Nama : Faisal Rachman Hakim

NIM : G.231.20.0139

Matkul : Pengujian Sistem

Tugas Pengujian System Keamanan

1. Apa peran penetrasi test pada Sebuah sistem yang sudah berjalan ?

2. Carilah sebuah contoh kasus dari sistem dan penetrasi test yang dilakukan?

3. Sebutkan Web web penyedia layanan Testing untuk Sistem dan sistem apa saja yang di test?

Jawaban

1. Pengujian penetrasi (penetration testing) memiliki peran yang penting dalam mengevaluasi
keamanan sistem yang sudah berjalan. Meskipun sistem telah diterapkan dan beroperasi, penetrasi
test membantu dalam mengidentifikasi kerentanan keamanan yang mungkin ada dalam sistem
tersebut. Berikut adalah beberapa peran utama dari penetrasi test pada sistem yang sudah berjalan:

1. Identifikasi Kerentanan Tersembunyi

Walaupun sistem telah berjalan, masih mungkin ada kerentanan keamanan yang belum
terdeteksi. Penetrasi test membantu dalam mengungkap kerentanan yang mungkin terabaikan atau
tidak terlihat selama pengembangan sistem.

2. Penguatan Keamanan

Hasil dari uji penetrasi dapat membantu dalam meningkatkan tingkat keamanan sistem.
Dengan mengetahui kelemahan yang ada, langkah-langkah penguatan dan perbaikan dapat diambil
untuk memperbaiki kerentanan tersebut.

3. Mengukur Efektivitas Langkah Keamanan

Test penetrasi memungkinkan organisasi untuk mengevaluasi sejauh mana langkah-langkah

keamanan yang sudah diimplementasikan efektif. Hal ini membantu dalam menilai keefektifan
strategi keamanan yang telah diterapkan.

4. Kepatuhan dan Standar Keamanan

Banyak industri dan lembaga memiliki standar keamanan yang harus dipatuhi. Penetrasi test
membantu memastikan bahwa sistem memenuhi standar keamanan yang ditetapkan.
 5. Pengujian Respons Terhadap Serangan

Dengan melakukan uji penetrasi, organisasi dapat mengevaluasi seberapa baik sistem
merespons serangan serta proses tanggap darurat yang diimplementasikan. Ini memungkinkan
untuk memperbaiki rencana respons terhadap insiden keamanan.

6. Pengurangan Risiko dan Kerugian

Dengan mengetahui kerentanan yang ada, organisasi dapat mengurangi risiko serangan yang
dapat menyebabkan kerugian finansial atau reputasi. Tindakan pencegahan dapat diambil sebelum
serangan sebenarnya terjadi.

2. The Target Data Breach

In September 2013, cybercriminals utilized an email-based phishing scam to trick an

employee from Fazio Mechanical—an HVAC contractor and one of Target’s third-party vendors—
into providing their credentials. From there, the cybercriminals used these stolen credentials to
infiltrate Target’s network and install malware on a number of point-of-sale systems on November
15th. Even though Target had various cybersecurity measures in place to help avoid such an
incident, Fazio Mechanical’s lack of malware detection software and both companies’ failure to
properly segment their networks permitted the cyber-criminals to execute their plan successfully.

The cybercriminals officially launched the malware and began collecting customer data from
Target’s point-of-sale systems on November 27th. Three days later, FireEye—a company that Target
had purchased security software from earlier that year—detected the malware and reported the
issue to Target’s headquarters. Despite receiving this report, Target did not take steps to stop the
malware. After Target’s inadequate response, the cybercriminals were then able to implement
exfiltration malware on the point-of-sale systems to transport customer data out of the company’s
network. In the coming days, the cybercriminals began moving the data. This activity triggered
another report from FireEye on December 2nd. However, Target still did not respond to the
malware.

On December 12th, the U.S. Department of Justice identified the malware and notified
Target of the breach. At that point, Target began to investigate the incident, receiving assistance
from both the Secret Service and the FBI. By December 15th, most of the malware had been
removed. On December 18th, a cybersecurity blogger became aware of the breach and publicly
shared the incident’s details. One day later, Target released an official statement on the matter,
outlining what happened and confirming that the company was working with the proper authorities
to resolve the incident. Nevertheless, severe damage had already been done. In total, the cyber
criminals compromised approximately 40 million customers’ credit and debit card information as
well as 70 million customers’ personal details (e.g., names, addresses and phone numbers).

Target Corporation adalah sebuah perusahaan ritel Amerika yang diserang oleh malware lewat
sebuah akses yang didapatkan lewat vendor atau third party yang bekerja sama dengan Target.
Karena penanganan yang lama dari Target, perusahaan tersebut kehilangan data personal pelanggan
mereka yang diambil oleh peretas seperti nama, alamat, nomer telepon, nomor kartu kredit, dll.
3.

- OWASP

Penyedia artikel, metodologi, dokumentasi, tools untuk menguji keamanan web security.

- Metasploit Framework

Open source penetrating framework yang banyak digunakan untuk menguji keamanan

- Burp Suite

Aplikasi yang digunakan untuk mengecek kemanan website

- nmap

Aplikasi untuk mengetahui keamanan di jaringan

- John The Ripper

Aplikasi untuk membobol password