Analisis Keamanan Website BAZMA Pertamina RU III Plaju Palembang Muhammad Iqbal1 ,Yesi Novaria Kunang2, Usman Ependi3 Program Studi Teknik Informatika Universitas Bina Darma Jl Jend A.Yani No.12 Plaju, Palembang Email:
[email protected]) ,
[email protected]),
[email protected]) 1, 2, 3)
Abstrak. Keamanan informasi sebuah website sangatlah diutamakan pada saat ini, seiring semakin meningkatnya kejahatan di dunia maya sesuai dengan data ID-SIRTI sepanjang tahun 2014 terjadi serangan keamanan cyber berbagai macam bentuk. Tujuan dibuatnya penelitian ini yaitu mengevaluasi control keamanan internal sistem dengan mengidentifikasi ancaman yang dapat menimbulkan masalah serius terhadap aset organisasi dengan menerapkan metode penelitian Action Resarch yang mana tahap awalnya melakukan identifikasi masalah seperti pencurian paket data dan lain sebagainya, kemudian merencanakan hal-hal untuk penetrasi yang akan dilakukan diantaranya menggunakan tools-tools seperti Acunetix web vulnerability scanner 9, Net tools, DoSHTTP 2.5, Digiblast 2, SynAttack, Sql map, Cross Site Scripting (XSS) dan Arp Spoofing. Selanjutnya menerapkan perencanaan yang telah dibuat sebelumnya, lalu tahap mengevaluasi hasil dari penerapan dan yang terakhir yaitu mempelajari kriteria dalam prinsip pembelajaran. Hasil dari penetrasi akan dijadikan bahan pertimbangan seorang administrator jaringan untuk memperbaiki celah keamanan website yang terbuka.
1
Pendahuluan
Pertamina RU III Plaju suatu perusahaan BUMN yang bergerak di bidang eksplorasi dan pengolahan minyak serta gas bumi menjadi berbagai jenis bahan bakar dan petrokimia. Salah satu badan pendukung di Pertamina RU III yang membantu menyalurkan dana bantuan kepada kaum dhuafa dan sabilillah adalah Bazma. Bazma didirikan atas SK Menteri Agama No. 313 tanggal 24 Mei 2004. Saat ini, Bazma RU III Plaju Palembang mempunyai website sendiri dan web servernya berada di kantor Information Technology (IT) Area Pertamina RU III Plaju Palembang. Pada website Bazma menyediakan informasi dalam sebuah tampilan website, baik informasi untuk pengenalan maupun informasi yang berkaitan tentang penyaluran dana kepada kaum dhuafa dan sabilillah yang berada di sekitar Perusahaan. Adapun alamat URL Bazma Pertamina RU III Plaju Palembang adalah 10.53.1.12/webfungsi/bazma. Website Bazma menggunakan jaringan intranet atau private network untuk membagi informasi aktivitas Bazma setiap bulan. Namun sistem private network membuat masyarakat sekitar kesulitan untuk mengenal Bazma secara detail sehingga kurangnya informasi mengenai aktifitas bazma. Lemahnya keamanan website bazma membuat peneliti tertarik untuk melakukan penelitian
terhadap web Bazma dengan tujuan untuk mengetahui informasi error, kemudian melakukan evaluasi terhadap celah keamanan website Bazma. Sehingga kedepannya web Bazma bisa online dan lebih dikenal lagi oleh masyarakat luas. Web vulnerability adalah celah-celah dari sistem keamanan web yang memungkinkan bagi seorang hacker ataupun cracker untuk menembus sistem keamanan dari web tersebut[1]. Demi menjaga fasilitas yang sangat diperlukan oleh para pekerja pertamina dari orang yang tidak bertanggung jawab yang menemukan pintu masuk atau celah ke web server bazma, akan lebih baik penelitian ini dilakukan. Dan jika menemukan pintu masuk atau celah keamanan akan dilaporkan ke bagian admin web server bazma serta melakukan perbaikan (patching) secepatnya. adapun batasan permasalahan dalam penelitian ini adalah untuk mengetahui informasi error dengan menggunakan acunetix vulnerability. Vulnerability Assesment pada web server www.binadarma.ac.id merupakan keamanan dan aplikasi yang termasuk self building karena keamanan web server sangat tergantung pada staff dan karyawan[2]. Berbagai level kerentanan dari level kerentanan low pada domain ums.ac.id sampai level kerentanan high pada sub domain fakultas[3].
2
Metode dan Perancangan
2.1 Metode Metode yang digunakan dalam penelitian ini adalah action research dalam 5 tahapan yang merupakan suatu siklus yaitu[4] : 1. Melakukan diagnosa (diagnosing) identifikasi masalah-masalah pokok yang ada sehingga terjadi perubahan. 2. Membuat rencana tindakan (action planning) memahami pokok masalah yang ada kemudian dilanjutkan dengan menyusun rencana tindakan yang tepat untuk menyelesaikan masalah yang ada. 3. Melakukan tindakan (action taking) mengimplementasikan rencana tindakan dengan harapan dapat menyelesaikan masalah. 4. Melakukan evaluasi (evaluating) peneliti melaksanakan evaluasi hasil dari implementasi. 5. Pembelajaran (learning) Tahap ini merupakan bagian akhir siklus yang telah dilalui dengan melaksanakan review tahap-pertahap yang telah berakhir kemudian penelitian ini dapat berakhir. Metode analisis data dalam penelitian ini menggunakan metode deskriptif., Metode deskriptif adalah suatu metode dalam meneliti status sekelompok manusia, suatu objek, suatu set kondisi, suatu sistem pemikiran, ataupun suatu kelas peristiwa pada masa sekarang[5].
2.2 Perancangan Penetrasi
Gambar 1 Perancangan Penetrasi Dari gambar diatas dapat dilihat bahwa awalnya mencari celah yang terbuka menggunakan Acunetix Web Vulnerability, penetrasi ping menggunakan Net tools, penetrasi menggunakan DoSHTTTP 2.5 melakukan flooding pada website, penetrasi menggunakan Digiblast 2 dengan mengirimkan paket data, penetrasi menggunakan SynAttack flooding pada web server, penetrasi menggunakan Sql injection, penetrasi menggunakan Cross Site Scripting (XSS), dan penetrasi menggunakan Arp Spoofing melakukan pencegatan pengiriman data.
3
Hasil dan Pembahasan
3.1 Hasil Setelah tahap demi tahap peneliti melakukan analisa dan uji coba yang dimulai dari tanggal 15 desember 2015 sampai dengan 23 desember 2016, dengan beberapa tools yaitu Acunetix Web Vulnerability Scanner 9 yang digunakan untuk mencari informasi celah menunjukkan bahwa website bazma dalam level kerentanan Low, hal ini ditunjukkan dengan ditemukannya web alerts dengan kategori Low dan informational berdasarkan beberapa tingkatan high, medium dan low menghasilkan tingkatan celah keamanan yang tinggi. Dari hasil Acunetix Web Vulnerability Scanner 9 ditemukan celah yang terdiri dari beberapa tingkatan diantaranya : 1. Tingkatan high dengan total nilai 17 celah yaitu terdiri dari diantaranya Blind Sql Injection, Cross Site Scripting, jQuery cross site scripting, Slow HTTP Denial of Service Attack.
2. Tingkatan medium dengan total nilai 22 celah yaitu Apache httpOnly cookie disclosure, Directory listing, HTML form without CSRF protection, User credentials are sent in clear text. 3. Tingkatan low dengan total nilai 16 celah yaitu X-Frame-Options header missing, Options method is enabled, Session Cookie without Secure flag set, TRACE method is enabled. 3.2 Pembahasan 3.2.1 Ujicoba Acunetix Web Vulnerability Scanner 9 Buka program Acunetix Web Vulnerability Scanner 9, kemudian pada menu start buka Acunetix Web Vulnerability Scanner 9, Masukkan alamat website URL http://10.53.1.12/webfungsi/bazma lalu Scan single website merupakan memindai satu website lanjutkan proses scanning port pada website Bazma, hasil scanning port yang menampilkan lubang website Bazma sangat rentan. Pada testing blind injection di temukan 1 notifikasi yang menyatakan ada bagian yang cukup berbahaya/vulnerable, anda tinggal arahkan kursor anda kebagian tersebut. secara otomatis di bagian sebelah kanan terdapat penjelasan deskripsi dari vulnerable itu dan cara menangani nya yang sudah di persiapkan oleh tim acunetix. Tampilan proses scanning Acunetix Web Vulnerability Scanner 9 ditemukan celah yang terdiri dari beberapa tingkatan diantaranya : 1. Level High merupakan celah yang tingkatannya paling tinggi. 2. Level Medium merupakan celah yang tingkatannya sedang. 3. Level low merupakan celah yang tingkatannya rendah. 4. Informational merupakan isi dari sebuah informasi Tunggu sampai dapat hasilnya, cepat atau lambat scanning tergantung dari koneksi internet yang kita miliki, semakin cepat koneksi internetnya semakin cepat proses scan akan berjalan. Setelah proses scan selesai, maka kita akan mendapatkan informasi mengenai server Bazma terdapat tampilan scanning selesai hasilnya ditemukan 84 total alert yang terdiri dari level high 17, level medium 22 dan level low
Gambar 2 Hasil Scaning Acunetix Web Vulnerability Scanner 9
3.2.2 Ujicoba Net Tools pinger Buka program Net tools, kemudian pada menu start – network tools – ping terdapat tampilan perintah ping untuk melakukan penetrasi pada website URL yang kita inginkan. ping web target, lalu isi berapa kali ping contoh 1.000 kali, packet 64 lalu klik ping. terdapat tampilan pinger yang terdiri dari : 1. IP or Host alamat IP target yang akan kita penetrasi. 2. Ping penentuan jumlah ping yang kita inginkan. 3. Packet merupakan jumlah paket yang akan kita kirim semakin besar akan membuat bandwith berkurang. Menunjukkan hasil target sangat rentan untuk melakukan penetrasi melalui serangan melalui pinger. Dengan menggunakan ip 10.53.1.12, jumlah ping 1.000, jumlah packet yang dikirim 64. 3.2.3 Ujicoba DoSHTTP 2.5 Buka program DosHTTP, tentukan target URL misal 10.53.1.12, tentukan socket 500, request 2500, lalu start flood. menunjukkan tampilan DoSHTTP 2.5 yaitu berupa target URL misal 10.53.1.12, socket 500 dan request 2500. menunjukkan bukti bahwa target sangat rentan untuk melakukan penetrasi melalui serangan melalui membanjiri http dengan banyaknya request yang masuk membuat web server menjadi down. 3.2.4 Ujicoba DigiBlast 2 Buka program digiblaster, tentukan ip address contoh 10.53.1.12, tentukan port 80, time left 100000, delay 100, flood mode pilih TCP, lalu pilih flood, lalu hasilnya target sukses di flooding. menampilkan tampilan DigiBlast 2 yang terdiri yaitu : 1. Port 80 Jenis Port TCP, UDP Digunakan oleh World Wide Web HTTP 2. Repeat 100000 proses perulangan dalam membanjiri World Wide Web HTTP atau jumlah paket yang akan dikirim ke target maka digiblast akan mengirimkan seratus ribu kali paket ke komputer target 3. Times Left 1000000 lama waktu dalam membanjiri World Wide Web HTTP dan menunjukkan jumlah paket yang tersisa. 4. Delay 100 waktu tunggu dalam membanjiri World Wide Web HTTP dan interval waktu pengiriman paket per detik. Maka interval waktu pengiriman paket adalah 1 detik = 1 paket. Jika angka delay semakin kecil maka paket yang dikirimkan akan semakin banyak setiap detiknya. Batas minimal delay = 1. 5. Flood Mode Pilih TCP Flood yang digunakan untuk membanjiri World Wide Web HTTP Ceklis Flood Mode : - TCP FLOOD yaitu Paket dikirimkan melalui protokol TCP/IP - UDP FLOOD yaitu Paket dikirimkan melalui protokol UDP - DUAL PROTOCOL FLOOD yaitu Paket dikirimkan melalui protokol TCP/IP dan UDP. Menunjukkan bukti bahwa target sangat rentan untuk melakukan penetrasi melalui serangan melalui flooding dengan banyaknya request yang masuk membuat web server menjadi down. Dengan menggunakan ip 10.53.1.12
3.2.5 Ujicoba SQL Injection Sqlmap merupakan tools scanning teknik SQL Injection secara otomatis tergantung dari perintah si attacker. -u adalah perintah untuk membaca alamat target yang peneliti masukkan. --dbms=mysql merupakan perintah untuk melakukan scanning dengan aplikasi database pada target yaitu mysql. Tahapan Sqlmap peneliti menggunakan sistem operasi ubuntu adapun langkah langkah scanning sqlmap yaitu sebagai berikut : 1. Login ubuntu dengan username iqbal dan password 123456 2. Kemudian masukkan perintah ketik sudo su 3. Masuk ke opt dengan cara cd /opt/sqlmap Lalu masukkan perintah ./sqlmap.py–u http:// 10.53.1.12/ webfungsi / bazma / index. php ? id = 30 & page = kegiatan_penyaluran –dbms=mysql, kotak merah merupakan bukti bahwa alamat target tidak rentan untuk SQL Injection metode GET, begitu pula dengan web server 10.53.1.12/webfungsi/bazma tidak rentan. 3.2.6 Ujicoba Cross-Site Scripting (XSS) XSS digunakan dengan cara memasukkan kode HTML atau client script code lainnya ke web. Akibat serangan ini penyerang dapat mem-bypass keamanan di sisi klien, mendapatkan informasi sensitif, dan menyimpan aplikasi berbahaya. Skripnya <script>alert(“tes xss”); Setelah di injeksi halaman tidak menampilkan perubahan yang membuktikan bahwa website tidak rentan XSS. 3.2.7
Pengujian Arp Spoofing
Arp Spoofing adalah suatu teknik menyerang pada jaringan komputer lokal baik dengan media kabel atau wireless, yang memungkinkan penyerang bisa mengetahui frames data pada jaringan lokal atau melakukan modifikasi traffic atau bahkan menghentikan traffic. Prinsipnya serangan Arp Spoofing ini memanfaatkan kelemahan pada teknologi jaringan komputer itu sendiri yang menggunakan ARP broadcast. Sebelum mengetahui cara penggunaan ettercap kita perlu mengetahui cara kerja ettercap, dimana tools ini digunakan untuk melakukan packet sniffing pada switch. Cara switch berkomunikasi adalah multicast dan unicast, intinya paket yang dikirim dijamin tidak salah sasaran, hanya orang-orang yang berhak bisa mendapatkan paketpaket yang dikirim. Lalu bagaimana switch mengetahui bahwa paket yang dikirim itu tepat sasaran, caranya dengan mengirimkan paket ARP (Address Resolution Protocol) . Switch akan mencatat alamat mac address (alamat fisik pada komputer anda) serta alamat IP (alamat maya atau tak fisik ). Alamat fisik seperti alamat rumah anda, alamat yang tidak berubah-ubah, sedangkan non fisik seperti no.hp. Dan didalam aplikasi ettercap ini terdapat fasilitas MITM, dimana MITM (men in the middle attack) merupakan jenis serangan dengan berpura – pura menjadi user yang sah. Pada switch caranya dengan memalsukan dan flood ARP response (ARP spoofing).Jadi ketika switch menanyakan alamat fisik setiap alamat IP, maka penyerang akan mengirimkan mac address alamat penyerang kepada switch untuk setiap alamat IP yang ditanyakan oleh switch. Jadi ketika switch tanya alamat mac address IP 10.53.1.12 maka penyerang akan membalasnya dengan alamat fisiknya,
dan ini dilakukan untuk setiap IP komputer-komputer korban. Akhirnya setiap paket oleh switch akan dikirimkan oleh komputer penyerang. Agar korban tidak curiga kalau paketnya sudah dicuri, maka penyerang akan melakukan forward paket yang terlebih dahulu sudah dibaca oleh penyerang. Jadi si korban tidak akan curiga kalau tiba-tiba paketnya hilang. Komputer penyerang seolah – olah akan menjadi jembatan (bridge) antara komputer sah dengan komputer yang lain. A. Buka sistem operasi Backtrack 5 jalankan tunggu sampai ada terminal kita ketik startx untuk memulai program tunggu sampai selesai prosesnya. B. Program Backtrack 5 sudah terbuka lalu pada menu Applications – backtrack privilege escalation – protocol analysis – network sniffers – ettercap-gtk. C. Pada menu ettercap kita masuk ke menu sniff - unified sniffing tampil ettercap input berupa eth0 lalu pilih ok. D. Pada menu host pilih list host untuk menampilkan daftar list host, pada IP web server klik add to target 1 untuk menambahkan sebagai target 1, IP client klik add to target 2 untuk menambahkan sebagai target 2. Pada menu MITM pilih Arp poisoning pada optional parameters centang sniff remote connections lalu ok. Pada menu start pilih start sniffing tunggu sampai client login maka hasilnya akan terlihat didaftar sniffing. Tampilan username dan password dari admin website Bazma Hasil akhirnya penyerang memposisikan diri di antara dua host yang sedang melakukan komunikasi untuk mendapatkan informasi yang saling dikirimkan atau yang disebut dengan Man In The Middle Attack. Penyerang harus menjaga agar komunikasi antara dua host ini tetap berjalan tanpa terputus. Untuk itu penyerang ketika menerima pesan dari host pengirim harus meneruskan pesan tersebut ke host penerima secara terus menerus. Setelah mengetahui password dari admin maka peneliti masuk sebagai admin disini peneliti bisa melakukan penggantian data, menghapus data dan melakukan perubahan password berikut hasil administrator yang berhasil ditembus.
4
Kesimpulan
Berdasarkan hasil penelitian maka dapat disimpulkan Bahwa keamanan website Bazma belum dapat dikatakan aman, hal ini di tunjukkan dengan masih adanya tingkat keamanan yang berada pada level High dengan ditemukannya web alerts berbahaya pada beberapa website Bazma Pertamina dan level Medium yang mengandung informasi sensitif, dan sehingga keamanan website Bazma Pertamina berhasil dapat penetrasi dan server down, dari sisi keamanan klien berhasil diserang bahkan penyusup berhasil masuk melalui admin dengan menyerang keamanan klien. Sehingga mendapatkan informasi-informasi sensitif website Bazma Pertamina tersebut.
Referensi 1. Basavala, S.R., Kumar, N. & Agarrwal, A.: Finding Vulnerabilities in Rich Internet Applications (Flex/AS3) Using Static Techniques. I.J.Modern Education and Computer Science, (2012), 1, 33-39. 2. Siagian, H.P.: Vulnerability Assesment Pada Web Server www.binadarma.ac.id Journal, Palembang Indonesia, (2014) 3. Metasari, dkk.: Analisis Keamanan Website di Universitas Muhammadiyah Surakarta. Jurnal, (2014) 4. Davison, R.M., Martinsons, M.G., & Kock N. Jurnal: Information Systems dan Principles of Canonical Action Research, (2004) 5. Nasir, Moh.: Metode Penelitian. Jakarta: Galia Indonesia (2004)