Cara mencegah dan menanggulangi apabila Sistem Informasi atau komputer mengalami gangguan Hacker, virus atau lainnnya baik yang bersifat mengganggu aktivitas sistem secara langsung atau merusah data/file pada komputer/sistem informasi.
Cara mencegah dan menanggulangi apabila Sistem Informasi atau komputer mengalami gangguan Hacker, virus atau lainnnya baik yang bersifat mengganggu aktivitas sistem secara langsung atau merusah data/file pada komputer/sistem informasi.
6. si & pi, m hasim rafsanjani, prof.dr.ir.hapzi ali,mm,cma,mpm,konsep da...Hasim Rafsanjani
M Hasim Rafsanjani, konsep dasar keamanan informasi pemahaman serangan , tipe tipe pengendalian prinsip-prinsip the five trust service untu keandalan system, Universitas Mercubuana (Mercubuana University) Jakarta Indonesia
Tugas besar 1 kelompok 9 SIM (sistem informasi manajemen)RifaldySaputra1
Menjelaskan tentang perlindungan sistem informasi
Disusun oleh:
Rio Gunawan (43118010007), Aprilia Ningrum Ambawati (43118010335), Rifaldy Saputra (43118010257)
Materi Cyber crime ini diperuntukkan bagi mahasiswa yang sedang mempelajari matakuliah Etika Profesi. Dalam materi ini akan dijelaskan mengenai kejahatan-kejahatan dalam bidang komputer atau IT, kasus apa saja yang pernah terjadi di Indonesia, cara penanggulangganya dan lain sebagainya.
6. si & pi, m hasim rafsanjani, prof.dr.ir.hapzi ali,mm,cma,mpm,konsep da...Hasim Rafsanjani
M Hasim Rafsanjani, konsep dasar keamanan informasi pemahaman serangan , tipe tipe pengendalian prinsip-prinsip the five trust service untu keandalan system, Universitas Mercubuana (Mercubuana University) Jakarta Indonesia
Tugas besar 1 kelompok 9 SIM (sistem informasi manajemen)RifaldySaputra1
Menjelaskan tentang perlindungan sistem informasi
Disusun oleh:
Rio Gunawan (43118010007), Aprilia Ningrum Ambawati (43118010335), Rifaldy Saputra (43118010257)
Materi Cyber crime ini diperuntukkan bagi mahasiswa yang sedang mempelajari matakuliah Etika Profesi. Dalam materi ini akan dijelaskan mengenai kejahatan-kejahatan dalam bidang komputer atau IT, kasus apa saja yang pernah terjadi di Indonesia, cara penanggulangganya dan lain sebagainya.
Cloud Managed Router merupakan hasil dari kombinasi antara perangkat router konvensional dengan teknologi cloud management, yang dikembangkan agar memudahkan pengguna untuk dapat mengatur perangkat router dari jarak jauh. Namun tentu saja dengan penerapan yang kurang tepat, maka hal ini bisa dimanfaatkan oleh orang yang tidak bertanggung jawab, bahkan dapat beresiko akses perangkat router diambil alih. Pada topik ini saya akan sedikit menceritakan bagaimana resiko tersebut bisa terjadi.
idsecconf2023 - Neil Armstrong - Leveraging IaC for Stealthy Infrastructure A...idsecconf
Kesiapan infrastruktur terkadang menjadi kendala dalam melaksanakan red team exercise secara internal. Guna memperoleh hasil yang optimal terdapat beberapa strong points yang perlu diadopsi dalam pengembangan infrastruktur yakni rapid deployment, stealth, dan scalability. Melalui Infrastructure as code (IaC) yang dapat mendukung proses automation infrastruktur red team, operator dapat mereduksi waktu deployment dengan komponen yang bersifat disposable per engagement. Infrastruktur terbagi menjadi 4 segmen yakni segmen network memanfaatkan WireGuard yang disederhanakan melalui Headscale “Zero Config”. Segmen C2 dan Segmen Phishing merupakan core sections. Segmen SIEM bertujuan mengagregasi dan memproses log dari berbagai komponen seperti reverse proxy pada redirector ataupun C2 server. Manajemen multi-cloud environment memanfaatkan Terraform dengan provisioning yang di-handle menggunakan Ansible. Python sebagai wrapper kedua platform sehingga penggunaan tetap sederhana. Operator dapat secara fleksibel mendeskripsikan segmen yang hendak di deploy melalui sebuah YAML file.
Dalam dunia keamanan siber, sinergi antara berbagai proses memiliki peran yang sangat penting. Salah satu proses atau framework yang tengah menjadi sorotan dan menarik perhatian luas adalah Detection Engineering. Proses Detection Engineering ini bertujuan untuk meningkatkan struktur dan pengorganisasian dalam pembuatan detection use case atau rules di Security Operation Center (SOC). Detection Engineering bisa dikatakan masih baru dalam dunia keamanan siber, sehingga terdapat banyak peluang untuk membuat keseluruhan prosesnya menjadi lebih baik. Salah satu hal yang masih terlupakan adalah integrasi antara proses Detection Engineering dan Threat Modeling. Biasanya, Threat Modeling lebih berfokus pada solusi pencegahan dan mitigasi resiko secara langsung dan melupakanan komponen deteksi ketika pencegahan dan mitigasi tersebut gagal dalam menjalankan fungsinya. Dalam makalah ini, kami memperkenalkan paradigma baru dengan mengintegrasikan Detection Engineering ke dalam proses Threat Modeling. Pendekatan ini menjadikan Detection sebagai langkah proaktif tambahan, yang dapat menjadi lapisan pertahanan ekstra ketika kontrol pencegahan dan mitigasi akhirnya gagal dalam menghadapi ancaman sesungguhnya.
idsecconf2023 - Rama Tri Nanda - Hacking Smart Doorbell.pdfidsecconf
Smart doorbell atau bel pintar telah menjadi populer dalam sistem keamanan rumah pintar. Namun, banyak dari perangkat ini masih menggunakan protokol yang tidak aman untuk berkomunikasi, protokol yang rentan terhadap serangan keamanan seperti jamming, sniffing dan replay attack. Penelitian ini bertujuan untuk menganalisis kelemahan penggunaan protokol komunikasi pada smart doorbell, serta menginvestigasi potensi pemanfaatan Software Defined Radio (SDR) dan modul arduino dalam mengamati komunikasi gelombang elektronik pada frekuensi 433 MHz. Selain itu penelitian ini ditujukan untuk mengidentifikasi potensi risiko yang dihadapi oleh pengguna pengkat IoT, serta memberikan pandangan tentang perlindungan yang lebih baik.
Modern organizations are facing the severe challenge of effectively countering threats and mitigating Indicators of Compromise (IOCs) within their network environments. The increasing complexity and volume of cyber threats has highlighted the urgency of building robust mechanisms to block specific IOCs independently. While some organizations have adopted Endpoint Detection and Response (EDR) systems, these solutions often have limitations and require manual processes to collect and examine IOCs from multiple sources. These operational barriers prevent organizations from achieving a proactive and efficient defense posture, an obstacle that is particularly important due to the critical role that IOC blocking plays in containing the spread of threats and limiting potential damage. Hence, the need for a solution that orchestrates automated IOC blocking, utilizing tools such as AlienVault Open Threat Exchange (OTX), VirusTotal, CrowdStrike, and Slack. In this presentation, we examine the importance of automated IOC blocking and its potential to strengthen network security, while highlighting the critical role that these tools play in mitigating evolving cyber threats.
idsecconf2023 - Aan Wahyu - Hide n seek with android app protections and beat...idsecconf
Pembahasan ini bertujuan untuk memberikan edukasi tentang mekanisme perlindungan yang diterapkan pada aplikasi android seperti root detection, ssl pinning, anti emulation, tamper detection dan bagaimana teknik yang digunakan untuk melakukan mekanisme bypass proteksi yang diimplementasikan dengan bantuan reverse engineering menggunakan tool seperti frida, ghidra, objection, magisk, dan sebagainya.
idsecconf2023 - Satria Ady Pradana - Launch into the Stratus-phere Adversary ...idsecconf
Adversary Simulation pada lingkungan cloud memiliki karakteristik unik sehingga memerlukan pendekatan khusus. Stratus menawarkan fleksibilitas dalam melakukan simulasi attack secara native pada lingkungan cloud. Presentasi ini akan memberikan penjelasan tentang penggunaan Stratus dalam adversary simulation dan bagaimana mengembangkan skenario khusus sesuai kebutuhan.
Ali - The Journey-Hack Electron App Desktop (MacOS).pdfidsecconf
Semakin berkembangnya teknologi di aplikasi Desktop terdapat celah keamanan yang dapat menyebabkan dampak langsung atau tidak langsung pada kerahasiaan, Integritas Data yang di bangun menggunakan Framework dari Electron khusus nya aplikasi Desktop di Sistem Operasi MAC. Dalam materi yang di persentasikan akan membahas celah keamanan Security Misconfiguration,RCE,Code Injection, Bypass File Quarantine dan juga bagaiman cara intercept Aplikasi Electron Desktop di system operasi macOS
Muh. Fani Akbar - Infiltrate Into Your AWS Cloud Environment Through Public E...idsecconf
Amazon Web Service (AWS) menjadi pemain besar dalam industri provider cloud, AWS menawarkan berbagai macam layanan yang mempermudah pengguna untuk operasional dan manajemen administrasi cloud computing. Dengan banyaknya layanan yang disediakan oleh Amazon Web Service membuat pengguna lupa akan keamanan dari service yang digunakan, karena bukan hanya Simple Storage Service (S3) saja yang bisa secara tidak sengaja mengekspos data sentitif seperti kredensial Database, SSH Private Key, Source code aplikasi atau bahkan data pribadi lain yang bersifat rahasia. Terdapat banyak service yang secara tidak sengaja terekspos ke public seperti EBS Snapshot, RDS Snapshot, SSM Document, SNS topic dan sebagainya. Malicious Actor bisa memanfaatkan Public shared atau exposed untuk melakukan Initial Access ke lingkungan Amazon Web Service pengguna lalu melakukan eksfiltrasi data internal yang rahasia.
Rama Tri Nanda - NFC Hacking Hacking NFC Reverse Power Supply Padlock.pdfidsecconf
Near Field Communication (NFC) saat ini adalah teknologi yang umumnya di gunakan untuk media pembayaran serta akses kontrol untuk keamanan ruangan dan gedung. Tidak terbatas untuk hal itu saja, teknologi NFC juga kerap di implementasikan untuk perangkat IoT. Beberapa perangkat menggunakan NFC tag untuk menyimpan informasi guna sinkronisasi dengan perangkat smartphone. Penggunaan teknologi NFC awalnya dianggap aman karna mengharuskan alat baca dengan tag berada dalam poisisi yang sangat dekat. Sehingga dianggap sulit untuk melakukan penyadapan informasinya. Seiring waktu banyak penilitian mengungkapkan bahwa komunikasi ISO 1443-3 ini bisa di intip dan di terjemahkan ke dalam bentuk perintah serta respon aslinya. Proxmark3 adalah salah satu alat yang dikembangkan untuk keperluan tersebut. Namun ada kondisi dimana perangkat proxmark tidak dapat di fungsikan maksimal lantaran berkurangnya sensititifitas pembaca dan tag ketika ada objek berada diantara keduanya. Di paper ini saya ingin menyajikan hasil penelitian saya tentang penggunaan Dynamic Instrumentation Frida untuk memantau penggunaan modul java nfc dalam platform Android dan menggunakannya untuk melakukan lockpicking pada gembok pintar berbasis NFC.
Arief Karfianto - Proposed Security Model for Protecting Patients Data in Ele...idsecconf
This paper is a documentation of proposed security management for Electronic Health Records which includes security planning and policy, security program, risk management, and protection mechanism. Planning and policy are developed to provide a basic principle of security management at a hospital. The security program in this document includes Risk-Adaptable Access Control (RAdAC) and the implementation of security education, training and awareness (SETA). Regarding risk management, we perform risk identification, inventory of assets, information assets classification, and information assets value assessment, threat identification, and vulnerability assessment. For protection mechanism, we propose biometrics and signature as the authentication methods. The use of firewalls, intrusion detection system and encrypted data transmission is also suggested for securing data, application and network.
Nosa Shandy - Clickjacking That Worthy-Google Bug Hunting Story.pdfidsecconf
Menceritakan pengalaman bug hunting kerentanan clickjacking pada beberapa produk Google dan membahas beberapa teknik untuk melakukan bypass terhadap kerentanan tersebut. Serta menjelaskan clickjacking yang benar berdasarkan pengalaman pribadi
Baskoro Adi Pratomo - Evaluasi Perlindungan Privasi Pengguna pada Aplikasi-Ap...idsecconf
Pelanggaran privasi merupakan suatu hal yang sering ditemui dewasa ini. Salah satu penyebab pelanggaran privasi adalah adanya data privat milik pengguna yang dikirimkan pada server milik aplikasi tanpa seizin pengguna atau adanya pengumpulan data tertentu tanpa izin. Pada penelitian ini, kami menganalisis aplikasi-aplikasi yang didapatkan dari Google Play Store Indonesia untuk dicari apakah ada data privat milik pengguna yang dilanggar privasinya. Penelitian ini menggunakan tiga jenis metode yang utamanya berbasis static analysis; pendekatan reverse-engineering dengan static analysis untuk melihat apakah ada data yang berpotensi mengganggu privasi pengguna, analisis perizinan dan tracker yang dimiliki oleh aplikasi untuk melihat apakah perizinan dan tracker yang dimiliki oleh aplikasi memang tepat sesuai dengan use-case dari aplikasi tersebut, dan analisis regulasi data dengan mengambil data mengenai keamanan data yang diberikan developer ke Google Play Store. Hasil studi menunjukkan bahwa ada beberapa aplikasi yang memang mengambil data privat pengguna yang tidak relevan dengan use-case aplikasi dan mengirimnya ke server milik aplikasi dan pihak ketiga
Utian Ayuba - Profiling The Cloud Crime.pdfidsecconf
Cloud service is often part of broader strategic initiatives, principally digital transformation (DX) and cloud-first. Despite the continued rapid adoption of cloud services, security remains a crucial issue for cloud users. A majority of organizations confirm they are at least moderately concerned about cloud security. However, there is still a gap between using the cloud and the implementation of cloud security by organizations, so retains the rate of cloud crime high. Eliminating or narrowing the gap is necessary so that organizations can continue to take advantage of the cloud securely. Understanding cloud crime would aid in both cloud crime prevention and protection. The purpose of this presentation is to identify how cloud security incidents can occur from both attacker and victim sides. Organizations can use this presentation's results as a reference to develop or improve cloud security programs and eliminate or narrow the gap between cloud utilization and cloud security implementation.
Proactive cyber defence through adversary emulation for improving your securi...idsecconf
Organization using Adversary Emulation plan to develop an attack emulation and/or simulation and execute it against enterprise infrastructure. These activities leverage real-world attacks and TTPs by Threat Actor, so you can identify and finding the gaps in your defense before the real adversary attacking your infrastructure. Adversary Emulation also help security team to get more visibility into their environment. Performing Adversary Emulation continuously to strengthen and improve your defense over the time.
Perkembangan infrastruktur kunci publik di indonesia - Andika Triwidadaidsecconf
UU-ITE pasal 11 melegalkan Tanda Tangan Elektronik, membuat kedudukannya setara dengan tanda tangan basah. Implementasinya mengandalkan Infrastruktur Kunci Publik yang melibatkan beberapa organisasi dan jalinan trust. Akan di bahas gambaran umum implementasi IKP di Indonesia dan berbagai layanan yang telah beroperasi, serta sebagian aspek keamanannya.
Pentesting react native application for fun and profit - Abdullahidsecconf
React Native merupakan framework yang digunakan untuk membuat aplikasi mobile baik itu Android maupun IOS (multi platform). Framework ini memungkinkan developer untuk membuat aplikasi untuk berbagai platform dengan menggunakan basis kode yang sama, yaitu JavaScript.
Dikarenakan aplikasi ini berbasis JavaScript (client side), banyak developer yang tidak memperhatikan celah keamanan pada aplikasi. Terdapat berbagai macam celah keamanan meliputi client side dan server side. Presentasi ini memuat pengalaman saya dalam menemukan celah keamanan pada saat melakukan Penetration Testing pada aplikasi mobile berbasis React Native
Hacking oximeter untuk membantu pasien covid19 di indonesia - Ryan fabellaidsecconf
Pandemi covid-19 melonjak pada gelombang ke-2 di. Untuk mengantisipasi itu pemerintah membagikan oximeter ke puskesmas. Oximeter yang ada dipasaran mengharuskan tenaga kesehatan untuk kontak langsung dengan pasien. Dengan menggunakan Hacked Oxymeter ini dapat mengurangi intensitas bertemu dengan pasien dan mengurangi resiko terpapar covid-19. Secara metodologi, hacking oximeter ini membaca output komunikasi serial pada alat oximeter untuk kemudian diolah oleh mikrokontroler dan dikirim ke MQTT broker untuk diteruskan ke klien yang membutuhkan. Alat ini digunakan oleh pasien yang sedang isoman di hotel, fasilitas Kesehatan atau rumah sakit darurat/lapangan
Vm escape: case study virtualbox bug hunting and exploitation - Muhammad Alif...idsecconf
Eksploitasi kerentanan pada hypervisor semakin banyak diperbincangkan di beberapa tahun ini, dimulai dari kompetisi hacking Pwn2Own pada 2017 yang mengadakan kategori Virtual Machine dalam ajang lombanya, dan juga teknologi-teknologi terkini yang banyak menggunakan hypervisor seperti Cloud Computing, Malware Detection, dll. Hal tersebut menjadi ketertarikan bagi sebagian hacker, security researcher untuk mencari kelemahan dan mengeksploitasi hypervisor. Tulisan ini menjelaskan mengenai proses Vulnerability Research dan VM Escape exploitation pada VirtualBox.
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwiantoidsecconf
Proses DevSecOps saat ini banyak digunakan dikalangan industri yang membutuhkan kecepatan baik dalam pengembangan maupun implementasi. Setiap tahapan pada pipeline DevSecOps merupakan tahapan yang harus diperhatikan dan masuk kedalam pantauan SOC (Security Operation Center). Untuk itu diperlukan kemampuan SOC untuk bisa memantau setiap pipeline DevSecOps sehingga dapat memberikan gambaran kondisi keamanan pada organisasi
Devsecops: membangun kemampuan soc di dalam devsecops pipeline - Dedi Dwianto
Securing Your Smartphone (For Common User) - Kristian Ibrahim, Aisyah Amelia
1. Securing Your Smartphone (For Common User)
oleh : i,a
I. Pendahuluan
Penggunaan smartphone saat ini sudah lebih merata dari beberapa tahun yang lalu. Saat ini
smartphone tidak hanya digunakan oleh kalangan pebisnis tapi juga kalangan biasa bahkan
remaja. Seiring semakin canggihnya fungsionalitas smartphone, ketergantungan kita akan
sebuah smartphone menjadi sedemikian tinggi. Ketergantungan ini juga mengakibatkan
semakin banyak orang menyimpan data-data pribadinya pada smartphone miliknya.
Teknologi smartphone walaupun bukan teknologi baru namun dari sisi sejarah tampaknya juga
melewati fase yang sama dengan teknologi jaringan komputer yaitu dimulai dengan
memfokuskan pada kemudahan/fitur dan mengasumsikan tingkat ancaman yang rendah. Hal ini
juga berdampak pada kebiasaan pengguna awam sehingga faktor keamanan menjadi sesuatu
yang diacuhkan. Seiring semakin populernya penggunaan smartphone maka minat para cracker
juga meningkat sehingga pengguna awam harus mengetahui cara-cara mengamankan
smartphone miliknya.
Tulisan ini dibatasi pada aspek pengamanan yang diperuntukkan bagi pengguna awam
(common user) bukan sistem informasi yang memanfaatkan smartphone sebagai salah satu alat
akses informasinya atau suatu sistem milik organisasi. Tulisan ini ditujukan untuk untuk
menyadarkan lagi para pengguna awam akan pentingnya memperhatikan konfigurasi dari
smartphone yang dimiliki. Dengan kesadaran dan pengetahuan pengguna tersebut diharapkan
pada akhirnya dapat memberikan dampak bagi keamanan suatu sistem informasi secara
keseluruhan.
II. Smartphone
Smartphone atau telepon pintar adalah telepon genggam yang mempunyai kemampuan tinggi,
kadang-kadang menyerupai komputer [1]. Beberapa aktivitas yang biasanya dilakukan pada
komputer saat ini sudah dapat dilakukan pada smartphone seperti akses surel, meramban,
membaca dokumen/e-book, menyunting dokumen, bermain games, chatting, memotret gambar,
merekam suara, merekam video, memutar musik, memutar video, menampilkan lokasi dan peta,
pengaturan jadwal kegiatan, mengirim memo suara, memasang aplikasi tambahan, hingga akses
ke media sosial. Beragamnya kemampuan smartphone ini menjadikan banyak orang
menggantungkan aktivitasnya pada suatu smartphone.
Smartphone secara garis besar dapat dibagi menjadi 2 komponen yaitu hardware dan software.
Komponen hardware dari sebuah smartphone biasanya adalah :
– Chip Prosesor
– Chip Memory
– Chip koneksi Seluler (GSM/3G/CDMA)
– Chip koneksi Wifi
– Chip koneksi Bluetooth
– Chip receiver GPS
– Chip VGA
– Kamera
– Layar
2. – Batere
– Kartu Memory Eksternal (MicroSD)
– Keyboard
– Trackpad
– Sensor (Accelerometer)
– Chip koneksi NFC
Sedangkan komponen software dari sebuah smartphone secara garis besar dapat dibagi 2 yaitu
software sistem operasi dan software aplikasi. Beberapa sistem operasi yang populer pada
smartphone adalah :
– Android
– iOS
– BlackberryOS
– Symbian
– Windows Mobile/Phone
Pada awalnya sistem operasi pada telepon seluler bersifat tetap atau tidak bisa ditambah. Namun
seiring perkembangan teknologi seluruh sistem operasi pada smartphone memiliki fitur untuk
menambahkan aplikasi. Penambahan aplikasi ini akhirnya juga menjadi alasan mengapa banyak
orang memilih menggunakan smartphone daripada telepon seluler biasa.
III.Aset pada Smartphone
Seperti disebutkan sebelumnya bahwa begitu banyak aktivitas kita yang dapat didukung oleh
sebuah smartphone. Hal ini kemudian menjadikan kita menyimpan dan menggantungkan
banyak data pribadi kita pada smartphone. Hal-hal tersebut sebenarnya adalah aset yang harus
kita perhatikan perlindungannya. Beberapa aset pribadi yang biasa terdapat dalam smartphone
adalah :
– Kontak
Data-data Kontak merupakan aset berharga misalnya nomor telepon dan alamat surel dari
keluarga dan rekan kerja.
– Password
Beberapa smartphone dilengkapi aplikasi pengelola password dimana pengguna dapat
menyimpan catatan password seperti password untuk surel, media sosial atau bahkan
password terkait akses ke suatu sistem informasi pada pekerjaannya.
– Akses ke mobile banking (nomor telepon)
Pengguna yang memanfaatkan fitur mobile banking biasanya teregistrasi melalui nomor
telepon. Oleh karena itu nomor telepon (diwakili oleh simcard) merupakan aset yang
berharga karena menjadi salah satu faktor akses transaksi keuangan pengguna melalui
smartphone.
– Dokumen
Beberapa pengguna memanfaatkan fitur pembaca dan/atau penyunting dokumen yang ada
pada smartphone. Beberapa dokumen tersebut mungkin merupakan dokumen yang cukup
berharga.
– Foto dan Video
Beberapa pengguna memanfaatkan fitur kamera untuk merekam gambar atau video pribadi.
File foto dan video ini merupakan aset yang cukup berharga misalnya jika terkait seorang
selebriti.
3. IV. Ancaman Keamanan pada Smartphone
Sebagaimana fungsionalitasnya yang sudah mendekati sebuah komputer, sebuah smartphone
menghadapi ancamanan keamanan yang kurang-lebih sama dengan ancaman keamanan pada
komputer. Ancaman keamanan pada sebuah smartphone antara lain :
– Sniffing
Sniffing dapat diartikan sebagai penyadapan. Penyadapan dapat dilakukan terhadap
pengguna yang meramban dengan menggunakan koneksi Wifi yang tidak disetting
terenkripsi atau jika web yang dituju tidak menerapkan mekanisme perlindungan SSL.
Sniffer dapat memperoleh data-data pribadi pengguna misalnya akun dan password yang
dipakai untuk login ke suatu situs tertentu atau isi percakapan pengguna yang dikirimkan
melalui surel atau aplikasi chatting.
– Password bypass
Kebanyakan smartphone pengguna tidak dipasang password walaupun fitur tersebut
sebenarnya tersedia pada kebanyakan smartphone. Jika password dipasang, seringkali
pengguna hanya menggunakan password yang mudah ditebak. Dengan membypass
password maka attacker dapat memperoleh data-data berharga seperti daftar kontak maupun
file gambar atau video
– Virus dan Malware
Virus biasanya menyebar pada smartphone setelah pengguna mengklik link alamat web
yang berisi virus atau malware. Link ini biasa ditemukan pada media sosial atau pengiriman
sms yang tidak jelas sumbernya. Link tersebut biasanya dibuat seolah-olah mengandung
informasi menarik misalnya diskon atau pornografi. Link tersebut berisi perintah untuk
menginstal aplikasi dimana aplikasi tersebut berisi virus atau malware. Contoh ancaman
virus/malware ini dapat dilihat pada [2] dan [3]. Smartphone pengguna biasanya akan
mengalami gangguan seperti mudah hang atau data hilang jika sudah terinfeksi virus atau
malware.
– Backdoor/Trojan
Trojan biasanya menyebar melalui instalasi aplikasi gratis atau aplikasi palsu yang diperoleh
dari tempat download tidak resmi (bukan tempat download resmi dari produsen
smartphone). Smartphone pengguna yang terinfeksi trojan kemudian menjadi terbuka untuk
diakses secara remote oleh attacker. Contoh ancaman trojan ini dapat dilihat pada [4] dan
[5]. Attacker dapat mengambil data-data yang tersimpan dalam smartphone tanpa disadari
oleh pengguna karena sifatnya yang tersembunyi.
– Phising
Phising adalah tindakan pengelabuan suatu alamat web dengan membuat seolah-olah link
tersebut adalah link yang resmi/benar. Link phising biasanya berisi virus. Teknik phising
terbaru saat ini bahkan telah memanfaatkan suatu tag NFC [6].
– Bluetooth Cracking
Bluetooth cracking adalah suatu upaya cracking yang memanfaatkan koneksi kelemahan
keamanan yang terdapat pada suatu chip bluetooth. Setelah berhasil menembus kelemahan
bluetooth tersebut, attacker akan dapat mengakses daftar kontak, membuka data-data
penting (seperti file dan sms), bahkan melakukan panggilan telepon tanpa disadari oleh
pengguna karena sifatnya yang tersembunyi. Contoh presentasi yang menjelaskan dengan
cukup detail dapat dilihat pada [7].
4. V. Securing the Smartphone
Untuk dapat menangkal ancaman keamanan seperti tersebut diatas maka pengguna awam perlu
memahami kembali bahwa sebuah smartphone pada dasarnya memang memiliki celah
keamanan yang dapat dieksploitasi oleh attacker. Celah keamanan tersebut sebenarnya muncul
karena keinginan mendapatkan/mengedepankan aspek kemudahan daripada aspek keamanan.
Pada dasarnya memang antara keamanan dan kemudahan saling bertolak belakang.
Trade-off (titik tengah) antara kemudahan dan keamanan sebenarnya terletak pada pengetahuan
dan kesadaran dari pengguna. Pengguna yang memiliki pengetahuan seputar keamanan
informasi dan kesadaran yang cukup akan tetap dapat menikmati kemudahan yang disediakan
oleh sebuah smartphone tanpa harus kehilangan kendali terhadap aset yang terdapat
didalamnya. Untuk dapat mengamankan aset yang terdapat pada smartphone maka pengguna
dapat melakukan langkah pengamanan sebagai berikut :
1. Gunakan password yang berkualitas untuk mengunci smartphone
Password yang berkualitas adalah password yang terdiri dari paduan angka, karakter dan
simbol dan tidak menggunakan informasi pribadi yang mudah diketahui seperti tanggal
lahir atau nama orang dekat. Set smartphone untuk mengunci otomatis jika sedang tidak
digunakan (idle).
2. Gunakan koneksi yang aman (terenkripsi) untuk aktivitas yang bersifat sensitif
Koneksi yang aman biasanya diperlukan untuk akses jaringan melalui koneksi Wifi.
Koneksikan perangkat hanya pada Wifi yang fitur enkripsinya diaktifkan. Untuk
aktifitas internet banking atau hal lain yang bersifat sensitif pastikan halaman web yang
dikunjungi adalah versi https.
3. Kuasai bahasa inggris dan hanya pasang aplikasi dari sumber terpercaya
Para produsen smartphone sebenarnya sudah menyediakan tempat download aplikasi
yang sah. Tempat download aplikasi yang sah akhir-akhir ini juga sudah melakukan
analisa [8] terhadap aplikasi-aplikasi yang dibuat oleh para developer sehingga peluang
adanya virus, malware atau trojan menjadi lebih terminimalisir. Tempat download
aplikasi juga biasanya membutuhkan akun dan password. Untuk mencegah pemasangan
aplikasi secara tidak sengaja maka pastikan password untuk download aplikasi juga
password yang berkualitas.
Aplikasi yang sah juga biasanya dilengkapi oleh suatu sertifikat digital. Sebaiknya
jangan melanjutkan instalasi jika terdapat peringatan terhadap ketidakpercayaan suatu
sertifikat digital dari suatu aplikasi. Pengguna awam yang kurang mengusai bahasa
inggris biasanya mengabaikan peringatan yang jelas-jelas sudah ditampilkan. Pengguna
awam biasanya juga mengabaikan peringatan “ijin akses data” saat aplikasi akan diinstal
yang biasanya disampaikan dalam bahasa inggris. Oleh karena itu penguasaan bahasa
inggris menjadi penting agar pengguna tidak justru secara sengaja mengijinkan akses
tersebut.
4. Matikan fitur yang tidak diperlukan
Koneksi Wifi dan Bluetooth sebenarnya bukan koneksi yang selalu dibutuhkan/aktif.
Namun kebanyakan pengguna lupa mematikan fitur ini saat sudah tidak digunakan.
Kebiasaan lupa tersebut dapat meningkatkan resiko ancaman keamanan. Segera matikan
fitur tersebut segera setelah tidak lagi diperlukan. Untuk fitur bluetooth pastikan setting
Discoverable diset “No”. Pastikan bluetooth pada smartphone dipairing hanya dengan
perangkat yang dikenal baik dan jangan terima permintaan pairing dari perangkat yang
tidak jelas.
5. 5. Kunjungi hanya link yang terpercaya
Jika menerima suatu link jangan mudah untuk mengklik-nya. Pastikan bahwa link
tersebut memang dikirimkan oleh pengirimnya karena beberapa link phising dikirimkan
oleh semacam bot dimana pengirim aslinya sebenarnya tidak hendak mengirimkan link
tersebut.
6. Tambah proteksi enkripsi untuk file yang bersifat sensitif
Untuk file sensitif seperti dokumen khusus, gambar dan video pribadi sebaiknya
diproteksi menggunakan aplikasi enkripsi tambahan. Saat ini sistem operasi smartphone
memang belum ada yang menyediakan fitur enkripsi ini secara native sehingga perlu
menginstal aplikasi tambahan. Set password untuk enkripsi file tersebut dengan
password yang berkualitas.
7. Berteman dengan penggiat/pakar keamanan informasi
Pertemanan dengan penggiat/pakar keamanan informasi dapat membuka cakrawala
pengetahuan seputar informasi serangan-serangan keamanan terkini. Pertemanan
tersebut dapat dijadikan sarana untuk bertanya atau update informasi secara gratis.
VI. Kesimpulan
Pada makalah ini telah dibahas mengenai bagaimana mengamankan sebuah smartphone ditinjau
dari sisi pengguna awam. Sebuah smartphone adalah sebuah perangkat teknologi yang
ditujukan untuk memudahkan aktivitas manusia. Namun begitu seiring meningkatnya ancaman
keamanan terhadap pengguna smartphone maka pengguna smartphone juga harus secara aktif
melakukan langkah pengamanan. Cara mengamankan smartphone tersebut dituangkan dalam 7
tips. Ketujuh tips tersebut bukanlah penangkal untuk seluruh ancaman namun lebih ditujukan
untuk meminimalisir. Pada akhirnya keamanan sebuah smartphone terletak pada pengetahuan
dan kesadaran penggunanya itu sendiri.
VII. Daftar Pustaka
1. Wikipedia Indonesia, Telepon Pintar, http://id.wikipedia.org/wiki/Telepon_pintar, diakses
pada 30 April 2012 jam 11:54
2. Heise Security, Android games contain malware, http://www.h-
online.com/security/news/item/Android-games-contain-malware-1424408.html, diakses pada 4
Mei 2012 jam 17:33
3. Android smartphones infected via drive-by exploit – Update, http://www.h-
online.com/security/news/item/Android-smartphones-infected-via-drive-by-exploit-Update-
1446992.html, diakses pada 4 Mei 2012 jam 17:31
4. Heise Security, Android malware opens back door to the intranet, http://www.h-
online.com/security/news/item/Android-malware-opens-back-door-to-the-intranet-
1567374.html , diakses pada 7 Mei 2012 jam 8:28
5. Scammers create fake Instagram app on Android, http://www.h-
online.com/security/news/item/Scammers-create-fake-Instagram-app-on-Android-
1544255.html, diakses pada 4 Mei 2012 jam 17:32
6. Heise Security, Phishing via NFC, http://www.h-online.com/security/news/item/Phishing-
via-NFC-1447010.html, diakses pada 4 Mei 2012 jam 17:29
7. y3dips, 0wned a mobile phone via bluetooth, http://www.slideshare.net/y3dips/, diakses pada
7 Mei 2012 jam 13:11
8. Heise Security, Google's Bouncer scans the Android Market for Malware, http://www.h-
online.com/security/news/item/Google-s-Bouncer-scans-the-Android-Market-for-Malware-
1427814.html, diakses pada 4 Mei 2012 jam 17:28