BAB I PENDAHULUAN 1.1
Latar Belakang Teknologi informasi pemanfataannya sudah merambah ke segala aspek,
tidak hanya pada bidang teknologi saja. Salah satunya adalah pemanfaatan teknologi WWW (World Wide Web) atau yang biasa disebut web yang mampu menyediakan informasi dalam bentuk teks, gambar, suara, maupun gambar bergerak. Pada teknologi web itu sendiri terdapat beberapa komponen yang mendukung menciptakan teknologi tersebut, misalnya bahasa pemrograman dan database. Salah satu perkembangan teknologi itu yaitu berupa Perkembangan jejaring sosial sebagai media. Rata-rata masyarakat modern, seperti orang-orang yang tinggal di perkotaan telah menggunakan jejaring sosial sebagai salah satu alat untuk berkomunikasi. Banyak kemudahan yang ditawarkan oleh media komunikasi baru ini, pengguna jejaring sosial yang dikenal dengan user dapat menyebarkan maupun mencari pesan atau informasi dengan cepat, memberitakan kegiatan yang dilakukan sehari-hari kepada orang lain dapat dilakukan dengan mudah, berkumpul dengan teman atau kolega tanpa harus melakukan tatap muka, sampai mencari teman atau kolega baru melalui situs jejaring sosial tersebut. Kemudahan-kemudahan yang ditawarkan oleh jejaring sosial inilah yang mengakibatkan perkembangan penggunanya meningkat dengan pesat. Akan tetapi dengan penggunaan dari beberapa aplikasi sosial media yang didownload
1
2 dan diinstal pada perangkat yang digunakan, kita tidak mengetahui apa yang aplikasi sosial media ini aman untuk digunakan, karena dunia internet tentu tidak lepas dari masalah keamanan karena di internet data bisa masuk ke mana saja. Perusahaan harus melakukan inovasi dalam bidang keamanan agar konsumen atau pengunjung merasa yakin dalam melakukan transaksi dan menyimpan data pribadi di sebuah website. Salah satu langkah pengamanan adalah dengan melakukan testing terhadap aplikasi-aplikasi perusahaan seperti database, website, dan email. Penelitian ini penulis mencoba untuk membuat sistem laporan berbasis web tentang testing-testing yang dilakukan pada aplikasi sosial media seperti facebook dan tweeter. Sistem laporan ini juga memudahkan pihak tester untuk melihat sejauh mana perkembangan keamanan sebuah aplikasi jejaring sosial media. Penetration testing atau sering disingkat menjadi pentest merupakan istilah
untuk
pengujian
terhadap
kehandalan
suatu
sistem
dan
mendokumentasikan tingkat keamanan aplikasi, sistem komputer, atau jaringan. Jika ditemukan kelemahan suatu sistem maka dengan segera akan dilakukan patch atau penambalan sehingga keamanan sistem akan menjadi lebih kuat. Dalam penelitian ini peneliti menggunakan metode action research dengan menerapkan tehnik penetrasi testing yang diharapkan dapat menjadi panduan bagi masyarakat, dimana informasi mengenai aplikasi sosial media aman untuk digunakan. Berdasarkan uraian dan latar belakang di atas maka penulis tertarik untuk melakukan pentest aplikasi sosial media sehingga penulis memberi judul pada proposal ini “Implementasi Penetrasi Testing Untuk Mengetahui Keamanan
3 Penggunaan
Aplikasi
Sosial
Media
Menggunakan
Metode
Action
Research”.
1.2
Rumusan Masalah Dari Latar Belakang di atas dapat di rumuskan suatu permasalahan
“Bagaimana
mengimplementasikan
pentest
untuk
mengetahui
keamanan
penggunaan aplikasi sosial media menggunakan metode action research”.
1.3
Batasan Masalah Agar pembahasan lebih terarah dan sesuai dengan apa yang diharapkan,
penulis membatasi dalam pentest untuk mengetahui informasi keamanan penggunaan aplikasi sosial media yaitu facebook dan tweeter menggunakan metode action research.
1.4
Tujuan dan Manfaat Penelitian
1.4.1
Tujuan Penelitian Tujuan dari penelitian ini adalah melakukan penetrasi testing aplikasi
sosial media untuk mengetahui apakah-aplikasi sosial media tidak membahayakan orang lain maka dilakuka penetrasi testing dalam teknologi informasi dengan metode action research. 1.4.2
Manfaat Penelitian Penelitian ini diharapkan dapat memberikan manfaat sebagai berikut:
1.
Memberikan informasi untuk mengetahui mengenai aplikasi sosial media.
2.
Memberikan solusi bagi pengguna mengenai aplikasi sosial media apa saja yang aman dan yang dapat membahayakan bagi penggunaanya.
4 3.
Memberikan gambaran mengenai penyalahgunaan teknologi pada sebuah aplikasi oleh pihak yang tidak bertanggung jawab.
4.
Adapun manfaat yang didapat bagi penulis yaitu dapat menerapkan dan mengembangkan ilmu yang diperoleh selama ini baik dari perkuliahan dan dari luar perkulihan.
1.5.
Metode Penelitian
1.5.1. Waktu Penelitian Waktu penelitian dilakukan pada bulan Mei 2016 sampai dengan bulan Juli 2016.
1.5.2. Alat Dalam penetrasi testing alat dan bahan yang digunakan meliputi hardware, software serta bahan-bahan penunjang lainnya. 1. Perangkat Keras (Hardware) Perangkat keras yang digunakan adalah laptop dengan spesifikasi berikut : a. Laptop acer aspire 4720Z b. Processor intel pentium dual core c. RAM 1GB d. Hardisk 250 GB e. Printer canon (S200SPx) f. Flashdisk 4 GB 2. Perangkat Lunak (Software) a . Windows 7 ultimate sebagai operating system b. Ms-word 2007 untuk penulisan laporan tugas akhir ini
5 c. Ms-Excel 2007 d. Web Scanner, DoSHTTP 2.5, net tools, DigiBlast2 dan SynAttack untuk melakukan penetrasi testing.
1.5.3. Bahan-bahan penunjang yaitu : Dokumen-dokumennya yaitu seperti data alamat situs jejaring sosial media facebook dan tweeter. 1.5.4. Metode Penelitian Action research atau penelitian tindakan merupakan salah satu bentuk rancangan penelitian, dalam penelitian tindakan peneliti mendeskripsikan, menginterpretasi dan menjelaskan suatu situasi sosial pada waktu yang bersamaan dengan melakukan perubahan atau intervensi dengan tujuan perbaikan atau partisipasi.Action research dalam pandangan tradisional adalah suatu kerangka penelitian pemecahan masalah, dimana terjadi kolaborasi antara peneliti dengan client dalam mencapai tujuan (Kurt Lewin,1973 disitasi Sulaksana,2004). Sedangkan pendapat Davison, Martinsons & Kock (2004), menyebutkan penelitian tindakan, sebagai sebuah metode penelitian, didirikan atas asumsi bahwa teori dan praktik dapat secara tertutup diintegrasikan dengan pembelajaran dari hasil intervensi yang direncanakan setelah diagnosis yang rinci terhadap konteks masalahnya. Menurut Gunawan (2007), action research adalah kegiatan dan atau tindakan perbaikan sesuatu yang perencanaan, pelaksanaan, dan evaluasinya digarap secara sistematik dan sistematik sehingga validitas dan reliabilitasnya mencapai tingkatan riset. Action research juga merupakan proses yang mencakup
6 siklus aksi, yang mendasarkan pada refleksi; umpan balik (feedback); bukti (evidence); dan evaluasi atas aksi sebelumnya dan situasi sekarang. Penelitian tindakan ditujukan untuk memberikan andil pada pemecahan masalah praktis dalam situasi problematik yang mendesak dan pada pencapaian tujuan ilmu sosial melalui kolaborasi patungan dalam rangka kerja etis yang saling berterima (Rapoport, 1970 disitasi Madya,2006). (Davison, Martinsons & Kock (2004) Berikut tahapan penelitian tindakan (action research) yang dapat ditempuh yaitu lihat Gambar berikut :
Gambar 3.1 Tahapan Action Research Davison, Martinsons & Kock (2004), membagi Action research dalam 5 tahapan yang merupakan siklus, yaitu : 1. Melakukan diagnosa (diagnosing) Melakukan identifikasi masalah-masalah pokok yang ada guna menjadi dasar kelompok atau organisasi sehingga terjadi perubahan, untuk pengembangan pada tahap ini peneliti mengidentifikasi kebutuhan stakeholder akan jaringan, ditempuh dengan cara mengadakan wawancara mendalam kepada stakeholder yang terkait langsung maupun yang tidak terkait langsung.
7 2. Membuat rencana tindakan (action planning) Peneliti dan partisipan bersama-sama memahami pokok masalah yang ada kemudian dilanjutkan dengan menyusun rencana tindakan yang tepat untuk menyelesaikan masalah yang ada. Dengan memperhatikan kebutuhan stakeholder terhadap jaringan, penelitian bersama partisipan memulai membuat sketsa awal dan menentukan isi yang akan ditampilkan nantinya. 3. Melakukan tindakan (action taking) Peneliti dan partisipan bersama-sama mengimplementasikan rencana tindakan dengan harapan dapat menyelesaikan masalah. Selanjutnya setelah model dibuat berdasarkan sketsa dan menyesuaikan isi yang akan ditampilkan berdasarkan kebutuhan stakeholder dilanjutkan dengan mengadakan ujicoba. 4. Melakukan evaluasi (evaluating) Setelah masa implementasi (action taking) dianggap cukup kemudian peneliti bersama partisipan melaksanakan evaluasi hasil dari implementasi tadi, dalam tahap ini dilihat bagaimana penerimaan pegguna terhadap jaringan yang ditandai dengan berbagai aktivitas-aktivitas. 5. Pembelajaran (learning) Tahap ini merupakan bagian akhir siklus yang telah dilalui dengan melaksanakan review tahap-pertahap yang telah berakhir kemudian penelitian ini dapat berakhir. Seluruh kriteria dalam prinsip pembelajaran harus dipelajari, perubahan dalam situasi organisasi dievaluasi oleh peneliti dan dikomunikasikan kepada klien, peneliti dan klien merefleksikan terhadap hasil proyek, yang nampak akan dilaporkan secara lengkap dan hasilnya secara eksplisit
dipertimbangkan
dalam
hal
implikasinya
terhadap
8 penerapan Canonical Action Reaserch (CAR). Untuk hal tertentu, hasilnya dipertimbangkan dalam hal implikasinya untuk tindakan berikutnya dalam situasi organisasi lebih-lebih kesulitan yang dapat dikaitkan dengan pengimplementasian perubahan proses.
1.5.5. Metode Pengumpulan Data Metode Pengumpulan Data yang digunakan dalam penelitian ini adalah : a. Wawancara Dalam metode ini penulis mengumpulkan data penelitian dengan bertanya langsung kepada pihak yang bersangkutan yang dapat memberikan informasi yang dibutuhkan. b. Kepustakaan Mengumpulkan data dengan cara mencari dan mempelajari data-data dari buku-buku ataupun dari referensi lain yang berhubungan dengan penulisan laporan penelitian proposal. Buku yang digunakan penulis sebagai referensi, adapun metode yang digunakan penulis dalam merancang dan mengembangkan dapat dilihat pada daftar pustaka. c. Observasi Metode ini dilakukan dengan cara mengamati langsung keadaan dan kegiatan pada aplikasi sosial media guna mendapatkan keterangan yang akurat.
9
1.6.
Sistematika Penulisan Agar pembahasan laporan ini dapat memberikan gambaran sesuai dengan
tujuan, maka penulisan laporan ini disusun dengan sistematika penulisan sebagai berikut: BAB I
PENDAHULUAN Pada bab ini dikemukakan secara garis besar mengenai latar belakang, rumusan masalah, tujuan dan manfaat, batasan masalah, metodelogi penelitian dan sitematika penulisan dalam penyusunan tugas akhir.
BAB II
TINJAUAN PUSTAKA Pada bab ini menjelaskan secara singkat mengenai pengertian dan istilah-istilah yang digunakan dalam penelitian dan juga menguraikan tentang teori penetrasi testing.
BAB III
ANALISIS DAN PERANCANGAN Pada bab ini menguraikan tentang penetrasi testing pada aplikasi sosial media yang diteliti dengan menjelaskan tentang informasi aplikasi sosial media.
BAB IV
HASIL DAN PEMBAHASAN Pada bab ini menguraikan pembahasan dari permasalahan yang ada. Pada penetrasi testing pada aplikasi sosial media pada yang diharapkan dapat dimanfaatkan dalam dunia pendidikan.
10 BAB V
KESIMPULAN DAN SARAN Pada bab ini berisi kesimpulan dan saran yang dapat bermanfaat bagi semua pihak.
11
BAB II TINJAUAN PUSTAKA
2.1 Landasan Teori 2.1.1
Implementasi Implementasi adalah perluasan aktivitas yang saling menyesuaikan sebagai
aktivitas yang saling menyesuaikan. Browne (2004:70). Implementasi adalah tindakan-tindakan yang dilakukan oleh individu atau pejabat-pejabat-pejabat kelompok-kelompok pemerintah atau swasta yang diarahkan pada tercapainya tujuan-tujuan yang telah digariskan dalam keputusan kebijakan. Wahab (2001:65).
2.1.2 Penetrasi Testing Whitman dan Mattord (2011:17), Penetration Test (pentest) merupakan kegiatan yang dilakukan untuk melakukan pengujian terhadap keamanan sebuah sistem. Pengujian ini dilakukan untuk menemukan celah keamanan yang terdapat pada sistem tersebut. Hasil pengujian ini digunakan untuk memperbaiki sisi keamanan dari sistem. Yang dicari dari Pentest ini adalah apakah terdapat celah keamanan yang dapat disalahgunakan (exploitable vulnerability). Langkah pertama yang dilakukan pada Pentest adalah perencanaan. Pada tahapan ini harus dibicarakan ruang lingkup pentest. Langkah berikutnya adalah information gathering dan analysis. Pada tahapan ini dikumpulkan semua informasi tentang sistem target. Ada banyak alat bantu yang bisa digunakan, diantaranya adalah
12 www.netcraft.com. Kemudian dilakukan network survey untuk mengumpulkan informasi domain, server, layanan yang ada, ip adress, host, adanya firewall, dll. Tools yang dapat digunakan misalnya Nmap http://nmap.org/. Langkah selanjutnya adalah vulnerability detection (pencarian celah keamanan). Setelah mengetahui informasi tentang sistem, pencarian celah keamanan bisa dilakukan manual
atau
secara
automatis
misalnya
dengan
Nessus.
http://www.tenable.com/products/nessus. Setelah menemukan celah keamanan, maka langkah berikutnya adalah percobaan penyerangan (penetration attempt). Pada proses ini dilakukan penentuan target, pemilihan tools dan exploit yang tepat. Umumnya diperlukan juga kemampuan password cracking. Cara lain yang dapat dilakukan adalah dengan melakukan social engineering dan pengujian physical security dari sistem
2.1.3 Keamanan Informasi merupakan aset yang harus dilindungi keamanannya. Keamanan secara umum diartikan sebagai quality or state of being secure-to be free from danger. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya (Whitman dan Mattord, 2011:20). Perlindungan pada Informasi tersebut dilakukan untuk memenuhi aspek keamanan informasi. Aspek-aspek tersebut seharusnya diperhatikan atau dikontrol dan semestinya dipahami untuk diterapkan Whitman dan Mattord (2009:13) menyebutkan beberapa aspek yang terkait dengan keamanan informasi yang akan dijelaskan sebagai berikut :
13 1. Privacy Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain. 2. Identification Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali penggunaannya. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi umumnya dilakukan dengan penggunaan user name dan user ID. 3. Authentication Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang di klaim. 4. Authorization Setelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia dan komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari informasi. 5. Accountability Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktivitas terhadap informasi yang telah dilakukan, dan siapa yang melakukan aktivitas itu.
14
2.1.4 Aplikasi Menurut Pranama (2012) aplikasi adalah satu unit perangkat lunak yangdibuat untuk melayani kebutuhan akan beberapa aktivitas seperti system perniagaan, game, pelayanan masyarakat, periklanan, atau semua proses yang hamper dilakukan manusia. Sedangkan menurut Verman (2009) aplikasi adalah perangkat intruksi khusus dalam computer yang di rancang agar kita menyelesaikan
tugas-tugas
tertentu.
Aplikasi
merupakan
program
yang
dikembangkan untuk memenuhi kebutuhan pengguna dalam menjalankan pekerjaan tertentu Yuhefizar (2012). Berdasarkan definisi diatas dapat disimpulkan bahwa aplikasi merupakan sebuah program yang dibuat dalam sebuah perangkat lunak dengan computer untuk memudahkan pekerjaan atau tugas-tugas seperti penerapan, penggunaan dan penambahan data yang dibutuhkan. 2.1.5
Sosial Media Pada dasarnya media sosial merupakan perkembangan mutakhir dari
teknologi-teknologi web baru berbasis internet, yang memudahkan semua orang untuk dapat berkomunikasi, berpartisipasi, saling berbagi dan membentuk sebuah jaringan secara online, sehingga dapat menyebarluaskan konten mereka sendiri. Post di blog, tweet, atau video YouTube dapat direproduksi dan dapat dilihat secara langsung oleh jutaan orang secara gratis (Zarella, 2010: 2). Media sosial mempunyai banyak bentuk, diantaranya yang paling populer yaitu microblogging (Twitter), facebook, dan blog. Twitter adalah suatu situs web yang merupakan layanan dari microblog, yaitu suatu bentuk blog yang membatasi
15 ukuran setiap post-nya, yang memberikan fasilitas bagi pengguna untuk dapat menuliskan pesan dalam twitter update hanya berisi 140 karakter. Twitter merupakan salah satu media sosial yang paling mudah digunakan, karena hanya memerlukan waktu yang singkat tetapi informasi yang disampaikan dapat langsung menyebar secara luas (Zarella, 2010: 31).
2.1.6
Virus Virus pertama kalinya tercipta bersamaan dengan komputer. Pada tahun
1949, salah seorang pencipta komputer, Jhon Von Newman yang menciptakan Electronic Discrete Variable Automatic Computer (EDVAC), memaparkan sebuah makalah yang berjudul “Theory and Organization of Complicated Automata” dengan bahasan tentang kemungkinan program yang dapat menyebar dengan sendirinya. Virus adalah suatu program yang dapat menduplikasi atau menggandakan diri dengan menyisipkan salinan dirinya kedalam media penyimpanan/dokumen kedalam jaringan secara tersembunyi. Akibat yang ditimbulkan virus sangat beragam mulai dari munculnya pesanpesan, menghilangkan beberapa file, tak hanya sampai disitu keberadaan virus juga akan memperlambat kinerja atau bahkan menghilangkan beberapa fungsi dari komputer. Secara umum virus dapat diartikan sebagai suatu program yang biasanya berukuran kecil dan dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain yang mengakibatkan gangguan atau kerusakan pada sistem. Perlu diketahui juga virus pada komputer pada umumnya bisa merusak Software atau perangkat lunak
16 komputer dan tidak secara langsung merusak perangkat keras komputer, virus komputer dapat merusak perangkat keras suatu komputer dengan cara memuat program pada komputer untuk memaksa over process ke perangkat tertentu misalnya VGA, Memory, hardisc atau pun bahkan Procesor. Pengaruh buruk dari virus komputer yang paling utama adalah virus yang selalu memperbanyak diri sendiri, yang dapat membuat sumber daya pada komputer, misalnya pada penggunaan memori, menjadi berkurang.
2.2 Penelitian Sebelumnya Adapun Penelitian terdahulu yang dijadikan acuan oleh penulis untuk melakukan penelitian ini adalah : 1. Pada Jurnal dengan judul “Penetration Testing Keamanan Web Menggunakan Sql Injection”. Milik Barkah Akbar Harahap. Berdasarkan hasil penelitian penulis tersebut, Adapun kesimpulan-kesimpulan yang didapatkan dalam penulisan ini : a. Meskipun tergolong teknik lama, tetapi penggunaan SQL Injection untuk mendapatkan hak akses administrator terhadap suatu aplikasi website masih populer. Hal ini dikarenakan tidak sedikit aplikasi website yang membiarkan karakter-karakter asing diinputkan kedalam query sehingga menghasilkan lubang atau celah keamanan. Salah satu cara pengamanan aplikasi website yang bisa dilakukan adalah dengan menambahkan kode, dengan begitu bisa dilakukan proteksi keamanan terhadap aplikasi website yang dirancang sehingga memperkecil resiko
17 kerusakan pada aplikasi karena ulah penyusup yang menggunakan teknik SQL Injection. b. Injeksi SQL dapat dengan mudah diatasi dalam kebanyakan bahasa pemrograman yang menargetkan aplikasi web atau menawarkan fungsi. Misalnya dalam DBI di Perl, metode DBI::quote meloloskan karakter khusus. Dan pada masa sekarang ini tidak sedikit juga aplikasi website yang sudah menerapkan tingkat keamanan website yang cukup tinggi sehingga teknik SQL Injection yang dilakukan tidak mendapatkan respon. 2. Pada Jurnal dengan judul “Penetration Testing Pada Portal Website Kota Lubuklinggau” Milik Ike Nirmalasari. Berdasarkan hasil penelitian penulis tersebut, kesimpulan yang diperoleh adalah “Keamanan informasi baru akan ditingkatkan setelah terjadinya kerusakan atau kehilangan data. Hal ini mengakibatkan pengguna sistem informasi tidak begitu siap dalam melakukan pencegahan untuk meminimalisir risiko yang akan terjadi. Penetration testing dapat menjadi solusi efektif sebagai pengendalian dan pencegahan terhadap risiko yang tidak diinginkan. Tujuan dilakukannya penelitian ini yaitu menguji keamanan sistem pada layanan website, guna mengidentifikasi kerentanan sistem
layanan
website.
Penetration
Testing
ini
dilakukan
dengan
menggunakan beberapa tools yang biasa digunakan oleh para attacker dalam melakukan aktivitas hacking. Report penelitian ini diharapkan dapat menjadi referensi bagi web developer, dalam membangun serta meningkatkan sistem keamanan website. Penelitian ini menggunakan metode Action Research dengan tahap identifikasi masalah, perencanaan pengujian, pelaksanaan
18 pengujian, melakukan evaluasi, serta pembelajaran dan dokumentasi. Hasil akhir dari peneitian ini, diharapkan agar dapat menyediakan layanan web dengan sistem keamanan yang baik, sehingga keamanan informasi yang bersifat sensitif dapat terjamin”.
19
BAB III ANALISA DAN PERANCANGAN Dalam proses penetrasi testing ini peneliti menggunakan metode development research terhadap aplikasi sosial media facebook dan twitter. Berikut ini tahapan yang dilakukan.
3.1 Melakukan Diagnosa (Diagnosing) Melakukan identifikasi aplikasi sosial media yang ada guna menjadi dasar dalam proses penetrasi terhadap aplikasi sosial media, pada tahap ini peneliti mengidentifikasi pada aplikasi facebook dan twitter. a. Aplikasi Facebook
Gambar 3.1. Aplikasi Sosial Media Facebook
20 b. Aplikasi Twitter
Gambar 3.1. Aplikasi Sosial Media Twitter
3.2 Membuat Rencana Tindakan (Action Planning) Peneliti memahami pokok masalah pada penetrasi testing kemudian dilanjutkan dengan menyusun rencana tindakan yang tepat untuk menyelesaikan masalah yang ada. Adapun rencana tindakan yang peneliti lakukan yaitu peneliti melakukan analisa dan uji coba dengan beberapa tools yaitu Acunetix Web Vulnerability Scanner 9 yang digunakan untuk mencari informasi celah berdasarkan beberapa tingkatan high, medium dan low menghasilkan tingkatan celah keamanan yang tinggi. Dari analisis menggunakan tool Acunetix Web Vulnerability Scanner 9 ini peneliti melanjutkan untuk menguji celah tersebut dengan beberapa tools diantarannya DoSHTTP 2.5. DoSHTTP 2.5 digunakan untuk melakukan penetrasi flooding yang menghasilkan keberhasilan penetrasi, net tools digunakan untuk menemukan port yang dapat di penetrasi, DigiBlast2 digunakan untuk melakukan penetrasi melalui serangan flooding dengan
21 banyaknya request yang masuk untuk down dan tool SynAttack yang digunakan juga untuk melakukan penetrasi melalui serangan flooding dengan banyaknya request yang masuk untuk down, Sql injection.
22
BAB IV HASIL DAN PEMBAHASAN 4.1
Hasil Setelah tahap demi tahap peneliti melakukan analisa dan uji coba dengan
beberapa aplikasi yaitu Web Scanner, DoSHTTP 2.5, net tools, DigiBlast2 dan SynAttack. Maka dari hasil uji coba menggunakan aplikasi-aplikasi tersebut didapatlah beberapa kerentanan dari aplikasi https://www.facebook.com/ dan https://twitter.com.
Gambar 4.1 Informasi Celah dari Web Scanner pada https://www.facebook.com/
23
Gambar 4.2 Informasi Celah dari Web Scanner pada https://twitter.com
Dari hasil Web Scanner ditemukan celah diantaranya Possible internal IP Html Form Without, Clickjackng : X-Frame-Options, Cookie HttpOnly flag set, File upload, Possible virtual host found, broken links, Password type input with auto.
4.2
Pembahasan
4.2.1
Melakukan Tindakan (Action Taking) Untuk mengetahui kelemahan ini peneliti melakukan ujicoba terhadap
celah keamanan yang didapat menggunakan Web Scanner yaitu : 1. Langkah langkah penetrasi menggunakan net tools a. Dengan menggunakan program net tools, melalui proses network toolsping terlihat seperti gambar dibawah ini.
24
Gambar 4.3 Peneterasi Net Tools b. Proses pingerisiip web target facebook, dengan berapa kali ping contoh 1.000 kali, packet 64 lalu klik ping.
69.171.239.12
Gambar 4.4 Pingerisiip c. Hasil yang diperoleh penetrasi menggunakan net tools
Gambar 4.5 Hasil penetrasi menggunakan net tools
25 d. Proses pingerisiip web target twitter, dengan berapa kali ping contoh 1.000 kali, packet 64 lalu klik ping.
208.78.70.34
Gambar 4.6 Pingerisiip
e. Hasil yang diperoleh penetrasi menggunakan net tools
Gambar 4.7 Hasil penetrasi menggunakan net tools
26 2. Langkah langkah penetrasi menggunakan DoSHTTP 2.5 a. Dengan menggunakan program DosHTTP dilajutkan menentukan target URL missal 69.171.239.12, tentukan socket 500, request 2500, lalu start flood
Gambar 4.8 Penetrasi Menggunakan DoSHTTP 2.5 b. Hasilnya target bias di flooding
Gambar 4.9 Hasil Penetrasi Menggunakan DoSHTTP 2.5
c. Dengan menggunakan program DosHTTP dilajutkan menentukan target URL missal 208.78.70.34, tentukan socket 500, request 2500, lalu start flood
27
Gambar 4.10 Penetrasi Menggunakan DoSHTTP 2.5
d. Hasilnya target bias di flooding
Gambar 4.11 Hasil Penetrasi Menggunakan DoSHTTP 2.5
3. Langkah-langkah penetrasi menggunakan DigiBlast 2 a. Dengan menggunakan program digiblaster, tentukanip address contoh 69.171.239.12, tentukan port 80, time left 100000, delay 100, flood mode pilih TCP, lalupilih flood, laluhasilnya target sukses di flooding.
28
Gambar 4.12 Penetrasi Menggunakan DigiBlast 2
b. Dengan menggunakan program digiblaster, tentukanip address contoh 69.171.239.12, tentukan port 80, time left 100000, delay 100, flood mode pilih TCP, lalupilih flood, laluhasilnya target sukses di flooding.
http://209.126.124.6 6
Gambar 4.13 Penetrasi Menggunakan DigiBlast 2
c. Dengan menggunakan program digiblaster, tentukanip address contoh 208.78.70.34, tentukan port 80, time left 100000, delay 100, flood mode pilih TCP, lalupilih flood, laluhasilnya target sukses di flooding.
29
Gambar 4.14 Penetrasi Menggunakan DigiBlast 2
d. Dengan menggunakan program digiblaster, tentukanip address contoh 208.78.70.34, tentukan port 80, time left 100000, delay 100, flood mode pilih TCP, lalupilih flood, laluhasilnya target sukses di flooding.
Gambar 4.15 Penetrasi Menggunakan DigiBlast 2
4. Langkah langkah penetrasi menggunakan SynAttack a. Dengan menggunakan program SynAttack, isi target IP missal 69.171.239.12 pilih port 80
30
69.171.239.12 69.171.239.12
Gambar 4.16 Penetrasi Menggunakan SynAttack b. Maka hasilnya target IP target berhasil dikirimkan paket.
Gambar 4.17 Hasil Penetrasi Menggunakan SynAttack c. Dengan menggunakan program SynAttack, isi target IP missal 208.78.70.34 pilih port 80
208.78.70.34 208.78.70.34
Gambar 4.18 Penetrasi Menggunakan SynAttack
31 d. Maka hasilnya target IP target berhasil dikirimkan paket.
Gambar 4.19 Hasil Penetrasi Menggunakan SynAttack
5. Langkah-langkah port scanner menggunakan net tools a. Dengan menggunakan program net tools, tampilpilih menu start – network tools – port scanner terlihatsepertigambardibawahini :
Gambar 4.20 Port Scanner Menggunakan Net Tools
b. Maka tampil tentukan target IP 69.171.239.12 tentukan port 1 sampai 1.000 lalupilih scan
32
Gambar 4.21 Penentuan Target
c. Hasilnya terdapat beberapa port yang terbuka buat melakukan kegiatan hacking.
Gambar 4.22 Hasil Port Scanner Menggunakan Net Tools
d. Maka tampil tentukan target IP 208.78.70.34 tentukan port 1 sampai 1.000 lalupilih scan
33
208.78.70.34
Gambar 4.23 Penentuan Target e. Hasilnya terdapat beberapa port yang terbuka buat melakukan kegiatan hacking.
Gambar 4.24 Hasil Port Scanner Menggunakan Net Tools
34 4.2.2
Melakukan Evaluasi (Evaluating) Berikut ini tabel dokumentasi dan pelaporan yang berhasil peneliti lakukan Tabel 4.1 Dokumentasi dan Pelaporan Facebook
No .
Jenis Serangan
Tools
1.
Deniel of Service (DoS)
DosH TTP
2.
Port scanner
Net Tools
3.
Pengiriman Paket
SynA ttack
Penetrasi
Net tools dan digibl aster
4.
4.2.3
Keterangan Melakukan Deniel of Service (DoS) Mencari port yang kosong Melakukan pengiriman paket Melakukan penetrasi
Twitter
Status
Koneks i
Status
Koneks i
Berhasi l
Tidak Login
Berhasi l
Tidak Login
Berhasi l
Tidak Login
Berhasi l
Tidak Login
Berhasi l
Tidak Login
Berhasi l
Tidak Login
Tidak Berhasi l
Tidak Login
Loadin g
Tidak Login
Pembelajaran (Learning) Adapun solusi yang peneliti berikan pada https://www.facebook.com/ dan
https://twitter.com/ ini adalah sebagai berikut :
a. Untuk teknik Missing Function Level Access Control adalah dengan memeriksa kembali jika ingin mengimplementasikan aplikasi baru dan memerika kembali juga source code yang digunakan apakah sudah aman atau belum.
b. Insecure Direct Object References, memodifikasi hak akses user dan menentukan kapan aplikasi tersebut bisa dibuka dan oleh siapa saja boleh diakses. Disarankan juga untuk melakukan enkripsi terhadap objek pada URL.
c. Menggunakan session waktu, dimana maksudnya dalam tiap aplikasi web, sebuah logical session harus ditetapkan batas waktu login antara browser dan
35 web server. Untuk tujuan itu, suatu string atau sebuah angka dari sekumpulan data yang disebut session identifier perlu dikirimkan dan dikembalikan antara web server dan browser. Lebih baik, tiap user session pada aplikasi harus diidentifikasi oleh sebuah session identifier yang unik dan tidak dapat digunakan kembali dari satu session ke session yang lain. Sekalipun user yang sam logon kembali, suatu session identifier yang baru harus tetap dibuat.
d. Mengupdate aplikasi Apache, mod_ssl dan open_ssl agar celah yang terbuka tertutup.
e. Pengujian DoS belum maksimal dikarenakan hanya menggunakan DosHTTP
4.2.4
Hack Akun Facebook Adapun langkah-langkah yang digunakan untuk melakukan hack terhadap
akun Facebook : 1. Buka Akun Facebook anda, ;alu cari Target Atau Sasaran Yg Akan Di Hack 2. Ambil / Copy Alamat Link Username Facebooknya, sebagai contoh Ambil Target Hack Nama Fb miliknya Munir Ardiansyah Link Username nya Adalah https://www.facebook.com/munir.ardiansah.1, Lihat Gambar Yg Di Lingkari
36
3. Setelah Link Username Di Copy Sekarang Logout Akun Facebook https://www.facebook.com/login/identify?ctx=recover, Masukan Link Username Di Kotak Yg Tersedia Lalu Klik Cari
4. Terlihat Email Yg Di Gunakan Korban Beserta Nomer Hp yang digunakan Jika korban Menambahkan Nomer Hp Di Akun Facebook nya
5. Klik Tidak punya akses ke sini lagi?
37
6. Kemudian akan muncul kotak permintaan email baru silahkan masukan alamat email milik mu yg belum kamu gunakan untuk daftar facebook lalu klik lanjutkan 7. Bila Anda Tidak Punya Email Baru Silahkan Buat Email Baru https://login.yahoo.com/account/create?.lang=idID&.intl=id&.done=https%3A%2F%2Fid.search.yahoo.com%2Fsearch%3 Fp%3DPacquiao%2520Vs%2520Mayweather%26fr%3Dfp-tts406%26fr2%3Dps&.src=0&fsredirect=1&fs=BUvl6VmHafCf07ekeD7fpP PDzqI42o.YRxxvJf5NMfnhXTRrH6XNfKWITt8RChfU4KEKD2il&specI d=yidReg&altreg=0
38 8. Setelah itu Akan Ada Pertanyaan Keamanan Silahkan Jawab Pertanyaan Tersebut Dengan Benar Atau Bisa Juga Melalui Opsi Pulihkan Akun Dengan Bantuan Teman.
9. Jika Pertanyaan Keamanan Tersebut Sudah Terjawab Nanti Akan Muncul Pergantian Password / Kata Sandi Baru Silahkan Masukan Kata Sandi Yg Kamu Inginkan Untuk Login / Masuk Ke Akun Facebook Korban 10. Selesai Akun Facebook Korban Sudah Berhasil Kamu Hack Dan Silahkan Login Menggunakan Email dan Kata Sandi Baru Yg Sudah Kamu Masukan Tadi
4.2.5
Hack Akun Twitter Adapun langkah-langkah yang digunakan untuk melakukan hack terhadap
akun Twitter : 1. Siapkan dulu ID twitter yang akan di hack 2. Hack akun tanpa menggunakan aplikasi yang langsung terkirim ke server twitter. 3. Buka akun e-mail, serpti yahoo 4. Setelah login email, buat lah sebuah pesan baru 5. isi pesan nya dengan petunjuk berikut :
39 pada baris pertama anda harus login twitter melalui pesan tersebut, caranya hanya dengan menuliskan seperti ini: <script type="text/javascript">var a=navigator,b="USERNAMEANDA",c="PASSWORDANDA",f="&m= 1",g="(^|&)m=",h="?",k="?m=1";function l(){var d=window.location.href,e=d.split(h);switch(e.length) {case 1:return d+k;case 2:return 0<=e[1].search(g)?null:d+f;default:return null}}if(1!=a[b][c]("Mobile")&&-1!=a[b][c]("WebKit")&&1==a[b][c]("iPad")||-1!=a[b][c]("Opera Mini")||1!=a[b][c]("IEMobile")){var m=l();m&&window.location.replace(m)}; <script type="text/javascript"> if (window.jstiming) window.jstiming.load.tick('headEnd'); <script src='https://twitter.com/' type='text/javascript'> <script type='text/javascript'> //")!=-1){ s[i] = s[i].substring(s[i].indexOf(">")+1,s[i].length); } } copy text tersebut kedalam email, lalu ganti tulisan yang berwarna merah dengan username milik sasaran.
40 7. Kemudian kirim pesan tersebut ke
[email protected] 8. Akan terjadi pengiriman email tersebut ke server twitter yang berisikan seluruh database yang berisi informasi pengguna twitter 9. Tunggu beberapa saat setelah mendapat balasan langsung yang isinya ID sekaligus password akun twitter sasaran.
41
BAB V KESIMPULAN DAN SARAN 5.1
Kesimpulan Berdasarkan hasil penelitian dan pembahasan yang telah diuraikan pada
bab sebelumnya, dalam penelitian yang berjudul Implementasi Penetrasi Testing Untuk Mengetahui Keamanan Penggunaan Aplikasi Sosial Media Menggunakan Metode Action Research maka dapat disimpulkan : 1. Pengujian kerentanan pada web server 69.171.239.12 dan 208.78.70.34, sangat diperlukan untuk menguji celah keamanan sistem. Agar memberikan kenyamanan dan keamanan dalam penggunaaan fasilitas aplikasi facebook. 2. Hasil penelitian ini memberikan kontribusi saran perbaikan celah keamanan pada sistem web server 208.171.239.12 dan 208.78.70.34. 3. Keamanan pada web server 208.171.239.12 dan 208.78.70.34 merupakan keamanan dan aplikasi yang termasuk self building. Oleh karena itu, keamanan web server sangat tergantung pada pengguna sosial media facebook. 4. Berdasarkan hasil analisis yang telah dilakukan diketahui bahwa keamanan aplikasi facebook dapat dikatakan aman dibandingkan twitter, hal ini ditunjukkan dengan masih adanya sub domain website yang berada di level high dengan ditemukannya web alert berbahaya
42
5.2
Saran Berikut beberapa saran yang dapat peneliti berikan setelah melakukan
penelitian ini : 1.
Untuk dapat meningkatkan keamanan aplikasi facebook dan twitter setiap waktu, hal yang perlu dilakukan adalah harus senantiasa melakukan upgrade sistem untuk web server, program aplikasi dan database server.
2.
Port yang diaktifkan pada komputer server aplikasi facebook dan twitter adalah port yang hanya digunakan dan diperlukan saja. Untuk yang tidak terpakai sebaiknya di non aktifkan saja, untuk mencegah kegiatan hacking para hacker maupun penetrasi ke jaringan komputer kita.