Tugas II Keamanan Sistem dan Jaringan Komputer Analisis Ancaman dengan Metode STRIDE pada Sistem Email POP3

dan SMTP

Kelas XA Dosen: Hadi Syahrial, M. Kom Disusun oleh : 0911601490 1111600779 1111600795 1111601520 1111601587 Dinisfu Syaban Kurli Hariawan Ali Mukromin Mohamad Natsir Rully Djumarli

Program Pasca Sarjana Magister Komputer Universitas Budi Luhur 2012

1|Page

Daftar Isi Daftar Isi ......................................................................................................................... Pendahuluan .................................................................................................................... Pembahasan ..................................................................................................................... Penutup ........................................................................................................................... Daftar Pustaka ................................................................................................................. 1 3 9 24 25

2|Page

I.

Pendahuluan a. Latar belakang Perkembangan teknologi telah menciptakan suatu sistem pengiriman data sebagai alat untuk pertukaran informasi. Teknologi ini telah mempopulerkan berkirim surat dengan sarana electronic mail atau disingkat email. Bahkan kini berkirim surat melalui email sudah mulai menggantikan surat melalui pos. Dengan banyaknya kebutuhan dan efisiensi waktu yang diperlukan untuk memperoleh informasi maka email merupakan salah satu cara yang dapat membantu sehingga dapat mempermudah dan mempercepat penyampaian informasi. Saat ini banyak perusahaan telah memiliki domain mail server sendiri yang berguna untuk mempermudah dalam pertukaran informasi mengenai data di internal maupun untuk external perusahaan yang dapat mendukung penyampaian informasi antar karyawan dan penyampaian informasi ke pihak lain maupun informasi ke klien yang dimiliki oleh perusahaan, Sehingga keamanan suatu sistem email dibutuhkan pada proses pembangunannya. Untuk membangun sebuah domain mail server tidaklah terlalu sulit, namun dalam pembangunannya dibutuhkan pertimbangan dan analisis yang tepat agar pertukaran informasi melalui email dapat berlangsung dengan efektif, efisien dan aman.

b. Permasalahan Untuk membangun sistem email pada sebuah perusahaan, dibutuhkan analisis dari berbagai aspek. Salah satu analisis yang perlu dilakukan adalah analisis keamanan sistem dari ancaman yang mungkin dapat menyerang sistem email yang dibuat.

c. Metode Untuk melakukan analisis keamanan sistem email kali ini akan menggunakan metode analisis STRIDE (Spoofing, Tampering, Repudiation, Information Disclosure, Denial of Service, and Elevation of Prvilege). Untuk mempermudah pemodelan sistem, akan digunakan SDL Threat Modeling Tools.

3|Page

1. Analisis STRIDE Analisis STRIDE merupakan suatu metode analisis keamanan dengan cara mengidentifikasi jenis-jenis ancaman terhadap suatu sistem. Ancaman tersebut dapat berdampak pada aspek keamanan suatu sistem. Hubungan antara STRIDE dengan aspek keamanan adalah sebagai berikut: Tabel 1.1 Hubungan Ancaman dan Aspek Keamanan Ancaman Spoofing Tampering Repudiation Information disclosure Denial of Service Elevation of Privilege Aspek Keamanan Authentication Integrity Non-Repudiation Confidentiality Availability Authorization

a). Penjelasan Jenis Ancaman i). Spoofing Spoofing adalah teknik yang digunakan untuk memperoleh akses yang tidak sah ke suatu komputer atau informasi dimana penyerang berhubungan dengan pengguna dengan berpura-pura memalsukan bahwa mereka adalah host yang dapat dipercaya hal ini biasanya dilakukan oleh seorang hacker. Macam-macam Spoofing pada sebuah jaringan dapat dilakukan dengan teknik sebagai berikut: 1). IP-Spoofing adalah serangan teknis yang rumit yaitu terdiri dari beberapa komponen. Ini adalah eksploitasi keamanan yang bekerja dengan menipu komputer dalam hubungan kepercayaan bahwa anda adalah orang lain. Terdapat banyak makalah ditulis oleh daemon9, route, dan infinity di Volume Seven, Issue Fourty-Eight majalah Phrack. 2). DNS spoofing adalah mengambil nama DNS dari sistem lain dengan membahayakan domain name server suatu domain yang sah. 3). Identify Spoofing adalah suatu tindakan penyusupan dengan

menggunakan identitas resmi secara ilegal. Dengan menggunakan

4|Page

identitas tersebut, penyusup akan dapat mengakses segala sesuatu dalam jaringan. Contoh: Web Spoofing Web Spoofing melibatkan sebuah server web yang dimiliki penyerang yang diletakkan pada internet antara pengguna dengan WWW, sehingga akses ke web yang dituju pengguna akan melalui server penyerang. Cara seperti ini dikenal dengan sebutan man in the middle attack [2,5]. Hal ini dapat terjadi dengan beberapa jalan, tapi yang paling mungkin adalah : 1). Akses ke situs web diarahkan melalui sebuah proxy server : ini disebut (HTTP) application proxy. Hal ini memberikan pengelolaan jaringan yang lebih baik untuk akses ke server. Ini merupakan teknik yang cukup baik yang digunakan pada banyak situs-situs di internet, akan tetapi teknik ini tidak mencegah Web Spoofing. 2). Seseorang menaruh link yang palsu (yang sudah di-hack) pada halaman web yang populer. 3). Penggunaan search engine (mesin pencari, seperti Yahoo, Alta Vista, Goggle) untuk mendapatkan link dari topik yang ingin dicari. Tanpa diketahui, beberapa dari link ini telah diletakkan oleh hacker yang berpura-pura menjadi orang lain. Seperti, pencarian untuk situs bank memberikan salah satu hasil http://www.kilkbca..com, namun mungkin tidak mengetahui bahwa URL sebenarnya dari Bank BCA adalah http://www.klikbca.com Pada sebuah browser yang mengakses sebuah Web, semua yang ada pada NET (baik Internet maupun Intranet) direferensikan dengan Universal Resource Locator (URL). Pertama-tama penyerang harus menulis-ulang URL dari halaman web yang dituju sehingga mereka mengacu ke server yang dimiliki penyerang daripada ke server web yang sebenarnya. Misalnya, server penyerang terletak di www.attacker.com, maka penyerang akan menulis-ulang URL dengan menambahkan http://www.attacker.com didepan URL yang asli.

5|Page

ii). Tampering Data tampering adalah merubah data sebelum, selama proses atau sesudah proses dari sistem informasi. Data diubah sebelum diproses yaitu pada waktu data ditangkap di dokumen dasar atau pada saat diverifikasi sebelum dimasukkan ke sistem informasi. Data diubah pada saat proses sistem informasi biasanya dilakukan pada saat dimasukkan ke dalam sistem informasi. Data diubah setelah proses sistem informasi yaitu dengan mengganti nilai keluarannya. Data diubah dapat diganti, dihapus atau ditambah. Kegiatan data tampering ini biasanya banyak dilakukan oleh orang dalam perusahaan itu sendiri. iii). Repudiation Membuat sebuah sistem atau database yang salah dengan sengaja, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi untuk mengakses sitem pada suatu saat. Sehingga seorang yang mengakses sistem tersebut dapat mengelak untuk disalahkan apabila terjadi kerusakan pada suatu sistem. iv). Information disclosure Membuka atau membaca sebuah informasi tanpa memiliki hak akses atau mambaca sesuatu tanpa mempunyai hak otorisasi. v). Denial of Service Membuat sebuah system tidak bekerja atau tidak dapat digunakan oleh orang lain. vi). Elevation of Privilege Menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah sistem untuk kepentingan pribadi. Hal ini dilakukan dengan meningkatkan hak kewenangan dari yang seharusnya.

b). Penjelasan Aspek Keamanan i). Authentication Authentication adalah proses menentukan apakah sesorang yang masuk merupakan orang yang benar dan berhak. Authentication biasa menggunakan
6|Page

username dan password untuk masuk. Password diasumsikan hanya user yang bersangkutan yang hanya mengetahuinya. Kelemahan sistem ini adalah intruders dapat masuk jika username dan password diketaui. ii). Integrity Integrity bermaksud bahwa data yang diakses atau dibaca diterima dengan utuh, tidak kurang atau lebih. Hal tersebut mungkin terjadi karena sistem error. iii). Non repudiation Non Repudiation adalah bahwa pengirim dan penerima tidak dapat mengelak bahwa benar-benar mereka yang melakukannya. iv). Confidentiality Menurut International Organization for Standardization (ISO)

confidentiality adalah memastikan bahwa informasi dapat diakses oleh yang mempunyai hak. Bisa dikatakan bahwa informasi tersebut merupakan informasi yang mengandung privacy/kerahasiaan. v). Availability Availability merupakan ketersediaan, yang berarti sebuah informasi selalu tersedia ataupun dapat diakses pada saat dibutuhkan. vi). Authority/Authorization Authority/Authorization adalah wewenang yang dimilki oleh user yang telah terautentikasi dalam sebuah sistem informasi. Wewenang yang dimilki bisa merubah, memodifikasi, menghapus atau menambah suatu informasi.

Langkah-langkah analisis STRIDE adalah dengan melakukan pemodelan suatu sistem yang menggambarkan cara kerja sistem tersebut (contohnya dengan Data Flow Diagram / DFD). Kemudian setiap bagian dari pemodelan tersebut dianalisis dari kemungkinan ancaman STRIDE. Dalam pemodelan sistem dengan DFD, terdapat 4 simbol elemen yang memiliki ancaman STRIDE yaitu data flow, data store, proses, dan interaktor. Elemen dan ancaman tersebut dapat disimbolkan sebagai berikut:

7|Page

Tabel 1.2. Simbol DFD dan STRIDE Elemen Data flow Data store Simbol S T x x x R I x x D x x E

Proses

Interaktor

2. SDL (Security Development Lifecycle) Threat Modeling Tools SDL Threat Modeling Tools merupakan suatu perangkat lunak yang diperkenalkan oleh Microsoft untuk membantu melakukan analisis STRIDE terhadap suatu sistem. Tools ini menampilkan framework untuk melakukan analisis STRIDE dengan siklus sebagai berikut:

Gambar 1.1 Proses SDL Threat Modeling

Penjelasan elemen-elemen dari Proses SDL Threat Modeling yang terdapat pada gambar 1.1 adalah sebagai berikut: a). Vision merupakan gambaran umum dari sistem yang akan dianalisis. Tahap ini menjelaskan cara kerja dari suatu sistem.

8|Page

b). Model merupakan pemodelan dari sistem menjadi suatu diagram sistem (sebagai contoh adalah menggunakan Data Flow Diagram / DFD). c). Identify Threat merupakan inti dari analisis model. Pada tahap ini dilakukan analisis STRIDE terhadap setiap elemen pada suatu sistem. d). Mitigate merupakan solusi yang dipilih untuk menanggulangi hasil dari analisis ancaman STRIDE. e). Validate merupakan tahapan untuk mengesahkan model sistem yang telah dibuat. Pada tahap ini diperhatikan prioritas dampak dari ancaman STRIDE dan solusi yang diberikan.

II.

Pembahasan a. Gambaran umum sistem (Vision) Umumnya sistem email menggunakan sistem client-server, artinya ada interaksi antara client (pengguna) dengan mail server (layanan email pusat). Adapun arsitektur sistem client-server adalah sebagai berikut:

Gambar 2.1 Arsitektur Client-Server Pada sistem ini, client mengakses server dengan menggunakan infrastruktur internet. Juga terdapat firewall yang memisahkan infrastruktur internet (untrust boundary) dengan infrastruktur internal server (trust boundary). Salah satu proses transaksi email yang ada saat ini adalah dengan menggunakan POP3 dan SMTP. POP3 merupakan suatu protokol yang bekerja pada email client (contoh aplikasi email client adalah microsoft outlook, thunderbird, dan lainnya) untuk mengunduh email dari mail server. Sedangkan SMTP merupakan suatu protokol untuk mengunggah suatu email ke mail server (baik dari email client ke mail server maupun dari mail server ke mail server lainnya). Agar proses kirim dan terima data antara client
9|Page

dan server dapat terjadi, maka 2 (dua) protokol ini harus digunakan pada sistem email. Untuk lebih jelasnya dapat dilihat pada gambar 2.2 dan 2.3:

Gambar 2.2 Email Server POP3 dan SMTP

Gambar 2.3 Proses Unggah dan Unduh Email

Pada sistem mail server yang dibuat ini hanya melayani proses ungguh dan unggah dengan menggunakan protokol POP3 dan SMTP. Sebelum mengakses data pada mail server, terdapat proses otentikasi akun dan password pengguna yang dilakukan oleh client access server (CAS). Sehingga hanya pengguna yang telah terdaftar pada client access server saja yang dapat menggunakan layanan email tersebut.

10 | P a g e

b. Pemodelan sistem (Model)

c. Identifikasi Ancaman dan Solusi (Identify Threat) 1. SMTP (User ke Client Access Server)

11 | P a g e

12 | P a g e

2. POP3 (Client Access Serve ke User)

13 | P a g e

3. Command (Client Access Server ke Mail Server)

14 | P a g e

15 | P a g e

4. Respond (Mail Server ke Client Access Server)

16 | P a g e

5. User (Email Client)

17 | P a g e

6. Client Access Server

18 | P a g e

19 | P a g e

20 | P a g e

7. Mail Server

21 | P a g e

22 | P a g e

d. Pengesahan Sistem (Validate) Dari hasil identifikasi ancaman yang mungkin terjadi pada sistem email server adalah sebagain berikut: No Elemen Data Flow: - SMTP - POP3 - Command 2 3 4 Respon Jumlah Resiko Low Medium High 1 1 3 3 2 5 2 Keterangan Resiko sudah ditangani di (CAS) Data berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary -

Data Store (Mail Server) Proses (Client Access Server) Interaktor (Email Client)

23 | P a g e

III.

Penutup a. Simpulan 1. Dalam mendukung kegiatan operasional perusahaan , maka email merupakan suatu yang menjadi perhatian khusus, sehingga pengiriman dan penerimaan email dapat berjalan dengan lancar. 2. Dalam menyusun system ini perlu topologi yang jelas sekuritinya. 3. Pada sistem email POP3/SMTP ini, terlihat resiko terbanyak berada pada elemen proses (CAS). Sehingga perlu perhatian keamanan yang lebih pada elemen ini agar dampak resiko keamanan suatu sistem dapat diminimalisir. b. Saran 1. Perlu terus diperhatikan perkembangan ancaman terhadap sistem yang ada, sehingga dalam pengembangan suatu sistem email tersebut dapat mengurangi resiko terhadap kerahasian data yang dikirim maupun data yang diterima. 2. Untuk menjaga keamanan email suatu perusahaan maka diperlukan Firewall dan Router sehingga tidak disalah gunakan oleh pihak yang tidak bertanggung jawab. 3. Disamping itu perlu dipasang anti virus agar email yang keluar/masuk benar-benar bersih dari virus. 4. Perlu ditambahkan penggunaan enkripsi data terlebih dahulu sebelum proses kirim terima email, sehingga data yang penting tidak dapat dibaca.

24 | P a g e

Daftar Pustaka

[1]

Hernan, Shawn and Scott Lambert and Tomasz Ostwald and Adam Shostack. 2006. Threat Modeling: Uncover Security Design Flaws Using The STRIDE Approach. Url: http://msdn.microsoft.com/en-us/magazine/cc163519.aspx Nimah, Iftitahu. 2009. POP3, SMTP, http://theeta.wordpress.com/2009/03/16/pop3-smtp-and-imap/ and IMAP. URL:

[2]

[3]

Shostack, Adam. 2008. Security Briefs: Reinvigorate your Threat Modeling Process. URL: http://msdn.microsoft.com/en-us/magazine/cc700352.aspx Shostack, Adam. 2009. Security Briefs:Getting Started With The SDL Threat Modeling Tool. URL: http://msdn.microsoft.com/en-us/magazine/dd347831.aspx http://12puby.wordpress.com/2010/05/19/pentingnya-keamanan-komputer-dan-jaringan/ http://kakakung.blogspot.com/2010/02/pentingnya-keamanan-komputer.html http://www.jagatreview.com/2011/11/4-tips-mencegah-masuknya-virus-pada-komputer/

[4]

[5] [6] [7]

25 | P a g e

Lampiran I

Matriks identifikasi threat STRIDE dan mitigasi pada masing-masing elemen sistem email POP3/SMTP: 1. SMTP (User ke Client Access Server) Jenis Dampak Resiko Ancaman High - Data yang diunggah ke server Tempering dapat diubah selama transmisi karena tidak disertakan otentikasi data. High Information - Data yang diunggah ke server Disclosure dapat dibaca selama transmisi karena tidak terenkripsi High - Sistem bisa down bila diakses Denial of banyak user Service

Mitigasi User menggunakan Message Authentication Codes (MAC) agar dapat terlihat bila terjadi perubahan data User mengekripsi data sebelum dikirim ke server

Pembatasan kuota user yang dapat mengakses server Pemberian akses control (prioritas user)

2. POP3 (Client Access Serve ke User) Jenis Dampak Ancaman High - Data yang diunduh dari server dapat diubah selama transmisi karena tidak disertakan Tempering otentikasi data.

Mitigasi Server menggunakan Message Authentication Codes (MAC) agar dapat terlihat bila terjadi perubahan data Server memberikan Digital Signature pada pesan yang akan diunduh Data dari server dienkripsi terlebih dahulu

Information Disclosure

Denial of Service

High - Data yang diunduh dari server dapat dibaca selama transmisi karena tidak terenkripsi High - Sistem bisa down bila diakses banyak user

Pembatasan kuota user yang dapat mengakses server Pemberian akses control (prioritas user)

26 | P a g e

3. Command (Client Access Server ke Mail Server) Jenis Dampak Ancaman Tempering Information Disclosure Denial of Service Dianggap tidak ada Dianggap tidak ada Dianggap tidak ada

Mitigasi Resiko sudah ditangani di (CAS) Resiko sudah ditangani di (CAS) Resiko sudah ditangani di (CAS)

4. Respond (Mail Server ke Client Access Server) Jenis Dampak Ancaman Tempering Information Disclosure Denial of Service Dianggap tidak ada

Mitigasi Data berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary Data berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary Data berasal dari elemen yang terpercaya (Mail Server) dalam satu trust boundary

Dianggap tidak ada

Dianggap tidak ada

5. User (Email Client) Jenis Dampak Ancaman High - Apabila suatu akun dan password dapat diketahui orang lain, sehingga orang tersebut dapat mengakses server Spoofing High - Apabila seseorang berusaha mengakses server dengan berpura-pura sebagai salah satu akun yang sah Medium - Apabila terjadi pengrusakan sistem oleh salah satu user Repudiation

Mitigasi Secara berkala, User harus selalu mengganti password yang digunakan

Menggunakan sertifikat digital dan Sistem PKI (Public Key Infrastructure) antara Client dan Sever, sehingga hanya client yang terotentikasi yang dapat mengakses server Untuk mengetahui user yang terakhir mengakses sebelum sistem rusak, pada server dapat ditambahkan fitur: Secure logging and auditing pada server (data log akses server) Secure time stamps
27 | P a g e

6. Client Access Server Jenis Dampak Ancaman High - Apabila seseorang berusaha mengakses server dengan Spoofing berpura-pura sebagai salah satu akun yang sah

Mitigasi Menggunakan sertifikat digital dan Sistem PKI (Public Key Infrastructure) antara Client dan Sever, sehingga hanya client yang terotentikasi yang dapat mengakses server Server dan User harus menggunakan Message Authentication Codes (MAC) agar dapat terlihat bila terjadi perubahan data Server memberikan Digital Signature pada pesan yang akan diunduh oleh user Untuk mengetahui user yang terakhir mengakses sebelum sistem rusak, pada server dapat ditambahkan fitur: Secure logging and auditing pada server (data log akses server) Secure time stamps

Tempering

High - Data yang diunduh ataupun diunggah dari dan ke server dapat diubah selama transmisi karena tidak disertakan otentikasi data.

Medium - Apabila terjadi pengrusakan sistem oleh salah satu user Repudiation High - Data yang diunggah ke server dapat dibaca selama transmisi karena tidak terenkripsi High - Sistem bisa down bila diakses banyak user

Information Disclosure

User mengekripsi data sebelum dikirim ke server

Denial of Service

Pembatasan kuota user yang dapat mengakses server Pemberian akses control (prioritas user) Menerapkan Akses Kontrol. (misalkan, selain user yang ditentukan, tidak ada lagi user yang bisa mengakses email server) Menentukan permission (hak untuk membaca, mengubah, maupun menghapus data) yang
28 | P a g e

Elevation of Privilege

High - Apabila seorang dengan privasi user mampu menaikan tingkatan privasi menjadi administrator, sehingga memiliki hak penuh terhadap seluruh isi server.

berbeda untuk user (misalkan tingkatan administrator, pengguna biasa, atau pengguna lainnya) Memvalidasi input yang diberikan user (membatasi penggunaan karakter/input yang memungkinkan jadi ancaman)

7. Mail Server Jenis Ancaman

Dampak High - Data dapat diubah/dimodifikasi ataupun dihapus oleh seorang yang tidak memiliki hak, apabila seseorang tersebut dapat mengakses secara fisik terhadap mail server Dianggap tidak ada - Resiko sudah ditangani di (CAS) High - Data dapat dibaca oleh seorang yang tidak memiliki hak, apabila seseorang tersebut dapat mengakses secara fisik terhadap mail server (karena email biasanya tersimpan dalam bentuk plain) Dianggap tidak ada - Resiko sudah ditangani di (CAS)

Mitigasi Memberikan proteksi akses terhadap data yang ada di mail server Server menambahkan MAC pada setiap email yang disimpan pada database server

Tempering

Repudiation

Menerapkan enkripsi data sebelum disimpan pada mail server

Information Disclosure

Denial of Service

29 | P a g e

Lampiran II

Hasil Report tools SDL Threat Modeling

30 | P a g e