§ Rancang bangun portable hacking station menggunakan Raspberry pi telah
berhasil dilakukan sehingga menghasilkan sebuah alat yang dapat dipergunakan untuk melakukan kegiatan etical hacking yang efektif dan efisien.
§ Pengujian dilakukan dengan melakukan simulasi hacking menggunakan portable hacking station sehingga dapat diverifikasi kesesuaiannya dengan kebutuhan spesifikasi yang telah ditetapkan. Alat ini berhasil melakukan wireless security testing, yaitu dengan mendapatkan password Wifi dengan skema MITM pada AP yang tidak terproteksi terhadap serangan deauthentication attack.
§ Tinjauan keamanan dari portable hacking station dibuat berdasarkan standar
ISO/IEC 15408 Common Criteria for IT Security Evaluation part 1 – 3 versi 3.1:2017, dan ISO/IEC TR 15446 Guide for the production of Protection Profiles and Security Targets dalam bentuk dokumen Security Target.
3. Permasalahan
1. Aktifitas hacking,
cracking dan kejahatan
siber lewat jaringan sering
terjadi (id.cert-report)
2. Kebutuhan sumber
daya untuk ethical
hacking yang cukup besar
3. Kebutuhan perangkat
portable untuk ethical
hacking
Kebutuhan
1. Target Pengguna
2. Kondisi tempat dan
waktu penggunaan
3. Kapabilitas produk
4. Aksesibilitas
5. Kompatibilitas
6. Pengaruh produk
terhadap lingkungan
sekitar
Tujuan/Solusi
Sebuah produk yang
dapat melakukan fungsi
ethical hacking dengan
memenuhi kriteria, yaitu :
1. Portabilitas
2. Dapat diremote
2. low-resources
3. Kapabilitas
4. Aman
11/1/19 2
5. 1. Y. Wang and J. Yang, "Ethical Hacking and Network Defense: Choose Your Best Network
Vulnerability Scanning Tool," in 2017 31st International Conference on Advanced
Information Networking and Applications Workshops, Columbia, 2017
2. . Alsunbul, P. Le and J. Tan, "A defense security approach for infrastrcutres against
hacking," in 2013 12th IEEE International Conference on Trust, Security and Privacy in
Computing and Communications, 2013.
3. M. Yevdokymenko, E. Mohamed and P. O. Arinze, "Ethical Hacking and Penetration
Testing using Raspberry Pi," in 2017 International Scientific Practical Conference, 2017.
4. S. Patil, A. Jangra, M. Bhale, A. Raina and P. Kulkarni, "Ethical Hacking: The Need for
Cyber Security," in IEEE International Conference on Power, Control, Signals and
Instrumentation Engineering (ICPCSI-2017), 2017.
5. N. A. Almubairik and G. Wills, "Automated Penetration Testing Based on a Threat
Model," in The 11th International Conference for Internet Technology and Secured
Transactions (ICITST-2016), 2016.
6. J. Zhao, W. Shang, M. Wan and P. Zeng, "Penetration Testing Automation Assessment
Method Based on Rule Tree," in The 5th Annual IEEE International Conference on Cyber
Technology in Automation, Control and Intelligent Systems, Shenyang, 2015.
7. K. C. Chen, Z.-K. Zhang, S.-H. Lee and S. Shieh, "Penetration Testing in the IoT Age,"
Cybertrust, vol. 51, no. 4, pp. 82-85, 2018
8. J. Bau, E. Bursztein, D. Gupta and J. Mitchell, "State of the Art: Automated Black-BoxWeb
Application Vulnerability Testing," in 2010 IEEE Symposium on Security and Privacy,
Stanford, 2010.
9. H. M. Z. Al Shebli and B. D. Beheshti, "A Study on Penetration Testing Process and
Tools," in 2018 IEEE Long Island Systems, Applications and Technology Conference
(LISAT), New York, 2018.
10. S. V. Reddy, K. Rijutha, K. SaiRamani and S. M. Ali, "Wireless Hacking - A WiFi Hack By
Cracking WEP," in 201O 2nd International Conforence on Education Technology and
Computer (ICETC), 2010
11. L. Ge, L. Wang and L. Xu, "A Method for Cracking the Password of WPA2-PSK Based on
SA and HMM," in 2016 3rd International Conference on Information Science and Control
Engineering, 2016.
12. C.-M. Chen and T.-H. Chang, "The Cryptanalysis of WPA & WPA2 in the RuleBased Brute
Force Attack, An Advanced and Efficient Method," in 2015 10th Asia Joint Conference on
Information Security, 2015
13. N. S. Yamanoor and S. Yamanoor, "High Quality, Low Cost Education with the Raspberry
Pi," in 2017 IEEE Global Humanitarian Technology Conference (GHTC), San Jose, 2017.
14. H. H. Alsaadi, M. Aldwairi, M. Al Taei, M. AlBuainain and M. AlKubaisi, "Penetration and
Security of OpenSSH Remote Secure Shell Service on Raspberry Pi 2," in 2018 9th IFIP
International Conference on New Technologies, Mobility and Security (NTMS), Paris,
2018.
15. N. B. Al Barghuthi, M. Saleh, S. Alsuwaidi and S. Alhammadi, "Evaluation of Portable
Penetration Testing on Smart Cities Applications using Raspberry Pi III," in The Fourth
HCT INFORMATION TECHNOLOGY TRENDS (ITT 2017), Dubai, 2017.
16. V. Visoottiviseth, P. Akarasiriwong, S. Chaiyasart and S. Chotivatunyu, "PENTOS:
Penetration Testing Tool for Internet of Thing Devices," in 2017 IEEE Region 10
Conference (TENCON), Kuala Lumpur, 2017
11/1/19 4
7. KOMPONEN KEBUTUHAN
Platform Single Board Computer with ARM-architecture
CPU Broadcom Cortex A53 Processor @ 1.2 GHz
Memory 1 GB
OS Linux Debian
Storage 16 GB, micro sd
Daya 3,5 Watt, 5 volt
Dimensi 85 x 56 mm
Wireless 2 interface wireless 802.11 n (2.4 Ghz)
Modem 4G LTE/ HSDPA+
Services
SSH Services
Web Service (Apache)
PHP 5
Python v3.6
Tools
airmon-ng
nmap
metasploit
Etc.
KOMPONEN KEBUTUHAN
Platform Multi-platform (desktop / mobile)
CPU Desktop/mobile prosessor
Memory 2 GB
OS Desktop/mobile os
Services Internet service
Tools Browser application
PHS PENTESTER
11/1/19 6
8. Komponen
SFR
Security Objective untuk TOE
O.CHANNEL
O.CONF
O.AUTH
O.INT
O.FORWARD
O.OFFLINE
O.AVAILABILITY
O.KEY
O.ANTIVIRUS
O.ANONIMITY
FCS_CKM.1 X X
FCS.CKM.2 X X
FCS. CKM.4 X X X X
FCS.COP.1a X X X
FCS.COP.1b X
FMT_REV.1 X X X X X
FTP_ITC.1 X X X X
1. FCS_CKM.1 : fungsi pembangkitan kunci kriptografi,
mengikuti algoritma yang didefinisikan pada standar TLS
v1.2 RFC5246 dan ukuran kunci sepanjang 128 bit (AES-128)
mengikuti standar FIPS197.
2. FCS_CKM.2 : fungsi pendistribusian kunci kriptografi,
mengikuti algoritma yang didefinisikan pada standar TLS
v1.2 RFC5246.
3. FCS_CKM.4 : fungsi pemusnahan kunci kriptografi dengan
menggunakan metode zeroisasi. Tidak mengikuti standar
apapun.
4. FCS_COP.1 : fungsi operasi kriptografi meliputi enkripsi
dan dekripsi dengan mengikuti algoritma yang
didefinisikan pada standar TLS v1.2 RFC5246 dan ukuran
kunci sepanjang 128 bit (AES-128) mengikuti standar
FIPS197.
5. FCS_COP.1b : fungsi operasi kriptografi berupa secure hash
menggunakan algoritma SHA-384, mengikuti standar
ISO/IEC 10118-3:2004.
6. FMT_REV.1 : fungsi revokasi seluruh TSF jika terjadi
perubahan yang disebabkan oleh
objek/subjek/user/sumber lainnya. Tidak mengikuti
standar apapun.
7. FTP_ITC.1 : fungsi untuk menyediakan channel komunikasi
data antara TOE dengan pihak lain yang terpercaya,
memastikan identitas dari end-point dan memberikan
proteksi terhadap data yang ditransmisikan dari modifikasi
dan penyadapan.
11/1/19 7
10. Pengguna Objek / targetSistem
DFD Tingkat 0
11/1/19 9
Subsistem
Pemroses data
Subsistem
Antar muka
Pengguna
Mikro
prosesor
Sistem
Subsistem
Pemindai
Data
Data Storage
11. Subsistem
Pemroses data
Subsistem
Antar muka
Pengguna
Mikroproses
or
Sistem
Subsistem
Pemindai Data
Data Storage
Antena Wireless
Wireless
Mode Monitor
Akuisisi Data
Jaringan
Mikroprosesor
Sistem
Mikroprosesor
sistem
Tools
Pemroses
Data
I/O Data
Mikroprosesor
sistem
Aplikasi
Web based
Antar muka
Pengguna
Pengguna
DFD tingkat 1
DFD tingkat 2
DFD tingkat 2DFD tingkat 2
11/1/19 10
12. Kode Skenario Pengujian Hasil yang diharapkan Hasil Pengujian (√/X)
A.1 Mengakses halaman dashboard
aplikasi
Menampilkan informasi secara detail
mengenai kondisi fisik perangkat (CPU load,
temperatur, storage, dan penggunaan memory)
√
B.1 Mengakses halaman services Menampilkan informasi service/layanan yang
sedang aktif maupun tidak aktif
√
B.2 Mengaktifkan service Service yang diaktifkan menjadi aktif √
B.3 Mematikan service Service yang dimatikan menjadi non-aktif √
C.1 Mengakses halaman processes Menampilkan informasi proses yang sedang
berjalan secara realtime pada perangkat
√
C.2 Mematikan proses Proses yang dimatikan menjadi non-aktif √
D.1 Mematikan proses dengan
menginputkan ID proses
Proses yang dimatikan menjadi non-aktif √
D.2 Mematikan proses dengan
menginputkan nama proses
Proses yang dimatikan menjadi non-aktif √
11/1/19 11
18. § Rancang bangun portable hacking station menggunakan Raspberry pi telah
berhasil dilakukan sehingga menghasilkan sebuah alat yang dapat dipergunakan
untuk melakukan kegiatan etical hacking yang efektif dan efisien.
§ Pengujian dilakukan dengan melakukan simulasi hacking menggunakan portable
hacking station sehingga dapat diverifikasi kesesuaiannya dengan kebutuhan
spesifikasi yang telah ditetapkan. Alat ini berhasil melakukan wireless security
testing, yaitu dengan mendapatkan password Wifi dengan skema MITM pada AP
yang tidak terproteksi terhadap serangan deauthentication attack.
§ Tinjauan keamanan dari portable hacking station dibuat berdasarkan standar
ISO/IEC 15408 Common Criteria for IT Security Evaluation part 1 – 3 versi 3.1:2017,
dan ISO/IEC TR 15446 Guide for the production of Protection Profiles and Security
Targets dalam bentuk dokumen Security Target.
11/1/19 17
19. 1. Penelitian ini dapat dapat dijadikan platform otomasi kegiatan ethical hacking
untuk dikembangkan lebih lanjut dengan mengimplementasikan berbagai tools
penetration test lainnya menggunakan bahasa pemrograman python.
2. Peningkatan keamanan pada Access Point yang hanya menggunakan WPA2-PSK,
karena sangat rentan terhadap serangan MITM. Peningkatan keamanan
dilakukan menggunakan WPA-Enterprise dengan WIPS dan WIDS serta
otentikasi RADIUS Server serta active directory.
11/1/19 18