WEB
A.
Konsep Dasar Pengamanan WEB
Server web (httpd) menyediakan
informasi (statis dan dinamis). Halaman statis diperoleh dengan perintah GET. Halaman
dinamis diperoleh dengan CGI (Common Gateway Interface), Server Side Include
(SSI), Active Server Page (ASP, PHP), Servlet (seperti Java Servlet, ASP)
Dalam operasi sehari-harinya web
server seringkali menjadi target gangguan dan serangan oleh para peretas di
dunia maya. Beberapa contoh eksploitasi pada web server yang sering terjadi
adalah antara lain :
- Melakukan perubahan tampilan (Deface)
Metode ini umum dilakukan dengan cara menjalankan skrip eksploit, memanfaatkan celah priveledge yang terbuka, atau memanfaatkan kelemahan operating system yang digunakan sebagai web server. Terdapat situs yang mengumpulkan data-data deface seperti : http://www.alldas.org, http://www.zone-h.org
- Perubahan data pada server
Cara paling mudah untuk mengubah data pada server adalah dengan melakukan akses fisik ke server yang ada. Untuk itu keamanan dan akses ruang server haruslah sangat terjaga. Cara perubahan data yang sering dilakukan juga adalah dengan melalui CGI, dan eksploit data di database (SQL injection, XSS, dll)
- Penyadapan Informasi
Penyadapan informasi dilakukan untuk memperoleh data-data penting yang keluar masuk kedalam server web seperti data login (user, password), maupun data sensitif lainnya. Metode untuk penyadapan informasi biasanya dilakukan dengan cara Urlwatch, sniffing, dll
- DoS (Denial of
Service) attack
adalah jenis serangan terhadap web server dengan cara menghabiskan resource (RAM, Processor, kemampuan ethernet) yang dimiliki oleh web server sampai tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna memperoleh service web.
Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:
- Membanjiri
lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan
yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke
dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
- Membanjiri
jaringan dengan banyak request terhadap sebuah layanan jaringan yang
disedakan oleh sebuah host sehingga request yang datang dari pengguna
terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut
sebagai request flooding.
- Mengganggu
komunikasi antara sebuah host dan kliennya yang terdaftar dengan
menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi
sistem atau bahkan perusakan fisik terhadap komponen dan server.
Oke cukup dulu dengan
serang-menyerangnya :). Berikut adalah beberapa metode pengamanan untuk akses
web server :
- Access Control
Kita dapat memberlakukan kontrol akses untuk web server dengan cara :
- Melakukan
pengaturan pada web server agar membatasi akses menuju web server dengan
identifikasi alamat ip (/etc/httpd.conf)
- Menggunakan
htaccess Membuat file“.htaccess” pada root directory web
server, contohnya sbb :AuthUserFile /home/duyz/.pass AuthGroupFile
/dev/null AuthName “Akses terbatas untuk user khusus” AuthType Basic <Limit
GET> require user khusus </Limit> Skrip ini akan membatasi akses
web server hanya dapat digunakan oleh user “khusus” dan password Menggunakan
perintah “htpasswd“ untuk membuat password yang disimpan di file “.pass”
- Menggunakan
Secure Connection (ssl, openssl) SSL (Secure Socket Layer)
adalah sebuah metode untuk pengamanan web server dengan penggunaan
enkripsi pada transmisi data menuju web server. Metode ini lazim
digunakan oleh Korporasi, Bank, maupun badan intelejen untuk menghindari sniffing,
maupun percobaan intersepsi data lainnya.Mungkin itu dulu yang dapat
dishare untuk dasar-dasar keamanan web server. Semoga bermanfaat
B. Macam Serangan dan
Penanggulangannya
1. Adware
Adware adalah iklan
produk atau penawaran layanan yang merupakan bagian dari sebuah situs atau
aplikasi. Script yang ditulis pada suatu halaman web memungkinkan adware untuk
berjalan sendiri (autorun applications) yang akan muncul pada saat kita surfing
di suatu situs tertentu atau sedang menjalankan aplikasi. Biasanya adware
sangat gampang untuk di nonaktifkan, tapi tidak dengan varian adware yang
memiliki suatu teknik anti-removal dan ini biasanya sangat mengganggu.
Ada
beberapa tips yang bisa anda aplikasikan kedalam sistem operasi komputer anda
atau membiasakan diri ketika membuka halaman situs-situs tertentu, diantaranya
sbb:
* Jalankan program anti-spyware dan anti-adware yang terkini (updated).
* Jalankan program anti-spyware dan anti-adware yang terkini (updated).
* Hidupkan opsi ‘immunization’ pada software anti-spyware dan anti-adware yang anda gunakan.
* Pastikan browser yang sering anda gunakan, email client software, dan sistem operasi komputer anda terinstal dengan baik bersama auto-update.
* Hidupkan opsi ‘Firewalls’ ketika melakukan browsing.
* Gunakanlah plugin security options yang telah direkomendasikan oleh browser anda.
2. Spyware
Spyware adalah program
yang dapat merekam secara rahasia segala aktivitas online anda, seperti merekam
cookies atau registry. Data yang sudah terekam akan dikirim atau dijual kepada
perusahaan atau perorangan yang akan mengirim iklan atau menyebarkan virus.
Ø Bagaimana
cara penanggulangannya?
* Scan komputer anda secara rutin dengan
anti-spyware program dan anti-virus yang terkini (updated).
* Lengkapi browser anda dengan
fitur-fitur keamanan yang tersedia.
* Sebaiknya aktifkan auto-update semua program yang anda miliki.
* Jangan sekali-kali klik OK atau SUBMIT/CANCEL pada pop-up windows yang muncul, langsung tutup saja dengan tombol Close. Karena sekali anda melakukan ini, maka akan muncul beberapa pop-up windows lainnya secara bertubi-tubi.
* Sebaiknya aktifkan auto-update semua program yang anda miliki.
* Jangan sekali-kali klik OK atau SUBMIT/CANCEL pada pop-up windows yang muncul, langsung tutup saja dengan tombol Close. Karena sekali anda melakukan ini, maka akan muncul beberapa pop-up windows lainnya secara bertubi-tubi.
3. Spam
Spam adalah pesan-pesan
yang terkirim kepada anda berisikan informasi-informasi yang sama sekali tidak
berkaitan selama aktivitas berinternet. Dikenal juga dengan sebutan
‘junk-email’, yang mengiklankan produk atau layanan-layanan tertentu.
Ø Bagaimana
cara menanggulanginya?
* Ketika anda memilih sebuah account
email di layanan umum (public service, seperti Yahoo! mail), gantilah account
settingnya dari default ke pilihan anda sendiri (customize your email account),
atau gunakan email service yang menyediakan layanan anti-spam terbaik.
* Bacalah privacy policy situs yang anda
kunjungi.
* Jangan pernah mengklik email apalagi
melakukan proses konfirmasi dari alamat yang belum anda kenal.
* Buatlah alamat email lain (second
email account) untuk aktivitas anda bersosialisasi, jangan gunakan alamat email
yang utama.
4. Malware
Malware adalah
singkatan malicious software, terinstalasinya sebuah software tanpa
sepengetahuan anda yang bertujuan merusak atau mengintai setiap aktivitas yang
dilakukan pada komputer tersebut.
Ø Cara
menanggulanginya?
Malware biasanya datang dari sebuah file
attachment. Jadi sebaiknya jangan pernah membuka file yang dikirimkan dari
alamat email yang tak dikenal. Jangan pernah menerima file (terutama yang
berekstensi .jpg, .avi, atau .exe) dari pengirim yang tak dikenal. Jika anda
mencurigai komputer anda sudah terkena malware, berikut tips singkat yang bisa
anda lakukan :
1. Berhentilah berbelanja online, atau melakukan online banking yang mengharuskan anda mengisi sebuah form pendaftaran.
1. Berhentilah berbelanja online, atau melakukan online banking yang mengharuskan anda mengisi sebuah form pendaftaran.
2. Dapatkan software anti-virus yang update.
Berhentilah melakukan download, apalagi
sebuah proses download yang menyertakan pop-up windows berisi sebuah pernyataan
bahwa komputer anda telah di scan dan bebas malware.
3. Scan komputer anda secara rutin dengan anti-virus yang update.
5. Phising
Dikenal juga sebagai
‘Brand spoofing’ atau ‘Carding’ adalah sebuah bentuk ‘layanan’ yang menipu anda
dengan menjanjikan keabsahan dan keamanan transfer data yang anda lakukan.
Phising menyerang melalui email, pesan-pesan yang terdisplay di jendela
peringatan (pop-up windows), atau situs-situs milik
pemerintah/organisasi/institusi resmi.
Ø Bagaimana
cara menanggulanginya?
. Abaikan semua email
atau instant message (chat) yang datang dari orang yang tidak anda kenal.
2. Jangan pernah membuka attachments email yang datangnya dari orang yang tak dikenal. Lindungi password anda dan simpanlah dengan aman.
3. Jangan memberikan informasi-informasi penting, seperti: nomor telepon melalui email, kecuali anda mengetahui dengan pasti siapa yang ada diujung sebelah sana.
4. Cek keamanan situs yang anda kunjungi sebelum mengirimkan informasi-informasi penting kepada mereka.
5. Perhatikan alamat situs (URL) yang ada di address bar browser anda, jika mencurigakan sebaiknya jangan diteruskan.
6. Instal software anti-virus, aktifkan firewalls, dan filter email.
7. Update browser yang sering anda gunakan dan install plug-in security yang direkomendasikan.
C. Paket-paket Pengamanan
1. Windows
Live Messenger
2. Norton
Internet Security
KEAMANAN EMAIL
A. Konsep Dasar Pengamanan
Email adalah salah satu layanan yang penting yang ada di internet.
v
Hal yang harus kita ketahui dalam
Pengamanan Email :
1. PGP
adalah suatu metode enkripsi informasi yang
bersifat rahasia sehingga jangan sampai diketahui oleh orang lain yang tidak
berhak. Informasi ini bias berupa E-mail yang sifatnya rahasia, nomor kode
kartu kredit, atau pengiriman dokumen rahasia perusahaan melalui Internet. PGP
menggunakan metode kriptografi yang disebut “public key encryption”: yaitu
suatu metode kriptografi yang sangat sophisticated.
2.
GPG
GPG
(GNU Privacy Guard) adalah suatu software enkripsi yang
mengimplementasikan RFC2440. Penggunaan program ini biasanya ditemui pada
enkripsi email atau sebagai digital signature. Model enkripsi yang
digunakan adalah PKI(Public Key Infrastructure). Dengan demikian
seseorang pasti mempunyai sepasang kunci yaitu Private Key dan Public
Key.
3.
Digital Signature
Digital
Signature atau Tanda tangan digital adalah bentuk tiruan tanda tangan
konvensional ke dalam bentuk digital. Tetapi bukan file scan tanda tangan di
kertas. Sebutan digital signature ini sebenarnya konsep. Dalam dunia nyata,
tanda tangan digital itu bentuknya adalah rangkaian byte-byte yang jika
diperiksa bisa digunakan untuk memeriksa apakah suatu dokumen digital, juga
termasuk email, benar berasal dari orang tertentu atau tidak.
v Masalah email
n disadap
n dipalsukan
n disusupi (virus, worm, trojan)
n spamming
n
mailbomb
v Sistem email memiliki dua komponen
:
n Mail User Agent (MUA)
Berhubungan dengan pengguna.
Contoh: elm, mutt, pine, pegasus, eudora, netscape,
outlook
n Mail Transfer Agent (MTA)
Yang melakukan pengiriman email.
Contoh: sendmail, qmail, postfix, exchange
B. Macam-macam
Serangan dan Penanggulangannya
1.
E-mail Risks
Serangan terhadap
e-mail berfokus pada :
a.
Pengiriman dan eksekusi malicious code
(malcode)
i.
Basic e-mail hanya berupa teks ASCII
yang tidak dapat langsung dieksekusi
ii.
Serangan malcode (virus etc.) dapat
dilakukan dengan menggunakan attachment pada e-mail
iii.
Collaboration tool (seperti Microsoft
Outlook) dapat langsung menjalankan malcode yang di-attach pada suatu e-mail
b.
Kebocoran informasi yang sensitif
i.
E-mail dikirimkan sebagai clear text
2.
Spam
Spam adalah e-mail yang
tidak diinginkan untuk diterima
a.
A serious problem nowadays
b.
Dapat memunculkan serangan DoS
(Denial-of-Service Attack)
Spammer (pengirim spam)
dapat mencari nafkah dengan cara mengirim ribuan atau jutaan e-mail
c.
Yang merespons secara positif jumlahnya
memang hanya sedikit tapi sudah cukup untuk menangguk keuntungan
Bila dapat diketahui
sumber pengirim spam maka spammer dapat dituntut (hukum di Indonesia belum ada
yang mengatur ini?)
d.
Jika spammer memiliki e-mail server
sendiri, dia dapat merubah alamat yang ada di dalam field From
i.
Dengan mengatur konfigurasi mail server
(sendmail, postfix dsb.)
ii.
Digunakan alamat palsu atau alamat orang
lain
e.
Bisa pula menggunakan script PHP
3.
Spam DoS
Dilancarkan melalui
pengiriman ribuan e-mail menggunakan e-mail address pengirim milik orang lain
(korban)
a.
Korban akan dibanjiri e-mail berisi
komplain, bouncing, dan sedikit respons
b.
E-mail address milik korban jadi tidak
dapat digunakan
Bila e-mail address
milik korban masuk ke dalam address yang di-blacklist (akibat dianggap sebagai
spammer) maka korban akan kesulitan untuk mengirim e-mail yang legitimate.
4.
Blacklisting
Blacklist merupakan
database yang berisi alamat Internet (nama domain maupun IP address) yang
digunakan oleh spammer
Seringkali ISP menjadi
pelanggan layanan blacklist ini untuk menyaring spam yang masuk ke jaringan
mereka
Beberapa blacklist
diterapkan dengan cara menyimpan IP address spams pada database name server
a.
Ketika e-mail spammer datang proses DNS lookup
dilakukan untuk mencek apakah alamat e-mail pengirim legitimate atau tidak
i.
Address yang di-blacklist akan
mengembalikan invalid respons sehingga server akan me-reject e-mail
v Penanggulangannya
:
·
Jangan mengungkapkan alamat e-mail
·
Jangan melakukan unsupscribe pada e-mail spam
·
Non aktifkan html dalam e-mail
·
Laporkan spam
C. Paket-paket
Pengamanan
Reverences :
By : Elvriska Ayu Widiyanti