Latar Belakang • Ancaman selalu datang tidak terduga, berakibat pada resiko yang lebih besar jika resiko tidak dikelola (Risk Management) • Kerentanan (Vulnerability) pada sistem informasi selalu ada dan cenderung meningkat. • Peningkatan penggunaan exploit secara terbuka dan mudah digunakan. • Perlunya pengendalian terhadap Ancaman dan Vulnerability untuk menekan resiko kepada tingkat yang wajar melalui “Vulnerability Assessment”
Regulasi & Standar Regulasi • UU – ITE (Undang-Undang – Informasi dan Transaksi Elektronik) • PBI (Peraturan Bank Indonesia) no. 9/15/PBI/2007 Standar • SNI ISO 27001 : 2009 – Sistem Manajemen Keamanan Informasi • PCI – DSS (Payment Card Industry - Digital Security Standards)
Regulasi UU ITE Pasal 15 (1)Setiap Penyelenggara Sistem Elektronik harus menyelenggarakan Sistem Elektronik secara andal dan aman serta bertanggung jawab terhadap beroperasinya Sistem Elektronik sebagaimana mestinya. Penjelasan : “Andal” artinya Sistem Elektronik memiliki kemampuan yang sesuai dengan kebutuhan penggunaannya. “Aman” artinya Sistem Elektronik terlindungi secara fisik dan nonfisik.
Regulasi Perbankan • Peraturan Bank Indonesia no. 9/15/PBI/2007 tentang “Penerapan Manajemen Risiko dalam Penggunaan Teknologi Informasi oleh Bank Umum” “Pengujian Penetrasi (Penetration Testing) terhadap jaringan internal dan eksternal secara berkala sekurang-kurangnya 1 tahun sekali”
Standard SNI ISO IEC 27001 : 2009 – Sistem Manajemen Keamanan Informasi
A.15.2 Pemenuhan terhadap kebijakan keamanan dan standar, dan pemenuhan teknis A. 15.2.1 Pemenuhan terhadap kebijakan keamanan dan standar A. 15.2.2 Pengecekan pemenuhan teknis Sistem Informasi harus secara regular dicek pemenuhan teknis terhadap standar penerapan keamanan
Beberapa Istilah Penting • • • • • • • • •
Hacking Ethical Hacking White Hat Hacker Black Hat Hacker Security Assessment Vulnerability Assessment Penetration Testing Cracking, Phreaking, Carding Security Audit
Hacking vs Ethical Hacking Hacking • Memanipulasi teknologi untuk dapat melakukan sesuatu yang tidak dirancang / direncanakan (Hacking). • Membobol sistem komputer dan jaringan tanpa izin (Cracking) Black Hat Hacker.
Ethical Hacking • Teknik serangan dengan menggunakan komputer untuk menemukan kelemahan keamanan dengan mendapatkan ijin dari pemilik target dengan tujuan untuk meningkatkan keamanan, White Hat Hacker
Cracking / Black Hat Hacker • Tidak memiliki pola (metodologi) • Tujuan Cracking dan Target Cracking : “Tidak jelas” Tujuan : Eksis, Narsis Target : Site yang lemah, atau media apa saja yang dapat di exploitasi.
• Mengandalkan Tools dan jam terbang Mencari Target Mencari Vulnerability Mencari Vulnerability Dapat Target Mencari exploit Action
• Kegiatan : Black Box
Cracking / Black Hat Hacker - Lanjutan • Memiliki karakter sendiri. Setiap hacker memiliki latar belakang dan pengetahuan yang berbeda. – – – – – – –
Web Defacement Wireless Hacking, sniffing System Hacking & Networking . Carding Lock Picking Social Engineering Phreaking.
• Langsung ke sasaran, dengan target site yang lemah
Securtiy Assessment • • • •
Profesional dan Metodologis Pola : Standard Metodologi Script Pentest Tujuan Hacking : Pemenuhan Regulasi dan Standar Target Hacking : Perusahaan / Lembaga yang terkena Regulasi. Pemenuhan Standar, misalnya ISO 27001. Proses Development : Development UAT SAT Pentest
• Mengandalkan Tools, Seni dan jam terbang Metodologi Script Pentest Tools / Manual / Check List Action Report patch Regulasi & Standar Terpenuhi.
• Kegiatan : Black Box, White Box dan Grey Box
Vulnerability Assessment vs Penetration Test Vulnerability Assessment (VA) Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan. Evaluasi dan analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Memberikan laporan dan rekomendasi atas temuan yang didapat dari kegiatan VA Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack).
Penetration Testing (PT) Melakukan identifikasi vulnerability dari suatu aplikasi, sistem operasi dan Infrastruktur Jaringan. Eksploitasi terhadap temuan vulnerability (PoC) Evaluasi terhadap sistem keamanan yang sudah dibuat , dengan cara melakukan simulasi serangan yang menggunakan metoda yang biasa digunakan oleh Hacker. Analisa terhadap vulnerability dari hasil temuan untuk menentukan tingkat resiko yang mungkin dapat terjadi. Skenario serangan yang digunakan : Serangan Internal (internal Attack) dan Serangan dari Luar (external Attack).
Security Audits Pengujian yang dilakukan berdasarkan acuan pada sebuah standar. Proses pengujian dilakukan menggunakan “Checklist”
Hacking vs Security Audits
Teknik Security Assessment Passive research / Information Gathering • Mengumpulkan Informasi tentang organisasi (Apapun informasi yang bisa didapat), misalnya tentang konfigurasi sistem, kebocoran data, web defacement, email phising, dll) Network mapping and OS fingerprinting • Pengujian pada konfigurasi jaringan Network sniffing • Pengujian terhadap traffic data yang melintasi jaringan
Teknik Security Assessment Trojan Attacks • Mengirimkan trojan / backdoor melalui email, file sharing, chat rooms, dan ”Instant Message”. Cracking Password • Melakukan serangan cracking password dengan menggunakan berbagai metoda cracking yang umum digunakan. Vulnerability Scanning • Pengujian Vulnerability pada jaringan dan aplikasi.
Proses Security Assessment Menentukan Scope Kegiatan • Apa saja, dari mana, dan oleh siapa akan dilakukan pengujian. • Apa saja yang boleh diketahui / diberikan kepada Tim Security Assessment (SA) • Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA. Hal ini semua harus tertuang dalam NDA.
Proses Security Assessment Apa saja yang boleh / tidak boleh dilakukan oleh Tim SA. • A non-destructive test Scanning Findings and map the Vulnerabilities PoC Tidak boleh melakukan DoS. • Destructive test Scanning Findings and Vulnerabilities DoS dan Buffer Overflow Attacks
Proses Security Assessment Kegiatan Security Assessment • Mencari dan menemukan informasi vulnerability • Pada umunya mencakup konfigurasi jaringan, topologi, hardware dan software Pelaporan • Hal yang penting dan menjadi penentu akhir dari hasil kegiatan SA. • Berisi daftar vilnerability yang telah diklasifikasikan sesuai dengan tingkat Risikonya : High, Medium Low. • Rekomendasi untuk melakukan mitigasi pada setiap temuan vulnerability.
Metodologi EC-Council LPT http://www.eccouncil.org OWASP (Open Web Application Security Project) http://www.owasp.org OSSTMM (Open Source Security Testing Methodology Manual) http://www.isecom.org/osstmm ISSAF (Information System Security Assessment Framework) http://www.oissg.org/issaf CISSP (Certified Information System Security Professional) https://www.isc2.org/
Pendekatan Black Box : Zero knowledge Assessment Internal / External Attack
White Box Full knowledge Assessment Internal Attack
Grey Box Partial knowledge Assessment
Internal Attack
Cakupan Teknis Lingkungan Produksi : Sistem Operasi, Aplikasi e-banking, Database, Peralatan jaringan Perimeter keamanan (Internal dan eksternal) Lingkungan Pengembangan dan Publik Aplikasi e-Banking Website
Project Organizational Structure
Penetration Testing Team Team Ethical Hacker Pendekatan Proses Bisnis (UAT) Pendekatan Hacker (HAT) Pendekatan Tools dan Analisis report tools (VA) Toolbox Network Vulnerability Scanner Nessus, GFI LanGuard, Retina, Core Impact Web Vulnerability Scanner Acunetix, Nikto, WebScarab, Black Widow, Manual
Security Assessment Roadmap
Security Assessment Roadmap
Strategies of Security Assessment
External Penetration Testing • Merupakan pendekatan tradisional (sering digunakan) • Pengujian difokuskan pada Server publik (web server, dan email server) dan infrastruktur (seluruh eksternal network, Router dan Firewall). • Menggunakan pendekatan Black box dan White box.
External Penetration Testing
Internal Security Assessment • Pengujian dilakukan dari sejumlah titik akses jaringan, yang mewakili setiap segmen fisik dan logic. misalnya, beberapa titik segmen jaringan internal, DMZ dan termasuk koneksi ke seluruh mitra organisasi. • Menggunakan pendekatan Black box dan White box.
Internal Penetration Testing
Internal Penetration Testing
Internal Penetration Testing
Application Security Assessment • Aplikasi yang lemah walaupun berada dalam infrastruktur yang aman, tetap dapat diekspos. • Pengujian aplikasi ini sangat penting, karena bisa merupakan produk inti dari organisasi. • Pengujian ini dimaksudkan agar pengguna (jahat) aplikasi tidak dapat mengakses, memodifikasi atau merusak data dan layanan dalam sistem
Jenis2 Application Security Assessment Source code review • Melakukan analisa terhadap kode aplikasi, bahwa tidak mengandung kode sensitif / curang atau backdoor, atau kode yang memungkinkan kelemahan aplikasi yang dapat dieksploitasi. Authorization testing • Menguji aplikasi dari kemungkinan akses yang tidak diijinkan (mis. SQL Injection) dan penggunaan session. • Pengujian Guessing & Cracking password
Application Security Assessment
Application Security Assessment
Jenis2 Application Security Assessment Functionality testing • Pengujian fungsi aplikasi berdasarkan hak akses user, kesesuaian dengan proses bisnis, tidak melanggar policy/prosedur. • Pengujian kemungkinan user dapat menaikkan hak akses (escalating privilege) Web penetration testing • Pengujian dapat menggunakan berbagai cara untuk mengidentifikasi vulnerability : SQL Injection, XSS, otentikasi lemah, atau sourcode terbuka.
Application Security Assessment
Application Security Assessment
Application Security Assessment
Network Security Assessment • Melakukan scanning vulnerability pada lingkungan jaringan untuk mengetahui vulnerability dan meningkatkan kebijakan keamanan. • Untuk mengungkapkan kesalahan keamanan jaringan yang dapat menyebabkan data atau peralatan terkena trojan / backdoor, atau layanan tidak dapat bekerja dan jenis intrusi lainnya.
Wireless / Remote Access Assessment • Titik kerentanan jaringan internal terkadang muncul dari koneksi wireless dan Remote access, karena titik ini sangat mudah dibuat dan sulit dibatasi aksesnya (wireless). • Wireless networks: • 802.11a,b and g • Bluetooth • Wireless radio transmissions • Radio communication channels
Social Engineering • Pengujian ini dapat dilakukan dengan melakukan interview dan angket terhadap beberapa bagian atau beberapa staf yang berhubungan dengan publik.
Vulnerability Research Websites
National Vulnerability Database (nvd.nist.gov)
Secunia (secunia.com/product/) Secunia monitors vulnerabilities in more than 9 500 products
Exploit Database www.exploit-db.com
Inject0r Exploit Database www.1337day.com
Penetration Testing
Phase 1 - Reconnaissance
Phase 2 - Scanning
Phase 2 - Scanning
Phase 3 - Gaining Access
Phase 4 - Maintaining Access
Phase 5 - Covering Tracks
Information Gathering • • • • •
Google Hacking Netcraft Domain / Subdomain Scanner Whois Free Online Network Tools http://centralops.net/
Google Hacking • Operator Site : site:go.id site:bandung.go.id • Teknik Traversal intitle:index.of inurl:"/admin/*" • Error | warning, login | Logon, • username | userid, password | passcode • Admin | administrator
Scanning
Analisa dari sisi luar Informasi Sub Domain, bersifat terbuka Tools : dig dan sub-domain scanner Mencari Website domain tertentu Tools : Google Informasi Sistem Website domain tertentu Tools : netcraft Scanning Infrstruktur Jaringan Tools : Look@lan, nmap
Port Scanning
Port Scanning Tools
Trafic Route
Buat Topologi
Vulnerability Scanning
Vulnerability Scanning
Internal Penetration Testing
Scanning Infrastruktur Network
Port Scanning
Vulnerability Scanning
Vulnerability Scanning
Terima Kasih Q and A