web security informasi informasi mengenai internet security
1. Sekilas Web Security
Sejak tahun 1990-an, internet berkembang pesat
ke seluruh dunia karena semakin mudahnya
akses informasi ke jejaring internet, dengan
menggunakan teknologi WWW (World Wide
Web) dan juga dukungan PC (Personal
Computer)-nya Microsoft, serta perkembangan
open source OS Linux yang sangat pesat. Saat
ini, internet telah menjadi bagian dari kehidupan
kita sehari-hari sebagai salah satu wahana
komunikasi dalam bisnis maupun untuk privat.
Tetapi di balik itu masih banyak lubang
kelemahan sistem.
2. Sedikit Informasi Mengenai Internet
Security
Jakarta - Serangan Internet menimbulkan kerugian
global berkisar US$ 300 miliar hingga US$ 1 triliun,
atau sekitar Rp 2.800 triliun hingga Rp 9.600 triliun).
Temuan ini adalah data yang dirilis dari riset gabungan
antara perusahaan antivirus McAfee dan Center for
Strategic and International Studies.
"Mengalkulasi secara akurat agak sulit karena
sejumlah perusahaan cenderung menyembunyikan
kerugian yang diderita," demikian tertulis pada laporan
yang dikutip CNET pada Selasa, 23 Juli 2013.
"Lainnya malah tidak tahu berapa kerugian yang
mereka alami.
Jenis kerugian itu terdiri dari hak kekayaan intelektual,
kejahatan internet, hilangnya informasi bisnis,
gangguan layanan, munculnya biaya tambahan
pengamanan, dan rusaknya reputasi perusahaan.
Untuk memberikan gambaran, laporan ini juga
membandingkan kerugian dari kejahatan internet ini
dengan kerugian di sektor lain seperti transprortasi.
3. Dampak dari Hacking
Hacker dapat mengontrol PC atau server anda
yang akan digunakan sebagai Bots.
Hacker dapat merusak informasi atau data
penting di website anda bahkan
menghapusnya.
Hacker dapat menggunakan email anda untuk
kegiatan spamming ,atau reset password akun-
akun penting anda seperti : Facebook,Twitter,
bahkan online banking.
Hacker dapat mencuri dan menggunakan data
seperti: credit card, business data, business
4. Who Is Hacker
Hacker adalah seseorang yang memiliki
pengetahuan komputer sangat hebat, dan juga
bisa membuat dan mengeksplorasi sebuah
aplikasi pada komputer tersebut agar menjadi
lebih baik lagi.
Pengetahuannya bisa juga menjadi sangat
bermanfaat namun juga bisa membahayakan
dirinya jika mereka menggunakannya untuk hal
hal ilegal.
Kadang, bagi seorang hacker, hacking adalah
sebuah hobi untuk melihat seberapa banyak
yang telah dilumpuhkan dengan
5. Hacker Classes
Dikutip dari Certified Ethical Hacking v7,
Kelompok hacker digolongkan menjadi 4, yaitu :
Black Hat Hacker : Individual dengan skill
komputer yang luar biasa. Lebih menjurus ke
aktivitas malicious dan perusakan dan juga bisa
dibilang sama dengan CRACKERS.
White Hat Hacker : Individual professional
hacker, mereka menggunakan skillnya untuk
kegiatan defensif dan juga biasa disebut
dengan Security Analyst.
Gray Hat Hacker : Individual hacker yang
bekerja antara ofensif dan defensif pada saat-
6. Motif dari Penyerangan
Coba-coba dan rasa ingin tahu
Faktor ekonomi
Ingin unjuk diri
Sakit hati
8. Alur Penyerangan Website
Scanning - > Information Gathering -> Exploiting / Attacking ->Take
Over Access -> Uploading Backdoor -> Deface / Stealing Important Data
-> Delete Logs –> Rooting
9. Scanning
Scanning adalah bagian kita untuk memulai
pendekatan terhadap target kita. Scanning
berguna untuk mengetahui informasi-informasi
penting dari target. Yang nantinya kita bisa
himpun untuk proses information gathering.
Dari hasil information gathering tadilah kita bisa
melakukan eksploitasi agar bisa masuk ke
dalam sistem web tersebut.
10. Apa Saja yang Bisa Kita Lakukan pada
Tahap Scanning?
Mengetahui port-port yang terbuka.
Mengumpulkan informasi tentang server
mereka.
Mencari dan menemukan file yang rentan akan
eksploitasi.
Directory Checking
IP, Hostname, DNS, dan Data Whois dari
Domain tsb
11. Apakah Target Tahu Kita Melakukan
Scanning
Jawabannya tergantung proses dan intensitas
scanning kita, untuk IP jelas mereka tahu
karena semua yang datang atau scan website
tersebut akan masuk ke dalam apache log di
server. Dan kita juga bisa dituntut apabila
instansi yang bersangkutan tidak berkenan
dengan kegiatan kita.
12. Information Gathering
Information gathering adalah suatu proses di
mana kita mengumpulkan semua bahan pada
tahap scanning untuk selanjutnya digunakan
bahan eksploitasi.
Hasil dari information gathering bisa kita buat
mencari sebuah exploit. Contohnya pada saat
kita scanning, kita menemukan sebuah email
pemilik domain atau kita menemukan sebuah
Full Path Disclosoure (FPD). Yang nantinya kita
gunakan pada aksi penyerangan kita.
13. Exploiting / Attacking
Pada tahap ini, ada banyak yang bisa kita lakukan untuk memanfaatkan
semua kemungkinan yang ada di Information Gathering.
Kita bisa menggunakan teknik teknik hacking yang sudah ada atau kita
mengombinasikan beberapa teknik tersebut .Yang penting tujuan kita
tercapai.
15. Bug-bug Apakah yang Paling Sering
Ditemukan?
Bug yang paling banyak ditemukan,
jawabannya adalah SQLI dan XSS. Untuk XSS
mungkin tidak seberapa berbahaya kalau hanya
sekadar XSS Reflected. Yang dicari mungkin
hanyalah SESSID untuk Session Hijacking .
Mungkin kalau XSS yang berupa Stored. Bisa
melakukan JS Overlay untuk mengubah
tampilan website.
Bug SQLI adalah yang paling fatal. Data anda
bisa dicuri secara mudah melalui injeksi
tersebut. Juga bisa melakukan bypassing jika
web anda diberikan privileges untuk read
16. Take Over Access
Pada bagian take over access,sebenarnya ini
termasuk pada exploiting. Namun karena cukup
penting jika kita menemukan sebuah data pada
saat attacking.Take over access di sini adalah
kita memanfaatkan semua data yang kita
temukan, seperti Id dan Password pada
database atau pada script configuration
tertentu.
Biasanya, admin yang lalai dan malas akan
menyamakan semua passwordnya baik itu
MySQL, Panel, Admin Page. Jadi itu
merupakan suatu keuntungan tersendiri bagi
17. Uploading a Backdoor
Uploading Backdoor / Shell juga sangat penting
agar kita tidak perlu repot-repot login pada
backend website. Cukup dengan mengupload
sebuah backdoor atau sebuah jalan pintas agar
kita bisa masuk ke dalam web sistem tanpa
autentikasi sebagai admin.
Selain menghemat waktu, juga sangat berguna
untuk langkah selanjutnya seperti bypassing,
symlink, rooting, back connect, jumping, dll.
18. Deface, Stealing, or Dropping
Maksudnya adalah, setelah mendapatkan
akses ke dalam sistem melalui backdoor. Kita
bisa mendeface (mengubah halaman utama)
situs tersebut atau hanya ingin mencuri data-
data penting seperti email, nomor telepon, atau
bahkan ingin mencuri sebuah kartu kredit.
Atau kita ingin mengingatkan admin yang lalai
sekaligus kita ingin mendapatkan sebuah
imbalan dari admin. Kita dapat melakukan
pemback-up-an situs tersebut lalu delete semua
tanpa ada yang tersisa.
19. Delete Logs
Saat seorang hacker akan menghapus file
logs/jejak dalam server target jangan sampai
meninggalkan jejak sedikit pun agar admin tidak
dapat membaca kita telah datang dalam
sistemnya. Supaya kegiatan hacking bisa
berjalan semulus dan selembut mungkin.
20. Rooting
Rooting adalah sebuah teknik atau proses agar
kita mendapatkan privileges sebagai root. Jika
kita mendapatkan privileges root.
Semua bisa kita lakukan, mulai dari mengontrol,
mematikan dan, memalfungsikan server
tersebut menjadi sebuah bot.
24. Sebagai User
Gunakan firewall, antivirus, anti trojan, backup
data.
Penggunaan password/pass phrase yang baik.
Berhati-hati terhadap semua tawaran
“menggiurkan” (social engineering),
attachment/program.
Penggunaan fasilitas secara hati- hati (warnet,
public internet cafe).
Penggunaan secure login/secure connection
(https, ssh).
25. Sebagai Developer
Gunakan enkripsi untuk autentikasi atau proses
lain yang dianggap perlu.
Matikan error_log (kecuali saat development).
Sesuai kebutuhan dan kemampuan.
Update informasi umum secara berkala dan
terus lakukan update pada program anda.
26. Sebagai Admin
Update/patching versions jika memakai cms.
Hapus file backup di publik_html.
Setting optimal pada environtment dan
configurasi server.
Batasi fungsi yang bisa berinteraksi dengan
sistem environtment.