PERHATIAN. Slide ini hanya merupakan media pengajaran

PERHATIAN

PERHATIAN Slide ini hanya merupakan media pengajaran di INSTITUT TEKNOLOGI TELKOM dan tidak direkomendasikan sebagai acuan yang dapat digunakan sebagai referensi untuk penyusunan buku/laporan Tugas Akhir maupun Proyek Akhir. Hanya untuk kepentingan internal IT TELKOM. Seluruh l h muatan dalam d l slide l d ini mengacu pada d hak cipta masing-masing resource yang digunakan.

YFA – Web Engineering    |    1

17

YFA   CS4383 S1/IT/WE/E6/1110

Internet Hacking Semester Ganjil 2010/2011 oleh Yanuar Firdaus Fakultas Informatika – IT TELKOM

http://www.ittelkom.ac.id/yanuarfirdaus

Budaya Buruk • Mudahnya Menyusup ke MPR RI – http://www.ittelkom.ac.id/yanuarfirdaus/?categoryi h // i lk id/ fi d /? i d=20&p2_articleid=151

Hacking Client Side for Dummies • Client side scripting – masalah besar aplikasi web. l hb lik i b

• Webmaster: Hati‐hati dengan penggunaan form! • Form – pengiriman data dari sebuah form (dengan metode  post maupun get) untuk diproses oleh server side  scripting – permasalahan sederhana yang sering diabaikan,  namun fatal.

Contoh • Sistem informasi akademik Universitas “X” memiliki fasilitas  lengkap, salah satunya fasilitas administrasi nilai yang  digunakan oleh dosen untuk melakukan input nilai seorang digunakan oleh dosen untuk melakukan input nilai seorang  mahasiswa. • Sumber masalah: – Core website dibangun dengan script PHP, namun ada satu celah  besar, form input nilai diletakkan di folder nilai dengan tanpa file  indeks dan dibangun dengan HTML murni! form input nilai html form_input_nilai.html

– Script pemroses input nilai ini dibangun dengan script PHP. proses_input_nilai.php

– Informasi Informasi kode mata kuliah dan NIM disimpan secara hidden pada  kode mata kuliah dan NIM disimpan secara hidden pada form dengan input tag. – Seluruh file website ditangani oleh file index.php menggunakan  include file. File indeks ini diproteksi dengan pengecekan session,  namun file lainnya tidak.

• Hacker:  stateless Æ masalah besar! – Ketika Ketika kamu mengunjungi sebuah halaman web, sebut  kamu mengunjungi sebuah halaman web sebut saja b.html tidak mengetahui apakah kamu membuka  halaman b.html tersebut secara langsung atau melalui  link pada halaman a html Sifat jelek stateless inilah yang link pada halaman a.html. Sifat jelek stateless inilah yang  bisa dimanfaatkan.. .

• Proses Semestinya:  Semestinya: – User melakukan login terlebih dahulu baru dapat  menggunakan halaman administrasi nilai ini untuk  memasukkan atau mengubah nilai seorang mahasiswa,  kk b h il i h i dan administrasi nilai dilakukan dari form yang  disediakan.

Hackingg • Hacking: – Cari tahu masalah pada sistem informasi akademik  tersebut, dapatkan informasi file! – Hacker bisa membuat script yang berupa form  dengan fungsi seperti yang ditampilkan dalam  h l halaman administrasi nilai untuk secara langsung  d i i i il i k l mengirimkan nilai ke halaman proses_input_nilai.php tanpa harus melalui halaman login! tanpa harus melalui halaman login!

Hackingg • Hacking:

– Hacker cukup menentukan NIM mahasiswa yang akan  p y g diubah nilainya dan dengan leluasa bisa  memanipulasi nilai dari seorang mahasiswa!

Solusi • Jangan pernah berfikiran bahwa form/data dalam bentuk  HTML tidak akan dimanfaatkan untuk kepentingan  negatif.  if • Lakukan semuanya melalui file indeks menggunakan  server side scripting, proses validasi session pada setiap  p g, p p p file atau tambahkan validasi pada setiap file bahwa hanya  bisa berjalan jika diakses dari file indeks. • Gunakan folder yang aman untuk meletakkan indeks  Gunakan folder yang aman untuk meletakkan indeks halaman administrasi, bisa juga dengan menyediakan  subdomain terpisah, atau protokol yang berbeda misal  menggunakan HTTPS menggunakan HTTPS. • Berikan file indeks kosong pada setiap folder yang tidak  memiliki file indeks.

• Jangan mengandalkan pengecekan data  header http tambahkan security code yang header http, tambahkan security code yang  berubah setiap saat untuk memastikan  bahwa user mengirimkan data benar‐benar  dari form “asli” dari form  asli . Security code ini harus  Security code ini harus diketikkan secara manual oleh user sesuai  dengan input gambar yang ditampilkan. 

Hindari penggunakan metode get pada form, meskipun metode post juga dapat dimanipulasi, namun kenyataannya metode get lebih berbahaya Æ URL action form dengan metode get dapat dijadikan source file pada image tag.

Magic HTML Injection • Webmaster: Hati‐hati menampilkan data secara  langsung yang diproses dari input user melalui langsung yang diproses dari input user melalui  form! • Form Æ Æ memungkinkan user memasukkan  k k kk kode‐kode HTML yang diinjeksikan melalui input  f form yang meminta data dari user, misalnya  i d d i i l pemberian komentar, buku tamu dll.

Contoh • Sebuah perusahaan “Y” berniat mengumpulkan  data dari para pengunjung website sebagai data dari para pengunjung website sebagai  masukan terhadap website mereka maupun  y y g y g layanan yang mereka sediakan. Fasilitas yang  berupa buku tamu ini dapat diisi oleh semua  pengunjung (termasuk guest). Setiap isian buku  tamu disimpan dalam database dan ditampilkan  juga melalui halaman website. • Sumber masalah: – Tidak adanya filter atau perlakuan khusus terhadap  semua isian yang mungkin dimasukkan oleh user. ii ki di kk l h

• Hacker:  mencoba dengan injeksi kode HTML! – Ketika kamu menemukan sebuah website yang  K ik k k b h bi menyediakan form (dalam bentuk fasilitas apa pun),  yang kemudian semua isian form akan ditampilkan yang kemudian semua isian form akan ditampilkan  pada halaman website tersebut, maka kamu bisa  mencoba melakukan HTML injection melalui form  j tersebut. Jika tidak ada filter terhadap kode HTML  yang dimasukkan, maka form tersebut bisa  dimanfaatkan.. .

Hackingg • Hacking – Cari website dengan fasilitas buku tamu atau apa  pun yang lainnya, yang memungkinkan pengunjung  mengisikan data untuk ditampilkan pada halaman  website tersebut. – Isikan form dengan menyertakan kode‐kode HTML  I ik f d k k d k d HTML untuk melakukan injeksi. Pilih kode HTML yang  sesuai untuk memanipulasi tampilan halaman sesuai untuk memanipulasi tampilan halaman  website.

Hackingg • Hacking – Kamu bisa menampilkan isian kamu dengan format  tertentu, atau menambahkan tampilan tertentu,  atau melakukan hal‐hal lain yang membuat user lain  jadi kewalahan, misal membuka jendela browser  baru dalam jumlah sangat banyak dll baru dalam jumlah sangat banyak dll.

Solusi • HTML injection bukan merupakan teknik  penyerangan di sisi server meskipun hanya di penyerangan di sisi server, meskipun hanya di  sisi browser client, teknik ini dapat merugikan  nama baik pemilik website nama baik pemilik website. • Gunakan fungsi khusus pada server side  scripting untuk menangani HTML injection,  i i k i i j i seperti penggunaan fungsi HTLMEncode pada  ASP d HTMLS i lCh ASP dan HTMLSpecialChars atau HTMLEntities  HTMLE i i pada PHP.

The Power of SQL Injection • Masih ingat kasus Hacker KPU pada Pemilu  2004? Sabtu (17/4/2004) jam 03:12:42, secara tanpa hak seseorang telah melakukan akses ke jaringan  telekomunikasi milik KPU dan melakukan penyerangan ke server tnp.kpu.go.id dengan cara SQL  (S (Structure Query Language) Injection. Hacker berhasil menembus kunci pengaman Internet  Q L )I j i H k b h il b k i I Protocol (IP) 203.130.201.134 yang tak lain adalah IP tnp.kpu.go.id. Teknik yang dipakai adalah  teknik spoofing (penyesatan), yaitu melakukan hacking dari IP 202.158.10.117 PT Danareksa  dengan menggunakan IP Proxy Thailand yaitu 208.147.1.1 yang didapatkan terdakwa dari situs  http://www.samair.ru/proxy. Dengan IP Proxy Thailand tersebut, hacker mencoba menganalisa kembali variabel‐variabel yang  ada di situs http://tnp.kpu.go.id. Metode yang digunakan masih SQL Injection yaitu dengan  menabahkan perintah‐perintah menabahkan perintah perintah SQL dari URL  SQL dari URL http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view &kodeprop=1&kodekab=7. Dari hasil  analisa tersebut, didapat nama kolom ‘nama’ dan ‘pkid’ di ‘tabel partai’ pada web tnp.kpu.go.id.  Kemudian dari hasil uji coba diperoleh kesimpulan bahwa situs TNP KPU terkena Bug SQL  Injection. Hal ini bisa dilihat dari pesan error yang tampak pada browser yang digunakan hacker  pada saat menggunakan metode SQL Injection. d k d

Dengan menggunakan modifikasi URL, terdakwa kemudian menambahkan perintah‐perintah SQL  seperti pada contoh: h t t p : / / t n p . k p u . g o . i d / D P R D I I / d p r _ d a p i l . a s p  ?type=view view&kodeprop=1 1&kodeprop=11&kodekab=7;UPDATE partai set nama=  yp p p p p ; p nama=’partai dibenerin dulu webnya’ where pkid=13 13’; Penambahan kode SQL tersebut telah  menyebabkan perubahan pada salah satu nama partai di situs TNP KPU menjadi ‘partai dibenerin  dulu webnya‘. Hacker berhasil melakukan perubahan pada seluruh nama partai di situs TNP KPU pada jam  11:24:16 sampai dengan 11:34:27. Perubahan ini menyebabkan nama partai yang tampil pada  situs yang diakses oleh publik, seusai Pemilu Legislatif lalu, berubah menjadi nama‐nama lucu seperti Partai Jambu Partai Kelereng Partai Cucak Rowo Partai Si Yoyo Partai Mbah Jambon,  seperti Partai Jambu, Partai Kelereng, Partai Cucak Rowo, Partai Si Yoyo, Partai Mbah Jambon Partai Kolor Ijo, dan lain sebagainya.

Lingkup Kerja SQL Injection • SQL injection sangat tergantung lingkungan kerja.  – Program Program yang menggunakan database SQL yang menggunakan database SQL Server akan  Server akan mempunyai teknik yang berbeda jika dibandingkan  dengan Oracle atau Microsoft Access. Demikian juga  dengan script yang digunakan, ASP akan sangat berbeda  dengan script yang digunakan ASP akan sangat berbeda dengan PHP misalnya.

• SQL SQL injection paling umum dilakukan melalui form  injection paling umum dilakukan melalui form login. • Kasus lingkungan kerja KPU: server side scripting  g g j p g ASP, SQL Server sebagai database server dan IIS sebagai web servernya Æ bukan melalui form login,  t t i tetapi melalui URL. l l i URL

Simulasi: Persiapan Korban p • Simulasi terhadap kasus KPU: – Aplikasi web yang menampilkan berita. Data  disimpan dalam SQL Server dengan nama database  Database1 dengan nama tabel Table1. Dalam  Table1, terdapat dua field yaitu ID yang berisi kode  berita dan IsiBerita yang berisi file HTML suatu berita dan IsiBerita yang berisi file HTML suatu  berita yang akan ditampilkan kepada pengunjung.

Simulasi: Persiapan Korban p • Simulasi terhadap kasus KPU:

• Server, akan berisi sebuah file index.asp yang  bertugas menampilkan isi berita berdasarkan  bertugas menampilkan isi berita berdasarkan parameter Kode artikel yang diberikan.  <% set cnn = server.createobject(“ADODB.Connection”) cnn.open “PROVIDER=SQLOLEDB;DATA “PROVIDER SQLOLEDB DATA SOURCE=w2000;UID=sa;PWD=;DATABASE=database1” set Rs = server.createobject(“adodb.recordset”) Kode = Request.QueryString(“Kode”) SQLStatement = “Select * From table1 Where ID=” & Kode Rs.Open SQLStatement,Cnn Response.Write Rs(“IsiBerita”) %>

• Untuk menampilkan artikel pertama, url  lengkapnya adalah : http://alamat/index.asp?kode=1,  dan untuk menampilkan artikel kedua, url  lengkapnya adalah http://alamat/index.asp?kode=2, dst.

SQL Injection Melalui URL j • Cek apakah aplikasi web bermasalah dengan SQL  Injection: tambahkan katakter petik ’ di belakang  parameter Æ jika ya, browser akan  menampilkan pesan error Æ sasaran hacking!

SQL Injection Melalui URL j

• Error terjadi karena penambahan tanda petik  pada statement SQL yang digunakan: pada statement SQL yang digunakan: “Select * From table1 Where ID=” & Kode

• Ketika Ketika mendapatkan parameter Kode berupa 1 mendapatkan parameter Kode berupa 1’  (dengan tambahan karakter tanda petik  tunggal) statement SQL akhirnya akan seperti: tunggal), statement SQL akhirnya akan seperti: “Select * From table1 Where ID=1’”

• Kelebihan sebuah tanda petik bukan? Kelebihan sebuah tanda petik bukan?

Kita Mulai, Mencari Field Database • Kembali pada kasus KPU: http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view&kodeprop= 1&kodeprop=1&kodekab=7;UPDATE partai set nama=’partai dibenerin dulu webnya’ where pkid=13;

• Perhatikan, nama dan pkid adalah nama field tabel  database KPU! – Bagaimana nama field database bisa diketahui padahal  jelas jelas penyerang berada pada jarak yang jauh?  jelas‐jelas penyerang berada pada jarak yang jauh? Apalagi informasi dijaga dengan rahasia dan tidak  pernah diinformasikan ke publik. Menarik memang  k karena informasi ini ternyata bisa diketahui tanpa perlu  f b dk h l membeli obeng dan linggis untuk masuk ke ruangan  server KPU ini.

• Teknik untuk mendapatkan nama field dan tabel ditemukan oleh  David Litchfield. Litchfield Teknik yang Teknik yang digunakan disini adalah dengan  digunakan disini adalah dengan membuat terjadinya error menggunakan perintah having 1=1. • Kita masukkan perintah tersebut, http://alamat/index.asp?kode=1 having 1=1

• Sangat mengejutkan, karena ternyata nama field pertama dan  nama tabel ditampilkan oleh pesan kesalahan yaitu table1.ID!! p p y

• Lalu bagaimana mencari field kedua dan seterusnya? Gunakan  perintah group by berdasarkan nama tabel dan field yang telah  group by berdasarkan nama tabel dan field yang telah diketahui seperti berikut: http://alamat/index.asp?kode=1 group by table1.id having 1=1.

• K Kejutan berlanjut, ternyata pesan kesalahan j t b l j t t t k l h server memberikan  b ik informasi field berikutnya yaitu table1.IsiBerita

Manipulasi Data • Hacking:  ubah data! • SQL server menggunakan karakter ; (titik koma)  SQL server menggunakan karakter ; (titik koma) untuk memisahkan antar statement.  – Artinya kamu bisa memberikan dua statement dalam satu baris asalkan antar statement tersebut dipisahkan satu baris asalkan antar statement tersebut dipisahkan  dengan karakter ; (titik koma).  – Selain itu terdapat juga karakter ‐‐ (dua kali minus) untuk  menandakan akhir dari statement dimana perintah  d k khi d i di i h selanjutnya tidak akan diproses lagi.

• Perhatikan pada kasus KPU: p http://tnp.kpu.go.id/DPRDII/dpr_dapil.asp?type=view&kodeprop= 1&kodeprop=1&kodekab=7; UPDATE partai set nama=nama=’partai dibenerin dulu webnya where pkid=13’;

• Selain mengubah data, semua query dapat dijalankan  dengan SQL injection: menambah data, menghapus tabel  atau bahkan mematikan SQL server! b hk ik SQL ! • Proses SQL injection juga bisa melalui form login, dengan  memasukkan username dan/atau password  / p menggunakan kemungkinan‐kemungkinan variabel  berikut: or 1=1-“ or 1=1-1 1 ‘ or ‘a’=‘a “ or “a”=“a ‘) or (‘a’=‘a ‘ or 0=0 -“ or 0=0 -‘ or 1=1 -“ or 1=1 -Dll.

Hacking Client Side for Dummies • Buka sebuah website, misalnya http://www ittelkom ac id http://www.ittelkom.ac.id

YFA Jurusan Teknik Informatika Sekolah Tinggi Teknologi Telkom

S1/IT/WE/E2/1206

Keamanan Aplikasi Web Keamanan Aplikasi Web ( Social Engineering )

CS4713

Pengantar • KPU dapat saja membeli aplikasi atau perangkat firewall yyang sangat mahal, antivirus g g , terbaik, menambahkan IDS , terbesar, namun ternyata masih saja ada kelemahan  dalam rencana sekuriti yang diabaikan.  • Apa yang akan kamu lakukan untuk melindungi jaringan  A k k l k k t k li d ij i komputer terhadap seseorang yang memiliki kemampuan  khusus mengeksploitasi kelemahan aplikasi (web)  tertentu? • Kita tahu bahwa cara yang paling mudah untuk  membobol aplikasi (web) pada sebuah server adalah membobol aplikasi (web) pada sebuah server adalah  membukanya dengan kunci. Tentu jarang dari kita yang  menghabiskan waktu menggunakan program penebak  password.

• Konteks sekuriti komputer, proses mendapatkan key  Æ social engineering social engineering Æ tidak memerlukan teknik  tidak memerlukan teknik yang rumit.  – Menggunakan hadiah, intimidasi atau tipuan yang  meyakinkan orang lain untuk membuka informasi yang  dilindungi sekuriti jaringan komputer.  – Kevin Mitnick menjadi terkenal (dan masuk penjara)  Kevin Mitnick menjadi terkenal (dan masuk penjara) karena dia ahli dalam hal ini. Bahkan dia menuliskan  sebuah buku mengenai hal ini, bersama dua orang  penulis, Steve Wozniak dan William L. Simon. Buku ini  li St W i k d Willi L Si B k i i berjudul "The Art of Deception: Controlling the Human  Element of Security (diterbitkan oleh John Willey and  Sons). 

Modus Operandi Social Engineering • Social Engineering: suatu keahlian non‐teknis dari intrusi yang  berhubungan erat dengan interaksi manusia dan bertujuan  menipu orang lain untuk membuka prosedur sekuriti normal menipu orang lain untuk membuka prosedur sekuriti normal  • Skenario umum Social Engineering antara lain:  – Menelepon seorang user dan berpura‐pura sebagai seorang  anggota team IT, yang membutuhkan account dan password user  t t IT b t hk td d serta informasi lain dengan alasan memperbaiki kerusakan pada  jaringan komputer. – Menelepon departemen IT dan berpura Menelepon departemen IT dan berpura‐pura pura sebagai seorang  sebagai seorang eksekutif puncak suatu perusahaan yang kelupaan password dan  mendesak untuk diberikan informasi secepat mungkin karena ada  urusan yang mahapenting.  – Membangun suatu hubungan persahabatan yang indah dengan  salah seorang anggota tim IT untuk mendapatkan informasi yang  dapat dipercaya, untuk menyusup ke jaringan komputer. 

– Seorang pelaku social engineering yang ahli tidak hanya seorang  aktor yang baik, tapi juga membaca tabiat orang untuk  menentukan jenis orang bagimana yang bekerja terbaik dengan menentukan jenis orang bagimana yang bekerja terbaik dengan  fakta‐fakta. Saat seorang hacker mengombinasikan kemampuan  social engineering dengan keahlian teknis, maka sangatlah mudah  bagi mereka menyusup ke jaringan komputer mana pun.  – Beberapa teknik di Internet, seperti e‐mail yang dikirim oleh  seorang pegawai bank atau perusahaan kartu kredit yang meminta  kalian pergi ke suatu website dimana kalian diharuskan mengisi  informasi account dan lainnya. Website yang sebenarnya palsu dan informasi account dan lainnya. Website yang sebenarnya palsu dan  menjebak.  – Beberapa pelaku social engineering mengandalkan keberhasilan  mereka dari kemampuan meneliti. Sebagaimana aktivitas  membuang sampah kantor (melalui sampah kertas kerja inilah  b hk ( l l hk k l h mereka menemukan informasi penting dan dihubungkan dengan  informasi lain yang diperoleh). 

– Beberapa orang hacker menempuh cara yang  berbeda, seperti menjadi seorang tukang bangunan,  , p j g g g , teknisi alat‐alat rumah tangga atau tukang bersih‐ bersih kantor yang bekerja paruh waktu. Sebenarnya  mereka hanya ingin memperoleh akses saat yang mereka hanya ingin memperoleh akses, saat yang  lainnya sibuk dengan pekerjaan mereka atau ada hal  y g yang mengharuskan mereka meninggalkan tempat  g gg p kerja. Hacker ini berusaha menekuni tugas‐tugas  harian yang kalian tinggalkan di meja kerja sampai  menemukan apa yang ia cari (Entah itu melalui menemukan apa yang ia cari. (Entah itu melalui  catatan pribadi, percakapan telepon atau cetakan e‐ mail dsb.)

– Adakalanya hacker tersebut bertindak sebaliknya yaitu  menjadi seorang teknisi komputer yang membuat  b b beberapa urutan masalah pada jaringan komputer atau  t l h d j i k t t pengguna komputer. Berbicara dengan petugas  keamanan bahwa terjadi masalah yang sangat serius dan  memerlukan penanganan sesegera mungkin memerlukan penanganan sesegera mungkin.  Siapa sih yang nggak percaya sama teknisi. Kalian  disuruh membuka email anda dan dia akan memeriksa  seluruh isi email tersebut apakah berisikan kode‐kode  l hi i il b k h b i ik k d k d jahat atau lampiran yang berisi virus. Mengenai hal ini  bisa saja sebelumnya hacker tersebut mengirimkan virus  atau kode jahat lainnya ke email seseorang yang bekerja  t k d j h tl i k il b k j di kantor tersebut. Hacker ini benar‐benar tampil  menjadi pahlawan penyelamat. 

Melindungi Diri Dari Pelaku Social Eng. • Perlindungan terhadap aksi social engineering ini  seharusnya menjadi bagian dari strategi pertahanan dalam seharusnya menjadi bagian dari strategi pertahanan dalam  departemen/divisi perusahaan, tapi seringkali diabaikan.  Perhatikan hal‐hal di bawah ini:  – Jangan Jangan biarkan user kalian memberikan password mereka ke  biarkan user kalian memberikan password mereka ke orang lain tanpa seijin kalian. Dengan kata lain jangan  menanyakan apa pun yang berhubungan dengan aktivitas  e e a epada seseo a g ya g t da be a mereka kepada seseorang yang tidak berhak.  – Para petugas keamanan di tempat tersebut harus menanyakan  identitas diri, bahkan kepada anggota tim IT sekalipun atau  seseorang yang marah dan mengaku bahwa mereka  gy g g merupakan salah satu dari manajer puncak perusahaan  tersebut.  – Melindungi jaringan komputer dari permintaan yang berbau  social engineering, hal pertama dan terpenting adalah  mengeset kebijakan sekuriti yang mengatur alasan dan  prosedur untuk merespon jenis permintaan ini.

– Seluruh anggota manajemen harus menyetujui dan  menandatangani Prosedur Operasional Standar ini menandatangani Prosedur Operasional Standar ini  dan memahami perlunya menunjukkan identitas  mereka saat membuat permintaan untuk password  dsb. – Kebijakan ini harus diumumkan ke seluruh pengguna  jaringan komputer, dibarengi dengan pendidikan dan  pelatihan yang berguna untuk mengatasi berbagai  k l h keluhan yang terjadi.  t j di – Andanya sanksi yang tegas terhadap pelanggaran  kebijakan ini kebijakan ini. 

Kebijakan Sekuriti • Kebijakan sekuriti harus spesifik dan meliputi isu‐isu  keamanan seperti: – Kebijakan Strong Password: panjang minimum, kompleksitas,  permintaan mengubah password pada waktu tertentu,  larangan penggunaan password yang terkait dengan tanggal  l hi lahir, nomor KTP atau Jamsostek dsb... terutama melarang  KTP t J t kd b t t l menulis password agar tidak lupa di media lain. – Larangan untuk memperlihatkan password, kepada siapa pun.  Password hanya dapat dibuka dengan memperhatikan Password hanya dapat dibuka dengan memperhatikan  keadaan sekitar, sesuai prosedur yang telah ditentukan  bersama. – Meminta kepada para user untuk me‐log off atau  Meminta kepada para user untuk me log off atau menggunakan proteksi password screen saver saat  meninggalkan komputer, dan memastikan bahwa tak seorang p y g pun yang melihat saat mengetikkan informasi log on, dsb.  g g ,

– Keamanan secara fisik dimaksudkan untuk  mencegah pengunjung atau kontraktor luar dari  g p g j g mengakses sistem dengan memasang key logger dsb. – Prosedur yang memverifikasi identitas user yang  d fk d bekerja di departemen IT dan personil IT (PIN  rahasia, prosedur callback dsb.) rahasia, prosedur callback dsb.) – Kebijakan perintah merusak (menghancurkan,  membakar dsb.) kertas kerja, disk atau media lain  yang dapat dimanfaatkan oleh para hacker untuk  menembus sistem keamanan. 

Pencegahan Social Engineering • Untuk mencegah pelaku social engineering  berhasil memperoleh informasi serta melakukan berhasil memperoleh informasi serta melakukan  hal‐hal yang tidak diinginkan pada jaringan  komputer kalian dan membantu mendeteksi komputer kalian, dan membantu mendeteksi  berbagai kemungkinan terjadinya social  engineering lakukan langkah langkah engineering, lakukan langkah‐langkah  pencegahan berikut ini:  – Amankan secara fisik komputer dan kelengkapan  A k fi ik k t d k l k jaringan komputer. – Membangun kebijakan sekuriti yang rinci untuk  Membangun kebijakan sekuriti yang rinci untuk mencegah isu‐isu keamanan dan menerapkannya ke  seluruh perusahaan.

Kesimpulan • Social Engineering merupakan cara termudah  bagi seorang hacker untuk memperoleh akses ke bagi seorang hacker untuk memperoleh akses ke  suatu jaringan komputer, dan kebanyakan dari  kita menghabiskan ribuan dollar hanya untuk kita menghabiskan ribuan dollar hanya untuk  mencegah teknik serangan dan tidak melakukan  apa pun untuk mencegah eksploitasi terhadap  pun untuk mencegah eksploitasi terhadap faktor manusianya.  • Pembuatan berbagai kebijakan sekuriti  P b b b i k bij k k ii merupakan langkah pertama mencegah  terjadinya serangan social engineering, namun  j di i l i i mungkin langkah terpenting adalah mendidik  i li d i di i di i

Web Engineering

Institut Teknologi Telkom Center of Excellent in ICT Business http://www.ittelkom.ac.id