Pentingnya Vulnerability Assessment Untuk Keamanan System Informasi
Asep Ramdan, Dede Sukmawan, Saepul Rahman
Jurusan Teknik Informatika
Sekolah Tinggi Teknologi Nusa Putra
Jl. Raya Cibolang No. 21, Cibolang Kaler, Cisaat, Sukabumi, Jawa Barat 43152
Abstrac
Informasi merupakan sumber pengetahuan sehingga sangat di butuh setiap orang agar tidak tertinggal dari yang lainnya, dengan informasi yang benar dan tepat kita dapat mengambil sebuah keputusan atau solisi yang tepat pula. Informasi bisa di dapat dari berbagai media atau sarana penyaji informasi seperti Koran, tv, majalah, website dan lainya. Namun tidak setiap informasi dapat di akses, ada beberapa informasi yang sipatnya rahasia atau pribadi yang hanya dapat di akses oleh sebagian orang, oleh karena itu sangat penting menjaga kerasiannya. Website yang merupakan salah satu penyaji informasi terbesar dan paling banyak di akses pada saat ini sangat mementingkang keamana systemnya agar tidar terjadi kebocoran data, oleh karena itu sangat penting untuk mengetahui setiap kelemahan systemnya tersebut. VA adalah salah satu cara pengukuran terhadap keamanan system tersebut, dengan VA kita bisa dengan cepat mengetahui kelemahan pada system tersebut sehingga bisa dengan cepat melalukan antisipasinya.
Kata kunci : System, Keamanan,VA
I. PENDAHULUAN
Pada era globalisasi saat ini, informasi merupakan hal yang sangat mudah untuk di dapatkan baik nasional maupun internasional. Informasi adalah suatu hal yang penting di era modern ini. Tidak hanya itu informasi sekarang sudah menjadi hal yang wajib bagi setiap orang agar tidak dibilang ketinggalan zaman dan pada saat kita dapat dengan mudah untuk mendapatkan informasi informasi lama atau terbaru dari berbagai sumber. Contoh sebagai salah satu sarana informasi yang paling sering digunakan pada saat ini adalah website. Kita bisa mendapatkan berbagai macam informasi penting dari sebuah website, namun ada juga batasan tertentu agar informasi penting tidak tersebar luaskan secara sembarang oleh karena itu sebuah website yang memiliki informasi penting pasti akan mengutamakan keamanan system mereka guna untuk menjaga informasi penting agar tidak terjadi kebocoran informasi, biasanya informasi ini hanya bisa di akses oleh sebagian orang saja seperti website sekolah (pendidikan) dan website sebuah perusahaan.
Keamanan sistem informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Vulnerabiliity Assessment atau sering di sebut VA adalah salah satu cara pengukuran terhadap keamanan sistem.VA merupakan salah satu bagian pengendalian preventif dalam keseluruhan rangkaian pengendalian TI, disamping berbagai metode pengendalian terhadap keamanan yang lain seperti detektif dengan IDS (Intrusion Detection System), atau preventif dengan firewall dan antivirus. VA diharapkan dapat menjadi acuan bagaimana seharusnya pengawasan dan pengendalian akan keamanan informasi dalam perusahaan atau pendidikan.
II. LANDASANTEORI
A. Informasi
Informasi adalah pesan (ucapan atau ekspresi) atau kumpulan pesan yang terdiri dari order sekuens dari simbol, atau makna yang dapat ditafsirkan dari pesan atau kumpulan pesan yang meliputi informasi tentang bencana, perusahaan, pendidikan dan informasi penting lainnya atau Informasi juga merupakan suatu keterangan atau bahan nyata yang dapat dijadikan dasar kajian analisis, kesimpulan atau Informasi adalah data yang sudah diolah menjadi sebuah bentuk yang berarti bagi pengguna sehingga bermanfaat dalam pengambilan keputusan saat ini atau mendukung sumber informasi. Sedangkan Menurut Gordon B. Davis, informasi adalah data yang telah diolah menjadi suatu bentuk yang penting bagi si penerima dan mempunyai nilai yang nyata yang dapat dirasakan dalam keputusan-keputusan yang sekarang atau keputusan-keputusan yang akan datang. Lalu mengapa informasi bisa menjadi sangat penting ?
Seperti yang sudah kita ketahui bahwa informasi pada saat ini merupakan suatu kebutuhan, hal ini karena informasi memiliki beberapa manfaat seperti :
ü Dapat menjadi pertimbangan atau tolak ukur dalam mengambil sebuah keputusan yang lebih baik.
ü Dapat mengetahui keadaan atau situasi dilingkungan sekitar karna adanya informasi dari orang lain atau media informasi tertentu.
ü Dapat mengetahui disaat kita tidak tahu, karna adanya sebuah informasi ( menambah pengetahuan) sehingga kita tidak tertinggal.
ü Dapat meningkatkan kualitas hidup karena dengan informasi kita dapat melakukan sesuatu lebih baik.
B. Keamanan System Informasi
Apa itu keamanan system informasi ? yaitu adanya suatu pencegahan dari virus, hacker, cracker, dan lain-lain. Ada resiko yang terjadi pada sistem tersebut. Menurut pengertian Para Ahli:
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Dari pnjelasan tentang sistem keamanan saya akan menjelaskan 2 masalah utama, yaitu:
1. Threat (ancaman) atas sistem, dan
2. Vulnerability (kelemahan) atas sistem
Masalah tersebut berdampak kepada 6 hal yang utama dalam sistem informasi, yaitu:
ü Efektifitas
ü Efesiensi
ü Kerahasiaan
ü Integritas
ü Keberadaan (availability)
ü Kepatuhan (compliance)
ü Keandalan (reability)
Adapun kriteria yang perlu diperhatikan dalam masalah keamanan sisterm informasi membutuhkan 10 domain keamanan yang perlu diperhatikan yaitu:
ü Akses kontrol sistem yang digunakan.
ü Telekomunikasi dan jaringan yang dipakai.
ü Manajemen praktis yang di pakai.
ü Pengembangan sistem aplikasi yang digunakan.
ü Cryptographs yang diterapkan.
ü Arsitektur dari sistem informasi yang diterapkan.
ü Pengoperasian yang ada.
ü Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP).
ü Kebutuhan Hukum, bentuk investasigasi dan kode etik yang diterapkan.
ü Tata letak fisik dari sistem yang ada.
C. Vulnerability Assesments
Pengertian vulnerability pada dunia komputer adalah suatu kelemahan program/ infrastruktur yang memungkinkan terjadinya exploitasi sistem. kerentanan (vulnerability) ini terjadi akibat kesalahan dalam membuat, mengimplementasikan, merancang sebuah sistem.
Vulnerability akan digunakan oleh hacker sebagai jalan untuk masuk kedalam sistem secara ilegal. Hacker biasanya akan membuat Exploit yang desesuaikan dengan vulnerability yang telah ditemukan nya. Setiap aplikasi (service,desktop,web base) pasti memiliki celah atau vulnerability, hanya saja belum ketauan, lambat laun akan ditemukan juga oleh hacker.,Tidak semua hacker jahat ,jika celah keamanan ditemukan oleh hacker jahat (Black Hat) kemungkinan akan digunakan untuk meng exploit system untuk dia gunakan sendiri, atau exploit tersebut akan dilelang di “deep web” dan dijual nya ke penawar tertinggi. tapi jika ditemukan oleh hacker baik (white hat) biasnaya dia akan melaporkan celah keamanan tersebut ke developer aplikasi tesebut agar diperbaiki. untuk perusahaan ternama seperti facebook, google, microsoft dll, mereka akan memberi imbalan yang lumayan besar untuk penemu bug /vulnerabillity didalam sistem nya.
Kenapa Vulnerability (Celah Keamanan)bisa terjadi :
Buatan manusia tidak ada yang sempurna, vulnerability/ bug terjadi ketika developer melakukan kesalahan logika koding atau menerapkan validasi yang tidak sempurna sehingga aplikasi yang dibuatnya mempunyai celah yang memungkinkan user atau metode dari luar sistem bisa dimasukan kedalam program nya. Dimana Vulnerability (Celah keamanan)bisa terjadi?
Vulnerability yang sering diexploitasi pada umumnya berada di level software, karena exploitasi dapat dilakukan dengan remot dari jarak jauh yang menjadi target favorit hacker.(ya jelas kalo gak remot/didatengin d utak atik pasti si hacker bakal digebukin :v), karena jenis tingkatan software bermacam-macam berikut beberapa bug/ vulnerabilyti yang biasa ditemui dan diexploitasi.
- Firmware (Hardcoded software)
Apa itu firmware? Firmware adalah software/mini operating system yang tertanam langsung (hardcode) kedalam chip pada perangkat tertentu seperti: Router ,kamera,scanner,printer,handphone,mouse/keyboard tertentu dan lain lain,dengan tujuan agar memudahkan upgrade kompatibility perangkat atau penambahan fitur. Biasanya perangkat dengan firmware tidak memiliki sistem operasi karena jumlah memory yang kecil. vulnerability di level firmware akan sangaat berbahaya jika terjadi padaperangkat seperti router. Karena hacker akan menggunakan celah/kelemahan yang ada untuk membobol router dan memodifikasinya.
Vendor tiap perangkat seperti router atau wireless radio(AP) akan menyediakan pembaruan /update untuk perangkatnya. jadi rajin rajinlah untuk ngecek official site yang bertujuan mendownload pembaruan /update.
- Operating system /Sistem Operasi
Sistem operasi se aman apapun (Linux /Mac) tetap mempunyai celah keamanan, tinggal menunggu waktu saja untnuk ditemukan.usahakan mengaktifkan fitur automatic update agar operating sistem selalu melakukan pembaruan /update ketika update tersedia.
- Aplikasi (Software)
Aplikasi yang kita install di komputer bisa menjadi jalan masuk hacker atau senjata hacker (malware) ke komputer kita. aplikasi yang kita jadikan prioritas utama untuk update adalah aplikasi yang bersentuhan langsung dengan internet seperti browser, document reader, downlaod manager. hal ini untuk mencegah exploitasi terhadap program tersebut ketika kita gunakan untuk mencari informasi di internet. itung-itung mencari informasi malah malware yang kita dapat.
- Brainware (Operator komputer)
Setiap sistem computer pasti ada operator /orang yang memanfaatkan sistem untuk bekerja. walau semua sistem telah dirancang seaman mungkin tetapi pengetahuan setiap orang berbeda-beda. ketidak tahuan atau kepolosan sang operator inilah yang bisa dimanfaatkan hacker untuk mendapatkan akun /informasi yang dia pegang. dengan tehnik social engineering seorang operator bisa ditipu dan menyerahkan akun dan informasi penting ke hacker tanpa dia sadari . secanggih apapun sistem di dunia ini pasti mememiliki kelemahan (vulnerability) di sisi brainware.
- Vulnerability (Celah keamanan) pada aplikasi web
Jika kamu mempunyai website, hati-hati terhadap exploitasi yang akan mungkin terjadi terhadap website mu. exploitasi ini akan sangat beragam bergantung pada bahasa pemrograman yang dipakai,web server ,library dan database yang dipakai. Karena aplikasi web/website terdiri dari banyak komponen, maka aplikasi web mempunyai banyak sisi untuk diserang, web service bisa diserang dengan DDOS / exploitasi yang lain, php library bisa diserang juga , dan aplikasi website itu sendiri bisa diserang , sehingga aplikasi web membutuhkana extra proteksi untuk menjaga agar website aman dari tangan-tangan jahil.
Untuk masalah keamanan web service ,php library atau library yang lain biasnaya menjadi tanggung jawab penyedia hosting. aplikasi web yang kita taruh di hosting bisa menjadi jalan masuk hacker jika aplikasi web yang kita gunakan memiliki celah keamanan (vulnerability). katakanlah kamu memasang wordpress sebagai CMS untuk menangani blog kamu, wordpress CMS ini memiliki banyak komponen terpisah seperti plugin dan module , vulnerability bisa berada di aplikasi utama CMS itu sendiri atau berada di plugin atau theme yang kita gunakan. oleh sebab itu rajin-rajinlah mengupdate CMS yang kamu gunakan.
III. PEMBAHASAN
A. Acunetix
Acunetix adalah software untuk mendeteksi suatu celah kerentanan situs, Perusahaan Acunetix baru-baru ini telah merilis versinya yang ke 8, dan telah ditingkatkan sehingga membuatnya lebih cepat dan lebih baik.
Fitur-fitur baru termasuk Scan Engine baru yang dapat mendeteksi celah kerentanan atau vulnerability, meningkatkan dukungan aplikasi web 2.0 dan penanganan manajemen sesi, kemampuan untuk menelusuri ulang kerentanan khusus untuk memverifikasi perbaikan, Fake Positive dan Fake Negative, dan yang terakhir kemungkinan bug website saat memindai, dan banyak lagi.
B. Pelaksanaan VA
Dalam melakukan VA kita bisa mengkombinasikan lebih dari satu alat / software untuk melihat kelemahan (vulnerability) atau bug yang ada pada system. Ketika memulai scan baru, kita harus menentukan pilihan situs atau website yang mana yang akan discan, contoh diantaranya: situs web tunggal, daftar situs, berbagai komputer, ( alamat IP ) dan scan situs “Crawling " dengan Crawler Site
Kemudian kita tentukan mode scan crawling dan opsi scan, dan konfigurasilah rincian login untuk perlindungan password dari situs target :
Saat proses scan, sobat tunggu beberapa saat saja Port Scanner dan Target Finder memungkinkan sobat untuk menemukan webserver dalam kisaran alamat IP dan untuk mendeteksi port yang terbuka.
Scanner Subdomain mengidentifikasi subdomain aktif, dan Blind SQL Injector ekstrak data dari server web untuk analisis lebih lanjut jika kerentanan SQL injection yang dieksploitasi telah terdeteksi.
HTTP Editor dan HTTP Fuzzer juga menu yang sangat berguna yang memungkinkan sobat untuk menulis permintaan HTML custom dan mengetes terhadap situs dalam rangka untuk debugging dengan bantuan respon HTTP, dan membuang berbagai data fuzzing pada aplikasi web. Fuzzer HTTP, sobat bisa membuat aturan opsi.
C. Kesimpulan
Informasi pada saat ini merupakan suatu kebutuhan bagi setiap orang agar tidak tertinggal, dengan memiliki informasi yang tepat dan akurat kita bisa mengambil keputusan yang lebih. Informasi pada saat ini bisa di dapat dari berbagai media dan yang paling sering di gunakan adalah website. Namun tidak setiap informasi bisa di akses oleh setiap orang ada beberapa informasi yang bersifat rahasia / privat. Oleh karena itu maka kita perlu menjamin keamanan system informasi tersebut agar tidak bocor kesembarang orang.
Dengan metode VA kita dapat dengan mudah mengetahui kelemahan (vulnerability) pada system keamanan informasi tersebut, sehingga kita dapat lebih cepat mengantisipasi kebocoran informasi.
D. Daftar Pustaka
0 comments:
Post a Comment