SEMINAR "WEB HACKING SECURITY"

 

 

Seminar yang bertema tentang network hacking and security tersebut diisi oleh narasumber dari komunitas hacking yang cukup terkenal di Indonesia yaitu XCODE. Setelah mengikuti Seminar ini kami di beri sebuah sertifikat. 

 

 Ringkasan Materi

Pengertian Hacking
        kegiatan menganalisa,mempelajari,dan menerobos masuk secara paksa kedalam suatu sistem atau jaringan komputer.
    Pengertian Hacker
         Hacker adalah seseorang yang memiliki kemampuan pada komputer dan sistem jaringan, kemampuan standar yang dimiliki seorang hacker adalah core programming dan network specialist. Hacker merupakan pengguna komputer yang mampu masuk kedalam sistem komputer melalui jaringan, baik untuk keperluan monitoring (melihat sistem), copying (pengambilan/pencurian data), atau crashing (merusak sistem komputer) targetnya.
Klasifikasi Hacker
          Hacker terdiri dari beberapa jenis sesuai dengan sifatnya. Baik orang itu seorang sistem administrator maupun user yang ingin membobol sistem komputer kita. Klasifikasi hacker antaralain sebagai berikut:

• White Hats : merupakan hacker yang bekerja sebagai system analist,system administrator maupun security analist. White hats bekerja dalam sistem dan memiliki kemampuan yang tinggi untuk menjaga sistem agar tetap bekerja dengan baik dan tidak diacak-acak oleh orang lain. White Hats hackers rata-rata memiliki sertifikat kode etik hacker, misalnya CEH (Certified Ethical Hacker).
• Gray Hats : merupakan hacker yang bekerja offensivelly dan defensivelly. Gray Hats merupakan orang yang melakukan attacking terhadap sistem yang juga bekerja untuk membuat pertahanan terhadap sistem. Hacker tipe ini merupakan hacker yang membobol sistemnya untuk mendapatkan bugs dan lubang dari sistemnya yang kemudian mempelajari dan menutup lubang tersebut.
• Black Hats : merupakan hacker yang hanya bekerja sebagai attacker dan mengambil manfaat terhadap sistem yang diserangnya. Black hats merupakan hacker yang merusak sistem atau sering juga disebut sebagai cracker. Contoh aksi yang dilakukan oleh hacker Black Hats antara lain membobol situs perbankan, mengambil account (Carding), dsb.
• Suicide Hacker : Hacker yang bekerja persis seperti Black Hats Hacker, bersifat destruktif dan tidak peduli terhadap ancaman yang akan menimpanya. Rata rata suicide hacker merupakan orang yang tidak memiliki tujuan yang jelas, hanya membobol, mengambil keuntungan, ingin terkenal dan tidak takut terhadap hukum.

Metodologi Hacker dalam mendapatkan informasi :

• Find Vulnerability, mencari informasi target dengan melacak kelemahan (scanning) terhadap sistem target.
• Revealing Error Message, mencari informasi dengan melihat pesan error yang terdapat pada sistem target.
• Get Credential Info, mencari informasi penting dengan mengambil dari log, backup files, dll.
• Scanning/Sniff, langkah kedua yang dilakukan oleh hacker adalah dengan melakukan scanning atau sniffing terhadap sistem. Biasanya tahapan ini dilakukan dengan menggunakan berbagai tools, antara lain : nmap, superscan, tcpdump, wireshark, dsniff, nessus, dll.
• Attack/Exploit, selanjutnya hacker akan melakukan attacking/exploit terhadap sistem target. attacking ini adalah attacking pertama yang akan membuka jalan untuk proses attak selanjutnya. Tools yang sering dipakai untuk attacking antara lain: metasploit framewor, john the ripper, cain and abel, the-hydra, dll.
• Backdoor (Keep it Easy to Visit Again), selanjutnya hacker akan menanam sesuatu pada sistem atau melakukan patching/altering terhadap sistem untuk memudahkan proses attacking selanjutnya.
• Covering, langkah akhir yang dilakukan oleh hacker adalah covering your tracks, yakni menghapus jejak agar tidak dapat dilacak oleh sistem administrator. Covering biasanya dilakukan dengan:tunneling/proxy, rootkits atau mengedit/menghapus log.

Jenis-jenis Serangan Hacker:

• Social Enginering
  Social Engineering biasanya sering dilakukan dengan tekhnik Phishing di internet, seperti malakukan modifikasi link maupun website. Namun, social engineering juga memanfaatkan media e-mail.
• SQL Injection
  Merupakan semacam kegiatan dengan menggunakan script atau perintah tertentu yang menyebabkan sebuah website target terupdate databasenya. Jadi inti dari bentuk metode serangan SQL Injection yaitu databesenya website di inject oleh sang hacker sehingga kontentnya bisa dirubah dan biasanya hacker mengubah tampilan depan sebuah website. Serangan SQL Injection dapat dicegah dengan mengupdate script website dan biasanya dilakukan oleh developer website tesebut sendiri.
• Web Defacement
  Serangan seperti Web Defacement umumnya tidak berbahaya , hanya saja mengubah tampilan web namun tetap saja tergolong tindak perusakan. Web defacement kadang dilatar belakangi oleh kepentingan politik atau agama.
• Sniffing Paket Data
  Metode sniffing bersikap pasif. Metode sniffing mengambil paket data yang lewat namun tidak melakukan modifikasi terhadap paket tersebut, melainkan mengambil dan menganalisanya saja
• Serangan Pada Password
  Login adalah pintu utama untuk masuk kedalam suatu system dan seharusnya pemilik system memiliki password yang unik untuk membukanya. Jika password yang digunakan tidak unik dan mudah dibuat apalagi mudah ditebak, maka saya jamin pintu yang vital tersebut akan sangat dengan mudah dapat ditembus hanya dengan menebak-nebak password ataupun dengan metode brute force attack.

Selain tentang hacking, dalam seminar tersebut saya juga mendapat materi tentang  keamanan sistem komputer. Ada beberapa aspek dalam keamanan sistem komputer, diantaranya:

•  Privacy  :  adalah sesuatu yang bersifat rahasia (private). Intinya adalah pencegahan agar informasi tersebut tidak diakses oleh orang yang tidak berhak. Contohnya adalah email atau file-file lain yang tidak boleh dibaca orang lain meskipun oleh administrator.
• Confidentiality  : merupakan data yang diberikan ke pihak lain untuk tujuan khusus tetapi tetap dijaga penyebarannya. Contohnya data yang bersifat pribadi seperti : nama, alamat, no ktp, telpon dan sebagainya.
• Integrity  : penekanannya adalah sebuah informasi tidak boleh diubah kecuali oleh pemilik informasi. Terkadang data yang telah terenskripsipun tidak terjaga integritasnya karena ada kemungkinan chapertext dari enkripsi tersebut berubah. Contoh : Penyerangan Integritas ketika sebuah email dikirimkan ditengah jalan disadap dan diganti isinya, sehingga email yang sampai ketujuan sudah berubah.
• Autentication : ini akan dilakukan sewaktu user login dengan menggunakan nama user dan passwordnya. Ini biasanya berhubungan dengan hak akses seseorang, apakah dia pengakses yang sah atau tidak.
• Availability  : aspek ini berkaitan dengan apakah sebuah data tersedia saat dibutuhkan/diperlukan. Apabila sebuah data atau informasi terlalu ketat pengamanannya akan menyulitkan dalam akses data tersebut. Disamping itu akses yang lambat juga menghambat terpenuhnya aspek availability. Serangan yang sering dilakukan pada aspek ini adalah denial of service (DoS), yaitu penggagalan service sewaktu adanya permintaan data sehingga komputer tidak bisa melayaninya. Contoh lain dari denial of service ini adalah mengirimkan request yang berlebihan sehingga menyebabkan komputer tidak bisa lagi menampung beban tersebut dan akhirnya komputer down.