Friday, 25 November 2016

Pengerian Vulnerability, Authentication, dan Encryption

Salam, pada postingan kali ini saya akan membahas sedikit tentang Vulnerability, Authentication dan Encryption. Mulai dari pengertian dan cara kerjanya..










Vulnerability
Menurut bahasa Vulnerability berarti (celah keamanan) dalam bahasa indonesia berarti kerentanan, tidak mampunya sesuatu atau sebuah sistem dalam mengatasi situasi tertentu dari luar sistem.
Vulnerability dapat dimanfaatkan oleh pengguna lain untuk masuk kedalam sistem dan merusaknya.
Vulnerability akan digunakan oleh hacker sebagai jalan untuk masuk kedalam sistem secara ilegal. Hacker biasanya akan membuat Exploit yang desesuaikan dengan vulnerability yang telah ditemukan nya.

Dimana saja celah keamanan ini dapat terjadi

  1. Firmware (Hardcoded software)
    Apa itu firmware? Firmware adalah software/mini operating system yang tertanam  langsung (hardcode) kedalam chip pada perangkat tertentu seperti: Router ,kamera,scanner,printer,handphone,mouse/keyboard tertentu dan lain lain,dengan tujuan agar memudahkan upgrade kompatibility perangkat atau penambahan fitur.
    Biasanya perangkat dengan firmware tidak memiliki sistem operasi karena jumlah memory yang kecil. vulnerability di level firmware akan sangaat berbahaya jika terjadi padaperangkat seperti router. Karena hacker akan menggunakan celah/kelemahan yang ada untuk membobol router dan memodifikasinya.
    Vendor tiap perangkat seperti router atau wireless radio(AP) akan menyediakan pembaruan /update untuk perangkatnya. jadi rajin rajinlah untuk ngecek official site untuk mendownload pembaruan/update
  2. Operating system /Sistem Operasi
    Sistem operasi se aman apapun (Linux /Mac)  tetap mempunyai celah keamanan,tinggal menunggu waktu saja untnuk ditemukan.usahakan mengaktifkan fitur automatic update agar operating sistem selalu melakukan pembaruan/update ketika update tersedia.
  3. Aplikasi (Software)
    Aplikasi yang kita install di komputer bisa menjadi jalan masuk hacker atau senjata hacker (malware) ke komputer kita. aplikasi yang kita jadikan prioritas utama untuk update adalah aplikasi yang bersentuhan langsung dengan internet seperti browser,document reader,downlaod manager. hal ini untuk mencegah exploitasi terhadap program tersebut ketika kita gunakan untuk mencari informasi di internet. itung-itung mencari informasi malah malware yang kita dapat.
  4. Brainware (Operator komputer)
    Setiap sistem computer pasti ada operator /orang yang memanfaatkan sistem untuk bekerja. walau semua sistem telah dirancang seaman mungkin tetapi pengetahuan setiap orang berbeda-beda. ketidak tahuan atau kepolosan sang operator inilah yang bisa dimanfaatkan hacker untuk mendapatkan akun /informasi yang dia pegang. dengan tehnik social engineering seorang operator bisa ditipu dan menyerahkan akun dan informasi penting ke hacker tanpa dia sadari . secanggih apapun sistem di dunia ini pasti mememiliki kelemahan (vulnerability)di sisi brainware.
  5. Vulnerability (Celah keamanan) pada aplikasi web
    Jika kamu mempunyai website, hati-hati terhadap exploitasi yang akan mungkin terjadi terhadap website mu. exploitasi ini akan sangat beragam bergantung pada bahasa pemrograman yang dipakai,web server ,library dan database yang dipakai.
    Karena aplikasi web/website terdiri dari banyak komponen, maka aplikasi web mempunyai banyak sisi untuk diserang, web service bisa diserang dengan DDOS / exploitasi yang lain,php library bisa diserang juga , dan aplikasi website itu sendiri bisa diserang , sehingga aplikasi web membutuhkana extra proteksi untuk menjaga agar website aman dari tangan-tangan jahil.Untuk masalah keamanan web service ,php library atau library yang lain biasnaya  menjadi tanggung jawab penyedia hosting. aplikasi web yang kita taruh di hosting bisa menjadi jalan masuk hacker jika aplikasi web yang kita gunakan memiliki celah keamanan (vulnerability). katakanlah kamu memasang wordpress sebagai CMS untuk menangani blog kamu, wordpress CMS ini memiliki banyak komponen terpisah seperti plugin dan module , vulnerability bisa berada di aplikasi utama CMS itu sendiri atau berada di plugin atau theme yang kita gunakan.  oleh sebab itu rajin-rajinlah mengupdate CMS yang kamu gunakan.

 Macam Macam Vulnerability
  • windows xp vulnerability ms08-067 (Remot Vulnerability |Service vulnerability)
    Celah keamanan ini memungkinkan attacker (Hacker yang menyerang sistem) untuk menjalankan malware secara remot dengan cara membuat paket PRC request Khusus.
    (celeh keamanan ini digunakan oleh worm conficker untuk menyebarkan dirinya)
    Patch :https://technet.microsoft.com/en-us/library/security/ms08-067.aspx
  • DRAM Rowhammer vulnerability (Local Exploit | Hardware Vulnerability)
    Celah keamanan ini memungkinkan attacker untuk mengangkat privilage (Hak akses ke sistem) dirinya sendiri.
  • Bug Didalam Game online (Local Exploit| Software vulnerability)
    Hello gamers,pernah ngedupe item,atau pernah ngecheat biar bisa lari cepet, nah itu termasuk vulnerability juga yang memungkinkan player untuk ngedupe item atau exploitasi EXP biar naik lvl cepet.
  • Winrar Spoof extension 2.80 – 5.10(Local Exploit|Software Vulnerability)
    bug ini memungkinkan attacker untuk menyembunyikan extensi file ,sehingga keliahatan seperti extensi file yang diinginkan.
  • GDI Exploit (Local Exploit | Software vulnerability)
    memungkinkan attacker untuk menyisipkan malware dalam file gambar dengan format (EMF or WMF)q
  • Vulnerability pada aplikasi web bisa beragam, tergantung dari module ,plugin,library dan CMS yang digunakan. oleh karena itu sebagai webmaster harus rajin mengupdate moodule,library ,theme CMS yang yang digunakan.
  • Vulnerability dan Exploit yang dipublish di internet.
    Cukup ketikan kata kunci “exploit list” di google kamu akan menemui website yang mempublish vulnerability dan exploit  secara up to date.

 AUTHENTICATION




Pengertian   Authentication
Authentication (authentikasi) adalah suatu langkah dimana seorang user atau pengguna komputer melaukan validasi sebelum kasuk ke dalam sistem atau sesuatu, misalnya memasukan password dan username.

 Autentikasi adalah suatu langkah untuk menentukan atau mengonfirmasi bahwa seseorang (atau sesuatu) adalah autentik atau asli. Melakukan autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap kebenarannya. Sedangkan melakukan autentikasi terhadap seseorang biasanya adalah untuk memverifikasi identitasnya. Pada suatu sistem komputer, autentikasi biasanya terjadi pada saat login atau permintaan akses.

Metode cara kerja Authentication
a. Something you know
Ini adalah metode autentikasi yang paling umum. Cara ini mengandalkan kerahasiaan informasi, contohnya adalah password dan PIN. Cara ini berasumsi bahwa tidak ada seorangpun yang mengetahui rahasia itu kecuali anda seorang.

b. Something you have
Cara ini biasanya merupakan faktor tambahan untuk membuat autentikasi menjadi lebih aman. Cara ini mengandalkan barang yang sifatnya unik, contohnya adalah kartu magnetic/smartcard, hardware token, USB token dan sebagainya. Cara ini berasumsi bahwa tidak ada seorangpun yang memiliki barang tersebut kecuali anda seorang.

c. Something you are
Ini adalah metode yang paling jarang dipakai karena faktor teknologi dan manusia juga. Cara ini menghandalkan keunikan bagian-bagian tubuh anda yang tidak mungkin ada pada orang lain seperti sidik jari, suara atau sidik retina. Cara ini berasumsi bahwa bagian tubuh anda seperti sidik jari dan sidik retina, tidak mungkin sama dengan orang lain.

d. Something you do
Melibatkan bahwa setiap user dalam melakukan sesuatu dengan cara yang berbeda. Contoh : Penggunaan analisis suara (voice recognation), dan analisis tulisan tangan

Contoh authentikasi.

validasi gmail.



ENCRYPTION

Enkripsi adalah Secara singkat, proses enkripsi adalah proses mengubah teks terang menjadi teks tersandi. Di bidang kriptografi, enkripsi adalah proses mengamankan suatu informasi dengan membuat informasi tersebut tidak dapat dibaca tanpa bantuan pengetahuan khusus. Dikarenakan enkripsi telah digunakan untuk mengamankan komunikasi di berbagai negara, hanya organisasi-organisasi tertentu dan individu yang memiliki kepentingan yang sangat mendesak akan kerahasiaan yang menggunakan enkripsi.

Macam Ekripsi

Ciphers

Sebuah cipher adalah sebuah algoritma untuk menampilkan enkripsi dan kebalikannya dekripsi, serangkaian langkah yang terdefinisi yang diikuti sebagai prosedur. Alternatif lain ialah encipherment. Informasi yang asli disebut sebagai plaintext, dan bentuk yang sudah dienkripsi disebut sebagai chiphertext. Pesan chipertext berisi seluruh informasi dari pesan plaintext, tetapi tidak dalam format yang didapat dibaca manusia ataupun komputer tanpa menggunakan mekasnisme yang tepat untuk melakukan dekripsi.
Cipher pada biasanya memiliki parameter dari sebagian dari informasi utama, disebut sebagai kunci. Prosedur enkripsi sangat bervariasi tergantung pada kunci yang akan mengubah rincian dari operasi algoritma. Tanpa menggunakan kunci, chiper tidak dapat digunakan untuk dienkirpsi ataupun didekripsi.

Cipher versus code

Pada penggunaan non teknis, sebuah secret code merupakan hal yang sama dengan cipher. Berdasar pada diskusi secara teknis, bagaimanapun juga, code dan cipher dijelaskan dengan dua konsep. Code bekerja pada tingkat pemahaman, yaitu, kata atau frasa diubah menjadi sesuatu yang lain. Cipher, dilain pihak, bekerja pada tingkat yang lebih rendah, yaitu, pada tingkat masing-masing huruf, sekelompok huruf, pada skema yang modern, pada tiap-tiap bit. Beberapa sistem menggunakan baik code dan cipher dalam sistem yang sama, menggunakan superencipherment untuk meningkatkan keamanan.
Menurut sejarahnya, kriptografi dipisah menjadi dikotomi code dan cipher, dan penggunaan code memiliki terminologi sendiri, hal yang sama pun juga terjadi pada cipher: "encoding, codetext, decoding" dan lain sebagainya. Bagaimanapun juga, code memiliki berbagai macam cara untuk dikembalikan, termasuk kerapuhan terhadap kriptoanalisis dan kesulitan untuk mengatur daftar kode yang susah. Oleh karena itu, code tidak lagi digunakan pada kriptografi modern, dan cipher menjadi teknik yang lebih dominan.

Cara kerja chiper enkripsi



Contoh : huruf digeser 3 digit
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
Plaintext : “Saya main computer”
Ciphertext : “VDBD PDLQ FRPSXWHU”
Algoritma dar Caesar cipher adalah jika (a=1.b=2, dan seterusnya).
Plaintex diberi simbol “P” dan cipher text adalah “C” dan kunci adalah “K”.
Rumus untuk enskripsi :
C = E(P) = (P+K) mod (26)
Rumus untuk deskripsi :
P = D(C) = (C–K) mod (26)
Dari contoh di atas, maka enskripsi dapat dilakukan dengan rumus :
C= E(P) =(P+3) mod (26)
Sedangkan untuk deskripsinya adalah :
P = D(C) = (C–3) mod (26)

Caesar Cipher menggunakan satu kunci/Subsitusi deret campur kata kunci :
Contoh : menggunakan kata kunci RINI ANGRAINI _ RINAG
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
R I N A G B C D E F H J K L M O P Q S T U V W X Y Z
Note : huruf yang telah muncul pada Key tidak ditulis kembali.
Plaintext : “Belajar keamanan computer”
Ciphertext : “IGJRFRQ HGRKRLRL NMKOUTGQ”
Caesar Cipher menggunakan dua kunci :
Contoh : menggunakan kata kunci pertama : RINI ANGRAINI = RINAG
Kunci kedua : RAHMAT HIDAYAT = RAHMTIDY
K1 .
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
R I N A G B C D E F H J K L M O P Q S T U V W X Y Z
Chipertext
K2 K1 ke K2
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
R A H M T I D Y B C E F G J K L N O P Q S U V W X Z
Plaintext : “Saya belajar keamanan computer”
Ciphertext : “POXO BDCOION YDOEOFOF JGEKSQDN”
Ada 6 kunci yang digunakan untuk melakukan permutasi chipper :
Untuk Enskripsi :
B e l a j a
1 2 3 4 5 6
3 5 1 6 4 2
L j b a a e
Untuk Deskripsi :
L j b a a e
1 2 3 4 5 6
3 6 1 5 2 4
B e l a j a 

 
Post By: On
Label:

2 comments:

Subscribe to: Post Comments (Atom)
Back to top