• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Seminar and Workshop Computer Security, BPPTIK Kominfo
 

Seminar and Workshop Computer Security, BPPTIK Kominfo

on

  • 904 views

Seminar and Workshop Lab in BPPTIK Kominfo, Cikarang.

Seminar and Workshop Lab in BPPTIK Kominfo, Cikarang.

Statistics

Views

Total Views
904
Views on SlideShare
904
Embed Views
0

Actions

Likes
0
Downloads
68
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as OpenOffice

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Seminar and Workshop Computer Security, BPPTIK Kominfo Seminar and Workshop Computer Security, BPPTIK Kominfo Presentation Transcript

    • Computer Security Presented by : Digit Oktavianto 30 Maret 2012 BPPTIK Kominfo
    • Computer Security Basic ConceptKeamanan computer adalah tindakan pencegahan dariserangan pengguna computer atau pengakses jaringanyang tidak bertanggung jawab. Keamanan computerberhubungan dengan pencegahan dini dan deteksiterhadapa tindakan pengganggu yang tidak dikenalidalam system computer.
    • Komponen Standar Computer Security Confidentiality adalah menyembunyikan informasi atau sumber daya Integrity mengacu pada keterpercayaan terhadap data atau sumber informasi yang ada Availability memiliki arti bahwa data atau informasi yang penting dapat dipergunakan oleh pengguna di waktu-waktu tertentu.
    • Klasifikasi Keamanan Komputer Berdasarkan Celah Keamanan Keamanan Fisik (Physical Security) Keamanan Personal (Personal Security) Keamanan Komunikasi (Communication Security Keamanan Operasional (Operational Security)
    • Model Serangan Komputer➲ Interruption➲ Interception➲ Modification➲ Fabrication
    • Penggolongan Hacker Berdasarkan Aktivitas Hacking ➲ Black Hat ➲ White Hat ➲ Grey Hat
    • Hacking Phase➲ Reconnaisance➲ Scanning➲ Gaining Access➲ Maintaining Access➲ Covering Tracks
    • Security AssesmentSecurity assesment merupakan penilaian terhadapkeamanan infrastruktur yang ada dalam satu organisasiatau perusahaan. Assesment ini merupakan suatu penilaianseberapa besar suatu organisasi atau perusahaanmenerapkan prinsip keamanan komputer terhadap seluruhperangkat dan jaringan yang dalam lingkup merekamasing-masing.
    • Security Assesment (Contd..)➲ Vulnerability Assesment➲ Penetration Test
    • Vulnerability AssesmentVulnerability assessment adalah proses pencariankelemahan yang ada pada target. Attacker melakukanidentifikasi apa saja celah yang ada dalam system, lalumemberikan informasi berapa banyak kelemahan ataucelah yang ada pada system tersebut, lalu memberikanurutan prioritas sesuai dengan besar atau kecilnya resikoyang timbul dengan adanya celah keamanan tersebut.
    • Penetration TestPenetration test adalah proses melakukan eksplorasi daneksploitasi lebih jauh ke dalam system target setelahmegetahui bug atau security hole yang di report padaproses vulnerability assessment. Pada proses ini aktivitasgaining access coba di lakukan oleh attacker. Attackerakan mencoba mengeksploitasi celah keamanan sehinggaberhasil mendapatkan akses ke dalam system target.
    • Penetration Test (Contd..) Ada 3 tipe penetration test berdasarkan lokasi di lakukannya penetration test :➲ White Box➲ Black Box➲ Grey Box
    • Vuln. Assesment Vs Pentest Vulnerability Penetration Test AssesmentBatasan Test Melakukan scanning terhadap Fokus melakukan eksploitasi semua infratruktur yang terhadap celah keamanan yang memungkinkan adanya celah telah ditemukan keamanan Tujuan Untuk mengelompokkan Hasil dari report penetration test vulnerability berdasarkan digunakan untuk menambal celah tingkatan besar atau kecilnya yang berhasil di eksploitasi, dan risk, dan mengetahui berapa meneiliti seberapa jauh dampak banyak jumlah celah yang ditimbulkan akibat celah keamanan yang berisiko pada yang berhasil di eksploitasi system tersebut
    • Vuln. Assesment Vs Pentest (Contd..) Proses Vulnerability assessment Penetration test merupakan active merupakan passive process process Manfaat Vulnerability assessment Penetration test mencoba dilakukan untuk meningkatkan melakukan test apakah keamanan keamanan komputer pada komputer yang telah diterapkan system yang telah di terapkan, sudah efektif atau belum menambal celah yang ada.Hasil dan Report Report pada vulnerability Hasil penetration test adalah bisa assessment ada yang benar- atau tidaknya pentester benar mengungkapkan celah menembus celah keamanan yang keamanan yang ada, namun ada, dan melaporkan cara ada pula yang menunjukkan exploitasi yang digunakan untuk false positive. menembus keamanan system tersebut.
    • Tools Information GatheringNmap http://nmap.org/download.htmlAutoScan http://autoscan-network.com/AngryIP http://www.angryip.org/w/DownloadMaltego http://www.paterva.com/web5/FOCA http://www.informatica64.com/foca.aspxTheHarvesterhttps://code.google.com/p/theharvester/
    • Tools Vuln. AssesmentNessus http://www.tenable.com/products/nessusOpenVAShttp://www.openvas.org/Nexposehttp://www.rapid7.com/products/nexpose-community-edition.jspGFI Languardhttp://www.gfi.com/network-security-vulnerability-scannerAcunetix http://www.acunetix.com/vulnerability-scanner/Nikto http://cirt.net/nikto2
    • Tools PentestMetasploit http://www.metasploit.com/download/Armitage http://www.fastandeasyhacking.com/SAP Bizploithttp://www.onapsis.com/research-free-solutions.php#Canvas http://immunityinc.com
    • Web Security AttackKeamanan web merupakan salah satu hal yang mutlak untukditerapkan, karena hampir sebagian besar kegiatan di dunia internetdilakukan melalui fasilitas ini. Aktivitas social networking,blogging, online learning, transaksi perbankan, perncarianinformasi, dan banyak aktivitas lainnya kita lakukan melalui mediawebsite. Namun sayangnya masih banyak user yang tidak awaremengenai keamanan web ini, sehingga banyak terjadi kejahataninternet yang terhadi pada user, seperti pencurian akun socialnetworking, website yang di deface, phising, sampai pencurianidentitas penting lainnya.
    • Common Web Hacking MethodCross Site Scripting (XSS)Kelemahan XSS terjadi ketika aplikasi mengambil datayang tidak dapat dipercaya dan mengirimnya ke suatuweb browser tanpa validasi yang memadai. XSSmemungkinkan penyerang mengeksekusi script-script didalam browser korban, yang dapat membajak sesipengguna, mengubah tampilan website, ataumengarahkan pengguna ke situs-situs jahat.
    • Common Web Hacking … (Contd..)SQL InjectionSQL injection exploits dan sejenisnya adalah hasil interfacing sebuah bahasalewat informasi melalui bahasa lain . Dalam hal SQL injection, sebuah bahasapemrograman seperti PHP atau Perl mengakses database melalui SQL query.Jika data yang diterima dari pengguna akhir yang dikirim langsung ke databasedan tidak disaring dengan benar, maka yang penyerang dapat menyisipkanperintah SQL nya sebagai bagian dari input.Setelah dijalankan pada database, perintah ini dapat mengubah, menghapus,atau membeberkan data sensitif.Lebih parah lagi jika sampai ke sistem eksekusikode akses yaitu mematikan database itu sendiri, sehingga tidak bisa memberilayanan kepada web server.
    • Common Web Hacking … (Contd..)Denial of ServiceDoS adalah adalah jenis serangan terhadap sebuah komputer atauserver di dalam jaringan internet dengan cara menghabiskansumber (resource) yang dimiliki oleh komputer tersebut sampaikomputer tersebut tidak dapat menjalankan fungsinya denganbenar sehingga secara tidak langsung mencegah pengguna lainuntuk memperoleh akses layanan dari komputer yang diserangtersebut.
    • Common Web Hacking … (Contd..)Cross Site Request ForgerySuatu serangan CSRF memaksa browser korban yang sudahlog-on untuk mengirim HTTP request yang dipalsukan,termasuk di dalamnya session cookie korban dan informasiotentikasi lain yang otomatis disertakan, ke suatu aplikasiweb yang rentan. Hal ini memungkinkan penyerang untukmemaksa browser korban menghasilkan request yangdianggap sah oleh aplikasi rentan tadi.
    • Common Web Hacking … (Contd..)Directory Traversal AttackDirectory Traversal adalah suatu serangan yangmengeksploitasi engine (web server) yangmemungkinkan penyerang mengakses direktoriyang dibatasi dan mengeksekusi command diluardirektori root web server.
    • Tools Web Security TestingVega http://www.subgraph.com/OWASP ZAPhttps://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_ProjectWebscarabhttps://www.owasp.org/index.php/Category:OWASP_WebScarab_ProjeArachni http://arachni-scanner.com/Burp http://portswigger.net/burp/
    • Tools Web Security Testing (Contd..)Websecurify http://www.websecurify.com/Skipfish https://code.google.com/p/skipfish/Grendel-Scanhttp://grendel-scan.com/download.htmOWASP Mantrahttps://www.owasp.org/index.php/OWASP_Mantra_-_Security_FrameworkW3af http://w3af.sourceforge.net/