KEAMANAN
EMAIL
Email adalah salah satu layanan yang penting yang
ada di internet, saat orang membahas tentang internet untuk pemula maka fitur
awal yang akan dibahas adalah fitur email karena salah satu penemuan email
sangat bermanfaat saat itu karena biasanya orang-orang mengirimkan surat secara
tradisional dengan konsekuensi sangat lama penyampaiannya apalagi menunggu
balasannya. Layanan email juga menjadi penting dalam hal pengamanannya Karena
jika email kita dihack pasti kita akan bingung dengan perjanjian kita atau isi
email tersebut.
Beberapa contoh email service yang sekarang
berada di posisi atas adalah yahoo.com dan google.com. kedua peyedia layanan
email ini sudah berpengalaman dalam hal email security karena pada masa lalunya
keduanya pernah terjadi pencurian akun dengan metode man in the middle sehingga mau tidak mau perubahan
protokol wajib dilakukan oleh keduanya.
KONSEP
DASAR PENGAMANAN E-MAIL
PGP
PGP adalah suatu metode enkripsi informasi yang bersifat rahasia sehingga
jangan sampai diketahui oleh orang lain yang tidak berhak. Informasi ini bias
berupa E-mail yang sifatnya rahasia, nomor kode kartu kredit, atau pengiriman
dokumen rahasia perusahaan melalui Internet. PGP menggunakan metode kriptografi
yang disebut “public key encryption”: yaitu suatu metode kriptografi yang
sangat sophisticated.
Adapun prinsip kerja
dari PGP adalah sebagai berikut :
1. PGP menggunakan
teknik yang disebut public kec encryption dengan dua kode. Kode-kode ini
berhubungan secara intrinstik, namun tidak mungkin untuk memecahkan satu sama
lain.
2. Ketika dibuat satu kunci, maka secara
otomatis akan dihasilkan sepanjang kunci,yaitu kunci publik dan kunci rahasia.
3. PGP menggunakan dua
kunci, Pertama, kunci untuk proses enkripsi (kunci publik). Disebut kunci publik
karena kunci yang digunakan untuk enkripsi ini akan diberitahukan kepada umum.
Orang yang akan mengirimkan e-mail rahasia kepada kita harus mengetahui kunci
publik ini. Kedua, kunci untuk proses deskripsi (kunci pribadi). Disebut kunci
pribadi karena kunci ini hanya diketahui oleh kita sendiri.
4. Karena dengan conventional crypto, di
saat terjadi transfer informasi kunci, diperlukan suatu secure channel. Jika
kita memiliki suatu secure channel, mengapa masih menggunakan crypto? Dengan
public key system, tidak akan menjadi masalah siapa yang melihat kunci milik
kita, karena kunci yang dilihat orang lain adalah yang digunakan hanya untuk
enkripsi dan hanya pemiliknya saja yang mengetahui kunci rahasia tersebut.
GPG
GPG (GNU Privacy
Guard) adalah suatu software enkripsi yang mengimplementasikan RFC2440.
Penggunaan program ini biasanya ditemui pada enkripsi email atau sebagai digital
signature. Model enkripsi yang digunakan adalah PKI(Public Key
Infrastructure). Dengan demikian seseorang pasti mempunyai sepasang kunci
yaitu Private Key dan Public Key.
Digital Signature
Digital Signature atau Tanda tangan
digital adalah bentuk tiruan tanda tangan konvensional ke dalam bentuk digital.
Tetapi bukan file scan tanda tangan di kertas. Sebutan digital signature ini
sebenarnya konsep. Dalam dunia nyata, tanda tangan digital itu bentuknya adalah
rangkaian byte-byte yang jika diperiksa bisa digunakan untuk memeriksa apakah
suatu dokumen digital, juga termasuk email, benar berasal dari orang tertentu
atau tidak.
Misalnya, Alice mengirimkan dokumen
penting kepada Bob melalui email. Ternyata, Trent yang tahu kabar ini kemudian
mencoba memalsukan email Alice. Dokumen attachment Alice diganti. Ketika Bob
terima email Alice (yang attachmentnya sudah diganti oleh Trent), dia merasa
aneh, karena isinya tidak sesuai dengan pembicaraan sebelumnya. Bob curiga. Bob
memeriksa (mem-verifikasi) digital signature pada email tersebut. Bob tahu,
ternyata surat itu tanda tangannya tidak cocok. Konsep ini sekarang telah
diimplementasikan dalam bentuk S/MIME dan PGP. Saya tidak akan bahas S/MIME dan
PGP, tapi saya akan bahas bagaimana membuat dan memeriksa keaslian tanda tangan
digital.
MACAM SERANGAN E-MAIL:
àPengiriman dan eksekusi
malicious code (malcode)
·
Basic e-mail hanya berupa teks ASCII yang
tidak dapat langsung dieksekusi
·
Serangan malcode (virus etc.) dapat
dilakukan dengan menggunakan attachment pada e-mail
·
Collaboration tool (seperti Microsoft
Outlook) dapat langsung menjalankan malcode yang di-attach pada suatu e-mail
àKebocoran informasi yang
sensitif
·
E-mail dikirimkan sebagai clear text
PENANGGULANGANNYA
·
Jangan Pernah Mengungkapkan Alamat Email
·
Jangan Melakukan Unsubscribe pada Email Spam
·
Nonaktifkan HTML dalam Email
·
Laporkan Spam
KEAMANAN WEB
Website adalah sebuah cara untuk
menampilkan diri Anda di Internet.
Website Anda adalah sebuah tempat di
Internet, siapa saja di dunia ini dapat mengunjunginya kapan saja mereka dapat mengetahui tentang
diri Anda, memberi pertanyaan kepada Anda,
memberikan anda masukan atau bahkan mengetahui dan membeli produk Anda.
Web juga merupakan hal yang tidak dapat dipisaH.
memberikan anda masukan atau bahkan mengetahui dan membeli produk Anda.
Web juga merupakan hal yang tidak dapat dipisaH.
KONSEP
DASAR PENGAMANAN WEB
Secara
umum standard pengamanan web mendefinisikan suatu
spesifikasi
mengenai bagaimana mengamankan pesan SOAP secara end-to-end,
dengan
cara menyertakan (attach) digital signature, enkripsi dan security
token
pada
bagian Header dari pesan SOAP. Spesifikasi WSS-Core versi terbaru
menyediakan
3 mekanisme untuk memproteksi pesan dari ancaman terhadap upaya
gangguan
keamanan pesan SOAP, yaitu (1)Kemampuan untuk mengirim security
token
sebagai bagian dari pesan SOAP, (2) Message integrity dan (3) Message
confidentiality.
Namun demikian, mekanisme tersebut tidak memberikan solusi
keamanan
yang lengkap untuk Web Service. Spesifikasi ini merupakan building
block
yang
digunakan untuk mengakomoda- sikan berbagai variasi model keamanan
dan
teknologi kemanan.
Dengan
kata lain, WS-Security tidak menspesifikasikan suatu mekanisme
keamanan
baru, tetapi menyediakan fleksibilitas untuk menggunaan teknologi
keamanan
yang sudah ada (X.509, Karberos, XML Encryption), sehingga dapat
Tinjauan
Aspek Keamanan Sis tem Web Service
Tugas
EC-7010 : Keamanan Sistem Lanjut 2003 21
mengakomodasi
berbagai pendekatan keamanan secara umum. Hal baru yang
ditambahkan
oleh WS-Security adalah suatu spesifikasi untuk menerapkan
mekanisme keamanan yang sudah ada (existing)
tersebut kedalam pesan SOAP.hkan dari dunia internet.
MACAM
SERANGAN PADA WEB
1. Buffer overflows
bisa terjadi karena attacker menambahkan eror s pada port yang digunakan untuk
web traffic dengan cara memasukan banyak karakter dan string untuk menemukan
tempat overflows yang sesuai
2. HTTPD bisa digunakan untuk menciptakan
HTTPD bypasses, memberi akses ke server menggunakan fungsi logging. Dengan cara
ini sebuah halaman web bisa diakses dan diganti tanpa dicatat oleh web server.
3. Melalui Cross scripting seorang attacker
bisa mengeksploitasi pertukaran cookies antara browser dan web server
4. Attacker dapat menjalankan denial of
service dengan URL floods, yang dilakukan dengan cara mengulang dan terus
mengulang permintaan terhadap port 80 httpd yg melalui batas TTL(time to life)
5.hacker
PENANGGULANGANNYA
1. Selalu Siap
· Jalankan rencana Anda. Siapkan rencana
untuk setiap teknologi dalam bisnis Anda, bahkan sebelum memasang dan
mengkonfigurasinya. Untuk mengembangkan suatu rencana, catat semua skenario
yang dapat mengganggu bisnis Anda (keamanan, mati listrik, gangguan software
atau hardware, dan lainya). Lalu pastikan bagaimana Anda akan mengatasi semua
skenario, dan siapkan service contract, backup data, dan sumber daya lain yang
mungkin Anda perlukan. Komunikasikan rencana Anda kepada pihak manajemen dan
karyawan.
· Tidak memiliki rencana? Sampai Anda
memiliki rencana, manfaatkan tenaga ahli profesional. Tenaga ahli profesional
keamanan dengan kriteria Cisco Select Certified Partner dengan Spesialisasi
Keamanan, Certified Information Systems Security Professional (CISSP), dan
Computer Security Incident Handler (CSIH) yang disertifikasi oleh Computer
Emergency Response Team (CERT).
2. Jangan Buat Kerusakan
· Menjaga Aset Bisnis. Pikirkan
baik-baik sebelum mencabut kabel apapun. Jangan mematikan tombol power kecuali
Anda ingin kehilangan data dan mengalami downtime. Jangan memutuskan semua
koneksi internet bila hanya beberapa perangkat yang terserang.
· Bersikap tenang dan profesional yang
menentukan tingkat reaksi untuk respon rasional.
3. Hubungi Pihak Luar
Seperti dikemukakan di awal, ancaman keamanan mungkin
membutuhkan bantuan pihak eksternal.
· Jika insiden mempengaruhi prosedur bisnis
Anda sesuai peraturan, Anda mungkin membutuhkan bantuan pemeriksa
keamanan - seperti CSIH atau CISSP - yang akan mengarahkan respon terhadap
ancaman keamanan.
· Jika perusahaan Anda ingin menuntut atas
kerusakan yang terjadi, Anda mungkin perlu menghubungi unit cybercrime
dari pihak yang berwenang, yang akan mengarahkan respon Anda.
4. Bergerak Cepat untuk
Meringankan
· Mengumpulkan informasi dengan cepat untuk
mengidentifikasi perangkat mana yang terserang dan dari alamat IP mana. Gunakan
perangkat diagnostik yang dapat segera digunakan - seperti Cisco NetFlow record
atau router traffic log, firewall log, pesan syslog, dan pengamatan Anda
terhadap aktifitas-aktifitas yang tidak biasa, termasuk sistem yang bekerja
lambat secara abnormal.
Identifikasi kerusakan yang
terjadi dengan
membandingkan konfigurasi perangkat dan data set dengan backup yang belum
tercemar dan paling terakhir stabil.
· Menahan masalah dengan mengisolasikan
aplikasi dan perangkat yang terkena serangan. Contoh, jika server email Anda
mulai memuntahkan spam, Anda dapat menghentikan program tersebut atau
memblokade semua outbound port 25 traffic di internet gateway Anda. Jika FTP
server Anda Menghosting situs MP3 illegal, Anda dapat memutuskan layanan FTP
atau memblokade semua koneksi inbound FTP.
5. Bersihkan dan Restore
· Memprioritaskan sistem yang akan dipulihkan, berdasarkan
prioritas bisnis.
· Mereset password. Ubah password
untuk semua perangkat, pengguna, dan aplikasi yang terserang. Jangan lupakan
root password. Kunci atau ganti password dari default account.
· Update semua software dengan patch terbaru.
· Bersihkan data dan konfigurasi yang terserang
dengan menggantikannya dengan backup terakhir yang masih bagus dan
tingkat keamanan yang lebih tinggi.
· Jalankan kembali sistem untuk layanan - dan
mulai memonitornya secara rutin. Sebagian malware (seperti Clampi,
Conflicker, dan Storm) sebetulnya hanya tidak aktif ketika di 'removed,'
menunggu sampai bertahun-tahun untuk kesempatan aktif kembali.
6. Mencegah serangan lain
· Melindungi secara mendalam. Lindungi
jaringan
Anda secara berkelanjutan dengan teknologi keamanan
yang terintegrasi dan berlapis.
· Meninjau celah keamanan Anda secara rutin dengan
vulnerability scanner atau security audit.
PAKET-PAKET PENGAMANAN WEB
-Paket filtering
Packet Filtering diaplikasikan dengan
cara mengatur semua packet IP baik yang menuju, melewati atauakan dituju oleh
packet tersebut. Pada tipe ini packet tersebut akan diatur apakah akan di
terima danditeruskan atau di tolak. Penyaringan packet ini di konfigurasikan
untuk menyaring packet yang akan ditransfer secara dua arah (baik dari dan ke
jaringan lokal). Aturan penyaringan didasarkan pada header IPdan transport
header, termasuk juga alamat awal(IP) dan alamat tujuan (IP), protokol
transport yang digunakan(UDP,TCP), serta nomor port yang digunakan. Kelebihan
dari tipe ini adalah mudah untuk diimplementasikan, transparan untuk pemakai,relatif
lebih cepat. Adapun kelemahannya adalah cukup rumitnya untuk menyetting paket
yang akan difilter secara tepat,serta lemah dalam hal authentikasi.
-Proxy
service
Proxy
memberikan akses internet untuk satu buah host atau host yang dalam jumlah
kecil dengan terlihat seperti menyediakan akses untuk seluruh host kita. Sebuah
proxy server untuk protocol tertentu atau sebuah set dari protocol dapat
dijalankan pada sebuah dualhomed host atau pada bastion host. Pada proxy ini
sangat mendukung arsitektur dari client/server. Clinet/server ini membentuk sebuah
system dimana komponenkomponen dari software saling berinteraksi. Dalam hal ini
para klien dapat meminta seluruh kebutuhan dan pelayanan yang dinginkan dan
server menyediakannya. Sistem proxy ini harus mendukung seluruh pelayanan yang
diminta dan diperlukan oleh klien.