Pengenalan Ethical Hacking Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

dokumen-dokumen yang mirip
Denial of Service Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Keamanan Fisik Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Peretasan Peladen Web Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Pengendusan Data Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

IDS, Dingap, dan Honeypot Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

www. dickyprihandoko.worpress.com

BAB I PENDAHULUAN. memungkinkan pemakaian secara bersama data, perangkat lunak dan

PENDAHULUAN Keamanan Komputer Mengapa dibutuhkan?

MODEL PENGUJIAN KEAMANAN JARINGAN PADA WLAN (WIRELESS LOCAL AREA NETWORK) NETWORK SECURITY TESTING MODEL ON THE WLAN (WIRELESS LOCAL AREA NETWORK)

TUGAS KEAMANAN JARINNGAN KOMPUTER

Computer Science, University of Brawijaya. Putra Pandu Adikara, S.Kom. Keamanan Komputer. Kompetensi Aplikasi Komputer

MENGENAL JENIS-JENIS SERANGAN DoS (Denial Of Service) TERHADAP SISTEM JARINGAN Muhammad Rudyanto Arief. Abstraksi

ETIKA & KEAMANAN SISTEM INFORMASI

Ethical Hacking STMIK AMIKOM YOGYAKARTA 2012 / 2013

Ancaman & Keamanan Jaringan Komputer. Rijal Fadilah, S.Si

SELF DEFENDING LINUX NETWORK

PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI. Zaenal Arifin

BAB II LANDASAN TEORI

SISTEM KEAMANAN KOMPUTER

Computer & Network Security : Information security. Indra Priyandono ST

Security Sistem Informasi.

BAB 1 PENDAHULUAN. berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address

Pemindaian dan Pemanenan Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

Pengenalan Keamanan Jaringan

Dimas Wahyudi Sistem Komputer Fakultas Ilmu Komputer Universitas Sriwijaya

REGULASI & STANDAR. REGULASI UU ITE (UNDANG- UNDANG INFORMASI DAN TRANSAKSI ELEKTRONIK) PBI (PERATURAN BANK INDONESIA) NO

16 Agustus 2011 PENGANTAR KEAMANAN KOMPUTER

PENGANTAR FORENSIK TI Malware Forensic

Pengantar E-Business dan E-Commerce

Dasar Keamanan Jaringan Komputer

Bab 1 PENDAHULUAN. Seringkali masalah keamanan berada di urutan terakhir dalam daftar hal-hal yang

BAB I PENDAHULUAN 1.1 Latar Belakang

Network security authentication gateway attack authorization monitoring Komunikasi terenkripsi

BAB I. Pendahuluan. 1.1 Latar Belakang

NIST SP v2: PEDOMAN PANDUAN SISTEM KEAMANAN PUBLIK WEB SERVER

KEAMANAN SISTEM INFORMASI

Keamanan Sistem Informasi

BAB I PENDAHULUAN 1.1 Latar Belakang

Uji Penetrasi dengan BlankOn. Putu Wiramaswara Widya Mahasiswa Institut Teknologi Sepuluh Nopember, Surabaya

PERANGKAT LUNAK APLIKASI PERKANTORAN

SEMINAR PRAKTEK KERJA LAPANGAN Analisis Teknik Identifikasi dan Antisipasi Trojan di ID-SIRTII Mochammad Firdaus Agung (J2F008117)

Keamanan Jaringan Komputer

Pengantar Keamanan Sistem Informasi. Hasdiana, S.Kom, M.Kom

Regulasi & Standar. Regulasi UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) PBI (Peraturan Bank Indonesia) no.

FIREWALL,INSTRUSION DETECTION SYSTEM DAN HONEYPOT

Pengantar Komputer. Keamanan Komputer. Salhazan Nasution, S.Kom

KEAMANAN JARINGAN PERETAS, ETIKA DAN HUKUM

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

Keamanan Komputer & Sistem Informasi. Komang Anom Budi Utama, SKom

PROSEDUR KEAMANAN JARINGAN SPMI - UBD

BAB I PENDAHULUAN 1.1 Latar Belakang

Browser Hijacker Trojan Horse Spyware

ATTACK TOOLS. Oleh: M. RUDYANTO ARIEF 1

Keamanan Sistem dan Jaringan Komputer

BAB I PENDAHULUAN. informasi yang semakin maju, sebagian besar sistem yang terkomputerisasi

I. PENDAHULUAN. jaringan dan aplikasi yang dibuat khusus untuk jaringan. Akibatnya, interaksi

Perutean Praktikum Jaringan Komputer Program Studi Teknik Elektro, Unsoed

WIRELESS SECURITY. Oleh: M. RUDYANTO ARIEF 1

TUGAS ESSAY KEAMANAN JARINGAN KOMPUTER. Disusun oleh : : Gustian Ri pi : : Teknik Informatika

BAB I PENDAHULUAN. digunakan untuk mengakses situs web (website) adalah internet. pertumbuhannya sangat cepat adalah World Wide Web.

Informasi menjadi komoditi yang sangat penting Jaringan komputer, LAN dan Internet, mampu menyediakan informasi secara cepat Jaringan komputer

KEAMANAN JARINGAN KOMPUTER

BAB 1 PENDAHULUAN. Seiring dengan perkembangan jaman, penggunaan komputer dan jaringan

Manajemen Keamanan Informasi

TANTANGAN KEAMANAN DAN ETIKA

Keamanan Jaringan Komputer

CHAPTER 8 MELINDUNGI SISTEM INFORMASI

BAB I PENDAHULUAN. keamanan suatu sistem informasi, di sisi lain ada pihak-pihak dengan maksud

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom

STANDAR OPERASIONAL PROSEDUR KEAMANAN JARINGAN

Pendahuluan. Keamanan Komputer mencakup:

PROGRAM STUDI TEKNIK INFORMATIKA. Analisis Pendeteksian dan Pencegahan Serangan Backdoor Pada Layanan Server

Masalah Keamanan Pada Sistem Mobile

Pengintaian dan Penjejakan Ethical Hacking and Countermeasures (PAI ) Program Studi Teknik Informatika, Unsoed

PENDAHULUAN. Bab Latar Belakang

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

18.1 Pendahuluan Apa Itu Privacy?

Vpn ( virtual Private Network )

BAB I PENDAHULUAN 1.1. Latar Belakang Masalah

Implementasi E-Bisnis e-security Concept And Aplication Part-11

BAB 4 HASIL DAN PEMBAHASAN PENGUKURAN RISIKO TI. Sebagaimana individu, perusahaan, dan ekonomi semakin bergantung pada sistem

STANDARD OPERATING PROCEDURE

Analisa Serangan Password Cracking Pada Windows 10. Menggunakan Tools Pwdump v7.1 dan Cain & Abel

BAB II LANDASAN TEORI

KEAMANAN SISTEM INFORMASI. Gentisya Tri Mardiani, S.Kom., M.Kom

INTRODUCTION ASPEK-ASPEK PROTEKSI SISTEM INFORMASI

BAB I PENDAHULUAN 1.1. Latar Belakang Masalah

DESAIN JARINGAN KOMPUTER UNIVERSITAS AMIKOM YOGYAKARTA CHAPTER 8 JARINGAN KOMPUTER. Program Sarjana - Sistem Informasi

10/10/2010 PENGANTAR TEKNOLOGI INFORMASI. Materi 14 : Pengantar Etika Profesi ETIKA DALAM SISTEM INFORMASI. 1. Privasi

Sistem Jaringan. Pengenalan Keamanan Jaringan. Andra Warastri, ST, MTI. Modul ke: Fakultas Ilmu Komputer. Program Studi Teknik Informatika

Mengapa perlu sebuah keamanan?

ANALISIS SERANGAN MALWARE PADA KEAMANAN JARINGAN KOMPUTER

BAB 1 PENDAHULUAN. kehidupan sehari-hari. Hampir seluruh masyarakat menggunakan mobile

Mengamankan Sistem Informasi. Gentisya Tri Mardiani, S.Kom

RESUME SECURITY AND ETHICAL CHALLENGES

LAPORAN RESMI PRAKTIKUM KEAMANAN DATA Praktikum Port Scanning dan Network Probbing

(Mengatasi Remote Attack)

Keamanan Jaringan (Network Security)

PERTANYAAN YANG SERING DIAJUKAN TENTANG RUANG LINGKUP TUGAS ID-SIRTII

Transkripsi:

Pengenalan Ethical Hacking Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id> Tahun Ajaran 2011/2012

Hacking?

David Kjelkerud, CC BY NC SA 2.0, https://secure.flickr.com/photos/davidkjelkerud/2078670854/ Hacking?

Apakah hacking selalu berhubungan dengan keamanan?

Tidak.

Ecyrd, CC BY NC 2.0, https://secure.flickr.com/photos/ecyrd/152331829/

lintmachine, CC BY NC SA 2.0, https://secure.flickr.com/photos/lintmachine/2044463295/

It is hard to write a simple definition of something as varied as hacking, but I think what these activities have in common is playfulness, cleverness, and exploration. RMS* * http://stallman.org/articles/on hacking.html

Thus, hacking means exploring the limits of what is possible, in a spirit of playful cleverness. Activities that display playful cleverness have hack value. RMS* * http://stallman.org/articles/on hacking.html

Dalam mata kuliah ini, hacking akan berhubungan dengan keamanan ;-)

Computer security hacking.

Peretasan keamanan komputer.

Apa bedanya dengan mata kuliah Keamanan Jaringan Komputer?

Ethical Hacking melihat isu keamanan dari kaca mata orang luar, sedang Keamanan Jaringan Komputer melihatnya dari dalam.

Ethical Hacking melihat isu keamanan dari sisi penyerangan. Keamanan Jaringan Komputer melihatnya dari sisi pertahanan.

Ethical Hacking: aktivitas peretasan dengan metode serangan/penetrasi untuk mengetahui tingkat keamanan sistem komputer dan cara penanggulangan terhadap kelemahannya.

Menjadi hacker yang baik hati. (mempelajari teknik-teknik serangan untuk bertahan)

Uji penetrasi. (penetration testing)

Keamanan

Satpam?

Keamanan adalah kondisi yang minim gangguan* pada infrastruktur, informasi, dan manusia yang ada di dalamnya.

Keamanan Sistem Komputer? Teknologi berkembang cepat, semakin canggih, dan menonjolkan kemudahan, alih alih keamanan. Lihat segitiga keamanan. Semakin bertambahnya: perangkat berbasis komputer yang terhubung ke jaringan atau Internet. aplikasi dan layanan yang tersedia di jaringan atau Internet. Berkurangnya tingkat kemampuan yang diperlukan untuk melakukan penyusupan atau serangan ke sistem komputer karena tersedianya paket program siap pakai. Keamanan akan berpengaruh pada: aset dan citra organisasi, serta administrasi dan pengelolaan infrastruktur, termasuk kebijakan.

Terminologi Keamanan

Terminologi Keamanan Ancaman/Threat: situasi yang dapat memunculkan potensi serangan keamanan. Terdapat prioritas atau tingkat ancaman. Kerentanan/Vulnerability: kelemahan pada sistem, aplikasi, atau jaringan yang disebabkan oleh kesalahan perancangan logika atau implementasi. Eksploit/Exploit: perangkat lunak yang digunakan untuk mengeksploitasi kerentanan sistem. Biasanya dibuat oleh seorang hacker elite. Target Evaluasi/Target of Evaluation (ToE): target uji penetrasi. Dapat berupa sistem, aplikasi, atau jaringan. Umumnya dilakukan pada sistem yang memiliki nilai tinggi, bisa karena data atau informasi yang tersimpan di dalamnya. Serangan/Attack: aksi serangan terhadap sistem, aplikasi, atau jaringan. Dapat dilakukan dari jarah jauh/remote atau lokal.

Elemen Keamanan

Elemen Keamanan Confidentiality: kerahasiaan data pada semua bentuk media. Contoh serangan: pencurian kata sandi dan informasi pribadi. Integrity: integritas data dari perubahan oleh orang yang tidak berhak. Contoh serangan: perubahan data saat dikirimkan atau saat disimpan. Availability: ketersediaan informasi dan layanan saat diperlukan. Contoh serangan: DoS. Authenticity: identifikasi dan keaslian data, komunikasi, dan orang yang mengakses sumber daya. Contoh serangan: MAC address spoofing. Non Repudiation: berhubungan dengan Authenticity. Penyedia layanan menyediakan bukti bahwa integritas dan keaslian misal komunikasi atau informasi yang dikirim benar. Jadi, pengakses layanan tidak dapat mengingkari (non repudiation).

Graves, K. 2010. CEH Study Guide

Graves, K. 2010. CEH Study Guide

Keamanan adalah proses.

Peretas Keamanan

Hacker vs. Cracker

Membangun vs. Merusak

Peretas Keamanan Topi putih/white hat: baik hati. Ethical hacker. Profesional. Mengetahui teknik serangan dan kelemahan sistem, serta penanggulangannya. Topi hitam/black hat: jahat. Cracker. Bertujuan nakal atau ilegal. Merusak dan membuat masalah. Topi abu abu/gray hat: tergantung situasi. Punya rasa ingin tahu yang besar. Melakukan peretasan tanpa ijin tapi tidak merusak, dan biasanya membantu menunjukkan kelemahan sistem/jaringan pada administratornya.

Hacktivism. (hacking for cause)

https://en.wikipedia.org/wiki/file:wikileaks_logo.svg

Ethical Hacker

If you know your enemies and know yourself, you will not be imperiled in a hundred battles... Sun Tzu, The Art of War

Ethical Hacker Melakukan evaluasi keamanan sistem dan jaringan dengan metode pengujian serangan. Uji penetrasi atau penetration testing. Kemampuan yang dibutuhkan: sistem operasi, jaringan, pemrograman, dan teknologi yang digunakan oleh target. Pengalaman adalah guru yang terbaik. Umumnya dalam bentuk tim yang masing masing anggotanya mempunyai spesialisasi kemampuan tertentu. Legal, memiliki ijin, dan mengikuti kesepakatan.

Sabar dan istiqomah. (tidak bosan mencari kerentanan dan mencoba berulang kali teknik eksploitasi)

Jadi, bobol itu hanya masalah waktu saja.

Tahapan Serangan

Graves, K. 2010. CEH Study Guide

Tahapan Serangan (1) 1) Pengintaian dan penjejakan Pengumpulan informasi sebanyak banyaknya tentang target. Pasif: tanpa interaksi langsung. Menggunakan mesin pencari, pengendusan dalam jaringan, rekayasa sosial, ngubek ubek tempat sampah. Aktif: berinteraksi langsung dengan target. Menggunakan telepon atau bertatap muka, misal berbicara dengan resepsionis, menelpon layanan pelanggan atau dukungan teknis. 2) Pemindaian Serangan awal yang menggunakan informasi dari tahap pengintaian dan penjejakan. Target: mendapat satu atau lebih entri/cara memasuki sistem/jaringan. Perkakas: dialer, port scanner, ICMP scanner, ping sweep, network mapper, SNMP sweeper, vulnerability scanner.

Tahapan Serangan (2) 3) Mendapatkan Akses (0wning) Proses eksploitasi kelemahan sistem, aplikasi, dan jaringan. Fase penetrasi. Media dapat bermacam macam: kabel, nirkabel, akses lokal, Internet, fisik/luring/offline. 4) Mempertahankan akses Proses menguasai sistem dan mempertahankan akses misal dengan memasang backdoor, rootkit, atau trojan, memanipulasi data/informasi. Sistem yang dikuasai dapat dimanfaatkan sebagai batu loncatan untuk menyerang sistem lain. 5) Membersihkan jejak Memanipulasi/menghapus bukti, catatan/log sistem atau alarm IDS yang merekam aktivitas yang telah dilakukan.

Tipe dan Area Serangan

Tipe Serangan Jaringan jarak jauh: lewat Internet, ketemu dengan firewall, proxy, dan router. Jaringan dial up jarak jauh: war dialing, teknik jadul, saat ini sudah relatif tidak relevan. Jaringan lokal: kabel dan nirkabel. Perangkat curian: banyak informasi tersimpan di perangkat seperti nama pengguna, kata sandi, konfigurasi keamanan dan enkripsi, alamat MAC, dll. Rekayasa sosial/social engineering: memanfaatkan interaksi sosial. Fisik: banyak hal dapat dilakukan secara fisik seperti menanam virus dan trojan melalui flashdrive, keylogger, access point WiFi

Area Serangan Sistem Operasi: kompleks, konfigurasi dan layanan default, tambal sulam. Aplikasi: umumnya aplikasi dikembangkan dalam waktu singkat dan tidak diuji kerentanannya terhadap isu keamanan. Penambahan fitur = penambahan kesalahan/bug = penambahan kerentanan. Kode/fitur bawaan: terdapat program/skrip atau yang dipaketkan bersama sistem operasi atau aplikasi. Contoh: makro pada pengolah kata. Konfigurasi yang keliru. Pengaruh sistem yang relatif kompleks dan kemampuan administrator yang minim. Contoh: keamanan diset rendah dan asal jadi.

Kita tidak dapat menghentikan serangan, tetapi kita dapat mengurangi jumlah dan dampaknya.

Tipe Uji Penetrasi

Tipe Uji Penetrasi Black Box: pengujian tanpa pengetahuan atau informasi infrastruktur dan sistem target. Simulasi serangan nyata, tapi membutuhkan waktu. White Box: pengujian dengan pengetahuan atau informasi lengkap tentang infrastruktur dan sistem target. Banyak diterapkan. Gray Box: melakukan pengujian secara internal, untuk mengetahui serangan dari dalam jaringan.

Graves, K. 2010. CEH Study Guide

Riset Kerentanan Sistem Komputer

Riset Kerentanan Mencari kerentanan dan cara atau metode serangan. Melibatkan studi informasi produk, layanan, dan teknologi. Informasi yang ditemukan biasanya dibagi sesuai dengan tingkat (rendah, menengah, tinggi) dan jangkauan eksploitasi (lokal atau jarak jauh). Common Vulnerabilities and Exposures (CVE) Situs situs penyedia informasi keamanan: CERT, PacketStorm, Secunia, Securiteam, Securityfocus, situs situs penyedia produk/layanan, dan banyak lagi. Ezine, milis, dan forum: Phrack, ECHO, Kopi darat dan konferensi keamanan: idsecconf,...

Langkah-Langkah Audit Keamanan

Apa yang akan dilindungi?

Dilindungi dari siapa?

Sumber daya apa yang dibutuhkan untuk melakukan pertahanan?

Graves, K. 2010. CEH Study Guide

Graves, K. 2010. CEH Study Guide

Graves, K. 2010. CEH Study Guide

Graves, K. 2010. CEH Study Guide

Graves, K. 2010. CEH Study Guide

Graves, K. 2010. CEH Study Guide

Audit Keamanan/Uji Penetrasi Yang perlu dipertimbangkan: tim, informasi apa saja yang sensitif, NDA, dan integritas penilaian (valid). Pengujian dilakukan sesuai dengan yang disepakati. Tidak membahayakan sistem yang diuji dan mendapatkan ijin. Melakukan dokumentasi dan pengorganisasian setiap temuan secara rinci.

Laporan Audit Keamanan Bersifat rahasia. Berisi aktivitas dan metode peretasan, tipe pengujian, jadwal, sampai dengan identifikasi kerentanan, potensi risiko terhadap sistem dan cara penanggulangannya. Disertai dengan bukti bukti seperti catatan/log sistem, tangkapan layar, dll.

Catatan: tugas ethical hacker hanya menguji dan melaporkan hasil evaluasi keamanan, bukan memperbaiki.

Kejahatan Komputer

Agar tetap menjadi hacker yang baik, kita perlu mengetahui hukum siber yang ada di masing-masing daerah/negara.

Bagaimana dengan hukum siber di Indonesia?

Persetujuan Saya akan mengikuti mata kuliah Ethical Hacking* dengan baik dan akan menggunakan ilmu yang didapat untuk kebaikan.

Daftar Bacaan EC Council. 2008. Module I: Introduction to Ethical Hacking, Ethical Hacking and Countermeasures Version 6 Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide, Sybex

2026 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan