OWASP, Vulnerability and Cybercrime Case

OWASP

OWASP is The Open Web Application Security Project adalah sebuah komunitas terbuka yang bertujuan untuk memberdayakan organisasi mengambangkan, membeli dan memelihara aplikasi yang dapat dipercaya keamanannya.

OWASP melakukan pendekatan dengan mendefinisikan keamanan aplikasi sebagai manusia, proses dan teknologi (people, process and technology), karena perbaikan pada ranah tersebut dapat meningkatkan efektivitas keamanan aplikasi.

Tujuan OWASP dengan ASVS nya (Proyek Standard Verifikasi Keamanan Aplikasi OWASP) adalah menormalkan rentang cakupan dan tingkat kerentanan yang tersedia di pasar soal verifikasi aplikasi web menggunakan standar terbuka yang tetap bisa diterapkan secara komersial. Standar ini memberikan dasar pengujian aplikasi secara teknis.

OWASP ASVS mendefinisikan persyaratan verifikasi dan dokumentasi dikelompokkan berdasarkan cakupan yang terkait dan tingkat vulnerabilitynya.

Level Verifikasi Keamanan Aplikasi OWASP

• Level 1 Verifikasi Otomatis
• Level 2 Verifikasi Manual
• Level 3 Verifikasi Desain
• Level 4 Verifikasi Internal

Persyaratan Verifikasi Terperinci OWASP

• Persyaratan Dokumentasi Arsitektur Keamanan
• Persyaratan Verifikasi Otentifikasi
• Persyaratan Verifikasi Manajemen Sesi
• Persyaratan Verifikasi Kontrol Akses
• Persyaratan Verifikasi Validasi Input
• Persyaratan Verifikasi Pengkodean Keluaran
• Persyaratan Verifikasi Kriptografi
• Persyaratan Verifikasi Penanganan dan Pencatatan Error
• Persyaratan Verifikasi Proteksi Data
• Persyaratan Verifikasi Keamanan Komunikasi
• Persyaratan Verifikasi Keamanan HTTP
• Persyaratan Verifikasi Konfigurasi Keamanan
• Persyaratan Verifikasi Pencarian Kode Berbahaya
• Persyaratan Verifikasi Keamanan Internal

VULNERABILITY

• Cross-Site Scripting adalah suatu metode untuk mengeksploitasi sistem.
• SQL Injection adalah salah satu cara menscanning kelemahan web dengan memasukkan script php.
• Denial of Service adalah suatu kondisi dimana sistem dibanjiri oleh request yang menyebabkan server down.
• Local File Inclusion adalah kelemahan aplikasi web yang menyebabkan attacker dapat mengeksploitasi engine yang digunakan, atau Web Server dengan mengakses direktori dan mengeksekusi command di luar root web server.
• Remote File Inclusion, bila Local File Inclusion dilakukan secara lokal dari web server tersebut, maka remote dilakukan dengan meremote menyisipkan script php dari luar ke dalam sistem.

Cybercrime Case

Website for Tour Company Citysights NY hit by Hackers menggunakan SQL injection.

Hackers telah menghancurkan website Perusahaan Wisata CitySights NY New York dan mencuri kurang lebih 110.000 nomor rekening bank.

Mereka (hacker) membobol menggunakan serangan SQL Injection atas Web Server perusahaan tersebut (disampaikan pada tanggal 9 Desember).

Perusahaan mempelajari kasus ini pada akhir oktober, saat programmer menemukan script yang tidak sah terupload di Web Server dan dicurigai membahayakan keamanan database server.

CitySight NY meyakini, bahwa serangan SQL Injection lah yang terjadi pada tanggal 26 September. Dalam SQL Injection, hacker menemukan cara untuk menyelinap masuk dengan perintah-perintah masuk ke dalam server menggunakan Web. Mereka melakukan ini dengan memasukkan script ke form atau kotak yang digunakan untuk mengquery database.

Pada kasus CitySight Ny ini, hacker mendapatkan nama, alamat, alamat email, nomor kartu kredit dan tanggal kadaluarsanya, sekaligus kartu verifikasi nilai 2 kode untuk memvalidasi kredit jual beli secara online.

Sumber Referensi :

http://www.owasp.org

http://ceh.vn

Security Attack, Cryptography, and The Art of War Sun Tzu

Soal 1

Security Attack adalah segala bentuk pola, cara, metode yang dapat menimbulkan gangguan terhadap suatu sistem komputer maupun jaringan.

Jenis Serangan dan Contohnya

1. Interuption (interupsi)

Suatu aset sistem dihancurkan, sehingga tidak lagi tersedia atau tidak lagi bisa digunakan.

Contoh :

a.    Perusakan suatu item hardware

b.    Pemutusan jalur komunikasi

c.    Disable suatu sistem manajemen file

2. Interception (Pengalihan)

Pengaksesan aset informasi oleh orang yang tidak berhak (misalkan terhadap program atau komputer)

Contoh :

a.    Pencurian data pengguna kartu kredit

b.    Penyadapan (wiretapping)

3. Modification (Pengubahan)

Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah aset informasi.

Contoh :

a.    Mengubah isi dan website dengan pesan-pesan yang merugikan pemilik website.

4. Fabrication (produksi-pemalsuan)

Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.

Contoh :

a.    Memasukkan pesan-pesan palsu seperti email palsu ke dalam jaringan komputer

Soal 2

Kriptografi dan Algoritmanya

a.     Dalam Kamus Besar Bahasa Indonesia, Kriptografi adalah teknik yang mengubah data menjadi berbeda dari aslinya dengan menggunakan algoritma matematika sehingga orang yang tidak mengetahui kuncinya tidak akan dapat membongkar data tersebut.

b.     Sedangkan menurut Bruce Scheiner dalam bukunya “Applied Cryptography”, Kriptografi adalah ilmu pengetahuan dan seni menjaga pesan-pesan agar tetap aman (secure).

c.      William Stalling mengatakan Kriptography merupakan cabang dari kriprografi yang berkaitan dengan desain algoritma untuk proses enkripsi dan dekripsi, bertujuan untuk menjamin kerahasiaan dan keaslian pesan.

Algoritma Kriptografi

Advanced Encryption Standard (AES) merupakan algoritma kriptografi  simetrik yang dapat digunkan untuk mengamakan data . Algoritma AES adalah blok chipertext simetrik yang dapat mengenkripsi (encipher) dan dekripsi (decipher) informasi. Enkripsi merubah data yang tidak dapat lagi dibaca disebut ciphertext; sebaliknya dekripsi adalah merubah ciphertext data menjadi bentuk semula yang kita kenal sebagai plaintext. Algoritma AES is mengunakan kunci kriptografi 128, 192, dan 256 bits untuk mengenkrip dan dekrip data pada blok 128 bits.

Soal 3

Point Penting The Art of War Sun Tzu

Buku ini merupakan buku filsafat militer yang diperkirakan ditulis pada abad ke 6 Masehi oleh Sun Tzu (namun masih diperdebatkan oleh ahli sejarah). Isi dari buku ini adalah kompilasi strategi dan berbagai metode perang. Yang dikemudian hari diadopsi oleh dunia Information and Technology sebagai kiblat Security Attack yang masyhur di dunia.

Kutipan-Kutipan Menarik dalam The Art of War Sun Tzu

1. Selalu bersiap diri menghalau serangan musuh. Tidak menunggu musuh menyerang, tapi bersiap untuk selalu diserang.
2. 故曰：知彼知己，百戰不殆；不知彼而知己，一勝一負；不知彼，不知己，每戰必敗

Jadi di sini dikatakan: Ia yang mengenal pihak lain (musuh) dan mengenal dirinya sendiri, tidak akan dikalahkan dalam seratus pertempuran. Ia yang tidak mengenal pihak lain (musuh) tetapi mengenal dirinya sendiri memiliki suatu peluang yang seimbang untuk menang atau kalah. Ia yang tidak mengenal pihak lain (musuh) dan dirinya sendiri cenderung kalah dalam setiap pertempuran.

3. 知己知彼, 百戰百勝

Jika Anda mengenal diri dan musuh Anda, Anda tidak akan kalah dalam seratus pertempuran

4. （是故）百戰百勝，非善之善者也；不戰而屈人之兵，善之善者也

(Jadi) bertempur dalam seratus pertempuran dan memenangkan seratus kemenangan bukanlah suatu cerminan strategi yang paling hebat. Kemampuan untuk mengalahkan musuh tanpa pertempuran sama sekali adalah cerminan strategi yang paling hebat.

Pelaksanaan perang adalah masalah yang sangat penting bagi bangsa.

Daftar Pustaka

Pratama, Richard, 2010, 108 Taktik Menjalani Hidup Ala Sun Tzu, Yogyakarta : Wahana Totalita Publisher. Stalling, William, 2005, Cryptography and Network Security Principles and Practices, New Jersey  : Prentice Hall

http://id.wikipedia.org/wiki/Sun_Zi_Bingfa (Akses 24 September 2012, 5:43 am)

http://weli14.wordpress.com/tag/fabrication/ Akses 24 September 2012, 04:03 am)

Tahapan dan Serangan Dalam Jaringan Komputer : Hacking Activity

Computer Security : Hacking Activity

Tahapan System Hacking

        Gambar Tahapan Hacking

Footprinting

Melakukan pencarian sistem yang dapat dijadikan sasaran, mengumpulkan informasi terkait sistem sasaran dengan memakai search engine, whois, dan DNS zone transfer.

Scanning

Mencari pintu masuk yang paling mungkin dari sistem sasaran yang sudah ditetapkan. Hal ini dapat dilakukan dengan ping sweep dan port scan.

Enumeration

Melakukan telaah intensif terhadap sistem sasaran dengan mencari user account yang sah, sumber daya jaringan dan sharing-nya serta aplikasi yang dipakai, sehingga diketahui titik lemah dari proteksi yang ada.

Gaining Access

Berusaha mendapatkan data lebih banyak lagi untuk mulai mengakses sistem sasaran. Hal ini dilakukan dengan cara mengintip dan merampas password, menebak password serta melakukan BufferOverflow.

Escalating Privilege

Setelah berhasil masuk ke sistem sasaran, dilakukan usaha untuk mendapatkan privilege tertinggi (administrator atau root) sistem dengan cara password cracking atau exploit memakai get admin, sechole atau lc_messages.

Pilfering

Melakukan pengumpulan informasi lagi untuk mengidentifikasi mekanisme akses ke trusted sistem, mencakup evaluasi trust dan pencarian cleartext password di registry, config file dan user data.

Covering Tracks

Setelah kontrol penuh terhadap sistem diperoleh, usaha untuk menutup atau menghilangkan jejak menjadi prioritas,  meliputi pembersihan network log dan penggunaan hide tool seperti macam– macam root kit dan file streaming.

Creating Backdoors

Membuat pintu belakang pada berbagai bagian dari sistem, yang dapat dipakai untuk masuk kembali ke sistem secara mudah dan tidak terdeteksi.

Denial of Service (DoS)

Bila semua usaha di atas gagal, penyerang dapat melumpuhkan layanan yang ada pada sistem sasaran sebagai usaha terakhir.

  

Serangan dan Pertahanan

Berikut ini akan dijelaskan beberapa serangan terhadap sebuah jaringan computer dan  langkah keamanan yang dapat dilakukan :

DOS/DDOS

Denial of Services dan Distributed denial of services adalah sebuah metode serangan dimana klien menyerang pihak server dengan terus menerus mengirim paket inisiasi sehingga server tidak dapat membuat koneksi.

SMURF ATTACK

Mekanismenya adalah penyerang akan mengirimkan paket ping permintaan  ke suatu host dan merubah alamatnya menjadi alamat  IP lain, sehingga host tersebut akan mengirim paket balasan  ke IP tsb.

Langkah pengamanan:

Micro-blocks. Ketika ada sebuah host menerima paket inisiasi, maka host akan mengalokasikan ruang memori yang sangat kecil, sehingga host tersebut bisa menerima koneksi lebih banyak.

PACKET SNIFFING

Packet Sniffing adalah sebuah metode serangan dengan cara mendengarkan semua trafik di jaringan, sehingga sebuah host bisa merubah konfigurasi dan memproses semua paket yang dikirimkan oleh host lainnya.

Langkah keamanan:

• Memeriksakan apakah ada host di jaringan kita yang sedang dalam mode promiscuous,sehingga dapat melakukan sniffing

• Mempergunakan SSL (Secure Socket Layer) untuk mengamankan HTTP adalah metode enkripsi yang dikembangkan untuk memberikan keamanan di internet. SSL beroperasi pada layer transpor, menciptakan saluran enkripsi yang aman untuk data. SSL menjadi perantara antara pemakai dengan protokol HTTP dan menampilkan HTTPS kepada pemakai.

IP SPOOFING

Jenis serangan yang dengan penyamaran . Serangan ini dilakukan dengan cara mengubah alamat asal sebuah paket, sehingga dapat melewati perlindungan firewall dan menipu host penerima data.  Salah satu bentuk serangan yang memanfaatkan metode IP Spoofing adalah 'man-in-the-middleattack'. Pada serangan ini, penyerang akan berperan sebagai orang ditengah antara dua pihak yang sedang berkomunikasi dan akan  mengganti pesan

Langkah keamanan :

SSH mendukung otentikasi terhadap remote host, sehingga  meminimalkan spoofing. SSH menyediakan VPN .SSH memakai public-key cryptography untuk mengenkripsi komunikasi antara dua host, demikian pula untuk autentikasi pemakai. Untuk mengatasi serangan yang berdasarkan IP Spoofing, sebuah sistem operasi memberikan nomor paket secara acak ketika menjawab inisiasi koneksi dari sebuah host (scrambling). Penyerang akan kesulitan tansmisi  Konfigurasi firewall yang tepat  dapat meningkatkan kemampuan jaringan komputer dalam menghadapi IP Spoofing.

Contoh Tools hacking :

PORT SCANNER

melakukan scanning target untuk melihat port mana saja yang terbuka.

LANGUAGE INTERPRETER atau COMPILER

Melakukan kompilasi script dan program.

CGI VULN SCANNER

melakukan scanning untuk melihat celah keamanan cgi.

EXPLOIT

mencoba memperoleh akses sebagai superuser pada suatu sistem.

ROOTKIT

agar tetap hidden dan membuat 'backdoor' agar mudah mengakses sistem tersebut nantinya.

TROJAN

mendapatkan akses ke suatu sistem sekedar mengeksploitasi user yang lemah.

SNIFFER

Mengumpulkan data dari suatu jaringan komputer.

BRUTE FORCER

Mencoba berbagai kombinasi karakter hingga mendapatkan password yang sebenarnya.

WINGATE SCANNER

Scan terhadap ip dan memeriksa apakah ada WinGate yang terinstall

GDB

gnu debugger untuk mempelajari lebih dalam tentang bagaimana program tersebut bekerja.

GCC

gnu c compiler untuk kompilasi program C dan menjadikannya program tersebut lebih mudah dipahami dan digunakan.

Daftar Pustaka

Sularso, Anang. 2009. Computer Security. Bandung

http://norjik.blogspot.com