REGULASI & STANDAR. REGULASI UU ITE (UNDANG- UNDANG INFORMASI DAN TRANSAKSI ELEKTRONIK) PBI (PERATURAN BANK INDONESIA) NO

Transkripsi

1 REGULASI & STANDAR. REGULASI UU ITE (UNDANG- UNDANG INFORMASI DAN TRANSAKSI ELEKTRONIK) PBI (PERATURAN BANK INDONESIA) NO

2 Latar Belakang Ancaman selalu datang tidak terduga, berakibat pada resiko yang lebih besar jika resiko tidak dikelola (Risk Management) Kerentanan (Vulnerability) pada sistem informasi selalu ada dan cenderung meningkat. Peningkatan penggunaan exploit secara terbuka dan mudah digunakan. Perlunya pengendalian terhadap Ancaman dan Vulnerability untuk menekan resiko kepada tingkat yang wajar melalui Vulnerability Assessment Regulasi & Standar Regulasi UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) PBI (Peraturan Bank Indonesia) no. 9/15/PBI/2007 Standar SNI ISO : 2009 Sistem Manajemen Keamanan Informasi PCI DSS (Payment Card Industry - Digital Security Standards) Regulasi UU ITE Pasal 15 (1)Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya. Penjelasan : Andal artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya. Aman artinya Sistem Elektronik terlindungi secara fisik dan nonfisik. Regulasi Perbankan Peraturan Bank Indonesia no. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum Pengujian Penetrasi (Penetration Testing) terhadap jaringan internal dan eksternal secara berkala sekurang-kurangnya 1 tahun sekali Standard SNI ISO IEC : 2009 Sistem Manajemen Keamanan Informasi A.15.2 Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis A Pemenuhan terhadap kebijakan keamanan dan standar A Pengecekan pemenuhan teknis Sistem Informasi harus secara regular dicek pemenuhan teknis terhadap standar penerapan keamanan Beberapa Istilah Penting Hacking Ethical Hacking White Hat Hacker Black Hat Hacker Security Assessment Vulnerability Assessment Penetration Testing Cracking, Phreaking, Carding Security Audit Hacking vs Ethical Hacking Hacking Memanipulasi teknologi untuk dapat melakukan sesuatu yang tidak dirancang / direncanakan (Hacking). Membobol sistem komputer dan jaringan tanpa izin (Cracking) Black Hat Hacker. Ethical Hacking Teknik serangan dengan menggunakan komputer untuk menemukan kelemahan keamanan dengan mendapatkan ijin dari pemilik target dengan tujuan untuk meningkatkan keamanan, White Hat Hacker Cracking / Black Hat Hacker Tidak memiliki pola (metodologi) Tujuan Cracking dan Target Cracking : Tidak jelas Tujuan : Eksis, Narsis Target : Site yang lemah, atau media apa saja yang dapat di exploitasi. Mengandalkan Tools dan jam terbang Mencari Target Mencari Vulnerability Mencari Vulnerability Dapat Target Mencari exploit Action Kegiatan : Black Box Cracking / Black Hat Hacker - Lanjutan Memiliki karakter sendiri. Setiap hacker memiliki latar

3 belakang dan pengetahuan yang berbeda. Web Defacement Wireless Hacking, sniffing System Hacking & Networking. Carding Lock Picking Social Engineering Phreaking. Langsung ke sasaran, dengan target site yang lemah Securtiy Assessment Profesional dan Metodologis Pola : Standard Metodologi Script Pentest Tujuan Hacking : Pemenuhan Regulasi dan Standar Target Hacking : Perusahaan / Lembaga yang terkena Regulasi. Pemenuhan Standar, misalnya ISO Proses Development : Development UAT SAT Pentest Mengandalkan Tools, Seni dan jam terbang Metodologi Script Pentest Tools / Manual / Check List Action Report patch Regulasi & Standar Terpenuhi. Kegiatan : Black Box, White Box dan Grey Box Vulnerability Assessment vs Penetration Test Vulnerability Assessment (VA) Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan. Evaluasi dan analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Memberikan laporan dan rekomendasi atas temuan yang didapat dari kegiatan VA Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack). Penetration Testing (PT) Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan. Eksploitasi terhadap temuan vulnerability (PoC) Evaluasi terhadap sistem keamanan yang sudah dibuat, dengan cara melakukan simulasi serangan yang menggunakan metoda yang biasa digunakan oleh Hacker. Analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack). Security Audits Pengujian yang dilakukan berdasarkan acuan pada sebuah standar. Proses pengujian dilakukan menggunakan Checklist Hacking vs Security Audits Teknik Security Assessment Passive research / Information Gathering Mengumpulkan Informasi tentang organisasi (Apapun informasi yang bisa didapat), misalnya tentang konfigurasi sistem, kebocoran data, web defacement, phising, dll) Network mapping and OS fingerprinting Pengujian pada konfigurasi jaringan Network sniffing Pengujian terhadap traffic data yang melintasi jaringan Teknik Security Assessment Trojan Attacks Mengirimkan trojan / backdoor melalui , file sharing, chat rooms, dan Instant Message. Cracking Password Melakukan serangan cracking password dengan menggunakan berbagai metoda cracking yang umum digunakan. Vulnerability Scanning Pengujian Vulnerability pada jaringan dan aplikasi. Proses Security Assessment Menentukan Scope Kegiatan Apa saja, dari mana, dan oleh siapa akan dilakukan pengujian. Apa saja yang boleh diketahui / diberikan kepada Tim Security Assessment

4 (SA) Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA. Hal ini semua harus tertuang dalam NDA. Proses Security Assessment Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA. A nondestructive test Scanning Findings and map the Vulnerabilities PoC Tidak boleh melakukan DoS. Destructive test Scanning Findings and Vulnerabilities DoS dan Buffer Overflow Attacks Proses Security Assessment Kegiatan Security Assessment Mencari dan menemukan informasi vulnerability Pada umunya mencakup konfigurasi jaringan, topologi, hardware dan software Pelaporan Hal yang penting dan menjadi penentu akhir dari hasil kegiatan SA. Berisi daftar vilnerability yang telah diklasifikasikan sesuai dengan tingkat Risikonya : High, Medium Low. Rekomendasi untuk melakukan mitigasi pada setiap temuan vulnerability. Metodologi EC-Council LPT OWASP (Open Web Application Security Project) OSSTMM (Open Source Security Testing Methodology Manual) ISSAF (Information System Security Assessment Framework) CISSP (Certified Information System Security Professional) Pendekatan Black Box : Zero knowledge Assessment Internal / External Attack White Box Full knowledge Assessment Internal Attack Grey Box Partial knowledge Assessment Internal Attack Cakupan Teknis Lingkungan Produksi : Sistem Operasi, Aplikasi e-banking, Database, Peralatan jaringan Perimeter keamanan (Internal dan eksternal) Lingkungan Pengembangan dan Publik Aplikasi e-banking Website Project Organizational Structure Penetration Testing Team Team Ethical Hacker Pendekatan Proses Bisnis (UAT) Pendekatan Hacker (HAT) Pendekatan Tools dan Analisis report tools (VA) Toolbox Network Vulnerability Scanner Nessus, GFI LanGuard, Retina, Core Impact Web Vulnerability Scanner Acunetix, Nikto, WebScarab, Black Widow, Manual Security Assessment Roadmap Security Assessment Roadmap Strategies of Security Assessment External Penetration Testing Merupakan pendekatan tradisional (sering digunakan) Pengujian difokuskan pada Server publik (web server, dan server) dan infrastruktur (seluruh eksternal network, Router dan Firewall). Menggunakan pendekatan Black box dan White box. External Penetration Testing Internal Security Assessment Pengujian dilakukan dari sejumlah titik akses jaringan, yang

5 mewakili setiap segmen fisik dan logic. misalnya, beberapa titik segmen jaringan internal, DMZ dan termasuk koneksi ke seluruh mitra organisasi. Menggunakan pendekatan Black box dan White box. Internal Penetration Testing Internal Penetration Testing Internal Penetration Testing Aplikasi yang lemah walaupun berada dalam infrastruktur yang aman, tetap dapat diekspos. Pengujian aplikasi ini sangat penting, karena bisa merupakan produk inti dari organisasi. Pengujian ini dimaksudkan agar pengguna (jahat) aplikasi tidak dapat mengakses, memodifikasi atau merusak data dan layanan dalam sistem Jenis2 Source code review Melakukan analisa terhadap kode aplikasi, bahwa tidak mengandung kode sensitif / curang atau backdoor, atau kode yang memungkinkan kelemahan aplikasi yang dapat dieksploitasi. Authorization testing Menguji aplikasi dari kemungkinan akses yang tidak diijinkan (mis. SQL Injection) dan penggunaan session. Pengujian Guessing & Cracking password Jenis2 Functionality testing Pengujian fungsi aplikasi berdasarkan hak akses user, kesesuaian dengan proses bisnis, tidak melanggar policy/prosedur. Pengujian kemungkinan user dapat menaikkan hak akses (escalating privilege) Web penetration testing Pengujian dapat menggunakan berbagai cara untuk mengidentifikasi vulnerability : SQL Injection, XSS, otentikasi lemah, atau sourcode terbuka. Network Security Assessment Melakukan scanning vulnerability pada lingkungan jaringan untuk mengetahui vulnerability dan meningkatkan kebijakan keamanan. Untuk mengungkapkan kesalahan keamanan jaringan yang dapat menyebabkan data atau peralatan terkena trojan / backdoor, atau layanan tidak dapat bekerja dan jenis intrusi lainnya. Wireless / Remote Access Assessment Titik kerentanan jaringan internal terkadang muncul dari koneksi wireless dan Remote access, karena titik ini sangat mudah dibuat dan sulit dibatasi aksesnya (wireless). Wireless networks: a,b and g Bluetooth Wireless radio transmissions Radio communication channels Social Engineering Pengujian ini dapat dilakukan dengan melakukan interview dan angket terhadap beberapa bagian atau beberapa staf yang berhubungan dengan publik. Vulnerability Research Websites

6 National Vulnerability Database (nvd.nist.gov) Secunia (secunia.com/product/) Secunia monitors vulnerabilities in more than products Exploit Database Inject0r Exploit Database Penetration Testing Phase 1 - Reconnaissance Phase 2 - Scanning Phase 2 - Scanning Phase 3 - Gaining Access Phase 4 - Maintaining Access Phase 5 - Covering Tracks Information Gathering Google Hacking Netcraft Domain / Subdomain Scanner Whois Free Online Network Tools Google Hacking Operator Site : site:go.id site:bandung.go.id Teknik Traversal intitle:index.of inurl:"/admin/*" Error warning, login Logon, username userid, password passcode Admin administrator Scanning Analisa dari sisi luar Informasi Sub Domain, bersifat terbuka Tools : dig dan sub-domain scanner Mencari Website domain tertentu Tools : Google Informasi Sistem Website domain tertentu Tools : netcraft Scanning Infrstruktur Jaringan Tools : Look@lan, nmap Port Scanning Port Scanning Tools Trafic Route Buat Topologi Vulnerability Scanning Vulnerability Scanning Internal Penetration Testing

7 Scanning Infrastruktur Network Port Scanning Vulnerability Scanning Vulnerability Scanning Terima Kasih Q and A

8