Ringkasan dokumen tersebut adalah: 1. Dokumen tersebut membahas tentang konsep dasar keamanan komputer dan penilaian keamanan komputer 2. Termasuk didalamnya adalah komponen standar keamanan komputer, klasifikasi ancaman keamanan, model serangan, dan penilaian keamanan seperti penilaian kerentanan dan uji penetrasi 3. Dokumen tersebut juga membahas metode serangan web umum dan alat-alat untuk pengujian keamanan

1. Computer Security
Presented by :
Digit Oktavianto
30 Maret 2012
BPPTIK Kominfo

2. Computer Security Basic Concept
Keamanan computer adalah tindakan pencegahan dari
serangan pengguna computer atau pengakses jaringan
yang tidak bertanggung jawab. Keamanan computer
berhubungan dengan pencegahan dini dan deteksi
terhadapa tindakan pengganggu yang tidak dikenali
dalam system computer.

3. Komponen Standar Computer
Security
 Confidentiality adalah menyembunyikan informasi
atau sumber daya
 Integrity mengacu pada keterpercayaan terhadap
data atau sumber informasi yang ada
 Availability memiliki arti bahwa data atau informasi
yang penting dapat dipergunakan oleh pengguna di
waktu-waktu tertentu.

4. Klasifikasi Keamanan Komputer
Berdasarkan Celah Keamanan
 Keamanan Fisik (Physical Security)
 Keamanan Personal (Personal Security)
 Keamanan Komunikasi (Communication
Security
 Keamanan Operasional (Operational Security)

5. Model Serangan Komputer
➲ Interruption
➲ Interception
➲ Modification
➲ Fabrication

6. Penggolongan Hacker Berdasarkan
Aktivitas Hacking
➲ Black Hat
➲ White Hat
➲ Grey Hat

7. Hacking Phase
➲ Reconnaisance
➲ Scanning
➲ Gaining Access
➲ Maintaining Access
➲ Covering Tracks

8. Security Assesment
Security assesment merupakan penilaian terhadap
keamanan infrastruktur yang ada dalam satu organisasi
atau perusahaan. Assesment ini merupakan suatu penilaian
seberapa besar suatu organisasi atau perusahaan
menerapkan prinsip keamanan komputer terhadap seluruh
perangkat dan jaringan yang dalam lingkup mereka
masing-masing.

9. Security Assesment (Cont'd..)
➲ Vulnerability Assesment
➲ Penetration Test

10. Vulnerability Assesment
Vulnerability assessment adalah proses pencarian
kelemahan yang ada pada target. Attacker melakukan
identifikasi apa saja celah yang ada dalam system, lalu
memberikan informasi berapa banyak kelemahan atau
celah yang ada pada system tersebut, lalu memberikan
urutan prioritas sesuai dengan besar atau kecilnya resiko
yang timbul dengan adanya celah keamanan tersebut.

11. Penetration Test
Penetration test adalah proses melakukan eksplorasi dan
eksploitasi lebih jauh ke dalam system target setelah
megetahui bug atau security hole yang di report pada
proses vulnerability assessment. Pada proses ini aktivitas
gaining access coba di lakukan oleh attacker. Attacker
akan mencoba mengeksploitasi celah keamanan sehingga
berhasil mendapatkan akses ke dalam system target.

12. Penetration Test (Cont'd..)
Ada 3 tipe penetration test berdasarkan
lokasi di lakukannya penetration test :
➲ White Box
➲ Black Box
➲ Grey Box

13. Vuln. Assesment Vs Pentest
Vulnerability Penetration Test
Assesment
Batasan Test Melakukan scanning terhadap Fokus melakukan eksploitasi
semua infratruktur yang terhadap celah keamanan yang
memungkinkan adanya celah telah ditemukan
keamanan
Tujuan Untuk mengelompokkan Hasil dari report penetration test
vulnerability berdasarkan digunakan untuk menambal celah
tingkatan besar atau kecilnya yang berhasil di eksploitasi, dan
risk, dan mengetahui berapa meneiliti seberapa jauh dampak
banyak jumlah celah yang ditimbulkan akibat celah
keamanan yang berisiko pada yang berhasil di eksploitasi
system tersebut

14. Vuln. Assesment Vs Pentest
(Cont'd..)
Proses Vulnerability assessment Penetration test merupakan active
merupakan passive process process
Manfaat Vulnerability assessment Penetration test mencoba
dilakukan untuk meningkatkan melakukan test apakah keamanan
keamanan komputer pada komputer yang telah diterapkan
system yang telah di terapkan, sudah efektif atau belum
menambal celah yang ada.
Hasil dan Report Report pada vulnerability Hasil penetration test adalah bisa
assessment ada yang benar- atau tidaknya pentester
benar mengungkapkan celah menembus celah keamanan yang
keamanan yang ada, namun ada, dan melaporkan cara
ada pula yang menunjukkan exploitasi yang digunakan untuk
false positive. menembus keamanan system
tersebut.

15. Tools Information Gathering
Nmap http://nmap.org/download.html
AutoScan http://autoscan-network.com/
AngryIP http://www.angryip.org/w/Download
Maltego http://www.paterva.com/web5/
FOCA http://www.informatica64.com/foca.aspx
TheHarvester
https://code.google.com/p/theharvester/

16. Tools Vuln. Assesment
Nessus http://www.tenable.com/products/nessus
OpenVAShttp://www.openvas.org/
Nexpose
http://www.rapid7.com/products/nexpose-community-edition.jsp
GFI Languard
http://www.gfi.com/network-security-vulnerability-scanner
Acunetix http://www.acunetix.com/vulnerability-scanner/
Nikto http://cirt.net/nikto2

17. Tools Pentest
Metasploit http://www.metasploit.com/download/
Armitage http://www.fastandeasyhacking.com/
SAP Bizploit
http://www.onapsis.com/research-free-solutions.php#
Canvas http://immunityinc.com

18. Web Security Attack
Keamanan web merupakan salah satu hal yang mutlak untuk
diterapkan, karena hampir sebagian besar kegiatan di dunia internet
dilakukan melalui fasilitas ini. Aktivitas social networking,
blogging, online learning, transaksi perbankan, perncarian
informasi, dan banyak aktivitas lainnya kita lakukan melalui media
website. Namun sayangnya masih banyak user yang tidak aware
mengenai keamanan web ini, sehingga banyak terjadi kejahatan
internet yang terhadi pada user, seperti pencurian akun social
networking, website yang di deface, phising, sampai pencurian
identitas penting lainnya.

19. Common Web Hacking Method
Cross Site Scripting (XSS)
Kelemahan XSS terjadi ketika aplikasi mengambil data
yang tidak dapat dipercaya dan mengirimnya ke suatu
web browser tanpa validasi yang memadai. XSS
memungkinkan penyerang mengeksekusi script-script di
dalam browser korban, yang dapat membajak sesi
pengguna, mengubah tampilan website, atau
mengarahkan pengguna ke situs-situs jahat.

20. Common Web Hacking … (Cont'd..)
SQL Injection
SQL injection exploits dan sejenisnya adalah hasil interfacing sebuah bahasa
lewat informasi melalui bahasa lain . Dalam hal SQL injection, sebuah bahasa
pemrograman seperti PHP atau Perl mengakses database melalui SQL query.
Jika data yang diterima dari pengguna akhir yang dikirim langsung ke database
dan tidak disaring dengan benar, maka yang penyerang dapat menyisipkan
perintah SQL nya sebagai bagian dari input.
Setelah dijalankan pada database, perintah ini dapat mengubah, menghapus,
atau membeberkan data sensitif.Lebih parah lagi jika sampai ke sistem eksekusi
kode akses yaitu mematikan database itu sendiri, sehingga tidak bisa memberi
layanan kepada web server.

21. Common Web Hacking … (Cont'd..)
Denial of Service
DoS adalah adalah jenis serangan terhadap sebuah komputer atau
server di dalam jaringan internet dengan cara menghabiskan
sumber (resource) yang dimiliki oleh komputer tersebut sampai
komputer tersebut tidak dapat menjalankan fungsinya dengan
benar sehingga secara tidak langsung mencegah pengguna lain
untuk memperoleh akses layanan dari komputer yang diserang
tersebut.

22. Common Web Hacking … (Cont'd..)
Cross Site Request Forgery
Suatu serangan CSRF memaksa browser korban yang sudah
log-on untuk mengirim HTTP request yang dipalsukan,
termasuk di dalamnya session cookie korban dan informasi
otentikasi lain yang otomatis disertakan, ke suatu aplikasi
web yang rentan. Hal ini memungkinkan penyerang untuk
memaksa browser korban menghasilkan request yang
dianggap sah oleh aplikasi rentan tadi.

23. Common Web Hacking … (Cont'd..)
Directory Traversal Attack
Directory Traversal adalah suatu serangan yang
mengeksploitasi engine (web server) yang
memungkinkan penyerang mengakses direktori
yang dibatasi dan mengeksekusi command diluar
direktori root web server.

24. Tools Web Security Testing
Vega http://www.subgraph.com/
OWASP ZAP
https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project
Webscarab
https://www.owasp.org/index.php/Category:OWASP_WebScarab_Proje
Arachni http://arachni-scanner.com/
Burp http://portswigger.net/burp/

25. Tools Web Security Testing
(Cont'd..)
Websecurify http://www.websecurify.com/
Skipfish https://code.google.com/p/skipfish/
Grendel-Scan
http://grendel-scan.com/download.htm
OWASP Mantra
https://www.owasp.org/index.php/OWASP_Mantra_-_Security_Framework
W3af http://w3af.sourceforge.net/