Daftar Isi. Daftar Gambar. Daftar Tabel. 1 Pendahuluan 1. 2 Apakah Hacking Statistik? 2

dokumen-dokumen yang mirip
BAB I PENDAHULUAN. untuk melindungi form web dari serangan spam. Saat ini sudah terdapat banyak

Tugas Bahasa Indonesia

I. PENDAHULUAN. jaringan dan aplikasi yang dibuat khusus untuk jaringan. Akibatnya, interaksi

Pencari Celah Keamanan pada Aplikasi Web

BAB I PENDAHULUAN. Internet dapat digunakan untuk melakukan serangan kejahatan terhadap

BAB IV IMPLEMENTASI DAN PENGUJIAN

Keamanan Web Server. Pertemuan XI WEB HACKING

BAB IV HASIL DAN UJI COBA

BAB III IDENTIFIKASI DAN KLASIFIKASI WEB LOG

BAB II LANDASAN TEORI. Perangkat lunak atau Software adalah perintah (program komputer) yang dieksekusi

Evaluasi dan Penilaian Interaktif Berbasis Web. Kuswari Hernawati

Pengaruh Penggunaan Overlapped Character untuk meningkatkan Robustness CAPTCHA

BAB 1 PENDAHULUAN Latar Belakang

BAB III RANCANGAN PENGUJIAN. aplikasi ini adalah black box testing. Black box testing atau tes fungsional adalah

Pert 11 DASAR-DASAR WEB DESIGN

Masalah Keamanan Pada Sistem Mobile

Vol. VII Nomor 22 Maret Jurnal Teknologi Informasi ISSN :

DASAR-DASAR WEB DESIGN

Modul TIK Kelas XI SMA Negeri 1 Salatiga

UPAYA MEMINIMALISASI PADA LAYANAN LAPAN BANDUNG

Andi Dwi Riyanto, M.Kom

Tujuan Pembangunan Jaringan Komputer. mengantarkan informasi secara tepat dan akurat dari sisi pengirim ke sisi penerima

APLIKASI SISTEM PENDIDIKAN JARAK JAUH BERBASIS WEB

BAB 4 IMPLEMENTASI DAN EVALUASI. Faktor-faktor tersebut antara lain adalah perangkat keras, perangkat lunak,

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

BAB IV HASIL DAN UJI COBA

Keamanan Data di dalam Cloud Storage

Perancangan Website Ujian. Teknik Elektro UNDIP Berbasis HTML

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Studi dan Analisis Penggunaan Secure Cookies Berbasis Kriptografi Kunci Publik untuk Aplikasi ecommerce

Analisis Penanganan SQL Injection pada Basis Data MySQL dengan Framework Code Igniter dan PHP

DETEKSI MALWARE DALAM JARINGAN MENGGUNAKAN DIONAEA. (Malware Detection in the Network Using Dionaea)

BAB V IMPLEMENTASI DAN PENGUJIAN

TUGAS KELOMPOK SECURITY COMPUTER TOOL HACKING SQL INJECTION

Riska Kurnianto Abdullah NRP :

IMPLEMENTASI DAN PENGUJIAN

diantaranya pengoperasian perangkat lunak pada komputer Server, pengoperasian

BAB IV HASIL DAN UJI COBA

Modul Pelatihan Membuat Blog dengan Wordpress

MEMBANGUN BLOG PERSONAL MENGGUNAKAN WORDPRESS

BAB 1 PENDAHULUAN. berkomunikasi. Hal tersebut dapat dilakukan dengan hanya mengetik alamat ip address

BAB IV ANALISIS DAN PERANCANGAN SISTEM

BAB III ANALISIS DAN PERANCANGAN

Penerapan Digital Signature pada Dunia Internet

ANALISIS KEAMANAN PAIR BASED TEXT AUTHENTICATION PADA SKEMA LOGIN

BAB I PENDAHULUAN. atau keterlibatan dunia sehingga internet dewasa ini menjadi jendela dunia di

BAB I PENDAHULUAN Latar Belakang Masalah

BAB II TINJAUAN PUSTAKA

HASIL PENILAIAN E-ASPIRASI WEBSITE UNIT KEMKES

BAB IV IMPLEMENTASI DAN PENGUJIAN

BAB I PENDAHULUAN. kesuksesan dan mulai dikenal luas, menggantikan kepopuleran disk operating

BAB 2 LANDASAN TEORI

BAB 2 LANDASAN TEORI

HASIL PENILAIAN E-ASPIRASI WEBSITE UNIT KEMKES

BAB IV IMPLEMENTASI SISTEM DAN PENGUJIAN. meliputi pembahasan mengenai proses perekaman gambar berdasarkan interval

Elearning Perbanas Panduan Mahasiswa

PANDUAN PENGGUNAAN MULTIMEDIA PEMBELAJARAN MANDIRI MATA PELAJARAN FISIKA

PANDUAN PEMBUATAN KONTEN E LEARNING LENGKAP

BAB IV HASIL DAN UJI COBA. Berikut ini akan dijelaskan tentang tampilan hasil rancangan dari

DASAR-DASAR Web Programing(WP) copyright by : japikinfo.com

BAB I PENDAHULUAN. A. Latar Belakang. Manusia sebagai makhluk sosial membutuhkan komunikasi diantara sesamanya,

Kebijakan Privasi. Kebijakan Privasi Taralite. Informasi yang Kami Kumpulkan dari Anda

Kebijakan Privasi (Privacy Policy)


Modul Pengguna SCeLE

IPSEC SEBAGAI SALAH SATU SOLUSI KEAMANAN DATA PADA JARINGAN KOMPUTER

BAB IV HASIL DAN UJI COBA

Kebijakan Privasi. Cakupan. Jenis Data dan Metode Pengumpulan

Indowebster media penyimpanan berbasis Cloud Computing

2.4 Proses Upload File dan Database di Free Hosting Membuat Account di Free Hosting

KEBIJAKAN PRIVASI KEBIJAKAN PRIVASI

BAB IV HASIL DAN UJI COBA

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

PELATIHAN PEMBUATAN WEBLOG UNTUK PENGEMBANGAN BIDANG ILMU MATEMATIKA

PETUNJUK TEKNIS E-TRAINING PPPPTK TK DAN PLB

DESAIN DAN IMPLEMENTASI APLIKASI SELF ASSESSMENT

DAFTAR ISI... 2 PENDAHULUAN... 5 PERANGKAT YANG DIBUTUHKAN... 6 CARA MEMBUKA SITUS... 7 MENU BUKU PELAUT A. GENERAL User Profile...

PENGERTIAN WEBSITE DAN FUNGSINYA

MANUAL APLIKASI PENDATAAN GURU SMA/SMK UNTUK GURU. 1 H a l a m a n. Pembangunan Aplikasi Sistem Informasi Kepegawaian Guru

HASIL PENILAIAN E-ASPIRASI WEBSITE UNIT KEMKES

INSTALLATION GUIDE INSTALLATION GUIDE. PT.Technomatic Cipta Mandiri. IT division: Jl. Cikutra Baru Raya No.2 Bandung-40124

Mengenal Web Dinamis dan Statis Serta Perbedaanya

Rekayasa Sistem Web. Teguh Wahyono. Fakultas Teknologi Informasi Semester Antara Tahun 2012/2013

BAB III ANALISA DAN PERANCANGAN SISTEM

Sistem Informasi Bimbingan Mahasiswa

PENGGUNAAN SPOOFING DAN SSH FORWARDING UNTUK KEAMANAN SERTA FILTRASI DATA PADA JARINGAN

BAB IV IMPLEMENTASI DAN PENGUJIAN

KEAMANAN LOGIN WEB MENGGUNAKAN METODE 3DES BERBASIS TEKNOLOGI QUICK RESPONSE CODE

BAB I PENDAHULUAN. pengetahuan yang sangat populer saat ini. Dengan ilmu pengetahuan ini, teknologi di

BAB 1 PENDAHULUAN. Dewasa ini, lahan parkir menjadi kebutuhan utama pengguna kendaraan,

BAB III ANALISIS DAN PERANCANGAN SISTEM

BAB IV HASIL DAN IMPLEMENTASI. belajar dan bertukar ilmu dilingkungan jurusan Teknologi Informasi. Halaman-halaman

BAB II TINJAUAN PUSTAKA DAN DASAR TEORI

BAB IV IMPLEMENTASI DAN PENGUJIAN

BAB III ANALISIS DAN PERANCANGAN

Petunjuk Penggunaan Moodle Bagi Pengajar

TASK 5 JARINGAN KOMPUTER

Asumsi dari penyedia layanan (website master) adalah sebagai berikut:

Enkripsi Sederhana SMS (Short Message Service) Menggunakan Vigenere Cipher

Transkripsi:

Daftar Isi Daftar Isi Daftar Gambar Daftar Tabel i iii iv 1 Pendahuluan 1 2 Apakah Hacking Statistik? 2 3 Celah Keamanan Situs Berita 2 3.1 Jumlah Pembaca Berita......................... 2 3.2 Kirim Berita Melalui Email...................... 3 3.3 Beri Komentar Pada Berita...................... 3 4 Membedakan Pengunjung Manusia dan Komputer 3 4.1 Verifikasi Gambar........................... 4 4.2 Verifikasi Suara............................ 4 4.3 Perhitungan Matematika....................... 4 4.4 Teka-teki Logika........................... 5 4.5 Verifikasi Video............................ 5 4.6 Verifikasi Gambar ASCII....................... 5 4.7 Metode yang disarankan....................... 5 5 Pengelompokan Perilaku atasi Statistik Hacking 6 5.1 Pengabaian Berdasarkan IP Address dan Waktu........... 6 5.2 Pengabaian Berdasarkan Perilaku Serupa Secara Berulang..... 6 5.3 Pengabaian Penyalahgunaan IP dan Domain............. 7 6 Analisa Celah Keamanan Situs Berita Indonesia 7 6.1 Analisa Keamanan Jumlah Pembaca Berita............. 7 6.1.1 Celah Keamanan Jumlah Pembaca Berita.......... 9 6.1.2 Solusi Keamanan Jumlah Pembaca Berita.......... 9 6.2 Kirim Berita Melalui Email...................... 10 6.2.1 Celah Keamanan Kirim Berita Melalui Email........ 12 6.2.2 Solusi Kemananan Kirim Berita Melalui Email....... 12 6.3 Beri Komentar Pada Berita...................... 13 i

6.3.1 Celah Keamanan Beri Komentar Pada Berita........ 15 6.3.2 Solusi Keamanan Beri Komentar Pada Berita........ 15 7 Kesimpulan 15 Daftar Pustaka 16 ii

Daftar Gambar 4.1 Contoh Verifikasi Gambar....................... 4 4.2 Contoh Verifikasi Gambar ASCII................... 5 6.1 Perhitungan Jumlah Pembaca di Kompas disetiap berita....... 7 6.2 Perhitungan Jumlah Pembaca di Republika Online disetiap berita.. 8 6.3 Berita Terpopuler di Kompas.com................... 8 6.4 Berita Terpopuler di Republika Online................. 9 6.5 Form Kirim Berita Melalui Email Detikcom........... 10 6.6 Form Kirim Berita Melalui Email Vivanews........... 11 6.7 Form Kirim Berita Melalui Email Kompas............ 11 6.8 Detikcom script asli.......................... 12 6.9 Detikcom script setelah dimodifikasi................. 12 6.10 Hasil spamming dengan Detikcom................... 12 6.11 Form Beri Komentar Detikcom.................. 13 6.12 Form Beri Komentar Republika Online............. 14 6.13 Form Beri Komentar Vivanews.................. 14 6.14 Form Beri Komentar Kompas.................. 15 iii

Daftar Tabel 1 Perbandingan Berbagai Metode Pembeda Manusia dan Komputer.. 6 iv

Hacking Statistik - Eksploitasi Celah Keamanan Situs Berita Indonesia Yulrio Brianorman - 23509309 30 Mei 2010 Sekolah Tinggi Elektro dan Informatika - Institut Teknologi Bandung Abstrak Situs berita yang tersedia saat ini menyediakan berbagai layanan interaktif dengan pengunjung, diantara layanan interaktif yang disediakan adalah komentar pada setiap berita dan mengirim berita ke orang lain melalui email dan menghitung jumlah yang membaca berita tersebut. Pada layanan ini terdapat celah keamanan yang dapat dipergunakan untuk melakukan Statistics Hacking. Hal ini menyebabkan berita yang tadinya tidak popular atau jarang pengunjung menjadi naik dratis jumlah pengunjungnya. Pada paper ini akan dibahas mengenai teknik pengamanannya. Ada 2 teknik yang akan digunakan. Pertama, teknik membedakan antara manusia dan computer. Kedua, teknik pengelompokan prilaku, contohnya mengantisipasi berulangnya perintah yang sama dari pengunjung dalam jangka yang berdekatan. Studi kasus yang diambil adalah situs-situs berita terkenal di Indonesia. 1 Pendahuluan Saat ini internet terus berkembang dan berusaha untuk mendapatkan pangsa pasar dari televisi, radio dan media cetak sebagai penyedia berita utama, situs-situs berita saat ini mengalami pertumbuhan yang luar biasa. Satu keuntungan dari berita internet yang memungkinkan perilaku yang lebih interaktif dibandingkan dengan media tradisional. Fasilitas interaktif yang diberikan situs berita seperti memberi komentar, mengirim berita ke teman melalui email dan menghitung jumlah pembaca yang membaca berita tersebut bertujuan untuk mengukur minat pengunjung secara tidak langsung. 1

Fasilitas interaktif ini dapat menyebabkan kerentanan keamanan dalam sistem mereka. Misalkan pada situs berita Republika Online yang merupakan salah satu situs berita terkenal di Indonesia. Situs ini mengukur popularitas dari beritanya setidaknya dengan dua cara, yaitu: 1. Menghitung berapa kali berita tersebut dibaca. 2. Berapa jumlah komentar terhadap berita tersebut. Hal ini berhubungan dengan statistik berita yang Paling Banyak Komentar dan Paling Banyak di Baca. Fasilitas yang tampaknya tidak berbahaya sering dimanfaatkan oleh hacker statistik untuk mempengaruhi berita yang ditampilkan pada situs berita. Fasilitas yang sama juga dapat menyebabkan lonjakkan lalu lintas di internet sehingga mempengaruhi aksesibilitas dari situs tersebut kepada pengunjung lain. Permasalahan yang timbul adalah situs tidak hanya dikunjungi oleh manusia tetap juga oleh bukan manusia misalkan saja mesin atau komputer yang memiliki program untuk mengakses fasilitas interaktif tersebut. Jadi, situs perlu mekanisme yang memadai untuk membedakan pembaca manusia dari seorang pembaca bukan manusia. 2 Apakah Hacking Statistik? Definisi dari Hacking Statistik merupakan suatu proses di mana pengguna berhasil memodifikasi sistem statistik penggunaan. Hacking statistik secara eksplisit mengacu kepada situasi dimana fasilitas interaktif situs dimanfaatkan oleh pengguna untuk melakukan perubahan data statistik baik dengan cara yang wajar atau tidak wajar. 3 Celah Keamanan Situs Berita Fasilitas interaktif yang disediakan oleh situs berita dapat menjadi celah keamanan yang dapat dimanfaatkan oleh pengunjung jahat untuk mempengaruhi integritas data statistik dari situs tersebut. Pada bagian ini akan dibahas fasilitas interaktif serta kemungkinan celah keamanan yang terjadi. 3.1 Jumlah Pembaca Berita. Untuk mengetahui berapa jumlah pembaca yang membaca setiap berita maka terdapat fasilitas konter/penghitung berapa banyak halaman berita tersebut dibuka. Ke- 2

lemahan yang terjadi pada fasilitas ini biasanya adalah apabila pengunjung melakukan refresh pada halaman tersebut maka konter/penghitung akan bertambah terus tanpa mendeteksi apakah hal ini dilakukan oleh pengunjung yang sama. 3.2 Kirim Berita Melalui Email Apabila pengunjung merasa berita yang dibaca menarik dan ingin mengirimkan berita tersebut ke rekannya, maka biasanya situs berita menyediakan fasilitas Kirim Berita Melalui Email. Fasilitas ini bisa dimanfaatkan untuk melakukan spamming melalui email, maka akan dieksplorasi apakah fasilitas ini mudah dimanfaatkan atau tidak. 3.3 Beri Komentar Pada Berita Untuk mengukur minat pengunjung terhadap berita yang ada pada situs, situs berita menyediakan fasilitas interaktif berupa pemberian komentar terhadap berita yang ada. Fasilitas ini sering dimanfaatkan para pengunjung jahat untuk melakukan spamming yaitu isi komentar berupa promosi barang atau situs. 4 Membedakan Pengunjung Manusia dan Komputer Hal utama yang perlindungan terhadap hacking statistik adalah situs mampu membedakan manusia dari komputer (atau program perangkat lunak). Dengan menggunakan program perangkat lunak maka fasilitas interaktif dapat dieksekusi secara berulang-ulang dan terus menerus. Membedakan antara manusia dan komputer adalah topik yang banyak dipelajari, dan terkait dengan masalah terkenal Turing Test. Penerapan Turing Test untuk masalah ini adalah untuk membedakan pengunjung manusia atau mesin atau program perangkat lunak, bahwa akan sulit untuk perangkat lunak untuk merespon secara akurat untuk tes turing. Tes turing ini membuat ketidaknyamanan bagi pengunjung awam atau pada umumnya, tapi merupakan alat pencegah yang efektif terhadap pengguna yang mencoba untuk melakukan tindakan yang sama beberapa kali. Ada berbagai jenis tes Turing yang tersedia, dari yang sederhana sampai yang cukup rumit. Berikut ini akan dijelaskan secara garis besar berbagai mekanisme dan membahas keunggulan serta kelemahannya 3

4.1 Verifikasi Gambar Dalam mekanisme ini, gambar yang ditampilkan berisi teks yang dikaburkan dengan menggunakan teknik distorsi gambar, seperti kabur, bentuk yang tidak teratur, bayangan dan segmen garis acak, kemudian pengunjung diminta untuk memasukan teks yang terdapat pada gambar. Mekanisme ini banyak digunakan oleh situs untuk membedakan manusia dan mesin. Namun algoritma Optical Character Recognition (OCR)[1] dapat menembus implementasi tes ini. Implementasi yang baru verifikasi gambar untuk melindungi terhadap algoritma OCR terbaru. Salah satu kelemahan dari pendekatan ini adalah pengunjung yang memiliki keterbasan pada penglihatan akan mengalami kesulitan. Gambar 4.1: Contoh Verifikasi Gambar. 4.2 Verifikasi Suara Dalam mekanisme ini, suara yang dimainkan oleh situs web, dan pengunjung diharapkan untuk menjawab pertanyaan pendek berdasarkan suara. Hal ini membuat perangkat lunak spamming secara signifikan menjadi lebih kompleks, karena harus menyertakan modul untuk membaca file suara, menguraikan kata-kata, dan kemudian kalkulasi jawabannya. 4.3 Perhitungan Matematika Dalam mekanisme ini, web menyajikan perhitungan matematika, dan pengunjung situs diharapkan untuk menghitung jawaban dari ekspresi matematika. Sebagai contoh, pertanyaan tantangan situs web mungkin: "Berapakah tujuh belas ditambah dua dikurang tiga belas?". Selain berbentuk kalimat ada juga yang berbentuk angka dan operator suara. Hal ini dianggap sebagai suatu bentuk yang relatif lemah dari Turing Test, meskipun dalam praktek mungkin aman karena "keamanan oleh ketidakjelasan". Kelemahan utama dari metode ini adalah kalkulator untuk menembus tes ini dapat dibuat cukup mudah untuk menerima ekspresi matematika dan beberapa elemen pengolahan bahasa alami. 4

4.4 Teka-teki Logika Mekanisme ini mirip dengan perhitungan matematika, namun yang ditampilkan kepada pengunjung adalah berupa teka-teki. Sebagai contoh pertanyaan mungkin seperti ini : Apa nama buah yang melengkung dan berwarna kuning? (Pisang) atau Apa nama buah yang berduri dan berwarna hijau? (Durian). Bentuk tes Turing sangat rentan terhadap serangan kamus, dan teka-teki logika mungkin memiliki jumlah yang terbatas. 4.5 Verifikasi Video Verifikasi video ini mirip dengan verifikasi suara, namun pada teknik ini video ditampilkan kepada pengguna situs web. Setelah video, sebuah pertanyaan tantangan mungkin: "Apakah yang dibicarakan orang mengenakan baju berwarna kuning?. Jawabannya dapat menjadi bentuk yang bebas, atau 4 pilihan disajikan kepada pengguna. Problem pada mekanisme ini adalah sistem operasi atau browser yang tidak bisa menampilkan video dan juga permasalahan lambatnya koneksi internet saat mengambil video dari server. 4.6 Verifikasi Gambar ASCII Turing tes ini mirip dengan verifikasi gambar, dengan perbedaan yang menyajikan gambar menggunakan karakter ASCII, sehingga terus dapat diakses oleh pengguna menggunakan browser berbasis teks. Gambar 4.2: Contoh Verifikasi Gambar ASCII. 4.7 Metode yang disarankan Metode-metode yang disajikan dalam Bagian 4,1-4,6 bervariasi di tingkat keberhasilan dalam hal membedakan manusia dari computer, serta bervariasi dalam derajat aksesibilitas. Pada bagian akan membandingkan metode-metode tersebut ke bentuk: 5

1. Kompabilitas Kultural / Intelektual 2. Kompabilitas Browser. 3. Kenyamanan. Berikut ini tabel rangkuman kompabilitas dan aksesibilitas[2] dari metode yang sudah dijelaskan. Metode Kultural Browser Kenyamanan Verifikasi Gambar Ya Tidak Ya Verifikasi Suara Tidak Tidak Tidak Perhitungan Matematika Ya Ya Ya Teka-teki Logika Tidak Ya Ya Verifikasi Video Tidak Tidak Tidak Verifikasi Gambar ASCII Ya Ya Ya Tabel 1: Perbandingan Berbagai Metode Pembeda Manusia dan Komputer. 5 Pengelompokan Perilaku atasi Statistik Hacking Pada bagian ini akan dibahas mengenai teknik lain untuk mencegah statistic hacking. Teknik yang digunakan oleh melakukan perhitungan dan analisa sehingga bisa mengabaikan perintah yang berulang dari pengunjung. 5.1 Pengabaian Berdasarkan IP Address dan Waktu Metode ini relatif mudah untuk diterapkan. Program akan mengabaikan perilaku sama yang dilakukan oleh pengunjung dari alamat IP tertentu dan pada jangka waktu tertentu, misalkan 1 menit, 1 jam atau 1 hari bergantung pada ketentuan yang berlaku pada aplikasi tersebut. 5.2 Pengabaian Berdasarkan Perilaku Serupa Secara Berulang Dalam hal ini, perilaku berdasarkan pada tindakan yang dilakukan dan dampak yang terjadi, terlepas dari alamat IP dan waktu. Misalkan pada situs www.detik.com terdapat fasilitas mengirim berita kepada teman melalui email. Aplikasi seharusnya mendeteksi apakah proses pengriman berita tersebut ke email itu sudah pernah dilakukan atau belum. Jika sudah maka aplikasi mengabaikan perintah pengiriman berita ke email tersebut, sehingga tidak terjadi spamming terhadap email tersebut dari situs berita. 6

Namun mekanisme ini bisa ditembus dengan mengirim ke email yang berbedabeda. Jadi, sementara mekanisme ini tidak begitu baik, prinsip ini berbeda dengan pengabaian berdasarkan waktu dan alamat IP. 5.3 Pengabaian Penyalahgunaan IP dan Domain Administrator mempunyai daftar alamat IP dan Domain yang biasa dipergunakan untuk melakukan hacking statistik. Perhitungan statistik akan diabaikan bila IP dan Domain yang digunakan terdapat dalam black list. 6 Analisa Celah Keamanan Situs Berita Indonesia Pada bagian ini akan dibahas mengenai celah keamanan pada situs berita Indonesia. Adapun situs berita yang akan diamati celah keamanannya adalah: 1. Detikcom 2. Kompas 3. Republika Online 4. VIVAnews Fasilitas iteraktif yang akan diamati pada 4 situs berita tersebut adalah hal-hal yang sudah disebutkan pada bagian ke-3 yaitu Jumlah Pembaca Berita, Kirim Berita Melalui Email dan Beri Komentar Pada Berita. 6.1 Analisa Keamanan Jumlah Pembaca Berita Dari 4 situs berita yang diamati hanya ada 2 yang memiliki fasilitas interaktif ini, yaitu Kompas dan Republika Online, sedangkan Detikcom dan VIVAnews tidak memilikinya. Gambar 6.1: Perhitungan Jumlah Pembaca di Kompas disetiap berita. 7

Gambar 6.2: Perhitungan Jumlah Pembaca di Republika Online disetiap berita. Pada situs Kompas dan Republika Online jumlah pembaca menjadi parameter berita itu populer atau tidak, seperti terlihat pada Gambar 6.3 dan Gambar 6.4 Gambar 6.3: Berita Terpopuler di Kompas.com. 8

Gambar 6.4: Berita Terpopuler di Republika Online. 6.1.1 Celah Keamanan Jumlah Pembaca Berita Baik Republika Online dan Kompas proses perhitungan jumlah pembaca akan bertambah apabila pengunjung membuka halaman berita tersebut. Namun terdapat celah keamanan pada proses ini yaitu apabila pengunjung menekan tombol refresh pada browser maka perhitungan jumlah pembaca pun menjadi bertambah 1. Jika pengunjung menekannya secara berulang-ulang maka perhitungan pun tetap akan bertambah 1 sebanyak tombol refresh ditekan. Hal ini tentu menyalahi salah satu dari 3 prinsip Keamanan Informasi yaitu integritas. Sehingga berita yang tadinya tidak termasuk kedalam kategori terpopuler dengan script yang sederhana hacker statistik akan mampu mempengaruhi statistik jumlah pembaca pada berita tersebut. 6.1.2 Solusi Keamanan Jumlah Pembaca Berita Hal yang bisa dilakukan untuk mengatasi permasalahan ini adalah melakukan analisa terhadap perilaku berulang yang dilakukan oleh pengunjung, seperti yang telah dibahas pada bagian ke-5. Diantarnya yang bisa dilakukan adalah saat pengunjung membuka halaman tersebut maka aplikasi menanamkan sebuah cookies pada browser pengunjung, waktu kadaluwarsa cookies diatur sesuai dengan kebutuhan misalkan 1 jam, 1 hari, 1 minggu sehingga jika pengunjung melakukan refresh maka aplikasi mengecek apakah masih terdapat cookies yang valid? Proses perhitungan 9

jumlah pembaca tidak dilakukan jika masih terdapat cookies yang valid. Namun solusi ini masih bisa diatasi dengan mematikan fasilitas cookies pada browser. Solusi lain yang bisa dilakukan adalah menyimpan data pengunjung kedalam sebuah tabel pada database, data yang disimpan misalkan alamat IP dan waktu kunjungan. Jika pengunjung melakukan refresh maka aplikasi akan mengecek alamat IP dan waktu kunjung, kemudian dilakukan analisa apakah perilaku ini sesuatu yang wajar atau tidak. Jika menurut kriteria yang ditentukan ini merupakan sesuatu yang wajar maka perhitungan dilakukan. Namun metode ini memerlukan resources dan mempengaruhi performance. Ternyata cukup sulit juga untuk mengatasi celah keamanan pada bagian ini. Namun setidaknya 2 solusi diatas mampu membuat sulit hacker statistik untuk melakukan hacking statistik. 6.2 Kirim Berita Melalui Email Fasilitas ini berfungsi untuk mengirimkan berita yang sedang dibaca oleh pengunjung ke email orang yang akan dikirim berita tersebut. Kirim Berita Melalui Email ini dimiliki oleh Detikcom, Vivanews dan Kompas, untuk Republika Online fasilitas ini tidak ada. Gambar 6.5: Form Kirim Berita Melalui Email Detikcom. 10

Gambar 6.6: Form Kirim Berita Melalui Email Vivanews. Gambar 6.7: Form Kirim Berita Melalui Email Kompas. 11

6.2.1 Celah Keamanan Kirim Berita Melalui Email Vivanews dan Kompas menggunakan captcha teks untuk membedakan pengunjung mesin atau manusia. Hal ini sudah cukup dibaik dibandingkan dengan Detikcom yang tidak melakukan verifikasi menggunakan captcha[3], meskipun jika mengacu pada penelitian Breaking a Visual CAPTCHA[4] maka captcha yang dipergunakan oleh Vivanews dan Kompas tergolong mudah untuk ditebak. Hal menarik yang ditemukan pada fasilitas Kirim Berita Melalui Email Detikcom karena terdapat celah keamanan yang bisa dimanfaatkan untuk melakukan spamming melalui fasilitas ini. Dengan melakukan teknik copy+paste seluruh source code halaman form pengiriman pada Detikcom maka ditemukan sebuah script pengiriman sebagai berikut : Gambar 6.8: Detikcom script asli. Dengan sedikit menambahkan proses looping pada script tersebut seperti dibawah ini maka proses spamming dapat dilakukan. Gambar 6.9: Detikcom script setelah dimodifikasi. Berikut ini bukti bawah fasilitas pada Detikcom bisa dimanfaatkan untuk spamming ke email. Gambar 6.10: Hasil spamming dengan Detikcom. 6.2.2 Solusi Kemananan Kirim Berita Melalui Email Langkah pertama yang dilakukan Vivanews dan Kompas adalah dengan mengganti captcha yang dipergunakan agar lebih sulit untuk ditebak, sebagai referensi bisa digunakan captcha yang dikeluarkan oleh The Official CAPTCHA Site[3]. Untuk Detikcom sebaiknya menambahkan captcha pada form pengiriman berita serta mem- 12

perbaiki script pengiriman sehingga tidak mudah untuk dipergunakan untuk proses spamming. 6.3 Beri Komentar Pada Berita Fasilitas ini berfungsi untuk memberikan komentar pada berita yang ada. Fasilitas Beri Komentar Pada Berita dimiliki oleh seluruh situs berita Indonesia yang sedang dianalisa. Kompas dan Vivanews mengharuskan login terlebih dahulu sebelum pengunjung diperkenankan untuk memberikan komentar. Jadi pengunjung diharuskan untuk registrasi jika belum menjadi anggota dari kedua situs berita tersebut. Gambar 6.11: Form Beri Komentar Detikcom. 13

Gambar 6.12: Form Beri Komentar Republika Online. Gambar 6.13: Form Beri Komentar Vivanews. 14

Gambar 6.14: Form Beri Komentar Kompas. 6.3.1 Celah Keamanan Beri Komentar Pada Berita Celah keamanan yang ditemui dari keempat situs tersebut adalah apabila seluruh source code pada halaman form isian dikopikan ke file lain. Kemudian file tersebut diletakkan pada server lokal dan dilakukan proses pengiriman data maka server situs berita tetap memprosesnya. Hal ini bisa dimanfaatkan oleh hacker statistik untuk melakukan proses hacking statistik. 6.3.2 Solusi Keamanan Beri Komentar Pada Berita Hal yang bisa dilakukan untuk mengatasi pengiriman komentar melalui form yang berada diluar server situs berita adalah dengan mengecek berasal dari domain mana request tersebut berasal. Jika form isian komentar tidak berasal dari domain situs berita tersebut maka server akan menolak melakukan proses penambahan data komentar. Untuk Detikcom sebaiknya menambahkan captcha pada form isian beri komentar. 7 Kesimpulan Data statistik dari sebuah berita merupakan data yang penting untuk dijaga dalam hal integritasnya. Data ini mempengaruhi tren berita yang ada pada situs tersebut. Dari ke-4 situs berita yang diamati dapat diketahui bahwa Detikcom mempunyai celah keamanan yang lebih rawan dibandingkan situs yang lainnya. 15

Fasilitas interaktif lainya yang bisa diamati dari situs berita ini adalah terkoneksinya situs berita tersebut dengan berbagai situs jejaring sosial. Koneksi ini bisa dijadikan bahan pengamatan lebih lanjut untuk permasalahan hacking statistik. Daftar Pustaka [1] G. Mori and J. Malik, Recognizing objects in adversarial clutter: Breaking a visual captcha, vol. 1, 2003, p. 134. [2] A. Arora, Statistics hacking - exploiting vulnerabilities in news websites, International Journal of Computer Science and Network Security, vol. 7 no. 3 March 2007,. [3] The official captcha site, 2000, [Cited: May 2010, 17.] http://www.captcha.net. [4] G. Mori and J. Malik, Breaking a visual captcha, 2003, [Cited: May 2010, 17.] http://www.cs.sfu.ca/ mori/research/gimpy/. [5] R. Datta, J. Li, and J. Z. Wang, Imagination: a robust image-based captcha generation system, in MULTIMEDIA 05: Proceedings of the 13th annual ACM international conference on Multimedia. New York, NY, USA: ACM, 2005, pp. 331 334. 16

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan