KEAMANAN SISTEM (Security System) Bag.

1
Oleh : Adya Zizwan Putra Nst Teknik Informatika 2009

Inilah hacker ..
Zaman dulu saat para pembuat peta mencapai ujung dunia, mereka berkata ada naga disini!! - Tanpa nama Di dunia yang saling terkoneksi saat ini, perumpamaan kuno tentang dunia luar pengetahuan seseorang ini masih dianggap benar.. Maksud dari ujung dunia adalah bagian di luar jaringan berupa ancaman. Dan hacker akan mengambil keuntungan dari mereka yang tidak waspada.

Mencari Sebuah Target !

Di internet banyak terdapat beberapa IP public jadi beberapa sulit untuk menemukan sebuah target yang cocok. Jika Anda memilki perusahaan dan karyawan apakah anda yakin karyawan Anda telah dilatih mengenai sistem keamanan? Apakah mereka telah menjaga data dan informasi yang lebih sensitif dari orang yang mengelabui. ATAU Anda berpikir bahwa staff IT yang Anda miliki telah teruji dan hebat dalam menjaga jaringan Anda. Percaya lah jika Para Ahli keamanan data Anda tidak berharap penyerang dan penyusup memilki kompetensi yang tinggi

Sebuah Aksioma berbunyi

Selalu ada orang di luar sana yang lebih pandai, memiliki lebih banyak pengetahuan, atau memiliki wawasan yang lebih baik dari Anda Seorang insinyur yang merasa bahwa dia adalah orang yang paling pandai di sebua perusahaan merupakan awal dari bencana.

Dumpster Diving
Dumpster diving merupakan istilah populer. Anda mungkin pernah mendengar cerita dimana orang menjadi terobsesi pada seorang bintang film atau karakter televisi yang terkenal dan kemudian mengkais kais sampah mereka. DALAM KENYATAANYA Bermulai dari orang yang berusaha menghack kedalam sistem AT&T tentu saja mereka disebut phone preak , bukan hacker. Intinya adalah bagi seorang social engginer sampah yang dibuang perusahaan ke tempat sampah pun tidak aman.

HACKING INFORMASI YANG TIDAK BERBAHAYA

Pembahasan ini dimulai dengan hacking informasi yang tidak berbahaya, yang juga dikenal sebagai social engineering. Meskipun Anda tidak menganggap informasi yang tidak berbahaya sebagai sebuah infromasi yang penting untuk dilindungi, informasi ini menjadi sangat penting bagi penyerang social engineer. Social Engineer akan menunjukkan diri sebagai seorang sosok yang dapat dipercaya.

Jelasnya, informasi tidak berbahaya harus dilindungi dan para karyawan harus menyadari bahwa memberikan informasi yang seharusnya tidak pernah diberikan ke publik kepada orang yang salah dapat sangat membahayakan baik perusahaan dan, lebih penting lagi, karyawan itu sendiri

TARGET KESEMPATAN
Seseorang Manager perusahaan berkata, Kami adalah bisnis <bisnis Non TI> dan tidak ada pada jaringan kami hal yang diinginkan hacker. Mengapa kami harus khawatir ? Mungkin dalam hal ini perusahaan tersebut bukan sebuah bank, tetapi jaringan perusahaan tersebut tentunya terdiri dari server, hard disk , bandwith ke internet dan informasi pribadi karyawan.

-Server : Hack sebuah server dan Anda akan mendapatkan sebuah peranti slave yang potensial untuk digunakan dari jarak jauh untuk menyerang target lain yang lebih penting. -Hard Drive Space Setiap jaringan memiliki disk space yang tidak digunakan. Bagaimana jika jaringan anda di hack dan file file yang tidak jelas keabsahannya dan bahkan mungkin ilegal ditempatkan di disk space ini. -bandwith seorang hacker biasanya dapat menggunakan bandwith extra dan alternatif lain untuk terkoneksi ke perusahaan lain untuk menghack ke dalamnya -informasi pribadi karyawan -jika memiliki semua informasi yang dibutuhkan seorang pengusaha untuk verifikasi tenaga kerjanya dan bahkan menggaji para karyawannya, seorang hacker dapat dianggap melakukan pencurian identitas.

TARGET PILIHAN HACKER !

-Jika perusahaan Anda memiliki produk baru yang akan merevolusi bidang bisnis anda. Bagaimana jika ini merupakan sebuah terobosan? - Jika Anda terlibat dalam perselisihan sebuah keluarga dan Anda memiliki informasi yang diinginkan kelompok lain -jika Anda membuat marah seseorang yang mengenal hacker. -jika perusahaan anda bergerak dalam suatu bisnis yang apabila dikacaukan, yang apabila dikacaukan akan memungkinkan orang menyelesaikan masalah -jika seorang karyawan merasa tidak puas pada suatu kesepakatan pada perusahaan tersebut.

- RECONNAISSANCE DAN FOOTPRINTING (Casing the joint) Persiapan cerdas menuju medan pertempuran. Metode yang digunakan untuk mengurangi ketidakjelasan tentang musuh, lingkungan, dan tipe sistem operasi yang digunakan. -SCANNING Pada titik ini, penyerang mempunyai gambaran yang bagus mengenai mesin mesin pada jaringan, sistem operasi mereka dan siapa administrator mereka. Dan disikni semua aktifitas jaringan akan dicatat. -ENUMERASI Memasukkan koneksi aktif ke sistem tertentu dan membuat rquest untuk menghubungi sistem khusus ini juga. -MENDAPATKAN AKSES -ESKALASI Meningkatkan hak istimewa dengan menjebol password untuk masuk ke bagian tujuannya -MEMBUAT BACKDOOR DAN MENYEMBUNYIKAN JEJAK Sesudah penyerang mendapatkan kepemilikan sistem target, mereka harus menyembunyikan fakta ini dari administrator sistem. Ini merupakan salah satu aturan hacking yang paling mendasar. Tetapi merupakan salah satu hal tersulit bagi penyerang.

PROSES SERANGAN

CATATAN !!
Ingat bahwa penyerang membersihkan log bukan menghapusnya. Jika file log dihapus atau dibersihkan, akan ada sebuah pemberitahuan yang mungkin menunjukkan fakta bahwa sistem telah diubah.

Denial of service (DOS) = serangan layanan sehingga membanjiri target dengan usaha-usaha koneksi. Distributed DOS = serangan dari banyak arah (kaki tangan) Spoofing (Pemalsuan disentitas) dan menyamarkan alamat suatu situs web Sniffing (memantau informasi pada sebuah jaringan . Dan aktivitas pada jaringan Pelaku serangan DOS sering kali menggunakan ribuan PC Zombie yang terinfeksi oleh peranti lunak berbahaya tanpa sepengetahuan pemiliknya dan diorganisasikan ke suatu botnet. Hacker menciptakan botnet-botnet ini untuk menularkan bot malware komputer orang lain. Pencurian identitas untuk menyamar menjadi orang lain Evil twins : merupakan jaringan nirkabel yang berpura-pura menawarkan koneksi d bandara

TINJAUAN SERANGAN DAN EKSPLOITASI UMUM

-Pharming: kegiatan mengalihkan pengguna ke halaman web lain (palsu) , bahkan ketika seseorang mengetikkan alamat web yang benar pada aplikasi penjelajahnya . -phising adalah kegiatan membuat situs palsu atau mengirim pesan email yang mirip dengan pesan dari perusahaan yang sah untuk meminta pengguna mengisi data pribadi mereka yang rahasia. -click fraud adalah penipuan lewat klik. VIRUS -worm : yang merupakan program komputer independen yang menyalin diri sendiri dari satu komputer ke komputer lain dalam jaringan. - Trojan Horse : program /peranti lunak yang tampaknya tidak berbahaya. Sebagai mediator virus lain untuk masuk.

E-commerce (perdagangan elektronik) telah Memperkenalkan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang di lakukan oleh gartner group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce di bandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini, perusahaanperusahaan kartu kredit yang utama telah mengimplementasikan program yang di tujukan secara khusus untuk keamanan kartu kredit e-commerce.

Persoalan E-commerce

Kartu kredit sekali pakai Pada september 2000, American Express mengumumkan sebuah kartu kredit sekali pakai. Kartu ini bekerja dengan cara : saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan tersebut, yang di berikan kepada pedagang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Pengendalian
Pengendalian (control) adalah mekanisme yang di terapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi. pengendalian di bagi menjadi tiga (3) kategori, yaitu : 1. teknis 2. formal 3. informal

PENGENDALIAN TEKNIS (technical control)

adalah pengendalian yang menjadi satu di dalam sistem dan di buat oleh para penyusun sistem selama masa siklus penyusunan sistem. Biasanya pengendalian keamanan di buat berdasarkan teknologi peranti keras dan lunak. Yang paling populer akan di jelakan sbb: 1. Pengendalian akses dasar untuk keamanan melawan ancaman yang di lakukan oleh orangorang yang tidak diotorisasi. pengendalian akses di lakukan melalui proses tiga tahap yang mencakup : a. Identifikasi pengguna para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi.

b. Otentikasi pengguna setelah identifikasi awal di lakukan, para pengguna memverifikasi akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. c. Otorisasi pengguna setelah pemeriksaan identifikasi dan otentikasi di lalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. 2. Sistem deteksi gangguan mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Contohnya : peranti lunak proteksi virus yang terbukti efektif melawan virus yang terkirim melalui e-mail. 3. Firewall pendekatan membangun dinding pelindung. Yang berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet.

4. Pengendalian kriptografis data dan informasi yang tersimpan dan di transmisikan dapat di lindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matemetika. 5. Pengendalian fisik peringatan pertama yang tidak terotorisasi adalah mengunci pintu ruangan komputer. 6. Meletakkan pengendalian teknis pada tempatnya

SOLUSI DENGAN KRIPTOGRAFI

Kunci Kunci

Plaintext Enkripsi

Plaintext Dekripsi

Plaintext