PENGERTIAN DEFENSE IN DEPTH

Apa itu Defense in Depth Strategy? Strategi ini mengarah pada sistem pengamanan informasi yang bekerja dengan serangkaian mekanisme perlindungan dan diinstal dalam peralatan jaringan komputer dan pusat data. Sistem perlindungan ini bekerja secara maksimal untuk melindungi data penting yang tersimpan dalam PC komputer anda dari serangan cyber virus yang menyerang komputer anda dengan berbagai cara.

Alasan dibalik kemunculan strategi Defense in Depth adalah adanya keraguan terhadap sistem proteksi satu lapis untuk menangkal serangan cyber. Dengan strategi yang melibatkan beberapa lapisan proteksi, serangan tersebut bisa ditangkal secara efektif. Dalam proses pengamanan data, teknisi perlu melakukan screening terhadap data-data yang tersimpan dalam komputer dan menyaring beberapa data yang tidak diperlukan lagi demi kepentingan cyber security.

Ada banyak manfaat yang bisa diperoleh dari strategy defense in depth. Salah satunya adalah melindungi data penting dan meningkatkan proteksi peralatan jaringan komputer dengan biaya terjangkau. Anda tidak perlu merogoh kocek begitu dalam agar bisa memasang proteksi handal dalam komputer anda. Sistem proteksi ini mampu melakukan pengecekan secara rutin terhadap sistem proteksi data. Dengan adanya fasilitas tersebut, kerusakan yang terjadi bisa ditangani secara langsung.

Agar bisa memonitor langsung peralatan security pada komputer anda, strategi proteksi ini mampu menyusun beberapa security device agar bisa dikontrol secara langsung dan memberi manfaat yang lebih optimal. Adapula sistem load balancing yang berfungsi mengontrol dan menstabilkan security tool yang terlewat dan menghindari subscription yang berlebihan.

Selain itu, anda bisa mempercayakan strategi Network Access Protection (NAP) untuk pengamanan peralatan jaringan komputer. Ini adalah sebuah solusi terpercaya untuk mengontrol akses yang digunakan untuk menganalisis identitas sebuah komputer dan membutuhkan sistem regulasi rumit untuk mengendalikannya. NAP menyediakan beberapa persyaratan untuk bisa memasuki program network access berdasarkan identitas pribadi dan sekelompok orang. Dengan kata lain, ada beberapa ketentuan yang mesti ditaati sebelum membiarkan seseorang memasuki jaringan komputer tertentu. Sistem proteksi ini dilengkapi dengan customized health checks untuk kontrol rutin pada kestabilan sistem keamanan peralatan jaringan komputer.

Dengan cara ini, setiap ada akses baru yang masuk, terdapat pengecekan dan pemindaian agar tidak ada virus yang masuk. Apabila ada kecurigaan terhadap serangan cyber maka data tersebut akan dikarantina. Semakin canggih proteksi pengaman komputer yang ada di peralatan jaringan komputer anda, semakin canggih pula para tracker untuk membobol sistem keamanan komputer anda, sehingga diperlukan upgrade secara reguler. Ada satu hal yang perlu diperhatikan bahwa sistem proteksi tersebut memerlukan upgrade rutin agar sistem operasi berjalan secara maksimal

Advertisements
PENGERTIAN DEFENSE IN DEPTH

PERMENKOMINFO NO 4 TAHUN 2016

PERMENKOMINFO No. 14 Tahun 2016 memiliki tujuan untuk melakukan standarisasi mengenai system elektronik dimana didalam PERMENKOMINFO tersebut dijelaskan apa yang dimkasud dengan Sistem Elektronik, apa yang dimaksud dengan Penyelenggara Sistem Elektronik, apa yang dimaksud dengan Lembaga Sertifikasi. Peraturan tersebut dibetuk oleh kominfo untuk membuat transaksi dan pembuat dari system elektronik memiliki standar keamanan yang baik dan memiliki kualitas yang baik, dimana dalam PERMENKOMINFO No. 14 Tahun 2016 terdapat rujukan terhadap SNI ISO/IEC 27001 sebagai acuan untuk standar keamanan dalam PEREMNKOMINFO tersebut.

Dalam PERMENKOMINFO No. 14 Tahun 2016, dilakukan pendeskripsian mengenai Sistem Elektronik, dimana pada pasal 1 disebutkan bahwa yang dimaksud dengan Sistem Elektronik adalah serangkaian perangkat dan prosedur elektronik yang berfungsi mempersiapkan, mengumpulkan, mengolah, menganalisis, menyimpan, menampilkan, mengumumkan, mengirimkan, dan/atau menyebarkan Informasi Elektronik. Dan yang dimaksud dengan Penyelenggara Sistem Elektronik adalah setiap Orang, penyelenggara negara, Badan Usaha, dan masyarakat yang menyediakan, mengelola, dan/atau mengoperasikan Sistem Elektronik secara sendiri-sendiri maupun bersama-sama kepada Pengguna Sistem Elektronik untuk keperluan dirinya dan/atau keperluan pihak lain.

Pada BAB III mengenai STANDAR SISTEM MANAJEMEN PENGAMANAN INFORMASI dalam PERMENKOMINFO Pasal 7 Ayat 1 dijelaskan bahwa sebuah penyelenggara Sistem Elektronik harus menggunakan SNI ISO/IEC 27001 dan ketentuan pengamanan yang ditetapkan oleh instansi pegawas. Pada penyelenggara Sistem Elektronik rendah harus menerapkan pedoman Indeks Keamanan Informasi, dimana Ketentuan mengenai pedoman Indeks Keamanan Informasi sebagaimana dimaksud pada ayat (3) diatur dalam Peraturan Menteri.

Pada BAB III Pasal 8, dijelaskan bahwa penerapan standar dan pedoman sebagaimana dimaksud dalam Pasal 7, Penyelenggara Sistem Elektronik dapat menggunakan Tenaga Ahli internal dan/atau Tenaga Ahli eksternal. Dalam hal penerapan standar sebagaimana dimaksud dalam Pasal 7 ayat (1), terhadap Sistem Elektronik strategis, Penyelenggara Sistem Elektronik harus menggunakan Tenaga Ahli berkewarganegaraan Indonesia.

Pada pasal 13 ayat 1 dijelaskan mengenai lembaga sertifikasi, dimana Lembaga Sertifikasi mengajukan permohonan pengakuan sebagai Lembaga Sertifikasi kepada Menteri dibuat sesuai Format 2 sebagaimana tercantum dalam Lampiran yang merupakan bagian tidak terpisahkan dari Peraturan Menteri ini. Dan pada ayat 5 dijelaskan bahwa Menteri menetapkan pengakuan terhadap Lembaga Sertifikasi sebagaimana dimaksud pada ayat (1) sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi paling lambat 14 (empat belas) hari kerja setelah permohonan dinyatakan lengkap.

Pada BAB IV mengenai PENERBITAN SERTIFIKAT, PELAPORAN HASIL SERTIFIKASI, DAN PENCABUTAN SERTIFIKAT dijelaskan Sertifikasi Sistem Manajemen Pengamanan Informasi harus dilakukan sesuai dengan proses Penyelenggaraan Sistem Elektronik dengan memperhatikan tingkat Risiko sebagaimana dimaksud dalam Pasal 4.  Lembaga Sertifikasi menugaskan tim Auditor untuk melakukan audit Sistem Manajemen Pengamanan Informasi terhadap Penyelenggara Sistem Elektronik. Lembaga Sertifikasi menerbitkan Sertifikat Sistem Manajemen Pengamanan Informasi bagi Penyelenggara Sistem Elektronik yang telah memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2).

Dalam PERMENKOMINO No. 14 Tahun 2016 dijelaskan bahwa lembaga sertifikasi dapat melakukan pencabutan sertifikast apabila terdapat hasil audit pengawasan (surveillance audit) sebagaimana dimaksud dalam Pasal 19 tidak memenuhi standar sebagaimana dimaksud dalam Pasal 7 ayat (1) dan Pasal 7 ayat (2), Lembaga Sertifikasi wajib mencabut Sertifikat Sistem Manajemen Pengamanan Informasi terkait. Pencabutan sebagaimana dimaksud pada ayat (1) wajib dilaporkan oleh Lembaga Sertifikasi kepada Direktur Jenderal paling lambat 2 (dua) hari kerja sejak dilakukan pencabutan.

Pada BAB X dijelaskan mengenai sanksi pada penyelenggara Sistem Elektornik yang dijelaskan pada pasal 25 sebagai berikut. Menteri memberikan sanksi administratif pada Penyelenggara Sistem Elektronik yang melakukan pelanggaran ketentuan sebagaimana dimaksud dalam Pasal 10 ayat (1) dan Pasal 22 ayat (2). Penghentian sementara Nama Domain Indonesia sebagaimana dimaksud pada ayat (2) huruf b dikenakan apabila dalam jangka waktu 6 (enam) bulan tidak mematuhi teguran tertulis sebagaimana dimaksud pada ayat (3).

Lembaga Sertifikasi dikeluarkan dari daftar Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi sebagaimana dimaksud pada ayat (2) huruf b apabila dalam jangka waktu 30 (tiga puluh) hari kerja tidak mematuhi teguran tertulis sebagaimana dimaksud pada

ayat (3). Pada saat Peraturan Menteri ini mulai berlaku, Penyelenggara Sistem Elektronik yang Sistem Elektroniknya telah memperoleh Sertifikat Sistem Manajemen Pengamanan Informasi dengan menggunakan standar selain SNI ISO/IEC 27001 sebelum berlakunya Peraturan Menteri ini, wajib menyesuaikan dengan Peraturan Menteri ini dalam jangka waktu paling lambat 2 (dua) tahun sejak berlakunya Peraturan Menteri ini.

Dalam hal Peraturan Menteri mengenai Tenaga Ahli belum diundangkan pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Tenaga Ahli yang berkompeten. Pada saat Peraturan Menteri ini mulai berlaku, Menteri dapat menunjuk Lembaga Sertifikasi sebagai Lembaga Sertifikasi Sistem Manajemen Pengamanan Informasi apabila belum ada Lembaga Sertifikasi yang ditetapkan oleh Menteri.

PERMENKOMINFO NO 4 TAHUN 2016

SNI 27001

PENDAHULUAN

Pada era informasi seperti pada saat ini data merupakan hal yang paling penting bagi sebuah organisasi dalam menentukan setiap keputusan untuk kebijakan selanjutnya. Dalam pengelolaan data sebuah organisasi unsur keamanan atau integritas sebuah data sangatlah penting. Dimulai dari tahap pembuatan aplikasi hingga tahapan pengolahan data yang telah dimasukkan ke dalam aplikasi tersebut harus terjamin tidak ada data leak terhadap data tersebut. Ketersediaan data yang akurat dan keamanan data menjadi sedemikian penting sehingga memerlukan standar dan prasyarat yang disusun dalam bentuk tata kelola keamanan informasi atau data sebagai bagian standar dari tata kelola teknologi informasi dari suatu organisasi. Keamanan informasi menjadi bagian administrasi dan teknis dalam strategi sistem manajemen organisasi. Saat ini ISO/IEC 27001:2005 telah banyak diterapkan organisasi sebagai bagian tata kelola informasi. Di Indonesia standar tersebut diadopsi menjadi SNI ISO/IEC 27001:2009 “Teknologi informasi – Teknik Keamanan – Sistem management keamanan informasi – Persyaratan”. Adopsi identik terhadap standart ISO/IEC 27001:2005,Informasi Technology – Security techniques – Information Security Manajement systems – Requerements, tersebut dilaksanakan melalui metode terjemahaan oleh Panitia Teknis PK 03-02 Sistem Manajement Mutu yang dibentuk oleh BSN. Penyusunan standar ini disepakati dalam rapat konsensus yang diselenggarakan pada tanggal 12 Agustus 2009 di Bogor dengan dihadiri oleh anggota Panitia Teknis Sistem Manajemen Mutu sebagai wakil dari pemangku kepentingan (stakeholder) dan narasumber. Lampiran A dalam standar ini bersifat normatif sedangkan Lampiran B dan Lampiran C dalam standar ini hanya untuk informasi.

PERSYARATAN

Ruang Lingkup Umum Standar ini mencakup semua jenis organisasi (misalnya usaha komersial, pemerintah, organisasi nir-laba). Standar ini menetapkan persyaratan untuk penetapan, penerapan, pengoperasian, pemantauan, pengkajian, peningkatan dan pemeliharaan Sistem Manajemen Keamanan Informasi (SMKI) yang terdokumentasi dalam konteks risiko bisnis organisasi secara keseluruhan. Standar ini menetapkan persyaratan penerapan pengendalian keamanan yang disesuaikan dengan kebutuhan masing-masing organisasi atau bagian organisasi. SMKI didesain untuk memastikan pemilihan pengendalian keamanan yang memadai dan proposional untuk melindungi aset informasi dan memberikan kepercayaan kepada pihak terkait. b. Penerapan Persyaratan yang ditetapkan dalam Standar ini bersifat generik dan dimaksudkan agar dapat diterapkan untuk seluruh organisasi, tanpa melihat jenis, ukuran dan sifat organisasi. Pengecualian pada setiap persyaratan yang ditetapkan dalam klausul 4, 5, 6, 7 dan 8 tidak dapat diterima bila organisasi menyatakan kesesuaian terhadap Standar ini. Setiap pengecualian pengendalian yang dianggap perlu untuk memenuhi kriteria risiko yang dapat diterima perlu dijustifikasi dan diperlukan bukti bahwa risiko tersebut telah diterima oleh orang yang bertanggung jawab. Jika pengendalian dikecualikan, pernyataan kesesuaian terhadap Standar ini tidak dapat diterima kecuali jika pengecualian tersebut tidak mempengaruhi kemampuan organisasi, dan/atau tanggung jawabnya, untuk menyediakan keamanan informasi yang memenuhi persyaratan keamanan sebagaimana ditetapkan melalui asesmen risiko dan persyaratan hukum atau perundang-undangan yang berlaku. Sistem Manajemen Keamanan Informasi Sebuah Organisasi harus menetapkan, menerapkan, mengoperasikan, memantau, mengkaji, memelihara dan meningkatkan SMKI (Sistem Manajemen Keamanan Informasi) terdokumentasi dalam konteks bisnis organisasi secara keseluruhan dan risiko yang dihadapinya. Dimana sebuah organisasi harus menetapkan ruang lingkup dan batasan SMKI sesuai dengan karakteristik bisnis, organisasi, lokasi, aset dan teknologi, dan termasuk rincian dari setiap pengecualian dan dasar justifikasi untuk setiap pengecualian dari ruang lingkup. Dalam penetapan sebuah ruang lingjup dan batasan SMKI (Sistem Manajemen Keamanan Informasi) haru dapat mencakup lima hal dibawah ini, yaitu:

  1. Mencakup kerangka kerja untuk menyusun sasaran dan menetapkan arahan dan prinsip tindakan secara menyeluruh berkenaan keamanan informasi.
  2. Mempertimbangkan persyaratan bisnis dan hukum atau regulator, dan kewajiban keamanan sesuai kontrak.
  3. Selaras dengan manajemen risiko strategis organisasi dalam konteks penetapan dan pemeliharaan SMKI yang akan dilaksanakan.
  4. Menetapkan kriteria terhadap risiko yang akan dievaluasi.
  5. Telah disetujui oleh manajemen.

PENINGKATAN SMKI

Organisasi harus meningkatkan keefektifan SMKI secara berkelanjutan melalui kebijakan keamanan informasi, sasaran keamanan informasi, hasil audit, analisis kejadian yang dipantau, tindakan korektif dan pencegahan, dan kajian manajemen. Organisasi harus mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dengan persyaratan SMKI untuk mencegah terulangnya kembali ketidaksesuaian tersebut. Prosedur terdokumentasi untuk tindakan korektif harus menetapkan persyaratan untuk:

  1. Mengidentifikasi ketidaksesuaian.
  2. Menetapkan penyebab ketidaksesuaian.
  3. Mengevaluasi kebutuhan tindakan untuk memastikan bahwa ketidaksesuaian tidak terulang.
  4. Menetapkan dan menerapkan tindakan korektif yang diperlukan.
  5. Merekam hasil tindakan yang diambil.
  6. Mengkaji tindakan korektif yang diambil.
SNI 27001

List Of Security Risk

Sebelumnya kita telah membahas Top Security Challenges dimana kita mengangkat tiga hal, yaitu Increase in sophisticated cyber criminals, Cyber Security Workforce, dan Critical Infrastructure Protection. Kali ini kita akan membahas tentang List of Security Risk dimana terdapat sebelas daftar resiko atau ancaman yang akan dihadapi oleh sebuah infrastruktur, yaitu:

  • Trojan
  • Fast flux botnets
  • Data loss
  • Internal threat
  • Organized cyber crimes
  • Phishing
  • New emerging virus
  • Cyber espionage
  • Zero-day exploit
  • Web 2.0 threats
  • Vishing attack

Kita akan mengangakt lima topik yaitu cyber espionage, internal threat, data loss, phishing / social engineering, dan web 2.0 threat.

Cyber Espionage

Cyber Espionage merupakan kejahatan yang memanfaatkan jaringan internet untuk melakukan kegiatan mata-mata terhadap pihak lain, dengan memasuki sistem jaringan komputer pihak sasaran. Sabotase and Extortion merupakan jenis kejahatan yang dilakukan dengan membuat gangguan, perusakan atau penghancuran terhadap suatu data, program komputer atau sistem jaringan komputer yang terhubung dengan internet.

Dijelaskan dalam artikel Nation State Cyber Espionage and its Impacts salah satu cyber espionage terbesar adalah Stuxnet dimana worm tersebut menyerang fasilitas nuklir di Iran dan melakukan pengambilan akses terhadap fasilitas tersebut. Negara adidaya seperti Rusia dan Amerika juga saling mengintai atau memata-matai teknologi antar negara dengan melakukan cyber espionage dengan membuat virus bernama Moonlight Maze

References:

Internal Threat

Pada dasarnya terdapat dua jenis ancaman yang digolongkan berdasarkan sumbernya yaitu internal dan external, dan sering tidak kita sadar ancaman yang paling banyak terjadi adalah ancaman yang berasal dari internal, baik itu secara disengaja atau tidak disengaja.

Berdasarkan informasi yang dikutip dari artikel Global Information Assurance Certification Paper “According to a 2001 Information Security Magazine Survey, internal breaches of security are undetected and dangerous“. Langkah pertama yang diberikan dalam artikel tersebut adalah membuat kebijakan dalam keamanan data dalam perusahaan, dimana asset sebuah perusahaan harus dijaga dan tidak boleh disebar luaskan secara sembarangan.

References:

Data Loss

Kehilangan data merupakan salah satu security risk yang akan dihadapi oleh sebuah infrastruktur, berkaca dari kejadian pada salah satu website pelelangan project online yaitu https://projects.co.id pernah kehilangan data yang selanjutnya dapat dibaca pada artikel Backup Data Anda: Cukup Satu Kejadian tak Terduga untuk Mengubur Bisnis dan Mimpi Anda Selamanya. Kehilangan sebuah data terutama data transaksi yang memiliki nilai uang didalamnya merupakan salah satu mimpi buruk yang dihadapi oleh perusahaan atau organisasi.

Melakukan backup data secara rutin merupakan hal yang paling mudah untuk dilakukan dalam penanganan data loss.

References:

Phishing / Social Engineering

Pada tahun 2001 terjadi phishing bagi nasabah BCA dengan memanfaatkan perbedaan kecil antara klikbca.com dan kilkbca.com, teknik phishing biasanya memanfaatkan ketidak jelian pengguna terhadap informasi atau yang dimasukkan kedalam sebuah website, sepetinas antara klikbca dan kilkbca hampir sama. Tujuan dari phishing adalah mendapatkan credential yang diinputkan oleh pengguna services tersebut untuk selanjutnya dimanfaatkan secara pribadi atau organisasi pesaing

Web 2.0

Web 2.0 merupakan konsep dimana sebuah website bukan merupakan web statis atau dengan kata lain seluruh informasi atau data yang disajikan dalam website tersebut merupakan inputan dari seorang pengguna. Teknik ini dikenalkan oleh  Tim O’Reilly and Dale Dougherty pada tahun 2004 akhir. Sayangnya hal tersebut juga menimbulkan sebuah resiko disisi keamanan, salah satunya memanfaatkan celah CORS (Cross Origin Resource Sharing) dimana seorang attacker akan memanfaatkan celah pada saat pertukaran data antara server dengan client atau pun sebaliknya untuk mengambil credential yang dimiliki oleh user tersebut.

Salah satu ancaman dari web 2.0 adalah XSS dimana kita dapat melakukan input data kedalam database sebuah website tanpa melakukannya dari halaman website tersebut, dan untuk mencegah hal ini kita dapat memanfaatkan CSRF Token

References:

List Of Security Risk

Top Security Challenges

Hari ini kita akan membahas Security Challenges. Security Challenges merupakan tantangan yang harus kita hadapi atau persiapkan dengan baik agar software ataupun infrastruktur yang akan kita bangun memiliki sisi keamanan yang baik. Berdasarkan CEH (Certified Ethical Hacker) terdapat 10 jenis Security Challenges, yaitu:

  • Increase in sophisticated cyber criminals
  • Data leaked, malicious insider, and remote worker
  • Mobile security
  • Cyber security workforce
  • Exploited vulnerabilities
  • Critical infrastructure protection
  • Balancing sharing with privacy requirements
  • Identity access strategies and lifecycles

 

Kali ini kita akan membahas Increase in sophisticated cyber criminals, Cyber Security Workforce, dan Critical Infrastructure Protection.

Sophisticated Cyber Criminals

Perlu kita sadari bahwa teknologi berkembang dengan cepat, dan hal tersebut juga akan membawa dampak semakin majunya teknologi yang digunakan oleh cyber criminal. Baru-baru ini kita mengetahui bahwa terdapat virus bernama Ransomware, dimana virus tersebut memanfaatkan celah keamanan yang terdapat dalam windows, dan berdasarkan berita yang dikutip dari CNN “Many major firms like healthcare and telecom organizations are running “legacy software,” or old, outdated technology that no longer receives software updates“, dapat kita ketahui bahwa salah satu titik yang sering dimanfaatkan oleh malware atau virus adalah legacy software yang tidak pernah dilakukan patch atau mungkin telah ditinggalkan oleh developernya.

Bukan menjadi alasan bahwa biaya untuk melakukan maintenance sebuah software yang digunakan oleh sebuah perusahaan sangatlah besar. Hal ini telah dijelaskan oleh John Madden (Principal Analyst) pada artikel yang dituliskan dalam Avoiding security risks with regular patching and support services bahwa kita tidak boleh membiarkan proses bisnis yang telah berjalan sekian lama terancam dengan tidak melakukan regular patching atau maintenance secara berkala.

References:

Cyber Security Workforce

Cyber Security Workforce telah digolongkan kedalam beberapa sub-bagian yang dapat kita lihat dalam artikel Cybersecurity Workforce Framework, pada bagan tersebut telah dilakukan penggolongan workforce pada cyber security, hal tersebut membuat cyber security workforce menjadi salah satu Top Security Challenges. Untuk dapat menguasai framework yang telah dibentuk membutuhkan waktu dan pengalaman yang tidak sedikit. Dalam artikel The Federal Cybersecurity Workforce: Background and Congressional Oversight Issues for the Departments of Defense and Homeland Security (page 3), disebutkan challenges terbesar yang dihadapi oleh Cyber Security Workforce adalah sulitnya mendapatkan orang-orang dengan kemampuan yang dibutuhkan dalam dunia cyber security, dan tidak dilakukannya spesifikasi dari tugas cyber security, dimana seperti yang telah dirangkum pada artikel Cybersecurity Workforce Framework, bahwa cakupan dari cyber security sangat banyak.

References:

Critical Infrastructure Protection

Perlindungan infrastruktur juga sangat dibutuhkan dalam sebuah perusahaan, berkaca pada kejadian Y2K, dimana dikhawatirkan terjadinya millennium bug atau terjadinya kesalahan pembacaan tahun yang seharusnya 2000 menjadi 1900. Hal ini dikarenakan beberapa program hanya membaca dua digit angka dibelakang pada angka tahun. Hal ini sering luput dari pandangan kita, karena saat melakukan pembangunan infrastruktur kita tidak memandang bahwa infrastruktur yang akan kita gunakan akan digunakan secara jangka panjang.

Salah satu hal yang sering luput atau kita remehkan adalah hak akses kita saat melakukan development atau saat sedang melakukan maintenance, hak akses tersebut dapat dimanfaatkan oleh orang lain untuk merusak infrastructure yang telah kita buat atau sedang kita maintenance dari dalam.

References:

Top Security Challenges

Introduction to Ethical Hacking

Selamat Siang. Hari ini kita akan membahas tentang Ethical Hacking, seperti kita ketahui baru-baru ini terjadi serangan pada salah satu provider seluler di Indonesia. Serangan tersebut membuat Title website telkomsel pada mesin pencarian google seperti dibawah ini.

Screenshot from 2017-04-28 08:55:43
Hasil Pencarian Telkomsel Pada Google Jum’at 28 April 2017

Tapi apakah tindakan tersebut termasuk dalam Ethical Hacking? Pada dasarnya hacker atau seseorang yang melakukan exploit terhadap sistem terbagi atas dua jenis, yaitu Ethical Hacker dan Malicious Hacker. Lantas apa perbedaan antara Ethical Hacker dan Malicious Hacker?

Ethical Hacker merupakan seseorang yang ahli dalam bidang networking dan memiliki kemampuan dalam melakukan exploit terhadap sistem, dan dengan persetujuan dari pemilik aplikasi atau program yang akan dilakukan exploit. Dan tujuan dari Ethical Hacker adalah mencari kelemahan sistem tertentu untuk diinformasikan kepada pemilik aplikasi atau program agar dilakukan perbaikan security dan tidak menggunakan informasi yang dia dapatkan untuk keuntungannya sendiri

Malicious Hacker memiliki pengertian yang sama dengan Ethical Hacker akan tetapi perbedaannya terdapat pada tujuan dari Malicious Hacker, yaitu menggunakan informasi atau exploit yang dia dapatkan untuk kepentingan pribadi atau organisasi lainnya tanpa sepengetahuan pemilik aplikasi yang di exploit.

Hacktivism? and List Different Types of Hacker

Mungkin kalian pernah mendengar Hacktivism, hacktivism merupakan seorang atau beberapa orang hacker yang memiliki tujuan Sosial atau Politik disetiap tindakannya.

Pada dasarnya terdapat tiga jenis hacker, yaitu White Hat Hacker, Grey Hat Hacker, dan Black Hat Hacker. Berikut adalah penjelasan dari masing-masing tipe hacker

  • White Hat Hacker: Ethical Hacker termasuk pada golongan ini, dimana kemampuan mereka digunakan untuk mencari tau kelemahan sistem dan menginformasikannya terhadap pemilik sistem.
  • Black Hat Hacker: Pada black hat hacker kemampuan hacking mereka digunakan untuk menjatuhkan atau dimanfaatkan secara personal maupun organisasi saingan.
  • Grey Hat Hacker: Hacker dengan tipe ini dapat bekerja untuk pertahanan sistem dan menyerang sistem lain, tergantung dengan kondisi saat dia melakukan hacking terhadap sebuah sistem.

Identifying Different Types of Hacking Technologies

Setelah kita mengetahui apa itu Ethical Hacker dan Malicious Hacker kita akan coba memahami beberapa tipe teknologi hacking. Pada dasarnya terdapat empat area yang akan dicari kelemahannya, yaitu Operation SystemApplicationsShrink-wrap Code, dan Misconfiguration

Dalam melakukan serangan terbagi atas dua jenis serangan, yaitu Active dan Passive. Dan terdapat dua jenis asal serangan, yaitu Inside dan Outside.

Understanding the Different Phases Involved in Ethical Hacking and Listing the Five Stages of Ethical Hacking

Dalam melakukan hacking terdapat lima tahapan yang akan kita lewati, tahapan ini digunakan baik oleh Ethical Hacker ataupun Malicious Hacker.

Screenshot from 2017-04-29 12:10:43
Lima Tahapan Hacking

Step1. Reconnaissance

Reconnaissance atau pengintaian terhadap target hacking dibagai menjadi dua cara, yaitu Active dan Passive. Kita mulai dengan apa itu Passive Reconnaissance, dalam tahapan Passive Reconnainssance kita melakukan information gathering tanpa berinteraksi langsung dengan target kita. Misalnya dengan melihat kebiasaan terhadap target dan kehidupan keseharian target, untuk mendapatkan informasi detail target kita juga bisa dilakukan dengan cara Social Engineering. Beberapa teknik Social Engineering yang dapat kita gunakan adalah

  • Baiting: Dalam teknik ini kita dapat memanfaatkan flash-disk yang telah kita inject dengan malware, dan memastikan target mengambil dan memasukkannya kedalam komputer mereka. Dalam malware ini telah kita siapkan untuk mengambil seluruh data atau informasi yang target miliki
  • Phising: Dalam teknik ini kita bisa memanfaatkan Man in Middle Attack dimana email dari vendor terpercaya akan kita ubah formatnya dan memastikan untuk target kita melakukan apa yang kita perintahkan dalam email tersebut. Skema man in middle attack dapat kita lihat dibawah ini
mitm-steps
Skema Man in Middle Attack
  • Pretexting: Dalam teknik ini kita akan melakukan contact langsung melalui sms atau telphone dengan memalsukan identitas kita demi mendapatkan informasi penting dari target, seperti kartu kredit, ataupun informasi pribadi lainnya.

Dalam Active Recconnaissance kita melakukan pengintaian secara langsung dimana tujuan kita adalah mendapatakan informasi mengenai individual host, IP address, dan services yang aktif dalam jaringan tersebut. Akan tetapi resiko kita tertangkap tangan

Step 2. Scanning

Dalam tahapan Scanning kita akan memanfaatkan informasi yang telah didapatkan dari tahapan pertama untuk melakukan pengamatan terhapad jaringan komputer target, dimana pada tahapan ini kita akan mendapatkan komputer name target dalam jaringan perusahaan yang bekerjasama dengan kita

Step 3. Gaining Access

Dalam tahapan ini kita mulai melakukan hacking terhadap target kita, berdasarkan informasi yang telah kita dapatkan pada tahapan Reconnaissance dan Scanning untuk masuk ke dalam sistem target baik secara local area network, melalui internet (remote access), ataupun secara offline.

Step 4. Maintaining Access

Pada tahapan ini seroang hacker akan melakukan maintenance terhadap backdoor yang telah dia buat untuk melindungi dari hacker lainnya. Tujuannya adalah agar hacker dapat melakukan serangan selanjutnya tanpa melalui tahapan-tahapan sebelumnya dari awal.

Step 5. Covering Track

Tahapan terakhir dalah menutup jejak dengan melakukan penggantian Log System atau menghapusnya. Tujuannya adalah untuk menutupi jejak dan menghilangkan informasi bahwa sistem tersebut telah berhasil dimasuki oleh hacker.

What Ethical Hacker Do?

Setelah kita memahami berbagai macam tipe hacker, perbedaan antara ethical hacker dan malicous hacker, dan tahapan serta teknologi yang menjadi target serangan. Kita harus mengetahui apa yang menjadi tugas utama seorang Ethical Hacker.

Tugas seorang ethical hacker adalah melakukan penetration terhadap sebuah sistem dengan sebelumnya telah mendapatkan izin dari pemilik sistem. Meskipun ada beberapa kasus dimana seorang Ethical Hacker terbaca sebagai Malicious Hacker pada devisi Kemanan perusahaan tersebut. Seorang Ethical Hacker juga harus meminta informasi mengenai informasi apa saja yang harus dilindungi, dari siapa data tersebut harus dijaga, dan sistem mana yang akan dikembangan untuk melakukan proteksi lebih lanjut.

Required Skill to Become an Ethical Hacker

Untuk menjadi seorang Ethical Hacker kita harus memiliki keahlian dalam sistem komputer, program, dan jaringan. Pemahaman terhadap sistem operasi baik itu Windows, Unix, ataupun Linux menjadi salah satu kemampuan yang harus dikuasai. Hal ini untuk melakukan pencegahan terhadap serangan yang serupa saat kita melakukan penetration terhadap sistem. Kesabaran juga salah satu termasuk dalam skill yang harus kita miliki, hal ini didasari dengan waktu pengerjaan yang lama, dan tingkat kesulitan yang tinggi.

Seorang ethical hacker juga wajib mengetahui implikasi hukum dari tindakan hacking. Terutama pada bagian privacy data yang akan muncul pada saat kita melakukan penetration testing, bagian yang memiliki kelemahan secara sistem tidak boleh dipublish secara umum. Dan dokumen izin dari pemilik sistem merupakan hal yang tidak boleh dilewatkan dalam memulai penetration testing.

Step By Step to Conduct Ethical Hacking

Adapun tatacara untuk melakukan Ethical Hacking. Berikut adalah cara-cara yang harus kita pastikan berjalan dengan baik saat pertama kali melakukan penetration testing pada suatu sistem

  1. Membahas tujuan utama dari testing yang akan dilakukan
  2. Mempersiapkan dokumen yang akan ditanda tangani kedua belah pihak (pemilik sistem dan ethical hacker)
  3. Melakukan pengelolaan tim dan penjadwalan kapan akan dilakukan testing keamanan
  4. Melakukan Test / Penetration Testing
  5. Menganalisa hasil tes dan membuat laporan dari hasil tes tersebut
  6. Mempresentasikan seluruh hasil tes kepada klien / pemilik sistem

Sekian informasi tentang hal-hal dasar yang harus kita ketahui sebelum masuk pada Ethical Hacking.

Terima kasih.

Referances

Introduction to Ethical Hacking