Peretasan Sistem
Ethical Hacking and Countermeasures (PAI 083213)
Program Studi Teknik Informatika, Unsoed
Iwan Setiawan <...
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program ...
Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program ...
Kata Sandi
(password)

 
Kata Sandi (1)
●

●

●

Banyak aksi peretasan/hacking dan perengkahan atau 
cracking berawal dari akses ke sistem target m...
Kata Sandi (2)
●

●

●

Informasi dari tahap pengintaian dan penjejakan dapat 
digunakan untuk menebak kata sandi yang dig...
Karakter Pembangun Kata Sandi
●

Hanya huruf saja.

●

Hanya nomor saja.

●

Hanya karakter khusus saja.

●

Huruf dan nom...
Aturan Membuat Kata Sandi
●

●

●

●

Tidak berisi nama akun pengguna atau 
kombinasinya.
Minimal 8 karakter. Semakin panj...
Tipe Serangan Kata Sandi (1)
●

Pasif Daring (passive­online)
●

●

●

Pengendusan: “menguping” melalui media kabel atau 
...
Tipe Serangan Kata Sandi (2)
●

Aktif Daring (active­online)
●

●

●

●

Menebak kata sandi administrator secara manual da...
Tipe Serangan Kata Sandi (3)
●

Luring (offline)
●

●

●

●

Tidak dilakukan langsung pada sistem target.
Menggunakan algo...
https://en.wikipedia.org/wiki/File:Transistor_Count_and_Moore%27s_Law_­_2011.svg

 

Ethical Hacking and Countermeasures  ...
Tipe Serangan Kata Sandi (4)
●

Non­elektronik
●

●

●

●

Tidak membutuhkan kemampuan teknis. Contoh: 
mengintip, rekayas...
Bagaimana penanggulangan
terhadap “tebak-tebakan”
kata sandi?

 
*-factor auth.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
two-factor auth.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Kartu Pintar.

 
Mariusz Chilmon, CC BY­NC­ND, https://secure.flickr.com/photos/vmario/537643336/
Peter Raymond, CC BY­NC­SA, https://secure.flickr.com/photos/jaft/39022643/

Biometrik.

 
Ethical Hacking and Countermeas...
Secure­ID/”token”

 

Paul, CC BY­NC, https://secure.flickr.com/photos/imager/2153443936/
Yubikey.

 
Warfieldian, CC BY­SA 3.0, https://en.wikipedia.org/wiki/File:YubiKey.jpg
One-Time Password?

 
EZ430­Chronos
http://processors.wiki.ti.com/index.php/EZ430­Chronos

 
Ethical Hacking and Countermeasures  (PAI 083213) ­...
Perengkahan Kata Sandi (1)
●

Manual
●

●

●

●

●

Mendapatkan nama pengguna.
Membuat daftar kata sandi yang mungkin berd...
 
http://openwall.com/john/
Ophcrack
http://ophcrack.sourceforge.net/

 
Nick Parkin, CC BY­ND, https://secure.flickr.com/photos/nick_parkin_photograp...
Perengkahan Kata Sandi (2)
●

Berkas nama pengguna dan kata sandi:
●

●

●

Windows: berkas SAM di C:Windowssystem32config...
B

A

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
B

A

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
B

A

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
A

MiTM

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

B
A

MiTM

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

B
A

MiTM

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

B
Penanggulangan Perengkahan
●

Membuat kata sandi yang kuat dengan 8­12 kombinasi karakter alfanumerik.

●

Mereset kata sa...
Keylogger dan
Alat Pengintai

 
Berbasis perangkat keras
atau perangkat lunak.

 
aziem hassan, CC BY­NC­SA, https://secure.flickr.com/photos/wickedboy007...
Jahat.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Penanggulangan Keylogger
●

Pasang antivirus dan mutakhirkan secara 
berkala.

●

Pasang IDS berbasis host.

●

Amankan ko...
Meningkatkan
Hak Akses

 
Setelah mendapatkan akses pengguna,
umumnya peretas ingin memiliki akses
yang lebih tinggi.

 
Ethical Hacking and Counter...
Dari pengguna biasa ke administrator (root).

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik I...
Setelah mendapatkan akses tertinggi,
peretas akan menjalankan program,
memasang backdoor, menyalin berkas,
atau bahkan mer...
Serangan buffer overflow: mengeksploitasi
kelemahan program dengan menulis data
yang melebihi ukuran buffer.

 
Ethical Ha...
Ahnode, 2009.

 

Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Rootkit

 
Rootkit: kit/paket berisi kumpulan program atau
skrip yang digunakan setelah peretas mendapatkan akses tertinggi pada sist...
Tipe Rootkit
●

Tingkat kernel: menambahkan kode atau mengganti 
sebagian kode kernel dengan kode modifikasi untuk 
menyem...
Penanggulangan Rootkit
●

●

●

Membuat checksum semua berkas yang ada di 
sistem.
Pasang program pemantau integritas sist...
Menyembunyikan Berkas

 
attrib +h [berkas/direktori]

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unso...
mv berkas .berkas

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Menempatkan berkas pada
direktori yang paling dalam.

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi ...
lsof

 
Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
Steganografi.
(teknik menyembunyikan informasi dalam berkas seperti gambar)

 
Ethical Hacking and Countermeasures  (PAI 0...
Menutupi Jejak dan
Menghapus Bukti

 
Menutupi Jejak
●

●

●

●

Mematikan layanan audit sistem dan 
menghapus catatan/log­nya.
Memodifikasi atau menghapus seja...
Daftar Bacaan
●

●

EC­Council. 2008. Module VII: System Hacking, 
Ethical Hacking and Countermeasures Version 
6
Graves, ...
Upcoming SlideShare
Loading in …5
×

Peretasan Sistem

529 views

Published on

Materi kuliah Ethical Hacking tahun ajaran 2011/2012.

Saya diminta mengajar mata kuliah ini di program studi Teknik Informatika[1], Unsoed. Tadinya saya menempatkan diri sebagai "ban serep" saja, ternyata memang tidak ada yang "berani".

Jadi, akhirnya saya mengajar dengan riang gembira, membaca buku serta menuliskan dan menceritakan sedikit pengalaman saya di dunia keamanan.

[1] Program studi "rumah" saya adalah Teknik Elektro.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Peretasan Sistem

  1. 1. Peretasan Sistem Ethical Hacking and Countermeasures (PAI 083213) Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id> Tahun Ajaran 2011/2012
  2. 2. Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  3. 3. Graves, K. 2010. CEH: Certified Ethical Hacker Study Guide   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  4. 4. Kata Sandi (password)  
  5. 5. Kata Sandi (1) ● ● ● Banyak aksi peretasan/hacking dan perengkahan atau  cracking berawal dari akses ke sistem target melalui kata  sandi seorang pengguna. Kata sandi digunakan sebagai informasi kunci untuk  mengakses sistem. Umumnya pengguna (awam) memilih kata sandi yang  mudah ditebak. ● ● Kombinasi nama orang, binatang peliharaan, nomor kendaraan  bermotor, tanggal lahir, dan hal­hal lain yang mudah diingat. Ingat, manusia adalah bagian terlemah dalam sebuah sistem  keamanan.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  6. 6. Kata Sandi (2) ● ● ● Informasi dari tahap pengintaian dan penjejakan dapat  digunakan untuk menebak kata sandi yang digunakan  oleh pengguna. Setelah kata sandi dapat ditebak, seorang peretas dapat  menjalankan proses selanjutnya yaitu peningkatan hak  akses, menjalankan program, menyembunyikan berkas,  dan menutupi jejak. Jika kata sandi tidak berhasil ditebak, digunakan cara  perengkahan kata sandi secara manual atau otomatis.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  7. 7. Karakter Pembangun Kata Sandi ● Hanya huruf saja. ● Hanya nomor saja. ● Hanya karakter khusus saja. ● Huruf dan nomor. ● Hanya huruf dan karakter khusus. ● Hanya nomor dan karakter khusus. ● Huruf, nomor, dan karakter khusus.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  8. 8. Aturan Membuat Kata Sandi ● ● ● ● Tidak berisi nama akun pengguna atau  kombinasinya. Minimal 8 karakter. Semakin panjang semakin  bagus. Harus berisi karakter simbol alfanumerik,  nomor, huruf besar dan huruf kecil. Tidak menggunakan informasi yang mudah  ditebak.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  9. 9. Tipe Serangan Kata Sandi (1) ● Pasif Daring (passive­online) ● ● ● Pengendusan: “menguping” melalui media kabel atau  nirkabel; relatif tidak terdeteksi; kata sandi didapatkan saat  terjadi proses otentifikasi; program: tcpdump; jika kata sandi  yang didapatkan dalam bentuk hash atau terenkripsi,  dibutuhkan perkakas khusus untuk membongkarnya. Man in The Middle (MiTM): peretas dapat mengakses kanal  komunikasi, kemudian menerima permintaan otentifikasi dan  meneruskannya ke peladen sebenarnya. Serangan Replay: peretas menangkap paket otentifikasi yang  akan digunakan saat peretas melakukan otentifikasi langsung  dengan peladen.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  10. 10. Tipe Serangan Kata Sandi (2) ● Aktif Daring (active­online) ● ● ● ● Menebak kata sandi administrator secara manual dan berharap kata  sandinya sederhana atau lemah ;­) Nama pengguna atau kata sandi yang umum: admin, administrator,  sysadmin, password, atau tanpa kata sandi. Relatif mudah terdeteksi. Sistem umumnya membatasi percobaan  masuk atau login, dan memberikan jeda atau mengunci sesi pada  sekian kali percobaan. Membutuhkan waktu. Cara otomatis yaitu dengan menggunakan  skrip shell dan kamus kata­kata yang mungkin dipakai.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  11. 11. Tipe Serangan Kata Sandi (3) ● Luring (offline) ● ● ● ● Tidak dilakukan langsung pada sistem target. Menggunakan algoritma yang dipakai dalam proses otentifikasi  sistem target dan basis data kamus/informasi yang relevan. Menyalin berkas kata sandi terlebih dulu dan merengkahnya di  komputer lokal. Perlu akses ke media penyimpan. Serangan: – kamus: percobaan daftar kata­kata dari berkas kamus. – hibrid: seperti serangan dengan berkas kamus, ditambah dengan  penggantian karakter dengan angka atau simbol. – brute­force: percobaan semua kombinasi kemungkinan huruf  besar/kecil, angka, dan karakter khusus. Komputasi terdistribusi/paralel.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  12. 12. https://en.wikipedia.org/wiki/File:Transistor_Count_and_Moore%27s_Law_­_2011.svg   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  13. 13. Tipe Serangan Kata Sandi (4) ● Non­elektronik ● ● ● ● Tidak membutuhkan kemampuan teknis. Contoh:  mengintip, rekayasa sosial, ubek­ubek tempat sampah. Rekayasa sosial dengan memanfaatkan psikologi manusia. Dukungan bantuan/helpdesk dan dukungan teknis dapat  membantu proses peretasan. Dibutuhkan kesadaran tentang keamanan – Perlu diadakan pelatihan keamanan – Pembuatan prosedur dan kebijakan keamanan seperti prosedur  reset kata sandi, kehilangan kartu akses, dll.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  14. 14. Bagaimana penanggulangan terhadap “tebak-tebakan” kata sandi?  
  15. 15. *-factor auth.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  16. 16. two-factor auth.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  17. 17. Kartu Pintar.   Mariusz Chilmon, CC BY­NC­ND, https://secure.flickr.com/photos/vmario/537643336/
  18. 18. Peter Raymond, CC BY­NC­SA, https://secure.flickr.com/photos/jaft/39022643/ Biometrik.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  19. 19. Secure­ID/”token”   Paul, CC BY­NC, https://secure.flickr.com/photos/imager/2153443936/
  20. 20. Yubikey.   Warfieldian, CC BY­SA 3.0, https://en.wikipedia.org/wiki/File:YubiKey.jpg
  21. 21. One-Time Password?  
  22. 22. EZ430­Chronos http://processors.wiki.ti.com/index.php/EZ430­Chronos   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  23. 23. Perengkahan Kata Sandi (1) ● Manual ● ● ● ● ● Mendapatkan nama pengguna. Membuat daftar kata sandi yang mungkin berdasarkan informasi dari  tahap pengintaian dan penjejakan. Mengurutkan prioritas kemungkinan kata sandi. Memasukkan satu per satu kemungkinan kata sandi sampai berhasil.  Menggunakan skrip agar lebih mudah. Otomatis ● ● Mendapatkan berkas kata sandi pada sistem target dan menjalankan  program untuk merengkahnya. Umumnya kata sandi dalam bentuk hash dari hasil algoritma enkripsi  one­way. Yang dibandingkan adalah hasil hash­nya.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  24. 24.   http://openwall.com/john/
  25. 25. Ophcrack http://ophcrack.sourceforge.net/   Nick Parkin, CC BY­ND, https://secure.flickr.com/photos/nick_parkin_photography/5175210165/
  26. 26. Perengkahan Kata Sandi (2) ● Berkas nama pengguna dan kata sandi: ● ● ● Windows: berkas SAM di C:Windowssystem32config. Unix* dan Linux: /etc/passwd dan /etc/shadow. Windows 2000 menggunakan NT LAN Manager (NTLM) hash untuk  melindungi kata sandi yang digunakan dalam jaringan. ● Kata sandi dikonversi ke huruf besar. ● Ditambahkan karakter null/kosong pada kata sandi. ● Sebelum dienkripsi, kata sandi dibagi menjadi 2 bagian. ● Masing­masing bagian dienkripsi. ● Tabel pelangi atau rainbow table: tabel berisi (precomputed) hash. ● Kata sandi bawaan perangkat keras atau perangkat lunak. ● Sistem Live: Live­CD dan Live­USB.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  27. 27. B A   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  28. 28. B A   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  29. 29. B A   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  30. 30. A MiTM   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed B
  31. 31. A MiTM   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed B
  32. 32. A MiTM   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed B
  33. 33. Penanggulangan Perengkahan ● Membuat kata sandi yang kuat dengan 8­12 kombinasi karakter alfanumerik. ● Mereset kata sandi default/bawaan. ● ● Tidak menggunakan kata­kata yang mudah didapatkan di kamus dan  berhubungan dengan nama sumber daya yang ada di dalam jaringan. Jika susah mengingat kata sandi, buatlah dengan kalimat “cerita” yang mudah  diingat. ● Pengubahan kata sandi secara berkala, misal 1 bulan sekali. ● Melindungi sistem dari akses fisik. ● Membuat arsitektur sistem dan jaringan yang aman. ● Melindungi berkas yang berisi informasi nama pengguna dan kata sandi. ● Memantau catatan/log sistem.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  34. 34. Keylogger dan Alat Pengintai  
  35. 35. Berbasis perangkat keras atau perangkat lunak.   aziem hassan, CC BY­NC­SA, https://secure.flickr.com/photos/wickedboy007/2422370974/
  36. 36. Jahat.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  37. 37. Penanggulangan Keylogger ● Pasang antivirus dan mutakhirkan secara  berkala. ● Pasang IDS berbasis host. ● Amankan komputer secara fisik. ● Memeriksa secara berkala fisik perangkat keras  khususnya papan ketik.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  38. 38. Meningkatkan Hak Akses  
  39. 39. Setelah mendapatkan akses pengguna, umumnya peretas ingin memiliki akses yang lebih tinggi.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  40. 40. Dari pengguna biasa ke administrator (root).   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  41. 41. Setelah mendapatkan akses tertinggi, peretas akan menjalankan program, memasang backdoor, menyalin berkas, atau bahkan merusak (jahat, cracker).   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  42. 42. Serangan buffer overflow: mengeksploitasi kelemahan program dengan menulis data yang melebihi ukuran buffer.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  43. 43. Ahnode, 2009.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  44. 44. Rootkit  
  45. 45. Rootkit: kit/paket berisi kumpulan program atau skrip yang digunakan setelah peretas mendapatkan akses tertinggi pada sistem target. (umumnya untuk menyembunyikan backdoor)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  46. 46. Tipe Rootkit ● Tingkat kernel: menambahkan kode atau mengganti  sebagian kode kernel dengan kode modifikasi untuk  menyembunyikan backdoor. ● ● ● ● Umumnya berbentuk modul kernel penggerak/driver perangkat  keras atau layanan tertentu di dalam kernel. Relatif sulit untuk dideteksi. Tingkat pustaka: menambal atau menambah kode hook,  atau menggantikan system call untuk menyembunyikan  informasi/backdoor. Tingkat aplikasi: mengganti program aplikasi yang umum  ada di sistem target dan mengubah perilakunya.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  47. 47. Penanggulangan Rootkit ● ● ● Membuat checksum semua berkas yang ada di  sistem. Pasang program pemantau integritas sistem  berkas seperti Tripwire dan Integrit. Jika rootkit sudah terpasang, cara terakhir  adalah backup data penting dan instal ulang ;­)  (agar sistem bersih).   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  48. 48. Menyembunyikan Berkas  
  49. 49. attrib +h [berkas/direktori]   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  50. 50. mv berkas .berkas   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  51. 51. Menempatkan berkas pada direktori yang paling dalam.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  52. 52. lsof   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  53. 53. Steganografi. (teknik menyembunyikan informasi dalam berkas seperti gambar)   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  54. 54. Menutupi Jejak dan Menghapus Bukti  
  55. 55. Menutupi Jejak ● ● ● ● Mematikan layanan audit sistem dan  menghapus catatan/log­nya. Memodifikasi atau menghapus sejarah perintah  yang sudah dilakukan. Memodifikasi atau menghapus pesan galat atau  peringatan keamanan. Banyak perkakas tersedia di luar sana.   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed
  56. 56. Daftar Bacaan ● ● EC­Council. 2008. Module VII: System Hacking,  Ethical Hacking and Countermeasures Version  6 Graves, K. 2010. CEH: Certified Ethical Hacker  Study Guide, Sybex   Ethical Hacking and Countermeasures  (PAI 083213) ­ Program Studi Teknik Informatika, Unsoed

×