Chapter 1: Introduction To

Ethical Hacking
 Technology Brief

Information Security
Overview
 Apa itu Keaman Informasi?

• Sebuah metode dan proses untuk melindungi

informasi dan system informasi dari akses yang
tidak sah, penyingkapan informasi, dan
penggunaan serta modifikasi informasi tersebut.

• Keamanan informasi memastikan kerahasiaan,

integritas, dan ketersediaan dari suatu informasi.
 Apa itu Keaman Informasi?

• Sebuah organisasi tanpa kebijakan keamanan dan

peraturan keamanan yang tepat memiliki resiko yang
tinggi, dan kerahasiaan suatu informasi dan data yang
berhubungan dengan onrganisasi tersebut menjadi tidak
aman dengan kurangnya kebijakan kemanan tersebut.

• Sedangkan, sebuah organisasi dengan kebijakan dan

prosedur keamanan yang jelas akan membantu untuk
melindungi aset organisasi tersebut dari akses tidak sah
dan kebocoran informasi.
 Apa itu Keaman Informasi?

• Dalam dunia modern, dengan segala kemajuan

teknologi yang ada, jutaan pengguna saling berinteraksi
setiap menit. Dan dalam 60 detik tersebut bisa saja
menjadi rentan dan mahal bagi suatu organisasi swasta
maupun organisasi publik karena adanya berbagai jenis
ancanaman lama dan modern di seluruh dunia saat ini.
• Kode dan script yang berbahaya, virus, spam, dan
malware selalu menanti kalian.
• Karna itu, resiko keamanan pada suatu jaringan atau
system tidak boleh dihilangkan.
 Apa itu Keaman Informasi?

• Akan sangat baik jika kita selalu mengimplementasikan

kebijakan keamanan yang efektif dan menguntungkan
bagi organisasi kita dibandingkan aplikasi dengan
implementasi yang tidak penting yang hanya
membuang-buang sumber daya dan menciptakan celah
keamanan sehingga dapat terjadi suatu serangan.
 Security Objectives

Objek keaman kita terdiri dari 3 konsep dasar berikut:

• Data Breach
• Essential Terminology
• Elements Of Information Security
 Data Breach

eBay Data Breach

• Salah satu contoh nyata dari dibutuhkannya keaman
informasi dan jaringan dalam suatu perusahaan adalah
kasus bocornya data eBay.
• eBay adalah salah satu situs pelelangan online yang
digunakan di seluruh dunia.
• Pada tahun 2014, eBay mengumumkan telah terjadi
pembobolan data yang mengandung data sensitive dari
eBay.
 Data Breach

eBay Data Breach

• Data yang dimiliki oleh sekitar 145 juta pengguna
dikabarkan bocor pada serangan ini.
• Dilansir dari eBay, kebocoran data meliputi:
– Nama Pengguna
– Password yang terenkripsi
– Email
– Alamat
– Nomor kontak
– Tanggal Lahir
 Data Breach

eBay Data Breach

• Informasi ini sangat sensitive dan harus disimpan
dengan cara di enkripsi dengan menggunakan metode
enkripsi yang sangat kuat, dan tidak di simpan hanya
dalam plain text atau teks mentah saja.
• eBay menjelaskan tidak ada informasi terkait data
rahasia seperti data kartu kredit yang bocor.
 Essential Terminology

• Hack Value
– Istilah yang berarti nilai retas ini mengacu pada nilai yang menunjukkan daya
Tarik, minat, atau seuatu yang layak. Nilai menggambarkan tingkat daya tarik
target bagi para peretas.
• Zero-Day Attack
– Zero-Day Attacks mengacu pada ancaman dan vulnerability (celah/kelemahan)
yang dapat di ekslpoitasi sebelum developer mengidentifikasi atau mengatasi
dan merilis patch terkait dengan celah tersebut.
• Vulnerability
– Vulnerability mengacu pada titik kelamahan, celah keamanan, atau penyebab
dari suatu system maupun jaringan yang dapat membantu dan dimanfaaatkan
oleh penyerang untuk melewati suatu celah. Vulnerability apapun dapat menjadi
jalan masuk bagi penyerang untuk mencapai target.
 Essential Terminology

• Daisy Chaining
– Daisy Chaining adalah proses berurutan dari beberapa percobaan peretasan
atau serangan untuk mendapatkan akses ke jaringan atau system, satu setelah
yang lainnya, dengan menggunakan informasi yang sama dan informasi yang
didapat dari percobaan sebelumnya.
• Exploit
– Exploit adalah penerobosan suatu system keamanan melalui Vulnerability, Zero-
Day Attacks atau Teknik peretasan yang lain.
• Doxing
– Istilah doxing mengacu pada penerbitan informasi atau serangkaian informasi
terkain dengan seseorang. Informasi ini dikumpulkan melalui publik, kebanyakan
dari social media atau dari sumber lain.
 Essential Terminology

• Payload
– Payload mengacu pada mengacu pada bagian aktual dari informasi atau data
dalam suatu bingkai yang bertentangan dengan metadata yang dihasilkan
secara otomatis. Dalam keamanan informasi, Payaload adalah seksi atau bagian
dari suatu kode exploit atau kode berbahaya yang dapt menyebabkan suatu
potensi aktifitas berbahaya seperti exploit, membuka backdoor, dan pembajakan.
• Bot
– Bot adalah software yang digunakan untuk mengontrol target secara remote dan
untuk menjalankan tugas-tugas yang sudah di tentukan sebelumnya. Bot dapat
berjalan secara otomatis dengan menggunakan skrip melalui internet. Bot juga
dapat diketahui sebagai Internet Bot atau Web Robot. Bot ini dapat digunakan
untuk keperluan Sosial seperti chat bot, keperlun komersial, dan keperluan
berbahaya seperti bot spam, virus dan penyebaran worms, botnet, dan DDoS
Attack.
 Elements of
Information Security
• Confidentiality (Kerahasiaan)
– Kita ingin memastikan bahwa kerahasiaan dan kesensitifan suatu data
itu aman. Kerahasiaan berarti haya orang-orang yang diizinkan dan sah
saja yang diizinkan untuk bekerja dan melihat sumber daya dari
infrastruktur digital kita. Itu juga berarti orang yang tidak sah dan tidak
memiliki izin tidak boleh mengakses data tersebut. Ada 2 tipe data
secara umum, yaitu, data yang bergerak seperti data dalam jaringan,
dan data yang tidak bergerak, seperti data dalam media penyimpanan
(Seperti server, harddisk, dan cloud). Untuk data yang bergerak, kita
harus memastikan data dienkripsi terlebih dahulu sebelum di kirim
melalui jaringan. Pilihan lainnya yang bisa kita lakukan adalah dengan
memisahkan jalur antara data sensitive dan data tidak sensitive. Untuk
data yang tidak bergerak, kita bias menggunakan enkripsi pada media
penyimpanan sehingga data tidak dapat dibaca dengan mudah jika
suatu saat media tersebut di curi.
 Essential Terminology

• Integrity (Integritas)
– Kita tidak mau data kita di akses atau di manipulasi oleh orang yang tidak
mimiliki izin atau tidak sah. Integritas data memastikan hanya kelompok yang
memiliki izin yang dapat memodifikasi data tersebut.
• Availability (Ketersediaan)
– Availability berlaku pada system dan data. Jika orang yang mimiliki izin dan sah
tidak dapat mengakses data terkait dengan gangguan jaringan atau serangan
Denial-Of-Service (DOS), maka ada masalah selama bisnis berjalan. Itu juga
dapa menyebabkan kehilangan pendapatan atau pencatatan hasil yang penting.
 Essential Terminology

• Kita dapat menggunakan konsep “CIA” untuk mengingat dasar dari

konsep keamanan yang paling penting.
 Essential Terminology

• Authenticity (Otentikasi/Keaslian)
– Authentication adalah proses yang mengidentifikasi pengguna, atau perangkat
untuk mendapatkan izin, akses, aturan dan kebijakan tertentu. Demikian pula,
otentikasi memastikan keaslian dari informasi tertentu dari pengguna valid untuk
menjadi sumber dari informasi dan pesan transaksi. Proses otentikasi
diindentifikasi melalui fungsi kombinasi seperti username dan password.
• Non Repudiation (Tidak adanya penolakan)
– Non Repudiation adalah salah satu pilar dari Information Assurance (IA) yang
memastikan transmisi informasi dan penerimaan informasi antara pengirim dan
penerima melalui Teknik berbeda seperti digital signature dan ekripsi. Non-
repudiation memastikan komuikasi dan autentikasinya, sehingga pengirim tidak
dapat mengelak dari apa yang mereka kirim, dan juga penerima tidak dapat
mengelak dari apa yang mereka terima.
Essential Terminology
The Security, Functionality, and
Usability Triangle
Selesai