Original author by #Nux3r @echo
:: Chapter 1. ::
Introduction,
Aplikasi
dan Sistem komputerisasi yang ada memerlukan sistem komunikasi pokok
dalam setiap organisasi atau instansi yang ada. menurut saya Setiap
sistem jaringan komputer perlu mandapatkan sentuhan dari tangan hacker,
Eits… jangan salah!! Bukan untuk merusaknya tapi sebagai Audit atas
Sistem keamanan jaringan yang dimiliki. Akan salah besar jika
suatuerusahaan atau instansi yang mengira bahwa sistem keamanan yang
dimilikinya sudah 100% aman. Bagaimana bisa tahu jika sistem
koputerisasinya telah benar secure jika ia tak pernah mencoba tuk
mengetesnya sendiri. Atau jika ia tak mampu melakukan itu seharusnya ia
dapat menyewa consultant untuk membantu tugasnya itu.
Malang
sekali bagi Admin suatu sistem di dalam perusahaan atau instansi yang
sangat kurang dalam memperhatikan masalah keamanan internal di dalam
perusahaannya. Tentunya ia akan memiliki pekerjaan berat, dan tentunya
jika terjadi sesuatu atas data atau informasi dalam sistem nya maka ia
lah orang yang akan pertama kali disalahkan oleh atasannya, he..he..
saya harap itu tak terjadi pada kita.
Dengan
melakukan Security Audit pada sistem network infrastruktur maka
perusahaan sebetulnya secara otomatis telah menyelamatkan aset paling
berharganya sediri sebelum terjadi sesuatu yang buruk. Anda bisa
bayangkan jika data informasi penting yang ada diketahui oleh lawan
bisnis. Maka kehancuran yang hanya ada jika sebuah perusahaan atau
instansi tidak melakukan tugas penting ini. Yaitu Security Audit.
:: Chapter 2. ::
Real Sample.
Kisah
berikut ini merupakan penuturan dari Kapil Raina, seorang ahli keamanan
di VeriSign. Suatu pagi di beberapa tahun yang lalu, sekelompok orang
berjalan memasuki sebuah perusahaan jasa pengiriman yang tergolong
besar. Beberapa saat kemudian mereka berjalan keluar dari gedung itu
dan telah berhasil mendapatkan hak akses ke sistem jaringan perusahaan
tadi. Bagaimana mereka melakukannya ?
Pertama,
mereka telah melakukan riset mengenai perusahaan itu selama dua hari
sebelumnya. Sebagai contoh, mereka telah mempelajari nama-nama pejabat
berpengaruh di perusahaan itu dengan cara menghubungi pihak HRD.
Selanjutnya mereka pura-pura kehilangan kunci ketika berada di pintu
depan perusahaan, dan ternyata seorang pria di perusahaan tadi
membukakan pintu untuk mereka tanpa curiga.
Untuk
saat itu mereka telah berhasil memasuki gedung sasaran. Sesampai di
lantai tiga yang merupakan secure area, mereka pura-pura kehilangan
tanda identitas. Cukup melakukan akting kehilangan dengan bagus,
tersenyum ke pekerja-pekerja yang ada di situ, dan salah seorang dari
mereka kemudian membukakan pintu untuk mereka dengan ramah. Secure area
ternyata belum mampu membendung langkah mereka.
Mereka
sudah tahu bahwa saat itu pemimpin perusahaan sedang bertugas keluar
kota, jadi mereka bisa dengan bebas memasuki ruang kantornya dan
mendapatkan data finansial dari komputernya yang ternyata tidak
terpassword sama sekali. Mereka kemudian memanggil petugas kebersihan
dan meminta untuk meletakkan semua sampah perusahaan di suatu tempat di
mana mereka nantinya bisa memeriksa karena beberapa karyawan ternyata
suka menuliskan informasi rahasia ataupun password ke kertas lembar
kerja yang tidak terpakai dan kemudian membuang begitu saja.
Selain
hal-hal di atas, mereka pun telah mempelajari bagaimana cara dan gaya
sang pemimpin berbicara, sehingga mereka mampu menelpon dan mengaku
sebagai pemimpin perusahaan, yang sebenarnya sedang berdinas keluar
kota, dan mengatakan sedang dalam keadaan terburu-buru dan lupa akan
passwordnya.
Sang admin pun tanpa rasa curiga
dan tanpa merasa perlu melakukan proses verifikasi, segera memberikan
apa yang dibutuhkan. Selanjutnya dengan berbekal berbagai informasi
yang telah didapatkan, cukup dengan memakai teknik hacking standar
mereka akhirnya bisa mendapatkan akses super-user di sistem jaringan
perusahaan tersebut.
Dalam cerita ini, mereka
sebenarnya dari pihak konsultan keamanan yang sedang melakukan audit
keamanan atas permintaan pemimpin perusahaan tanpa memberitahukan
sebelumnya kepada para pekerja. Mereka tidak pernah mendapat informasi
sedikit pun mengenai perusahaan, para pekerja serta tidak mengenal
secara dekat pemimpinnya, tapi mereka mampu mendapatkan semua akses
yang diperlukan melalui social engineering.
:: Chapter 3. ::
Kerentanan yang Ada,
Kerentanan
yang ada pada Infrastruktur Jaringan merupakan pokok dari penyebab
masalah security yang muncul dalam suatu sistem koputerisasi di suatu
perusahaan atau instansi. baik itu pemerintah atau swasta. Kalau
dilihat dari statistik yang telah banyak beredar umumnya perusahaan
swasta telah memiliki infrastruktus jaringan yang lebih baik dan lebih
secure dari yang di pakai di banyak instansi pemerintahan. Kecuali di
instansi pemerintahan yang memang berkecimpung dalam Information
Technology (IT). seperti Departemen KOMINFO.
OK,
sudah cukup… omong kosong ini, Faktor terbesar dari general security
issue adalah Human Error. Mari kita telaah apa saja yang biasanya yang
menjadi biang kerok permasalahan dalam suatu infrastruktur jaringan
yang ada :
1. Penempatan Firewall dan IDS yang
tidak sesuai dengan konsep security dalam jaringan dan masalah
konfigurasi dari perangkat tersebut.
2. Tidak pernah dilakukan Audit Security Network. Mereka tidak pernah berfikir sebagai hacker yang coba menjebol sistem mereka.
3. Network Design, seperti Network Connection, Remote Access
Capability, Layer Deffence, bahkan penempatan setiap host dalam
jaringan.
4. Minimnya pengetahuan Admin mengenai security
5.
Kurangnya interaksi dengan perangakat yang telah dipakai. Biasanya
setelah selesai di install dan di configure Admin jarang lagi mengecek
patch atau hanya sekedar melihat log dari perangkat tersebut.
6. Kesalahan dalam pemilihan protocol.
7. Banyak port yang terbuka yang tidak di filter dengan baik.
8. Konfigurasi Network Host
9. Kurang perhatiannya terhadap Network monitoring dan maintenance.
Dan jika ini semua terlewatkan makan apa yang dapat terjadi, sebuah mimpi buruk. Lihat ini :
-
Serangan DoS yang dapat melumpuhkan total Internet Connection yang ada.
Bayangkan kerugiann yang diderita jika yang terkena itu adalah ISP.
- Hacker dapat mensabotase trafic yang ada sehingga dapat mengetahui semua nformasi penting.
- Hacker dapat membuat backdoor pada jaringan anda, sehingga mudah
baginya untuk melakukan apa yang ia sukai pada jaringan anda.
- Penyerangan langsung terhadap setiap host yang ada dalam sistem jaringan.
- Penyerangan ke sistem network baik itu dari external maupun internal jaringan.
:: Chapter 4. ::
Sedikit Perbaikan,
Setidaknya
mengurangi resiko diatas, walaupun tidak mungkin membuat sistem yang
100% aman dari ulah para tangan jahil. dan tentunya tidak sedikit juga
biaya yang harus dikeluarkan demin privacy yang ada.
1. Simultance Security Audit
Tidak boleh hanya sekali melakukan ini, karena setiap hari hacker yang
ada semakin canggih. Apalagi tidak melakukannya maka Night Mare siap
menghampiti anda
2. Knowlegdment Of Security Mutlak diperlukan untuk menunjang tugas dari seorang Admin,
3. Payment Of Education Administartor
Jangan sungkan untuk mengeluarkan biaya untuk memberikan pelatihan
mengenai security agar Up To Date Administrator kan tercipta tuk kita.
4. Dont Believe Anything,
Jangan pernah memberikan access penting selain kepada Admin, baik itu kepada keluarga maupun vendor yang membantu kita.
5. Understanding Of Good Network Infrastructure.
Hal ini tidak mutlak hanya harus diketahui oleh Admin, tapi juga dari sisi
management perusahaan atau instansi.
6. Update..!!!!
Baik itu sistem anda, perangakat anda, konsep network yang ada maupun
pengetahuan anda.
:: Chapter 5. ::
More Tips,
terserah
apa yang akan anda lakukan terhadap infrastruktur yang ada di
perusahaan anda. Namun setidaknya tulisan ini mungkin dapat sedikit
membuka pikiran anda akan pentingnya pengetahuan masalah keamanan data
maupun jaringan, betapa pentingnya sentuhan tangan seorang hacker baik
dari tindakan maupun ilmu yang disebarluaskan lewat tulisannya.
Berikut ini ada sedikit Tips menggunakan tools untuk melakukan security Audit pada network yang ada :
- GFI LANguard Network Security Scanner (www.gfi.com) for port scanning and other vulnerability testing
- Nessus (www.nessus.org) as a free all-in-one tool for such tests as ping sweeps, port scanning, and vulnerability testing
- Qualys QualysGuard (www.qualys.com) as a great all-in-one tool for
indepth vulnerability testing, dengan biaya yg lebih murah.
Sorry, your account does not have access to post comments.