Chapter - 1

PENETRATION TESTING
Pengujian Penetrasi Sistem
Pengantar
 Bab ini adalah Pengantar untuk Merencanakanan dan Membuat
Kebutuhan Untuk Uji Sistem dan Hardened Environments.
 Anda akan diperkenalkan topik:
 Pengantar pengujian penetrasi
 Menjadi seorang Penetrasi Tester
 Jenis Hacker
 Standar dan Etika
 Tahap perencanaan
 Evaluasi Keamanan
 Jenis Pengujian
Pengantar Pengujian Penetrasi
 Pengujian penetrasi diperlukan untuk menentukan jejak serangan
sebenarnya dari lingkungan sistem Anda.
 Pengujian penetrasi adalah istilah yang luas, mencakup banyak
bidang, aplikasi web, source code, pengujian penetrasi jaringan, dan
lain sebagainya.
 Pengujian penetrasi fisik adalah salah satu cabang dari penetrasi
yang juga dapat menjadi bagian dari tugas penguji.
 memeriksa apa jenis perlindungan yang digunakan oleh klien untuk
mengamankan data (mencoba masuk di jaringan lokal dan mengakses data,
apakah data tersebut dapat dicuri).
Pengantar Pengujian Penetrasi
 Meskipun banyak perusahaan spesialis keamanan IT yang dapat
melakukan pengujian penetrasi fisik, akan tetapi terdapat pengujian
yang tidak pernah dilakukannya, karena tidak ada didalam prosedur.
 Sebuah perusahaan keamanan fisik mungkin menguji kekuatan password
Anda, tetapi mereka tidak menguji seberapa besar akses terhadap fisik
perangkat yang dapat diterjemahkan ke dalam risiko IT.
 Dalam contoh ini saya akan mengatakan bahwa pentest harus menyimpan
semua data dan dienkripsi setiap kali data tersebut digunakan pada
perangkat mobile (misalnya laptop, tablet, kunci USB), seakan-akan
keamanan ini selalu dijaga, karena selalu ada risiko bahwa data tersebut
akan hilang atau dicuri.
Penetration Testing vs. Vulnerability Scanning
 Saya kagum bagaimana pencarian kerentanan (vulnerability scanning)
dijual sebagai uji penetrasi. Sering kali saya mengaudit lembaga/
perusahaan yang memiliki laporan sampai 300-halaman "uji penetrasi"
yang berisi daftar kerentanan yang ditemukan oleh beberapa alat
pemindaian kerentanan.
 Petunjuk pertama: jika laporan pengujian penetrasi Anda lebih dari 10 halaman,
mungkin Anda memiliki laporan vulnerability scanning bukan Penetration Testing.
 Vulnerability scanning (atau bahkan vulnerability assessment) mencari
kerentanan yang dikenal dalam sistem Anda dan melaporkan potensi
ancamannya.
 Penetration Testing dirancang untuk benar-benar memanfaatkan kelemahan dalam
arsitektur sistem Anda.
 Vulnerability scanning didapat secara otomatis menggunakan tools, Penetration
Testing memerlukan berbagai tingkat keahlian dalam lingkup ruang sistem Anda.
 Singkatnya teknisi menjalankan Vulnerability scanning sementara seorang hacker
melakukan Penetration Testing.
Penetration Testing vs. Vulnerability Scanning
 Beberapa Vulnerability scanning tools yang sering digunakan:
 Nessus
 GFI LANGuard
 Retina
 Penetration Testing sedikit berbeda, dapat digambarkan sebagai "mencari
cara untuk mengeksploitasi kegiatan yang normal didalam bisnis.“
 Contoh, perusahaan menggunakan software yang yang mentransmisikan password
untuk pengolahan back-end (sisi admin software), atau CEO biasanya mengirimkan
password melalui webmail, password ini nantinya digunakan untuk login ke dalam
sistem. Atau database mungkin memiliki daftar penggunayang unik dengan
password yang tidak pernah diubah. Mungkin switch mengirimkan data yang tidak
dienkripsi ke workstation, dan data berisi informasi pribadi dari perusahaan
tersebut.
Penetration Testing vs. Vulnerability Scanning
 Sebagai Penetration Testing, saya berjalan ke dalam semua kemungkinan,
gejala yang tidak dapat dideteksi oleh pemindai kerentanan.
 Alat yang digunakan untuk uji penetrasi bervariasi dan dinamis, tetapi bukan
alat yang melakukan tes.
 Pilih seseorang yang telah memiliki beberapa pengalaman dalam IT dan
bisnis Anda yang lebih mendalam dan pengetahuan yang luas.
 Anda mungkin memilih seseorang yang sedikit geek dan bersedia untuk berpikir out of
the box.
 Tapi yang paling penting, pilihlah seseorang dengan pemikiran yang independen, tidak
ragu-ragu untuk menunjukkan bagaimana kelemahan sistem tersebut bisa terjadi dan
mengapa bisa merugikan kita.
Penetration Testing vs. Vulnerability Scanning
 Hasil akhir dari tes penetrasi adalah laporan pengujian penetrasi.
 Laporan ini harus singkat dan to the point.
 Mungkin memiliki lampiran 100-halaman yang berisi daftar kerentanan yang telah
dieksploitasi, tetapi laporan utama harus fokus pada dampaknya pada data apa saja
dan bagaimana hal itu dapat terjadi.
 Jika diminta, solusi mungkin dapat disebutkan. Tinggalkan daftar panjang kemungkinan
ancaman dari Vulnerability Scanning.
Penetration Testing vs. Vulnerability Scanning
 Berikut Perbedaan Antara Penetration Testing vs. Vulnerability Scanning :
Vulnerability Scan Penetration Test
Seberapa sering dijalankan Terus menerus, terutama setelah peralatan baru dipasang Sekali setahun
dan dijalankan,
Laporan Data dasar yang komprehensif dari kerentanan apa yang Singkat dan to the point, mengidentifikasi data apa
terjadi dan merupakan perubahan dari laporan terakhir yang sebenarnya dapat diexploitasi.
Metrics Daftar kerentanan perangkat lunak yang dikenal (umum) Menemukan ancaman yang tidak diketahui dan
yang dapat diexploitasi untuk dieksploitasi pada proses bisnis yang normal
Dilakukan oleh staf, untuk meningkatkan keahlian dan pengetahuan layanan luar yang independen
tentang profil keamanan
Diperlukan dalam regulasi FFIEC (Federal Financial Institutions Examination Council); FFIEC (Federal Financial Institutions Examination
GLBA (Gramm–Leach–Bliley Act) ; PCI DSS (The Payment Council); GLBA (Gramm–Leach–Bliley Act) ; PCI DSS
Card Industry Data Security Standard) (The Payment Card Industry Data Security Standard)
Harga Rendah sampai menengah: berkisar $1200 / tahun + waktu Tinggi: berkisar $10,000 per tahun untuk konsultan
staff luar
Nilai kontrol deteksi, digunakan untuk mendeteksi ketika kontrol pencegahan digunakan untuk mengurangi
peralatan diujicoba ancaman
Menjadi seorang Penetration Tester
 Meskipun mengisyaratkan bahwa motivasi uang adalah alasan yang
terlalu sederhana untuk menjadi seorang kriminal atau tidak, uang
memang berperan dalam memilih untuk menjadi bagian dari
komunitas hacker dalam konteks pengujian penetrasi sampai
sekarang.
 Pada bagian ini, kita akan membahas berbagai jenis hacker
komputer serta apa peran yang mereka mainkan dalam bidang ini.
BLACK HAT HACKERS
Dalam keamanan komputer, Black Hats adalah mereka yang
melakukan serangan penetrasi yang tidak sah terhadap sistem
informasi.
 Meskipun alasan di balik kegiatan ini berkisar dari rasa ingin tahu untuk
keuntungan finansial, kesamaannya adalah mereka melakukannya tanpa izin.
 Dalam beberapa kasus, ini Black Hats sebenarnya terletak di negara-negara
lain dan kegiatan mereka tidak melanggar hukum di negara tersebut. Namun,
tindakan mereka mungkin masih dianggap ilegal ketika mereka melanggar
hukum di negara target (tergantung pada instansi pemerintah dari negara
target)
 Black Hats menggunakan beberapa server yang berlokasi di seluruh dunia
sebagai proxy untuk serangan mereka.
 Kesulitannya adalah menuntut Black Hats ketika negara mereka sendiri tidak
melihat sesuatu yang salah dengan tindakan mereka.
BLACK HAT HACKERS
 Penangkapan Dmitry Sklyarov pada tahun 2001. Dmitry ditangkap setelah
tiba di Amerika Serikat untuk menghadiri konferensi keamanan DefCon.
 Penangkapannya itu terkait dengan karyanya yang bias mendecript
perlindungan salinan e-book dan metode enkripsi yang dirancang oleh
Adobe Systems.
 Dmitry ditangkap karena melanggar Digital Millennium Copyright Act
(DMCA), yang dimaksudkan untuk mencegah orang dari menemukan cara
untuk menghindari atau menggagalkan enkripsi perangkat lunak.
 Masalahnya adalah bahwa DMCA adalah hokum ciptaan AS dan tidak dapat
diberlakukan di Rusia dimana Dmitry melakukan dan mempublikasikan
penelitiannya.
 Meskipun demikian, FBI menangkapnya pada saat di Amerika.
BLACK HAT HACKERS
Mari kita berasumsi bahwa Black Hats adalah orang-orang yang
melakukan tindakan ilegal, yang jika tertangkap akan menyebabkan
mereka menghabiskan waktu di penjara.
Beberapa hacker Black Hat yang terkenal dari masa lalu mampu
mengubah nasib buruk mereka menjadi karir yang menguntungkan
setelah menjalani hukuman di balik jeruji besi, atau setelah
menyelesaikan masa percobaan.
WHITE HAT HACKERS
Salah satu definisi dari hacker White Hat adalah termasuk orang-
orang yang melakukan penilaian keamanan dalam perjanjian kontrak.
Sama seperti di film-film dari Wild West, hacker White Hat
dianggap orang baik.
Mereka bekerja dengan perusahaan untuk meningkatkan postur
keamanan klien mereka baik pada sistem atau tingkat jaringan,
atau menemukan kerentanan dan eksploitasi yang dapat
digunakan oleh pengguna jahat atau pengguna tidak sah.
Harapannya adalah satu kerentanan atau eksploitasi ditemukan
oleh White Hat, perusahaan akan mengurangi risikonya.
WHITE HAT HACKERS
Ada pertanyaan tentang siapa yang lebih mampu, Black Hat Hacker
atau White Hat Hacker? Ada argumen seperti ini: Black Hat Hacker
memiliki keuntungan karena mereka tidak harus mengikuti aturan.
 Meskipun itu terdengar benar, ada beberapa masalah yang diabaikan. Yang
terbesar adalah pendidikan.
 Tidak jarang ditemukan bahwa kebanyakan White Hat hacker yang dipekerjakan oleh
perusahaan memiliki anggaran pelatihan, atau perusahaan yang mendorong karyawan
mereka untuk belajar teknik hacking pada pekerjaannya.
 Hal Ini merupakan keuntungan White Hat yang luar biasa atas Black Hat.
 Kesempatan pelatihan ini meliputi teknik terbaru yang digunakan oleh hacker jahat yang
menyusup ke jaringan perusahaan.
 Hacker White Hat yang bekerja untuk organisasi besar memiliki akses ke sumber daya
yang Black Hat tidak miliki. Hal ini dapat mencakup arsitektur yang kompleks
menggunakan protokol dan perangkat, teknologi baru, dan bahkan penelitian dan
pengembangan tim.
WHITE HAT HACKERS
 Meskipun memiliki keunggulan ini, White Hat Hacker sering dibatasi
selama kegiatan yang dilakukan oleh mereka. Banyak serangan
dapat menyebabkan sistem crash atau lebih buruk lagi yaitu
kehilangan data.
 Perusahaan dapat dengan mudah kehilangan pendapatan dan pelanggan.
Untuk mencegah jenis kerugian ini, White Hats harus sangat selektif tentang
apa yang mereka lakukan dan bagaimana mereka melakukannya.
 Saat ini, profesional keamanan banyak permintaan, dan perusahaan
menyadari bahwa keamanan bukan hanya firewall atau perangkat
lunak antivirus tapi siklus hidup yang melibatkan kebijakan
keamanan, pelatihan, kepatuhan, penilaian risiko, dan infrastruktur.
GREY HAT HACKERS
Istilah Gray Hat dimaksudkan untuk mencakup orang-orang yang
biasanya melakukannya sendiri dalam aturan (dengan kata lain
dilakukan oleh staf), tapi mungkin sedikit keluar dari batasan.
Orang-orang yang melakukan reverse engineering dari kode
perangkat lunak berpemilik tanpa maksud memperoleh keuntungan
finansial dari usaha mereka, cenderung masuk dalam kategori ini.
 Contoh seseorang banyak mempertimbangkan Gray Hat adalah Jon Johansen
(DVD Jon). Jon menjadi terkenal karena usahanya dalam reverse engineering
konten DVD (mencegah duplikasi DVD, tapi Jon berhasil membuat
duplikasinya).
 Ditangkap dan diadili di sistem pengadilan Norwegia, kegiatan Jon tersebut
menjadi tidak ilegal, dan dia dinyatakan tidak bersalah dan tidak melanggar
hak cipta atau hukum nasional Norwegia.
STANDAR ETIKA
Telah ada upaya untuk mencoba dan memodifikasi tanggung jawab
secara etis dari spesialis keamanan informasi di perusahaan tertentu
menyewa kontraktor/pihak ke III yang memiliki pemahaman tentang
bagaimana data rahasia mereka akan ditangani selama tes penetrasi.
Pihak ke III ini, jika itu Anda, maka akan tergantung pada sertifikasi
Anda/lokasi/hubungan kerjasama yang Anda lakukan.
Yang terpenting, masing-masing standar tersebut mencoba untuk
memecahkan masalah atau ancaman.
 Dalam hal organisasi internasional, ancaman ini biasanya berhubungan
dengan privasi pribadi, bukan privasi perusahaan.
SERTIFIKASI
Seperti yang disebutkan di awal chapter ini, saat ini banyak sertifikasi
keamanan informasi.
Salah satu sertifikasi yang paling terkenal, CISSP (Certified
Information Systems Security Professional), anggotanya memiliki
persyaratan sebagai berikut (diurutkan sesuai peringkat
terpenting):
1. Melindungi masyarakat, persemakmuran, dan infrastruktur.
2. Bertindak terhormat, jujur, adil, bertanggung jawab, dan secara hukum.
3. Menyediakan pelayanan secara tekun dan kompeten kepada atasan.
4. Memajukan dan melindungi profesi.
KONTRAKTOR (PERUSAHAAN KEAMANAN INFORMASI)
Dalam industri keamanan informasi, tidak ada badan lisensi atau
badan pengawasan yang mengatur perilaku dan standar penguji
penetrasi.
 Karena itu, klien tidak memiliki jalan lain untuk melindungi diri, selain dalam
sistem hukum, untuk memperbaiki perilaku buruk dari pen test.
 Umumnya perusahaan yang dikontrak untuk penilaian risiko jaringan, semua
yang mereka dapatkan hanyalah hasil scan dari tools Nessus.
Tapi masih ada "profesional" yang melakukan tes penetrasi, namun
tingkat keterampilan mereka begitu rendah sehingga mereka
melakukan hal yang disukai perusahaan (dengan tidak melewati
batasan) agar mereka merasa aman.
 Inilah sebabnya mengapa begitu banyak sertifikasi yang berbeda untuk
keamanan informasi.
PEKERJA
Setiap perusahaan memiliki kebijakan standar tentang etika bisnis,
mungkin tidak berhubungan langsung dengan keamanan informasi,
tetapi biasanya ditulis secara umum mencakup perilaku dalam
semua kegiatan selama melakukan bisnis.
 Tidak biasa bagi sebuah perusahaan, ketika menyewa kontraktor, meminta
kontraktor untuk mematuhi kebijakan dari etika mereka sendiri.
Jika Anda mempekerjakan kontraktor atau menyewa seseorang
untuk bekerja dalam organisasi, pastikan Anda menyertakan dalam
kontrak sebagai bagian dari kewajiban penerima klausul yang
menyatakan mereka telah membaca dan akan mengikuti kebijakan
dan etika standar keamanan informasi perusahaan Anda.
 Anda dapat menggunakan tindakan hukum terhadap mereka jika mereka
gagal untuk melakukannya.
PENDIDIKAN DAN KELEMBAGAAN ORGANISASI
Banyak organisasi telah menerapkan standar etika mereka
sendiri, membuat keanggotaan dalam organisasi tergantung
pada standar etika tersebut.
Upaya ini merupakan upaya untuk mengisi kekosongan karena
tidak memiliki badan atau dewan pengawasan lisensi seperti
yang disebutkan sebelumnya.
Organisasi-organisasi ini harus dipuji dan didukung untuk upaya
mereka dalam meningkatkan standar etika dalam keamanan
informasi.
MENDAPATKAN IZIN UNTUK MELAKUKAN HACKING
Pegawai yang tugasnya adalah melakukan tes penetrasi terhadap
perusahaan tempat mereka bekerja, ada kecenderungan menjadi
sedikit lebih fleksibel dalam melakukan kegiatan yang diperbolehkan
dan pengawasan mengenai aktivitasnya selama pengujian penetrasi.
Tidak sama dengan kontraktor, yang sering disertai dengan
pendamping.
 Mungkin ada monitoring jaringan untuk kegiatan kontraktor.
 Hal ini karena tingkat kepercayaan yang lebih rendah dengan pihak luar.
PERJANJIAN KERAHASIAAN
 Anda mungkin akan melihat perjanjian kerahasiaan sebelum Anda melihat
bagian lain dari kertas negosiasi kontrak.
 Hal ini dimaksudkan untuk melindungi kerahasiaan dan privasi dari setiap informasi
yang Anda kumpulkan selama proyek.
 Tidak hanya menjanjikan untuk menyimpan rahasia data klien Anda
selama uji penetrasi, Anda juga berjanji untuk menjaga rahasia data klien
Anda selama Anda memilikinya, yaitu sampai ia dengan pentest selesai
sesuai perjanjian yang disepakati tentang waktu dan metode (dengan
asumsi klien bersedia untuk melepaskan kontrak perjanjian untuk menjaga
kerahasiaan).
 Perjanjian ini mencakup screenshot, keystroke captures, dokumentasi (termasuk
semua draft kasar sampai rilis final), file yang direkam keystrokes selama proyek, e-
mail yang mungkin Anda gunakan dari klien Anda, manual yang Anda peroleh [baik
dari klien atau dari vendor], rencana bisnis, rencana pemasaran, informasi
keuangan, dan hal lain yang jauh hubungannya dengan proyek.
PERJANJIAN KERAHASIAAN
Pada akhir proyek, mungkin Anda akan memiliki pemahaman yang
lebih baik dari jaringan atau sistem daripada yang mereka (klien)
lakukan selama ini, termasuk semua cara yang mungkin digunakan
untuk mengeksploitasi aset mereka (klien Anda).
Inti dari semua ini adalah ketika Anda menandatangani perjanjian
kerahasiaan, tidak hanya kesepakatan untuk tidak berbicara tentang
aset klien Anda, tetapi juga kesepakatan untuk menyimpan semua
data yang terkait dengan klien.
 Bayangkan jika seseorang meng-hack sistem Anda dan menemukan rincian
tentang bagaimana cara menyusup jaringan klien Anda.
BAGAIMANA CARA MENSUKSESKAN RENCANA PENGUJIAN?
 Etika hacking biasanya dilakukan secara terstruktur dan terorganisir,
biasanya sebagai bagian dari uji penetrasi atau audit keamanan.
Kedalaman dan luasnya sistem serta aplikasi yang akan diuji biasanya
ditentukan oleh anggota tim.
 Langkah-langkah berikut adalah kerangka kerja untuk melakukan audit
keamanan dari sebuah organisasi:
1. Berbicara dengan klien, dan mendiskusikan kebutuhan yang perlu ditangani selama
pengujian.
2. Menyiapkan dan menandatangani dokumen perjanjian untuk menjaga rahasia
dengan klien.
3. Mengatur tim ethical hackers, dan mempersiapkan jadwal untuk pengujian
4. Melakukan tes.
5. Menganalisis hasil pengujian, dan menyiapkan laporan.
6. Hadir dalam pelaporan ke klien
MENCIPTAKAN RENCANA EVALUASI KEAMANAN
 Banyak ethical hackers bertindak sesuai peran sebagai profesional keamanan
yang menggunakan keahlian mereka untuk melakukan evaluasi keamanan atau
tes penetrasi.
 Tes dan evaluasi ini telah dibagi menjadi tiga fase, umumnya sebagai berikut:

 Tahap persiapan melibatkan perjanjian formal antara ethical hackers dan

organisasi.
 Perjanjian mencakup ruang lingkup pengujian secara penuh, jenis serangan (di dalam atau di
luar) yang akan digunakan, dan jenis pengujian: white, black, atau grey box.
JENIS ETHICAL HACKS
 Ethical hackers dapat menggunakan banyak metode yang berbeda untuk
melakukan pelanggaran keamanan organisasi selama simulasi serangan
atau uji penetrasi.
 Metode yang paling umum:
Remote network: hacking jaringan remote yang mencoba untuk mensimulasikan
penyusup yang melakukan serangan melalui Internet. Ethical hackers mencoba untuk
memecahkan atau menemukan kerentanan dalam pertahanan dari luar jaringan,
seperti kerentanan firewall, proxy, atau router.
Remote dial-up network: hacking jaringan remote dial-up yang mencoba untuk
mensimulasikan penyusup yang melakukan serangan terhadap pools modem klien.
War dialing adalah proses panggilan berulang untuk menemukan sistem terbuka.
Local network : hacking jaringan lokal yang mensimulasikan seseorang dengan akses
fisik mendapatkan akses tambahan yang tidak sah dengan menggunakan jaringan
lokal. Ethical hackers harus mendapatkan akses langsung ke jaringan lokal untuk
melakukan berbagai jenis serangan.
JENIS ETHICAL HACKS
Stolen equipment : hacking yang mensimulasikan pencurian sumber daya
(peralatan) informasi penting seperti laptop milik seorang karyawan.
Informasi seperti username, password, pengaturan keamanan, dan jenis
enkripsi dapat diperoleh dengan mencuri laptop.
Social engineering: serangan sosial-engineering memeriksa integritas
karyawan organisasi dengan menggunakan telepon atau komunikasi tatap
muka dengan mengumpulkan informasi untuk digunakan dalam serangan.
Serangan sosial-engineering dapat digunakan untuk memperoleh username,
password, atau langkah-langkah keamanan organisasi lainnya.
Physical entry: serangan physical entry mencoba untuk bersentuhan langsung
dengan fisik peralatan di sebuah organisasi. Seorang Ethical hackers yang
mendapatkan akses fisik agar dapat menanam virus, Trojan, rootkit, atau key
logger hardware (perangkat fisik yang digunakan untuk merekam keystrokes)
langsung pada sistem dalam jaringan target.
JENIS PENGUJIAN
 Ketika melakukan tes keamanan atau tes penetrasi, seorang ethical hacker
menggunakan satu atau lebih jenis pengujian pada sistem.
 Setiap jenis mensimulasikan seorang penyerang dengan berbagai tingkat
pengetahuan tentang organisasi sasaran.
 Jenis tersebut adalah sebagai berikut:
Black-box testing adalah pengujian yang melakukan evaluasi keamanan dan
pengujian tanpa pengetahuan sebelumnya dari infrastruktur jaringan atau sistem
yang akan diuji. Pengujian ini mensimulasikan serangan oleh hacker jahat dari luar
perimeter keamanan organisasi.
White-box testing adalah pengujian yang melakukan evaluasi keamanan dan
pengujian dengan pengetahuan lengkap tentang infrastruktur jaringan seperti
administrator jaringan yang dimiliki sebuah organisasi.
Grey-box testing adalah pengujian yang melakukan evaluasi keamanan dan
pengujian secara internal. Pengujian ini dengan meneliti sejauh mana akses oleh
orang dalam dari sebuah jaringan di organisasi tersebut.
LAPORAN PENGUJIAN PENETRASI
Hasil dari uji penetrasi jaringan atau keamanan audit adalah laporan
ethical hacking.
 Rincian laporan ini hasil dari kegiatan hacking, jenis tes yang dilakukan, dan
metode hacking yang digunakan.
 Hasil ini dibandingkan terhadap pekerjaan yang dijadwalkan sebelum tahap
Conduct Security Evaluation (Evaluasi Perilaku Keamanan).
 Kerentanan diidentifikasi secara rinci, dan penanggulangan yang disarankan.
 Dokumen ini biasanya disampaikan kepada organisasi dalam format hard
copy, untuk alasan keamanan.
Rincian laporan ethical hacking harus dirahasiakan, karena mereka
menyoroti risiko keamanan organisasi dan kerentanan sistem. Jika
dokumen ini jatuh ke tangan yang salah, hasilnya bisa menjadi
bencana bagi organisasi.
Chapter 1- End