Anda di halaman 1dari 72

Pengenalan Ethical Hacking

Ethical Hacking and Countermeasures (PAI 083213)


Program Studi Teknik Informatika, Unsoed Iwan Setiawan <stwn at unsoed.ac.id>

Tahun Ajaran 2011/2012

Hacking?

Hacking?

DavidKjelkerud,CCBYNCSA2.0,https://secure.flickr.com/photos/davidkjelkerud/2078670854/

Apakah hacking selalu berhubungan dengan keamanan?

Tidak.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed


Ecyrd,CCBYNC2.0,https://secure.flickr.com/photos/ecyrd/152331829/

lintmachine,CCBYNCSA2.0,https://secure.flickr.com/photos/lintmachine/2044463295/

It is hard to write a simple definition of something as varied as hacking, but I think what these activities have in common is playfulness, cleverness, and exploration. RMS*
*http://stallman.org/articles/onhacking.html

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Thus, hacking means exploring the limits of what is possible, in a spirit of playful cleverness. Activities that display playful cleverness have hack value. RMS*
*http://stallman.org/articles/onhacking.html

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Dalam mata kuliah ini, hacking akan berhubungan dengan keamanan ;-)

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Computer security hacking.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Peretasan keamanan komputer.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Apa bedanya dengan mata kuliah Keamanan Jaringan Komputer?

Ethical Hacking melihat isu keamanan dari kaca mata orang luar, sedang Keamanan Jaringan Komputer melihatnya dari dalam.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Ethical Hacking melihat isu keamanan dari sisi penyerangan. Keamanan Jaringan Komputer melihatnya dari sisi pertahanan.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Ethical Hacking: aktivitas peretasan dengan metode serangan/penetrasi untuk mengetahui tingkat keamanan sistem komputer dan cara penanggulangan terhadap kelemahannya.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Menjadi hacker yang baik hati.


(mempelajari teknik-teknik serangan untuk bertahan)

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Uji penetrasi.
(penetration testing)

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Keamanan

Satpam?

Keamanan adalah kondisi yang minim gangguan* pada infrastruktur, informasi, dan manusia yang ada di dalamnya.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Keamanan Sistem Komputer?

Teknologiberkembangcepat,semakincanggih,danmenonjolkan kemudahan,alihalihkeamanan.Lihatsegitigakeamanan. Semakinbertambahnya:

perangkatberbasiskomputeryangterhubungkejaringanatauInternet. aplikasidanlayananyangtersediadijaringanatauInternet.

Berkurangnyatingkatkemampuanyangdiperlukanuntukmelakukan penyusupanatauserangankesistemkomputerkarenatersedianyapaket programsiappakai. Keamananakanberpengaruhpada:asetdancitraorganisasi,serta administrasidanpengelolaaninfrastruktur,termasukkebijakan.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Terminologi Keamanan

Terminologi Keamanan

Ancaman/Threat:situasiyangdapatmemunculkanpotensiserangankeamanan. Terdapatprioritasatautingkatancaman. Kerentanan/Vulnerability:kelemahanpadasistem,aplikasi,ataujaringanyang disebabkanolehkesalahanperancanganlogikaatauimplementasi. Eksploit/Exploit:perangkatlunakyangdigunakanuntukmengeksploitasikerentanan sistem.Biasanyadibuatolehseoranghackerelite. TargetEvaluasi/TargetofEvaluation(ToE):targetujipenetrasi.Dapatberupa sistem,aplikasi,ataujaringan.Umumnyadilakukanpadasistemyangmemilikinilai tinggi,bisakarenadataatauinformasiyangtersimpandidalamnya. Serangan/Attack:aksiseranganterhadapsistem,aplikasi,ataujaringan.Dapat dilakukandarijarahjauh/remoteataulokal.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Elemen Keamanan

Elemen Keamanan

Confidentiality:kerahasiaandatapadasemuabentukmedia.Contoh serangan:pencuriankatasandidaninformasipribadi. Integrity:integritasdatadariperubahanolehorangyangtidakberhak. Contohserangan:perubahandatasaatdikirimkanatausaatdisimpan. Availability:ketersediaaninformasidanlayanansaatdiperlukan.Contoh serangan:DoS. Authenticity:identifikasidankeasliandata,komunikasi,danorangyang mengaksessumberdaya.Contohserangan:MACaddressspoofing. NonRepudiation:berhubungandenganAuthenticity.Penyedialayanan menyediakanbuktibahwaintegritasdankeaslianmisalkomunikasiatau informasiyangdikirimbenar.Jadi,pengakseslayanantidakdapat mengingkari(nonrepudiation).

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Keamanan adalah proses.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Peretas Keamanan

Hacker vs. Cracker

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Membangun vs. Merusak

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Peretas Keamanan

Topiputih/whitehat:baikhati.Ethicalhacker. Profesional.Mengetahuiteknikserangandankelemahan sistem,sertapenanggulangannya. Topihitam/blackhat:jahat.Cracker.Bertujuannakal atauilegal.Merusakdanmembuatmasalah. Topiabuabu/grayhat:tergantungsituasi.Punyarasa ingintahuyangbesar.Melakukanperetasantanpaijintapi tidakmerusak,danbiasanyamembantumenunjukkan kelemahansistem/jaringanpadaadministratornya.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Hacktivism.
(hacking for cause)

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

https://en.wikipedia.org/wiki/File:Wikileaks_logo.svg

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Ethical Hacker

If you know your enemies and know yourself, you will not be imperiled in a hundred battles.. . Sun Tzu, The Art of War

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Ethical Hacker

Melakukanevaluasikeamanansistemdanjaringandengan metodepengujianserangan.Ujipenetrasiataupenetration testing. Kemampuanyangdibutuhkan:sistemoperasi,jaringan, pemrograman,danteknologiyangdigunakanolehtarget. Pengalamanadalahguruyangterbaik. Umumnyadalambentuktimyangmasingmasing anggotanyamempunyaispesialisasikemampuantertentu. Legal,memilikiijin,danmengikutikesepakatan.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Sabar dan istiqomah.


(tidak bosan mencari kerentanan dan mencoba berulang kali teknik eksploitasi)

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Jadi, bobol itu hanya masalah waktu saja.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Tahapan Serangan

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Tahapan Serangan (1)


1)Pengintaiandanpenjejakan

Pengumpulaninformasisebanyakbanyaknyatentangtarget. Pasif:tanpainteraksilangsung.Menggunakanmesinpencari,pengendusan dalamjaringan,rekayasasosial,ngubekubektempatsampah. Aktif:berinteraksilangsungdengantarget.Menggunakanteleponatau bertatapmuka,misalberbicaradenganresepsionis,menelponlayanan pelangganataudukunganteknis. Seranganawalyangmenggunakaninformasidaritahappengintaiandan penjejakan. Target:mendapatsatuataulebihentri/caramemasukisistem/jaringan. Perkakas:dialer,portscanner,ICMPscanner,pingsweep,networkmapper, SNMPsweeper,vulnerabilityscanner.

2)Pemindaian

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Tahapan Serangan (2)


3)MendapatkanAkses(0wning)

Proseseksploitasikelemahansistem,aplikasi,danjaringan.Fasepenetrasi. Mediadapatbermacammacam:kabel,nirkabel,akseslokal,Internet, fisik/luring/offline. Prosesmenguasaisistemdanmempertahankanaksesmisaldengan memasangbackdoor,rootkit,atautrojan,memanipulasidata/informasi. Sistemyangdikuasaidapatdimanfaatkansebagaibatuloncatanuntuk menyerangsistemlain. Memanipulasi/menghapusbukti,catatan/logsistemataualarmIDSyang merekamaktivitasyangtelahdilakukan.

4)Mempertahankanakses

5)Membersihkanjejak

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Tipe dan Area Serangan

Tipe Serangan

Jaringanjarakjauh:lewatInternet,ketemudenganfirewall,proxy, danrouter. Jaringandialupjarakjauh:wardialing,teknikjadul,saatinisudah relatiftidakrelevan. Jaringanlokal:kabeldannirkabel. Perangkatcurian:banyakinformasitersimpandiperangkatseperti namapengguna,katasandi,konfigurasikeamanandanenkripsi, alamatMAC,dll. Rekayasasosial/socialengineering:memanfaatkaninteraksisosial. Fisik:banyakhaldapatdilakukansecarafisiksepertimenanamvirus dantrojanmelaluiflashdrive,keylogger,accesspointWiFi

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Area Serangan

SistemOperasi:kompleks,konfigurasidanlayanandefault, tambalsulam. Aplikasi:umumnyaaplikasidikembangkandalamwaktusingkat dantidakdiujikerentanannyaterhadapisukeamanan. Penambahanfitur=penambahankesalahan/bug=penambahan kerentanan. Kode/fiturbawaan:terdapatprogram/skripatauyangdipaketkan bersamasistemoperasiatauaplikasi.Contoh:makropada pengolahkata. Konfigurasiyangkeliru.Pengaruhsistemyangrelatifkompleks dankemampuanadministratoryangminim.Contoh:keamanan disetrendahdanasaljadi.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Kita tidak dapat menghentikan serangan, tetapi kita dapat mengurangi jumlah dan dampaknya.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Tipe Uji Penetrasi

Tipe Uji Penetrasi

BlackBox:pengujiantanpapengetahuanatau informasiinfrastrukturdansistemtarget.Simulasi serangannyata,tapimembutuhkanwaktu. WhiteBox:pengujiandenganpengetahuanatau informasilengkaptentanginfrastrukturdansistem target.Banyakditerapkan. GrayBox:melakukanpengujiansecarainternal, untukmengetahuiserangandaridalamjaringan.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Riset Kerentanan Sistem Komputer

Riset Kerentanan

Mencarikerentanandancaraataumetodeserangan. Melibatkanstudiinformasiproduk,layanan,danteknologi.

Informasiyangditemukanbiasanyadibagisesuaidengan tingkat(rendah,menengah,tinggi)danjangkauaneksploitasi (lokalataujarakjauh). CommonVulnerabilitiesandExposures(CVE) Situssituspenyediainformasikeamanan:CERT,PacketStorm, Secunia,Securiteam,Securityfocus,situssituspenyedia produk/layanan,danbanyaklagi. Ezine,milis,danforum:Phrack,ECHO, Kopidaratdankonferensikeamanan:idsecconf,...

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Langkah-Langkah Audit Keamanan

Apa yang akan dilindungi?

Dilindungi dari siapa?

Sumber daya apa yang dibutuhkan untuk melakukan pertahanan?

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Graves,K.2010.CEHStudyGuide

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Audit Keamanan/Uji Penetrasi

Yangperludipertimbangkan:tim,informasiapa sajayangsensitif,NDA,danintegritaspenilaian (valid). Pengujiandilakukansesuaidenganyang disepakati. Tidakmembahayakansistemyangdiujidan mendapatkanijin. Melakukandokumentasidanpengorganisasian setiaptemuansecararinci.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Laporan Audit Keamanan

Bersifatrahasia. Berisiaktivitasdanmetodeperetasan,tipe pengujian,jadwal,sampaidenganidentifikasi kerentanan,potensirisikoterhadapsistemdan carapenanggulangannya. Disertaidenganbuktibuktiseperticatatan/log sistem,tangkapanlayar,dll.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Catatan: tugas ethical hacker hanya menguji dan melaporkan hasil evaluasi keamanan, bukan memperbaiki.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Kejahatan Komputer

Agar tetap menjadi hacker yang baik, kita perlu mengetahui hukum siber yang ada di masing-masing daerah/negara.

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed

Bagaimana dengan hukum siber di Indonesia?

Persetujuan Saya akan mengikuti mata kuliah Ethical Hacking* dengan baik dan akan menggunakan ilmu yang didapat untuk kebaikan.

Daftar Bacaan

ECCouncil.2008.ModuleI:Introductionto EthicalHacking,EthicalHackingand CountermeasuresVersion6 Graves,K.2010.CEH:CertifiedEthicalHacker StudyGuide,Sybex

EthicalHackingandCountermeasures(PAI083213)ProgramStudiTeknikInformatika,Unsoed