REGULASI & STANDAR. REGULASI UU ITE (UNDANG- UNDANG INFORMASI DAN TRANSAKSI ELEKTRONIK) PBI (PERATURAN BANK INDONESIA) NO

dokumen-dokumen yang mirip
Regulasi & Standar. Regulasi UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) PBI (Peraturan Bank Indonesia) no.

DAFTAR ISI. LEMBAR PENGESAHAN PEMBIMBING... iii. LEMBAR PENGESAHAN PENGUJI... iv. LEMBAR PERNYATAAN KEASLIAN... v. HALAMAN PERSEMBAHAN...

www. dickyprihandoko.worpress.com

Ethical Hacking Advance. + BadUSB

TUGAS KEAMANAN JARINNGAN KOMPUTER

BAB II LANDASAN TEORI

EVALUASI KEAMANAN WIRELESS LOCAL AREA NETWORK MENGGUNAKAN METODE PENETRATION TESTING (KASUS : UNIVERSITAS MUHAMMADIYAH MAGELANG)

INDONESIA SECURITY INCIDENT RESPONSE TEAM ON INTERNET INFRASTRUCTURE. Iwan Sumantri. Wakil Ketua ID-SIRTII/CC Founder JABAR-CSIRT.

BAB II LANDASAN TEORI

Dimas Wahyudi Sistem Komputer Fakultas Ilmu Komputer Universitas Sriwijaya

SKRIPSI PENGUJIAN KETAHANAN WEBSITE MENGGUNAKAN FRAMEWORK ISSAF DAN OWASP

Methods of Manual Penetration Testing (Actual Exploit)

Xcode Intensif Training. Advanced ethical web. hacking & security

BAB I PENDAHULUAN. Perkembangan dan evolusi dari komputer, internet dan teknologi web telah

ANALISIS KEAMANAN WEBSITE DI UNIVERSITAS MUHAMMADIYAH SURAKARTA

Riska Kurnianto Abdullah NRP :

MENENTUKAN DAMPAK RESIKO KEAMANAN BERBASIS PENDEKATAN OWASP

BAB I PENDAHULUAN 1.1 Latar Belakang

: DWI KURNIA PUTRA NIM : : KEAMANAN JARINGAN KOMPUTER EKSPLOITASI KEAMANAN

Xcode Intensif Training. Ethical Web hacking & Security ~ Advanced

BAB III ANALISIS DAN PERANCANGAN

SISTEM KOMPUTER FAKULTAS ILMU KOMPUTER UNIVERSITAS SRIWIJAYA

PENDAHULUAN Keamanan Komputer Mengapa dibutuhkan?

3G UMTS RF Planning. Akhir Registrasi : 30 Januari 2014

BAB 4 SIMULASI DAN UJI COBA. Rancangan sistem keamanan yang telah dibuat akan disimulasikan untuk di

Ethical Hacking STMIK AMIKOM YOGYAKARTA 2012 / 2013

Pencari Celah Keamanan pada Aplikasi Web

PERANCANGAN PERLINDUNGAN PERANGKAT LUNAK SEBAGAI ASET INFORMASI TERHADAP MALICIOUS CODE DI FAKULTAS TEKNIK UNIVERITAS PASUNDAN

ANALISIS DAN IMPLEMENTASI METODE DMZ (DEMILITARIZED ZONE) UNTUK KEAMANAN JARINGAN PADA LPSE KOTA PALEMBANG

Uji Penetrasi dengan BlankOn. Putu Wiramaswara Widya Mahasiswa Institut Teknologi Sepuluh Nopember, Surabaya

DAFTAR ISI BAB II TINJAUAN PUSTAKA... 11

Nama : FEPILIANA Nim : TUGAS 05 KEAMANAN JARINGAN KOMPUTER ACTUAL EXPLOIT

Keamanan Sistem WWW. Muhammad Zidny Naf an

MODEL PENGUJIAN KEAMANAN JARINGAN PADA WLAN (WIRELESS LOCAL AREA NETWORK) NETWORK SECURITY TESTING MODEL ON THE WLAN (WIRELESS LOCAL AREA NETWORK)

BAB I PENDAHULUAN. aneh terutama bagi orang-orang yang berkecimpung di dunia komputer dan

1. BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Jurnal Ilmiah Komputer dan Informatika (KOMPUTA) 45 Edisi... Volume..., Bulan 20.. ISSN :

BAB I PENDAHULUAN. informasi yang semakin maju, sebagian besar sistem yang terkomputerisasi

Vulnerability Testing pada Sistem Administrasi Rumah Sakit X

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

PENTESTING DAN ANALISIS KEAMANAN WEB PAUD DIKMAS

PENERAPAN SISTEM KEAMANAN TEKNOLOGI INFORMASI. Zaenal Arifin

TUGAS KELOMPOK SECURITY COMPUTER TOOL HACKING SQL INJECTION

Laporan Skripsi. Prodi IF IT Telkom Purwokerto

Evaluasi Celah Keamanan Web Server pada LPSE Kota Palembang

STUDI DAN IMPLEMENTASI KEAMANAN WEBSITE MENGGUNAKAN OPEN WEB APPLICATION SECURITY PROJECT (OWASP) STUDI KASUS : PLN BATAM

TUGAS BESAR MATA KULIAH JARINGAN DAN KEAMANAN KOMPUTER. Hacking untuk pemula (menyembunyikan IP menggunakan anonymous proxy server)

BAB I PENDAHULUAN 1.1 Latar Belakang

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

Ancaman & Keamanan Jaringan Komputer. Rijal Fadilah, S.Si

PENGANTAR FORENSIK TI Malware Forensic

Analisis dan Implementasi Metode Demilitarized Zone (DMZ) untuk Keamanan Jaringan pada LPSE Kota Palembang

ANALISIS KERENTANAN KEAMANAN (VA) WEB PERGURUAN TINGGI SWASTA JAKARTA

Pencegahan dan Mitigasi Serangan Siber. Ahmad Zaid Zam Zami, CEH CHFI CEI ENSA ECIH

Analisis Penanganan SQL Injection pada Basis Data MySQL dengan Framework Code Igniter dan PHP

Bab V Analisa. Skenario deteksi malware dilakukan dalam jaringan komputer dengan topologi sebagai berikut: Gambar 5. 1 Topologi Jaringan

BAB IV HASIL DAN PEMBAHASAN

INFRASTRUCTURE SECURITY

WIRELESS SECURITY. Oleh: M. RUDYANTO ARIEF 1

BAB III TUGAS DAN TANGGUNG JAWAB ADMIN SERVER

BAB I PENDAHULUAN UKDW

BAB I PENDAHULUAN 1.1 Latar Belakang

Infrastruktur = prasarana, yaitu segala sesuatu yg merupakan penunjang utama terselenggaranya suatu proses. Kebutuhan dasar pengorganisasian sistem

Xcode Intensif Training Ethical. Hacking & Security (Advanced) 23/05/2016

Tugas III II5166 (Keamanan Informasi Lanjut)

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

PRAKTIKUM KEAMANAN JARINGAN

Peta Teknologi Network Security

BAB I PENDAHULUAN. memungkinkan pemakaian secara bersama data, perangkat lunak dan

TUGAS MID KEAMANAN JARINGAN KOMPUTER

DETEKSI MALWARE DALAM JARINGAN MENGGUNAKAN DIONAEA. (Malware Detection in the Network Using Dionaea)

BAB 1. PENDAHULUAN. Ancaman keamanan terhadap penyedia layanan web semakin meningkat

BAB 4 HASIL PENGUJIAN KEAMANAN SISTEM WEB SERVER PADA WEBSITE WALL STREET INSTITUTE INDONESIA

SISTEM KOMPUTER FAKULTAS ILMU KOMPUTER UNIVERSITAS SRIWIJAYA

Computer Science, University of Brawijaya. Putra Pandu Adikara, S.Kom. Keamanan Komputer. Kompetensi Aplikasi Komputer

KINERJA APLIKASI CLIENT SERVER UNTUK SISTEM INFORMASI TUMBUH KEMBANG BALITA

Masalah-Masalah dalam Keamanan Informasi

PENGEMBANGAN SISTEM INFORMASI PENGOLAHAN DATA PASIEN BERBASIS WEB DI KLINIK

Etika, Kejahatan Komputer, dan Keamanan Sistem Informasi. Etika Sistem Informasi. Tujuan Bab 9. Information Systems Today

Cloud Computing Security

Hanya kunci publik yang dipertukarkan antara pengirim dan penerima. Sebelum transmisi sebenarnya dimulai antaraa dua host, host pengirim mengirimkan

Network Security. Lab.Assignment: Modul 1 Researching Network Attacks Latihan 1 -

Keamanan Jaringan Internet dan Intranet terhadap Lalu Lintas Data dan Informasi

Pengantar Open Source dan Aplikasi Aspek Keamanan Open Source. Rusmanto at gmail.com Rusmanto at nurulfikri.ac.id

BAB IV IMPLEMENTASI DAN PENGUJIAN

Evaluasi Keamanan Sistem Informasi. Muhammad Zidny Naf an

Xcode Intensif Training. Ethical Hacking Advanced 20/08/2016

UJIAN TENGAH SEMESTER KEAMANAN JARINGAN KOMPUTER

Keamanan Sistem Informasi Berbasis Web. Subianto AMIK JTC SEMARANG

BAB 1 PENDAHULUAN. 1.1 Latar Belakang

SURAT EDARAN SE-OCVOS /BEI/ I

Xcode Private Training. Advanced Network hacking & Security

NETWORK SECURITY MID: SCANNING AND VULNERABILITY PADA WEBSITE RESMI PALEMBANG

Sistem Manajemen Keamanan Informasi dan Pengelolaan Risiko. LPSE Provinsi Jawa Barat Rakerna LPSE november 2015

diajukan oleh Erfan Wahyudi

PENERAPAN DEFENSE IN DEPTH PADA SISTEM INFORMASI. Security Awareness

Network security authentication gateway attack authorization monitoring Komunikasi terenkripsi

ANALISIS KEAMANAN WPA2-PSK DAN RADIUS SERVER PADA JARINGAN NIRKABEL MENGGUNAKAN METODE WIRELESS PENETRATION TESTING

BAB 1 PENDAHULUAN. 1.1 Latar Belakang Masalah

KEAMANAN WIRELESS. M. Salahuddien

Transkripsi:

REGULASI & STANDAR. REGULASI UU ITE (UNDANG- UNDANG INFORMASI DAN TRANSAKSI ELEKTRONIK) PBI (PERATURAN BANK INDONESIA) NO

Latar Belakang Ancaman selalu datang tidak terduga, berakibat pada resiko yang lebih besar jika resiko tidak dikelola (Risk Management) Kerentanan (Vulnerability) pada sistem informasi selalu ada dan cenderung meningkat. Peningkatan penggunaan exploit secara terbuka dan mudah digunakan. Perlunya pengendalian terhadap Ancaman dan Vulnerability untuk menekan resiko kepada tingkat yang wajar melalui Vulnerability Assessment Regulasi & Standar Regulasi UU ITE (Undang-Undang Informasi dan Transaksi Elektronik) PBI (Peraturan Bank Indonesia) no. 9/15/PBI/2007 Standar SNI ISO 27001 : 2009 Sistem Manajemen Keamanan Informasi PCI DSS (Payment Card Industry - Digital Security Standards) Regulasi UU ITE Pasal 15 (1)Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya. Penjelasan : Andal artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya. Aman artinya Sistem Elektronik terlindungi secara fisik dan nonfisik. Regulasi Perbankan Peraturan Bank Indonesia no. 9/15/PBI/2007 tentang Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum Pengujian Penetrasi (Penetration Testing) terhadap jaringan internal dan eksternal secara berkala sekurang-kurangnya 1 tahun sekali Standard SNI ISO IEC 27001 : 2009 Sistem Manajemen Keamanan Informasi A.15.2 Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis A. 15.2.1 Pemenuhan terhadap kebijakan keamanan dan standar A. 15.2.2 Pengecekan pemenuhan teknis Sistem Informasi harus secara regular dicek pemenuhan teknis terhadap standar penerapan keamanan Beberapa Istilah Penting Hacking Ethical Hacking White Hat Hacker Black Hat Hacker Security Assessment Vulnerability Assessment Penetration Testing Cracking, Phreaking, Carding Security Audit Hacking vs Ethical Hacking Hacking Memanipulasi teknologi untuk dapat melakukan sesuatu yang tidak dirancang / direncanakan (Hacking). Membobol sistem komputer dan jaringan tanpa izin (Cracking) Black Hat Hacker. Ethical Hacking Teknik serangan dengan menggunakan komputer untuk menemukan kelemahan keamanan dengan mendapatkan ijin dari pemilik target dengan tujuan untuk meningkatkan keamanan, White Hat Hacker Cracking / Black Hat Hacker Tidak memiliki pola (metodologi) Tujuan Cracking dan Target Cracking : Tidak jelas Tujuan : Eksis, Narsis Target : Site yang lemah, atau media apa saja yang dapat di exploitasi. Mengandalkan Tools dan jam terbang Mencari Target Mencari Vulnerability Mencari Vulnerability Dapat Target Mencari exploit Action Kegiatan : Black Box Cracking / Black Hat Hacker - Lanjutan Memiliki karakter sendiri. Setiap hacker memiliki latar

belakang dan pengetahuan yang berbeda. Web Defacement Wireless Hacking, sniffing System Hacking & Networking. Carding Lock Picking Social Engineering Phreaking. Langsung ke sasaran, dengan target site yang lemah Securtiy Assessment Profesional dan Metodologis Pola : Standard Metodologi Script Pentest Tujuan Hacking : Pemenuhan Regulasi dan Standar Target Hacking : Perusahaan / Lembaga yang terkena Regulasi. Pemenuhan Standar, misalnya ISO 27001. Proses Development : Development UAT SAT Pentest Mengandalkan Tools, Seni dan jam terbang Metodologi Script Pentest Tools / Manual / Check List Action Report patch Regulasi & Standar Terpenuhi. Kegiatan : Black Box, White Box dan Grey Box Vulnerability Assessment vs Penetration Test Vulnerability Assessment (VA) Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan. Evaluasi dan analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Memberikan laporan dan rekomendasi atas temuan yang didapat dari kegiatan VA Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack). Penetration Testing (PT) Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan. Eksploitasi terhadap temuan vulnerability (PoC) Evaluasi terhadap sistem keamanan yang sudah dibuat, dengan cara melakukan simulasi serangan yang menggunakan metoda yang biasa digunakan oleh Hacker. Analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack). Security Audits Pengujian yang dilakukan berdasarkan acuan pada sebuah standar. Proses pengujian dilakukan menggunakan Checklist Hacking vs Security Audits Teknik Security Assessment Passive research / Information Gathering Mengumpulkan Informasi tentang organisasi (Apapun informasi yang bisa didapat), misalnya tentang konfigurasi sistem, kebocoran data, web defacement, email phising, dll) Network mapping and OS fingerprinting Pengujian pada konfigurasi jaringan Network sniffing Pengujian terhadap traffic data yang melintasi jaringan Teknik Security Assessment Trojan Attacks Mengirimkan trojan / backdoor melalui email, file sharing, chat rooms, dan Instant Message. Cracking Password Melakukan serangan cracking password dengan menggunakan berbagai metoda cracking yang umum digunakan. Vulnerability Scanning Pengujian Vulnerability pada jaringan dan aplikasi. Proses Security Assessment Menentukan Scope Kegiatan Apa saja, dari mana, dan oleh siapa akan dilakukan pengujian. Apa saja yang boleh diketahui / diberikan kepada Tim Security Assessment

(SA) Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA. Hal ini semua harus tertuang dalam NDA. Proses Security Assessment Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA. A nondestructive test Scanning Findings and map the Vulnerabilities PoC Tidak boleh melakukan DoS. Destructive test Scanning Findings and Vulnerabilities DoS dan Buffer Overflow Attacks Proses Security Assessment Kegiatan Security Assessment Mencari dan menemukan informasi vulnerability Pada umunya mencakup konfigurasi jaringan, topologi, hardware dan software Pelaporan Hal yang penting dan menjadi penentu akhir dari hasil kegiatan SA. Berisi daftar vilnerability yang telah diklasifikasikan sesuai dengan tingkat Risikonya : High, Medium Low. Rekomendasi untuk melakukan mitigasi pada setiap temuan vulnerability. Metodologi EC-Council LPT http://www.eccouncil.org OWASP (Open Web Application Security Project) http://www.owasp.org OSSTMM (Open Source Security Testing Methodology Manual) http://www.isecom.org/osstmm ISSAF (Information System Security Assessment Framework) http://www.oissg.org/issaf CISSP (Certified Information System Security Professional) https://www.isc2.org/ Pendekatan Black Box : Zero knowledge Assessment Internal / External Attack White Box Full knowledge Assessment Internal Attack Grey Box Partial knowledge Assessment Internal Attack Cakupan Teknis Lingkungan Produksi : Sistem Operasi, Aplikasi e-banking, Database, Peralatan jaringan Perimeter keamanan (Internal dan eksternal) Lingkungan Pengembangan dan Publik Aplikasi e-banking Website Project Organizational Structure Penetration Testing Team Team Ethical Hacker Pendekatan Proses Bisnis (UAT) Pendekatan Hacker (HAT) Pendekatan Tools dan Analisis report tools (VA) Toolbox Network Vulnerability Scanner Nessus, GFI LanGuard, Retina, Core Impact Web Vulnerability Scanner Acunetix, Nikto, WebScarab, Black Widow, Manual Security Assessment Roadmap Security Assessment Roadmap Strategies of Security Assessment External Penetration Testing Merupakan pendekatan tradisional (sering digunakan) Pengujian difokuskan pada Server publik (web server, dan email server) dan infrastruktur (seluruh eksternal network, Router dan Firewall). Menggunakan pendekatan Black box dan White box. External Penetration Testing Internal Security Assessment Pengujian dilakukan dari sejumlah titik akses jaringan, yang

mewakili setiap segmen fisik dan logic. misalnya, beberapa titik segmen jaringan internal, DMZ dan termasuk koneksi ke seluruh mitra organisasi. Menggunakan pendekatan Black box dan White box. Internal Penetration Testing Internal Penetration Testing Internal Penetration Testing Aplikasi yang lemah walaupun berada dalam infrastruktur yang aman, tetap dapat diekspos. Pengujian aplikasi ini sangat penting, karena bisa merupakan produk inti dari organisasi. Pengujian ini dimaksudkan agar pengguna (jahat) aplikasi tidak dapat mengakses, memodifikasi atau merusak data dan layanan dalam sistem Jenis2 Source code review Melakukan analisa terhadap kode aplikasi, bahwa tidak mengandung kode sensitif / curang atau backdoor, atau kode yang memungkinkan kelemahan aplikasi yang dapat dieksploitasi. Authorization testing Menguji aplikasi dari kemungkinan akses yang tidak diijinkan (mis. SQL Injection) dan penggunaan session. Pengujian Guessing & Cracking password Jenis2 Functionality testing Pengujian fungsi aplikasi berdasarkan hak akses user, kesesuaian dengan proses bisnis, tidak melanggar policy/prosedur. Pengujian kemungkinan user dapat menaikkan hak akses (escalating privilege) Web penetration testing Pengujian dapat menggunakan berbagai cara untuk mengidentifikasi vulnerability : SQL Injection, XSS, otentikasi lemah, atau sourcode terbuka. Network Security Assessment Melakukan scanning vulnerability pada lingkungan jaringan untuk mengetahui vulnerability dan meningkatkan kebijakan keamanan. Untuk mengungkapkan kesalahan keamanan jaringan yang dapat menyebabkan data atau peralatan terkena trojan / backdoor, atau layanan tidak dapat bekerja dan jenis intrusi lainnya. Wireless / Remote Access Assessment Titik kerentanan jaringan internal terkadang muncul dari koneksi wireless dan Remote access, karena titik ini sangat mudah dibuat dan sulit dibatasi aksesnya (wireless). Wireless networks: 802.11a,b and g Bluetooth Wireless radio transmissions Radio communication channels Social Engineering Pengujian ini dapat dilakukan dengan melakukan interview dan angket terhadap beberapa bagian atau beberapa staf yang berhubungan dengan publik. Vulnerability Research Websites

National Vulnerability Database (nvd.nist.gov) Secunia (secunia.com/product/) Secunia monitors vulnerabilities in more than 9 500 products Exploit Database www.exploit-db.com Inject0r Exploit Database www.1337day.com Penetration Testing Phase 1 - Reconnaissance Phase 2 - Scanning Phase 2 - Scanning Phase 3 - Gaining Access Phase 4 - Maintaining Access Phase 5 - Covering Tracks Information Gathering Google Hacking Netcraft Domain / Subdomain Scanner Whois Free Online Network Tools http://centralops.net/ Google Hacking Operator Site : site:go.id site:bandung.go.id Teknik Traversal intitle:index.of inurl:"/admin/*" Error warning, login Logon, username userid, password passcode Admin administrator Scanning Analisa dari sisi luar Informasi Sub Domain, bersifat terbuka Tools : dig dan sub-domain scanner Mencari Website domain tertentu Tools : Google Informasi Sistem Website domain tertentu Tools : netcraft Scanning Infrstruktur Jaringan Tools : Look@lan, nmap Port Scanning Port Scanning Tools Trafic Route Buat Topologi Vulnerability Scanning Vulnerability Scanning Internal Penetration Testing

Scanning Infrastruktur Network Port Scanning Vulnerability Scanning Vulnerability Scanning Terima Kasih Q and A

2024 © DocPlayer.info Pengaturan dan alat privasi | Ketentuan | Tanggapan