Seminar and Workshop Computer Security, BPPTIK Kominfo
2 likes962 views
Ringkasan dokumen tersebut adalah: 1. Dokumen tersebut membahas tentang konsep dasar keamanan komputer dan penilaian keamanan komputer 2. Termasuk didalamnya adalah komponen standar keamanan komputer, klasifikasi ancaman keamanan, model serangan, dan penilaian keamanan seperti penilaian kerentanan dan uji penetrasi 3. Dokumen tersebut juga membahas metode serangan web umum dan alat-alat untuk pengujian keamanan
Seminar and Workshop Computer Security, BPPTIK Kominfo
- 1. Computer Security Presented by : Digit Oktavianto 30 Maret 2012 BPPTIK Kominfo
- 2. Computer Security Basic Concept Keamanan computer adalah tindakan pencegahan dari serangan pengguna computer atau pengakses jaringan yang tidak bertanggung jawab. Keamanan computer berhubungan dengan pencegahan dini dan deteksi terhadapa tindakan pengganggu yang tidak dikenali dalam system computer.
- 3. Komponen Standar Computer Security Confidentiality adalah menyembunyikan informasi atau sumber daya Integrity mengacu pada keterpercayaan terhadap data atau sumber informasi yang ada Availability memiliki arti bahwa data atau informasi yang penting dapat dipergunakan oleh pengguna di waktu-waktu tertentu.
- 4. Klasifikasi Keamanan Komputer Berdasarkan Celah Keamanan Keamanan Fisik (Physical Security) Keamanan Personal (Personal Security) Keamanan Komunikasi (Communication Security Keamanan Operasional (Operational Security)
- 5. Model Serangan Komputer ➲ Interruption ➲ Interception ➲ Modification ➲ Fabrication
- 6. Penggolongan Hacker Berdasarkan Aktivitas Hacking ➲ Black Hat ➲ White Hat ➲ Grey Hat
- 7. Hacking Phase ➲ Reconnaisance ➲ Scanning ➲ Gaining Access ➲ Maintaining Access ➲ Covering Tracks
- 8. Security Assesment Security assesment merupakan penilaian terhadap keamanan infrastruktur yang ada dalam satu organisasi atau perusahaan. Assesment ini merupakan suatu penilaian seberapa besar suatu organisasi atau perusahaan menerapkan prinsip keamanan komputer terhadap seluruh perangkat dan jaringan yang dalam lingkup mereka masing-masing.
- 9. Security Assesment (Cont'd..) ➲ Vulnerability Assesment ➲ Penetration Test
- 10. Vulnerability Assesment Vulnerability assessment adalah proses pencarian kelemahan yang ada pada target. Attacker melakukan identifikasi apa saja celah yang ada dalam system, lalu memberikan informasi berapa banyak kelemahan atau celah yang ada pada system tersebut, lalu memberikan urutan prioritas sesuai dengan besar atau kecilnya resiko yang timbul dengan adanya celah keamanan tersebut.
- 11. Penetration Test Penetration test adalah proses melakukan eksplorasi dan eksploitasi lebih jauh ke dalam system target setelah megetahui bug atau security hole yang di report pada proses vulnerability assessment. Pada proses ini aktivitas gaining access coba di lakukan oleh attacker. Attacker akan mencoba mengeksploitasi celah keamanan sehingga berhasil mendapatkan akses ke dalam system target.
- 12. Penetration Test (Cont'd..) Ada 3 tipe penetration test berdasarkan lokasi di lakukannya penetration test : ➲ White Box ➲ Black Box ➲ Grey Box
- 13. Vuln. Assesment Vs Pentest Vulnerability Penetration Test Assesment Batasan Test Melakukan scanning terhadap Fokus melakukan eksploitasi semua infratruktur yang terhadap celah keamanan yang memungkinkan adanya celah telah ditemukan keamanan Tujuan Untuk mengelompokkan Hasil dari report penetration test vulnerability berdasarkan digunakan untuk menambal celah tingkatan besar atau kecilnya yang berhasil di eksploitasi, dan risk, dan mengetahui berapa meneiliti seberapa jauh dampak banyak jumlah celah yang ditimbulkan akibat celah keamanan yang berisiko pada yang berhasil di eksploitasi system tersebut
- 14. Vuln. Assesment Vs Pentest (Cont'd..) Proses Vulnerability assessment Penetration test merupakan active merupakan passive process process Manfaat Vulnerability assessment Penetration test mencoba dilakukan untuk meningkatkan melakukan test apakah keamanan keamanan komputer pada komputer yang telah diterapkan system yang telah di terapkan, sudah efektif atau belum menambal celah yang ada. Hasil dan Report Report pada vulnerability Hasil penetration test adalah bisa assessment ada yang benar- atau tidaknya pentester benar mengungkapkan celah menembus celah keamanan yang keamanan yang ada, namun ada, dan melaporkan cara ada pula yang menunjukkan exploitasi yang digunakan untuk false positive. menembus keamanan system tersebut.
- 15. Tools Information Gathering Nmap http://nmap.org/download.html AutoScan http://autoscan-network.com/ AngryIP http://www.angryip.org/w/Download Maltego http://www.paterva.com/web5/ FOCA http://www.informatica64.com/foca.aspx TheHarvester https://code.google.com/p/theharvester/
- 16. Tools Vuln. Assesment Nessus http://www.tenable.com/products/nessus OpenVAShttp://www.openvas.org/ Nexpose http://www.rapid7.com/products/nexpose-community-edition.jsp GFI Languard http://www.gfi.com/network-security-vulnerability-scanner Acunetix http://www.acunetix.com/vulnerability-scanner/ Nikto http://cirt.net/nikto2
- 17. Tools Pentest Metasploit http://www.metasploit.com/download/ Armitage http://www.fastandeasyhacking.com/ SAP Bizploit http://www.onapsis.com/research-free-solutions.php# Canvas http://immunityinc.com
- 18. Web Security Attack Keamanan web merupakan salah satu hal yang mutlak untuk diterapkan, karena hampir sebagian besar kegiatan di dunia internet dilakukan melalui fasilitas ini. Aktivitas social networking, blogging, online learning, transaksi perbankan, perncarian informasi, dan banyak aktivitas lainnya kita lakukan melalui media website. Namun sayangnya masih banyak user yang tidak aware mengenai keamanan web ini, sehingga banyak terjadi kejahatan internet yang terhadi pada user, seperti pencurian akun social networking, website yang di deface, phising, sampai pencurian identitas penting lainnya.
- 19. Common Web Hacking Method Cross Site Scripting (XSS) Kelemahan XSS terjadi ketika aplikasi mengambil data yang tidak dapat dipercaya dan mengirimnya ke suatu web browser tanpa validasi yang memadai. XSS memungkinkan penyerang mengeksekusi script-script di dalam browser korban, yang dapat membajak sesi pengguna, mengubah tampilan website, atau mengarahkan pengguna ke situs-situs jahat.
- 20. Common Web Hacking … (Cont'd..) SQL Injection SQL injection exploits dan sejenisnya adalah hasil interfacing sebuah bahasa lewat informasi melalui bahasa lain . Dalam hal SQL injection, sebuah bahasa pemrograman seperti PHP atau Perl mengakses database melalui SQL query. Jika data yang diterima dari pengguna akhir yang dikirim langsung ke database dan tidak disaring dengan benar, maka yang penyerang dapat menyisipkan perintah SQL nya sebagai bagian dari input. Setelah dijalankan pada database, perintah ini dapat mengubah, menghapus, atau membeberkan data sensitif.Lebih parah lagi jika sampai ke sistem eksekusi kode akses yaitu mematikan database itu sendiri, sehingga tidak bisa memberi layanan kepada web server.
- 21. Common Web Hacking … (Cont'd..) Denial of Service DoS adalah adalah jenis serangan terhadap sebuah komputer atau server di dalam jaringan internet dengan cara menghabiskan sumber (resource) yang dimiliki oleh komputer tersebut sampai komputer tersebut tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna lain untuk memperoleh akses layanan dari komputer yang diserang tersebut.
- 22. Common Web Hacking … (Cont'd..) Cross Site Request Forgery Suatu serangan CSRF memaksa browser korban yang sudah log-on untuk mengirim HTTP request yang dipalsukan, termasuk di dalamnya session cookie korban dan informasi otentikasi lain yang otomatis disertakan, ke suatu aplikasi web yang rentan. Hal ini memungkinkan penyerang untuk memaksa browser korban menghasilkan request yang dianggap sah oleh aplikasi rentan tadi.
- 23. Common Web Hacking … (Cont'd..) Directory Traversal Attack Directory Traversal adalah suatu serangan yang mengeksploitasi engine (web server) yang memungkinkan penyerang mengakses direktori yang dibatasi dan mengeksekusi command diluar direktori root web server.
- 24. Tools Web Security Testing Vega http://www.subgraph.com/ OWASP ZAP https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project Webscarab https://www.owasp.org/index.php/Category:OWASP_WebScarab_Proje Arachni http://arachni-scanner.com/ Burp http://portswigger.net/burp/
- 25. Tools Web Security Testing (Cont'd..) Websecurify http://www.websecurify.com/ Skipfish https://code.google.com/p/skipfish/ Grendel-Scan http://grendel-scan.com/download.htm OWASP Mantra https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework W3af http://w3af.sourceforge.net/