Sejak tahun 1990-an, internet berkembang
pesat ke seluruh dunia karena semakin mudahnya akses informasi ke
jejaring internet, dengan menggunakan teknologi WWW (World Wide Web) dan
juga dukungan visi PC (Personal Computer)-nya Microsoft, serta
perkembangan open source OS Linux yang sangat pesat. Saat ini, internet
telah menjadi bagian dari kehidupan kita sehari-hari sebagai salah satu
wahana komunikasi dalam bisnis maupun untuk privat. Tetapi di balik itu
masih banyak lubang kelemahan sistem. Di masyarakat umum, istilah
hacker ini banyak tersalahgunakan atau rancu dengan istilah Cracker.
Khususnya ketika pembahasan mengarah kepada kejahatan. Dimana istilah
untuk penjahat yang mereka maksud sebenarnya adalah Cracker. Hacker
dianggap sebagai orang yang paling bertanggungjawab dalam kejahatan
komputer tersebut. Padahal kalau kita melihat apa sebenarnya istilah dan
apa saja yang dilakukan oleh hacker maka anggapan tersebut tidak selalu
benar. Ada beberapa tipe para penggila teknologi computer seperti
berikut ini :
a Hacker
Sekumpulan orang/team yang tugasnya
membangun serta menjaga sebuah sistem sehingga dapat berguna bagi
kehidupan dunia teknologi informasi, serta penggunanya. hacker disini
lingkupnya luas bisa bekerja pada field offline maupun online, seperti
Software builder(pembuat/perancang aplikasi), database administrator,
dan administrator. Namun dalam tingkatan yang diatas rata-rata dan tidak
mengklaim dirinya sendiri, namun diklaim oleh kelompoknya, maka dari
itu hacker terkenal akan kerendahan hati dan kemurahan memberikan
segenap ilmunya.
b Cracker
Seorang/sekumpulan orang yang memiliki
kemampuan lebih dalam merusak sebuah sistem sehingga fungsinya tidak
berjalan seperti normalnya, atau malah kebalikannya, sesuai keinginan
mereka, dan mereka memang diakui memiliki kemampuan yang indigo dan
benar-benar berotak cemerlang. Biasanya cracker ini belum dikategorikan
kejahatan didunia maya, karena mereka lebih sering merubah aplikasi,
seperti membuat keygen, crack, patch(untuk menjadi full version).
c Defacer
Seorang/Sekumpulan orang yang mencoba
untuk mengubah halaman dari suatu website atau profile pada social
network(friendster, facebook, myspace), namun yang tingkatan lebih,
dapat mencuri semua informasi dari profil seseorang, cara mendeface
tergolong mudah karena banyaknya tutorial diinternet, yang anda butuhkan
hanya mencoba dan mencoba, dan sedikit pengalaman tentang teknologi
informasi.
d Carder
Seorang/sekumpulan lamers yang mencoba
segala cara untuk mendapatkan nomor kartu kredit seseorang dan cvv2nya
dengan cara menipu, menggenerate sekumpulan kartu kredit untuk
kepentingan dirinya sendiri. Namun pada tingkatan tertentu carder dapat
mencuri semua informasi valid dari sebuah online shopping. Ini adalah
Malingnya dunia Maya.
e. – Frauder
Seorang/sekumpulan orang yang mencoba
melakukan penipuan didunia pelelangan online, belum ada deskripsi jelas
tentang orang ini, mereka sering juga dikategorikan sebagai carder.
f. – Spammer
Seorang/sekumpulan orang yang mencoba
mengirimkan informasi palsu melalui media online seperti internet,
biasanya berupa email, orang-orang ini mencoba segala cara agar orang
yang dikirimi informasi percaya terhadap mereka sehingga next step untuk
mendapatkan kemauan si spammer ini berjalan dengan baik. Meraka tidak
lain dikategorikan sebagai penipu.
Motiv dari kejahatan diinternet antara lain adalah:
<> Coba-coba dan rasa ingin tahu<> Faktor ekonomi
<> Ajang unjuk diri
<> Sakit hati
Hacker adalah sebutan untuk mereka yang
menggunakan keahliannya dalam hal komputer untuk melihat, menemukan dan
memperbaiki kelemahan sistem keamanan dalam sebuah sistem komputer
ataupun dalam sebuah software. Hasil pekerjaan mereka biasanya
dipublikasikan secara luas dengan harapan sistem atau software yang
didapati memiliki kelemahan dalam hal keamanan dapat disempurnakan di
masa yang akan datang. Sedangkan cracker memanfaatkan
kelemahan-kelamahan pada sebuah sistem atau software untuk melakukan
tindak kejahatan.
Apa security itu?Definisi Statis :
<> Kerahasiaan
<>Keutuhan
<> Dapat dipertanggung jawabkan
Defenisi Dinamis :
<> Taksiran
<> Proteksi
<> Deteksi
<> Reaksi
Jenis Jenis Serangan
Berikut adalah 10(sepuluh) dafttar celah yang dapat menyebabkan website terancam.
1 – Cross Site Scripting (XSS)
Celah XSS, adalah saat pengguna web
aplikasi dapat memasukkan data dan mengirimkan ke web browser tanpa
harus melakukan validasi dan encoding terhadap isi data tersebut, Celah
XSS mengakibatkan penyerang dapat menjalankan potongan kode (script)
miliknya di browser target, dan memungkinkan untuk mencuri user session
milik target, bahkan sampai menciptakan Worm.
2 – Injection Flaws
Celah Injeksi, umumnya injeksi terhadap
SQL (database) dari suatu aplikasi web. Hal ini mungkin terjadi apabila
pengguna memasukkan data sebagai bagian dari perintah (query) yang
menipu interpreter untuk menjalankan perintah tersebut atau merubah
suatu data.
3 – Malicious File Execution
Celah ini mengakibatkan penyerang dapat
secara remote membuat file yang berisi kode dan data untuk di eksekusi,
salah satunya adalah Remote file inclusion (RFI).
4 – Insecure Direct Object Reference
Adalah suatu celah yang terjadi saat
pembuat aplikasi web merekspos referensi internal penggunaan objek,
seperti file, direktori, database record, dll
5 – Cross Site Request Forgery (CSRF)
Celah ini akan memaksa browser target
yang sudah log-in untuk mengirimkan “pre-authenticated request”terhadap
aplikasi web yang diketahui memiliki celah, dan memaksa browser target
untuk melakukan hal yang menguntungkan penyerang.
6 – Information Leakage and Improper Error Handling
Penyerang menggunakan informasi yang
didapatkan dari celah yang di akibatkan oleh informasi yang diberikan
oleh web aplikasi seperti pesan kesalahan (error) serta konfigurasi yang
bisa di lihat.
7 – Broken Authentication and Session Management
Celah ini merupakan akibat buruknya
penanganan proses otentikasi dan manajemen sesi, sehingga penyerang bisa
mendapatkan password, atau key yang di gunakan untuk otentikasi.
8 – Insecure Cryptographic Storage
Aplikasi web umumnya jarang menggunakan
fungsi kriptografi untuk melindungi data penting yang dimiliki, atau
menggunakan fungsi kriptografi yang di ketahui memiliki kelemahan.
9 – Insecure Communications
Sedikit sekali aplikasi web yang
mengamankan jalur komunikasinya, hal inilah yang dimanfaatkan oleh
penyerang sebagai celah untuk mendapatkan informasi berharga.
10 – Failure to Restrict URL Access
Seringkali, aplikasi web hanya
menghilangkan tampilan link (URL) dari pengguna yang tidak berhak,
tetapi hal ini dengan sangat mudah dilewati dengan mengakses URL
tersebut secara langsung.
Pengamanan secara Umum1. Pemilihan Sistem Operasi (OS), Setting Server, dan Desain Aplikasi
2. Instalasi Patch
3. Kontrol Akses
4. Audit dan Log File
5. Menerapkan Kriptografi
6. Sekuritas Jaringan
- Network firewall
- Sentralisasi Log
- Network monitoring
- Pendeteksian gangguan serangan
- Semua akses http melalui proxy
- Sentralisasi akses
- Kombinasikan multi web server menjadi satu
- Awasi akses masuk dan keluar
- Block akses yg mencurigakan
- Transparan caching
- Transparan respon
- SSL
