Keamanan Komputer

Database Security
Part-10
 Pendahuluan
• Database Security adalah sistem, proses, dan prosedur yang
melindungi database dari aktivitas yang tidak disengaja.
Aktivitas yang tidak disengaja dapat dikategorikan sebagai
penyalahgunaan diotentikasi, serangan berbahaya atau
sengaja kesalahan yang dibuat oleh individu atau proses
yang berwenang.
• Misalkan pada sebuah perusahaan, aset terbesar dan satu-
satunya "tempat aman", adalah database. Database adalah
adalah kumpulan informasi yang disimpan di dalam
komputer secara sistematik sehingga dapat diperiksa
menggunakan suatu program komputer untuk memperoleh
informasi dari basisdata tersebut.
 The need for database security
• Organisasi database cenderung memiliki
informasi sensitif dalam sistem singlelogical.
Contohnya :
– Data keuangan perusahaan
– Data nomor telepon penting
– Customer and data pegawai, seperti; Nama, Social
Security number, Bank account information, informasi
kartu kredit dan lain, sebagainya.
– INformasi produk eksklusif
– Informasi kesehatan dan catatan medis.
 Tujuan Keamanan Database

Menurut Database Processing, tujuan dari keamanan

database yaitu :
1. Untuk memastikan bahwa hanya user yang
berwenang yang dapa melaksanakan aktivitas
yang terotorisasi pada waktu diotorisasi
2. Untuk menentukkan hak dan kewajiban
pemrosesan dari semua user dalam penggunakaan
database.
Beberapa Aspek Keamanan Database
• Mambatasi akses ke data dan servis
• Melakukan autentifikasi pada user
• Memonitor aktivitas-aktivitas yang
mencurigakan
 Ancaman Database Security
• Pencurian dan penipuan.
• Hilangnya kerahasiaan dan privasi
• Hilangnya integritas
• Hilangnya ketersediaan
 Model Database Security
• Keamanan Server Perlindungan Server adalah suatu
proses pembatasan akses yang sebenarnya pada
database dalam server itu sendiri. Menurut Blake
Wiedman ini adalah suatu sisi keamanan yang sangat
penting dan harus direncanakan secara hati-hati
• Trusted IP Access Setiap server harus dapat
mengkonfigurasikan alamat ip yang diperbolehkan
mengakses dirinya
– Koneksi Database
– Koneksi Tabel Database
 Tingkatan Keamanan Database
• Fisikal
Lokasi-lokasi dimana terdapat sistem komputer haruslah aman secara
fisik terhadap serangan perusak.
• Manusia
Wewenang pemakai harus dilakukan dengan berhati-hati untuk
mengurangi kemungkinan adanya manipulasi oleh pemakai yang
berwenang
• Sistem Operasi
Kelemahan pada SO ini memungkinkan pengaksesan data oleh pihak tak
berwenang, karena hampir seluruh jaringan sistem database
menggunakan akses jarak jauh.
• Sistem Database
Pengaturan hak pemakai yang baik.
 Study Case: SQL Injection

• Injeksi SQL SQL Injection adalah sebuah teknik

yang menyalahgunakan sebuah celah keamanan
yang terjadi dalam lapisan basis data sebuah
aplikasi.
• Celah ini terjadi ketika masukan pengguna tidak
disaring secara benar dari karakter-karakter
pelolos bentukan string yang diimbuhkan dalam
pernyataan SQL atau masukan pengguna tidak
bertipe kuat dan karenanya dijalankan tidak sesuai
harapan.
 Sebab Terjadinya SQL Injection

• Tidak adanya penanganan terhadap karakter-

karakter tanda petik satu ‟ dan juga karakter double
minus -- yang menyebabkan suatu aplikasi dapat
disisipi dengan perintah SQL.
• Sehingga seorang Intruder menyisipkan perintah
SQL kedalam suatu parameter maupun suatu form.
 Efek SQL Injection

• Teknik ini memungkinkan seseorang dapat login

kedalam sistem tanpa harus memiliki account.
• Selain itu SQL injection juga memungkinkan
seseorang merubah, menghapus, maupun
menambahkan data–data yang berada didalam
database.
• Bahkan yang lebih berbahaya lagi yaitu mematikan
database itu sendiri, sehingga tidak bisa memberi
layanan kepada web server.
 Contoh SQL Injection

• $SQL = “select * from login where username

=‟$username‟ and password = „$password‟”; ,
{dari GET atau POST variable }
• Isikan password dengan string ‟ or ‟‟ = ‟
• Hasilnya maka SQL akan seperti ini = “select *
from login where username = ‟$username‟ and
password=‟pass‟ or „=′”; , { dengan SQL ini hasil
selection akan selalu TRUE }
• Maka kita bisa inject sintax SQL (dalam hal ini OR)
kedalam SQL
Contoh SQL Injection
 Kesimpulan

• Keamanan database merupakan bagian terpenting

pada focus keamanan komputer.
• SQL Injection merupakan model serangan yang
paling umum dilakukan untuk masuk ke sistem tanpa
harus melalui otorisasi.
• Antisipasi terhadap pengelolaan script, menjadi
sangat penting untuk mengamankan database dari
serangan intruder.