SlideShare a Scribd company logo

Pengantar Mobile Security

Z
zakiakhmad

Pengantar Mobile Security: Risiko, Desain yang Aman, dan Pengujian - Zaki Akhmad

TechnologyBusiness
1 of 11
Download to read offline
Pengantar Mobile Security : Risiko, Desain yang Aman, dan Pengujian Zaki Akhmad za at indocisc.co.id Paper idsecconf2011 Penggunaan ponsel untuk tersambung ke Internet di Indonesia saat ini sudah semakin umum. Penggunaan ponsel untuk melakukan koneksi In- ternet ini memiliki risiko keamanan tersendiri. Risiko ini berbeda dengan penggunaan desktop atau laptop untuk koneksi Internet. Tulisan ini meru- pakan sebuah pengantar keamanan perangkat mobile. Tulisan ini bertujuan memberikan gambaran umum mengenai bidang keamanan perangkat mobile tanpa terlalu turun mendetail hingga ke tataran teknis. Tulisan ini akan dimulai dengan analisis risiko-risiko keamanan yang dimiliki perangkat mobile. Analisis risiko meliputi risiko fisik, risiko sistem operasi hingga risiko aplikasi. Selanjutnya akan dijabarkan prinsip-prinsip keamanan dalam mendesain aplikasi mobile karena aplikasi yang aman sebe- narnya dimulai dari proses desain. Pada bagian akhir akan dipaparkan metodologi melakukan pengujian keamanan aplikasi mobile. Dimulai dengan metodologi secara umum, baru selanjutnya diikuti dengan contoh pengujian spesifik untuk suatu sistem operasi perangkat mobile tertentu. Kata Kunci: mobile security, Android, BlackBerry, iPhone 1 Pendahuluan Jakarta dengan kondisi lalu lintas yang macet membuat para penduduknya mengakses Internet dari telepon selular-nya menjadi hal yang semakin umum. Harga perangkat dan tarif Internet yang semakin terjangkau mempercepat hal ini. Bahkan informasi lalu lintas kini dapat dengan mudah diakses via 1
ponsel. Informasi yang sangat dibutuhkan bagi para penduduk Jakarta un- tuk membantu menentukan rute dan memperkirakan waktu tempuh per- jalanan. Kondisi kualitas jaringan Internet yang tak selalu bagus, membuat perangkat BlackBerry -yang menawarkan koneksi Internet handal dengan algoritma kompresinya- laku bak kacang goreng. Hal ini ditambah lagi dengan bu- daya masyarakat Indonesia yang senang mengobrol sehingga dengan meng- gunakan BlackBerry koneksi ke social media pun jadi lebih mudah. Di sisi lain, pengembangan aplikasi mobile pun terus bermunculan. Mulai dari ap- likasi yang sifatnya informasional hingga aplikasi yang bersifat transaksional. Untuk aplikasi transaksional umumnya adalah aplikasi dalam industri per- bankan dan finansial. Aplikasi yang bersifat transaksional tentu disyaratkan memiliki tingkat keamanan yang dapat diterima. Penggunaan aplikasi SMS untuk men- girimkan/menerima PIN sangat rawan. Bagaimana apabila pemilik pon- sel kehilangan ponselnya lalu orang lain menggunakan PIN tersebut un- tuk melakukan transaksi? Risiko paling mendasar dari penggunaan ponsel adalah risiko kehilangan. Apakah para pengguna ponsel sudah siap dan mengerti risiko kehilangan ponselnya? Penggunaan ponsel ini tak hanya se- batas di kalangan mahasiswa atau karyawan namun juga hingga kalangan eksekutif perusahaan. Nilai ponsel mahasiswa dan eksekutif perusahaan bisa sama, namun tentu nilai informasinya akan lebih tinggi ponsel milik seorang direktur perusahaan. Sayangnya, security awareness kalangan eksekutif tidak selalu tinggi. Bahkan penulis pernah diceritakan bahwa seorang direksi perusahaan mem- berikan password email -nya kepada sekretaris untuk membantunya mem- baca/menerima email. URL shortener pun bisa menjadi celah keamanan saat dibuka dari ponsel. Misalkan teman Anda menulis di akun twitternya, http://bit.ly/y678l dan mengatakan URL tersebut adalah URL fotonya di Facebook. Padahal kenyataannya URL ini mengacu pada situs yang ia buat sendiri, dengan tampilan seperti Facebook. Dengan layar yang lebih kecil & alamat URL yang tak selalu bisa dilihat, pengakses situs ini akan lebih sulit membedakan apakah ini situs facebook atau situs phishing yang mirip face- book. Dengan melakukan serangan yang dinamakan phishing ini, penyerang akan mendapatkan pasangan userid dan password. 2
2 Risiko Keamanan Perangkat Mobile Sama dengan aset-aset lainnya, perangkat mobile memiliki risiko yang melekat dengannya. Dengan karakteristiknya yang mobile, tentu perangkat mobile memiliki risiko yang lebih bisa ter-expose ke pihak luar. Berikut ini adalah beberapa risiko-risiko keamanan pada perangkat mobile 1 : 2.1 Risiko Fisik Risiko fisik menjadi risiko paling mendasar yang dimiliki oleh perangkat mobile. Risiko fisik ini mulai dari akses oleh orang yang tak berhak hingga risiko kehilangan. Akses oleh orang yang tak berhak pada perangkat mobile dapat berupa: seseorang yang berpura-pura mengatakan ingin meminjam melakukan telepon atau mengirim SMS, atau perangkat yang digeletakkan tanpa ada perlindungan keylock. Serangan yang dilakukan dapat berupa mengakses data yang tersimpan di MicroSD (misalnya) atau memasukkan malware/trojan. Bentuk risiko fisik lainnya adalah shouldering atau melihat display perangkat mobile oleh penyerang saat berada di dekatnya. Format pengetikan pass- word di aplikasi mobile yang menampilkan karakter aslinya sebelum menya- markannya, membuka kemungkinan penyerang dapat mengetahui password. Risiko kehilangan sebaiknya dari awal sudah ada di pikiran pengguna perangkat mobile saat memutuskan menggunakannya. Berbeda dengan server yang bisa diletakkan pada ruangan terkunci, tidak ada mekanisme penga- manan akses fisik untuk perangkat mobile. Jadi, saat mendesain dari awal sudah dipertimbangkan bahwa desain sistem memungkinkan akses fisik oleh orang yang tak berhak. 2.2 Risiko Data Storage Kekuatan komputasi laptop tentu tak sama dengan komputasi ponsel. Saat ini program enkripsi data pada ponsel masih belum sematang program enkripsi pada laptop. Misal pengguna laptop menggunakan aplikasi true- crypt2 untuk mengenkripsi data-nya. Apabila laptop-nya hilang maka ia da- 1 Yang dimaksud sebagai perangkat mobile dalam tulisan ini adalah ponsel pintar (smart phone) & tablet PC yang menggunakan sistem operasi mobile: Android, Black- Berry, iOS, Windows Phone, Symbian. Laptop walaupun juga bersifat mobile tidak ter- masuk definisi perangkat mobile dalam tulisan ini. 2 http://www.truecrypt.org 3
pat menerima risikonya karena data yang sensitif tetap aman dalam keadaan terenkripsi. Kemampuan menyimpan data secara aman namun tetap memu- ngkinkan bagi aplikasi untuk mengaksesnya menjadi persyaratan untuk kea- manan perangkat mobile. 2.3 Risiko Strong Password Katakanlah seorang pengguna aplikasi Internet Banking diharuskan memi- liki password yang kuat yaitu password dengan minimal panjang karakter delapan, kombinasi huruf besar/kecil, berikut dengan kombinasi numerik dan simbol. Password ini tentu akan dengan mudah diketikkan saat ia meng- gunakan keyboard di laptop/desktop. Lalu bagaimana ia akan mengetikkan delapan karakter password, kombinasi huruf besar huruf kecil, kombinasi numerik dan simbol pada ponselnya? Tentu akan lebih sulit dilakukan pada keyboard ponsel: model ketik tiga kali ABC, model QWERTY, ataupun vir- tual touch screen keyboard ; Akibatnya ia akan memilih untuk tidak meng- gunakan aplikasi Internet Banking mobile saja dan dari sisi bank akan ke- hilangan penggunanya. 2.4 Risiko Internet Browsing Layar ponsel tidak sebesar layar laptop. Jadi menampilkan URL secara lengkap pada ponsel dapat dikatakan nyaris takkan bisa. Hal ini akan mem- buat serangan phishing semakin mudah. Pengguna tidak dapat selalu meli- hat URL yang diaksesnya. Penyerang hanya perlu memancing pengguna membuka, misalnya menggunakan URL shortener, untuk mengarahkan ke situs palsu. 2.5 Risiko Privasi Lokasi Bagi Gayus Tambunan saat kabur dari penjara isu lokasi akan menjadi san- gat kritikal. Tentu ia tak mau tertangkap basah saat kabur dari penjara. Bagaimana apabila ponsel yang digunakan Gayus selalu mengirimkan po- sisi koordinat GPS-nya? Saat ini isu privasi lokasi menjadi isu yang hangat dibicarakan. Ponsel iPhone dan Android dikabarkan mengirimkan lokasinya. 4
2.6 Risiko Sistem Operasi Setiap perangkat mobile dengan masing-masing sistem operasinya tentu akan memilikinya risikonya sendiri-sendiri. Baik Android, iPhone, Black- Berry, Symbian, Windows Phone, masing-masing memiliki risiko. Risiko sistem operasi ini melekat pada perangkat mobile tersebut. Contoh risiko sistem operasi adalah jailbreaks atau berusaha mendapatkan akses root pada perangkat. 3 Mobile Security Secure Design Principles Keamanan seharusnya diawali dari awal, bukan didasarkan pada pengu- jian di akhir saat aplikasi sudah diluncurkan. Berikut ini adalah beberapa prinsip-prinsip keamanan dalam mendesain aplikasi mobile: 3.1 Identifikasi dan Proteksi Data Sensitif pada Perangkat Mobile Sebelum mendesain aplikasi mobile, lakukan identifikasi terhadap semua data yang akan diproses. Tentukan tingkat sensitivitas data. Data yang bersifat publik tidak perlu mendapatkan mekanisme pengamanan. Data yang bersifat confidential harus mendapatkan mekanisme pengamanan. Seda- pat mungkin, desain aplikasi dengan data confidential tidak tersimpan di perangkat mobile. Jika tidak memungkinkan, data confidential yang tersim- pan pada perangkat mobile harus terlindungi. 3.2 Pastikan Data Sensitif Terlindungi Saat Transit Perangkat mobile memiliki beragam mode koneksi untuk tersambung ke In- ternet: apakah BIS, GPRS, Edge, WiFi, dst. Tidak semua mode koneksi ini terenkripsi, contoh paling sederhana adalah public wifi. Untuk itu de- sain aplikasi mobile dengan menggunakan TLS/SSL (Transport Layer Secu- rity/Secure Socket Layer) saat mengirimkan/menerima data sensitif. 3.3 Jalankan Aplikasi dengan Hak Akses Minimum Desain klien aplikasi mobile yang dapat dijalankan dengan hak akses mini- mum yang diperlukan. Contohnya aplikasi cukup bisa dijalankan user biasa, 5
tidak harus sebagai admin/root; jika aplikasi tidak membutuhkan akses ke servis kamera, maka tak perlu diberikan akses ke servis kamera. Model hak akses minimum ini akan meminimalisir risiko akses yang tak perlu dan memastikan aplikasi bisa berjalan dengan cara yang paling aman. 3.4 Ikuti Praktik Secure Coding Kembangkan aplikasi mengikuti praktik secure coding misalnya: input vali- dation, output encoding. Pengembang perlu melakukan static analysis dalam proses SDLC untuk mengetahui keamanan source code. Lainnya, tanda tan- gani aplikasi saat akan mengunggah (signed application) untuk menjaga in- tegritas aplikasi. 4 Mobile Security Testing Pada bagian ini akan dijelaskan metodologi pengujian keamanan aplikasi mobile. Pada bagian pertama akan disampaikan metodologi secara umum tanpa melihat sistem operasi mobile. Selanjutnya pada bagian kedua akan disampaikan secara spesifik contoh pengujian keamanan aplikasi mobile un- tuk beberapa sistem operasi, berikut penjelasan tools yang digunakan dalam pengujian. 4.1 Metodologi Umum Berikut ini adalah metodologi umum dalam melakukan pengujian aplikasi mobile: 1. Memahami proses bisnis aplikasi (Understanding application business process) Langkah pertama yang perlu dilakukan dan akan menjadi pondasi dalam melakukan pengujian adalah dengan memahami proses bisnis aplikasi. Misalnya dengan mengetahui karakteristik aplikasi apakah berupa aplikasi transaksional atau aplikasi informasional. Aplikasi yang bersifat transaksional akan memiliki risiko finansial sementara aplikasi informasional akan memiliki risiko integritas data. Apabila penyerang memiliki motif ekonomi dalam melakukan penyerangan maka aplikasi transaksional akan dipilih untuk diserang. 6
2. Menguraikan aplikasi (Decomposing application) Setelah memahami proses bisnis dilanjutkan dengan menguraikan kom- ponen penyusun aplikasi. Apabila pengujian dilakukan dengan cara black box maka penguraian aplikasi dilakukan dengan cara fingerprint- ing. Dengan melakukan penguraian aplikasi dapat dilakukan anal- isis terhadap desain dan arsitektur aplikasi mobile ini. Komponen server apa saja yang terlibat berikut bagaimana aplikasi mobile didis- tribusikan. 3. Mengembangkan skenario serangan (Developing attack scenarios) Susun skenario serangan-serangan yang mungkin dilakukan berikut penjelasan kondisi yang diperlukan untuk melakukan serangan terse- but. Faktor kemungkinan dan dampak dari serangan juga perlu dije- laskan agar risiko setiap serangan dapat terlihat dengan jelas. Misal- nya dari hasil penguraian aplikasi diketahui bahwa terdapat 2 server yang terlibat berikut aplikasi mobile. Skenario serangan pertama adalah melakukan serangan pada sisi server misalnya dengan melakukan: pen- etration testing, vulnerability assessment, web application testing, dst. Selanjutnya diikuti dengan skenario kedua yaitu mobile application assessment. 4. Menentukan prioritas risiko (Prioritizing risks) Umumnya pengujian dilakukan dengan batasan waktu. Tentu tak se- mua skenario dapat dilakukan. Oleh karena itu perlu ditentukan ske- nario yang menjadi prioritas. 5. Melakukan pengujian (Conducting tests) Skenario dieksekusi dengan prioritas. adalah skenario yang memiliki risiko tertinggi. Perhitungan risiko dihitung dari perkalian kemungki- nan dengan dampak dari setiap skenario serangan. 6. Menganalisis hasil pengujian (Analyzing test results) Selanjutnya hasil pengujian dianalisis, skenario serangan yang meng- hasilkan temuan. 7. Merekomendasikan perbaikan (Recommending fixes). Menyusun rekomendasi perbaikan dari temuan yang ditemukan. 7
4.2 Mobile Security Assessment Mobile security assessment dapat dilakukan dengan melakukan pengujian pada aplikasi yang sedang dijalankan atau pada aplikasi yang sedang tidak dijalankan. Berikut ini adalah metodologi pengujian aplikasi mobile dari sudut pandang pengujian dinamis atau statis. 4.2.1 Analisis Dinamik (Dynamic Analysis) Pada pengujian dinamis, pengujian dilakukan pada aplikasi yang sedang berjalan. Pengujian dinamis dapat dilakukan dengan cara: • Melakukan debugging pada aplikasi. Debugging dapat dilakukan lang- sung pada perangkat ataupun pada emulator. • Melakukan analisis network traffic • Melakukan analisis remote services seperti HTTP/SOAP/dll • Menganalisis request & respond menggunakan intercepting proxy. 4.2.2 Analisis Statis (Static Analysis) Pada pengujian statis, pengujian dilakukan dengan kondisi aplikasi tidak dijalankan. Pengujian statis dilakukan dengan menganalisis source code ap- likasi. Pengujian statis dilakukan dengan cara sebagai berikut: 1. Ekstrak aplikasi dari perangkat atau dapatkan paket aplikasi dari pengembang 2. Melakukan source code review. Jika source code memang tersedia maka tak perlu melakukan reverse engineering ataupun disassembling namun keduanya tetap boleh di- lakukan untuk mengetahui risiko apabila dilakukan oleh mereka yang tak memiliki akses pada source code. 3. Melakukan reverse engineering 4. Melakukan dissassembling 8
5 Contoh Pengujian Mobile Security 5.1 Pengujian dengan Analisis Dinamis Pengujian dengan metode analisis dinamis berlaku umum tanpa melihat sistem operasi perangkat mobile. Untuk dapat menganalisis network traf- fic disusun skenario berikut: gunakan intercepting proxy untuk melakukan analisis terhadap network traffic aplikasi mobile dengan servernya. Konfigurasikan koneksi perangkat mobile agar melalui interepting proxy terlebih dahulu sebelum menuju server. Lakukan analisis terhadap traf- fic yang lalu-lalang. Perhatikan apakah data sensitif yang terkirim dalam keadaan tak terenkripsi. Perhatikan webservices yang dieksekusi. Lakukan scan/fuzz, jika intercepting proxy yang digunakan memiliki fitur scan/fuzz. Intercepting proxy yang dapat digunakan antara lain: Paros Proxy3 , OWASP ZAP Proxy4 , Burp Proxy5 . 5.2 Pengujian dengan Analisis Statis Pengujian dengan metode analisis statis dilakukan dengan menganalisis source code. Pada binary aplikasi dilakukan reversing code untuk mendapatkan source code aplikasi tersebut. 5.2.1 Android Jack Maninno dalam blognya menulis bagaimana cara melakukan reversing code aplikasi Android. Kebocoran dan terlalu banyak data yang terungkap seperti: kredensial, kunci enkripsi, sumber daya pada sisi server; pada sisi klien merupakan hal yang berpotensi menjadi risiko. Dengan melakukan re- versing code aplikasi akan didapatkan source code aplikasi. Selanjutnya dari source code ini dilakukan analisis untuk mencari celah keamanan aplikasi. Tools yang perlu digunakan untuk melakukan reversing code aplikasi Android adalah: • Android SDK • dex2jar 3 http://www.parosproxy.org 4 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 5 http://portswigger.net/burp/proxy.html 9
• apktool • JD (Java Decompiler) Langkah pertama adalah melakukan pull berkas APK aplikasi Android. adb pull apk_file destination_directory Berkas APK merupakan berkas dengan kompresi. Berkas APK menggu- nakan standar kompresi ZIP, jadi untuk mengekstraknya dapat menggu- nakan program untuk mengekstrak berkas ZIP. Setelah mengekstrak berkas APK, perhatikan berkas manifest dan berkas DEX. Pada berkas manifest terdapat beragam informasi seperti: permission, intent filters. Gunakan dex2jar untuk mengkonversi berkas dengan format DEX men- jadi JAR. Selanjutnya, buka kompresi file hasil konvers dex2jar. Langkah terakhir gunakan java decompiler untuk mendapatkan source code aplikasi. Tool lain untuk melakukan pengujian keamanan aplikasi Android adalah c-ray. C-ray adalah scanner security untuk aplikasi Android. Hasil analisis c- ray akan menunjukkan tingkat keamanan interface aplikasi Android. Denim Group merilis program smartphonedumbapps yang berisi script perl untuk melakukan reversing code mobile application secara otomatis. Versi saat ini sudah mendukung aplikasi Android dan iPhone. 5.2.2 BlackBerry Dr Olsen telah merilis program coddec untuk melakukan reversing code ap- likasi BlackBerry. Coddec merupakan kependekan dari cod decompiler. Cod adalah ekstensi berkas aplikasi BlackBerry. 5.2.3 iPhone Aplikasi untuk iPhone ditulis menggunakan bahasa objective-C. Untuk melakukan reversing code pada aplikasi iPhone dapat menggunakan tool otool atau class-dump-x. 6 Penutup Tulisan ini merupakan pengantar keamanan perangkat mobile. Diharapkan dengan pengantar ini dapat memberikan gambaran secara umum mengenai 10
keamanan perangkat mobile. Pada tulisan ini tidak dilakukan pembahasan mendalam secara teknis pada suatu proses (misalnya reversing code) karena memang tujuan tulisan adalah memberikan gambaran secara umum topik keamanan perangkat mobile. Tulisan ini dibuat dengan mengacu pada referensi-referensi yang ada di bawah ini, untuk kemudian dipilah, dianalisis, dan disintesis menjadi satu bentuk tulisan yang utuh. 7 Referensi • Bolsen. Coddec. http://drbolsen.wordpress.com/2008/07/14/coddec-released/ http://code.google.com/p/c-ray/ • Dwivedi, Himanshu. Mobile Application Security, Mc Graw Hill, 2010. • Open Web Application Security Project (OWASP). Mobile Security Project, https://www.owasp.org/index.php/OWASP_Mobile_Security_ Project • Maninno, Jack. Reversing Android Apps, http://jack-mannino. blogspot.com/2010/09/reversing-android-apps-101.html • Shah, Kunjan. Penetration Testing Android Applications, Foundstone Whitepaper. • Shah, Kunjan. Penetration Testing for iPhone/iPad Applications, Foundstone Whitepaper. 8 Penulis Zaki Akhmad, bekerja sebagai analis di perusahaan konsultan keamanan informasi, indocisc. 11

Recommended

PPT Teknik Informatika.pptx
PPT Teknik Informatika.pptxPPT Teknik Informatika.pptx
PPT Teknik Informatika.pptxUcihaJinRio
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasiEko Mardianto
 
Bab 6 dasar dasar intelejen bisnis, database dan manajemen informasi
Bab 6 dasar dasar intelejen bisnis, database dan manajemen informasiBab 6 dasar dasar intelejen bisnis, database dan manajemen informasi
Bab 6 dasar dasar intelejen bisnis, database dan manajemen informasiKasi Irawati
 
4 diagram relasi antar entitas (ERD)
4 diagram relasi antar entitas (ERD)4 diagram relasi antar entitas (ERD)
4 diagram relasi antar entitas (ERD)Simon Patabang
 
Resume tik
Resume tikResume tik
Resume tikengkarwati
 
INFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGI
INFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGIINFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGI
INFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGITutiMaisharoh
 
Presentasi keamanan jaringan
Presentasi keamanan jaringanPresentasi keamanan jaringan
Presentasi keamanan jaringanAri Yandi
 
Perkembangan web server
Perkembangan web serverPerkembangan web server
Perkembangan web serverNetrunner Netrunner
 

Recommended

PPT Teknik Informatika.pptx
PPT Teknik Informatika.pptxPPT Teknik Informatika.pptx
PPT Teknik Informatika.pptxUcihaJinRio
 
Keamanan sistem informasi
Keamanan sistem informasiKeamanan sistem informasi
Keamanan sistem informasiEko Mardianto
 
Bab 6 dasar dasar intelejen bisnis, database dan manajemen informasi
Bab 6 dasar dasar intelejen bisnis, database dan manajemen informasiBab 6 dasar dasar intelejen bisnis, database dan manajemen informasi
Bab 6 dasar dasar intelejen bisnis, database dan manajemen informasiKasi Irawati
 
4 diagram relasi antar entitas (ERD)
4 diagram relasi antar entitas (ERD)4 diagram relasi antar entitas (ERD)
4 diagram relasi antar entitas (ERD)Simon Patabang
 
Resume tik
Resume tikResume tik
Resume tikengkarwati
 
INFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGI
INFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGIINFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGI
INFRASTRUKTUR TEKNOLOGI INFORMASI DAN PERKEMBANGAN TEKNOLOGITutiMaisharoh
 
Presentasi keamanan jaringan
Presentasi keamanan jaringanPresentasi keamanan jaringan
Presentasi keamanan jaringanAri Yandi
 
Perkembangan web server
Perkembangan web serverPerkembangan web server
Perkembangan web serverNetrunner Netrunner
 
Protocol jaringan komputer
Protocol jaringan komputerProtocol jaringan komputer
Protocol jaringan komputerAmiroh S.Kom
 
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...Uofa_Unsada
 
PPT KEAMANAN DATA & INFORMASI.pptx
PPT KEAMANAN DATA & INFORMASI.pptxPPT KEAMANAN DATA & INFORMASI.pptx
PPT KEAMANAN DATA & INFORMASI.pptxSodaOxygen
 
SISTEM INFORMASI (POWER POINT)
SISTEM INFORMASI (POWER POINT)SISTEM INFORMASI (POWER POINT)
SISTEM INFORMASI (POWER POINT)j3fr1
 
Presentasi internet
Presentasi internetPresentasi internet
Presentasi internetirfan_wicaksono
 
Remote Server.pptx
Remote Server.pptxRemote Server.pptx
Remote Server.pptxdirahayu2
 
Software Requirement Specification SRS
Software Requirement Specification SRSSoftware Requirement Specification SRS
Software Requirement Specification SRSSeptian Rico Hernawan
 
Manajemen file windows
Manajemen file windowsManajemen file windows
Manajemen file windowsdimas wahab
 
02 physical security
02 physical security02 physical security
02 physical securityKing Gruff
 
PPT Desain Antar Muka.pptx
PPT Desain Antar Muka.pptxPPT Desain Antar Muka.pptx
PPT Desain Antar Muka.pptxMirnaNia
 
System Request
System RequestSystem Request
System RequestSariWahyuningsih4
 
Kasus Etika Profesi - Tugas Kampus
Kasus Etika Profesi - Tugas KampusKasus Etika Profesi - Tugas Kampus
Kasus Etika Profesi - Tugas KampusSTT Nurul Fikri
 
Presentasi E- commerce
Presentasi E- commercePresentasi E- commerce
Presentasi E- commerceImam tantowi
 
Dokumen Final Project Manajemen Proyek Perangkat Lunak
Dokumen Final Project Manajemen Proyek Perangkat LunakDokumen Final Project Manajemen Proyek Perangkat Lunak
Dokumen Final Project Manajemen Proyek Perangkat LunakAdam Alfian
 
Privasi dan Keamanan Internet
Privasi dan Keamanan InternetPrivasi dan Keamanan Internet
Privasi dan Keamanan InternetICT Watch
 
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...audi15Ar
 
Pengaruh sistem informasi bagi organisasi bisnis
Pengaruh sistem informasi bagi organisasi bisnisPengaruh sistem informasi bagi organisasi bisnis
Pengaruh sistem informasi bagi organisasi bisnisADE NURZEN
 
Aspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanAspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanFanny Oktaviarti
 
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...Deny Sundari Syahrir
 
Algoritma penjadwalan proses
Algoritma penjadwalan prosesAlgoritma penjadwalan proses
Algoritma penjadwalan prosesRakhmi Khalida, M.M.S.I
 
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah AmeliaSecuring Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Ameliaidsecconf
 
Digital Aman Bermedia Digital Ferga.ppt
Digital Aman Bermedia Digital Ferga.pptDigital Aman Bermedia Digital Ferga.ppt
Digital Aman Bermedia Digital Ferga.pptTriFergaPrasetyo
 

More Related Content

What's hot

Protocol jaringan komputer
Protocol jaringan komputerProtocol jaringan komputer
Protocol jaringan komputerAmiroh S.Kom
 
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...Uofa_Unsada
 
PPT KEAMANAN DATA & INFORMASI.pptx
PPT KEAMANAN DATA & INFORMASI.pptxPPT KEAMANAN DATA & INFORMASI.pptx
PPT KEAMANAN DATA & INFORMASI.pptxSodaOxygen
 
SISTEM INFORMASI (POWER POINT)
SISTEM INFORMASI (POWER POINT)SISTEM INFORMASI (POWER POINT)
SISTEM INFORMASI (POWER POINT)j3fr1
 
Remote Server.pptx
Remote Server.pptxRemote Server.pptx
Remote Server.pptxdirahayu2
 
Software Requirement Specification SRS
Software Requirement Specification SRSSoftware Requirement Specification SRS
Software Requirement Specification SRSSeptian Rico Hernawan
 
Manajemen file windows
Manajemen file windowsManajemen file windows
Manajemen file windowsdimas wahab
 
02 physical security
02 physical security02 physical security
02 physical securityKing Gruff
 
PPT Desain Antar Muka.pptx
PPT Desain Antar Muka.pptxPPT Desain Antar Muka.pptx
PPT Desain Antar Muka.pptxMirnaNia
 
Kasus Etika Profesi - Tugas Kampus
Kasus Etika Profesi - Tugas KampusKasus Etika Profesi - Tugas Kampus
Kasus Etika Profesi - Tugas KampusSTT Nurul Fikri
 
Presentasi E- commerce
Presentasi E- commercePresentasi E- commerce
Presentasi E- commerceImam tantowi
 
Dokumen Final Project Manajemen Proyek Perangkat Lunak
Dokumen Final Project Manajemen Proyek Perangkat LunakDokumen Final Project Manajemen Proyek Perangkat Lunak
Dokumen Final Project Manajemen Proyek Perangkat LunakAdam Alfian
 
Privasi dan Keamanan Internet
Privasi dan Keamanan InternetPrivasi dan Keamanan Internet
Privasi dan Keamanan InternetICT Watch
 
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...audi15Ar
 
Pengaruh sistem informasi bagi organisasi bisnis
Pengaruh sistem informasi bagi organisasi bisnisPengaruh sistem informasi bagi organisasi bisnis
Pengaruh sistem informasi bagi organisasi bisnisADE NURZEN
 
Aspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanAspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanFanny Oktaviarti
 
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...Deny Sundari Syahrir
 

What's hot (20)

Protocol jaringan komputer
Protocol jaringan komputerProtocol jaringan komputer
Protocol jaringan komputer
 
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...
LAPORAN TUGAS AKHIR PERANCANGAN APLIKASI KNOWLEDGE BASE SYSTEM UNTUK INSTRUKS...
 
PPT KEAMANAN DATA & INFORMASI.pptx
PPT KEAMANAN DATA & INFORMASI.pptxPPT KEAMANAN DATA & INFORMASI.pptx
PPT KEAMANAN DATA & INFORMASI.pptx
 
SISTEM INFORMASI (POWER POINT)
SISTEM INFORMASI (POWER POINT)SISTEM INFORMASI (POWER POINT)
SISTEM INFORMASI (POWER POINT)
 
Presentasi internet
Presentasi internetPresentasi internet
Presentasi internet
 
Remote Server.pptx
Remote Server.pptxRemote Server.pptx
Remote Server.pptx
 
Software Requirement Specification SRS
Software Requirement Specification SRSSoftware Requirement Specification SRS
Software Requirement Specification SRS
 
Manajemen file windows
Manajemen file windowsManajemen file windows
Manajemen file windows
 
02 physical security
02 physical security02 physical security
02 physical security
 
PPT Desain Antar Muka.pptx
PPT Desain Antar Muka.pptxPPT Desain Antar Muka.pptx
PPT Desain Antar Muka.pptx
 
System Request
System RequestSystem Request
System Request
 
Kasus Etika Profesi - Tugas Kampus
Kasus Etika Profesi - Tugas KampusKasus Etika Profesi - Tugas Kampus
Kasus Etika Profesi - Tugas Kampus
 
Presentasi E- commerce
Presentasi E- commercePresentasi E- commerce
Presentasi E- commerce
 
Dokumen Final Project Manajemen Proyek Perangkat Lunak
Dokumen Final Project Manajemen Proyek Perangkat LunakDokumen Final Project Manajemen Proyek Perangkat Lunak
Dokumen Final Project Manajemen Proyek Perangkat Lunak
 
Privasi dan Keamanan Internet
Privasi dan Keamanan InternetPrivasi dan Keamanan Internet
Privasi dan Keamanan Internet
 
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...
BAB 3. Mengggunakan Teknologi Informasi dalam Menjalankan Perdagangan Eletron...
 
Pengaruh sistem informasi bagi organisasi bisnis
Pengaruh sistem informasi bagi organisasi bisnisPengaruh sistem informasi bagi organisasi bisnis
Pengaruh sistem informasi bagi organisasi bisnis
 
Aspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan JaringanAspek-Aspek Keamanan Jaringan
Aspek-Aspek Keamanan Jaringan
 
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...
Makalah keamanan jaringan internet (internet, permasalahan dan penanggulangan...
 
Algoritma penjadwalan proses
Algoritma penjadwalan prosesAlgoritma penjadwalan proses
Algoritma penjadwalan proses
 

Similar to Pengantar Mobile Security

Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah AmeliaSecuring Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Ameliaidsecconf
 
Digital Aman Bermedia Digital Ferga.ppt
Digital Aman Bermedia Digital Ferga.pptDigital Aman Bermedia Digital Ferga.ppt
Digital Aman Bermedia Digital Ferga.pptTriFergaPrasetyo
 
SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...
SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...
SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...aprilia wahyu perdani
 
Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...
Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...
Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...idsecconf
 
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...Afifah Luthfiah
 
Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9
Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9
Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9AzhyqaRereanticaMart
 
Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...
Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...
Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...Saeful Akhyar
 
Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...
Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...
Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...Burhan Ahmadi
 
cybercrimediindonesia-140126124711-phpapp01.pdf
cybercrimediindonesia-140126124711-phpapp01.pdfcybercrimediindonesia-140126124711-phpapp01.pdf
cybercrimediindonesia-140126124711-phpapp01.pdfkadekyoga1591
 
Cyber Crime di Indonesia
Cyber Crime di IndonesiaCyber Crime di Indonesia
Cyber Crime di IndonesiaPT Lion Air
 
Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...
Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...
Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...ika kartika
 
Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...
Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...
Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...Indah Herlina
 
Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...
Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...
Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...febyratnasari
 
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...idsecconf
 
Safety and security computer
Safety and security computerSafety and security computer
Safety and security computerPeniRizkiUtami
 
Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)
Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)
Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)Rio Gunawan
 
Menjelaskan tentang sistem perlindungan sistem informasi.
Menjelaskan tentang sistem perlindungan sistem informasi.Menjelaskan tentang sistem perlindungan sistem informasi.
Menjelaskan tentang sistem perlindungan sistem informasi.ApriliaNingrum2
 

Similar to Pengantar Mobile Security (20)

Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah AmeliaSecuring Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
 
Digital Aman Bermedia Digital Ferga.ppt
Digital Aman Bermedia Digital Ferga.pptDigital Aman Bermedia Digital Ferga.ppt
Digital Aman Bermedia Digital Ferga.ppt
 
SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...
SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...
SIM, Aprilia Wahyu Perdani, Prof. Dr. Ir. Hapzi Ali, MM, CMA, Keamanan Sistem...
 
Nq mobile security
Nq mobile securityNq mobile security
Nq mobile security
 
NQ_Mobile Security
NQ_Mobile SecurityNQ_Mobile Security
NQ_Mobile Security
 
Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...
Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...
Cybertooth voip sebagai_aplikasi_pengamanan komunikasi suara era digital pada...
 
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
SIM 10, Afifah Luthfiah, Hapzi Ali, Keamanan Sistem Informasi, Univ. Mercu Bu...
 
Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9
Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9
Azhyqa rereantica martkliana 43217120150 quiz pertemuan 9
 
Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...
Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...
Sim, saeful akhyar,prof.dr.hapzi ali,mm,cma, keamanan sisitem informasi , uni...
 
Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...
Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...
Modul kkpi 3 tikop0100301 k - mendeskripsikan kewaspadaan terhadap keamana...
 
cybercrimediindonesia-140126124711-phpapp01.pdf
cybercrimediindonesia-140126124711-phpapp01.pdfcybercrimediindonesia-140126124711-phpapp01.pdf
cybercrimediindonesia-140126124711-phpapp01.pdf
 
Makalah keamanan jaringan
Makalah keamanan jaringanMakalah keamanan jaringan
Makalah keamanan jaringan
 
Cyber Crime di Indonesia
Cyber Crime di IndonesiaCyber Crime di Indonesia
Cyber Crime di Indonesia
 
Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...
Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...
Sim, ika kartika, hapzi ali, keamanan sistem informasi, universitas mercubuan...
 
Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...
Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...
Indah herlina, hapzi ali, cara mencegah gangguan sistem informasi serta keama...
 
Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...
Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...
Sim, feby ratna sari, hapzi ali, keamanan sistem informasi , universitas merc...
 
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
Purwarupa forensik BBM di telepon selular android mengunakan IGN-SDK - Dedi H...
 
Safety and security computer
Safety and security computerSafety and security computer
Safety and security computer
 
Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)
Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)
Tugas besar 1 kelompok 9 (sistem informasi manajemen) (4)
 
Menjelaskan tentang sistem perlindungan sistem informasi.
Menjelaskan tentang sistem perlindungan sistem informasi.Menjelaskan tentang sistem perlindungan sistem informasi.
Menjelaskan tentang sistem perlindungan sistem informasi.
 

More from zakiakhmad

Python for Earth
Python for EarthPython for Earth
Python for Earthzakiakhmad
 
Analisa data di python dengan pandas
Analisa data di python dengan pandasAnalisa data di python dengan pandas
Analisa data di python dengan pandaszakiakhmad
 
Raspberry Pi dan Alat Parkir UI
Raspberry Pi dan Alat Parkir UIRaspberry Pi dan Alat Parkir UI
Raspberry Pi dan Alat Parkir UIzakiakhmad
 
Load Balancer Linux with LVS - Rizki Nanda Agam
Load Balancer Linux with LVS - Rizki Nanda AgamLoad Balancer Linux with LVS - Rizki Nanda Agam
Load Balancer Linux with LVS - Rizki Nanda Agamzakiakhmad
 
RaspberryPi 101 at Python ID October 2013 Meetup
RaspberryPi 101 at Python ID October 2013 MeetupRaspberryPi 101 at Python ID October 2013 Meetup
RaspberryPi 101 at Python ID October 2013 Meetupzakiakhmad
 
RNDC - Eulogi Arif Wicaksono aka @sakitjiwa
RNDC - Eulogi Arif Wicaksono aka @sakitjiwaRNDC - Eulogi Arif Wicaksono aka @sakitjiwa
RNDC - Eulogi Arif Wicaksono aka @sakitjiwazakiakhmad
 
Exploit Development: EzServer Buffer Overflow oleh Tom Gregory
Exploit Development: EzServer Buffer Overflow oleh Tom GregoryExploit Development: EzServer Buffer Overflow oleh Tom Gregory
Exploit Development: EzServer Buffer Overflow oleh Tom Gregoryzakiakhmad
 

More from zakiakhmad (8)

Python for Earth
Python for EarthPython for Earth
Python for Earth
 
Analisa data di python dengan pandas
Analisa data di python dengan pandasAnalisa data di python dengan pandas
Analisa data di python dengan pandas
 
Raspberry Pi dan Alat Parkir UI
Raspberry Pi dan Alat Parkir UIRaspberry Pi dan Alat Parkir UI
Raspberry Pi dan Alat Parkir UI
 
Load Balancer Linux with LVS - Rizki Nanda Agam
Load Balancer Linux with LVS - Rizki Nanda AgamLoad Balancer Linux with LVS - Rizki Nanda Agam
Load Balancer Linux with LVS - Rizki Nanda Agam
 
RaspberryPi 101 at Python ID October 2013 Meetup
RaspberryPi 101 at Python ID October 2013 MeetupRaspberryPi 101 at Python ID October 2013 Meetup
RaspberryPi 101 at Python ID October 2013 Meetup
 
RNDC - Eulogi Arif Wicaksono aka @sakitjiwa
RNDC - Eulogi Arif Wicaksono aka @sakitjiwaRNDC - Eulogi Arif Wicaksono aka @sakitjiwa
RNDC - Eulogi Arif Wicaksono aka @sakitjiwa
 
rq talk
rq talkrq talk
rq talk
 
Exploit Development: EzServer Buffer Overflow oleh Tom Gregory
Exploit Development: EzServer Buffer Overflow oleh Tom GregoryExploit Development: EzServer Buffer Overflow oleh Tom Gregory
Exploit Development: EzServer Buffer Overflow oleh Tom Gregory
 

Pengantar Mobile Security

  • 1. Pengantar Mobile Security : Risiko, Desain yang Aman, dan Pengujian Zaki Akhmad za at indocisc.co.id Paper idsecconf2011 Penggunaan ponsel untuk tersambung ke Internet di Indonesia saat ini sudah semakin umum. Penggunaan ponsel untuk melakukan koneksi In- ternet ini memiliki risiko keamanan tersendiri. Risiko ini berbeda dengan penggunaan desktop atau laptop untuk koneksi Internet. Tulisan ini meru- pakan sebuah pengantar keamanan perangkat mobile. Tulisan ini bertujuan memberikan gambaran umum mengenai bidang keamanan perangkat mobile tanpa terlalu turun mendetail hingga ke tataran teknis. Tulisan ini akan dimulai dengan analisis risiko-risiko keamanan yang dimiliki perangkat mobile. Analisis risiko meliputi risiko fisik, risiko sistem operasi hingga risiko aplikasi. Selanjutnya akan dijabarkan prinsip-prinsip keamanan dalam mendesain aplikasi mobile karena aplikasi yang aman sebe- narnya dimulai dari proses desain. Pada bagian akhir akan dipaparkan metodologi melakukan pengujian keamanan aplikasi mobile. Dimulai dengan metodologi secara umum, baru selanjutnya diikuti dengan contoh pengujian spesifik untuk suatu sistem operasi perangkat mobile tertentu. Kata Kunci: mobile security, Android, BlackBerry, iPhone 1 Pendahuluan Jakarta dengan kondisi lalu lintas yang macet membuat para penduduknya mengakses Internet dari telepon selular-nya menjadi hal yang semakin umum. Harga perangkat dan tarif Internet yang semakin terjangkau mempercepat hal ini. Bahkan informasi lalu lintas kini dapat dengan mudah diakses via 1
  • 2. ponsel. Informasi yang sangat dibutuhkan bagi para penduduk Jakarta un- tuk membantu menentukan rute dan memperkirakan waktu tempuh per- jalanan. Kondisi kualitas jaringan Internet yang tak selalu bagus, membuat perangkat BlackBerry -yang menawarkan koneksi Internet handal dengan algoritma kompresinya- laku bak kacang goreng. Hal ini ditambah lagi dengan bu- daya masyarakat Indonesia yang senang mengobrol sehingga dengan meng- gunakan BlackBerry koneksi ke social media pun jadi lebih mudah. Di sisi lain, pengembangan aplikasi mobile pun terus bermunculan. Mulai dari ap- likasi yang sifatnya informasional hingga aplikasi yang bersifat transaksional. Untuk aplikasi transaksional umumnya adalah aplikasi dalam industri per- bankan dan finansial. Aplikasi yang bersifat transaksional tentu disyaratkan memiliki tingkat keamanan yang dapat diterima. Penggunaan aplikasi SMS untuk men- girimkan/menerima PIN sangat rawan. Bagaimana apabila pemilik pon- sel kehilangan ponselnya lalu orang lain menggunakan PIN tersebut un- tuk melakukan transaksi? Risiko paling mendasar dari penggunaan ponsel adalah risiko kehilangan. Apakah para pengguna ponsel sudah siap dan mengerti risiko kehilangan ponselnya? Penggunaan ponsel ini tak hanya se- batas di kalangan mahasiswa atau karyawan namun juga hingga kalangan eksekutif perusahaan. Nilai ponsel mahasiswa dan eksekutif perusahaan bisa sama, namun tentu nilai informasinya akan lebih tinggi ponsel milik seorang direktur perusahaan. Sayangnya, security awareness kalangan eksekutif tidak selalu tinggi. Bahkan penulis pernah diceritakan bahwa seorang direksi perusahaan mem- berikan password email -nya kepada sekretaris untuk membantunya mem- baca/menerima email. URL shortener pun bisa menjadi celah keamanan saat dibuka dari ponsel. Misalkan teman Anda menulis di akun twitternya, http://bit.ly/y678l dan mengatakan URL tersebut adalah URL fotonya di Facebook. Padahal kenyataannya URL ini mengacu pada situs yang ia buat sendiri, dengan tampilan seperti Facebook. Dengan layar yang lebih kecil & alamat URL yang tak selalu bisa dilihat, pengakses situs ini akan lebih sulit membedakan apakah ini situs facebook atau situs phishing yang mirip face- book. Dengan melakukan serangan yang dinamakan phishing ini, penyerang akan mendapatkan pasangan userid dan password. 2
  • 3. 2 Risiko Keamanan Perangkat Mobile Sama dengan aset-aset lainnya, perangkat mobile memiliki risiko yang melekat dengannya. Dengan karakteristiknya yang mobile, tentu perangkat mobile memiliki risiko yang lebih bisa ter-expose ke pihak luar. Berikut ini adalah beberapa risiko-risiko keamanan pada perangkat mobile 1 : 2.1 Risiko Fisik Risiko fisik menjadi risiko paling mendasar yang dimiliki oleh perangkat mobile. Risiko fisik ini mulai dari akses oleh orang yang tak berhak hingga risiko kehilangan. Akses oleh orang yang tak berhak pada perangkat mobile dapat berupa: seseorang yang berpura-pura mengatakan ingin meminjam melakukan telepon atau mengirim SMS, atau perangkat yang digeletakkan tanpa ada perlindungan keylock. Serangan yang dilakukan dapat berupa mengakses data yang tersimpan di MicroSD (misalnya) atau memasukkan malware/trojan. Bentuk risiko fisik lainnya adalah shouldering atau melihat display perangkat mobile oleh penyerang saat berada di dekatnya. Format pengetikan pass- word di aplikasi mobile yang menampilkan karakter aslinya sebelum menya- markannya, membuka kemungkinan penyerang dapat mengetahui password. Risiko kehilangan sebaiknya dari awal sudah ada di pikiran pengguna perangkat mobile saat memutuskan menggunakannya. Berbeda dengan server yang bisa diletakkan pada ruangan terkunci, tidak ada mekanisme penga- manan akses fisik untuk perangkat mobile. Jadi, saat mendesain dari awal sudah dipertimbangkan bahwa desain sistem memungkinkan akses fisik oleh orang yang tak berhak. 2.2 Risiko Data Storage Kekuatan komputasi laptop tentu tak sama dengan komputasi ponsel. Saat ini program enkripsi data pada ponsel masih belum sematang program enkripsi pada laptop. Misal pengguna laptop menggunakan aplikasi true- crypt2 untuk mengenkripsi data-nya. Apabila laptop-nya hilang maka ia da- 1 Yang dimaksud sebagai perangkat mobile dalam tulisan ini adalah ponsel pintar (smart phone) & tablet PC yang menggunakan sistem operasi mobile: Android, Black- Berry, iOS, Windows Phone, Symbian. Laptop walaupun juga bersifat mobile tidak ter- masuk definisi perangkat mobile dalam tulisan ini. 2 http://www.truecrypt.org 3
  • 4. pat menerima risikonya karena data yang sensitif tetap aman dalam keadaan terenkripsi. Kemampuan menyimpan data secara aman namun tetap memu- ngkinkan bagi aplikasi untuk mengaksesnya menjadi persyaratan untuk kea- manan perangkat mobile. 2.3 Risiko Strong Password Katakanlah seorang pengguna aplikasi Internet Banking diharuskan memi- liki password yang kuat yaitu password dengan minimal panjang karakter delapan, kombinasi huruf besar/kecil, berikut dengan kombinasi numerik dan simbol. Password ini tentu akan dengan mudah diketikkan saat ia meng- gunakan keyboard di laptop/desktop. Lalu bagaimana ia akan mengetikkan delapan karakter password, kombinasi huruf besar huruf kecil, kombinasi numerik dan simbol pada ponselnya? Tentu akan lebih sulit dilakukan pada keyboard ponsel: model ketik tiga kali ABC, model QWERTY, ataupun vir- tual touch screen keyboard ; Akibatnya ia akan memilih untuk tidak meng- gunakan aplikasi Internet Banking mobile saja dan dari sisi bank akan ke- hilangan penggunanya. 2.4 Risiko Internet Browsing Layar ponsel tidak sebesar layar laptop. Jadi menampilkan URL secara lengkap pada ponsel dapat dikatakan nyaris takkan bisa. Hal ini akan mem- buat serangan phishing semakin mudah. Pengguna tidak dapat selalu meli- hat URL yang diaksesnya. Penyerang hanya perlu memancing pengguna membuka, misalnya menggunakan URL shortener, untuk mengarahkan ke situs palsu. 2.5 Risiko Privasi Lokasi Bagi Gayus Tambunan saat kabur dari penjara isu lokasi akan menjadi san- gat kritikal. Tentu ia tak mau tertangkap basah saat kabur dari penjara. Bagaimana apabila ponsel yang digunakan Gayus selalu mengirimkan po- sisi koordinat GPS-nya? Saat ini isu privasi lokasi menjadi isu yang hangat dibicarakan. Ponsel iPhone dan Android dikabarkan mengirimkan lokasinya. 4
  • 5. 2.6 Risiko Sistem Operasi Setiap perangkat mobile dengan masing-masing sistem operasinya tentu akan memilikinya risikonya sendiri-sendiri. Baik Android, iPhone, Black- Berry, Symbian, Windows Phone, masing-masing memiliki risiko. Risiko sistem operasi ini melekat pada perangkat mobile tersebut. Contoh risiko sistem operasi adalah jailbreaks atau berusaha mendapatkan akses root pada perangkat. 3 Mobile Security Secure Design Principles Keamanan seharusnya diawali dari awal, bukan didasarkan pada pengu- jian di akhir saat aplikasi sudah diluncurkan. Berikut ini adalah beberapa prinsip-prinsip keamanan dalam mendesain aplikasi mobile: 3.1 Identifikasi dan Proteksi Data Sensitif pada Perangkat Mobile Sebelum mendesain aplikasi mobile, lakukan identifikasi terhadap semua data yang akan diproses. Tentukan tingkat sensitivitas data. Data yang bersifat publik tidak perlu mendapatkan mekanisme pengamanan. Data yang bersifat confidential harus mendapatkan mekanisme pengamanan. Seda- pat mungkin, desain aplikasi dengan data confidential tidak tersimpan di perangkat mobile. Jika tidak memungkinkan, data confidential yang tersim- pan pada perangkat mobile harus terlindungi. 3.2 Pastikan Data Sensitif Terlindungi Saat Transit Perangkat mobile memiliki beragam mode koneksi untuk tersambung ke In- ternet: apakah BIS, GPRS, Edge, WiFi, dst. Tidak semua mode koneksi ini terenkripsi, contoh paling sederhana adalah public wifi. Untuk itu de- sain aplikasi mobile dengan menggunakan TLS/SSL (Transport Layer Secu- rity/Secure Socket Layer) saat mengirimkan/menerima data sensitif. 3.3 Jalankan Aplikasi dengan Hak Akses Minimum Desain klien aplikasi mobile yang dapat dijalankan dengan hak akses mini- mum yang diperlukan. Contohnya aplikasi cukup bisa dijalankan user biasa, 5
  • 6. tidak harus sebagai admin/root; jika aplikasi tidak membutuhkan akses ke servis kamera, maka tak perlu diberikan akses ke servis kamera. Model hak akses minimum ini akan meminimalisir risiko akses yang tak perlu dan memastikan aplikasi bisa berjalan dengan cara yang paling aman. 3.4 Ikuti Praktik Secure Coding Kembangkan aplikasi mengikuti praktik secure coding misalnya: input vali- dation, output encoding. Pengembang perlu melakukan static analysis dalam proses SDLC untuk mengetahui keamanan source code. Lainnya, tanda tan- gani aplikasi saat akan mengunggah (signed application) untuk menjaga in- tegritas aplikasi. 4 Mobile Security Testing Pada bagian ini akan dijelaskan metodologi pengujian keamanan aplikasi mobile. Pada bagian pertama akan disampaikan metodologi secara umum tanpa melihat sistem operasi mobile. Selanjutnya pada bagian kedua akan disampaikan secara spesifik contoh pengujian keamanan aplikasi mobile un- tuk beberapa sistem operasi, berikut penjelasan tools yang digunakan dalam pengujian. 4.1 Metodologi Umum Berikut ini adalah metodologi umum dalam melakukan pengujian aplikasi mobile: 1. Memahami proses bisnis aplikasi (Understanding application business process) Langkah pertama yang perlu dilakukan dan akan menjadi pondasi dalam melakukan pengujian adalah dengan memahami proses bisnis aplikasi. Misalnya dengan mengetahui karakteristik aplikasi apakah berupa aplikasi transaksional atau aplikasi informasional. Aplikasi yang bersifat transaksional akan memiliki risiko finansial sementara aplikasi informasional akan memiliki risiko integritas data. Apabila penyerang memiliki motif ekonomi dalam melakukan penyerangan maka aplikasi transaksional akan dipilih untuk diserang. 6
  • 7. 2. Menguraikan aplikasi (Decomposing application) Setelah memahami proses bisnis dilanjutkan dengan menguraikan kom- ponen penyusun aplikasi. Apabila pengujian dilakukan dengan cara black box maka penguraian aplikasi dilakukan dengan cara fingerprint- ing. Dengan melakukan penguraian aplikasi dapat dilakukan anal- isis terhadap desain dan arsitektur aplikasi mobile ini. Komponen server apa saja yang terlibat berikut bagaimana aplikasi mobile didis- tribusikan. 3. Mengembangkan skenario serangan (Developing attack scenarios) Susun skenario serangan-serangan yang mungkin dilakukan berikut penjelasan kondisi yang diperlukan untuk melakukan serangan terse- but. Faktor kemungkinan dan dampak dari serangan juga perlu dije- laskan agar risiko setiap serangan dapat terlihat dengan jelas. Misal- nya dari hasil penguraian aplikasi diketahui bahwa terdapat 2 server yang terlibat berikut aplikasi mobile. Skenario serangan pertama adalah melakukan serangan pada sisi server misalnya dengan melakukan: pen- etration testing, vulnerability assessment, web application testing, dst. Selanjutnya diikuti dengan skenario kedua yaitu mobile application assessment. 4. Menentukan prioritas risiko (Prioritizing risks) Umumnya pengujian dilakukan dengan batasan waktu. Tentu tak se- mua skenario dapat dilakukan. Oleh karena itu perlu ditentukan ske- nario yang menjadi prioritas. 5. Melakukan pengujian (Conducting tests) Skenario dieksekusi dengan prioritas. adalah skenario yang memiliki risiko tertinggi. Perhitungan risiko dihitung dari perkalian kemungki- nan dengan dampak dari setiap skenario serangan. 6. Menganalisis hasil pengujian (Analyzing test results) Selanjutnya hasil pengujian dianalisis, skenario serangan yang meng- hasilkan temuan. 7. Merekomendasikan perbaikan (Recommending fixes). Menyusun rekomendasi perbaikan dari temuan yang ditemukan. 7
  • 8. 4.2 Mobile Security Assessment Mobile security assessment dapat dilakukan dengan melakukan pengujian pada aplikasi yang sedang dijalankan atau pada aplikasi yang sedang tidak dijalankan. Berikut ini adalah metodologi pengujian aplikasi mobile dari sudut pandang pengujian dinamis atau statis. 4.2.1 Analisis Dinamik (Dynamic Analysis) Pada pengujian dinamis, pengujian dilakukan pada aplikasi yang sedang berjalan. Pengujian dinamis dapat dilakukan dengan cara: • Melakukan debugging pada aplikasi. Debugging dapat dilakukan lang- sung pada perangkat ataupun pada emulator. • Melakukan analisis network traffic • Melakukan analisis remote services seperti HTTP/SOAP/dll • Menganalisis request & respond menggunakan intercepting proxy. 4.2.2 Analisis Statis (Static Analysis) Pada pengujian statis, pengujian dilakukan dengan kondisi aplikasi tidak dijalankan. Pengujian statis dilakukan dengan menganalisis source code ap- likasi. Pengujian statis dilakukan dengan cara sebagai berikut: 1. Ekstrak aplikasi dari perangkat atau dapatkan paket aplikasi dari pengembang 2. Melakukan source code review. Jika source code memang tersedia maka tak perlu melakukan reverse engineering ataupun disassembling namun keduanya tetap boleh di- lakukan untuk mengetahui risiko apabila dilakukan oleh mereka yang tak memiliki akses pada source code. 3. Melakukan reverse engineering 4. Melakukan dissassembling 8
  • 9. 5 Contoh Pengujian Mobile Security 5.1 Pengujian dengan Analisis Dinamis Pengujian dengan metode analisis dinamis berlaku umum tanpa melihat sistem operasi perangkat mobile. Untuk dapat menganalisis network traf- fic disusun skenario berikut: gunakan intercepting proxy untuk melakukan analisis terhadap network traffic aplikasi mobile dengan servernya. Konfigurasikan koneksi perangkat mobile agar melalui interepting proxy terlebih dahulu sebelum menuju server. Lakukan analisis terhadap traf- fic yang lalu-lalang. Perhatikan apakah data sensitif yang terkirim dalam keadaan tak terenkripsi. Perhatikan webservices yang dieksekusi. Lakukan scan/fuzz, jika intercepting proxy yang digunakan memiliki fitur scan/fuzz. Intercepting proxy yang dapat digunakan antara lain: Paros Proxy3 , OWASP ZAP Proxy4 , Burp Proxy5 . 5.2 Pengujian dengan Analisis Statis Pengujian dengan metode analisis statis dilakukan dengan menganalisis source code. Pada binary aplikasi dilakukan reversing code untuk mendapatkan source code aplikasi tersebut. 5.2.1 Android Jack Maninno dalam blognya menulis bagaimana cara melakukan reversing code aplikasi Android. Kebocoran dan terlalu banyak data yang terungkap seperti: kredensial, kunci enkripsi, sumber daya pada sisi server; pada sisi klien merupakan hal yang berpotensi menjadi risiko. Dengan melakukan re- versing code aplikasi akan didapatkan source code aplikasi. Selanjutnya dari source code ini dilakukan analisis untuk mencari celah keamanan aplikasi. Tools yang perlu digunakan untuk melakukan reversing code aplikasi Android adalah: • Android SDK • dex2jar 3 http://www.parosproxy.org 4 https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 5 http://portswigger.net/burp/proxy.html 9
  • 10. • apktool • JD (Java Decompiler) Langkah pertama adalah melakukan pull berkas APK aplikasi Android. adb pull apk_file destination_directory Berkas APK merupakan berkas dengan kompresi. Berkas APK menggu- nakan standar kompresi ZIP, jadi untuk mengekstraknya dapat menggu- nakan program untuk mengekstrak berkas ZIP. Setelah mengekstrak berkas APK, perhatikan berkas manifest dan berkas DEX. Pada berkas manifest terdapat beragam informasi seperti: permission, intent filters. Gunakan dex2jar untuk mengkonversi berkas dengan format DEX men- jadi JAR. Selanjutnya, buka kompresi file hasil konvers dex2jar. Langkah terakhir gunakan java decompiler untuk mendapatkan source code aplikasi. Tool lain untuk melakukan pengujian keamanan aplikasi Android adalah c-ray. C-ray adalah scanner security untuk aplikasi Android. Hasil analisis c- ray akan menunjukkan tingkat keamanan interface aplikasi Android. Denim Group merilis program smartphonedumbapps yang berisi script perl untuk melakukan reversing code mobile application secara otomatis. Versi saat ini sudah mendukung aplikasi Android dan iPhone. 5.2.2 BlackBerry Dr Olsen telah merilis program coddec untuk melakukan reversing code ap- likasi BlackBerry. Coddec merupakan kependekan dari cod decompiler. Cod adalah ekstensi berkas aplikasi BlackBerry. 5.2.3 iPhone Aplikasi untuk iPhone ditulis menggunakan bahasa objective-C. Untuk melakukan reversing code pada aplikasi iPhone dapat menggunakan tool otool atau class-dump-x. 6 Penutup Tulisan ini merupakan pengantar keamanan perangkat mobile. Diharapkan dengan pengantar ini dapat memberikan gambaran secara umum mengenai 10
  • 11. keamanan perangkat mobile. Pada tulisan ini tidak dilakukan pembahasan mendalam secara teknis pada suatu proses (misalnya reversing code) karena memang tujuan tulisan adalah memberikan gambaran secara umum topik keamanan perangkat mobile. Tulisan ini dibuat dengan mengacu pada referensi-referensi yang ada di bawah ini, untuk kemudian dipilah, dianalisis, dan disintesis menjadi satu bentuk tulisan yang utuh. 7 Referensi • Bolsen. Coddec. http://drbolsen.wordpress.com/2008/07/14/coddec-released/ http://code.google.com/p/c-ray/ • Dwivedi, Himanshu. Mobile Application Security, Mc Graw Hill, 2010. • Open Web Application Security Project (OWASP). Mobile Security Project, https://www.owasp.org/index.php/OWASP_Mobile_Security_ Project • Maninno, Jack. Reversing Android Apps, http://jack-mannino. blogspot.com/2010/09/reversing-android-apps-101.html • Shah, Kunjan. Penetration Testing Android Applications, Foundstone Whitepaper. • Shah, Kunjan. Penetration Testing for iPhone/iPad Applications, Foundstone Whitepaper. 8 Penulis Zaki Akhmad, bekerja sebagai analis di perusahaan konsultan keamanan informasi, indocisc. 11