Keamanan Web dan

Keamanan Email
POIN-POIN PEMBAHASAN

Keamanan Web Keamanan Email

▪ keamanan pada server www ▪ format e-mail
▪ keamanan pada client www ▪ Penyadapan

▪ Pemalsuan

▪ penyusupan virus

▪ Mailbomb

▪ mail relaying

2
HELLO!
I AM AHMAD SARIPUDIN
NIM : 0203161011

3
 1.
KEAMANAN SERVER
WWW
Let’s start with the first set of slides
 “
Keamanan server menjadi hal yang harus diutamakan terlebih lagi bagi
seorang administrator, secara tidak langsung dengan
memasang server WWW di sistem Anda, Anda membuka akses ke dunia
luar (meskipun secara terbatas). Apabila server Anda terhubung
ke internet dan memang server WWW Anda disiapkan untuk
di akses oleh publik, Anda harus lebih berhati-hati sebab Anda membuka
pintu akses ke seluruh dunia

5
 “
Server WWW menyediakan fasilitas agar client dari tempat lain dapat
mengambil informasi dalam bentuk berkas (file) atau mengeksekusi
perintah (menjalankan program) di server.

6
Fasilitas pengambilan file di server beragam diantaranya :

Fasilitas pengambilan file di server beragam diantaranya dilakukan

dengan perintah GET, sementara mekanisme untuk mengeksekusi
perintah di server dapat dilakukan dengan CGI (Common Gateway
Interface), Server-side Include (SSI), Active Server Page (ASP),
PHP, atau dengan menggunakan servlet (seperti penggunaan Java
Servlet).

7 7
 “
Kedua jenis servis di atas (bisa mengambil berkas maupun menjalankan
program di server) memiliki potensi lubang keamanan yang berbeda.
Adanya lubang keamanan di sistem server WWW dapat dieksploitasi
dalam bentuk yang beragam, antara lain:

8
Adanya lubang keamanan di sistem server WWW dapat dieksploitasi dalam bentuk
yang beragam, antara lain

 Informasi yang ditampilkan di server diubah sehingga dapat mempermalukan

perusahaan atau organisasi Anda (dikenal dengan istilah deface).

 Informasi yang semestinya dikonsumsi untuk kalangan terbatas (misalnya

laporan keuangan, strategi perusahaan Anda, atau database client Anda)
ternyata berhasil disadap oleh saingan Anda (ini mungkin disebabkan salah
setup server, salah setup router/firewall, atau salah setup autentikasi).

9 9
Adanya lubang keamanan di sistem server WWW dapat dieksploitasi dalam bentuk
yang beragam, antara lain

▪ Informasi dapat disadap (seperti misalnya pengiriman nomor kartu kredit untuk membeli
melalui WWW atau orang yang memonitor kemana saja Anda melakukan web surfing).

▪ Server Anda diserang (misalnya dengan memberikan request secara bertubi-tubi) sehingga
tidak bisa memberikan layanan ketika dibutuhkan (Denial of Service Attack).

▪ Untuk server web yang berada di belakang firewall, lubang keamanan di server web yang
dieksploitasi dapat melemahkan atau bahkan menghilangkan fungsi firewall (dengan
mekanisme tunneling).

10 10
 2.
KEAMANAN CLIENT
WWW
Pelanggaran Privacy

▪ Adanya penyimpanan data browsing pada “cookie” yang fungsinya adalah

untuk menandai kemana user browsing.

▪ Adanya situs web yang mengirimkan script (missal Javascript) yang melakukan
interogasi terhadap server client (melalui browser) dan mengirimkan informasi
ini ke server.

12 12
Attack (via active script, javascript, java)

▪ Pengiriman data-data komputer (program apa yang terpasang, dsb.)

▪ DoS attack (buka windows banyak)
▪ Penyusupan virus, Trojan horse, spyware

13 13
Keamanan
Email

14
YOU CAN ALSO SPLIT YOUR CONTENT

Saat ini email menjadi sarana komunikasi yang semakin banyak

digunakan. Di negara maju, email bahkan sudah menjadi komunikasi
utama di kantor atau antara pelanggan dan nasabahnya.
Pemberitahuan rapat dan segala hal yang menyangkut urusan kantor
menjadi sangat praktis dengan menggunakan email. Bahkan ada bannk
yang menggunakan email sebagai komunikasi utama untuk
menyampaikan tagihan kartu kredit atau komunikasi penting lainnya.

15
Konsep Dasar Keamanan Email

Untuk dapat mengantisipasi pembajakan email maka kita harus

mengetahui modus yang digunakan seseorang untuk mendapatkan
username dan password kita. Umumnya account email disalahgunakan
oleh orang lain karena kelalaian dari pemilik account tersebut.

16
Beberapa aspek keamanan yang perlu menjadi perhatian dalam pengiriman e-mail
antara lain:

▪ Confidentiality, yaitu menjamin kerahasiaan pesan sehingga hanya orang yang berhak yang
dapat membacanya.
▪ Message Integrity, yaitu menjamin integritas pesan bahwa pesan tidak akan mengalami
perubahan selama proses pengiriman.
▪ Non repudiation, yaitu memberikan bukti dan jaminan bahwa pesan tersebut memang benar
berasal dari si pengirim pesan sehingga tidak bisa disangkal lagi bahwa ia pernah mengirim pesan
tersebut.
▪ Authentication, yaitu menjamin keautentikan pesan bahwa pesan tersebut memang benar dari
si pengirim pesan dan penerima pesan juga memang benar penerima yang dimaksud oleh si
pengirim bukan orang lain.

17
 Want big impact?
Serangan pada e-mail

18
1. Disadap

Potensi penyadapan ini dapat terjadi karena pengiriman email menggunakan

protokol SMTP (Simple Mail Transport Protocol) yang tidak menggunakan
enkripsi. Jika kita berada pada satu jaringan yang sama denganorang yang
mengirim email, atau yang dilaluioleh email, maka kita bisa menyadap email
dengan memantau port 25,yaitu port yang digunakan oleh SMTP.

19
1. Disadap

Agar email aman dari penyadapan maka ada bebrapa hal yang perlu
diperhatikan yaitu :
▪ enkripsi untuk mengacak isi dari email. Header dari email tetap tidak dapat
dienkripsi karena nanti akan membingungkan MTA.
▪ Menggunakan program (tools) yang dapat mempermudah atau
mengotomasi ini semua. Contoh: Pretty Good Privacy (PGP), GnuPG, dan
PEM.

20
2. Dipalsukan

Pada prinsipnya koneksi email awalnya memudahkan membuat email palsu

dengan membuat header sesuka kita, sehingga perlu adanya pengecekan
header email untuk mengetahui asal email dan bisa juga menggunakan
teknologi digital signature.
Cara untuk melindungi kita dari email palsu adalah dengan melihat header dari
email. Perhatikan tempat-tempat yang dilalui oleh email tersebut

21
3. Disusupi virus

Sebuah virus e-mail berupa kode komputer dikirimkan sebagai lampiran

catatan e-mail yang, jika diaktifkan, akan menyebabkan beberapa efek yang
tidak dikehendaki dan biasanya berbahaya, seperti menghancurkan file
tertentu pada hard disk dan

menyebabkan lampiran yang akan remailed untuk semua orang dalam buku
alamat.

22
3. Disusupi virus

Solusi untuk mengurangi dampak terhadap penyusupan virus adalah :

▪ menggunakan anti-virus dengan data (signature) yang terbaru. Program

anti-virus ini harus diperbaharui secara berkala.

▪ Pengamanan lain adalah dengan melakukan pemeriksaan terhadap virus

pada level mail server.

23
4. Spamming

Spam adalah email yang tidak diminta oleh pengguna (unsolicitied email) yang
di kirim ke banyak orang. Contoh email yang berisi spam adalah : iklan, undian,
informasi palsu, phishing, penipuan, dan lain sebagainya.

24
4. Spamming

Berikut adalah beberapa pencegahan yang dapat Anda lakukan untuk mengurangi spam :

▪ Pergunakan Software anti-spam, Spam Assassin. Namun, software tersebut tidak dapat

menjamin email box anda terbebas dari email spam secara keseluruhan.

▪ Customer disarankan menggunakan SMTP dari ISP tempat anda melakukan koneksi ke Internet.

Karena dengan menggunakan SMTP ISP maka email akan lebih cepat terkirim dibandingkan

dengan menggunakan SMTP server IndoSite, karena routingnya lebih pendek.

http://www.indosite.com/tutorials/pengertian-e-mail-spam-dan-pencegahannya.

25
5. Mail bomb

Email Bomb merupakan istilah untuk email yang dipergunakan untuk melumpuhkan komputer yang

terhubung ke Internet, bahkan seluruh jaringan komputer perusahaan dapat dilumpuhkan dengan

Email Bomb ini. Metode paling sederhana dari email bomb ini adalah dengan mengirimkan sejumlah

besar email berukuran besar ke alamat email korban.

26
5. Mail bomb

Proteksi terhadap mailbomb adalah :

▪ Pembatasan quota email dari pengguna, misalnya dibatasi 20 MBytes, sehingga jika dia kena

mailbomb tidak mengganggu pengguna lainnya.

▪ Menjalankan program yang mendeteksi mailbomb. Program ini menganalisa isi email (dengan

menggunakan checksum) dan membandingkan dengan email-email sebelumnya. Jika email sama

persis dengan email sebelumnya maka email ini dapat dihilangkan. Namun kinerja program

khusus ini masih dipertanyakan, khususnya untuk server mail yang banyak menerima email.

27
6. Mail relay

▪ Mail relay Adalah fasilitas untuk mengirimkan email dengan menumpangkan kepada server yang
di sebut relay. Server

▪ tersebutlah yang nantinya mengirimkan email ke alamat tujuan. Fasilitas ini digunakan untuk
mengurangi beban dari workstation atau PC untuk mengirimkan email dengan melakukan
sentralisasi pengiriman email. Akan tetapi sayangnya fasilitas ini sering diabuse untuk
mengirimkan junk mail, yang disebut spamming, dengan menumpang mail server milik orang
lain. Akibat dari tumpangan ini, mail server tersebut menjadi terbebani dan dijadikan tempat
untuk meluncurkan spamming. Agar sistem anda tidak ditumpangi oleh orang-orang yang tidak
berhak menggunakan mail server anda, maka anda harus mengkonfigurasi mail server sehingga
tidak boleh dijadikan relay oleh orang lain (kecuali oleh user).

28
 Solusi?
Paket pengamanan e-mail

29
1. PGP (Pretty Good Privacy)

▪ PGP merupakan program komputer yang sering dipakai dalam proses kriptografi dan autentikasi
pengiriman data komputer. PGP pertama diperkenalkan pada tahun 1991 oleh Philip
Zimmermann untuk menyandikan data dalam pengiriman surat elektronik. Dalam proses
penyandian data ini, PGP mengikuti standar RFC 4880.

▪ Enkripsi PGP menggunakan kombinasi seri dari hash, kompresi data, kriptografi kunci-simetris,
dan kriptografi kunci-umum; setiap langkah menggunakan sebuah algoritma. Setiap kunci umum
terikat dengan nama pengguna atau alamat surat elektronik.

30
2. Privacy Enhanced E-mail (PEM)

▪ PEM adalah adalah standar Internet yang menyediakan untuk pertukaran informasi yang aman
dari surat elektronik. PEM mempekerjakan berbagai teknik kriptografi untuk memungkinkan
kerahasiaan, otentikasi pengirim, dan integritas pesan. Aspek integritas pesan memungkinkan
pengguna untuk memastikan bahwa pesan belum diubah selama transportasi dari pengirim.
Otentikasi pengirim memungkinkan pengguna untuk memverifikasi bahwa pesan PEM bahwa
mereka telah menerima benar-benar dari orang yang mengaku telah mengirim itu. Fitur
kerahasiaan memungkinkan pesan yang akan dirahasiakan dari orang-orang kepada siapa pesan
itu tidak dibahas.

31
THANKS!
ANY QUESTIONS?
You can find me at:
▪ Ahmadsyarifudin.web.id

32