MANAJEMEN DAN IMPLEMENTASI PROTEKSI TI Ethical Hangking

Oleh :

I Nyoman Artha Wijaya 1104505092

JURUSAN TEKNOLOGI INFORMASI FAKULTAS TEKNIK UNIVERSITAS UDAYANA 2013

BAB 1 PENDAHULUAN

1.1

Pengertian Ethical Hacking Hacking merupakan upaya yang dilakukan untuk mengakses sistem atau computer

orang lain pada jaringan atau sistem informasi tanpa memiliki ijin. Usaha yang dilakukan pelaku hacking, yaitu memfokuskan diri untuk melakukan serangan yang dapat menembus keamanan sistem computer, keamanan sistem computer mencakup 4 unsur dasar yaitu: 1. Kerahasiaan, Kegiatan hacking disini berusaha untuk mendapatkan informasi yang berhubungan dengan akun pengguna, password, informasi dan data-data penting lainya dari pemilik sistem. 2. Keaslian, Melakukan penyamaran perangkat atau program lain sehingga memiliki akses ke sumber daya jaringan atau sistem. Kegiatan ini biasanya banyak terjadi pada infrastruktur jaringan computer wireless. 3. Keterpaduan Memanipulasi data atau informasi dalam suatu layanan sehingga menghasilkan pesan yang berbeda. 4. Ketersediaan Menyebabkan sumber daya jaringan atau sistem informasi menjadi tidak lagi tersedia, rusak atau terganggu. Dengan kata lain membuat sistem target tidak dapat beroperasi dan jaringan computer mengalami kemacetan. Ethical hacking adalah hacking yang dilakukan secara legal dengan persetujuan organisasi objek hacking untuk meningkatkan keamanan dengan metode serangan/penetrasi untuk mengetahui tingkat keamanan sistem komputer dan cara penanggulangan terhadap kelemahannya. Tulisan ini bertujuan untuk menghindari aktifitas illegal dan tidak beretika. Pelaku hacking dapat dibedakan menjadi 4 macam : 1. Hacker pelaku hacking yang bertujuan menyampaikan informasi kelemahan dan sekolah saran/solusi kepada pemilik sistem dalam meningkatkan mekanisme keamanannya. Sedang hacker dapat diklasifikasi seperti berikut : 2. Cracker pelaku hacking yang bertujuan merusak sistem yang dikuasainya. 3. Carder

pelaku hacking yang

bertujuan

untuk

memperoleh

akun

kartu

kredit

dan

menggunakannya dalam layanan e-commerce. 4. Phreaker pelaku hacking yang mengkhususkan dirinya pada pembobolan sistem komunikasi. Hactivisme merupakan tindakan pelaku hacking dalam rangka menyuarakan pesanpesan yang termotivasi dari kejadian-kejadian sosial dan politik. Media internet menjadikan sarana untuk menyampaikan protes atau pesan moral lainnya.

1.2

Pengertian Ethical Hacker Merupakan seorang yang berprofesi sebagai tenaga ahli di bidang keamanan sistem

yang menerapkan kemampuan hacking untuk tujuan pertahanan dari para pelaku hacking. Seorang ethical hacker lebih didefinisikan sebagai seorang professional untuk keamanan system data. Etichal hacker selalu meminta ijin dari pemilik system untuk mengakses computer yang ada didalamnya, tentu saja berbeda dengan malicious hacker yang berusaha memasuki system secara illegal. Dalam prakteknya, Ethical

hacker menggunakan perangkat lunak dan teknik yang juga dilakukan oleh malicious hacker untuk mencari kelemahan pada sistem dan jaringan komputer targetnya. Tugas yang dilakukan ethical hacker : 1. Uji penetrasi Melakukan usaha-usaha untuk memasuki system. Seperti layaknya seorang malicious hacker untuk mencari kelemahan-kelemahan system. 2. Uji keamanan Mengamankan dan melindungi system, setelah menemukan kelemahan-kelemahan yang ada pada system dengan perangkat-perangkat dan teknologi yang dibutuhkan. Tujuan Ethical Hacker 1. Melakukan hacking untuk mengeksploitasi kelemahan sistem dalam

rangka update dan penyempurnaan sistem. 2. 3. Melakukan hacking untuk mencari tahu dimana mulai bekerja mengamankan sistem. Menjamin semua informasi dan layanannya beroperasi seaman mungkin. Untuk menjadi seorang ethical hacker harus memiliki kemampuan seperti layaknya seorang

malicious hacker, bahkan harus melebihinya. Hacker ini harus memiliki kemampuan lebih dalam bidang : a. Computer programing b.Computer and Networks c. Operating system on multy platform Kesabaran, ketahanan dan ketekunan yang tinggi merupakan kualitas yang penting untuk seorang ethical hacker mengingat waktu dan tingkat konsentrasi yang dibutuhkan untuk setiap upaya dan serangan yang dilakukan.

1.3

Pentingnya Ethickal Hacking bagi Keamanan Tujuan utama dari Ethical Hacking adalah untuk menjaga keamaanan perusahaan

terkait. Keamanan adalah kondisi yang minim gangguan-gangguan pada infrastruktur, informasi, dan manusia yang ada di dalamnya. Aspek utama untuk mendapatkan keamanan yang dinginkan adalah dengan cara menjaga 3 aspek berikut, yaitu aspek confidentiality, integraty, dan availability (CIA). 1. Confidentiality (kerahasiaan) adalah kerahasiaan yang mencakup kerahasiaan dari

aspek kerahasiaan informasi, contoh fisik confidentiality misalnya pintu yang terkunci, penjaga gerbang dan pagar. Contoh logic confidentiality dapat berupa password, enkripsi dan firewall. 2. Integrity menjamin kebenaran informasi. Pihak pengakses dapat dengan yakin

kebenaran informasi yang sampai. Integritas data dijamin dengan samanya data atau informasi yang dikirim dengan informasi yang diterima. Secara digital, factor integritas lebih sulit dilakukan misalnya dengan menerapkan fungsi hash pada data. Contoh nyata penggunaan fungsi hash dapat dilihat pada program-program Tripware, MD5Sm, dan windows File Protection (WFP). 3. Availability adalah aspek ketiga dari CIA. Availability secara sederhana memiliki

makna ketersediaan, yaitu saat user yang sah membutuhkan informasi, informasi tersebut harus dapat diakses/tersedia. Pemanfaatan backup untuk melakukan restore pada sistem telah menjamin aspek availability. Sistem seperti redundant array of inexpensive disk (RAID) dan subscription service seperti situs redundant (hot, cold, and warm) adalah contoh-contoh lain avaibility. Denial of service (DoS) merupakan contoh serangan terhadap

avaibility. Serangan tersebut membuat user yang sah tidak dapat mengakses informasi yang dibutuhkan. Terdapat Tiga fase testing keamanan diantaranya, yaitu : 1. Preparation : fase formal dengan membuat pertanyaan-pertanyaan seperti: informasi apa yang dilindungi perusahaan, dari siapa, berapa biaya yang dianggarkan, sehingga akan dapat dibuat rencana yang sesuai. Fase ini juga membuat kesepakatan

evaluasi oleh ethical hacking untuk proses penyingkapan informasi sehingga tidak ada penuntutan atas proses tersebut serta membuat kontrak tentang aktifitas evaluasi, jadwal dan sumber daya yang ada. 2. Conduct : fase ini melakukan metodemetode ethical hacking, yaitu: analisis

vulnerability dan tes menerobos sistem (penetration) baik dari internet maupun dari intranet (jaringan internal). Mencari sebanyak mungkin vulnerability yang dapat terjadi pada target 3. Conclusion : fase ini memberikan rekomendasi-rekomendasi dan

mengkomunikasikan perusahaan/client dengan saran-saran dan aksi yang harus dilakukan berdasarkan hasil evaluasi keamanan. Kemungkinan vulnerability informasi dan data.

BAB II PEMBAHASAN

2.1

Security Testing Security testing merupakan pekerjaan utama dari ethical hackers. Test yang

dilakukan dapat dispesifikasikan berdasar pengetahuan hacker tentang objek yang dites. Pengetahuan terhadap target evaluasi dapat berupa no knowledge, full knowledge, dan partial knowledge. Tujuan dari tes ini adalah untuk menguji keamanan sistem dan mengevaluasi dan mengukur celah keamanan sistem agar dapat diminimalkan potensinya. Jenis- jenis pengujian yang biasa dilakukan oleh seorang ethical hacker : 1. No Knowledge Tests (Blackbox) No knowledge tes sering disebut blackbox tes, secara sederhana tim penguji tidak memiliki pengetahuan tentang target, baik jaringan maupun sistemnya. Blackbox tes mensimulasikan serangan dari pihak luar yang tidak mengetahui apapun dan memulainya , caranya dengan mengumpulkan informasi. Tes ini memberikan hasil yang tidak biasa karena perancang dan penguji sistem adalah dua pihak yang saling independen. Kekurangan blockbox tes antara lain : a. Waktu yang dibutuhkan lebih lama dalam pengujian keamanan. b. Semakin lama pengujian, semakin besar biaya yang dikeluarkan. c. Hanya fokus pada penyerang dari luar, faktanya kebanyakan serangan berasal dari dalam. 2. Full knowledge Testing (Whitebox) Whitebox testing menggunakan pendekatan yang berlawanan dengan blackbox tes. Penguji celah keamanan memiliki semua pengetahuan nentang network, sistem dan infrastruktur. Informasi ini membuat pengujian berjalan dengan lebih terstruktur dengan tidak hanya meriview tapi juga menjain akurasi dari data yang ada. Dengan demikian, saat blackbox tes menghabiskan sebagian besar waktu untuk mengumpulkan informasi, whitebox tes akan menghabiskan sebagian besar informasi untuk mencari celah keamanan sistem.

3.

Partial Knowledge Testing (Graybox) Graybox tes sering dideskripsikan sebagai tes internal, yang bertujuanuntuk melihat

apa yang dapat diakses oleh pihak internal, mengingat sebagian besar serangan yang berbahaya dilakukan dari dalam.

2.2

Essential terminology Essential terminology merupakan peristiwa penting yang banyak terjadi untuk

membobol keamanan suatu sistem. 1. Threat Threat adalah aksi atau peristiwa yang bersentuhan kuat dengan keamanan. Sebuah pelanggaran berpotensi terhadap keamanan sebagai indikasi diharapkan. 2. Vulnerability Vulnerability adalah adanya kelemahan, error desain atau implementasi yang dapat menghantarkan pada peristiwa tidak diinginkan yang sistem. Perbedaan mendasar threat dan vulnerability yaitu bahwa tidak semua threat hasil penyerangan dan tidak semua penyerangan berhasil. Keberhasilan penyerangan bergantung pada derajat vulnerability, kekuatan si penyerangan dan keefektifan tools yang digunakan si penyerang. 3. Target of evaluation Target of evaluation adalah sistem IT, produk atau komponen yang merupakan identifikasi dalam evaluasi keamanan. 4. Attack Attack adalah sebuah aksi/usaha untuk menerobos keamanan (dengan pengetahuan/ teknik-teknik cerdas). 5. Exploit Exploit adalah didefinisikan sebagai cara untuk melanggar/menembus keamanan sistem IT melalui keadaan vulnerability. berhubungan dengan keamanan kejadian yang tidak

2.3

Klasifikasi penyerangan Jenis - jenis klasifikasi penyerangan hacking, yaitu :

1.

Active attack Active attack adalah modifikasi sistem target. Active attack berpengaruh terhadap

keberadaan, kesempurnaan dan keaslian dari sistem. 2. Passive attack Passive attack adalah merusak kerahasiaan tanpa berpengaruh terhadap keadaan sistem. Perbedaannya antar active attack dengan passive attack adalah active attack mencoba mengubah sumberdaya sistem atau berakibat pada operasi yang diserang, sedangkan passive attack mempelajari atau memakai informasi dari sistem tanpa berakibat pada sumberdaya sistem yang diserang. 3. Inside attack Inside attack adalah penyerangan yang dikenali sebagai entitas dari dalam perimeter keamanan. Entitas yang diperbolehkan untuk mengakses sumberdaya sistem tetapi

menggunakannya diluar hak yang diperbolehkan. (asal serangan dari dalam jaringan). 4. Outside attack Outside attack adalah penyerangan yang dikenali dari luar perimeter keamanan. Entitas yang tidak diperbolehkan atau dilarang akses oleh sistem. (asal serangan dari luar jaringan).

BAB III PENUTUP

3.1

Simpulan
Tulisan ini membuktikan keamanan utamanya harus didasarkan pada tiga aspek CIA. Tiga

serangkai ini mempertimbangkan confidentiality, Integrity, availability. Penerapan prinsip-prinsip CIA harus diterapkan dengan Teknologi Informasi (TI) dan jaringan data. Data yang harus

dilindungi yaitu data pada penyimpanan dan dalam perjalanan. Karena organisasi tidak dapat menyediakan perlindungan yang lengkap untuk semua aktiva, sistem harus dikembangkan untuk menentukan peringkat risiko dan kerentanan. Organisasi harus berusaha untuk mengidentifikasi risiko dan dampak untuk mekanisme perlindungan. Bagian dari pekerjaan seorang ethical hacker adalah untuk mengidentifikasi potensi kerentanan terhadap aset kritis dan sistem pengujian untuk melihat apakah mereka rentan terhadap eksploitasi. Kegiatan yang dijelaskan tes keamanan. hacker Etis dapat melakukan tes keamanan dari perspektif yang tidak diketahui, pengujian blackbox, atau dengan semua dokumentasi dan pengetahuan objek pengujian, pengujian whitebox. Jenis pendekatan untuk pengujian yang diambil akan tergantung pada waktu, dana, dan tujuan uji keamanan. Organisasi dapat memiliki banyak aspek sistem pelindung mereka diuji, seperti keamanan fisik, sistem telepon, akses nirkabel, akses insider, atau hacking eksternal. Untuk melakukan tes ini, hacker etika membutuhkan berbagai keterampilan. Mereka harus mahir dalam aspek teknis dari jaringan namun juga memahami kebijakan dan prosedur. Tidak ada satu ethical hacker mengerti semua sistem operasi, protokol jaringan, atau perangkat lunak aplikasi, karenanya tes keamanan dilakukan oleh tim keahlian dan keterampilan berbeda.

Daftar pustaka http://stwn.blog.unsoed.ac.id/files/2012/04/ethack-2012-1.pdf, diakses tanggal 6 Oktober 2013

http://kudabayor.blogspot.com/2010/06/ethical-hacker.html, diakses tanggal 6 Oktober 2013

http://rootmain.blogspot.com/2009/03/ethical-hacker.html, diakses tanggal 6 Oktober 2013

http://thelawofrantaro.blogspot.com/2009/02/ethical-hacking.html, diakses tanggal 6 Oktober 2013

http://selvia-etpro.blogspot.com/2008/12/pengertian-cyber-ethics.html, diakses tanggal 6 Oktober 2013

http://elearning.amikom.ac.id, diakses tanggal 6 Oktober 2013

http://www.go4expert.com/forums/showthread.php?t=11925, diakses tanggal 7 Oktober 2013 https://www.eccouncil.org/certification/certified_ethical_hacker.aspx, diakses tanggal 7 Oktober 2013 http://en.wikipedia.org/wiki/Penetration_test, diakses tanggal 7 Oktober 2013 http://www.infosecinstitute.com/courses/ethical_hacking_training.html, diakses tanggal 7 Oktober 2013 Romi Satria Wahono Seminar Hacking and Security, ITS Surabaya, 17 Maret 2007