Meningkatnya ketergantungan organisasi pada sistem informasi sejalan
dengan resiko yang mungkin timbul. Informasi menjadi suatu yang penting
yang harus tetap tersedia dan dapat digunakan serta terjaga
keberadaannya dari pihak yang tidak berwenang yang akan menggunakannya
untuk kepentingan tertentu atau akan merusak informasi tersebut.
Informasi merupakan sebuah aset penting bagi organisasi yang perlu
dilindungi dan diamankan. Keamanan informasi tidak bisa hanya
disandarkan pada tools atau teknologi keamanan informasi, melainkan
perlu adanya pemahaman dari organisasi tentang apa yang harus dilindungi
dan menentukan secara tepat solusi yang dapat menangani permasalahan
kebutuhan keamanan informasi.
Sebuah cara sistemik yang bisa dilakukan adalah melalui pendekatan
evaluasi resiko keamanan informasi. Cara ini dilakukan untuk memperoleh
nilai resiko yang dihadapi oleh organisasi terkait dengan aset informasi
yang dimilikinya, kemudian menentukan strategi yang tepat dalam
menangani resiko tersebut.
Salah satu metode untuk mengevaluasi resiko keamanan informasi adalah dengan menggunakan OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). OCTAVE dibangun berdasarkan pada 3 (tiga) fase, yaitu Build Asset-Based Threat Profile, Identify Infrastructure Vulnerabilities, dan Develop Security Strategy and Plan.
Untuk meng-evaluasi keamanan sistem informasi, kita harus mengetahui beberapa faktor diantaranya :
Sumber Lubang Keamanan, Lubang keamanan (security hole)
menurut Budi Raharjo (Dosen ITB) dapat disebabkan karena Salah Desain,
Salah Implementasi, Salah Konfigurasi, dan Salah Penggunaan.
- Salah Desain, Contoh sistem yang lemah desainnya adalah sistem enkripsi ROT13 dimana karakter pesan dan hasil enkripsi diubah dengan menggeser 13 karakter alphabet saja, Meski diimplementasi dengan pemrograman yang sangat teliti sekalipun jika orang mengetahui logika dan algoritma nya pasti enkripsi nya bisa ketahuan.
- Salah Implementasi, banyak program dan sistem yang salah pengimplementasiannya disebabkan karena programer terburu-buru karena dikejar deadline dalam mengimplementasikan programnya jadi lupa ditest atau didebug. Contoh, programer tidak/lupa memfilter form input yang menyebabkan karakter-karakter khusus dapat masuk. Jika karakater khusus ini dibiarkan masuk maka hacker dapat merubah tampilan website melalui javascript atau script shell..! ini sangat berbahaya.
- Salah Konfigurasi, Desain sempurna, Implementasi baik, namun konfigurasi salah! hancurlah sistem itu..Contoh, kesalahan konfigurasi permission / perizinan / Hak akses pada sistem UNIX misalnya dapat fatal, sebuah file/direktori yang menyimpan data password jika belum dikonfigurasi dan masih writeable bisa disalah gunakan oleh pemakai dan bisa diubah-ubah.
- Salah Penggunaan, Jika semua sistem sudah baik maka tinggal disisi user saja sisanya. Sistem sebaik dan sesempurna mungkin akan sia-sia jika usernya tidak memahami. Contoh, seorang user salah memberi perintah karena ketidaktahuannya dan memformat hardisk komputer. Wah kaco banget dah.. gw sering banget nih, komputer dirumah sering banget erorr karena adek gw yang asal utak-atik, klik sana klik sini.. untungnya kaga pernah nyampe keformat paling-paling wordnya kaga bisa di buka terus sering hang.
Kedua, meng-evaluasi keamanan sistem informasi
juga bisa kita gunakan dengan menggunakan tools penguji keamanan
sistem. Untuk sistem yang basisnya UNIX ada bebrapa tools yaitu : Cops, Tripwire, Satan/Saint, SBScan : Localhost Secuty Scanner. Selain tools2 diatas ada juga tools2 yang dibuat hacker untuk kepentingannya. antara lain :
- Crack : program ini dibuat untuk memcahkan password dengan cara Brute Force menggunakan kamus. jadi program ini mencoba mencocokkan password dengan kata dikamus. Karena itu jangan menggunakan password dengan kata yang ada di kamus.
- Land / Latierra : program yang dibuat untuk membuat windows NT dan windows 95 hang.
- Ping-o-Death : program ping yang dapat membuat crash windows 95 / NT dan beberapa versi UNIX
- winuke : program untuk memacetkan sistem berbasis windows
- dan banyak lagi tools-tools lain yang bisa didapetin gratis di internet
Probing, Service di internet umumnya menggunakan TCP atau UDP, dan setiap service menggunakan port yang berbeda, misalnya :
- SMTP, Service untuk mengirim email pake protocol TCP dan dengan port 25
- FTP, Service untuk tranfer file pake protocol TCP, dengan port 21
- HTTP, Service untuk web server pake protocol TCP, dengan port 80
- DNS, Service untuk domain pake protocol TCP dan UDP, dengan port 53
- POP3, Service untuk mengambil email pake protocol TCP, dengan port 110
Untuk beberapa service yang menggunakan TCP probe dapat dilakukan
menggunakan program telnet. dengan probing kita bisa mengetahui kegiatan
apa saja yang ada di suatu server, jadi intinya probing adalah kegiatan
mencari tahu suatu server memiliki kegiatan apa aja.. misalnya untuk
mengetahui suatu server terdapat service SMTP kita gunakan telnet ke
server dengan port 25
unix% telnet target.host.com 25 Trying 127.0.0.1… Connected to
target.host.com. Escape character is ‘^]’. 220 dma-baru ESMTP Sendmail
8.9.0/8.8.5; Mon, 22 April 2009 10:18:54 +0700
Begitu juga untuk melihat service-service lainnya, tinggal ubah
portnya… Namun sekarang ini ada tools khusus yang bisa dipake buat
probing khusus untuk sistem UNIX yaitu nmap, strobe dan tcpprobe. Dan kalo untuk windows 95/98/NT bisa pake Netlab, Cyberkit, Ogre.
Ada satu lagi yang termasuk kegiatan probing yaitu Os fingerprinting,
yaitu kegiatan probe khusus untuk mendeteksi Sistem Operasi sebuah
server. Fingerprinting cara tradisional dilakukan pake telnet sama kaya
probe-probe sebelumnya, tapi ada tools buat fingerprinting kalo lw mau
ada nmap, dan quesa.
Tidak ada komentar:
Posting Komentar