Setelah pada posting sebelumnya kita membahas tentang keamanan sistem informasi maka pada posting kali ini gw akan meng-evaluasi keamanan sistem informasi yang kemarin, sesuai dengan modul bsi yang katanya disusun sama dosen" petinggi bsi, tapi katanya lho ya... tau deh aslinya :)
Oke.. sekarang kita balik ke topik tentang evaluasi keamanan sistem informasi, di dalam modulnya bsi menulis - Meski sebuah sistem informasi sudah dirancang memiliki pengamanan, tetapi dalam perjalanannya keamanan jaringan harus selalu dimonitor. Hal ini disebabkan oleh beberapa faktor yaitu :
- Selalu ditemukannya lubang keamanan yang baru, seperti halnya windows milik microsoft selalu saja ditemukan lubang keamanan baru (security hole) oleh para hacker;
- Kesalahan konfigurasi, bisa mengakibatkan timbulnya celah keamanan pada suatu sistem. Misalnya mode (permission atau kepemilikan) dari berkas yang menyimpan password secara tidak sengaja diubah sehingga dapat diubah oleh orang-orang yang tidak berhak;
- Penambahan perangkat baru (hardware/software) yang menyebabkan menurunnya tingkat security dan berubahnya metode pengoprasian sistem. Itu jelas karena sebuah sistem tetap membutuhkan seorang administrator, dan seoarang admin pasti membutuhkan penyesuaian jika sistemnya diubah atau diganti dengan yang baru.
Sumber Lubang Keamanan, Lubang keamanan (security hole) menurut Budi Raharjo (Dosen ITB) dapat disebabkan karena Salah Desain, Salah Implementasi, Salah Konfigurasi, dan Salah Penggunaan.
- Salah Desain, Contoh sistem yang lemah desainnya adalah sistem enkripsi ROT13 dimana karakter pesan dan hasil enkripsi diubah dengan menggeser 13 karakter alphabet saja, Meski diimplementasi dengan pemrograman yang sangat teliti sekalipun jika orang mengetahui logika dan algoritma nya pasti enkripsi nya bisa ketahuan.
- Salah Implementasi, banyak program dan sistem yang salah pengimplementasiannya disebabkan karena programer terburu-buru karena dikejar deadline dalam mengimplementasikan programnya jadi lupa ditest atau didebug. Contoh, programer tidak/lupa memfilter form input yang menyebabkan karakter-karakter khusus dapat masuk. Jika karakater khusus ini dibiarkan masuk maka hacker dapat merubah tampilan website melalui javascript atau script shell..! ini sangat berbahaya.
- Salah Konfigurasi, Desain sempurna, Implementasi baik, namun konfigurasi salah! hancurlah sistem itu..Contoh, kesalahan konfigurasi permission / perizinan / Hak akses pada sistem UNIX misalnya dapat fatal, sebuah file/direktori yang menyimpan data password jika belum dikonfigurasi dan masih writeable bisa disalah gunakan oleh pemakai dan bisa diubah-ubah.
- Salah Penggunaan, Jika semua sistem sudah baik maka tinggal disisi user saja sisanya. Sistem sebaik dan sesempurna mungkin akan sia-sia jika usernya tidak memahami. Contoh, seorang user salah memberi perintah karena ketidaktahuannya dan memformat hardisk komputer. Wah kaco banget dah.. gw sering banget nih, komputer dirumah sering banget erorr karena adek gw yang asal utak-atik, klik sana klik sini.. untungnya kaga pernah nyampe keformat paling-paling wordnya kaga bisa di buka terus sering hang.
Kedua, meng-evaluasi keamanan sistem informasi juga bisa kita gunakan dengan menggunakan tools penguji keamanan sistem. Untuk sistem yang basisnya UNIX ada bebrapa tools yaitu : Cops, Tripwire, Satan/Saint, SBScan : Localhost Secuty Scanner. Selain tools2 diatas ada juga tools2 yang dibuat hacker untuk kepentingannya. antara lain :
- Crack : program ini dibuat untuk memcahkan password dengan cara Brute Force menggunakan kamus. jadi program ini mencoba mencocokkan password dengan kata dikamus. Karena itu jangan menggunakan password dengan kata yang ada di kamus.
- Land / Latierra : program yang dibuat untuk membuat windows NT dan windows 95 hang.
- Ping-o-Death : program ping yang dapat membuat crash windows 95 / NT dan beberapa versi UNIX
- winuke : program untuk memacetkan sistem berbasis windows
- dan banyak lagi tools-tools lain yang bisa didapetin gratis di internet
- SMTP, Service untuk mengirim email pake protocol TCP dan dengan port 25
- FTP, Service untuk tranfer file pake protocol TCP, dengan port 21
- HTTP, Service untuk web server pake protocol TCP, dengan port 80
- DNS, Service untuk domain pake protocol TCP dan UDP, dengan port 53
- POP3, Service untuk mengambil email pake protocol TCP, dengan port 110
unix% telnet target.host.com 25 Trying 127.0.0.1... Connected to target.host.com. Escape character is '^]'. 220 dma-baru ESMTP Sendmail 8.9.0/8.8.5; Mon, 22 April 2009 10:18:54 +0700
Begitu juga untuk melihat service-service lainnya, tinggal ubah portnya... Namun sekarang ini ada tools khusus yang bisa dipake buat probing khusus untuk sistem UNIX yaitu nmap, strobe dan tcpprobe. Dan kalo untuk windows 95/98/NT bisa pake Netlab, Cyberkit, Ogre.
Ada satu lagi yang termasuk kegiatan probing yaitu OS fingerprinting, yaitu kegiatan probe khusus untuk mendeteksi Sistem Operasi sebuah server. Fingerprinting cara tradisional dilakukan pake telnet sama kaya probe-probe sebelumnya, tapi ada tools buat fingerprinting kalo lw mau ada nmap, dan queso.
Yah Cukup sekian penjabaran panjang tentang cara-cara mendeteksi celah keamanan dan meng-evaluasi keamanan suatu sistem informasi. Lebih dan kurangnya mohon maap, wabillahi taufik walhidayah... samlikum wr wb... :D