Sejak tahun 1990-an, internet
berkembang pesat ke seluruh dunia karena semakin mudahnya akses
informasi ke jejaring internet, dengan menggunakan teknologi WWW (World
Wide Web) dan juga dukungan visi PC (Personal Computer)-nya Microsoft,
serta perkembangan open source OS Linux yang sangat pesat. Saat ini,
internet telah menjadi bagian dari kehidupan kita sehari-hari sebagai
salah satu wahana komunikasi dalam bisnis maupun untuk privat. Tetapi
di balik itu masih banyak lubang kelemahan sistem. Di masyarakat
umum, istilah hacker ini banyak tersalahgunakan atau rancu dengan
istilah Cracker. Khususnya ketika pembahasan mengarah kepada kejahatan.
Dimana istilah untuk penjahat yang mereka maksud sebenarnya adalah
Cracker. Hacker dianggap sebagai orang yang paling bertanggungjawab
dalam kejahatan komputer tersebut. Padahal kalau kita melihat apa
sebenarnya istilah dan apa saja yang dilakukan oleh hacker maka
anggapan tersebut tidak selalu benar. Ada beberapa tipe para penggila
teknologi computer seperti berikut ini :
a. – Hacker
Sekumpulan orang/team yang tugasnya
membangun serta menjaga sebuah sistem sehingga dapat berguna bagi
kehidupan dunia teknologi informasi, serta penggunanya. hacker disini
lingkupnya luas bisa bekerja pada field offline maupun online, seperti
Software builder(pembuat/perancang aplikasi), database administrator,
dan administrator. Namun dalam tingkatan yang diatas rata-rata dan tidak
mengklaim dirinya sendiri, namun diklaim oleh kelompoknya, maka dari
itu hacker terkenal akan kerendahan hati dan kemurahan memberikan
segenap ilmunya.
b. – Cracker
Seorang/sekumpulan orang yang memiliki
kemampuan lebih dalam merusak sebuah sistem sehingga fungsinya tidak
berjalan seperti normalnya, atau malah kebalikannya, sesuai keinginan
mereka, dan mereka memang diakui memiliki kemampuan yang indigo dan
benar-benar berotak cemerlang. Biasanya cracker ini belum dikategorikan
kejahatan didunia maya, karena mereka lebih sering merubah aplikasi,
seperti membuat keygen, crack, patch(untuk menjadi full version).
c. – Defacer
Seorang/Sekumpulan orang yang mencoba
untuk mengubah halaman dari suatu website atau profile pada social
network(friendster, facebook, myspace), namun yang tingkatan lebih,
dapat mencuri semua informasi dari profil seseorang, cara mendeface
tergolong mudah karena banyaknya tutorial diinternet, yang anda butuhkan
hanya mencoba dan mencoba, dan sedikit pengalaman tentang teknologi
informasi.
d. – Carder
Seorang/sekumpulan lamers yang mencoba
segala cara untuk mendapatkan nomor kartu kredit seseorang dan cvv2nya
dengan cara menipu, menggenerate sekumpulan kartu kredit untuk
kepentingan dirinya sendiri. Namun pada tingkatan tertentu carder dapat
mencuri semua informasi valid dari sebuah online shopping. Ini adalah
Malingnya dunia Maya.
e. – Frauder
Seorang/sekumpulan orang yang mencoba
melakukan penipuan didunia pelelangan online, belum ada deskripsi jelas
tentang orang ini, mereka sering juga dikategorikan sebagai carder.
Apa security itu?Definisi Statis :
<> Kerahasiaan
<>Keutuhan
<> Dapat dipertanggung jawabkan
Defenisi Dinamis :
<> Taksiran
<> Proteksi
<> Deteksi
<> Reaksi
Jenis Jenis Serangan
Berikut adalah 10(sepuluh) dafttar celah yang dapat menyebabkan website terancam.
1 – Cross Site Scripting (XSS)
Celah XSS, adalah saat pengguna web
aplikasi dapat memasukkan data dan mengirimkan ke web browser tanpa
harus melakukan validasi dan encoding terhadap isi data tersebut, Celah
XSS mengakibatkan penyerang dapat menjalankan potongan kode (script)
miliknya di browser target, dan memungkinkan untuk mencuri user session
milik target, bahkan sampai menciptakan Worm.
2 – Injection Flaws
Celah Injeksi, umumnya injeksi
terhadap SQL (database) dari suatu aplikasi web. Hal ini mungkin
terjadi apabila pengguna memasukkan data sebagai bagian dari perintah
(query) yang menipu interpreter untuk menjalankan perintah tersebut
atau merubah suatu data.
3 – Malicious File Execution
Celah ini mengakibatkan penyerang
dapat secara remote membuat file yang berisi kode dan data untuk di
eksekusi, salah satunya adalah Remote file inclusion (RFI).
4 – Insecure Direct Object Reference
Adalah suatu celah yang terjadi saat
pembuat aplikasi web merekspos referensi internal penggunaan objek,
seperti file, direktori, database record, dll
5 – Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target
yang sudah log-in untuk mengirimkan “pre-authenticated request”terhadap
aplikasi web yang diketahui memiliki celah, dan memaksa browser target
untuk melakukan hal yang menguntungkan penyerang.
6 – Information Leakage and Improper Error Handling
Penyerang menggunakan informasi yang
didapatkan dari celah yang di akibatkan oleh informasi yang diberikan
oleh web aplikasi seperti pesan kesalahan (error) serta konfigurasi yang
bisa di lihat.
7 – Broken Authentication and Session Management
Celah ini merupakan akibat buruknya
penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa
mendapatkan password, atau key yang di gunakan untuk otentikasi.
8 – Insecure Cryptographic Storage
Aplikasi web umumnya jarang
menggunakan fungsi kriptografi untuk melindungi data penting yang
dimiliki, atau menggunakan fungsi kriptografi yang di ketahui memiliki
kelemahan.
9 – Insecure Communications
Sedikit sekali aplikasi web yang
mengamankan jalur komunikasinya, hal inilah yang dimanfaatkan oleh
penyerang sebagai celah untuk mendapatkan informasi berharga.
10 – Failure to Restrict URL Access
Seringkali, aplikasi web hanya
menghilangkan tampilan link (URL) dari pengguna yang tidak berhak,
tetapi hal ini dengan sangat mudah dilewati dengan mengakses URL
tersebut secara langsung.
Pengamanan secara Umum1. Pemilihan Sistem Operasi (OS), Setting Server, dan Desain Aplikasi
2. Instalasi Patch
3. Kontrol Akses
4. Audit dan Log File
5. Menerapkan Kriptografi
6. Sekuritas Jaringan
- Network firewall
- Sentralisasi Log
- Network monitoring
- Pendeteksian gangguan serangan
- Semua akses http melalui proxy
- Sentralisasi akses
- Kombinasikan multi web server menjadi satu
- Awasi akses masuk dan keluar
- Block akses yg mencurigakan
- Transparan caching
- Transparan respon
Tidak ada komentar:
Posting Komentar