pager.

Ada berbagai cara untuk memantau adanya intruder. Adayang sifatnya aktif dan pasif. IDS cara yang pasifmisalnya dengan memonitor logfile.

Contoh software IDS antara lain :

− Autobuse,Mendeteksi probing dengan memonitor logfile.

− Courtney dan portsentryMendeteksi probing (port scanning) denganmemonitor packet yang lalu lalang. Portsentrybahkan dapat memasukkan IP penyerang dalamfilter tcpwrapper (langsung dimasukkan kedalamberkas /etc/hosts.deny)

− Shadow dari SANS− Snort

Mendeteksi pola (pattern) pada paket yang lewatdan mengirimkan alert jika pola tersebut terdeteksi.Pola-pola atau rules disimpan dalam berkas yangdisebut library yang dapat dikonfigurasi

− sesuai dengan kebutuhan.

Pemantau integritas sistemPemantau integritas sistem dijalankan secara berkala untuk menguji integratitas sistem.

Contoh : Pada Sistem UNIX adalah program Tripwire.Program paket Tripwire digunakan untuk memantauadanya perubahan pada berkas. Tripwire dijalankan danmembuat database mengenai berkas-berkas ataudirektori yang ingin kita amati beserta “signature” dariberkas tersebut.

Signature berisi informasi mengenai besarnya berkas,kapan dibuatnya, pemiliknya, hasil checksum atauhash dll. Apabila ada perubahan pada berkastersebut, maka keluaran dari hash function akan berbedadengan yang ada di database sehingga ketahuan adanyaperubahan.

Audit : Mengamati Berkas Log

Hampir semua kegiatan penggunaan sistem dapatdicatat dalam berkas yang biasanya disebut “logfile” atau“log” saja.

Berkas log ini sangat berguna untuk mengamatipenyimpangan yang terjadi. Kegagalan untuk masuk kesistem (login), akan tersimpan di dalam berkas log. Untukitu para administrator diwajibkan untuk rajin memeliharadan menganalisa berkas log yang dimilikinya.

Letak dan isi dari berkas log bergantung kepadaoperating system yang digunakan.

Pada sistem berbasis UNIX, biasanya berkas iniberada di direktori /var/adm atau /var/log.

Backup secara rutinSeringkali tamu tak diundang (intruder) masuk kedalam sistem dan merusak sistem dengan menghapusberkas-berkas yang ditemui. Jika intruder ini berhasilmenjebol sistem dan masuk sebagai administrator,maka ada kemungkinan dia dapat menghapus seluruhberkas. Untuk itulah, backup data wajib dilakukan secararutin.

Untuk sistem yang sangat esensial, secara berkala perludibuat backup yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari hilangnya dataakibat bencana seperti kebakaran, banjir, dll. karenabila data dibackup tetapi diletakkan pada lokasi yangsama, kemungkinan data akan hilang jika tempat yangbersangkutan mengalami bencana seperti kebakaran.

Penggunaan Enkripsi

Salah satau mekanisme untuk meningkatkankeamanan adalah dengan menggunakan teknologienkripsi. Data-data yang anda kirimkan diubahsedemikian rupa sehingga tidak mudah disadap.

Banyak servis di Internet yang masih menggunakan“plain text” untuk authentication, seperti penggunaanpasangan userid dan password. Informasi ini dapatdilihat dengan mudah oleh program penyadap ataupengendus (sniffer).

Contoh servis yang menggunakan plain text antara lain :− Akses jarak jauh dengan menggunakan telnet dan rlogi− Transfer file dengan menggunakan FTP− Akses email melalui POP3 dan IMAP4− Pengiriman email melalui SMTP− Akses web melalui HTTP

Penggunaan enkripsi dapat digunakan untuk remote akses (misalnya melalui ssh sebagai penggani telnet atau rlogin)

Telnet atau shell aman

Telnet atau remote login digunakan untuk mengaksessebuah “remote site” atau komputer melalui sebuahjaringan komputer.

Akses ini dilakukan dengan menggunakan hubunganTCP/IP dengan menggunakan userid dan password.Informasi tentang userid dan password ini dikirimkanmelalui jaringan komputer secara terbuka.

Akibatnya ada kemungkinan seorang yang jahat akanmelakukan “sniffing” dan mengumpulkan informasitentang userid dan password ini.

Enkripsi dapat digunakan untuk melindungi adanyasniffing. Paket yang dikirimkan dienkripsi denganalgoritma DES atau Blowish (dengan menggunakan kuncisession yang dipertukarkan via RSA atau Diffie-Hellman)sehingga tidak dapat dibaca oleh orang yang tidakberhak. Salah satu implementasi mekanisme ini adalahSSH (Secure Shell).Ada beberapa implementasi SSH ini, antara lain :− SSH untuk UNIX (dalam bentuk source code, gratis,

mengimplementasikan protokol SSH versi 1 dan versi 2)− SSH untuk Windows95 dari Data Fellows (komersial,

ssh versi 1 dan versi 2)http://www.datafellows.com

− TTSSH, yaitu skrip yang dibuat untuk Tera TermPro (gratis, untuk Windows 95, ssh versi 1http://www.paume.itb.ac.id/rahard/koleksi

− SecureCRT untuk Windows95 (shareware / komersial)

− Putty (SSH untuk Windows yang gratis, ssh versi 1)Selain menyediakan ssh, paket putty juga dilengkapidengan pscp yang mengimplementasikan secure copysebagai pengganti FTP.

Sistem EmailSistem email terdiri dari dua komponen utama, yaitu:• Mail Transfer Agent (MUA), merupakan komponen yang

digunakan oleh pengguna email. Biasanya disebutprogram mail. MUA digunakan untuk menuliskan emailseperti halnya mesin ketik digunakan untuk menulissorat jaman dahulu. Contoh: Eudora, Netscape, Outlook,Pegasus, Thunderbird, pine, mutt, elm, mail, dan lain-lain.

• Mail Transfer Agent (MTA), merupakan program yangsesungguhnya mengantar email. Biasanya dikenaldengan istilah mailer. MTA ini biasanya bukan urusanpengguna, akan tetapi merupakan urusan dariadministrator. Contoh: postfix, qmail, sendmail,exchange, Mdaemon, Mercury, dan lain-lain

Format EmailAgar sistem email dapat berjalan dengan sempurnadan tidak bergantung kepada vendor atau programtertentu, didefinisikan beberapa standar. Standarpertama adalah RFC 822 yang mendefinisikan formatdari email. Standar ini kemudian diperbaharui menjadiRFC 2822. Contoh:From: Budi Rahardjo br@paume.itb.ac.idTo: budi@hotmail.comSubject: Ujian diundurUjian kuliah saya akan diundur sampai ada pengumumanberikutnya. Mohon maaf atas ketidaknyamanan.-- budi

Header

Body

• Header dapat memiliki beberapa field yang baku, seperti

“From:”, “To:”, “Subject:”, “Date:”, “Cc:”, “Bcc:”

• Tetapi ada juga field yang ada, namun biasanya tidak

terlihat, seperti “Message-ID:”, “Received:”, dan lain-lain.

• Berikut ini adalah contoh header sebuah email, lengkap

dengan field-field lainnya.

Format Email (lanjutan)

Format Email (lanjutan)

• Body dari email diletakkan setelah header dalambentuk teks (ASCII). Bagaimana dengan berkas biner(surat.doc, file.zip, gambar.jpg, lagu.mp3) yang seringkita kirimkan dalam bentuk attachment? Pada prinsipnyaberkas ini dikodekan ke dalam bentuk ASCII,misalnya dengan menggunakanUUDECODE/UUENCODE, base64, dan beberapacoding lainnya. Pemilihan kode ini biasanya terkaitdengan efisiensi saja.

Masalah yang berhubungan dengan email

Ada beberapa masalah keamanan yang terkait dengansistem email, yaitu:• Disadap• Dipalsukan• Disusupi (virus)• Spamming• Mailbomb• Mail Relay

Penyadapan• Email dikirimkan dari komputer kita ke mail server (sering

disebut SMTP server) yang kita gunakan. Email tersebutdiproses dan dikirimkan ke server berikutnya, danseterusnya sampai ke server mail yang dituju, kemudianke mailbox dari pengguna email yang dituju.

• Setiap server yang dilalui membubuhi tanda denganmenambahkan header “Received:”. Seperti contoh emailsebelumnya yang memperlihatkan banyaknya field“Received:”. Urutan penambahan stempel ini adalah daribawah ke atas.

• Mail server yang baru saja menerima email tersebutmembubuhkan tanda Received dibagian teratas. Potensipenyadapan dapat terjadi pada setiap jalur yang dilalui,termasuk pada server yang menjadi perantara emailtersebut.

Penyadapan (lanjutan)• Potensi penyadapan ini dapat terjadi karena pengiriman

email menggunakan protokol SMTP (Simple MailTransport Protocol) yang tidak menggunakan enkripsi.Jika kita berada pada satu jaringan yang samadenganorang yang mengirim email, atau yang dilaluioleh email, maka kita bisa menyadap email denganmemantau port 25,yaitu port yang digunakan oleh SMTP.

• Demikian pula untuk mengambil email yangmenggunakan protokol POP (Post Office Protocol).Protokol yang menggunakan port 110 ini juga tidakmenggunakan enkripsi dalam transfer datanya. Ketikaseorang pengguna mengambil email melalui POP kemail server, maka kita bisa menyadap data yangmelewati jaringan tersebut.

Penyadapan (lanjutan)

• Agar email aman dari penyadapan maka perludigunakan enkripsi untuk mengacak isi dari email.Header dari email tetap tidak dapat dienkripsi karenananti akan membingungkan MTA.

• Saat ini sudah ada beberapa program (tools) yang dapatmemproteksi terhadap penyadapan email. Contoh:Pretty Good Privacy (PGP), GnuPG, dan PEM.

Email Palsu• Dalam membuat email palsu, kita tinggal menuliskan informasi yang

salah di header dari email. (Misalnya kita konfigurasikan sistememail kita dengan mengatakan bahwa kita adalah si-doel@hotmail.com). Email palsu ini kemudian kita serahkan kepadaMTA untuk dikirimkan ke tempat yang dituju. Semua aktivitas kitatercatat oleh MTA.

• Pemalsuan email dapat dilacak melalui header email palsu tersebutyakni dengan mengamati stempel yang diberikan oleh MTA yangdilewatinya

Email Palsu (lanjutan)• Salah satu situs untuk membuat email palsu: emkei.cz ,

to: bisa ke gmail atau yahooPengirim email palsu

Penerima email

Cara untuk melindungi kita dari email palsu adalah:• Dengan melihat header dari email. Perhatikan

tempat-tempat yang dilalui oleh email tersebut atauperhatikan warning yang tampil.

• Jangan posting alamat email anda di forum publik,komentar pengguna dan chat-room. Berikan alamatemail Anda pada situs yang dapat dipercaya,seumpama untuk berlangganan newsletter dab rssfeed..

• Jangan sembarang melakukan survei online dan mengisiformulir tanggapan, gunakan saja email fummy andauntuk hal seperti ini. Melakukan posting alamat kontakemail Anda di situs Web dengan menggunakan formatini:emailAddress[at]yoursite.com bukanemailaddress@yoursite.com. Ini akan melindungi alamatemail Anda tidak diindeks oleh robot spam.

• Jangan merespon pesan tipuan/palsu. Bila Andamenerima email hoax, hindari meneruskan ke teman-teman Anda. Contoh pesan tipuan dapat ditemukan diwww.hoax-slayer.com. Jika Anda benar-benar inginmeneruskannya ke teman Anda, pastikan bahwa andamenggunakan opsi “Bcc” (blind carbon copy) untukmengirim email, opsi ini Akan menyembunyikan semuaID email yng anda teruskan.

• Gunakanlah script Form Mail (misalnya denganmenggunakan script PHP atau CGI) agar pengunjungwebsite Anda menggunakan Form Mail untukmenghubungi Anda (tanpa memberikan alamat emailkepada mereka).

• Jangan menggunakan alamat e-mail utama Anda untukmendaftarkan nama domain Anda di WHOIS. Spammerdapat dengan mudahnya menemukan alamat e-mailAnda melalui layanan pengecekan nama domain sptWhois.Net atau DomainWhitePages.com Gunakan e-mail gratis Anda seperti Yahoo Mail atau Google Mail .

Penyusupan Virus• Email sering dijadikan media yang paling efektif untuk

menyebarkan virus. Hal ini disebabkan email langsungmenuju pengguna yang umumnya merupakan titikterlemah (weakest link) dalam pertahanan sebuahperusahaan atau institusi.

• Program mail (MUA) dahulu sering dikonfigurasi untuksecara otomatis menjalankan program aplikasi yangsesuai dengan attachment yang diterima. Misalnyaattachment yang diterima berupa berkas MicrosoftWord,maka program mail langsung menjalankanMicrosoft Word. Akibatnya berkas yang memiliki virusdapat langsung dijalankan.

Penyusupan Virus (lanjutan)

• Pengamanan sistem biasanya menggunakan firewall.Namun firewall biasanya bergerak di layer yang lebihrendah, bukan layer aplikasi, sehingga tidak dapatmelihat isi atau data dari email. Firewall yang baru sudahdapat menguji isi email terhadap tanda-tanda virus.

• Solusi untuk mengurangi dampak terhadap penyusupanvirus adalah dengan menggunakan anti-virus dengandata (signature) yang terbaru. Program anti-virus iniharus diperbaharui secara berkala.

Penyusupan Virus (lanjutan)

• Pengamanan lain adalah dengan melakukanpemeriksaan terhadap virus pada level mail server.Namun hal ini sering membuat tidak nyaman karenapengguna sering mengeluh tidak mendapat email darikawan korespondensinya. Seolah-olah mail hilang.Padahal bisa jadi email kawannya tersebut mengandungvirus dan sudah difilter di server mail.

Spam• Spam didefinisikan sebagai “unsolicited email”, yaitu

email yang tidak kita harapkan. Spam ini berupa emailyang dikirimkan ke banyak orang. Biasanya isi dari emailini adalah promosi.

• Spam ini tidak terfilter oleh anti-virus karena memangbukan virus. Filter terhadap spam harus dilakukansecara khusus. Namun mekanisme untuk melakukanfiltering spam ini masih sukar karena kesulitan kitadalam membedakan antara email biasa dan email yangspam.

• Pada mulanya proses filter spam dilakukan denganmencari kata-kata tertentu di email yang diterima. Kata-kata yang populer digunakan sebagai subyek dariemail adalah “Make money fast”. Namun hal ini tidakefektif karena para spammer mengubah kata-katatersebut menjadi kata-kata plesetan.

Spam (lanjutan)• Cara lain melawan spam adalah dengan menggunakan

statistik (Bayesian) yang menghitung kata-kata didalam email. Jika ada banyak kata yang merupakankata kunci dari spammer, maka statistik akanmenunjukan probabilitas bahwa email tersebutmerupakan spam. Namun hal ini tidak efektif pula.

• Jumlah email spam ini sudah sangat banyak sehinggadapat melumpuhkan server email. Banyak tempatyang tidak menjalankan filtering terhadap spamkarena tidak mampu.

• Masalah spam masih menjadi masalah utama dalamsistem email saat ini. Ada organisasi yang bernamaCAUCE (Coalition Against Unsolicited CommercialEmail) yang menggalang upaya-upaya untukmembendung spam.

Mailbomb• Mailbomb adalah mengirim email bertubi-tubi ke satu

tujuan. Dampaknya mailbox yang dituju akan menjadipenuh. Dampak kepada sistem juga hampir sama,yaitu direktori yang digunakan untuk menampung email(mail spool) menjadi penuh sehingga pengguna laintidak dapat menerima email juga.

• Pembuatan mailbomb dapat dilakukan denganmudah, misalnya dengan menggunakan shell script disistem UNIX. Skrip yang mungkin hanya 3 baris inimelakukan loop, dimana pada setiap loopnya diamemanggil MTA dan memberinya email yang harusdikirimkan ke target. Dipermudah lagi banyaknyasoftware yang siap pakai untuk membuat mailbomseperti: AutosenderPro, E-Mail Bomber dll.

Mailbomb (lanjutan)Seperti contoh di bawah ini dengan E-Mail Bomber, dapatlangsung dijalankan tanpa diinstall

Mailbomb (lanjutan)• Proteksi terhadap mailbomb adalah dengan

membatasi quota email dari pengguna(via cpanel webhosting), misalnya dibatasi 20 MBytes, sehingga jika diakena mailbomb tidak mengganggu pengguna lainnya.

• Cara lain yang dapat dilakukan adalah menjalankanprogram yang mendeteksi mailbomb. Program inimenganalisa isi email (dengan menggunakanchecksum) dan membandingkan dengan email-emailsebelumnya. Jika email sama persis dengan emailsebelumnya maka email ini dapat dihilangkan. Namunkinerja program khusus ini masih dipertanyakan,khususnya untuk server mail yang banyak menerimaemail.

Mail Relay

• Mail relaying adalah mengirimkan email denganmenggunakan server mail milik orang lain. Aktivitas inibiasanya dilakukan oleh para pengirim spam. Merekamendompleng server mail milik orang lain yangkonfigurasi kurang baik dan memperkenankan orang lainuntuk menggunakan server itu untuk mengirim email.Akibatnya bandwidth dari server itu bisa habis digunakanuntuk mengirim email spam, bukan email dari penggunayang sah.

Mail Relay (lanjutan)• Penyalahgunaan terhadap server mail yang terbuka

ini biasanya dilakukan oleh pengirim spam. Banyaktempat yang melakukan filtering terhadap server mailyang digunakan oleh pengirim spam. Jika server mailanda termasuk yang memperkankan mail relay, makaserver anda dapat masuk ke dalam daftar tercela(blacklist) dan kena filter juga. Oleh sebab itu harusdipastikan bahwa server mail kita tidakmemperkenankan mail relay.

• Kita juga dapat melakukan proteksi terhadap spamdengan melakukan filtering terhadap server mail yangterbuka. MTA kita dapat kita konfigurasi untuk menolakemail yang berasal dari server mail yangmemperkenankan mail relay (karena kemungkinan emailyang dikirim adalah spam).

Daftar Database Mail Relay

Tempat-tempat database server yang memperkenankanmail relay:• Mail Abuse Prevention System: http://mail-abuse.org• ORBZ – Open Relay Blackhole Zone:

http://www.orbz.org/• ORDB – Open Relay Database: http://www.ordb.org/• RBL-type services: http://www.ling.helsinki.fi/users/

reriksso/rbl/rbl.html

Keamanan Server WWW• Arsitektur sistem Web terdiri dari dua sisi: server

dan client.• Web server adalah suatu daemon yang berfungsi

menerima request melalui protocol http baik dari localmaupun dari internet

• Informasi yang direquest oleh browser bisa berupa fileyang ada dalam storage atau meminta server untukmelakukan fungsi tertentu

• Jenis-jenis web server:– IIS (web server untuk html dan asp). Bisa jalan di OS

Windows– APACHE web server (web server untuk html, php,

asp, jsp, dan sebagainya). Bisa jalan di OS Windowsdan LINUX

9 Celah Keamanan Pada Aplikasi Web

1. Unvalidated InputSemua aplikasi web menampilkan data dari HTTPrequest yang dibuat oleh user dan menggunakan datatersebut untuk melakukan operasinya. Hacker dapatmemanipulasi bagian-bagian pada request (querystring, cookie information, header) untuk membypassmekanisme keamanan.Berikut ini tiga jenis penyerangan yang berhubungandengan masalah ini:- Cross site scripting- Buffer overflows- Injection flaws

Unvalidated Input (lanjutan)

Cara untuk menangani hal tersebut, diantaranya:• Tidak baik pada aplikasi web untuk percaya pada client

side scripting. Script tersebut biasanya menghentikanform submission apabila terdapat sebuah input yangsalah. Akan tetapi, script tersebut tidak dapatmencegah hacker untuk membuat HTTPrequestnya sendiri yang terbebas dari form.Menggunakan client side validation masih bisamembuat aplikasi web yang mudah diserang.

Unvalidated Input (lanjutan)

• Beberapa aplikasi menggunakan pendekatan "negative“(negative approach) pada validasinya: Aplikasi mencobamendeteksi jika terdapat elemen yang berbahaya padarequest parameter. Masalah dari jenis pendekatan iniadalah hanya bisa melindungi dari beberapa seranganyaitu: hanya serangan yang dikenali oleh validation codeyang dicegah.

• Cara yang lebih baik untuk menggunakan pendekatan"positive" (positive approach) yaitu: membatasi sebuahformat atau pola untuk nilai yang diijinkan danmemastikan input tersebut sesuai dengan formattersebut.

9 Celah Keamanan Pada Aplikasi Web (lanjutan)2. Broken Access Control

Banyak aplikasi yang terdapat user role dan admin role:hanya admin role yang diijinkan untuk mengakseshalaman khusus atau melakukan action administration.Masalahnya adalah beberapa aplikasi tidak efektif untukmemaksa agar otorisasi ini bekerja.Masalah lain yang berhubungan dengan access controladalah:• Insecure Ids – Beberapa site menggunakan id atau

kunci yang menunjuk kepada user atau fungsi.• File permissions – Kebanyakan web dan aplikasi

server percaya kepada external file yangmenyimpan daftar dari user yang terotorisasidan resources mana saja yang dapat dan/atautidak dapat diakses.

Broken Access Control (lanjutan)

Langkah-langkah untuk mengatasinya adalah denganmengembangkan filter atau komponen yang dapatdijalankan pada sensitive resources. Filter ataukomponen tadi dapat menjamin hanya user yangterotorisasi dapat mengakases. Untuk melindungi dariinsecure Ids, kita harus mengembangkan aplikasi kitaagar tidak percaya pada kerahasiaan dari Ids yang dapatmemberi access control. Pada masalah file permission,file-file tersebut harus berada pada lokasi yang tidakdapat diakses oleh web browser dan hanya role tertentusaja yang dapat mengaksesnya.

9 Celah Keamanan Pada Aplikasi Web (lanjutan)

3. Broken Authentication dan Session ManagementAuthentication dan session management menunjukkepada semua aspek dari pengaturan userauthentikasi dan management of active session. Berikutini beberapa hal yang perlu diperhatikan:• Password strength – Aplikasi kita harus memberikan

level minimal dari keamanan sebuah password,dimana dapat dilihat dengan cara melihat panjangdari password dan kompleksitasnya.

• Password use – Aplikasi kita harus membatasi useryang mengakses aplikasi melakukan login kembalike sistem pada tenggang waktu tertentu.

Broken Authentication dan Session Management (lanjutan)

• Password storage – password tidak boleh disimpan didalam aplikasi. Password harus disimpan dalam formatterenkripsi dan disimpan di file lain seperti file databaseatau file password.

• Issue lain yang berhubungan : password tidak boleh dalambentuk hardcoded di dalam source code.

• Session ID Protection – server biasanya menggunakansession Id untuk mengidentifikasi user yang masuk kedalam session.

• Salah satu cara yang dapat digunakan untuk mencegahterlihatnya session ID oleh seseorang pada suatu jaringanyang sama adalah menghubungkan komunikasi antarasever dan client pada sebuah SSL-protected channel.

9 Celah Keamanan Pada Aplikasi Web (lanjutan)

4. Cross Site ScriptingCross site scripting terjadi ketika seseorang membuataplikasi web melalui script ke user lain. Hal ini dilakukanoleh penyerang dengan menambahkan content (sepertiJavaScript, ActiveX, Flash) pada request yang dapatmembuat HTML output yang dapat dilihat oleh user lain.Apabila ada user lain yang mengakses contenttersebut, browser tidak mengetahui bahwa halamantersebut tidak dapat dipercaya.Cara yang bisa digunakan untuk mencegah serangancross site scripting adalah dengan melakukan validasidata masuk dari user request (seperti header, cookie,user parameter,...).

9 Celah Keamanan Pada Aplikasi Web (lanjutan)

5. Buffer OverflowsPenyerang dapat menggunakan buffer overflows untukmerusak aplikasi web. Penyerang mengirimkan requestyang membuat server menjalankan kode-kode yangdikirimkan oleh penyerang.Tetapi pada desain dari Java environment, aplikasi yangberjalan pada J2EE server aman dari jenis serangan ini.Untuk memastikan keamanan, cara yang paling baikadalah melakukan pengawasan apabila terdapat patchatau bug report dari produk server yang digunakan.

9 Celah Keamanan Pada Aplikasi Web (lanjutan)

6. Injection FlawsHacker dapat mengirimkan atau menginject request

ke operating system atau ke external sumber sepertidatabase. Berikut ini salah satu contoh dari SQL injection:masukkan salah satu keyword di google untukmendapatkan halaman login.Cth.: “/admin.asp" ,"/login.asp" dll. Kalau sudah dapat isikan di username“or”=“ di password “or”=“ lalu klik login kalau sukses akanmasuk

Sintak di web:Select * from admin where username = ‘administrator’ and Password = ‘admin’ Maka inputkan: ”or ‘’ = “ Didapatkan: Select * from admin where username = ‘’ or ‘’ = ‘’ and Password = ‘’ or ‘’=’’ Perintah: “or “=“ menjadikan kondisi query menjadi true.

Untuk mencegah inputan diatas maka di skrip php pada variabel penampung data post ditambahkan mysql_real_escape_string() utk validasi input:$username =mysql_real_escape_string($_POST['username']); $password = mysql_real_escape_string($_POST['password']);Untuk pengguna php.

Injection Flaws (lanjutan)

9 Celah Keamanan Pada Aplikasi Web (lanjutan)7. Insecure Storage

Aplikasi web biasanya menyimpan informasi pentingyang perlu dienkripsi untuk menghindari pengaksesansecara langsung. Tetapi beberapa metode enkripsimasih lemah dan bisa diserang. Berikut ini beberapakesalahan yang terjadi:• Kesalahan untuk mengenkripsi data penting• Tidak amannya kunci, certificate, dan password• Kurang amannya lokasi penyimpanan data• Kurangnya perhitungan dari randomisasi• Kesalahan pemilihan algoritma• Mencoba untuk menciptakan algoritma enkripsi yang

baru

Insecure Storage (lanjutan)

Salah satu cara yang dilakukan untuk menghindarikesalahan penyimpanan informasi yang sensitif adalah :tidak membuat password sebagai atribut dari kelas yangmewakili informasi user; Daripada mengenkripsi nomorkartu kredit dari user, akan lebih baik untukmenanyakannya setiap kali dibutuhkan.

9 Celah Keamanan Pada Aplikasi Web (lanjutan)

8. Denial of ServiceDenial of Service merupakan serangan yang dibuatoleh hacker yang mengirimkan request dalam jumlahyang sangat besar dan dalam waktu yang bersamaan.Dikarenakan request-request tersebut, server menjadikelebihan beban dan tidak bisa melayani user lainnya.Serangan DoS mampu menghabiskan bandwidth yangada pada server. Selain itu dapat juga menghabiskanmemory, koneksi database, dan sumber yang lain.

Denial of Service (lanjutan)

Cara yang dapat dilakukan seperti membatasi resourceyang dapat diakses user dalam jumlah yang minimal.Merupakan ide / cara yang bagus untuk membuat loadquota yang membatasi jumlah load data yang akandiakses user dari sistem.Solusi yang lain adalah mendesain aplikasi web dimanauser yang belum terotorisasi hanya memiliki akses yangsedikit atau tidak memiliki akses ke content web yangberhubungan dengan database.

9 Celah Keamanan Pada Aplikasi Web (lanjutan)

9. Insecure Configuration ManagementBiasanya kelompok (group) yang mengembangkanaplikasi berbeda dengan kelompok yang mengaturhosting dari aplikasi. Hal ini bisa menjadi berbahaya,dikarenakan keamanan yang diandalkan hanya darisegi aplikasi: sedangakan dari segi server juga memilikiaspek keamanan yang perlu diperhatikan. Adanyakesalahan dari konfigurasi server dapat melewati aspekkeamanan dari segi aplikasi.

Untuk memeriksa keamanan website kita bisa gunakansitus http://sucuri.net, langsung ketikan namawebsitenya di what’s your domain? Lalu Klik scan thissite

Insecure Configuration Management

(lanjutan)

Berikut ini adalah kesalahan konfigurasi server yang bisamenimbulkan masalah:• Hak akses direktori atau file yang salah.• Adanya service yang seperti remote administration dan

content management yang masih aktif.• Penggunaan default account dan default password.• Fungsi administrative atau fungsi debug yang bisa diakses.

Adanya pesan error yang informatif dari segi teknis.• Kesalahan konfigurasi SSL certificate dan setting enkripsi• Penggunaan self-signet certificates untuk melakukan

autentikasi.

Keamanan Client WWW

• Keamanan client WWW, yaitu disisi pemakai(pengunjung) biasa diantaranya:

• Pelanggaran privacyKetika kita mengunjungi sebuah situs web, browserkita dapat “dititipi” sebuah “cookie” yang fungsinyaadalah untuk menandai kita. Ketika kita berkunjung keserver itu kembali, maka server dapat mengetahuibahwa kita kembali dan server dapat memberikansetup sesuai dengan keinginan (preference) kita. Inimerupakan servis yang baik. Namun data-data yangsama juga dapat digunakan untuk melakukantracking kemana saja kita pergi.

Keamanan Client WWW (lanjutan)

• Penyisipan virus atau trojan horseSalah satu contoh yang sudah terjadi adalah adanyaweb yang menyisipkan trojan horse Back Orifice(BO) atau Netbus sehingga komputer anda dapatdikendalikan dari jarak jauh. Orang dari jarak jauhdapat menyadap apa yang anda ketikkan, melihat isidirektori, melakukan reboot, bahkan memformatharddisk

SSL (Secure Socket Layer)

• SSL telah menjadi standar de facto pada komunitasuntuk mengamankan komunikasi antara client danserver. SSL adalah sebuah layer protocol yang beradaantara layer TCP/IP standar dengan protocol di atasnyayaitu application-level protocol seperti HTTP. SSLmengijinkan server untuk melakukan autentikasi denganclient dan selanjutnya mengenkripsi komunikasi.

Certificate

• Salah satu bagian yang perlu kita konfigurasi untukmembangun komunikasi SSL pada server adalahsebuah security certificate. Sebuah certificate dalam halini seperti sebuah pasport : dimana memiliki informasi-informasi penting pemilik yang bisa diketahui oleh oranglain. Sertifikat tersebut biasanya disebarkan olehCertification Authorities (CA). Sebuah CA mirip sepertipassport office : dimana CA bertugas untuk melakukanvalidasi sertifikat pemilik dan menandai sertifikat agartidak dapat dipalsukan.

Certificate (lanjutan)

• Sampai saat ini sudah banyak Certification Authoritiesyang cukup terkenal, salah satunya adalah Verisign.Menentukan pemilihan CA adalah tanggung jawab atauwewenang dari seorang admin untuk memberikansebuah sertifikat keamanan yang berlaku pada server.