Thursday, April 30, 2009

Evaluasi Keamanan Sistem Informasi

Artikel Evaluasi Keamanan Sistem Informasi
Setelah pada posting sebelumnya kita membahas tentang keamanan sistem informasi maka pada posting kali ini gw akan meng-evaluasi keamanan sistem informasi yang kemarin, sesuai dengan modul bsi yang katanya disusun sama dosen" petinggi bsi, tapi katanya lho ya... tau deh aslinya :)

Oke.. sekarang kita balik ke topik tentang evaluasi keamanan sistem informasi, di dalam modulnya bsi menulis - Meski sebuah sistem informasi sudah dirancang memiliki pengamanan, tetapi dalam perjalanannya keamanan jaringan harus selalu dimonitor. Hal ini disebabkan oleh beberapa faktor yaitu :
  1. Selalu ditemukannya lubang keamanan yang baru, seperti halnya windows milik microsoft selalu saja ditemukan lubang keamanan baru (security hole) oleh para hacker;
  2. Kesalahan konfigurasi, bisa mengakibatkan timbulnya celah keamanan pada suatu sistem. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan password secara tidak sengaja diubah sehingga dapat diubah oleh orang-orang yang tidak berhak;
  3. Penambahan perangkat baru (hardware/software) yang menyebabkan menurunnya tingkat security dan berubahnya metode pengoprasian sistem. Itu jelas karena sebuah sistem tetap membutuhkan seorang administrator, dan seoarang admin pasti membutuhkan penyesuaian jika sistemnya diubah atau diganti dengan yang baru.
Untuk meng-Evaluasi Keamanan Sistem Informasi, kita harus mengetahui beberapa faktor diantaranya :

Sumber Lubang Keamanan, Lubang keamanan (security hole) menurut Budi Raharjo (Dosen ITB) dapat disebabkan karena Salah Desain, Salah Implementasi, Salah Konfigurasi, dan Salah Penggunaan.
  • Salah Desain, Contoh sistem yang lemah desainnya adalah sistem enkripsi ROT13 dimana karakter pesan dan hasil enkripsi diubah dengan menggeser 13 karakter alphabet saja, Meski diimplementasi dengan pemrograman yang sangat teliti sekalipun jika orang mengetahui logika dan algoritma nya pasti enkripsi nya bisa ketahuan.
  • Salah Implementasi, banyak program dan sistem yang salah pengimplementasiannya disebabkan karena programer terburu-buru karena dikejar deadline dalam mengimplementasikan programnya jadi lupa ditest atau didebug. Contoh, programer tidak/lupa memfilter form input yang menyebabkan karakter-karakter khusus dapat masuk. Jika karakater khusus ini dibiarkan masuk maka hacker dapat merubah tampilan website melalui javascript atau script shell..! ini sangat berbahaya.
  • Salah Konfigurasi, Desain sempurna, Implementasi baik, namun konfigurasi salah! hancurlah sistem itu..Contoh, kesalahan konfigurasi permission / perizinan / Hak akses pada sistem UNIX misalnya dapat fatal, sebuah file/direktori yang menyimpan data password jika belum dikonfigurasi dan masih writeable bisa disalah gunakan oleh pemakai dan bisa diubah-ubah.
  • Salah Penggunaan, Jika semua sistem sudah baik maka tinggal disisi user saja sisanya. Sistem sebaik dan sesempurna mungkin akan sia-sia jika usernya tidak memahami. Contoh, seorang user salah memberi perintah karena ketidaktahuannya dan memformat hardisk komputer. Wah kaco banget dah.. gw sering banget nih, komputer dirumah sering banget erorr karena adek gw yang asal utak-atik, klik sana klik sini.. untungnya kaga pernah nyampe keformat paling-paling wordnya kaga bisa di buka terus sering hang.

Kedua, meng-evaluasi keamanan sistem informasi juga bisa kita gunakan dengan menggunakan tools penguji keamanan sistem. Untuk sistem yang basisnya UNIX ada bebrapa tools yaitu : Cops, Tripwire, Satan/Saint, SBScan : Localhost Secuty Scanner. Selain tools2 diatas ada juga tools2 yang dibuat hacker untuk kepentingannya. antara lain :
  • Crack : program ini dibuat untuk memcahkan password dengan cara Brute Force menggunakan kamus. jadi program ini mencoba mencocokkan password dengan kata dikamus. Karena itu jangan menggunakan password dengan kata yang ada di kamus.
  • Land / Latierra : program yang dibuat untuk membuat windows NT dan windows 95 hang.
  • Ping-o-Death : program ping yang dapat membuat crash windows 95 / NT dan beberapa versi UNIX
  • winuke : program untuk memacetkan sistem berbasis windows
  • dan banyak lagi tools-tools lain yang bisa didapetin gratis di internet
Probing, Service di internet umumnya menggunakan TCP atau UDP, dan setiap service menggunakan port yang berbeda, misalnya :
  • SMTP, Service untuk mengirim email pake protocol TCP dan dengan port 25
  • FTP, Service untuk tranfer file pake protocol TCP, dengan port 21
  • HTTP, Service untuk web server pake protocol TCP, dengan port 80
  • DNS, Service untuk domain pake protocol TCP dan UDP, dengan port 53
  • POP3, Service untuk mengambil email pake protocol TCP, dengan port 110
Untuk beberapa service yang menggunakan TCP probe dapat dilakukan menggunakan program telnet. dengan probing kita bisa mengetahui kegiatan apa saja yang ada di suatu server, jadi intinya probing adalah kegiatan mencari tahu suatu server memiliki kegiatan apa aja.. misalnya untuk mengetahui suatu server terdapat service SMTP kita gunakan telnet ke server dengan port 25

unix% telnet target.host.com 25 Trying 127.0.0.1... Connected to target.host.com. Escape character is '^]'. 220 dma-baru ESMTP Sendmail 8.9.0/8.8.5; Mon, 22 April 2009 10:18:54 +0700

Begitu juga untuk melihat service-service lainnya, tinggal ubah portnya... Namun sekarang ini ada tools khusus yang bisa dipake buat probing khusus untuk sistem UNIX yaitu nmap, strobe dan tcpprobe. Dan kalo untuk windows 95/98/NT bisa pake Netlab, Cyberkit, Ogre.

Ada satu lagi yang termasuk kegiatan probing yaitu OS fingerprinting, yaitu kegiatan probe khusus untuk mendeteksi Sistem Operasi sebuah server. Fingerprinting cara tradisional dilakukan pake telnet sama kaya probe-probe sebelumnya, tapi ada tools buat fingerprinting kalo lw mau ada nmap, dan queso.

Yah Cukup sekian penjabaran panjang tentang cara-cara mendeteksi celah keamanan dan meng-evaluasi keamanan suatu sistem informasi. Lebih dan kurangnya mohon maap, wabillahi taufik walhidayah... samlikum wr wb... :D

No comments:

Dapatkan artikel dan berita teknologi, komputer, social media terbaru langsung lewat email anda

Share

About Me

My photo
Seorang pelajar, yang tidak akan pensiun dari pekerjaannya. dilahirkan di Jakrta dan bertempat tinggal di bangka yang penuh arti dalam kehidupan ku di kemudian hari...Command : Hurry Up!! Many Jobs awaiting you! now shutdown the computer and get rest for hours so you will get up freshly