MODUL 3

Pengamanan Aplikasi Web

3.20

A. Kompetensi Dasar
3.20 Mengevaluasi pengamanan data pada aplikasi web
4.20 Merevisi pengamanan data pada aplikasi web

B. Tujuan Pembelajaran
1. Siswa dapat menerapkan prosedur sistem keamanan akses basis data dalam aplikasi web.
2. Siswa dapat menentukan jenis sistem pengamanan akses data dalam aplikasi web.
3. Siswa dapat melakukan pengujian sistem keamanan akses basis data dalam aplikasi web.
4. Siswa dapat merevisi sistem pengamanan akses basis data dalam pemrograman
aplikasi web.

C. Uraian Materi
PENGERTIAN ENKRIPSI
Enkripsi adalah suatu metode yang digunakan untuk mengkodekan data sedemikian
rupa sehingga keamanan informasinya terjaga dan tidak dapat dibaca tanpa di dekripsi (kebalikan
dari proses enkripsi) dahulu. Encryption berasal dari bahasa
yunani kryptos yang artinya tersembunyi atau rahasia.
Dikarenakan enkripsi telah digunakan untuk mengamankan komunikasi di berbagai
negara, hanya organisasi-organisasi tertentu dan individu yang memiliki kepentingan yang
sangat mendesak akan kerahasiaan yang menggunakan enkripsi. Di pertengahan tahun 1970-an,
enkripsi kuat dimanfaatkan untuk pengamanan oleh sekretariat agen pemerintah Amerika Serikat
pada domain publik, dan saat ini enkripsi telah digunakan pada sistem secara luas, seperti
Internet e-commerce, jaringan Telepon bergerak dan ATM pada bank.
Enkripsi dapat digunakan untuk tujuan keamanan, tetapi teknik lain masih diperlukan
untuk membuat komunikasi yang aman, terutama untuk memastikan integritas dan autentikasi
dari sebuah pesan. Contohnya, Message Authentication Code (MAC) atau
digital signature. Penggunaan yang lain yaitu untuk melindungi dari analisis jaringan komputer.

Manfaat Enkripsi
1. Beberapa manfaat yang bisa didapatkan dari enkripsi ini adalah :
2. Kerahasiaan suatu informasi terjamin
3. Menyediakan authentication dan perlindungan integritas pada algoritma checksum/hash
4. Menanggulangi penyadapan telepon dan email (Untuk digital signature. Digital signature
adalah menambahkan suatu baris statemen pada suatu elektronik copy dan mengenkripsi
statemen tersebut dengan kunci yang kita miliki dan hanya pihak yang memiliki kunci
dekripsinya saja yang bisa membukanya)
5. Untuk digital cash

Kerugian Enkripsi
1. Penyandian rencana teroris
2. Penyembunyian record criminal oleh seorang penjahat
3. Pesan tidak bisa dibaca bila penerima pesan lupa atau kehilangan kunci (decryptor).

Macam-macam Enkripsi pada pemrograman website

Berikut ada beberapa macam metode enkripsi yang dapat anda digunakan pada
pemrograman website seperti PHP, ASP dan yang lainnya.
1. Metode Enkripsi MD2
a. Message-Digest algortihm 2 (MD2) adalah fungsi hash cryptographic yang
dikembangkan oleh Ronald Rivest pada tahun 1989'
b. Algoritma dioptimalkan untuk komputer 8-bit. MD2 yang ditetapkan dalam RFC 1319.
c. Meskipun algoritma lainnya telah diusulkan sejak dulu, seperti MD4, MD5 dan SHA,
bahkan sampai dengan 2004 [update] MD2 tetap digunakan dalam infrastruktur kunci
publik sebagai bagian dari sertifikat yang dihasilkan dengan MD2 dan RSA.
2. Metode Enkripsi MD4
a. Message-Digest algortihm 4(seri ke-4) yang dirancang oleh Profesor Ronald Rivest
dari MIT pada tahun 1990. Panjangnya adalah 128 bit.
b. MD4 juga digunakan untuk menghitung NT-hash ringkasan password pada
Microsoft Windows NT, XP dan Vista.
3. Metode Enkripsi MD5
a. MD5 adalah salah satu dari serangkaian algortima message digest yang didesain oleh
Profesor Ronald Rivest dari MIT (Rivest, 1994).
b. Saat kerja analitik menunjukkan bahwa pendahulu MD5 yaitu MD4 mulai tidak aman,
MD5 kemudian didesain pada tahun 1991 sebagai pengganti dari MD4 (kelemahan
MD4 ditemukan oleh Hans Dobbertin).
c. Dalam kriptografi, MD5 (Message-Digest algortihm 5) ialah fungsi hash kriptografik
yang digunakan secara luas dengan hash value 128-bit.
d. Pada standart Internet (RFC 1321), MD5 telah dimanfaatkan secara bermacam-
macam pada aplikasi keamanan, dan MD5 juga umum digunakan untuk melakukan
pengujian integritas sebuah file.
4. Metode Enkripsi SHA
a. SHA adalah serangkaian fungsi cryptographic hash yang dirancang oleh National
Security Agency (NSA) dan diterbitkan oleh NIST sebagai US Federal Information
Processing Standard.
b. SHA adalah Secure Hash Algoritma. Jenis-jenis SHA yaitu SHA-0, SHA-1, dan SHA-
2.
c. Untuk SHA-2 menggunakan algoritma yang identik dengan ringkasan ukuran variabel
yang terkenal sebagai SHA-224, SHA-256, SHA-384, dan SHA-512.
5. Metode Enkripsi RC4
a. RC4 merupakan salah satu jenis stream cipher, yaitu memproses unit atau input data
pada satu saat. Unit atau data pada umumnya sebuah byte atau bahkan kadang kadang
bit (byte dalam hal RC4).
b. Dengan cara ini enkripsi atau dekripsi dapat dilaksanakan pada panjang yang variabel.
c. RC4 adalah penyandian stream cipher yang dibuat oleh Ron Riverst pada tahun 1987
untuk pengamanan RSA.
d. Algoritmanya didasarkan pada permutasi acak.
6. Metode Enkripsi Base64
a. Base64 adalah sistem untuk mewakili data mentah byte sebagai karakter ASCII.
b. Base64 menyediakan 6-bit encoding 8-bit ASCII karakter.
c. Base64 merupakan format yang dicetak menggunakan karakter, memungkinkan binari
data yang akan dikirim dalam bentuk dan email, dan akan disimpan di database atau
file.
 PENGAMANAN DATA PADA APLIKASI WEB
Konsep kriptografi, plain text, chiper text, encrypted text
Kriptografi (cryptography) berasal dari bahasa Yunani, terdiri dari dua suku kata yaitu
kripto dan graphia. Kripto artinya menyembunyikan, sedangkan graphia artinya tulisan.
Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan
aspek keamanan informasi, seperti kerahasiaan data, keabsahan data, integritas data, serta
autentikasi data .Tetapi tidak semua aspek keamanan informasi dapat diselesaikan dengan
kriptografi. Kriptografi dapat pula diartikan sebagai ilmu atau seni untuk menjaga keamanan
pesan.
Pada prinsipnya, Kriptografi memiliki 4 komponen utama yaitu: Plaintext, yaitu pesan
yang dapat dibaca. Ciphertext, yaitu pesan acak yang tidka dapat dibaca. Key, yaitu kunci untuk
melakukan teknik kriptografi. Algorithm, yaitu metode untuk melakukan enkrispi dan dekripsi
Kemudian, proses yang akan dibahas dalam artikel ini meliputi 2 proses dasar pada
Kriptografi yaitu : Enkripsi (Encryption) Dekripsi (Decryption) dengan key yang digunakan
sama untuk kedua proses diatas. Penggunakan key yang sama untuk kedua proses enkripsi dan
dekripsi ini disebut juga dengan Secret Key, Shared Key atau Symetric Key Cryptosystems.
Berikut adalah ilustrasi 4 komponen dan 2 proses yang digunakan dalam teknik kriptografi.
Enkripsi (Encryption) adalah sebuah proses menjadikan pesan yang dapat dibaca
(plaintext) menjadi pesan acak yang tidak dapat dibaca (ciphertext). Berikut adalah contoh
enkripsi yang digunakan oleh Julius Caesar, yaitu dengan mengganti masing-masing huruf
dengan 3 huruf selanjutnya (disebut juga Additive/Substitution Cipher).
Plaintext
rumah
Motor
kompor
Dekripsi merupakan proses kebalikan dari enkripsi dimana proses ini akan mengubah
ciphertext menjadi plaintext dengan menggunakan algortima ‘pembalik’ dan key yang sama.
Contoh:
Ciphertext
xasgn
suzux
qusvux
Plaintext
rumah
Motor
Kompor

KONSEP SISTEM PENGAMANAN AKSES DATA

Pengertian dan Konsep dari Network Security
Keamanan jaringan (network security) terdiri dari kebijakan dan praktik untuk mencegah
dan memantau akses yang tidak sah, penyalahgunaan, maupun penolakan yang terjadi di jaringan
komputer. Network security melibatkan otorisasi akses ke data di dalam jaringan, yang
dikendalikan oleh administrator jaringan. Pengguna (users) memilih atau diberi ID dan password
atau informasi otentikasi lain yang memungkinkan mereka untuk mengakses informasi dan
program dalam wewenang mereka sendiri.
Network security mencakup berbagai jaringan komputer, baik publik maupun pribadi,
yang digunakan dalam pekerjaan sehari-hari; melakukan transaksi dan komunikasi di antara
bisnis, instansi pemerintah dan individu. Jaringan tersebut dapat bersifat pribadi, seperti di dalam
perusahaan, dan lainnya yang mungkin terbuka bagi akses publik.
Network security terlibat dalam organisasi, perusahaan, dan jenis lembaga lainnya.
Seperti bagaimana mengamankan jaringan, serta melindungi dan mengawasi operasi yang
dilakukan. Dimana cara paling umum dan sederhana untuk melindungi sumber daya jaringan
(network resource) adalah dengan menetapkan nama yang unik dan password yang sesuai.
Konsep Network Security
Dalam menjaga kemanan jaringan, diterapkan konsep atau hukum dasar yang biasa
disebut dengan CIA yang merupakan; Confidentiality (kerahasiaan), Integrity (integritas), dan
Availability(ketersediaan).
Confidentiality adalah seperangkat aturan yang membatasi akses ke informasi. Integrity
adalah jaminan bahwa informasi itu dapat dipercaya dan akurat, serta Availability yang
merupakan konsep dimana informasi tersebut selalu tersedia ketika dibutuhkan oleh orang-orang
yang memiliki akses atau wewenang.
1. Confidentiality (kerahasiaan)
Kerahasiaan setara dengan privasi. Kerahasiaan dirancang untuk mencegah informasi
sensitif dan memastikan bahwa orang yang mempunyai akses adalah orang yang tepat.
Terkadang menjaga kerahasiaan data dapat melibatkan pelatihan khusus bagi mereka yang
mengetahui dokumen tersebut.
2. Integrity (integritas)
Integritas melibatkan menjaga konsistensi, akurasi, dan kepercayaan data. Data tidak
boleh diubah, dan langkah-langkah harus diambil untuk memastikan bahwa data tidak dapat
diubah oleh orang-orang yang tidak berkepentingan.
3. Availability (ketersediaan)
Ketersediaan (availability) adalah konsep terbaik yang dapat dipastikan dalam
memelihara semua hardware, melakukan perbaikan terhadap hardware sesegera mungkin saat
diperlukan. Selain itu juga dapat memelihara lingkungan sistem operasi. Dengan konsep yang ada
di dalam availability, informasi dapat selalu tersedia ketika dibutuhkan oleh orang- orang yang
memiliki akses atau wewenang. Hingga ketika user membutuhkan informasi tersebut, informasi
dapat diakses dan digunakan dengan cepat.
Konsep pengamanan program aplikasi
Sistem keamanan komputer merupakan sebuah upaya yang dilakukanuntuk
mengamankan kinerja, fungsi atau proses komputer. sistemkeamanan komputer juga berguna
untuk menjaga komputer dari parahacker (penjahat dunia maya). Fungsi sistem keamanan
komputer adalah untuk menjaga sumer daya sistem agar tidak digunakan,modfikasi,interupsi,
dan diganggu oleh orang lain.
Keamanan bisa diindentifikasikan dalam masalah teknis,manajerial,legalitas, dan politis.
Keamanan komputer adalah suatu cabang teknologi yang dikenal dengan nama keamanan
informasi yang diterapkan pada komputer. Sasaran keamanan komputer antara lain adalah
sebagai perlindungan informasi terhadap pencurian atau korupsi, atau pemeliharaan
ketersediaan, seperti dijabarkan dalam kebijakan keamanan.
Pendekatan yang umum dilakukan untuk meningkatkan keamanan komputer antara lain
yaitu :
a. Membatasi akses fisik terhadap komputer
b. Menerapkan mekanisme pada perangkat keras dan
c. Sistem operasi untuk keamanan komputer, serta
d. Membuat strategi pemrograman untuk menghasilkan program komputer yang dapat
diandalkan.

KEAMANAN SISTEM
Ada tiga macam keamanan sistem, yaitu :
a. Keamanan eksternal / external security Berkaitan dengan pengamanan fasilitas komputer
dari penyusup dan bencana seperti kebakaran /kebanjiran.
b. Keamanan interface pemakai / user interface security Berkaitan dengan indentifikasi
pemakai sebelum pemakai diijinkan mengakses program dan data yang disimpan
c. Keamanan internal / internal security Berkaitan dengan pengamanan beragam kendali yang
dibangun pada perangkat keras dan sistem operasi yang menjamin operasi yang handal dan
tak terkorupsi untuk menjaga integritas program dan data.

TIPS KEAMANAN SISTEM

a. Gunakan Software Anti Virus
b. Blok file yang sering mengandung virus
c. Blok file yang menggunakan lebih dari 1 file extension
d. Gunakan firewall untuk koneksi ke Internet
e. Autoupdate dengan software patch
f. Backup data secara reguler
g. Hindari booting dari floopy disk USB disk
h. Terapkan kebijakan Sistem Keamanan Komputer Pengguna
i. Jangan download executables file atau dokumen secara langsung dari Internet pabila anda
ragu-ragu asal sumbernya.
j. Jangan membuka semua jenis file yang mencurigakan dari Internet.
 k. Jangan install game atau screen saver yang bukan asli dari OS.
l. Kirim file mencurigakan via emai lke developer Antivirus untuk dicek.
m. Simpan file dokumen dalam format RTF (Rich Text Format) bukan *doc. (Apabila anda
merasa ada masalah pada program Office)
n. Selektif dalam mendownload attachment file dalam email

PASSWORD, HASH, MD5, MCRYPT, BASE64

Fungsi password_hash()
Fungsi ini akan menghasilkan sebuah kode hash baru dengan metode one-way hashing.
one-way hasing artinya, hasil enkripsinya tidak bisa dikembalikan seperti semula
(decrypt/decode). Fungsi ini sangat disarankan untuk mengenkripsi password, karena sulit
didekripsi atau di-crack.
Fungsi hash() : Fungsi ini akan menciptkan sebuah kode hash dengan algoritma tertentu.
Fungsi md5() : Fungsi ini akan menghasilkan kode hash sepanjang 32 karakter. Fungsi ini juga
dapat digunakan untuk mengamankan password. Akan tetapi, kalau kita perhatikan kecepatan
komputer zaman sekarang… Sangat mungkin untuk melakukan decrypt.
Fungsi Mcrypt : Mcrypt merupakan suatu paket dari kumpulan program enkripsi data. Mcrypt
mendukung berbagai macam algoritma enkripsi dan mode operasi yang dapat diimplementasikan
untuk membuat suatu program enkripsi dan dekripsi data sesuai dengan kebutuhan kita.
Fungsi base64_encode() : Fungsi ini akan menghasilkan kode hash dari teks yang diinputkan
dan bisa dikembalikan ke bentuk semula dengan fungsi base64_decode(). Enkripsi dengan
base64 tidak cocok digunakan untuk mengenkripsi password, karena sangat mudah di-decode

D. Tugas/ Latihan
1. Apa yang dimaksud dengan keamanan informasi dan bagaimana peranan kemanan
informasi bagi suatu perusahaan?
2. Sebutkan aspek aspek keamanan informasi dan jelaskan tiap aspeknya serta berikan
contohnya!
3. Tuliskan dan jelaskan tentang ancaman-ancaman keamanan system!
4. Jelaskan petunjuk pengamanan system!