Jumat, 05 Desember 2014

Pengamanan e-mail

Konsep Dasar
Email adalah salah satu layanan yang penting yang ada di internet, saat orang membahas tentang internet untuk pemula maka fitur awal yang akan dibahas adalah fitur email karena salah satu penemuan email sangat bermanfaat saat itu karena biasanya orang-orang mengirimkan surat secara tradisional dengan konsekuensi sangat lama penyampaiannya apalagi menunggu balasannya. Layanan email juga menjadi penting dalam hal pengamanannya, kenapa? bayangkan saja misal ada seorang direktur yang akun emailnya di hack oleh seorang yang iseng kemudia menggagalkan kontrak kerja yang bernilai ratusan juta dollar.

Hal yang harus kita ketahui dalam Pengamanan Email :

PGP
PGP adalah suatu metode enkripsi informasi yang bersifat rahasia sehingga jangan sampai diketahui oleh orang lain yang tidak berhak. Informasi ini bias berupa E-mail yang sifatnya rahasia, nomor kode kartu kredit, atau pengiriman dokumen rahasia perusahaan melalui Internet. PGP menggunakan metode kriptografi yang disebut “public key encryption”: yaitu suatu metode kriptografi yang sangat sophisticated.
Adapun prinsip kerja dari PGP adalah sebagai berikut :
  1. PGP menggunakan teknik yang disebut public kec encryption dengan dua kode. Kode kode ini berhubungan secara intrinstik, namun tidak mungkin untuk memecahkan satu sama lain.
  2. Ketika dibuat satu kunci, maka secara otomatis akan dihasilkan sepanjang kunci,yaitu kunci publik dan kunci rahasia.
  3.  PGP menggunakan dua kunci, Pertama, kunci untuk proses enkripsi (kunci publik). Disebut kunci publik karena kunci yang digunakan untuk enkripsi ini akan diberitahukan kepada umum. Orang yang akan mengirimkan e-mail rahasia kepada kita harus mengetahui kunci publik ini. Kedua, kunci untuk proses deskripsi (kunci pribadi). Disebut kunci pribadi karena kunci ini hanya diketahui oleh kita sendiri.
  4. Karena dengan conventional crypto, di saat terjadi transfer informasi kunci, diperlukan suatu secure channel. Jika kita memiliki suatu secure channel, mengapa masih menggunakan crypto? Dengan public key system, tidak akan menjadi masalah siapa yang melihat kunci milik kita, karena kunci yang dilihat orang lain adalah yang digunakan hanya untuk enkripsi dan hanya pemiliknya saja yang mengetahui kunci rahasia tersebut.
GPG
GPG (GNU Privacy Guard) adalah suatu software enkripsi yang mengimplementasikan RFC2440. Penggunaan program ini biasanya ditemui pada enkripsi email atau sebagai digital signature. Model enkripsi yang digunakan adalah PKI(Public Key Infrastructure). Dengan demikian seseorang pasti mempunyai sepasang kunci yaitu Private Key dan Public Key.
Digital Signature
Digital Signature atau Tanda tangan digital adalah bentuk tiruan tanda tangan konvensional ke dalam bentuk digital. Tetapi bukan file scan tanda tangan di kertas. Sebutan digital signature ini sebenarnya konsep. Dalam dunia nyata, tanda tangan digital itu bentuknya adalah rangkaian byte-byte yang jika diperiksa bisa digunakan untuk memeriksa apakah suatu dokumen digital, juga termasuk email, benar berasal dari orang tertentu atau tidak.

Macam-macam Serangan dan Penanggulangannya
Berikut adalah beberapa ancaman terhadap email:
  • SPAM: Spam adalah email yang tidak diharapkan oleh penerima yang dikirim oleh spammer secara massal biasanya untuk tujuan komersial (penawaran produk, dll).
  • Malware/Malcode: Virus, Worm, Trojan.
  • PHISING: Phising adalah plesetan dari kata fishing yang berarti memancing. Tujuan phising adalah untuk mendapatkan informasi "sensitif atau rahasia" dari user, dengan cara memancing user agar memberikan data personal.
  • HOAX: pesan-pesan e-mail yang di rancang untuk mengelabui si penerima e-mail sehingga si penerima e-mail menyebarkan kembali pesan e-mail tersebut ke orang lain. Hoax berisikan informasi yang salah seakan-akan informasi tersebut benar dan dapat di percaya. Hoax dapat juga berisikan trojan horse dan virus. Virus-virus tersebut dapat menyebar di internet melalui pesan-pesan e-mail tersebut.
  • Nigerian Scam: Penipuan berkedok transfer kekayaan, warisan, undian, dsb.
Petunjuk keamanan email:
  • DKSI atau admin, tidak pernah meminta data account user (username dan password) melalui email, sehingga jangan pernah membalas email yang meminta data tersebut
  • Gunakan strong password, secara rutin melakukan update/perubahan password melalui halaman login Captive Portal IPB (Fasilitas ubah password hanya dapat digunakan dalam jaringan IPB)dan hindari penggunaan password yang mudah ditebak dan .
  • Tidak diperkenankan meminjamkan user access/user email kepada orang lain.
  • Jangan mempublish alamat email anda di internet secara lugas, gunakan format tertentu misalkan admin~at~ipb.ac.id, untuk menghindari scanning dari para spammer.
  • DKSI telah berusaha mengamankan data user melalui penggunaan secure protocol (https, smtps , pop3s, imaps) dan melindungi mailbox user dari serangan spam dan virus.
Tip tambahan untuk meningkatkan keamanan email anda
  • Berhati-hatilah saat membuka lampiran email yang tidak anda harapkan, yang datang dari orang yang tidak dikenal atau memiliki judul yang mencurigakan. Saat membuka email seperti ini, anda harus memastikan software anti-virus anda up-to-date dan perhatikanlah peringatan yang muncul di browser atau program email anda.
  • Menggunakan software anonimitas seperti Tor, dapat membantu anda menyembunyikan layanan email pilihan anda dari siapapun yang mungkin memonitor koneksi Internet anda. Tergantung sejauh mana pemfilteran Internet di negara anda, anda mungkin perlu menggunakan Tor atau alat circumvention yang dijelaskan di bab 8 untuk mengakses penyedia email aman seperti RiseUp atau Gmail.
  • Saat membuat akun yang akan anda gunakan secara anonym dari penerima email anda, atau dari forum publik dimana anda akan mengirim pesan lewat email, anda harus berhati-hati untuk tidak mendaftarkan nama pengguna/username atau 'Full Name'/Nama Lengkap yang berkaitan dengan kehidupan pribadi maupun professional anda. Dalam hal ini, sebaiknya hindari penggunaan Hotmail, Yahoo atau penyedia webmail lain yang menampilkan IP address di dalam pesan yang anda kirim.
  • Tergantung juga pada siapa yang dapat mengakses komputer anda secara fisik, membersihkan jejak-jejak yang berkaitan dengan email dalam berkas sementara anda, sama pentingnya dengan melindungi pesan anda saat sedang terkirim melalui internet.

Referensi :
Diposting oleh di Tidak ada komentar:

Pengamanan Web

Konsep Dasar

Web Service memberikan paradigma baru dalam mengimplementasikan sistem terdistribusi melalui Web dengan menggunakan standard protokol SOAP, WSDL dan UDDI yang berbasis XML. Dengan teknologi Web Service, konsep sistem terdistribusi yang biasanya digunakan pada sistem yang bersifat tertutup dan proprietary (DCOM, CORBA, RMI) dapat diterapkan kedalam sistem yang bersifat terbuka (non-propriertary) berbasis Web. Penerapan Web Service akan memudahkan proses integrasi dan kolaborasi antar aplikasi pada lingkungan platform yang heterogen baik melalui jaringan Intranet maupun Internet, dengan biaya yang lebih murah dan dalam waktu yang relative lebih cepat. Namun demikian, masih banyak yang ragu untuk segera menerapkan Web Service, khususnya jika digunakan untuk mendukung transaksi bisnis melalui Internet (global). Alasan utama yang menjadi perhatian adalah pada aspek keamanan dan kerentanan (vulnerability) yang terdapat pada teknologi Web Service. Sementara itu standard keamanan yang biasa digunakan untuk mengamankan aplikasi berbasis Web pada umumnya tidak cukup mampu untuk mengamankan transaksi Web Service.

STANDAR PENGAMANAN WEB

XML signatures merupakan dokumen XML yang berisi informasi mengenai tanda tangan digital. Tanda tangan digital dapat dilakukan terhadap dokumen dengan tipe apapun, termasuk dokumen XML. XML signatures dapat ditambahkan pada dokumen XML yang ditandatangani ataupun dapat berupa sebuah dokumen XML tersendiri. Secara garis besar, struktur XML signatures adalah sebagaimana (dimana “?” menandakan nol atau satu kemunculan, “+” menandakan satu atau lebih kemunculan, dan “*” menandakan nol atau lebih kemunculan) ditampilkan pada

Kode XML
Salah satu keuntungan penggunaan standar XML signature adalah dapat dilakukannya penandatanganan sebuah dokumen XML oleh lebih dari satu pihak. Pihak tertentu hanya akan menandatangani elemen XML yang menjadi tanggung jawabnya.

XML Encryption
Pengamanan terhadap data yang dipertukarkan merupakan salah satu kebutuhan yang muncul pada proses pertukaran data. W3C telah merekomendasikan Enkripsi XML sebagai metode alternatif untuk pengamanan data dengan menggunakan format XML. Namun demikian, Enkripsi XML dirancang untuk dapat diterapkan baik pada data XML maupun data non XML.
Implementasi Enkripsi XML memungkinkan penggabungan data yang telah dienkripsi dengan data yang tidak dienkripsi di dalam satu dokumen XML. Dengan demikian, proses enkripsi maupun dekripsi dapat dilakukan hanya pada data yang memang perlu diamankan saja.

Xml Key Management Specification

XML key management specification (XMKS) merupakan sebuah spesifikasi infrastruktur yang digunakan untuk pengamanan transaksi berbasis XML. Pada web services digunakan format komunikasi data berbasis XML dan untuk keamanan data-data tersebut digunakan teknik kriptografi kunci-publik. Pengelolaan terhadap kunci-publik ditentukan dengan adanya public-key infrastructure (PKI).
XKMS merupakan bentuk pengembangan berikutnya dari PKI yang ada saat ini (PKIX) dan juga melakukan perubahan standar PKI sebagai salah satu bentuk web services. Dengan demikian XKMS dapat melakukan proses registrasi pasangan kunci-publik (private-key dan public-key), penentuan lokasi penyimpanan kunci-publik, validasi kunci-publik, pencabutan (revoke) kuncipublik, dan pemulihan (recover) kuncipublik. Oleh karena itu, keseluruhan struktur PKI akan dikembangkan ke dalam lingkungan berbasis XML. XML Key Management Specification yang diterapkan sebagai web service akan mengurangi bentuk “ketergantungan” terhadap fungsi PKI yang terintegrasi dalam aplikasi. Sebelumnya penyedia PKI haruslah mengembangkan fungsi-fungsi khusus yang diterapkan pada produk aplikasi yang akan digunakan sedangkan dengan adanya XKMS sebagai web service, pada pengembangan produk aplikasi cukup dibuat fungsi untuk menentukan pengguna (client) yang mengakses fungsi/layanan yang disediakan oleh XKMS.

Fungsi-fungsi pada XMKS meliputi:

  •  Registration (registrasi). Layanan pada XKMS dapat digunakan untuk mendaftarkan (registrasi) pasangan kunci dengan menggunakan fungsi “register”. Pembangkitan pasangan kunci-publik dapat dilakukan oleh client ataupun layanan. Pada saat kunci-kunci telah terdaftarkan, layanan XKMS akan melakukan pengelolaan pencabutan ataupun pemulihan kunci-kunci, yang dibangkitkan oleh server ataupun client.
  • Locating. Pada XKMS terdapat fungsi yang digunakan untuk mendapatkan kembali kunci-publik yang terdaftar.
  • Validation (validasi). Fungsi validasi digunakan untuk memastikan bahwa kunci-publik yang telah didaftarkan dengan layanan XKMS valid dan tidak kadaluarsa ataupun telah dicabut.
  • Keunggulan utama XKMS dibandingkan PKI yang ada sebelumnya adalah proses enkapsulasi kerumitan yang ada pada PKI menjadi komponen pada sisi server. Dengan demikian pihak client hanya perlu mengetahui cara mengakses antarmuka yang disediakan. 

WEB SCIENCE SECURITY

WS-Security atau juga dikenal sebagai Web Service Security Core Language (WSS-Core) merupakan spesifikasi keamanan Web Service yang mendefinisikan mekanisme pengamanan pada level pesan SOAP untuk menjamin message integrity & confidentiality.
Standard WS-Security saat ini dikembangkan secara resmi oleh OASIS berdasarkan spesifikasi yang diusulkan oleh Microsoft, IBM, dan VerySign pada 11 April 2002. Selanjutnya, OASIS melalui Web Service Security Technical Committee (WSS) melanjutkan pengembangan WS-Security dengan menetapkan beberapa spesifikasi teknis terpisah, seperti Core Specification, SAML Profile, XMrL Profile, X.509 Profile, dan Karberos Profile. Produk WSS untuk Core Specification (WSS-Core) adalah WSS: Soap Message Security. Spesifikasi lain yang merupakan bagian dari Core Specification ini adalah WSS: User Name Token Profile dan WSS: X.509 Certificate Token Profile.

Beberapa contoh serangan pada web server yang sering terjadi adalah :
  • Melakukan perubahan tampilan (Deface)
    Metode ini umum dilakukan dengan cara menjalankan skrip eksploit, memanfaatkan celah priveledge yang    terbuka, atau memanfaatkan kelemahan operating system yang digunakan sebagai web server.
  • Perubahan data pada server
    Cara paling mudah untuk mengubah data pada server adalah dengan melakukan akses fisik ke server yang ada. Untuk itu keamanan dan akses ruang server haruslah sangat terjaga. Cara perubahan data yang sering dilakukan juga adalah dengan melalui CGI, dan eksploit data di database (SQL injection, XSS, dll)
  • Penyadapan Informasi
    Penyadapan informasi dilakukan untuk memperoleh data-data penting yang keluar masuk kedalam server web seperti data login (user, password), maupun data sensitif lainnya. Metode untuk penyadapan informasi biasanya dilakukan dengan cara Urlwatch, sniffing, dll
  • DoS  (Denial of Service) attack
    adalah jenis serangan terhadap web server dengan cara menghabiskan resource (RAM, Processor, kemampuan ethernet) yang dimiliki oleh web server sampai tidak dapat menjalankan fungsinya dengan benar sehingga secara tidak langsung mencegah pengguna memperoleh service web.
    Dalam sebuah serangan Denial of Service, si penyerang akan mencoba untuk mencegah akses seorang pengguna terhadap sistem atau jaringan dengan menggunakan beberapa cara, yakni sebagai berikut:
1.      Membanjiri lalu lintas jaringan dengan banyak data sehingga lalu lintas jaringan yang datang dari pengguna yang terdaftar menjadi tidak dapat masuk ke dalam sistem jaringan. Teknik ini disebut sebagai traffic flooding.
2.      Membanjiri jaringan dengan banyak request terhadap sebuah layanan jaringan yang disedakan oleh sebuah host sehingga request yang datang dari pengguna terdaftar tidak dapat dilayani oleh layanan tersebut. Teknik ini disebut sebagai request flooding.
3.      Mengganggu komunikasi antara sebuah host dan kliennya yang terdaftar dengan menggunakan banyak cara, termasuk dengan mengubah informasi konfigurasi sistem atau bahkan perusakan fisik terhadap komponen dan server.
Berikut adalah beberapa metode pengamanan untuk akses web server :
  • Access Control
    Kita dapat memberlakukan kontrol akses untuk web server dengan cara :
1.      Melakukan pengaturan pada web server agar membatasi akses menuju web server dengan identifikasi alamat ip (/etc/httpd.conf).
2.      Menggunakan htaccess
Membuat file“.htaccess” pada root directory web server, contohnya sbb :AuthUserFile /home/duyz/.pass
AuthGroupFile /dev/null
AuthName “Akses terbatas untuk user khusus”
AuthType Basic
<Limit GET>
require user khusus
</Limit>
Skrip ini akan membatasi akses web server hanya dapat digunakan oleh user “khusus” dan password
Menggunakan perintah “htpasswd“ untuk membuat password yang disimpan di file “.pass”.
3.      Menggunakan Secure Connection (ssl, openssl)
SSL (Secure Socket Layer) adalah sebuah metode untuk pengamanan web server dengan penggunaan enkripsi pada transmisi data menuju web server. Metode ini lazim digunakan oleh Korporasi, Bank, maupun badan intelejen untuk menghindari sniffing, maupun percobaan intersepsi data lainnya.


Referensi :
http://diyanawatiy.blogspot.com/2013/03/website_20.html
http://net.comlabs.itb.ac.id/blog/?p=204
https://docs.oracle.com/cd/E12839_01/web.1111/b32511/intro_security.htm
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)