Pengenalan Terhadap Web Security

Rama Zeta

chandra@ramazeta.com

Latar Belakang

• Website sekarang adalah sebuah kebutuhan untuk memasarkan produk atau mengenalkan suatu hal pada dunia melalui internet . Mulai dari perusahaan, instansi, badan, lembaga, maupun perseorangan mempunyai website.

• Namun seiring dengan bertambahnya website ini , para developer web maupun admin web sendiri tidak begitu memperdulikansebuah informasi yang terdapat dalam website tersebut. Pada akhirnya kelalaian mengenai Security atau Keamanan pada webtersebut tidak diperhatikan

• Sehingga dapat di manfaatkan oleh tangan tangan kreatif maupun jahil untuk mengintip informasi tersebut

Sedikit Informasi Mengenai Internet Security

• Jakarta - Serangan Internet menimbulkan kerugian global berkisar US$ 300 miliar hingga US$ 1 triliun, atau sekitar Rp 2.800 triliun hingga Rp 9.600 triliun). Temuan ini adalah data yang dirilis dari riset gabungan antara perusahaan antivirus McAfee dan Center for Strategic and International Studies.

• "Mengkalkulasi secara akurat agak sulit karena sejumlah perusahaan cenderung menyembunyikan kerugian yang diderita," demikian tertulis pada laporan yang dikutip CNET pada Selasa, 23 Juli 2013. "Lainnya malah tidak tahu berapa kerugian yang mereka alami."

• Jenis kerugian itu terdiri dari hak kekayaan intelektual, kejahatan internet, hilangnya informasi bisnis, gangguan layanan, munculnya biaya tambahan pengamanan, dan rusaknya reputasi perusahaan.

• Untuk memberikan gambaran, laporan ini juga membandingkan kerugian dari kejahatan internet ini dengan kerugian di sektor lain seperti transprortasi.

Dampak Dari Hacking

• Hacker dapat Mengontrol PC atau Server anda yang akan digunakan sebagai Bots

• Hacker dapat Merusak informasi atau data penting di website anda bahkan menghapusnya

• Hacker dapat Menggunakan email anda untuk kegiatan spamming , atau reset password akun akun penting anda seperti : Facebook , Twitter , bahkan Online Banking

• Hacker dapat Mencuri dan Menggunakan data seperti: Credit Card, Business Data , Business Account , dll .

Dan Siapakah Itu HACKER ?

• Hacker adalah seseorang yang memiliki pengetahuan komputer sangat hebat, dan juga bisa membuat dan meng-eksplorasi sebuah aplikasi pada komputer tersebut agar menjadi lebih baik lagi.

• Pengetahuannya bisa juga menjadi sangat bermanfaat namun juga bisa membahayakan dirinya jika mereka menggunakannya untuk hal hal illegal.

• Kadang , bagi seorang hacker . Hacking adalah sebuah hobby untuk melihat seberapa banyak yang telah di lumpuhkan dengan kemampuannya

Hacker Classes

• Dikutip dari Certified Ethical Hacking v7, Kelompok hackerdigolongkan menjadi 4, yaitu :• Black Hat Hacker : Individual dengan Skill Komputer yang luar biasa. Lebih

menjurus ke aktivitas malicious dan perusakan dan juga bisa dibilang sama dengan CRACKERS

• White Hat Hacker : Individual professional hacker, mereka menggunakan skillnya untuk kegiatan defensive dan juga biasa disebut dengan SecurityAnalyst

• Gray Hat Hacker : Individual hacker yang bekerja antara Offensive dan Defensive pada saat saat tertentu

• Suicide Hacker : Individual hacker yang menargetkan infrastructure penting seperti pemerintahan untuk beberapa alasan dan tidak memikirkan tentang akibat dari perbuatannya. Seperti di penjara

Bagaimana Menjadi Seorang Hacker ???

• Mungkin bagi beberapa orang hacker adalah orang yang jahat yang suka mencuri dan mengambil ataupun merusak data data penting di dunia maya.

• Namun tidak sedikit pula yang menganggap hacker itu keren, Banyak yang ingin menjadi hacker. Mulai dari tingkat Sekolah Menengah Pertama sampai Yang berkeluarga.

• Sebenarnya basic dari hacking itu sendiri adalah anda harus mengerti programming , Minimal HTML, JS, PHP, MySQL.

• Karena ketika anda belajar untuk memahami tekhnikhacking, maka akan menyangkut tentang bahasa pemrogramman diatas.

• Dan yang paling penting adalah tekad anda untuk belajar dan terus belajar. Try try and try, Tidak hanya dengan materi tapi anda harus mencobanya secara langsung.

Hacking Phases

Reconnaissance (Gathering Information)

• Yaitu tahap seorang Hacker dalam mengumpulkan data sebanyak banyaknya tentang Target/Sasaran. Data apa saja yang diperlukan, baik dari tanggal lahir, nomor rumah, nama istri atau suami atau anak, hobi, plat kendaraan, dll.Reconnaissance dibagi menjadi 2, yaitu Active Reconnaissance dan Passive Reconnaissance. Active Reconnaissance adalah pengumpulan data dengan cara bertatap muka langsung atau berhubungan langsung dengan Target/Sasaran, sedangkan PassiveReconnaissance adalah menggunakan media informasi seperti berita, internet, dll.

Scanning

• Scanning adalah Tahap dimana hacker mulai melakukan serangan. Dalam tahap scanning ini, hacker akan mencari kelemahan pada target/korban. Metode ini biasanya menggunakan Tools Tools, namun tidak menutup kemungkinan metode ini dilakukan dengan cara manual, intinya metode scanning ini dilakukan untuk mencari kelemahan pada Target/Sasaran.

Gaining Access

• Dalam tahapan Gaining Access, hacker akan melakukan penentrasi kedalam komputer/system target. Tentunya ini dilakukan setelah mendapatkan informasi kelemahan pada Target/Sasaran pada tahap Scanning. Pada tahap ini, hacker biasanya menggunakan Tools untuk penentrasiatau ada juga yang melakukannya dengan cara manual.

Maintaining Access

• Setelah mendapatkan akses ke komputer/system target, biasanya Hacker ingin tetap menguasai komputer/systemtarget. Misalkan ketika sang Administrator mengganti semua password user, sang Hacker tidak ingin kehilangan kontrol dengan menanam backdoor, rootkit, trojan, dan lain lain untuk tetap mempertahankan kontrolnya pada Target/Sasaran.

Covering Tracks

• Hukuman kepada pelaku kejahatan dunia maya memiliki hukum yang jelas, oleh karena itu seorang Hacker tidak ingin dimasukkan kedalam penjara karena perbuatannya. Pada tahap ini, seorang Hacker harus menghapus jejaknya sehingga aktivitasnya tidak diketahui dan juga keberadaannya tidak dapat dilacak dengan mudah. Salah satu yang harus dilakukan untuk menghapus jejak adalah dengan menghapus Log File.

Jenis Serangan Hacker pada Sisi Web

• DOS

• LFI

• RFI

• SQL INJECTION

• FILE UPLOAD

• FULL PATH DISCLOSOURE

• SESSION HIJACKING

• BYPASSING

• Etc,

Cara Meminimalisir Tindakan Hacking

Sebagai User

• GunakanFirewall, Antivirus, Anti Trojan, Good Backup Facility dsb

• PenggunaanPassword / pass phrase yang baik

• Berhatihatiterhadapsemuatawaran‘menggiurkan’ (Social Engineering) , attachment/program

• Penggunaanfasilitassecarahatihati(warnet; public internet café)

• PenggunaanSecure login/Secure connection (https ; ssh)

• Update informasi Secara berkala

Sebagai Developer

• Secure Programming

• Gunakan input validation

• Gunakan enkripsi untuk authentikasi atau proses lain yang di anggap perlu

• Matikan error_log (Kecuali saat development)

• Sesuai kebutuhan dan kemampuan

• Update informasi umum secara berkala dan terus lakukan updatepada program anda

Sebagai Admin

• Setting Optimal pada Environtment dan Configurasi Server

• Batasi Fungsi yang bisa berinteraksi dengan system environtment

• Update patch terbaru untuk application

• Selalu update informasi

• Dan tetap waspada

Sekian dan Terima kasih

Tentang Penulis

• Nama : Chandra Rama Zeta Pamungkas

• Asal : Surabaya

• Email : chandra@ramazeta.com

• Facebook : http://facebook.com/chandramazeta

• Twitter : @Zeattacker

Thanks To

• Allah

• Surabaya Blackhat

• Echo.or.id

• Kecoak.or.id

• Devilzc0de

• SEAMOLEC

• All of my friends

• My Family