Seminar and Workshop Computer Security, BPPTIK Kominfo
-
Upload
digit-oktavianto -
Category
Technology
-
view
1.032 -
download
0
Transcript of Seminar and Workshop Computer Security, BPPTIK Kominfo
Computer Security
Presented by :Digit Oktavianto
30 Maret 2012BPPTIK Kominfo
Computer Security Basic Concept
Keamanan computer adalah tindakan pencegahan dari serangan pengguna computer atau pengakses jaringan yang tidak bertanggung jawab. Keamanan computer berhubungan dengan pencegahan dini dan deteksi terhadapa tindakan pengganggu yang tidak dikenali dalam system computer.
Komponen Standar Computer Security
Confidentiality adalah menyembunyikan informasi atau sumber daya
Integrity mengacu pada keterpercayaan terhadap data atau sumber informasi yang ada
Availability memiliki arti bahwa data atau informasi yang penting dapat dipergunakan oleh pengguna di waktu-waktu tertentu.
Klasifikasi Keamanan Komputer Berdasarkan Celah Keamanan
Keamanan Fisik (Physical Security)
Keamanan Personal (Personal Security)
Keamanan Komunikasi (Communication Security
Keamanan Operasional (Operational Security)
Model Serangan Komputer
Interruption
Interception
Modification
Fabrication
Penggolongan Hacker Berdasarkan Aktivitas Hacking
Black Hat
White Hat
Grey Hat
Hacking Phase
Reconnaisance
Scanning
Gaining Access
Maintaining Access
Covering Tracks
Security Assesment
Security assesment merupakan penilaian terhadap keamanan infrastruktur yang ada dalam satu organisasi atau perusahaan. Assesment ini merupakan suatu penilaian seberapa besar suatu organisasi atau perusahaan menerapkan prinsip keamanan komputer terhadap seluruh perangkat dan jaringan yang dalam lingkup mereka masing-masing.
Security Assesment (Cont'd..)
Vulnerability Assesment
Penetration Test
Vulnerability Assesment
Vulnerability assessment adalah proses pencarian kelemahan yang ada pada target. Attacker melakukan identifikasi apa saja celah yang ada dalam system, lalu memberikan informasi berapa banyak kelemahan atau celah yang ada pada system tersebut, lalu memberikan urutan prioritas sesuai dengan besar atau kecilnya resiko yang timbul dengan adanya celah keamanan tersebut.
Penetration Test
Penetration test adalah proses melakukan eksplorasi dan eksploitasi lebih jauh ke dalam system target setelah megetahui bug atau security hole yang di report pada proses vulnerability assessment. Pada proses ini aktivitas gaining access coba di lakukan oleh attacker. Attacker akan mencoba mengeksploitasi celah keamanan sehingga berhasil mendapatkan akses ke dalam system target.
Penetration Test (Cont'd..)
Ada 3 tipe penetration test berdasarkan lokasi di lakukannya penetration test :White Box
Black Box
Grey Box
Vuln. Assesment Vs Pentest
Vulnerability AssesmentPenetration Test
Batasan TestMelakukan scanning terhadap semua infratruktur yang memungkinkan adanya celah keamananFokus melakukan eksploitasi terhadap celah keamanan yang telah ditemukan
TujuanUntuk mengelompokkan vulnerability berdasarkan tingkatan besar atau kecilnya risk, dan mengetahui berapa banyak jumlah celah keamanan yang berisiko pada systemHasil dari report penetration test digunakan untuk menambal celah yang berhasil di eksploitasi, dan meneiliti seberapa jauh dampak yang ditimbulkan akibat celah yang berhasil di eksploitasi tersebut
Vuln. Assesment Vs Pentest (Cont'd..)
ProsesVulnerability assessment merupakan passive processPenetration test merupakan active process
ManfaatVulnerability assessment dilakukan untuk meningkatkan keamanan komputer pada system yang telah di terapkan, menambal celah yang ada.Penetration test mencoba melakukan test apakah keamanan komputer yang telah diterapkan sudah efektif atau belum
Hasil dan ReportReport pada vulnerability assessment ada yang benar-benar mengungkapkan celah keamanan yang ada, namun ada pula yang menunjukkan false positive.Hasil penetration test adalah bisa atau tidaknya pentester menembus celah keamanan yang ada, dan melaporkan cara exploitasi yang digunakan untuk menembus keamanan system tersebut.
Tools Information Gathering
Nmaphttp://nmap.org/download.htmlAutoScanhttp://autoscan-network.com/AngryIPhttp://www.angryip.org/w/DownloadMaltegohttp://www.paterva.com/web5/FOCAhttp://www.informatica64.com/foca.aspxTheHarvesterhttps://code.google.com/p/theharvester/
Tools Vuln. Assesment
Nessus http://www.tenable.com/products/nessusOpenVAShttp://www.openvas.org/Nexposehttp://www.rapid7.com/products/nexpose-community-edition.jspGFI Languardhttp://www.gfi.com/network-security-vulnerability-scannerAcunetixhttp://www.acunetix.com/vulnerability-scanner/Niktohttp://cirt.net/nikto2
Tools Pentest
Metasploithttp://www.metasploit.com/download/Armitagehttp://www.fastandeasyhacking.com/SAP Bizploithttp://www.onapsis.com/research-free-solutions.php#bizploitCanvashttp://immunityinc.com
Web Security Attack
Keamanan web merupakan salah satu hal yang mutlak untuk diterapkan, karena hampir sebagian besar kegiatan di dunia internet dilakukan melalui fasilitas ini. Aktivitas social networking, blogging, online learning, transaksi perbankan, perncarian informasi, dan banyak aktivitas lainnya kita lakukan melalui media website. Namun sayangnya masih banyak user yang tidak aware mengenai keamanan web ini, sehingga banyak terjadi kejahatan internet yang terhadi pada user, seperti pencurian akun social networking, website yang di deface, phising, sampai pencurian identitas penting lainnya.
Common Web Hacking Method
Cross Site Scripting (XSS)Kelemahan XSS terjadi ketika aplikasi mengambil data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser tanpa validasi yang memadai. XSS memungkinkan penyerang mengeksekusi script-script di dalam browser korban, yang dapat membajak sesi pengguna, mengubah tampilan website, atau mengarahkan pengguna ke situs-situs jahat.
Common Web Hacking (Cont'd..)
SQL InjectionSQL injection exploits dan sejenisnya adalah hasil interfacing sebuah bahasa lewat informasi melalui bahasa lain . Dalam hal SQL injection, sebuah bahasa pemrograman seperti PHP atau Perl mengakses database melalui SQL query. Jika data yang diterima dari pengguna akhir yang dikirim langsung ke database dan tidak disaring dengan benar, maka yang penyerang dapat menyisipkan perintah SQL nya sebagai bagian dari input. Setelah dijalankan pada database, perintah ini dapat mengubah, menghapus, atau membeberkan data sensitif.Lebih parah lagi jika sampai ke sistem eksekusi kode akses yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
Common Web Hacking (Cont'd..)
Denial of ServiceDoS adalah adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
Common Web Hacking (Cont'd..)
Cross Site Request ForgerySuatu serangan CSRF memaksa browser korban yang sudah log-on untuk mengirim HTTP request yang dipalsukan, termasuk di dalamnya session cookie korban dan informasi otentikasi lain yang otomatis disertakan, ke suatu aplikasi web yang rentan. Hal ini memungkinkan penyerang untuk memaksa browser korban menghasilkan request yang dianggap sah oleh aplikasi rentan tadi.
Common Web Hacking (Cont'd..)
Directory Traversal AttackDirectory Traversal adalah suatu serangan yang mengeksploitasi engine (web server) yang memungkinkan penyerang mengakses direktori yang dibatasi dan mengeksekusi command diluar direktori root web server.
Tools Web Security Testing
Vegahttp://www.subgraph.com/OWASP ZAPhttps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_ProjectWebscarabhttps://www.owasp.org/index.php/Category:OWASP_WebScarab_ProjectArachnihttp://arachni-scanner.com/Burphttp://portswigger.net/burp/
Tools Web Security Testing (Cont'd..)
Websecurifyhttp://www.websecurify.com/Skipfishhttps://code.google.com/p/skipfish/Grendel-Scanhttp://grendel-scan.com/download.htmOWASP Mantrahttps://www.owasp.org/index.php/OWASP_Mantra_-_Security_FrameworkW3afhttp://w3af.sourceforge.net/