PENGANTAR TEKNOLOGI WEB
Keamanan + Keamanan Web
Keamanan + Keamanan Web
Pengantar Security
• Keamanan komputer -> fisik
– Dari bencana alam
– Dari pencuri
– Dari serangan / bom
• Keamanan sistem informasi -> non fisik
– Dari sisi software dan data
Komponen Security (CIA-AN)
• Confidentiality: akses terhadap sistem komputer tidak boleh dilakukan oleh unauthorized parties
• Integrity: aset sistem komputer tidak boleh dimodifikasi oleh unauthorized users
• Availability: Sistem harus dapat selalu online/ada sehingga dapat diakses oleh authorized users
Tambahan
• Authenticity: sistem mengetahui asal muasal suatu objek atau asal muasal modifikasi yang terjadi
• Non-repudiation: seseorang/sesuatu tidak dapat menyanggah bahwa dia melakukan sesuatu
Pengantar Security
• Keamanan komputer -> fisik
– Dari bencana alam
– Dari pencuri
– Dari serangan / bom
• Keamanan sistem informasi -> non fisik
– Dari sisi software dan data
Komponen Security (CIA-AN)
• Confidentiality: akses terhadap sistem komputer tidak boleh dilakukan oleh unauthorized parties
• Integrity: aset sistem komputer tidak boleh dimodifikasi oleh unauthorized users
• Availability: Sistem harus dapat selalu online/ada sehingga dapat diakses oleh authorized users
Tambahan
• Authenticity: sistem mengetahui asal muasal suatu objek atau asal muasal modifikasi yang terjadi
• Non-repudiation: seseorang/sesuatu tidak dapat menyanggah bahwa dia melakukan sesuatu
Ancaman
• Ancaman (threat) adalah:
– Seseorang, sesuatu, kejadian atau ide yang menimbulkan bahaya bagi suatu aset
– Threat muncul dari vulnerability (kelemahan sistem & desain)
• Serangan (attack) adalah realisasi dari threat.
• Klasifikasi threats:
– Disengaja (mis. hacker penetration);
– Tidak disengaja (mis. Mengirimkan file yang sensitif ke alamat yang salah)
• Threats yang disengaja dapat dibagi lagi :
– Pasif – tidak kontak langsung (mis. monitoring, wire-tapping,);
– Aktif – kontak langsung (mis. mengubah nilai transaksi finansial)
Tujuan Security
• Prevention - Penjagaan
– Prevent attackers from violating security policy
• Detection - Deteksi
– Detect attackers’ violation of security policy
• Recovery - Mereparasi
– Stop attack, assess and repair damage
– Continue to function correctly even if attack happen
Segitiga Sistem
Tahapan penyerangan
• Reconnaissance
– Mengumpulkan data mengenai target
• Aktif dan pasif
• Scanning
– Tanda dimulainya serangan, berusaha mencari jalan masuk
• Gaining access
– Mendapatkan target
• Maintaining access
– Mempertahankan akses dgn berbagai cara termasuk menanamkan program dan memperbaiki kelemahan
• Covering tracks
– Menutupi jejak mereka
Level Serangan
• Level Sistem Operasi
– Patch & upgrade
• Level aplikasi
– Patch, Antivirus & Upgrade
• Level Shrink Wrap code
– Menggunakan program2 bantu untuk serangan
• Level Kesalahan konfigurasi
Commonly attacked services
Web server attack
• Scan to find open ports
• Find out what’s running on open ports (banner grabbing)
• Profile the server
– Windows (look for Kerberos, NetBIOS, AD)
– Unix
– Use TCP fingerprinting
• Probe for weaknesses on interesting ports
– Default configuration files and settings (e.g. popular IIS ones)
– Buffer overflows
– Insecure applications
• Launch attack
– Use exploit code from Internet…
– …or build your own
Phising
Pharming
Peminjaman lewat URL
• Gambar / image / berkas tidak dikopi tapi “dipinjam” melalui hyperlink
• Pemilk berkas dapat dirugikan: bandwidth terpakai
• Auditing sulit dilakukan pemakai biasa, tanpa akses ke berkas log (referer)
Web vulnerabilities
• Intercept informasi dari klien
– Data, password, dll
• Pencurian data di server
– Data, password, dll
• Menjalankan aplikasi di server
– Memungkinkan melakukan eksekusi program “ngak benar” di server
• Denial Of Services
• Server Side Scripting, Cgi-Bin
– Kesalahan pemograman membuka peluang
Three opportunities for theft:
• on server by other registered users
• into server using HTTP
• on network by snooping
Kemanan Web
• Authentikasi
– FORM HTML
– Basic, Digest
– Klien Side + Server Side Scripting
• Manajemen Sesi
• Menggunakan Layer lain
– S-HTTP ( discontinoued)
– HTTPS ( HTTP ovel SSL)
– IPSec
• Konfigurasi Web Server
– Hak Akses
– Indexes
– Penempatan File
HTTP Authentication
• Protect web content from those who don’t have a “need to know”
• Require users to authenticate using a userid/password before they are allowed access to certain URLs
• HTTP/1.1 requires that when a user makes a request for a protected resource the server responds with a authentication request header
– WWW-Authenticate
• contains enough pertinent information to carry out a “challenge-response” session between the user and the server
Authentikasi
WWW-Authenticate
• Digest Authentication
– attempts to overcome the shortcomings of Basic Authentication
– WWW-Authenticate = Digest realm=“defaultRealm” nonce=“Server SpecificString”
– see RFC 2069 for description of nonce, each nonce is different
– the nonce is used in the browser in a 1-way function (MD5, SHA-1….) to encode the userid and password for the server, this function essentially makes the password good for only one time
• Common browsers don’t use Digest Authentication but an applet could as an applet has access to all of the Java Encryption classes needed to create the creation of a Digest.
Manajemen Sesi
• Hiden Form Field
–
– View page Source
• Cookies
– User harus mennghidupkan fasilitas
– Poisoned cookies
• Session Id
– -rw------- 1 nobody nobody 180 Jun 30 18:46 sess_5cbdcb16f ...
– Dapat menggunakan History jika umur sesi belum habis
• URL Rewriting
– http://login.yahoo.com/config/login?.tries=&.src=ym&.last=&promo=&.intl=us
SSL
Langkah-langkah untuk menaikkan tingkat keamanan browser
• Selalu mengupdate web browser menggunakan patch terbaru
• Mencegah virus
• Menggunakan situs yang aman untuk transaksi finansial dan sensitif
• Menggunakan secure proxy
• Mengamankan lingkungan jaringan
• Tidak menggunakan informasi pribadi
• Hati-hati ketika merubah setting browser
General Recommendations
• Hati-hati ketika merubah konfigurasi browser
• Jangan membuat konfigurasi yang mendukung scripts dan macros
• Jangan langsung menjalankan program yang anda download dari internet
• Browsing ke situs-situs yang aman
– Mengurangi kemungkinan adanya malcode dan spyware
• Konfigurasi home pae harus hati-hati
– Lebih baik gunakan blank.
• Jangan mempercayai setiap links (periksa dulu arah tujuan link itu)
• Jangan selalu mengikuti link yang diberitahukan lewat e-mail
• Jangan browsing dari sistem yang mengandung data sensitif
• Lindungi informasi anda kalau bisa jangan gunakan informasi pribadi pada web
• Gunakan stronger encryption
– Pilih 128-bit encryption
• Gunakan browser yang jarang digunakan
– Serangan banyak dilakukan pada web browser yang populer
• Minimalkan penggunaan plugins
• Minimalkan penggunaan cookies
• Perhatikan cara penanganan dan lokasi penyimpanan temporary files
Tools used in this preso
• WebGoat –vulnerable web applications for demonstration
• VMWare – runs Linux & Windows 2000 virtual machines on demo laptop.
• nmap –host/port scanning to find vulnerable hosts
• Ethereal – network traffic sniffing
• Metasploit Framework – exploit tool
• Brutus – password cracking
• Sleuth – HTTP mangling against web sites
Tidak ada komentar:
Posting Komentar