Abdul Aziz Email :
[email protected]
Ada 2 langkah dalam proses login: Identifikasi Proses untuk memberitahu kepada sistem operasi kalau kita mau login
Otentikasi Proses untuk membuktikan bahwa yang mau login adalah benar kita.
There are two steps in the login process: •Identification Process to inform the operating system if we want to login •Authentication Process to prove that that is true we want to log.
Ada 3 cara untuk identifikasi dan otentikasi: Sesuatu yang kita tahu, misalnya password, PIN secara teori, yang mengetahui password adalah pemiliknya sendiri, namun dalam prakteknya terdapat beberapa permasalahan: ◦ diberikan ke orang lain lalu orang lain itu memberitahukan ke orang lain ◦ dicuri orang lain ◦ dituliskan di suatu tempat ◦ terlalu mudah ditebak
There are 3 ways to identification and authentication: Something that we know, for example: passwords, PIN in theory, who knows the password is the owner himself, but in practice there are several problems: given to other people and other people were told to others stolen someone else written down somewhere too easy to guess
Sesuatu yang kita miliki, misalnya ID Card, security token, kunci ◦ Secara teori, yang punya kunci adalah pemilik. ◦ Masalahnya: Kunci hilang atau dipinjam ke seseorang lalu diduplikasi Sesuatu yang ada di tubuh kita, misalnya fingerprint, signature, voice Saat ini yang masih paling sering digunakan untuk identifikasi dan otentikasi adalah account dan password
Something that we have, for example ID card, security token, a key. •In theory, that have a key is the owner. •The problem: •The key is lost or borrowed to someone and then duplicated Something that is in our bodies, such as fingerprint, signature, voice Today is still the most commonly used for identification and authentication is the account and password
Tipe penyerangan terhadap password Brute Force ◦ Mencoba segala kombinasi huruf dan angka (trial and error) Dictionary based ◦ Dengan bantuan file yang berisi daftar password-password yang sering dipakai orang Password sniffing ◦ Menyadap data yang lewat di jaringan komputer Social Engineering ◦ Menyadap pembicaraan orang ◦ Membuat agar orang menyebutkan passwordnya
This type of attack against the password brute Force Tried every combination of letters and numbers (trial and error) Dictionary-based With the help file that contains a list of passwords that are often used people password sniffing Intercepting data that passes in computer networks Social Engineering • Tapped into people's conversations • Make the people mentioned his/her password
Petunjuk Proteksi Dengan Password Jangan biarkan user/account tanpa password Jangan biarkan password awal yang berasal dari sistem operasi Jangan menuliskan password Jangan mengetik password, selagi diawasi Jangan mengirim password secara online Segera ubah bila password kita bocor Jangan menggunakan password sebelumnya
Password Protection Directive Do not let the user / account without a password Do not allow passwords that are derived from the operating system Do not write down passwords Do not type a password, while supervised Do not send passwords online Immediately change if the password has been leaked Do not use a previous password
Memilih password yang baik Pilih yang sukar ditebak dan mudah diingat Jangan menggunakan data pribadi, seperti nama, tanggal lahir, no. telepon Pilih password yang panjang, minimal 8 karakter Gunakan gabungan antara huruf, angka dan spesial karakter. Jangan semuanya angka atau huruf Bedakan password antar host yang satu dengan yang lain Jangan menggunakan password sebelumnya Hati-hati dengan penggunaan kata dalam bahasa Inggris sebagai password Boleh juga menggunakan kata-kata yang tidak ada artinya, misalnya: s1(z/a%zo2
Choosing a good password Choose a difficult to guess and easy to remember Do not use the personal data, such as name, date of birth, no. phone Choose a password that long, at least 8 characters Use a combination of letters, numbers and special characters. Do not all the numbers or letters Distinguish between hosts passwords with one another host Do not use a previous password Be careful with the use of English words as passwords May also use words that mean nothing, for example: s1 (z / a% zo2
Pengontrolan Login/Password Membatasi kesalahan gagal login Periode waktu login setiap user dibatasi Munculkan pesan login terakhir Munculkan pesan kapan terakhir gagal login User dapat merubah password Password disediakan oleh suatu sistem Password diberi batas waktu Panjang minimum suatu password harus ditentukan
Controls Login / Password
Restrict failed login error (3 times login)
The period of time each user login be restricted
Come up with a message last login
Come up with the last failed login message
User can change password
Password provided by a system
Password is timed
The minimum length of a password must be determined
Password Sniffing Sniffer machine
Network Hub
Target machine
Target machine
Target machine
192.168.0.20
192.168.0.30
192.168.0.101
Password sniffing: Password sniffing: SNIFFING, adalah penyadapan SNIFFING, is the wiretapping of data traffic terhadap lalu lintas data pada on a network computer. suatu jaringan komputer. “Sniffer Paket (textual meaning: packet“Sniffer Paket (arti tekstual: sniffing - it can also be interpreted pengendus paket — dapat pula ‘tapper packages'). Ethereal, Network diartikan ‘penyadap paket’) Analyzers or Ethernet Sniffers are Ethereal, Network Analyzers atau applications that can view the data Ethernet Sniffer merupakan aplikasi traffic on computer networks. yang dapat melihat lalu lintas data pada jaringan komputer.
Pencegahan Password sniffing Gunakan switch (jangan hub) Gunakan aplikasi yang mendukung enkripsi Aplikasikan setting VPN
Password sniffing prevention Use the switches (not hubs) Use an application that supports encryption Gunakan aplikasi yang mendukung enkripsi VPN (Virtual Private Network) settings apply
Social engineering adalah pemerolehan informasi atau maklumat rahasia/sensitif dengan cara menipu pemilik informasi tersebut. Social engineering umumnya dilakukan melalui telepon atau Internet. Social engineering merupakan salah satu metode yang digunakan oleh hacker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada korban atau pihak lain yang mempunyai informasi itu. Atau tahap pertama memperoleh user_id dan password.
Social engineering is the acquisition of confidential information or intimation / sensitive by cheating the owner of that information. Social engineering is typically done via telephone or Internet. Social engineering is one of the methods used by hackers to obtain information about the target, by requesting information directly to the victim or others who have that information. Or the first stage to get user_id and password.
Pencegahan Social Engineering Perlunya pelatihan dan pendidikan bagi user dalam masalah keamanan komputer
Prevention of Social Engineering The need for user training and education in computer security issues
Comparative Analysis for password breaking (assumption : software can calculate 500.000 words/sec)
ACCESS CONTROL Sekali user login ke sistem, maka user tersebut diberikan otorisasi untuk mengakses sumber daya sistem, misalnya file, directory, dll
ACCESS CONTROL Once a user logged into the system, then the user is given authorization to access the system resources, such as files, directories, etc.
Yang perlu diperhatikan adalah: Siapa saja yang boleh membaca isi file kita Siapa saja yang boleh merubah isi file kita Bolehkah file kita di-share ke user lain?
To note are: Anyone who can read the contents of our file Anyone who can change the contents of our file Can we file shared to other users?
Ada 3 tipe dasar pengaksesan file Read (r) Write (w) Execute (x)
There are three basic types of file access Read (r) Write (w) Execute (x)
Metode Ownership Pembuat file adalah pemilik file Identifikasi pembuat file disimpan Hanya pemilik yang dapat mengakses file miliknya Administrator dapat mengakses juga
Metode Ownership File maker is the owner of the file Identify of the maker files are stored Only the owner can access his files Administrators can also access
Metode File Types File akan didefinisikan sebagai public file, semipublic file atau private file ◦ Public file -> semua user mempunyai hak penuh (rwx) ◦ Semi public file -> user lain hanya mempunyak hak read execute(rx) ◦ Private file -> user lain tidak punya hak
Metode File Types The file will be defined as a public file, the file semipublic or private files Public files -> all users have full rights (rwx) Semi-public files -> other user rights only experiences a read execute (rx) Private files -> other users have no rights
Metode Self/Group/Public Controls Disebut juga user/group/other user – pemilik file group – sekelompok user other – user yang tidak termasuk di atas Setiap file/directory memiliki sekumpulan bit-bit yang disebut file permissions/ Protection mode Tipe proteksi untuk file: r -> hak untuk membaca file w -> hak untuk menulis ke file x -> hak untuk menjalankan file - -> tidak mempunyai hak
Metode Self/Group/Public Controls Also called user / group / other user - the owner of the file group - a group of users other - users who are not included above Each file / directory has a set of bits called the file permissions / Protection mode Type of protection for files: r -> right to read file w -> right to write to a file x -> right to run the file - -> Do not have the right
Tipe proteksi untuk directory: r -> hak untuk membaca Isi directory w -> hak untuk membuat dan menghapus file x -> hak untuk masuk ke directory - -> tidak mempunyai hak
Type of protection for the directory: r -> right to read the contents of directory w -> right to create and delete files x -> the right to enter the directory - -> Do not have the right
Contoh: -rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c
-rwx rw- r-U
G
O
Abaikan tanda (-) pertama Pemilik file (budi) mempunyai hak rwx Anggota group staff mempunyai hak rw User lainnya hanya mempunyai hak r Tanda (–) menunjukkan bahwa user tidak punya hak
Contoh: -rwxrw-r-- 1 budi staff 81904 nov 7 13:25 program.c
-rwx rw- r-U
G
O
Ignore the sign (-) first Owner files (Budi) has rwx rights Members of staff have the right group rw Other users only have the right to r Sign (-) indicates that the user does not have the right
Metode Access Control Lists Berisi daftar users dan groups dengan haknya masing-masing. Contoh: file penggajian.exe diberi ACL <john.akun,r> <jane.pengj,rw> <*.persn,r>
Metode Access Control Lists Contains a list of users and groups with their own right. example: payroll.exe file given ACL (Acces Control List) <john.account,r> <jane.payroll,rw> <*.persn,r>