Secangkir kopi untukmu, Sahabatku.

Sebuah kisah, yang membuat hati ini teringat dengan doa robithoh (ikatan hati). Lagu andalan kelompok Nasyid kami saat di SMA dahulu. Selalu awal kunyanyikan, selalu mengundang perhatian banyak orang, membuat pendengar menundukkan pandangan, merenungi isi dari doa robithoh tersebut...

Inilah syairnya :

Sesungguhnya Engkau tahu,

Bahwa hati ini telah berpadu,

Berhimpun dalam naungan cintaMu,

Bertemu dalam ketaatan,

Bersatu dalam perjuangan,

Menegakkan syariat dalam kehidupan

Kuatkanlah ikatanNya,

Kekalkanlah cintaNya,

Tunjukilah jalan-jalanNya,

Terangilah dengan cahayaMu,

Yang tiada pernah padam,

Ya Robbi, bimbinglah kami...

Lapangkanlah dada kami,

Dengan karunia iman,

Dan indahnya tawakal padaMu,

Hidupkan dengan ma’rifatMu,

Matikan dalam syahid di jalanMu,

Engkaulah pelindung dan Pembela...

Mengingat memori indah saat dulu. J Lalu berlanjut pada kisah :

Seorang teman bercerita kepadaku,

“Subhanallah, tadi saya minum kopi, mantap banget rasanya... J, tahu ndak kenapa?”

Dalam benakku, berputarlah opini-opini tentang si kopi, dimana warung kopi itu, rasa kopinya pasti mantap, atau karena merknya yang sudah terkenal dan mahal, atau mungkin juga penyajiannya yang luar biasa, dengan aroma sentuhan timur tengah mungkin, ehem...jangan-jangan karena keramahan penjualnya.

Kemudian, aku menjawab,

“pasti karena tempatnya ya? Dimana sih? Atau karena rasa dan merk kopinya? Atau karena keramahan penjualnya, atau kopinya disajikan dengan cara yang menarik?”

Temanku menjawab,

“bukan karena itu semua, brian... Rasa kopinya biasa saja, tidak bermerk. Harganya hanya seribu rupiah satu gelasnya. Tempatnya pun hanya gubug reot dari anyaman bambu. Kalau ditanya penjualnya siapa, ia hanya seorang nenek tua yang sudah lanjut, bahkan sapaannya pun hampir aku tiada mendengarnya.

Brian... Kopi itu terasa nikmat, karena ada sahabatku yang datang membersamaiku menyeduh segelas kopi, ia adalah sahabat kecilku, yang kini telah merantau di negeri orang. Namun, sekarang, ia menyempatkan waktu berjumpa dengan ku.”

Sahabatku yang disayangi Allah,

Terkadang kita mengukur kabahagiaan dengan tolak ukur bendawi, harta, rumah, merk kopi uang kita minum (hehe), jam tangan bertuliskan merk dunia, lantas mengabaikan yang lainnya. Kebersamaan adalah kebahagiaan, ia yang membuat kita kuat dan teguh dalam menjalani kehidupan. Sahabat adalah mereka yang mengobati di kala sayatan melukai batin kita, saat hujan ujian menimpa diri kita, saat iman berjalan gontai hampir ambruk, sahabatlah yang akan menguatkan kita.

Sesungguhnya manusia diciptakan oleh Allah untuk saling mengenal, saling memahami, bertasamuh dan saling membantu. Kehidupan ini begitu singkat, yuk kita upayakan dengan sebaik-baiknya.

Terimakasih kepada sosok yang memberiku inspirasi, menjadikan tulisan ini tertata rapi, yah, sebuah tulisan yang lahir dari ruang kuliahnya, selalu memberikan hal baru dalam hidupku, menjadikan berharga untuk ditulis dan disampaikan. Balighu ‘anni walau ayah.

OWASP, Vulnerability and Cybercrime Case

OWASP

OWASP is The Open Web Application Security Project adalah sebuah komunitas terbuka yang bertujuan untuk memberdayakan organisasi mengambangkan, membeli dan memelihara aplikasi yang dapat dipercaya keamanannya.

OWASP melakukan pendekatan dengan mendefinisikan keamanan aplikasi sebagai manusia, proses dan teknologi (people, process and technology), karena perbaikan pada ranah tersebut dapat meningkatkan efektivitas keamanan aplikasi.

Tujuan OWASP dengan ASVS nya (Proyek Standard Verifikasi Keamanan Aplikasi OWASP) adalah menormalkan rentang cakupan dan tingkat kerentanan yang tersedia di pasar soal verifikasi aplikasi web menggunakan standar terbuka yang tetap bisa diterapkan secara komersial. Standar ini memberikan dasar pengujian aplikasi secara teknis.

OWASP ASVS mendefinisikan persyaratan verifikasi dan dokumentasi dikelompokkan berdasarkan cakupan yang terkait dan tingkat vulnerabilitynya.

Level Verifikasi Keamanan Aplikasi OWASP

• Level 1 Verifikasi Otomatis
• Level 2 Verifikasi Manual
• Level 3 Verifikasi Desain
• Level 4 Verifikasi Internal

Persyaratan Verifikasi Terperinci OWASP

• Persyaratan Dokumentasi Arsitektur Keamanan
• Persyaratan Verifikasi Otentifikasi
• Persyaratan Verifikasi Manajemen Sesi
• Persyaratan Verifikasi Kontrol Akses
• Persyaratan Verifikasi Validasi Input
• Persyaratan Verifikasi Pengkodean Keluaran
• Persyaratan Verifikasi Kriptografi
• Persyaratan Verifikasi Penanganan dan Pencatatan Error
• Persyaratan Verifikasi Proteksi Data
• Persyaratan Verifikasi Keamanan Komunikasi
• Persyaratan Verifikasi Keamanan HTTP
• Persyaratan Verifikasi Konfigurasi Keamanan
• Persyaratan Verifikasi Pencarian Kode Berbahaya
• Persyaratan Verifikasi Keamanan Internal

VULNERABILITY

• Cross-Site Scripting adalah suatu metode untuk mengeksploitasi sistem.
• SQL Injection adalah salah satu cara menscanning kelemahan web dengan memasukkan script php.
• Denial of Service adalah suatu kondisi dimana sistem dibanjiri oleh request yang menyebabkan server down.
• Local File Inclusion adalah kelemahan aplikasi web yang menyebabkan attacker dapat mengeksploitasi engine yang digunakan, atau Web Server dengan mengakses direktori dan mengeksekusi command di luar root web server.
• Remote File Inclusion, bila Local File Inclusion dilakukan secara lokal dari web server tersebut, maka remote dilakukan dengan meremote menyisipkan script php dari luar ke dalam sistem.

Cybercrime Case

Website for Tour Company Citysights NY hit by Hackers menggunakan SQL injection.

Hackers telah menghancurkan website Perusahaan Wisata CitySights NY New York dan mencuri kurang lebih 110.000 nomor rekening bank.

Mereka (hacker) membobol menggunakan serangan SQL Injection atas Web Server perusahaan tersebut (disampaikan pada tanggal 9 Desember).

Perusahaan mempelajari kasus ini pada akhir oktober, saat programmer menemukan script yang tidak sah terupload di Web Server dan dicurigai membahayakan keamanan database server.

CitySight NY meyakini, bahwa serangan SQL Injection lah yang terjadi pada tanggal 26 September. Dalam SQL Injection, hacker menemukan cara untuk menyelinap masuk dengan perintah-perintah masuk ke dalam server menggunakan Web. Mereka melakukan ini dengan memasukkan script ke form atau kotak yang digunakan untuk mengquery database.

Pada kasus CitySight Ny ini, hacker mendapatkan nama, alamat, alamat email, nomor kartu kredit dan tanggal kadaluarsanya, sekaligus kartu verifikasi nilai 2 kode untuk memvalidasi kredit jual beli secara online.

Sumber Referensi :

http://www.owasp.org

http://ceh.vn

Security Attack, Cryptography, and The Art of War Sun Tzu

Soal 1

Security Attack adalah segala bentuk pola, cara, metode yang dapat menimbulkan gangguan terhadap suatu sistem komputer maupun jaringan.

Jenis Serangan dan Contohnya

1. Interuption (interupsi)

Suatu aset sistem dihancurkan, sehingga tidak lagi tersedia atau tidak lagi bisa digunakan.

Contoh :

a.    Perusakan suatu item hardware

b.    Pemutusan jalur komunikasi

c.    Disable suatu sistem manajemen file

2. Interception (Pengalihan)

Pengaksesan aset informasi oleh orang yang tidak berhak (misalkan terhadap program atau komputer)

Contoh :

a.    Pencurian data pengguna kartu kredit

b.    Penyadapan (wiretapping)

3. Modification (Pengubahan)

Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah aset informasi.

Contoh :

a.    Mengubah isi dan website dengan pesan-pesan yang merugikan pemilik website.

4. Fabrication (produksi-pemalsuan)

Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.

Contoh :

a.    Memasukkan pesan-pesan palsu seperti email palsu ke dalam jaringan komputer

Soal 2

Kriptografi dan Algoritmanya

a.     Dalam Kamus Besar Bahasa Indonesia, Kriptografi adalah teknik yang mengubah data menjadi berbeda dari aslinya dengan menggunakan algoritma matematika sehingga orang yang tidak mengetahui kuncinya tidak akan dapat membongkar data tersebut.

b.     Sedangkan menurut Bruce Scheiner dalam bukunya “Applied Cryptography”, Kriptografi adalah ilmu pengetahuan dan seni menjaga pesan-pesan agar tetap aman (secure).

c.      William Stalling mengatakan Kriptography merupakan cabang dari kriprografi yang berkaitan dengan desain algoritma untuk proses enkripsi dan dekripsi, bertujuan untuk menjamin kerahasiaan dan keaslian pesan.

Algoritma Kriptografi

Advanced Encryption Standard (AES) merupakan algoritma kriptografi  simetrik yang dapat digunkan untuk mengamakan data . Algoritma AES adalah blok chipertext simetrik yang dapat mengenkripsi (encipher) dan dekripsi (decipher) informasi. Enkripsi merubah data yang tidak dapat lagi dibaca disebut ciphertext; sebaliknya dekripsi adalah merubah ciphertext data menjadi bentuk semula yang kita kenal sebagai plaintext. Algoritma AES is mengunakan kunci kriptografi 128, 192, dan 256 bits untuk mengenkrip dan dekrip data pada blok 128 bits.

Soal 3

Point Penting The Art of War Sun Tzu

Buku ini merupakan buku filsafat militer yang diperkirakan ditulis pada abad ke 6 Masehi oleh Sun Tzu (namun masih diperdebatkan oleh ahli sejarah). Isi dari buku ini adalah kompilasi strategi dan berbagai metode perang. Yang dikemudian hari diadopsi oleh dunia Information and Technology sebagai kiblat Security Attack yang masyhur di dunia.

Kutipan-Kutipan Menarik dalam The Art of War Sun Tzu

1. Selalu bersiap diri menghalau serangan musuh. Tidak menunggu musuh menyerang, tapi bersiap untuk selalu diserang.
2. 故曰：知彼知己，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必敗

Jadi di sini dikatakan: Ia yang mengenal pihak lain (musuh) dan mengenal dirinya sendiri, tidak akan dikalahkan dalam seratus pertempuran. Ia yang tidak mengenal pihak lain (musuh) tetapi mengenal dirinya sendiri memiliki suatu peluang yang seimbang untuk menang atau kalah. Ia yang tidak mengenal pihak lain (musuh) dan dirinya sendiri cenderung kalah dalam setiap pertempuran.

3. 知己知彼, 百戰百勝

Jika Anda mengenal diri dan musuh Anda, Anda tidak akan kalah dalam seratus pertempuran

4. （是故）百戰百勝，非善之善者也；不戰而屈人之兵，善之善者也

(Jadi) bertempur dalam seratus pertempuran dan memenangkan seratus kemenangan bukanlah suatu cerminan strategi yang paling hebat. Kemampuan untuk mengalahkan musuh tanpa pertempuran sama sekali adalah cerminan strategi yang paling hebat.

Pelaksanaan perang adalah masalah yang sangat penting bagi bangsa.

Daftar Pustaka

Pratama, Richard, 2010, 108 Taktik Menjalani Hidup Ala Sun Tzu, Yogyakarta : Wahana Totalita Publisher. Stalling, William, 2005, Cryptography and Network Security Principles and Practices, New Jersey  : Prentice Hall

http://id.wikipedia.org/wiki/Sun_Zi_Bingfa (Akses 24 September 2012, 5:43 am)

http://weli14.wordpress.com/tag/fabrication/ Akses 24 September 2012, 04:03 am)

Tahapan dan Serangan Dalam Jaringan Komputer : Hacking Activity

Computer Security : Hacking Activity

Tahapan System Hacking

        Gambar Tahapan Hacking

Footprinting

Melakukan pencarian sistem yang dapat dijadikan sasaran, mengumpulkan informasi terkait sistem sasaran dengan memakai search engine, whois, dan DNS zone transfer.

Scanning

Mencari pintu masuk yang paling mungkin dari sistem sasaran yang sudah ditetapkan. Hal ini dapat dilakukan dengan ping sweep dan port scan.

Enumeration

Melakukan telaah intensif terhadap sistem sasaran dengan mencari user account yang sah, sumber daya jaringan dan sharing-nya serta aplikasi yang dipakai, sehingga diketahui titik lemah dari proteksi yang ada.

Gaining Access

Berusaha mendapatkan data lebih banyak lagi untuk mulai mengakses sistem sasaran. Hal ini dilakukan dengan cara mengintip dan merampas password, menebak password serta melakukan BufferOverflow.

Escalating Privilege

Setelah berhasil masuk ke sistem sasaran, dilakukan usaha untuk mendapatkan privilege tertinggi (administrator atau root) sistem dengan cara password cracking atau exploit memakai get admin, sechole atau lc_messages.

Pilfering

Melakukan pengumpulan informasi lagi untuk mengidentifikasi mekanisme akses ke trusted sistem, mencakup evaluasi trust dan pencarian cleartext password di registry, config file dan user data.

Covering Tracks

Setelah kontrol penuh terhadap sistem diperoleh, usaha untuk menutup atau menghilangkan jejak menjadi prioritas,  meliputi pembersihan network log dan penggunaan hide tool seperti macam– macam root kit dan file streaming.

Creating Backdoors

Membuat pintu belakang pada berbagai bagian dari sistem, yang dapat dipakai untuk masuk kembali ke sistem secara mudah dan tidak terdeteksi.

Denial of Service (DoS)

Bila semua usaha di atas gagal, penyerang dapat melumpuhkan layanan yang ada pada sistem sasaran sebagai usaha terakhir.

  

Serangan dan Pertahanan

Berikut ini akan dijelaskan beberapa serangan terhadap sebuah jaringan computer dan  langkah keamanan yang dapat dilakukan :

DOS/DDOS

Denial of Services dan Distributed denial of services adalah sebuah metode serangan dimana klien menyerang pihak server dengan terus menerus mengirim paket inisiasi sehingga server tidak dapat membuat koneksi.

SMURF ATTACK

Mekanismenya adalah penyerang akan mengirimkan paket ping permintaan  ke suatu host dan merubah alamatnya menjadi alamat  IP lain, sehingga host tersebut akan mengirim paket balasan  ke IP tsb.

Langkah pengamanan:

Micro-blocks. Ketika ada sebuah host menerima paket inisiasi, maka host akan mengalokasikan ruang memori yang sangat kecil, sehingga host tersebut bisa menerima koneksi lebih banyak.

PACKET SNIFFING

Packet Sniffing adalah sebuah metode serangan dengan cara mendengarkan semua trafik di jaringan, sehingga sebuah host bisa merubah konfigurasi dan memproses semua paket yang dikirimkan oleh host lainnya.

Langkah keamanan:

• Memeriksakan apakah ada host di jaringan kita yang sedang dalam mode promiscuous,sehingga dapat melakukan sniffing

• Mempergunakan SSL (Secure Socket Layer) untuk mengamankan HTTP adalah metode enkripsi yang dikembangkan untuk memberikan keamanan di internet. SSL beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk data. SSL menjadi perantara antara pemakai dengan protokol HTTP dan menampilkan HTTPS kepada pemakai.

IP SPOOFING

Jenis serangan yang dengan penyamaran . Serangan ini dilakukan dengan cara mengubah alamat asal sebuah paket, sehingga dapat melewati perlindungan firewall dan menipu host penerima data.  Salah satu bentuk serangan yang memanfaatkan metode IP Spoofing adalah 'man-in-the-middleattack'. Pada serangan ini, penyerang akan berperan sebagai orang ditengah antara dua pihak yang sedang berkomunikasi dan akan  mengganti pesan

Langkah keamanan :

SSH mendukung otentikasi terhadap remote host, sehingga  meminimalkan spoofing. SSH menyediakan VPN .SSH memakai public-key cryptography untuk mengenkripsi komunikasi antara dua host, demikian pula untuk autentikasi pemakai. Untuk mengatasi serangan yang berdasarkan IP Spoofing, sebuah sistem operasi memberikan nomor paket secara acak ketika menjawab inisiasi koneksi dari sebuah host (scrambling). Penyerang akan kesulitan tansmisi  Konfigurasi firewall yang tepat  dapat meningkatkan kemampuan jaringan komputer dalam menghadapi IP Spoofing.

Contoh Tools hacking :

PORT SCANNER

melakukan scanning target untuk melihat port mana saja yang terbuka.

LANGUAGE INTERPRETER atau COMPILER

Melakukan kompilasi script dan program.

CGI VULN SCANNER

melakukan scanning untuk melihat celah keamanan cgi.

EXPLOIT

mencoba memperoleh akses sebagai superuser pada suatu sistem.

ROOTKIT

agar tetap hidden dan membuat 'backdoor' agar mudah mengakses sistem tersebut nantinya.

TROJAN

mendapatkan akses ke suatu sistem sekedar mengeksploitasi user yang lemah.

SNIFFER

Mengumpulkan data dari suatu jaringan komputer.

BRUTE FORCER

Mencoba berbagai kombinasi karakter hingga mendapatkan password yang sebenarnya.

WINGATE SCANNER

Scan terhadap ip dan memeriksa apakah ada WinGate yang terinstall

GDB

gnu debugger untuk mempelajari lebih dalam tentang bagaimana program tersebut bekerja.

GCC

gnu c compiler untuk kompilasi program C dan menjadikannya program tersebut lebih mudah dipahami dan digunakan.

Daftar Pustaka

Sularso, Anang. 2009. Computer Security. Bandung

http://norjik.blogspot.com

Maqoshidus Syar'iyah, Software Decision Support Systems

مقا صد الشريعة

Assalamu’alaikum W.W.

Sahabatku yang dirahmati Allah SWT, in this good opportunity, ada sesuatu yang hangat untuk diceritakan, ia bernama Maqoshidus Syar'iyah.

Sebagai prolog, kupetikkan cuplikan tanya jawab ringan di ruang kuliahku.

Saat itu, waktu menunjukkan pukul 07.30 WIB, perkuliahan sudah berjalan 30 menit. Seorang mahasiswa terlihat baru datang, sambil mengetuk pintu. Lantas, ada kalimat perintah menarik dan unik dari Bapak Dosen, “Mas, tolong segera tutup pintunya ya..., Tutup pintunya dari luar.” Sambil tersenyum menatap mahasiswa tersebut.

Menurutmu, apa yang diinginkan oleh Pak Dosen? Ia mempersilahkan masuk kepada mahasiswa tersebut, atau bahkan sebaliknya? Kalimat perintah dari Pak Dosen mengandung pesan, yang harus ditelaah dan diartikan oleh mahasiswa tersebut. Bila menutup pintu adalah sesuatu yang wajar setelah membukanya, maka selanjutnya yang menjadi fokus perhatian adalah kata tutup pintunya dari luar. Aneh! Tak seperti biasanya, dan memang itu sapaan usiran yang lembut dari Pak Dosen untuk mahasiswa tersebut.

Sahabatku,

Dalam berbagai hal, pasti terkandung maksud dan tujuan, misalnya kalimat perintah yang tersebut di atas. Ia punya maksud untuk tidak menerima kedatangan mahasiswa yang terlambat ke dalam kelasnya. Allah SWT memberikan dua hal kepada kita, yaitu perintah dan larangan. Maksud dari perintah tentunya adalah agar manusia mendapatkan kebaikan dari apa yang diperintahkan. Misalnya sholat, puasa, zakat dan sebagainya. Sedangkan Allah memberikan larangan kepada manusia bermaksud untuk menjaga, menyelamatkan manusia dari hal-hal yang tidak baik.

Allah SWT mensyariatkan kepada manusia untuk mendirikan sholat lima waktu, karena sholat dapat mencegah dari perbuatan keji dan munkar. Begitu juga dengan perintah puasa, ia mampu menumbuhkan empati sosial bahwa Allah memberikan rezeki kepada yang kaya untuk berbagi kepada saudara mereka. Ibadah Haji, mengajarkan persamaan derajat di hadapan Allah, kaya-miskin, tua-muda, hitam-putih, bangsawan-proletar, berjalan bersama thawaf terhadap ka’bah, memakai kain putih dengan pola yang sama, sebagai pemersatu umat islam.

Allah SWT melarang hambanya untuk mengumpat, hingga Allah mengibaratkannya sama dengan memakan bangkai saudara muslim sendiri. Mengapa, karena efek yang ditimbulkan akan berpengaruh negatif kepada saudara kita, objek umpatan, dan ataupun orang-orang yang ada disekelilingnya.

Sahabatku yang dirahmati Allah,

Maksud Allah memerintahkan sesuatu dan melarang atas sesuatu adalah menjaga umat muslim. Ada pesan yang ingin disampaikan Allah, pesan yang mampu menjaga kualitas kehidupan yang dijalani. Menurut Imam Syatibi, ada lima perkara yang ingin dijaga oleh islam dalam pondasi kehidupan, yaitu agama (الدين), jiwa(النفس), keturunan (kehormatan)(النسل), akal(العقل), dan harta(المال ).  Dan dengan tool/ software Maqoshidus Syar'iyah inilah, kita dapat menganalisis segala bentuk opsi/ masalah untuk mendukung keputusan tertentu yang kita ambil.

Maqoshidus Syar'iyah adalah tool dengan cara kerja :

Bila keputusan/ tindakan yang diambil dapat menjaga ataupun menguatkan lima perkara yang tersebut diatas (agama, jiwa, keturunan (kehormatan), akal, dan harta), maka lakukan tindakan itu. Namun bila yang terjadi sebaliknya, yaitu keputusan/ tindakan yang diambil dapat menurunkan atau merusak kualitas lima perkara tersebut, maka tinggalkanlah.

Ada sebuah case, seorang anak meminta ice cream kepada ayahnya. Apa yang harus dilakukan oleh sang ayah, membelikannya atau tidak. Maka menentukan tindakan/ keputusan dapat menggunakan Maqoshidus Syar'iyah sebagai alat bantu analisis.

Apabila ice cream itu dapat menjaga agama (الدين), jiwa(النفس), keturunan (kehormatan)(النسل), akal(العقل), dan harta(المال ), maka belikanlah. Jikalau tidak, maka jangan belikan. J Contoh yang unik. Tapi dalam hal ini, ice cream dapat mengganggu kesehatan si anak, jadi tidak membelikannya adalah keputusan yang harus diambil. Begitu saja, sangat sederhana. Segala macam permasalahan di dunia ini bermuara kepada lima perkara di atas.

Semoga bermanfaat, ditunggu kritik dan sarannya.

Wassalamu’alaikum W.W.